Professional Documents
Culture Documents
Virtualiser Pour : Mieux soutenir plusieurs entreprises sur la mme infrastructure (clients dun FAI, services dune entreprise, etc.) - des temps de rponse plus courts face de nouveaux besoins : ressources processeur suprieures, davantage despace disque, etc. Faciliter la reprise aprs incident - Glisser-dplacer un service pour quil reparte sur une nouvelle plate-forme matrielle Optimiser et rendre plus flexible lutilisation des ressources informatiques - Moins dinvestissements matriels - Allocation de ressources dynamique selon les besoins Des domaines de scurit multiples qui ne doivent tre spars que logiquement
Source : Microsoft
La virtualisation optimise lutilisation des ressources existantes et par consquent amliore le retour sur investissement.
En dployant cette solution, les entreprises peuvent amliorer la scurit des applications et la productivit tout en diminuant les cots et la complexit lis la scurit du rseau. Un ensemble de rgles mtier et de scurit intelligentes prcisant les modalits dutilisation des ressources applicatives dun data center sert de cadre pour fournir un data center scuris et virtualis. Larchitecture base de rgles de scurit sert de base lutilisation des applications et intgre la scurit des applications au cur mme de la matrice rseau du data center. Les entreprises peuvent appliquer de manire proactive et efficace les rgles de scurit et de dimensionnement des applications. Les recommandations concernant les rgles de scurit pour le data center sont intgres un profil de rgles de scurit, qui est distribu linfrastructure rseau. Ces rgles de scurit permettent un accs appropri aux applications mais filtrent et rejettent tout trafic indsirable. Les entreprises peuvent donc sappuyer sur une architecture rseau de data center pour utiliser les ressources mtier ncessaires tout en liminant les ressources et les applications indsirables ou interdites. Avec lapparition de nouvelles menaces, cette solution permet par ailleurs lentreprise de ragir rapidement et efficacement en modifiant les rgles de scurit du data center dun simple clic pour liminer ou limiter au minimum limpact de la menace. Les services informatiques et les processus mtier sont efficaces et fiables tout en tant protgs contre les attaques et une utilisation abusive. Laccs aux ressources et aux applications indsirables tant supprim, la bande passante que ces dernires consommaient peut dsormais tre utilise par les applications et les ressources critiques. Cette utilisation plus intelligente des ressources applicatives amliore la viabilit et le cycle de vie de lensemble de linfrastructure rseau.
IDS Virtuel #3
La conception globale du data center est gnralement une conception de rseau 3 4 niveaux avec un commutateur daccs, un commutateur dagrgation et un niveau de routage LAN en extrmit de la zone de service. Chaque zone est rattache au niveau du routage WAN qui fournit la connectivit Internet. Une zone de service est gnralem ent un seul et vaste sous-rseau IP avec plusieurs centaines voire milliers de serveurs appartenant diffrents groupes de clients et fournissant diffrents services. Les serveurs et services de chaque client doivent communiquer directement entre eux tout en tant obligatoirement spars des ressources des autres clients. Un commutateur Matrix N-Series est gnralement prsent au niveau de la commutation daccs. Pour le commutateur dagrgation, le mme composant ou un Matrix X-Series est recommand. Le niveau de routage LAN est gnralement compos dun commutateur Matrix X-Series qui fournit un accs rseau ininterrompu au data center via des mises niveau logicielles transparentes et un paradigme de transmission endurci (D)DoS dot dune qualit de service de classe oprateur. Les solutions Dragon Intrusion Defense et Dragon Network Defense peuvent fournir un niveau de scurit supplmentaire. Chaque serveur hberge plusieurs services et plusieurs machines virtuelles. Il est connect via une ou plusieurs interfaces au commutateur daccs frontal.
Page 2
COMMUTATEUR VIRTUEL
Port physique
Application de rgles de qualit de service pour amliorer les performances du flux de production ; Authentification de plusieurs utilisateurs et politiques (MUA+P) sur les ports LAG (groupe dagrgation de liens) : Connexion autorise avec les groupes dagrgation de liens 802.3ad ; Augmentation de la bande passante ; Fourniture dun protocole de contrle de lien pour une procdure de redondance automatique.
