close

Вход

Забыли?

вход по аккаунту

Федеральное государственное автономное образовательное;pdf

код для вставкиСкачать
Изменения по требованию Гибкие облачные финансовые сети
1
Виртуализация сервисных зон
2
Оптимизация политик безопасности
3
Виртуализация сетей
4
Гибкие облачные финансовые сети
Виртуализация сервисных зон
Конвергенция физических сетей
Разделение логических сетей
Page 1
Традиционные финансовые сети не адаптированы
под быстрое развитие сервисов
Конфликт между сервис-инновациями
и традиционными сетями
Page 2
Быстрый рост
финансовых
интернет услуг.
Появление новых
услуг
Обслуживающий
персонал
датацентров
находится под
давлением
Stovepipes
безопасность
Быстрый
рост
Тысячи
приложений и
систем
развёрнуты как в
чёрной дыре
Future
network
?
Сложность
обслуживания
Сложность
конфигурации
Физические зоны
разделены,
комлексность
конфигурации
сетевой
инфраструктуры
От фиксированных зон к виртуализированным
динамическим зонам
Спаренные сетевые ресурсы и физические зоны,
негибкие зоны бозопсаности
Online
banking
Intranet
…
…
Extranet
…
…
 Зоны безопасности разнесены
по физическим устройствам;
устройства безопасности
изолированы
 Network resource sharing
недоступен; пустые ресурсы
 Развёртывание по требованию
недоступно в развёрнутой
инфрастуктуре
Security zone
Облачне сервисы по требованию, быстрое сетевое развёртывание,
адаптирование сетевых политик
Red zone 1
Red zone 2
Green zone 1
VPN2
VPN1
Red zone 3
Green zone 3
Business hall
Office
Office
Page 3
Campus
 Более15000 DC
устройств, > 100
персонала
 >50% времени на
конфигурацию портов и
DC3 (Cloud DC under
политики на фаерволах
construction)
DC2 (traditional DC)
Yellow zone 2
VPN3
Yellow zone 3
Гибкость
развёртывания
Финансовая компания/банк: частые изменения
сервисов, 60% времени тратится на конфигурацию
Business hall
Yellow zone 1
Network
Security zone
 Три DC, персонал 2
человека
 Нет
DC1 (traditional DC)
автоматизированного
решения, O&M workload
Green zone 2
Конфигурация по
требованию
TRILL
Гибкость в
миграции/lдобавлении
VM
Финансовая платформа для эффективного
использования ресурсов и гибкого развития сервисов
UnionPay,
PBC, etc
User
Leased line
Internet
Backup DC
Branch
DWDM
WAN
Access zone
Online banking
Management and
control zone
Internet
open platform
Extranet
WAN zone
Interconnection
zone
System
management
Core switching zone
Minicomputer
zone
Service zone
Production
front-end
server zone
Management
front-end
server zone
Management
server zone
Virtualized open platform resource pool
Storage zone
Page 4
Network
management
Quasiproduction
test zone
Data
management
Development
test zone
Test resource pool
Security
management
Разделение сервис зон на основе виртуализации
DC network преконфигурация
Domain Service
Manager
DC Admin
DC Service
Manager
Service application
VPC: DC management based on zones
FW: EIP/ASPF/ACL/Security policies
Router: Route/Subnet
Core switching
VPC1 Service 1 VPC2 Service 2
VPC3 Service 3
LB: Load balance/health check
Self-service
Основываясь на
сервисе
1. Выбери VPC
2. Выбери подсеть
3. Разверни App
Service plan
VM
Service User
VM
VM
VM
VM
VM
Service User
Network plan
API
Controller
Network design
Логическая ->
Физическая сеть
Deployment
Server
VM1
vSwitch
VM2
TOR
Gateway
TOPO maintenance
Server
Page 5
NIC
TOR
FW
Core
LSW
1
Виртуализация сетей
2
Оптимизация политик безопасности
3
Виртуализация сетей
4
Гибкие облачные финансовые сети
