Sv1ca-4.ru

Строй журнал
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Автоматический выключатель compact nsx 100

VMware NSX для самых маленьких. Часть 1

Если посмотреть конфиг любого файрвола, то, скорее всего, мы увидим простыню с кучей IP-адресов, портов, протоколов и подсетей. Так классически реализуются политики сетевой безопасности для доступа пользователей к ресурсам. Сначала в конфиге стараются поддерживать порядок, но потом сотрудники начинают переходить из отдела в отдел, сервера размножаться и менять свои роли, появляются доступы для разных проектов туда, куда им обычно нельзя, и получаются сотни неизвестных козьих тропок.

Около каких-то правил, если повезет, прописаны комментарии «Попросил сделать Вася» или «Это проход в DMZ». Сетевой администратор увольняется, и все становится совсем непонятно. Потом кто-то решил почистить конфиг от Васи, и упал SAP, потому что когда-то Вася просил этот доступ для работы боевого SAP.

Сегодня я расскажу про решение VMware NSX, которое помогает точечно применять политики сетевого взаимодействия и безопасности без неразберихи в конфигах файрвола. Покажу, какие новые функции появились по сравнению с тем, что было раньше у VMware в этой части.

VMWare NSX – платформа виртуализации и обеспечения безопасности сетевых сервисов. NSX решает задачи маршрутизации, коммутации, балансировки нагрузки, файрвола и умеет много другого интересного.

NSX – это преемник собственного продукта VMware vCloud Networking and Security (vCNS) и приобретенного Nicira NVP.

От vCNS к NSX

Раньше у клиента в облаке, построенном на VMware vCloud, была отдельная виртуальная машина vCNS vShield Edge. Он выполнял роль пограничного шлюза, где можно было настроить множество сетевых функций: NAT, DHCP, Firewall, VPN, балансировщика нагрузки и пр. vShield Edge ограничивал взаимодействие виртуальной машины с внешним миром согласно правилам, прописанным в Firewall и NAT. Внутри сети виртуальные машины общались между собой свободно в пределах подсетей. Если очень хочется разделять и властвовать трафиком, можно сделать отдельную сеть для отдельных частей приложений (разных виртуальных машин) и прописать в файрволе соответствующие правила по их сетевому взаимодействию. Но это долго, сложно и неинтересно, особенно когда у вас несколько десятков виртуальных машин.

В NSX VMware реализовала концепцию микросегментации с помощью распределенного файрвола (distributed firewall), встроенного в ядро гипервизора. В нем прописываются политики безопасности и сетевого взаимодействия не только для IP- и MAC-адресов, но и для других объектов: виртуальных машин, приложений. Если NSX развернут внутри организации, то такими объектами могут стать пользователь или группа пользователей из Active Directory. Каждый такой объект превращается в микросегмент в своем контуре безопасности, в нужной подсети, со своей уютненькой DMZ :).


Раньше периметр безопасности был один на весь пул ресурсов, защищался пограничным коммутатором, а с NSX можно оградить от лишних взаимодействий отдельную виртуальную машину даже в пределах одной сети.

Политики безопасности и сетевого взаимодействия адаптируются, если объект переезжает в другую сеть. Например, если мы перенесем машину с базой данных в другой сетевой сегмент или даже в другой связанный виртуальный дата-центр, то правила, прописанные для этой виртуальной машины, продолжат действовать безотносительно ее нового положения. Сервер приложений по-прежнему сможет взаимодействовать с базой данных.

На смену самому пограничному шлюзу vCNS vShield Edge пришел NSX Edge. У него есть весь джентльменский набор старого Edge плюс несколько новых полезных функций. Про них и пойдет речь дальше.

Что нового у NSX Edge?

Функциональность NSX Edge зависит от редакции NSX. Всего их пять: Standard, Professional, Advanced, Enterprise, Plus Remote Branch Office. Все новое и интересное можно увидеть только начиная с Advanced. В том числе и новый интерфейс, который до полного перехода vCloud на HTML5 (VMware обещает лето 2019-го) открывается в новой вкладке.

Читать еще:  Автоматический выключатель record plus fd160

Firewall. В качестве объектов, к которым будут применяться правила, можно выбрать IP-адреса, сети, интерфейсы шлюза и виртуальные машины.

DHCP. Помимо настройки диапазона IP-адресов, которые будут автоматически выдаваться виртуальным машинам этой сети, в NSX Edge стали доступны функции Binding и Relay.

