引言

    數(shù)據(jù)中心是通過對(duì)大量計(jì)算機(jī)、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備、系統(tǒng)應(yīng)用等資源進(jìn)行整合、監(jiān)控、管理，從而為多用戶提供集中的平臺(tái)、計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、應(yīng)用等服務(wù)的一整套設(shè)施，可以是企業(yè)專有，也可以是多租戶共享。作為各種關(guān)鍵信息保存、處理的樞紐，數(shù)據(jù)中心的安全必須得到確保，其中網(wǎng)絡(luò)安全是一個(gè)重要的方面。

    近年來，隨著數(shù)據(jù)中心規(guī)模的不斷擴(kuò)大，為了提高資源利用率、降低成本、便于管理和增強(qiáng)安全可用性，越來越多的企業(yè)在數(shù)據(jù)中心構(gòu)建中采用虛擬化技術(shù)，包括服務(wù)器虛擬化、存儲(chǔ)虛擬化和網(wǎng)絡(luò)虛擬化等。數(shù)據(jù)中心虛擬化給網(wǎng)絡(luò)架構(gòu)帶來的改變包括網(wǎng)絡(luò)規(guī)模擴(kuò)大、更高的網(wǎng)絡(luò)帶寬需求、網(wǎng)絡(luò)設(shè)備利用率提高、傳統(tǒng)網(wǎng)絡(luò)邊界的消失、系統(tǒng)管理員與網(wǎng)絡(luò)管理員職責(zé)模糊等等。上述變化對(duì)于傳統(tǒng)的邊界網(wǎng)絡(luò)安全設(shè)備而言，意味著成本的提高和監(jiān)管力度的降低。為了更清楚地感知虛擬機(jī)網(wǎng)絡(luò)流量、把握虛擬化后的網(wǎng)絡(luò)邊界、進(jìn)行安全管控，業(yè)界和學(xué)術(shù)界均有技術(shù)和解決方案提出。本文將上述技術(shù)分為虛機(jī)態(tài)網(wǎng)絡(luò)安全設(shè)備技術(shù)、物理設(shè)備處理虛機(jī)流量技術(shù)（VN Tag和VEPA）和軟件定義網(wǎng)絡(luò)技術(shù)（基于OpenFlow）三個(gè)方面，并對(duì)這些技術(shù)進(jìn)行了深入的研究和探討。

1 數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化技術(shù)現(xiàn)狀

    傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)以單臺(tái)主機(jī)設(shè)備為最小單位進(jìn)行構(gòu)建，架構(gòu)可以抽象為接入層、匯聚層和核心層三個(gè)層次。網(wǎng)絡(luò)安全的確保主要采取安全域劃分、邊界防護(hù)的方式，網(wǎng)絡(luò)安全設(shè)備主要部署在匯聚層，如圖1所示。服務(wù)器虛擬化技術(shù)使得單臺(tái)宿主服務(wù)器上能夠運(yùn)行多臺(tái)虛擬機(jī)。近年來，基于x86架構(gòu)的服務(wù)器虛擬化技術(shù)不斷發(fā)展，應(yīng)用不斷深入。市場(chǎng)研究公司Gartner的報(bào)告表明2008年，18％的服務(wù)器工作負(fù)載已經(jīng)虛擬化，到2012年，這個(gè)數(shù)字將達(dá)到50％，到2016年，80％的x86架構(gòu)服務(wù)器工作負(fù)載會(huì)運(yùn)行在虛擬機(jī)上。

    數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化需求是伴隨著服務(wù)器虛擬化的發(fā)展、應(yīng)用而產(chǎn)生的，主要原因有：

    （1）單臺(tái)宿主服務(wù)器上部署幾十臺(tái)虛擬機(jī)，這些虛擬機(jī)間有一定的網(wǎng)絡(luò)拓?fù)洌�并且通常都需要�?duì)外部網(wǎng)絡(luò)進(jìn)行訪問。