Оптимизация политик безопасности
Изменение политик следуют за изменением сервисов
Page 6
Управление политиками неэффективно, политики непривязаны
к сервисам
Ручное управление политиками
Сложность
планирова
ния
политик
Ручная
конфигу
рация
 Высокие требования к квалификации
администратора. Комплексный и сложный
процесс разработки политик .
 Ручное применение конфигурации, что
может вызвать ошибки
 Согласно исследованиям Skybox, 35%
глобальных корпоративных заказчиков
модифицируют политики на фаерволах
более 100 раз в месяц,70%
администраторов делаютизменения вручную
Политики безопасности не привязаны к сервисам
10.0.0.0/24
10.0.0.0/22
10.0.4.0/24
10.0.4.0/22
10.0.8.0/24
10.0.8.0/22
10.0.12.0/24
10.0.12.0/22
 Нет отношения к сервисам, нет наследия
 Тысячи правит ACL
 Изменения IP влечёт изменение конфигурации
Изменение
Ручная
проверка
политик
Page 7
 Проверка политик делается вручную, низкая
эффективность и точность
 Согласно исследованиям Skybox, около
90% глобальных корпоративных заказчиков
имеют 30% неэффективных политик на
фаерволах.
DC2
DC1
IP маска
IP сервис порт
IP адреса
Частые ACL
модификации
Нет связи с приложениями,
увеличения числа ACL приводит
к связи DC филиалов через
Все сегменты сети
Отстуствие привязанности к
сервисам приводит к усложнению
планирования
Управление политиками основываясь на сервисах
 Политики безопасности отделены от IP адреса, маски,
порта
 Ориентированный на пользователя язык управления
политиками упрощает обслуживание.
DC1
 Система проверяет завершённость и правильность
DC2
User
Start
Anti
DDoS
Internet
R
политик
«Внутренняя“ сервисная
цепочка
vWAF
NGFW
vNGFW
 Политики гибко изменяются с изменениями VM.
End
 Автоматическое развёртывание политик, применение,
L3
L2
WEB
улчшают эффективность администрирования в
несколько раз
Mobile/
Public/Partner
 Эксплуатационные ошибки серьёзно снижают
NGFW
Page 8
безопасность
Изменения политик безопасности в облачной среде
1. Для вырванивания трафика в часы пик добавлена VM-WEB3
2. Миграция
APP2
IP адрес VM-WEB3 доставляется контроллером на
платформу управления безопасностью
WEB3
WEB1
APP2’
APP1
WEB3
DB
APP2
WEB2
VM-WEB3 автоматически
добавляется в группу
безопасности SG-WEB-ZONE
после выхода онлайн
Traffic
distribution
policy
Существующее правила
автоматичекси
применяются
Платформа безопасности
автоматически
применяет политики к
vNGFW2.
2. Использование CPU хоста 3 больше 50%. VM-APP2
мигрирована на хост 1
vSwitch
Соответствие IP адреса APP2 и хоста доставляется
контроллером на платформу управления безопасностью
HOST1
HOST2
1.
Добавление
WEB3
Page 9
HOST3
HOST4
APP2’
Группа безопасности
остаётся неизменной, в
то время как IP
изменился
Traffic
distribution
policy
Существующее правила Платформа безопасности
автоматичекси
автоматически
применяются
применяет политики к
vNGFW2.
1
Виртуализация сервисных зон
2
Оптимизация политик безопасности
3
Виртуализация сетей
4
Гибкие облачные финансовые сети
Виртуальные сети для
поддержки виртуализации
серверов
Виртуализация сети по требованию
Page 10
Финансовые компании: низкий уровень O&M из-за
различий в виртуальных и физических сетях
Виртуальные
термины
•
•
•
Абстактыне
ресурсы
Физическое
разънесение
Логический
сервис
Сервисный
отдел
System
administrator
Tier3
User
Tier1
Tier3
Tier2
Mgmt
•
Связанность
Привязка
утсройтва
Топология
Network
administrator
Физическ
ая сеть
Виртуал
ьная
сеть
vSwitch
vSwitch
vSwitch
vSwitch
System
administrator
VM
Page 11