Во вкладке Bindings можно привязать MAC-адрес виртуальной машины к IP-адресу, если нужно чтобы IP-адрес не менялся. Главное, чтобы этот IP-адрес не входил в DHCP Pool.

Во вкладке Relay настраивается ретрансляция DHCP-сообщений DHCP-серверам, которые находятся за пределами вашей организации в vCloud Director, в том числе и DHCP-серверам физической инфраструктуры.

Маршрутизация. У vShield Edge можно было настраивать только статическую маршрутизацию. Здесь появилась динамическая маршрутизация с поддержкой протоколов OSPF и BGP. Также стали доступны настройки ECMP (Active-active), а значит и аварийное переключение типа «активный-активный» на физические маршрутизаторы.


Настройка OSPF


Настройка BGP

Еще из нового – настройка передачи маршрутов между различными протоколами,
перераспределение маршрутов (route redistribution).

L4/L7 Балансировщик нагрузки. Появился X-Forwarded-For для заголовка HTTPs. Без него все плакали. Например, у вас есть сайт, который вы балансируете. Без проброса этого заголовка все работает, но в статистике веб-сервера вы видели не IP посетителей, а IP балансировщика. Теперь все стало правильно.

Также во вкладке Application Rules теперь можно добавлять скрипты, которые будут напрямую управлять балансировкой трафика.

VPN. В дополнение к IPSec VPN, NSX Edge поддерживает:

  • L2 VPN, позволяющий растянуть сети между географически разнесенными площадками. Такой VPN нужен, например, чтобы при переезде на другую площадку виртуальная машина оставалась в той же подсети и сохраняла IP-адрес.

  • SSL VPN Plus, который позволяет пользователям подключаться удаленно к корпоративной сети. На уровне vSphere такая функция была, а вот для vCloud Director это новшество.

SSL-сертификаты. На NSX Edge теперь можно поставить сертификаты. Это снова к вопросу, кому нужен был балансировщик без сертификата для https.

Группы объектов (Grouping Objects). В этой вкладке как раз задаются группы объектов, для которых будут действовать те или иные правила сетевого взаимодействия, например правила файрвола.

Этими объектами могут быть IP- и MAC-адреса.

Здесь также указан список сервисов (сочетание протокол-порт) и приложений, которые можно использовать при составлении правил файрвола. Новые сервисы и приложения добавлять может только администратор портала vCD.

Статистика. Статистика по подключениям: трафик, который проходит через шлюз, файрвол и балансировщик.

Статус и статистику по каждому туннелю IPSEC VPN и L2 VPN.

Логирование. Во вкладке Edge Settings можно задать сервер для записи логов. Логирование работает для DNAT/SNAT, DHCP, Firewall, маршрутизации, балансировщика, IPsec VPN, SSL VPN Plus.

Для каждого объекта/сервиса доступны следующие типы оповещений:

— Debug
— Alert
— Critical
— Error
— Warning
— Notice
— Info

Размеры NSX Edge

В зависимости от решаемых задач и объемов VMware рекомендует создавать NSX Edge следующих размеров:

NSX Edge
(Compact)
NSX Edge
(Large)
NSX Edge
(Quad-Large)
NSX Edge
(X-Large)
vCPU1246
Memory512MB1GB1GB8GB
Disk512MB512MB512MB4.5GB + 4GB
НазначениеОдно
приложение, тестовый
дата-центр
Небольшой
или средний
дата-центр
Нагруженный
файрвол
Балансировка
нагрузки на уровне L7

Ниже в таблице – рабочие метрики сетевых служб в зависимости от размера NSX Edge.