    （2）數(shù)據(jù)中心服務(wù)器規(guī)模多以千、萬臺(tái)計(jì)算，并且多數(shù)流量發(fā)生在數(shù)據(jù)中心內(nèi)部（據(jù)Gartner預(yù)測(cè)，到2014年，數(shù)據(jù)中心網(wǎng)絡(luò)流量的80％是東西向的），因此需要更高的網(wǎng)絡(luò)帶寬和更多的網(wǎng)絡(luò)接口。

    （3）將虛擬機(jī)從一臺(tái)宿主服務(wù)器向另一臺(tái)宿主服務(wù)器進(jìn)行動(dòng)態(tài)遷移時(shí)，需要保持IP地址、會(huì)話狀態(tài)以保證業(yè)務(wù)不中斷，因此虛擬機(jī)遷移要在二層網(wǎng)絡(luò)中進(jìn)行。

圖1　傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)及安全

    上述原因推動(dòng)著數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化技術(shù)的發(fā)展：（1）為了滿足虛擬機(jī)連網(wǎng)的需求，網(wǎng)絡(luò)功能已經(jīng)由服務(wù)器外圍滲透到宿主服務(wù)器內(nèi)部，可以在宿主服務(wù)器上運(yùn)行軟件形態(tài)的虛擬交換機(jī)，相關(guān)技術(shù)有VMware的vSwitch、分布式vSwitch和Cisco的Nexus1000v等；也可以將所有的虛擬機(jī)的網(wǎng)絡(luò)流量送至宿主服務(wù)器之外，由外部的物理交換機(jī)進(jìn)行處理，相關(guān)技術(shù)包括Cisco的VN�睺ag和HP的VEPA。這些技術(shù)部署在虛擬平臺(tái)層或接入層。（2）傳統(tǒng)的三層網(wǎng)絡(luò)架構(gòu)配置復(fù)雜、轉(zhuǎn)發(fā)延遲較高、百兆接入層帶寬已經(jīng)不能滿足多臺(tái)虛擬機(jī)同時(shí)聯(lián)網(wǎng)的需求，因而數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)開始向由千兆／萬兆接入層和萬兆／十萬兆核心層組成的二層網(wǎng)絡(luò)架構(gòu)發(fā)展，如圖2所示。（3）虛擬機(jī)的動(dòng)態(tài)遷移可能是跨數(shù)據(jù)中心的不同宿主服務(wù)器，也可能是跨不同的數(shù)據(jù)中心，因此為了正確、靈活地實(shí)現(xiàn)虛擬機(jī)動(dòng)態(tài)遷移，需要在數(shù)據(jù)中心以及跨數(shù)據(jù)中心實(shí)現(xiàn)二層網(wǎng)絡(luò)的部署。單一數(shù)據(jù)中心內(nèi)的二層網(wǎng)絡(luò)實(shí)現(xiàn)技術(shù)主要包括上述的分布式vSwitch，將多臺(tái)交換機(jī)集成為一臺(tái)交換機(jī)的VSS（虛擬交換系統(tǒng)，Cisco的專有技術(shù)）和IRF（智能彈性架構(gòu)，H3C的專有技術(shù)），以及實(shí)現(xiàn)二層多路徑轉(zhuǎn)發(fā)的TRILL（多鏈路透明互聯(lián)，IETF提出）和SPB（最短路徑橋接，IEEE提出，802．1aｑ標(biāo)準(zhǔn)），這些技術(shù)部署在接入層或核心層；跨數(shù)據(jù)中心的二層網(wǎng)絡(luò)實(shí)現(xiàn)技術(shù)主要包括在IP網(wǎng)絡(luò)上建立隧道的OTV（覆蓋傳輸虛擬化，Cisco的專有技術(shù)）和VL�睱oGRE／VPLSoGRE（H3C的開放標(biāo)準(zhǔn)），以及MPLS網(wǎng)絡(luò)上的VLL／VPLS技術(shù)，這些技術(shù)部署在核心層。

圖2　數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化及實(shí)現(xiàn)技術(shù)架構(gòu)

