当前的网络与安全解决方案极不灵活并且十分复杂。在当前的运营模型中，网络调配很慢，并且工作负载分配和移动受物理拓扑和手动调配的限制。物理网络连接和安全方面的限制将日益活跃的虚拟世界重新束缚到了缺乏灵活性的专用硬件上，人为地阻碍了网络体系结构和容量利用率的优化。

此外，手动调配和杂乱无章的管理界面降低了效率，限制了企业根据业务需要快速部署、移动、扩展和保护应用及数据的能力。近些年，运维大型数据中心（如亚马逊、谷歌、Facebook和微软等的数据中心）的公司，经过多年的数据中心运维管理后，总结了如下一些数据中心网络与安全方面的经验教训。

第一个经验就是，建立在IP层（Layer 3层）的等价多路径（ECMP）的物理网络非常适合现代数据中心架构与应用。这些网络提供可预测的延迟，可以很好地扩展，而且收敛很快。同时，当节点或链路发生变化时，他们可以提供一个非常细粒度的故障域。

其次，从历史上看，利用增加带宽来解决由于带宽而导致的应用问题远比添加物理网络设备新功能来解决该问题要容易的多，同时构建这样的高容量网络的成本在过去几年大幅下降（使用同质化的IP承载网络，硬件投资肯定会降低）。通过使网络遵循KISS（Keep it Simple， Stupid）原则，可以灵活地建立出构建块（例如虚拟网络），使其运行在更健壮的基础架构网络上。最后，把相关网络功能迁移到网络边界（智能边界，比如X86服务器）会带来更好的语义，更丰富的计算模型，以及降低对物理网关设备的性能需求（当采用分布式网络处理架构时）。运行在新型数据中心的应用就是很好的例子：随着时间的推移，许多应用程序已经纳入了一些网络上的功能，例如，Hadoop有自己的发现机制，而不是假设所有Hadoop节点都在同一个广播媒体（Layer 2网络）上。发生故障时，应用安全性和其它特征往往是内置到应用程序、计算、以及PaaS层来得以保障，不再简单依靠物理网络。

软件定义网络是云计算的关键支持技术。软件定义网络真正给网络带来服务器虚拟化一样的服务。上述的智能边界任务恰好可以由X86服务器里的HyperVisor来承担，通过软件定义网络，云数据中心的应用所需要的网络功能都可以很灵活地由数据中心的智能边界（X86 Hypervisor）来实现。同时通过软件定义网络，许多虚拟网络可以复用到一个单一的数据中心IP转发物理网络上。

二．主要功能

1、逻辑交换2、逻辑路由3、逻辑防火墙4、逻辑负载均衡5、逻辑VPN和合作伙伴生态系统

三、技术方案

      逻辑交换技术

逻辑交换网络是创建弹性可移动虚拟数据中心的基础，通过它，管理员可以快速方便地设立各自独立的二层网络，本章介绍实现逻辑交换的各个功能模块以及各个模块间的通信原理。

NSX的逻辑交换可以将网络的扩展性提高一千倍，它可以应对的主要挑战以及为用户带来的收益如下图所示。

　　图：NSX逻辑交换的优势

逻辑交换的原理是使用VXLAN或者STT等协议把VM的流量封装到一个Overlay IP隧道中，物理网络承载这些IP隧道流量。

逻辑交换网络的优势

1、灵活性

通过支持跨交换机和单元边界的“扩展集群”，数据中心服务器与存储的利用率和灵活性可实现最大化。

2、优化的网络操作

逻辑交换网络在标准第三层IP网络上运行，不再需要构建和管理庞大的第二层基础传输层。

3、投资保护

逻辑交换网络包跑在标准交换机硬件上，交换机上无需进行软件升级，也不必采用特殊的代码版本。随着VMware和其他供应商推出基于VXLAN的解决方案，企业可以充分利用更高的数据中心自动化程度、敏捷性和效率所带来的优势。

       4、逻辑路由技术

NSX的逻辑路由可以简化多租户，它可以应对的主要挑战以及为用户带来的收益如下图所示。

　　图：NSX逻辑路由的优势

     5、逻辑防火墙技术

NSX提供分布式的内核防火墙，该防火墙部署在每个hyperbisor内核，提供线速安全过滤转发，支持以VM 对象属性，支持以用户ID为对象的安全监控，同时把其他安全服务融入NSX 软件定义网络。

NSX逻辑防火墙可以应对的主要挑战以及为用户带来的收益如下图所示。

　　图：NSX逻辑防火墙的优势

     6、逻辑负载均衡技术

NSX提供了针对包括TCP流量(HTTP)在内的所有流量的入站负载平衡功能，该功能可以增加关键业务应用的可用性并提高它们的性能，它支持的负载平衡算法有：轮询算法（Round Robin），基于健康检查的算法和会话持久算法。

NSX负载均衡服务之特色-NSX 负载平衡服务具有以下特点，能够满足客户的应用负载平衡需求。

1、完全可通过 API 进行编程

2、与其他 NSX 网络服务相同的单个集中管理/监控点

3、多体系结构支持4、单臂模式（称为代理模式）

5、双臂模式（称为透明模式）

6、大型功能集，可支持大量应用

7、支持任何 TCP 应用包括但不限于 LDAP、FTP、HTTP、HTTPS多种负载平衡分配算法循环、最少连接数、源 IP 地址散列、URI多种运行状况检查TCP、HTTP、HTTPS，包括内容检查持久性源 IP、MSRDP、Cookie、SSL 会话 ID连接节最大连接数和每秒连接数第 7 层操纵包括但不限于 URL 阻止、URL 重写、内容重写优化、SSL 负载分流专为虚拟化和云计算平台所设计，以虚拟设备的形式进行部署，按照其所服务的对象数量进行授权。采购成本较低，上线速度快，可以非常便捷地按需部署（几分钟即可完成部署和初始配置），且易于扩容（虚拟设备提供三种不同尺寸，可以自由切换）。管理界面集成于vCenter，全图形界面，便捷易用，不需要通过复杂的命令行进行维护，不需要配备专业的管理人员，维护成本极低。提供从第四层到第七层的负载均衡服务，全面支持HTTP、HTTPS和TCP协议，可满足当前和未来几年发展的需要。功能完善先进，提供服务可用性检测功能，提供多种负载分配算法，支持会话保持机制。具备高可用功能可以提供连续不间断的负载均衡服务，主节点故障时可以在数秒钟内切换到备节点继续提供服务。L7 策略操控支持SSL offload、支持单臂连接方式（Proxy Mode）、支持双臂连接方式（Transparent Mode）性能接近硬件解决方案，可支持1 million并发会话，网络吞吐量可达9Gbps。

　　NSX负载均衡可以应对的主要挑战以及为用户带来的收益如下图所示。

　　图：NSX负载均衡的主要优势

   7、   Ecosystem Framework技术

VMware NSX是一个可扩展的平台，它包括一个分布式服务框架，方便插入合作伙伴的服务。利用标准的NSX API，VMware将向合作伙伴展现平台功能，使其能够通过单个API消费网络服务，而不必使用多个API来使用网络功能。NSX API让合作伙伴能够集成管理、数据和控制平面，并增强VMware NSX的核心功能，包括逻辑防火墙、负载均衡、VPN、交换、路由等。客户将能够从合作伙伴提供的广泛解决方案中选出最佳的解决方案，无缝地集成到任何云管理系统并确保一致的用户体验。

VMware NSX这一卓越的可延展性，能够将VMware与合作伙伴的服务集成在一起，有助于客户优化虚拟网络的部署工作。VMware NSX的合作伙伴可以提供客户实施软件定义网络所需的广泛应用，包括连接物理和虚拟环境的网络服务网关，提供防火墙和威胁防御等多种服务的网络安全平台，包含防病毒、IDS/IPS和漏洞管理的安全服务，以及包括负载均衡、应用交付和WAN优化的应用交付服务。

　　NSX的主要合作伙伴如下图所示。

　　图：NSX Ecosystem Framework