Home » Network Segmentation with Cisco ACI และ VMware NSX
Network Segmentation with Cisco ACI และ VMware NSX
Network Segmentation with Cisco ACI และ VMware NSX
Network Segmentation คือการแบ่ง network ออกเป็น segments ย่อยเพื่อจำกัด blast radius ของ security incidents และควบคุม east-west traffic Cisco ACI (Application Centric Infrastructure) และ VMware NSX เป็น SDN platforms ที่ให้ micro-segmentation ระดับ workload ทำให้ enforce security policies ได้ละเอียดกว่า traditional VLANs
Traditional segmentation ด้วย VLANs + firewalls ไม่เพียงพอสำหรับ modern data centers เพราะ east-west traffic (server-to-server) มากกว่า north-south (client-to-server) 80% แต่ traditional firewalls อยู่แค่ perimeter Micro-segmentation แก้ปัญหานี้: enforce policy ที่ระดับ VM/container/workload แม้อยู่ใน VLAN เดียวกัน
Segmentation Levels
| Level |
วิธีทำ |
Granularity |
| Network Segmentation |
VLANs, VRFs, subnets |
Per-subnet/VLAN |
| Zone-based Segmentation |
Firewall zones (DMZ, internal, external) |
Per-zone |
| Application Segmentation |
Application-aware firewalls, SGTs |
Per-application tier |
| Micro-segmentation |
Per-workload policies (ACI, NSX) |
Per-VM, per-container, per-process |
Cisco ACI
| Feature |
รายละเอียด |
| คืออะไร |
SDN solution สำหรับ data center ที่ใช้ policy-based automation |
| APIC |
Application Policy Infrastructure Controller — central management + policy engine |
| Spine-Leaf |
ACI fabric ใช้ spine-leaf topology (Nexus 9000 series) |
| Tenant |
Logical isolation unit (เหมือน VRF instance + security) |
| EPG (Endpoint Group) |
Group ของ endpoints ที่มี policy เหมือนกัน (e.g., Web-EPG, DB-EPG) |
| Contract |
Policy ที่ define ว่า EPGs สื่อสารกันได้อย่างไร (permit/deny + filters) |
| Bridge Domain |
L2 forwarding domain (เหมือน VLAN แต่ abstracted) |
| VRF |
L3 routing domain ภายใน Tenant |
ACI Policy Model
| Object |
Hierarchy |
Purpose |
| Tenant |
Top-level |
Isolation boundary (per department/customer) |
| VRF |
Tenant → VRF |
L3 routing domain |
| Bridge Domain |
VRF → BD |
L2 domain (subnet container) |
| Subnet |
BD → Subnet |
IP subnet (gateway on ACI fabric) |
| Application Profile |
Tenant → AP |
Group of EPGs สำหรับ 1 application |
| EPG |
AP → EPG |
Group of endpoints (same policy) |
| Contract |
EPG ↔ EPG |
Allow/deny traffic between EPGs |
| Filter |
Contract → Filter |
L3/L4 filter (protocol, port) |
ACI Segmentation Example
| EPG |
Endpoints |
Contract (Allowed) |
| Web-EPG |
Web servers (Nginx, Apache) |
→ App-EPG: TCP 8080 (web → app) |
| App-EPG |
Application servers (Java, .NET) |
→ DB-EPG: TCP 3306 (app → db) |
| DB-EPG |
Database servers (MySQL, PostgreSQL) |
No outbound contracts (db → nothing) |
| Mgmt-EPG |
Management hosts (jump servers) |
→ All EPGs: TCP 22 (SSH management) |
VMware NSX
| Feature |
รายละเอียด |
| คืออะไร |
Network virtualization + security platform (overlay networking) |
| NSX Manager |
Central management plane (REST API + GUI) |
| Distributed Firewall (DFW) |
Stateful firewall ที่ kernel level ของทุก hypervisor (per-VM enforcement) |
| Gateway Firewall |
North-south firewall ที่ Tier-0/Tier-1 gateways |
| Overlay (GENEVE) |
GENEVE encapsulation สำหรับ L2 overlay ข้าม L3 underlay |
| Segments |
Logical switches (L2 domains) ที่ run เป็น overlay |
| Security Groups |
Dynamic groups ตาม tags, VM names, OS type, etc. |
| Context-Aware |
Firewall rules based on application ID (Layer 7) |
NSX Distributed Firewall
| Feature |
รายละเอียด |
| Enforcement Point |
vNIC ของทุก VM (kernel module บน ESXi) |
| Performance |
Line-rate (no hairpin traffic ไป physical firewall) |
| Stateful |
Full stateful inspection (connection tracking) |
| Layer 7 |
Application identification (HTTP, SQL, SSH, etc.) |
| Identity Firewall |
Rules based on AD user identity (not just IP) |
| Default Rule |
Default allow (change to default deny สำหรับ zero trust) |
| Policy Sections |
Ethernet → Emergency → Infrastructure → Environment → Application |
ACI vs NSX
| Feature |
Cisco ACI |
VMware NSX |
| Type |
Physical + virtual SDN fabric |
Virtual network overlay |
| Hardware |
Requires Nexus 9000 (ACI mode) |
Runs on any hardware (overlay) |
| Segmentation |
EPG + Contracts |
Distributed Firewall + Security Groups |
| L4-L7 Integration |
Service graphs (insert FW/LB) |
Partner integration (Palo Alto, F5) |
| Multi-hypervisor |
Yes (VMware, Hyper-V, KVM, bare-metal) |
VMware primarily (KVM limited) |
| Kubernetes |
ACI CNI plugin |
NSX Container Plugin (NCP) / Antrea |
| Management |
APIC (GUI + API) |
NSX Manager (GUI + API) |
| Cost |
สูง (hardware + license) |
สูง (per-CPU license) |
Micro-segmentation Best Practices
| Practice |
รายละเอียด |
| Start with visibility |
Monitor traffic flows ก่อน enforce (discover application dependencies) |
| Application-centric |
Define policies per application (web→app→db) ไม่ใช่ per IP |
| Default deny |
Whitelist model: deny all → allow only required flows |
| Use tags/labels |
Dynamic grouping ด้วย tags (environment, tier, compliance) |
| Phased rollout |
Phase 1: monitor → Phase 2: alert → Phase 3: enforce |
| Automate |
Integrate กับ CI/CD → auto-create policies เมื่อ deploy apps |
| Monitor continuously |
Monitor policy violations + flow logs + compliance drift |
ทิ้งท้าย: Micro-segmentation = Zero Trust in Data Center
Network Segmentation VLAN/VRF = traditional, Micro-seg = per-workload policies ACI: EPGs + Contracts (policy-based, Nexus 9000 fabric) NSX: Distributed Firewall (per-VM, kernel-level, any hardware) Start with visibility → application mapping → default deny → enforce ACI = physical+virtual fabric, NSX = overlay on any hardware
อ่านเพิ่มเติมเกี่ยวกับ EVPN-VXLAN Fabric และ Zero Trust ZTNA ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