2 數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化影響分析

    數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化技術(shù)一方面滿足了數(shù)據(jù)中心虛擬化大趨勢(shì)下各種資源互聯(lián)、虛擬機(jī)動(dòng)態(tài)遷移、服務(wù)器集群構(gòu)建等的需求，另一方面也給一些傳統(tǒng)的數(shù)據(jù)中心業(yè)務(wù)（特別是安全）帶來了一定的影響，這些影響進(jìn)一步推動(dòng)著網(wǎng)絡(luò)虛擬化技術(shù)和其他相關(guān)技術(shù)的發(fā)展，簡(jiǎn)要分析如下：

    （1）為了實(shí)現(xiàn)虛擬機(jī)聯(lián)網(wǎng)，通常在服務(wù)器虛擬化平臺(tái)的VMM（虛擬機(jī)監(jiān)控器）上運(yùn)行軟件形態(tài)的網(wǎng)橋或交換機(jī)，例如VMware的vSwitch、分布式vSwitch、Xen的網(wǎng)橋等，這種方法被稱為VEB（虛擬以太網(wǎng)橋）。軟件形態(tài)的虛擬交換機(jī)的下行端口與虛擬機(jī)的虛擬網(wǎng)卡相連，上行端口與宿主服務(wù)器的物理網(wǎng)卡相連，轉(zhuǎn)發(fā)功能與物理的二層交換機(jī)基本相同，即同一虛擬交換機(jī)端口組的虛擬機(jī)間的網(wǎng)絡(luò)流量由虛擬交換機(jī)轉(zhuǎn)發(fā)，不流出宿主服務(wù)器，而其他網(wǎng)絡(luò)流量發(fā)往宿主服務(wù)器外部的物理交換機(jī)轉(zhuǎn)發(fā)。軟件交換機(jī)的優(yōu)點(diǎn)是實(shí)現(xiàn)簡(jiǎn)單、使用靈活、節(jié)約物理設(shè)備成本、宿主機(jī)內(nèi)轉(zhuǎn)發(fā)速度快，但同時(shí)也存在不足，包括消耗宿主服務(wù)器資源，缺少對(duì)流量統(tǒng)計(jì)、端口安全、ACL、QoS支持，因此不能很好地實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)管。

    （2）網(wǎng)絡(luò)虛擬化技術(shù)使得網(wǎng)絡(luò)邊緣向宿主服務(wù)器內(nèi)部延伸，部分虛擬機(jī)間的流量可以由虛擬交換機(jī)轉(zhuǎn)發(fā)而不流經(jīng)外部的網(wǎng)絡(luò)設(shè)備，傳統(tǒng)的邊界網(wǎng)絡(luò)安全設(shè)備，例如防火墻、IPS、UTM等不能全面了解宿主服務(wù)器內(nèi)部的網(wǎng)絡(luò)拓?fù)洌瑹o法對(duì)宿主服務(wù)器內(nèi)部轉(zhuǎn)發(fā)的網(wǎng)絡(luò)流量進(jìn)行有效地監(jiān)管。

    （3）虛擬交換機(jī)屬于網(wǎng)絡(luò)的范疇，然而由于其管理工具與服務(wù)器虛擬化工具集成，多由系統(tǒng)管理員來設(shè)置，造成系統(tǒng)管理員與網(wǎng)絡(luò)管理員職責(zé)模糊，容易出問題，并且出問題后難于追責(zé)。

    總的來說，上述影響產(chǎn)生的原因在于傳統(tǒng)的邊界網(wǎng)絡(luò)（安全）設(shè)備無法深入到宿主服務(wù)器內(nèi)部對(duì)延伸的網(wǎng)絡(luò)邊界進(jìn)行深度掌控，造成監(jiān)管力度降低。為了解決這一問題，業(yè)界和學(xué)術(shù)界均提出了技術(shù)和解決方案，本文稱之為邊界感知安全技術(shù)，并分為三類進(jìn)行深入探討。

3 網(wǎng)絡(luò)虛擬化邊界感知安全技術(shù)