NSX Edge
(Compact)
NSX Edge
(Large)
NSX Edge
(Quad-Large)
NSX Edge
(X-Large)
Interfaces10101010
Sub Interfaces (Trunk)200200200200
NAT Rules2,0484,0964,0968,192
ARP Entries
Until Overwrite
1,0242,0482,0482,048
FW Rules2000200020002000
FW Performance3Gbps9.7Gbps9.7Gbps9.7Gbps
DHCP Pools20,00020,00020,00020,000
ECMP Paths8888
Static Routes2,0482,0482,0482,048
LB Pools6464641,024
LB Virtual Servers6464641,024
LB Server / Pool32323232
LB Health Checks3203203203,072
LB Application Rules4,0964,0964,0964,096
L2VPN Clients Hub to Spoke5555
L2VPN Networks per Client/Server200200200200
IPSec Tunnels5121,6004,0966,000
SSLVPN Tunnels501001001,000
SSLVPN Private Networks16161616
Concurrent Sessions64,0001,000,0001,000,0001,000,000
Sessions/Second8,00050,00050,00050,000
LB Throughput L7 Proxy)2.2Gbps2.2Gbps3Gbps
LB Throughput L4 Mode)6Gbps6Gbps6Gbps
LB Connections/s (L7 Proxy)46,00050,00050,000
LB Concurrent Connections (L7 Proxy)8,00060,00060,000
LB Connections/s (L4 Mode)50,00050,00050,000
LB Concurrent Connections (L4 Mode)600,0001,000,0001,000,000
BGP Routes20,00050,000250,000250,000
BGP Neighbors1020100100
BGP Routes RedistributedNo LimitNo LimitNo LimitNo Limit
OSPF Routes20,00050,000100,000100,000
OSPF LSA Entries Max 750 Type-120,00050,000100,000100,000
OSPF Adjacencies10204040
OSPF Routes Redistributed2000500020,00020,000
Total Routes20,00050,000250,000250,000
Читать еще:  Выключатель с выдержкой времени схема подключения

Источник

Из таблицы видно, что балансировку на NSX Edge для продуктивных сценариев рекомендуется организовывать, только начиная с размера Large.

На сегодня у меня все. В следующих частях подробно пройдусь по настройке каждой сетевой службы NSX Edge.

Выключатель автомат compact ns160n

Выключатель ВА-99С выполнен в виде моноблока и состоит из основания и крышки с фальш-панелью, в которой имеется окно для рукоятки управления и толкатель кнопки «Тест» – для проверки механизма отключения выключателя.
Основание (1) выполнено из термостойкой пластмассы, не поддерживающей горение и являющейся несущей конструкцией для присоединительных зажимов (2), блок ротоактивных контактов (3) с двумя дугогасительными камерами (4) представляет собой жесткую сборку в отдельном корпусе (5), механизма управления (6), блока защиты от сверхтоков и перегрузки (расцепителя) (7). Крышка закрывает все подвижные элементы механизма управления и внутренние токоведущие части.
Полный ассортимент дополнительных устройств см. на стр. 169-173.
ВНИМАНИЕ! Рычаг выключателя имеет три положения: «ВКЛ.», «ОТКЛ.» и «СРАБАТЫВАНИЕ». Для включения после срабатывания необходимо перевести рычаг из промежуточного положения в положение «ОТКЛ.», а затем – «ВКЛ.».
Механизм управления выключателя построен на принципе переламывающегося рычага и снабжен мощной возвратной пружиной.
При взведении рукоятки механизма управления (7) приводится в движение изолирующая рейка (5), на которой закреплены подвижные силовые контакты.
Подвижные контакты поворачиваются в направляющих, обеспечивая необходимые провалы для увеличения и выравнивания давления на подвижные контакты.
Действие возвратной пружины блокируется элементами переламывающегося рычага, находящимися в этот момент на одной прямой линии, опирающимися одним коленом на выступ поворотного элемента «Сброс» и механизма управления.
Подключение проводов или шин со стороны источника питания производят на верхние зажимы выключателей с помощью болтов или зажимов, входящих в комплект поставки. Провода или шины к потребителю подключают на нижние зажимы.

12 390 руб.

Цена за розничную
упаковку

12 390 руб.

16 520 руб.

12 390 руб.

  • Характеристики
  • Преимущества
  • Описание
  • Применение
  • Документация
  • Обучение
  • Отзывы