NetSight Policy Manager : serveur de politiques centralis Cration de rgles de scurit orientes production. Association de VLANs, selon larchitecture du data center de scurit ; Rgles de filtrage de niveau 2/3/4 : autorisent uniquement les protocoles de production, rejettent les protocoles non autoriss et vitent toute baisse de service suite des erreurs de configuration ; Rgles de prioritisation de niveau 2/3/4 : identifient les flux critiques et fournissent la qualit de service dynamique associe ; Distribution de lensemble des rgles de scurit aux commutateurs ;
Dploiement de rgles de scurit sur les commutateurs du data center qui les prennent en charge. Configuration des commutateurs de data center pour lauthentification MAC multi utilisateurs et des rgles de scurit sur les ports physiques/logiques ; Vrification de lutilisation des rgles de scurit Contrle de lutilisation des rgles de scurit par port physique/logique ; Contrle de lutilisation des rgles de scurit, rendant compte des protocoles non autoriss.
Port physique
Page 3
Enterasys NAC Gateway : outil denregistrement et de dploiement automatique dadresses MAC (autre que le dploiement en mode console) Dcouverte de toutes les adresses MAC/port/IP prsentes dans un commutateur pour data center virtuel. Association des adresses MAC enregistres dans une politique de data center. Configuration dune politique dynamique associe une adresse MAC enregistre dans le port virtuel (LAG) ou le port physique auquel est connect le serveur virtuel associ cette adresse MAC. Enregistrement dans une base de donnes SQL et dans un outil dadministration de toutes les sessions serveur actives avec : Ladresse MAC | ladresse IP | le port physique/logique | la politique applique | vu en premier | vu en dernier.
Enregistrement dun historique dactivit dans une base de donnes SQL et dans un outil dadministration. Suivi de la localisation dans le temps du serveur virtuel physique/logique. Blocage de ladresse MAC sur des ports physiques/logiques spcifiques pour viter les mouvements indsirables du serveur virtuel.
COMMUTATEUR VIRTUEL
Port physique
Port physique
MAC 1 MAC 1
Port physique
COMMUTATEUR VIRTUEL
MAC 3
Port LAG virtuel I
MAC 4
Port physique
NAC Gateway
Port LAG.0.1 Politique PA Port LAG.0.1 Politique PB Port LAG.0.1 Politique PB Port LAG.0.2 Politique PC Port LAG.0.2 Politique PB Mobilit des serveurs virtuels Lorsquun serveur virtuel est arrt puis dplac vers un serveur lame diffrent (ici, le Serveur virtuel 2), Enterasys NAC Gateway dtecte le mouvement dadresse MAC, configure la mme politique sur le nouveau port et le signale.
Cette approche garantit une visibilit totale, la reconfiguration automatise des services (de scurit) vers des serveurs virtuels nouveaux et mobiles ainsi que la comptabilit. Elle peut voluer jusqu 2 048 serveurs virtuels par commutateur daccs (en appliquant les licences appropries) et plusieurs dizaines de milliers de serveurs virtuels par zone de service. En utilisant le commutateur Matrix N-Series avec un maximum de 56 000 rgles, elle rpond aux besoins dvolutivit et dadaptation de futures applications.
NetSight Policy Manager : serveur de politiques centralis Cration de politiques orientes production. Association de VLAN selon larchitecture de scurit du data center : Rgles de filtrage de niveau 2/3/4 : autorisent uniquement les protocoles de production, rejettent les protocoles non autoriss et vitent toute baisse de service suite des erreurs de configuration ;
Page 4
Rgles de prioritisation de niveau 2/3/4 : identifient les flux critiques et fournissent la qualit de service dynamique associe ; Dploiement de politiques sur les commutateurs de data center les prenant en charge. Fourniture de lensemble des politiques aux commutateurs ; Configuration des commutateurs de data center pour fournir une authentification MAC multi utilisateurs et des rgles de scurit sur les ports physiques/logiques ; Contrle de lutilisation des rgles de scurit par port physique/logique ; Contrle de lutilisation des rgles de scurit, rendant compte des protocoles non autoriss.
Cette approche est volutive jusqu 8 192 adresses IP source (sous-rseau) par commutateur pour les mappages de politique. Elle peut galement inclure jusqu 56 000 rgles par commutateur comme solution de data center virtuel dynamique.
quilibrage de charge serveur (SLB) intgr et redondance du data center
SERVEUR VIRTUEL 1 MAC 1 / IP 1 SERVEUR VIRTUEL 2 MAC 2 / IP 2 SERVEUR VIRTUEL 3 MAC 3 / IP 3
COMMUTATEUR VIRTUEL
Port physique
Port physique
SIP 1 SIP 2
Port physique
COMMUTATEUR VIRTUEL
SIP 3
Port LAG virtuel I
SIP 4
Port LAG.0.1, LAG.0.2 Port LAG.0.1, LAG.0.2 Port LAG.0.1, LAG.0.2 Port LAG.0.1, LAG.0.2 Port LAG.0.1, LAG.0.2
Port physique
Sans la passerelle NAC Gateway, cette approche nintgre pas le suivi/la dtection automatiss des ajouts/mouvements et des modifications au niveau de linfrastructure. Les adresses IP source utilises restent dtectables directement sur le commutateur via la comptabilit du nombre de hits de politiques.