    3．1 虛機(jī)態(tài)網(wǎng)絡(luò)安全設(shè)備技術(shù)

    虛機(jī)態(tài)網(wǎng)絡(luò)安全設(shè)備是指?jìng)鹘y(tǒng)的硬件網(wǎng)絡(luò)安全設(shè)備（防火墻、IPS、UTM、防病毒網(wǎng)關(guān)等）由運(yùn)行在服務(wù)器虛擬化平臺(tái)上的虛擬機(jī)實(shí)現(xiàn)，用于監(jiān)控其他虛擬機(jī)間的網(wǎng)絡(luò)流量。虛機(jī)態(tài)安全設(shè)備的功能與硬件設(shè)備完全一致，部署方式采用透明模式、路由模式或混合模式。虛機(jī)態(tài)網(wǎng)絡(luò)安全設(shè)備適用于公共數(shù)據(jù)中心多租戶的情況，用戶需要采用私有設(shè)備來保護(hù)自己的網(wǎng)絡(luò)，可以隨需獲取、自主配置。基于軟件實(shí)現(xiàn)的靈活性，虛機(jī)態(tài)網(wǎng)絡(luò)安全設(shè)備可以支持任意的網(wǎng)絡(luò)拓?fù)洌瑢?duì)任意虛擬機(jī)間的網(wǎng)絡(luò)流量進(jìn)行深度監(jiān)控。

    現(xiàn)有的虛機(jī)態(tài)網(wǎng)絡(luò)安全設(shè)備產(chǎn)品有美國Fortinet公司的虛擬系列（FortiGateVM、FortiManagerVM、FortiAnalyzerVM、Forti�睲ailVM）和國內(nèi)網(wǎng)御星云的虛擬安全網(wǎng)關(guān)系列（Leadsec�瞯FW、Leadsec�瞯UTM、Leadsec�瞯IPS、Leadsec�瞯AVG、Leadsec�瞯VPN）。圖3以網(wǎng)御星云的Leadsec�瞯UTM產(chǎn)品為例，給出了一種在VMwareESXi平臺(tái)上部署的示意圖，圖中的部署方式使得Leadsec�瞯UTM能夠?qū)��?yīng)用服務(wù)器1／2與應(yīng)用服務(wù)器3／4間的網(wǎng)絡(luò)流量進(jìn)行深入監(jiān)控，監(jiān)控對(duì)象需要跨端口組。

圖3 一種Leadsec vUTM在VMwareESXi上部署的示意圖

    3．2 物理設(shè)備處理虛機(jī)流量技術(shù)

    與上述將網(wǎng)絡(luò)安全向宿主服務(wù)器內(nèi)滲透的思路不同，物理設(shè)備處理虛機(jī)流量技術(shù)則是要把所有的虛擬機(jī)網(wǎng)絡(luò)流量都發(fā)送到宿主服務(wù)器相連的物理交換機(jī)上進(jìn)行轉(zhuǎn)發(fā)處理，使用外部交換機(jī)上的流量統(tǒng)計(jì)、端口安全、ACL、QoS等功能對(duì)虛擬機(jī)的網(wǎng)絡(luò)流量進(jìn)行有力的監(jiān)控，代表技術(shù)包括Cisco的VN�睺ag和HP的VEPA。

    VN Tag是Cisco的專有技術(shù)，核心是通過在標(biāo)準(zhǔn)以太網(wǎng)幀上添加VN�睺ag標(biāo)簽來標(biāo)識(shí)虛擬機(jī)流量，作為外部物理交換機(jī)尋址轉(zhuǎn)發(fā)的依據(jù)，如圖4所示，其中DVIF＿ID、SVIF＿ID分別代表目的、源虛擬接口，虛擬接口通常與虛擬機(jī)的虛擬網(wǎng)卡相關(guān)聯(lián)。