Выключатель автоматический ВА-99C (Compact NS) 250/250А 3P 45кА EKF PROxima

Характеристики
Статус:Регулярная
Номин. откл. способность Icu, при 400 В, 50 Г, кА45
Рабочая отключающая способность, Ics, кА45
Номинальный ток, А250
Количество полюсов3
Диапазон уставки тока расцепления, А100. 250
Номин. напряжение, В400. 690
Номин. отключающая способность по ГОСТ IEC 60898-1-1, кА45
Подходит для монтажа на DIN-рейку (с Ω-профилем)Нет
Встроенная защита от замыканий на землюНет
Моторный привод опциональноДа
С расцепителем минимального напряженияНет
Количество вспомогат. нормально разомкнутых (НО) контактов
Конструкция прибораКомплектное устройство в корпусе
Диапазон регулировки без задержки срабатывания расцепителя короткого замыкания, А2500. 2500
Есть штрихкод на каждой штуке товараДа
СерияPROxima
Крепление на DIN рейкуНет
Срок службы, лет10
Тип элемента управленияРычаг купольный
Диапазон краткосрочной задержки расцепителя короткого замыкания, А200. 2500
Возможность установки индикатора отключенияДа
Количество вспомогат. нормально замкнутых (НЗ) контактов
Тип подключения силовой электрич. цепиБолтовое соединение
Моторный привод встроенныйНет
Вид подключения главной электрич. цепиПередняя сторона
Номин. отключающая способность по ГОСТ IEC 60898-1, кА45
Степень защиты (IP)IP30
Количество вспомогат. переключающих контактов
Гарантийный срок эксплуатации, лет7
Комплектное устройство с утройством защитыДа
Читать еще:  Выключатель проходной одноклавишный откр
Преимущества

Мгновенная коммутация. Пружина механизма расцепления

Полный ассортимент дополнительных устройств

Лучшая электропроводность. Присоединительные шины из электротехнической меди с покрытием серебром

Серебросодержащая композитная напайка с вольфрамом. Низкое переходное сопротивление и высокая сопротивляемость разрушению контактов при коммутации

Профессиональный автомат с широкими настройками срабатывания по тепловому току и току КЗ

Не поддерживает горение. Корпус из термостойкой пластмассы

Регулируемый электромагнитный расцепитель. Регулируемая уставка по тепловому току Ir = (0,8 – 1 In) и току перегрузки Ir = (5 – 10 In)

Микропроцессорный расцепитель STR23SE. Регулируемая уставка по тепловому току Ir = (0,4 – 1 In) и току перегрузки Ir = (2 – 10 In)

Ротационный механизм размыкания.

Описание

Выключатель ВА-99С выполнен в виде моноблока и состоит из основания и крышки с фальш-панелью, в которой имеется окно для рукоятки управления и толкатель кнопки «Тест» – для проверки механизма отключения выключателя.
Основание (1) выполнено из термостойкой пластмассы, не поддерживающей горение и являющейся несущей конструкцией для присоединительных зажимов (2), блок ротоактивных контактов (3) с двумя дугогасительными камерами (4) представляет собой жесткую сборку в отдельном корпусе (5), механизма управления (6), блока защиты от сверхтоков и перегрузки (расцепителя) (7). Крышка закрывает все подвижные элементы механизма управления и внутренние токоведущие части.
Полный ассортимент дополнительных устройств см. на стр. 169-173.
ВНИМАНИЕ! Рычаг выключателя имеет три положения: «ВКЛ.», «ОТКЛ.» и «СРАБАТЫВАНИЕ». Для включения после срабатывания необходимо перевести рычаг из промежуточного положения в положение «ОТКЛ.», а затем – «ВКЛ.».
Механизм управления выключателя построен на принципе переламывающегося рычага и снабжен мощной возвратной пружиной.
При взведении рукоятки механизма управления (7) приводится в движение изолирующая рейка (5), на которой закреплены подвижные силовые контакты.
Подвижные контакты поворачиваются в направляющих, обеспечивая необходимые провалы для увеличения и выравнивания давления на подвижные контакты.
Действие возвратной пружины блокируется элементами переламывающегося рычага, находящимися в этот момент на одной прямой линии, опирающимися одним коленом на выступ поворотного элемента «Сброс» и механизма управления.
Подключение проводов или шин со стороны источника питания производят на верхние зажимы выключателей с помощью болтов или зажимов, входящих в комплект поставки. Провода или шины к потребителю подключают на нижние зажимы.

Применение

В качестве вводных автоматических выключателей в электрощите для обеспечения объектов гражданского жилого строительства, коммерческих строительных объектов, производственных площадок:
• защита цепей электродвигателей;
• защита отходящих линий, в том числе в ГРЩ, ЩС;
• в схемах автоматического включения резервного питания;
• с секционированием (на трех выключателях) и без секционирования (на выключателях);
• защита отходящих линий на низкой стороне трансформаторных п/ст 10/0,4 кВ.
Допускается применение автоматических выключателей совместно с электроприводами для осуществления коммутаций и автоматического управления работой электрооборудования:
• дистанционные коммутации электрооборудования;
• в схемах диспетчеризации и энергосбережения.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector