引言

    數(shù)據中心虛擬化的基礎網絡技術趨勢，延續(xù)了傳統(tǒng)數(shù)據中心性能、安全、永續(xù)的基礎需求，而且進一步簡化網絡架構，更有力地支撐應用層面虛擬化，降低運維復雜度，提高靈活性。

1 網絡虛擬化

    網絡虛擬化技術也隨著數(shù)據中心業(yè)務要求有不同的形式。多種應用承載在一張物理網絡上，通過網絡虛擬化分割(稱為縱向分割)功能使得不同企業(yè)機構相互隔離，但可在同一網絡上訪問自身應用，從而實現(xiàn)了將物理網絡進行邏輯縱向分割虛擬化為多個網絡；多個網絡節(jié)點承載上層應用，基于冗余的網絡設計帶來復雜性，而將多個網絡節(jié)點進行整合(稱為橫向整合)，虛擬化成一臺邏輯設備，提升數(shù)據中心網絡可用性、節(jié)點性能的同時將極大簡化網絡架構。

2 網絡虛擬化——縱向分割

    如果把一個企業(yè)網分成多個不同的子網絡使用不同的規(guī)則和控制，用戶就可以充分利用基礎網絡的虛擬化路由功能，而不是部署多套網絡來實現(xiàn)這種隔離機制。網絡虛擬化概念并不是什么新概念，因為多年來，虛擬局域網(VLAN)技術作為基礎隔離技術已經廣泛應用。當前在交換機網絡上通過VLAN來區(qū)分不同業(yè)務網段，配合防火墻等安全產品劃分安全區(qū)域，是數(shù)據中心基本設計內容之一。

    出于將多個邏輯網絡隔離、整合的需要，VLAN、MPLS，VPN、MuITi．VRF技術在路由環(huán)境下實現(xiàn)了網絡訪問的隔離，虛擬化分割的邏輯網絡內部有獨立的數(shù)據通道。終端用戶和上層應用均不會感知其他它邏輯網絡的存在。但在每個邏輯網絡內部，仍然存在安全控制需求，對數(shù)據中心而言，訪問數(shù)據流從外部進入數(shù)據中心，則表明了數(shù)據在不同安全等級的區(qū)域之間流轉，因此，有必要在網絡上提供邏輯網絡內的安全策略，而不同邏輯網絡的安全策略有各自獨立的要求。虛擬化安全技術，將一臺安全設備可分割成若干臺邏輯安全設備(成為多個實例)，從而很好地滿足了虛擬化的深度強化安全要求。

    虛擬化網絡與虛擬化安全的整體結合，通道化設計，構成了完整的數(shù)據中心基礎網絡架構。

3 網絡虛擬化——橫行整合

    數(shù)據中心是企業(yè)IT架構的核心領域，不論是服務器部署、網絡架構設計都做到精細入微。因此，傳統(tǒng)上的數(shù)據中心網絡架構由于多層結構、安全區(qū)域、安全等級、策略部署、路由控制、VLAN劃分、二層環(huán)路、冗余設計等諸多因素，導致網絡結構比較復雜，使得數(shù)據中心基礎網絡的運維管理難度較高。

    使用虛擬化技術(例如Cisco的VSS、華為的CSS、H3C的IRF2等虛擬化技術)，用戶可以將多臺設備連接，“橫向整合”起來組成一個“聯(lián)合設備”。并將這些設備看作單一設備進行管理和使用。多個盒式設備整合類似于一臺機架式設備，多臺框式設備的整合相當于增加了槽位，虛擬化整合后的設備組成了一個邏輯單元，在網絡中表現(xiàn)為一個網元節(jié)點，管理簡單化、配置簡單化，可跨設備鏈路聚合，極大地簡化網絡架構，同時進一步增強冗余可靠性。

    網絡虛擬交換技術為數(shù)據中心建設提供了一個新標準，定義了新一代網絡架構，使得各種數(shù)據中心的基礎網絡都能夠使用這種靈活的架構，能夠幫助企業(yè)在構建永續(xù)和高度可用的狀態(tài)化網絡的同時，優(yōu)化網絡資源的使用。

    在虛擬化架構上，通過OAA集成虛擬化安全，使得傳統(tǒng)網絡中離散的安全控制點被整合進來，進一步強化并簡化了基礎網絡安全，網絡虛擬化技術將在數(shù)據中心端到端總體設計中發(fā)揮重要作用。