Persistance de session
Les clients dquilibrage de charge se connectent une adresse IP virtuelle qui, en ralit, est redirige vers lun des serveurs physiques intgrs un groupe de fermes de serveurs dquilibrage de charge. Dans de nombreuses applications daffichage de page Web, un client peut faire rediriger ses requtes vers diffrents serveurs du groupe qui en assureront la maintenance. Dans certains cas cependant, il peut tre crucial que tout le trafic du client soit dirig vers le mme serveur physique pour l a dure de la session. Il sagit du concept de persistance de session. Lorsquil reoit une nouvelle requte de session dun client concernant une adresse virtuelle spcifique, le routeur cre un lien entre la prise du port/ladresse IP (source) du client et la prise du port/ladresse IP (de destination) du serveur dquilibrage de charge slectionn pour ce client. Les paquets ultrieurs envoys par les clients sont ensuite compars par rapport la liste de liens. En cas de correspondance, le paquet est envoy au mme serveur prcdemment choisi pour ce client. dfaut de correspondance, un nouveau lien est cr. Le mode de dtermination de la correspondance de lien par le routeur pour la persistance de session est configur avec la commande de niveau de persistance lors de la cration du serveur virtuel. Il existe trois niveaux configurables de persistance de session :
Page 5
La persistance TCP un lien est dtermin par correspondance de ladresse du port/IP source et de ladresse virtuelle du port/IP de destination. Par exemple, la requte dun client via lintranet vers ladresse IP virtuelle de destination V1:80 est considre comme une session et sera dirige vers le mme serveur dquilibrage de charge (par exemple, le serveur 2 dadresse IP 2). La requte depuis une prise source diffrente provenant de la mme adresse client vers la mme adresse virtuelle de destination est considre comme une autre session et pourra tre dirige vers un autre serveur dquilibrage de charge (par exemple, le serveur 6 dadresse IP 6 dans le mme groupe). Cest le niveau par dfaut de la persistance de session. La persistance SSL un lien est dtermin par correspondance de ladresse IP source et de ladresse du port/IP virtuelle de destination. A noter que les requtes provenant de nimporte quelle prise source comportant ladresse IP client sont considres comme faisant partie de la mme session. Par exemple, les requtes du client ayant pour port source 1024 ou 1025 vers ladresse IP virtuelle de destination V1:80 seront considres comme une seule session et diriges vers le mme serveur dquilibrage de charge (par exemple, le serveur 2 dadresse IP 2). La persistance permanente un lien est dtermin par correspondance de ladresse IP source et de ladresse IP de destination uniquement. Cela permet de diriger vers le mme serveur dquilibrage de charge toutes les requtes dun client vers la mme adresse virtuelle. Par exemple, les requtes HTTP et HTTPS du client vers ladresse IP virtuelle de destination V1 seront diriges vers le mme serveur dquilibrage de charge (par exemple, le serveur 2 dadresse IP 2).
Port physique
Port physique
Port physique
Port physique
COMMUTATEUR VIRTUEL
Intranet IP
Port physique
Port physique
COMMUTATEUR VIRTUEL
Port physique
Port physique
Page 6
Rsum
La virtualisation et la consolidation des data centers font partie des priorits de tous les directeurs des systmes dinformation pour instaurer un environnement informatique optimis, souple et rentable pour lentreprise. La solution Virtual data Center dEnterasys rpond aux besoins de souplesse totale et dexploitation automatise tout en optimisant la scurit et la visibilit au sein des data centers virtualiss daujourdhui.
Contactez-nous
Pour plus dinformations, appelez Enterasys Networks au + 33 (0) 1 40 84 61 80 et visitez notre site Web ladresse www.enterasys.com
2009 Enterasys Networks, Inc. Tous droits rservs. Enterasys est une marque dpose. Secure Networks est une marque dEnterasys Networks. Tous les autres produits ou services mentionns sont identifis par les marques ou les marques de service de leurs socits ou entreprises respectives. REMARQUE : Enterasys Networks se rserve le droit de modifier ses spcifications sans pravis. Veuillez contacter votre reprsentant pour obtenir la version la plus rcente de ces spcifications.
Page 7