我之前已经介绍了Cisco ACI如何利用先进的软件定义网络来促进下一代数据中心。所以,如果你还没有读过那篇文章,这是一个很好的开始。
抽象是关键:端点组、契约和服务图
抽象是Cisco ACI中管理、扩展和部署自动化中的一个关键概念。这是通过定义端点和策略来实现的,这些端点和策略决定了数据如何流经ACI结构。
端点组用于识别和分组应用程序端点。默认情况下,端点组内的端点可以相互通信,但端点组之间的通信需要契约。这些契约定义了决定epg如何相互通信的策略。合约通常指的是一个或多个过滤器,用于定义epg之间允许的特定协议和端口。此抽象层将安全策略与基础设施(如特定IP地址或vlan)分离。利用epg / contract、网络策略、L4-7安全性和转发从底层硬件中抽象出来,并一致地应用于任何工作负载。
服务图将L4-7安全服务添加到独立于位置的工作负载(物理或虚拟)中。实现自动化和部署高级防护,包括NGFW、IPS/IDS、DDoS服务插入等。通过服务图,可以通过定义的策略将流量引导到特定的L4-7设备。Service Graph技术旨在自动化和加速网络中L4-L7服务的部署。使用服务图,安全服务/设备通过使用契约向安全服务发送已定义的流量来完全插入到应用程序中。除了自动化和脚本效率之外,还可以使用服务链无缝地插入多个服务。
有两种管理模型允许安全管理员完全灵活地维护其设备基础设施。首先必须定义需求,以匹配数据中心和安全团队的需求和操作模型。部署这些服务有多种选择,包括以网络策略(非托管)模式或服务管理器模式插入服务图。这允许SecOps维护管理工作流和完全访问体育博彩平台功能。
思科ACI中内联工具部署和可见性的位置
思科ACI设备抽象的一个关键考虑因素是传统“边缘”设备(如防火墙)的位置。在传统网络中,防火墙通常位于DMZ环境和WAN连接之间的网络边界。对于Cisco ACI,防火墙的物理位置并不重要,因为设备的进出流量将由EPC和合同定义确定。从监视和设备管理的角度来看,这很重要,因为它将影响诸如如何管理这些内联设备、如何维护这些设备以及如何最好地监视进出这些设备的流量等问题。
现在下载:SDN和NFV环境中的可视性架构[免费白皮书]
额外的织物可见性与访问SPAN
思科ACI支持包括Access SPAN在内的传统监控选项。Access SPAN将在本地镜像流量,并允许查看来往于同一叶式交换机或跨多个叶式交换机的流量。使用SPAN聚合与体育博彩平台的PacketMAX™:高级聚合器或EdgeLens®,SecOps和NetOps团队可以从单个叶子交换机中提取更广泛的思科ACI结构可见性。
利用花环边缘增强内联工具管理和可见性
凭借灵活的内联安全设备选项和额外的可视性选项,体育博彩平台的EdgeLens是帮助管理和监控Cisco ACI网络边缘的完美补充。该系统可为多达四(4)个内联服务设备提供完整的生命周期管理,同时复制或聚合流量,供带外工具使用。由于思科ACI使在线设备的放置具有新的灵活性,EdgeLens可用于在线工具和叶片开关之间的TAP连接。EdgeLens还采用了体育博彩平台的故障安全技术,提供了更长的网络正常运行时间。EdgeLens还可以通过管理设备(如NGFW/NGIPS和SSL解密设备)来管理Cisco ACI服务插入。
部署EdgeLens的好处是,网络运营商现在可以在计划维护窗口或设备故障/中断等不及时事件期间部署或维护这些设备,从而保证网络正常运行时间。
带外监测
可以在入口和出口捕获此实时内联流量的副本,并将其分发到带外工具(如网络分析器、SIEM或应用程序监视工具)。这种镜像内联流量的能力使这些功能能够实时报告和警报网络或安全事件,并与服务插入Cisco ACI策略部署相一致。
包代理功能
除了集成的tap之外,来自网络中其他位置的外部tap可以将监控流量作为入口链接馈送到可用的包代理端口。然后,EdgeLens可以为所有这些不同的传入数据源提供过滤、聚合和负载平衡,并将其分发到一个或多个不同的网络/安全工具。
总结
总之,Cisco ACI在部署/维护简洁性、管理和自动化方面引入了几个软件定义的创新。这些部署创新可以通过业务插入扩展到NGFW/IPS等内联部署。EdgeLens通过最大限度地延长网络正常运行时间,同时增加可见性和管理选项,增强了这些内联和服务部署选项。此外,EdgeLens可用于聚合来自其他Cisco ACI Leaf交换机的Access SPAN流量,从而提高内联和带外网络/安全工具的整体可见性和效率。
希望增加SDN部署的可见性,但不确定从哪里开始?加入体育博彩平台推荐,参加一个简短的网络Design-IT咨询或演示。没有义务-这是体育博彩平台推荐喜欢做的!
