FortiGate-VM与FortiGate-VMX的关系

《FortiGate-VM与FortiGate-VMX的关系》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、FortiGate-VM与FortiGate-VMX的关系版本1.0时间2015年4月Fortios:v5.0.x,v5.2.x支持的版本Fortimanager:5.0.x,v5.2.x作者蒋晓状态待审核反馈support_cn@fortinet.com©2015飞塔信息-1-密级：完全公开FortiGate架构的实质是把控制平面（CPU负责新老会话的建立拆除及不同层次的计算任务调度）与数据计算平面（FortiASIC芯片负责网络及应用层次功能的高速处理）做了分离，这与SDN（软件定义网络）中控制与数据双平面的设计理念不谋而合，因此我们试图在各种

2、SDN架构的应用场景中（如本文假定的VMwarevSphere及NSX场景）中透过传统的FortiGate-VM来分担数据运算负载、而透过新开发的FortiGate-VMX服务组件来负责诸如策略分发管理等控制负载。1.1FortiGate-VM（运算平面的角色--执法者）FortiGate-VM是一个可运行在多种hypervisor平台上的虚拟机（与业务服务的VM地位相同），一般通过网络协议（二层/三层）引流到FortiGate-VM上来让其做五元组或包内容的安全过滤，主要用来处理数据中心的【南北向】流量（跨VLAN间流量，也有说法指数据中心本地与

3、外界的交互流量）©2015飞塔信息-2-密级：完全公开1.2FortiGate-VMX（控制平面的角色--传令官）由于有数据显示，数据中心76%的流量都是【东西向】（vm与vm之间的通信控制流量，也有说法泛指数据中心内部的流量），于是如何做到对其可视化成为一种需要。我们通过在vSphere中嵌入一个安全服务代理组件（FortiGate-VMX）来实施对FortiGate各种安全功能vm在SDN环境下的集中管控，每一个vSphere集群中都需要至少部署一个FortiGate-VMX服务组件，然后用vmx服务管理器（未来可能会演变为直接用FortiMa

4、nager）作为它的管理工具来将配置策略下发，它们之间的交互流程如下：©2015飞塔信息-3-密级：完全公开图1.1fortigate-vmx服务管理器与vmx组件间的交互过程1.3FortiGate-VMX组件的作用FortiGate-VMX可透过NetXRESTAPI实现自动部署，在vmx服务管理器上设定规则推送至FortiGate-VMX上来执行究竟什么样的数据包被接受、拒绝、发送或为了检查而镜像，规则可以基于IP、MAC、服务端口号，还能在被保护的业务VM的虚拟网卡与虚拟交换机之间插入过滤器来监控通信（可通过vCNS来实现）。1.4VMX服

5、务管理器的作用(一)vmx服务管理器已实现了与VMwarevCNSManager组件的整合，可实现在VMwareNSX环境中添加Fortinet安全解决方案(二)vmx服务管理器可被所有vCenterdbase的对象更新(三)vmx服务管理器可批量部署FortiGate-VMX安全服务组件(四)vmx服务管理器能方便地推送安全策略到FortiGate-VMX安全服务组件上©2015飞塔信息-4-密级：完全公开图1.2vmx服务管理器透过NetXAPI传递控制指令©2015飞塔信息-5-密级：完全公开