Сервисная
структура
создаётся
системным
администрато
ром

Логичекая сеть
под сетевым
управлением

vSwitch
администриру
ется
системным
администрато
ром
Логическ
ая есть
Физические
термины
•
•
Сетевой разрыв
VM
VM
VM
VM
VM
VM
VM
Визуализация виртаулизации и физические
неисправности в сети
Быстрая локализация
ошибок
Быстрая ассоциация
Agile
Controller
Agile
Controller
1
1
2
3
Платформа
виртуализации
Платформа
виртуализации
2


Если есть авария на сети, неисправность определяется E2E

Контроллер уведомляет платформу виртуализации
в физичексой и виртуальной сетях.

Платформа даёт инструкцию vSwitch на
Если отказ TOR свича, администратор быстро определяет
подвергшиеся аварии VM.
Page 12
перенаправление трафика
Визуализация сервисов в сети
Оптимизация сервисов по состоянию
сети
Развёртывание сервисов
основываясь на состоянии сети
Agile
Controller
Agile
Controller
1
2
2
1
Платформа
виртуализации
Платформа
виртуализации
3

Перед развёртыванием VM платформа запрашивает о
3

извещает платформу виртуализации
состоянии сети.

Если загрузка upstream порта TOR свича в пределах 70–80%,
платформа виртуализации разворачивает VM на другом
свиче
Page 13
Если загрузка upstream порта TOR свича выше 80% контроллер

Платформа мигрирует VM в другую часть сети, где
производительность достаточна
1
Виртуализация сервисных зон
2
Оптимизация политик безопасности
3
Виртуализация сетей
4
Гибкие облачные финансовые сети
Гибкие облачные финансовые
сети
Page 14
Решение Huawei для гибкого финансового датацентра
Облачная платформа
FusionSphere
vCloud
Agile Controller
VPN/DCI
Большая L2 cеть
предоставляет ресурсы
для логических зон
Router
resource
pool
EVN/VPLS/IP
Switch
resource pool
VAS resource pool
SVF/CSS/TRILL/VxLAN
Сервисы и политики
разворачиваются в
автоматическом режиме
Единое управление
физическими и
виртуальными зонами
Switch
resource pool
Elastic
Layer 2
Server
Storage
Active center
DWDM/SDH
Сетевая структура для банков в финансовую интернет эру, увеличь скорость предоставления услуг,
предоставть всеканальные банковские услуги
Page 15
Backup
center
Преимущества гибкой облачной финансовой сети
Автоматическое
развёртывание сервисов
Визуализация сети
Развёртывание IT –
сервиса за несколько
минут
Эффективность
локализации ошибок
лучше на 50%
Быстрое облачное
предоставление
сервиса
Page 16
Вы понимаете
Вашу сеть
Открытость сети
Адаптивность и
совместимость с
гетерогенными сетями
Одна структура
адаптируется к
различным сценариям
Сетевые продукты и решения
Huawei
Page 17
Router
Huawei No. 2 на Мировом рынке
No. 1 по скорости роста рынка за
последние 2 года
Switch
No. 1 на рынке Китая
Решения работают в топ 200 из ТОП
500 мировых компаний.
Быстрый
Firewall/UTM
рост No. 1 на рынке Китая единственный
From: Gartner Q1, 2014
китайский вендор кто вошёл в Gartner's
Magic Quadrant for Data Center Network (DCN)
в сенменте энтерпрайз фаервол
No. 1 в Мире по росту продаж в
Huawei единственный китайский вендор кто
вошёл в Gartner's Magic Quadrant for Data Center
Network (DCN).
40%
35.3%
2nd
Data Center Switch
1st
From: Huawei market research
WLAN
Optical Network
Huawei WLAN решения развёрнуты на ТОП
5 крупнейштх стадионов в Европе,
обслуживают 300,000 болельщиков.
Huawei No. 1 в Мире
22%
1st
From: Ovum-RHK Q2, 2013
From: Huawei market research
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 18
NE40-2
1996 1997
1996
1997
1998
NE40E-X8
NE40E-X16
NE40E-X3
2+8 Cluster
NE40-8
NE80
NE40-4
CE6800
CE12812
CE12808
CE12804
CE12816
S12700
2008 2009 2012 2013
2001
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
400G
switching
firstdata
fifth-generation
first
center
switch
largest
CloudEngine
switching
router
capacity
agile
switch
first
router
capacity
per advanced
slot
most
2012
Next-generation
Industry's
Data center switch
Huawei's
device
with
router
industry's
platform
supporting
that
2+8
provides
cluster
S2403
was
was
rolled
rolled
out.
was
switches
rolled out.
were rolled out.
Huawei
S12700
was
rolled
out.
Huawei's
R2501
wasout.
rolled
out.
−
was
NE5000E
rolled
out.
First
to use
the NP+ASIC architecture.
was rolled out.
Industry's
data center solution.
CE12816
− NE40/NE80
− CE
NE40E-X
−
seriesseries
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 19
2013
Huawei: Единственная компании в индустрии с
E2E Сетевыми продуктами
E2E IP Products & Solutions
Full Series
of Ethernet
Switches
Core router
Access router AR G3
Wi-Fi AP
AP2010DN
AR150/160/200 AR1200
AR2200
AR3200
NE16EX NE20E-X6
NE40EX3/X8/X1
6
NE5000E
AR530
CloudEngin
e
5800/6800
DC
security gateway
S12700
NGFW
S9700
AP5010SN/D
N
USG6300/6600
MxU
xPON
MA561x/2x(A)
/
3x/9x/7x/58xx
MA5652/
MA5669
WDM
S6700
USG 2000/5000
OLT
MA560x
/
MA568x
ASG2000
SVN 2000/5000
NIP2000/5000
ONT
HG80x0(H)/81xx(F)/82
xx(H)/8x45A/824xT/82
40F
AC6605
AP7110SN/DN AP6310S
N
S5700/S5710
Online behaviorSecurity access IDS/IPS
management
gateway
UTM
Security
Products
USG9500
S7700
Wi-Fi AC
AP6010SN/DN
Data center switch Agile switchTerabit core switchIntelligent routing10G aggregationGigabit switch
switch
switch
CloudEngine1280
0
Access &
Service
Gateways
Industrial router
AP6510DN
/AP6610D
N
Layer 3 100M
switch
AVE2000
ME60 X3/X8/X16
SMB switch
S2700
S1700
TSM
WAF
WAF2200/55200
Service gateway BRAS
SPU 2.0
switch
S3700
AntiDDoS Antivirus gateway
AntiDDoS1000/8000
AP5030D
AP7030DE
N
AP5130D
Layer 2N 100M
TSM/AnyOffice/iSOC/
UMA/DSM/OMM
PTN
PTN950/960
MSTP/Hybrid MSTP
PTN910/910F
PTN1900/39008/3900
Microwave
OTN &
Microwave
Products
OSN1800I/II/V OSN6800 OSN8800 OSN9800 Metro100/1000 OSN500/550/580 OSN1500
HUAWEI TECHNOLOGIES CO., LTD.
OSN2500 OSN3500 OSN3580
Huawei Confidential
OSN7500/7500II
OSN9560 RTN 310/380 RTN910
Page 20
RTN950
RTN980
eSight/U2000: Unified Network Management
Access &
Core
Routers
Wi-Fi
Products
THANK YOU
www.huawei.com
Copyright©2014 Huawei Technologies Co., Ltd. All Rights Reserved.
The information in this document may contain predictive statements including, without limitation, statements regarding the
future financial and operating results, future product portfolio, new technology, etc. There are a number of factors that could
cause actual results and developments to differ materially from those expressed or implied in the predictive statements.
Therefore, such information is provided for reference purpose only and constitutes neither an offer nor an acceptance. Huawei
may change the information at any time without notice.
1/--страниц
Пожаловаться на содержимое документа