我是IT运维岩小强好久不见

?前幾天，领导布置了新任务

公司新增业务上云必须保证云端业务安全

作为一个传统的IT技术男

那当然是很高（beng）兴（kui）！

并顺手打开了BOSS弯聘、58不成

准备骑上我心爱的小摩托，转战互联网行业

为什么我如此自信搞不定云端安全

那是因为传统的硬件环境

大量设备在同一个机房直連或近乎直连

你送她个礼物，触手可及

而在云端组网是这个样的

就好像你和女朋友视频聊天

好似面对面实际可能相距甚远

在云上，事情開始变得有（kun）趣（nan）

怎么办聪明如你可能会说

那就通过快递远程传输呗

但是“云端快递”有2大难点：

溯源指：传输需要记录源IP，目的IP信息

方便女生收到礼物（如口红）

发现你搞错了色号的时候

而快递的包裹也就是外层

这个包裹，业内称为GRE隧道

图注：GRE隧道工作图

可能好渏的小伙伴又要问了：

隧道技术那么多为什么是GRE？

答：GRE隧道是隧道中比较简单的一种

无需两端协商实现简单。

通过使用GRE隧道对镜像流量进行封装

将外层的源MAC封装为自己的MAC

目的MAC为下一跳的MAC；

目的IP为目的地的IP地址

从而符合虚拟网络的限制

简单说也就是通过GRE封装的包裹技术

將礼物投递到女生手中，女生拆开包裹

一眼望去都是你的名字（源IP信息）

物流指：因为云端环境没有硬件交换芯片

所以需要通过CPU实现软茭换

进行精准的，bit级别的100%模拟

也可以一次复制多份分发

当然，你知道总没有十全十美的事情

原因是GRE封装的下层协议只能是传输层协议。

但是对于安全设备、流量分析设备

并不关注MAC地址信息

再加上公有云及SDN网络的ARP

所以MAC地址信息对安全分析

2. 对端接受流量的网元也需要支持解GRE葑装

简单说也就是接收端女生

每个女生都是天生的拆快递高手吧

这么好的云端快递方式，哪里能提供呢

山石网科虚拟化应用交付AX系列

適配主流公有云，私有云平台

图注：山石网科虚拟化应用交付AX系列