Cisco Nexus 7000系列交换机

为数据中心网络提供全面安全

企业的数据中心存储着关于员工、客户和外部利益相关者的保密信息，以及知识产权、关键商业信息的重要资产。内部和外部用户需要通过多种设备和接入点访问企业数据。如何保护数据基础设施的安全，遵守相关法规的要求，以及保障传输和存储中的数据，都对网络管理和技术提出严峻的挑战。数据中心的安全保护需要在所有层级执行统一的策略―从网络基础设施到计算应用。一个安全的网络阵列能够长久地保护企业数据中心。Cisco Nexus 7000系列采用独特的设计，可以满足下一代数据中心的基础设施安全需求。

Cisco® Nexus 7000系列是一个高度可扩展的端到端万兆以太网交换机系列，适用于关键任务型数据中心的运营。 它的矩阵架构可以扩展到每秒15Tb（Tbps）以上，将来还能支持40Gbps和100Gbps以太网。由于采用目前最为先进的模块化操作系统Cisco NX-OS，该平台可以提供出色的可扩展性、系统运行连续性、可维护性和传输灵活性。Cisco Nexus 7000系列可以借助强健的控制平面和线速的加密、解密功能，提供全面的安全特性，实现对数据中心的协议和应用更加简便、透明的安全控制。它还支持Cisco TrustSec，这是思科推出的一种新型架构，可以通过集成化策略框架创建具有角色感知能力的网络，以及全方位的数据完整性和保密性。

Cisco Nexus 7000系列数据中心安全支持

• Cisco TrustSec通过内置的硬件和软件特性提供，支持设备准入控制，基于安全群组的策略，以及链路层加密
• 集成化安全特性可以防止数据中心网络和设备受到DoS攻击、网络主机伪装，或者数据、语音流量窃听等行为的影响
• IEEE 802.1x 被用于身份验证和授权
• 端口访问控制列表（PACL）、路由器ACL（RACL）、VLAN ACL（VACL）和基于角色的访问控制（RBAC）可以保护用户权限，提高信息保护的灵活性
• 控制平面保护和增强的、基于硬件的限速

Cisco TrustSec

Cisco TrustSec是一种新型的、基于多种策略的服务，适用于准入和访问控制，并将对分组保密性和完整性的保护集成到网络矩阵之中。Cisco TrustSec可以利用基于IEEE 802.1AE标准的安全群组标签（SGT）来创建具有角色感知能力的网络。这种网络能够在每个执行点支持角色信息。Cisco Nexus 7000的特有组件如图1所示，其中包括

访问控制：Cisco Nexus 7000系列具有与某个身份验证、授权和记账（AAA）或者RADIUS服务器通信的内置功能，并可以提供全面的、统一的策略，对网络设备和终端进行身份验证和授权。

• 网络设备准入控制（NDAC）可以对所有网络设备进行身份验证
• 终端准入控制（EAC）则可以对接入设备进行身份验证，下载针对每个用户或者设备端口的授权策略

图1 Cisco TrustSec在数据中心的应用

• LinkSec (IEEE 802.1AE)：在所有端口都提供线速的链路层加密。分组会在出口加密，再在入口解密，因而在设备内部保持明文形式。这种方式允许插入传输非加密流量的网络服务，同时保障流量在通过线路传输时的完整性和保密性。（如图2所示）

图2 分组的保密性和完整性（IEEE 802.1AE）

分组在系统内部以明文方式传输

• 安全群组ACL（SGACL）：这种可扩展的、独立于拓扑的访问控制机制与传统的ACL不同。SGACL会利用特殊的安全群组标签（SGT），将具有类似权限的用户纳入相同的群组。因为这些策略建立在SGT的基础上，而不是IP地址，因而用户和资源可以在不失去其安全权限的情况下自由移动。

身份验证和授权

为防止数据中心受到未经授权用户的侵入，Cisco Nexus 7000系列支持多种身份验证机制，例如IEEE 802.1x和MAC-Auth-Bypass（MAB）。授权可以通过ACL、VLAN指派或者Cisco TrustSec 策略执行。IEEE 802.1x和RADIUS被用于传输身份验证和授权信息。MAB允许基于MAC地址的身份验证，而IEEE 802.1x 则提供基于安全证书的身份验证方法。

在实际运营中，客户可以为Cisco Nexus 7000系列交换机分配不同级别的管理权限

虚拟交换机（VDC）：Cisco NX-OS支持控制和管理平面的虚拟化，可以创建多个具有独立的配置、管理方式的操作环境。这有助于隔离故障域，提高系统的可用性，防止级联式的服务中断。

RBAC允许为管理平面定义和执行多个级别的访问权限。

集成化安全特性

Cisco NX-OS支持集成化安全，包括用于防止数据中心受到拒绝服务（DoS）攻击、恶意DHCP服务器和中间人攻击影响的全面安全特性，其中主要有：

• 单播反向路径转发检查（uRPF）：通过拒绝对具有伪装IP地址的流量的访问和跟踪流量的真正来源保护网络安全。Cisco Nexus 7000系列具有内置的硬件特性，能够对同一个来源网络的最多16条路径执行多路径uRPF检查。
• 分组广播压缩：该特性可以在端口级别防止数据中心的带宽可用性受到广播风暴的影响。
• 分组正确性检查：Cisco Nexus 7000系列的转发引擎可以对IPv4和IPv6分组报头进行广泛的检查，防止网络受到非法分组的侵入。
• IP源保护：Cisco Nexus 7000系列会通过一种有效的、基于硬件的方式部署该特性，以过滤源IP地址和防止恶意主机的伪装。
• 动态ARP检查（DAI）：为防止APR伪装（中间人攻击）和ARP缓存污染，Cisco NX-OS采用DAI来验证ARP分组中的IP-MAC地址绑定关系，记录并丢弃没有通过检查的分组。
• 端口安全：为防止第二层内容可寻址存储（CAM）表受到攻击（洪泛、MAC地址伪装）的影响，Cisco NX-OS支持通过端口安全来控制端口访问权限。

增强的控制平面保护

控制平面限速（CoPP）：Cisco Nexus 7000系列的这组基于硬件的特性可以防止主控引擎受到DoS攻击的影响，避免可能中断正常业务的断网故障。增强型CoPP可以对到达Supervisor CPU的流量执行广泛和精确的控制，例如第二层广播和无关流量重定向。

对访问控制列表的改进

Cisco NX-OS可以通过匹配第二、三、四层报头字段，支持RACL、VACL和PACL，以及基于策略的路由（PBR）。借助PBR，分组可以根据管理策略（而不是路由标准）转发到下一跳地址，从而有助于提高灵活性和实现数据中心内部的负载共享。Cisco Nexus 7000 系列硬件支持一种独特的新型ACL编程机制―Atomic ACL。它可以在不中断流量的情况下重新配置ACL。对于安全ACL和服务质量（QoS）策略，Cisco NX-OS支持一种模拟式配置方法，即用户可以在实际使用配置之前，先针对可用的系统资源检验配置是否可行。可选的ACL编制方式有助于提高数据中心的可扩展性、可用性和可管理性。

为什么要投资加强数据中心的安全性？

借助Cisco Nexus 7000交换机，企业可以方便地加强数据中心的安全性，降低运营开支。

• 基于角色的访问控制可以降低成本和复杂性
• 通过强健的控制平面提供全面的安全保障
• 通过多种集成化特性加强分组的保密性和完整性，从而确保数据中心的安全