    虛擬化數(shù)據中心網絡架構與傳統(tǒng)的網絡設計相比，提供了多項顯著優(yōu)勢。

    運營管理簡化：數(shù)據中心全局網絡虛擬化能夠提高運營效率。虛擬化的每一層交換機組被邏輯化為單管理點，包括配置文件和單一網關IP地址，無需VRRP。整體無環(huán)設計：跨設備的鏈路聚合創(chuàng)建了簡單的無環(huán)路拓撲結構，不再依靠生成樹協(xié)議(STP)。虛擬交換組內部經由多個萬兆互聯(lián)，在總體設計方面提供了靈活的部署能力。

    進一步提高可靠性：虛擬化能夠優(yōu)化不問斷通信，在一個虛擬交換機成員發(fā)生故障時，不再需要進行L2／L3重收斂，能快速實現(xiàn)確定性虛擬交換機的恢復。安全整合：安全虛擬化在于將多個高性能安全節(jié)點虛擬化為一個邏輯安全通道，安全節(jié)點之間實現(xiàn)同步狀態(tài)化信息，從而在一個物理安全節(jié)點故障時另一個節(jié)點能夠無縫接管任務。

    安全整合的進一步表現(xiàn)為OAA架構下，虛擬化設備與安全模塊之間仍然延續(xù)了此虛擬化能力，使得整個數(shù)據中心基礎網絡具有非常簡捷的架構。

4 端到端虛擬化

    數(shù)據中心虛擬化技術給上層應用帶來了極大的靈活性支持，也在很大程度上對數(shù)據中心運營提供了簡化。數(shù)據中心容納了企業(yè)的多種應用，計算層虛擬化技術使得應用與具體物理服務器之間沒有完全固定的映射關系。

    計算資源池化的結果是數(shù)據中心高密虛擬機，而由于對計算機資源的動態(tài)調整，要求虛擬機可以在物理服務器之間遷移，并且要求遷移網絡是二層連接性的�；�于極大簡化數(shù)據中心的二層互聯(lián)設計， 與傳統(tǒng)MSTP+VRRP設計不同，使用網絡虛擬化技術能在更短時問內完成確定性L2鏈路恢復，同時不影響L3鏈路。虛擬化能夠在網絡各層橫向擴展，有利于數(shù)據中心的規(guī)模增大，設計更簡單，完全不影響網絡管理拓撲，基于虛擬化技術的二層網絡在保證HA的同時，消除了網絡環(huán)路。便于更大范圍的虛擬機遷移。

    業(yè)務連接性是企業(yè)IT運營的關鍵。目前基于容災、負載分擔的多數(shù)據中心是企業(yè)建設數(shù)據中心，保證業(yè)務連接性的重要話題。集群互聯(lián)是關鍵應用連續(xù)性設計的主要技術(服務器集群也是計算虛擬化的技術)，目前在同一數(shù)據中心內實現(xiàn)集群不是難事，一般的集群(Microsof MSCS、Veritas Cluster Server(Loca1)、Solaris SunCluster EntERPrise、Oracle RAC (RealApp1．Cluster)、HPM C／ServiceGuard、HP Nobstop、IBM HACMP／HAGEO 、EMS／Legato Automated Availability Mgr)以二層連接為主。但業(yè)務連續(xù)性要求跨數(shù)據中心的集群連接，傳統(tǒng)的網絡技術支撐要做到可能性與可靠性，必然帶來復雜性，從而難以運營。而基于虛擬化網絡的二層連接，簡單地將集群擴展到多個數(shù)據中心，從而帶來了應用設計上更大的靈活性。

    對企業(yè)而言，由于應用訪問控制需求，在虛擬機之間實現(xiàn)隔離，在不同用戶群之間實現(xiàn)隔離，對不同資源獨立的安全策略，對存儲資源訪問的隔離(以及異構存儲的虛擬化整合)，在客戶終端、數(shù)據中心形成了虛擬化的資源分離通道。這種虛擬化通道在用戶接入層進行認證控制、在網絡層進行虛擬化分離、基礎安全基于OAA集成的面向不同通道的獨立策略控制、在虛擬機之間隔離、存儲通道分離、在不同資源類型之間存在公共標準化接口，通道化虛擬隔離強化了數(shù)據中心對外提供服務的安全策略。

5 結束語

    當前數(shù)據中心建設不斷發(fā)展，虛擬化成為基礎技術。虛擬化網絡技術是實現(xiàn)虛擬化數(shù)據中心網絡的關鍵技術，OAA將成為虛擬化網絡安全的關鍵集成。隨著應用的整合越來越強烈，對數(shù)據中心的資源進行虛擬化是當前的主要趨勢，也是當前IT業(yè)內最為令人關注的技術領域。

轉載請注明出處：拓步ERP資訊網http://www.oesoe.com/

本文標題：數(shù)據中心安全網絡虛擬化

本文網址：http://www.oesoe.com/html/support/1112157662.html