    VN Tag對(duì)傳統(tǒng)以太網(wǎng)幀的結(jié)構(gòu)進(jìn)行了擴(kuò)展，不與現(xiàn)有網(wǎng)絡(luò)協(xié)議沖突，但是也不被傳統(tǒng)網(wǎng)絡(luò)設(shè)備所支持。目前Cisco支持VN�睺ag技術(shù)的網(wǎng)絡(luò)設(shè)備有服務(wù)器物理網(wǎng)卡（Palo網(wǎng)卡，封裝VN�睺ag標(biāo)簽）、服務(wù)器外接入層交換機(jī)Nexus5000＋Nexus2000。

圖4 VN Tag標(biāo)簽示意圖

    VEPA（虛擬以太網(wǎng)端口匯聚器）是HP提出的技術(shù)，通過在服務(wù)器虛擬化平臺(tái)的VMM上的VEPA模塊將虛擬機(jī)產(chǎn)生的流量全部發(fā)送到相連的物理交換機(jī)上進(jìn)行處理，用MAC地址關(guān)聯(lián)虛擬機(jī)的流量。基于上述模式，VEPA需要解決的一個(gè)問題是當(dāng)相互通信的虛擬機(jī)屬于同一臺(tái)宿主服務(wù)器時(shí)，物理交換機(jī)必須支持?jǐn)?shù)據(jù)包從入口返回的功能，由于會(huì)影響生成樹協(xié)議的運(yùn)行，在傳統(tǒng)交換機(jī)中該功能通常是被禁止的，因此需要對(duì)傳統(tǒng)交換機(jī)進(jìn)行軟件升級(jí)。

    作為對(duì)VEPA技術(shù)的加強(qiáng)，HP又提出了多通道技術(shù)。多通道技術(shù)支持VEB、VEPA和虛擬機(jī)直接輸入輸出三種流量轉(zhuǎn)發(fā)通道，如圖5所示。為了對(duì)三種通道進(jìn)行區(qū)分，需要給數(shù)據(jù)包添加標(biāo)簽。多通道技術(shù)使用了QinQ（802．1ad中定義），也就是在VLAN Tag標(biāo)簽上（802．1q標(biāo)準(zhǔn)）上添加了STag標(biāo)簽，達(dá)到對(duì)通道進(jìn)行區(qū)分的目的。如果相關(guān)的網(wǎng)絡(luò)設(shè)備不支持QinQ處理，也需要進(jìn)行硬件升級(jí)。

圖5　多通道VEPA技術(shù)示意圖

    通過VN�睺ag和VEPA技術(shù)，外圍物理交換機(jī)的流量監(jiān)管、訪問控制等安全功能可以應(yīng)用到虛擬機(jī)上，還可以基于該交換機(jī)旁路部署其他的網(wǎng)絡(luò)安全設(shè)備作進(jìn)一步的管控。

    3．3 軟件定義網(wǎng)絡(luò)技術(shù)（基于OpenFlow）

    基于OpenFlow的軟件定義網(wǎng)絡(luò)（SDN）技術(shù)是斯坦福大學(xué)的CLEAN Slate項(xiàng)目的研究成果之一，近年來獲得學(xué)術(shù)界與工業(yè)界的廣泛關(guān)注，成為一個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化發(fā)展方向。SDN技術(shù)打破了傳統(tǒng)數(shù)據(jù)中心的設(shè)備串聯(lián)、層次復(fù)雜、分散管理、協(xié)議專有、協(xié)議眾多的網(wǎng)絡(luò)部署模式，將網(wǎng)絡(luò)架構(gòu)抽象為三個(gè)層次：應(yīng)用層、控制層和基礎(chǔ)設(shè)施層，如圖6所示。SDN技術(shù)將數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備作為資源池，通過中央控制器統(tǒng)一協(xié)調(diào)，將應(yīng)用層的網(wǎng)絡(luò)功能快速部署到網(wǎng)絡(luò)資源池中，并且相互隔離、按需分配。OpenFlow是SDN架構(gòu)的控制層和基礎(chǔ)設(shè)施層間的第一個(gè)標(biāo)準(zhǔn)通信接口。OpenFlow控制器集中管理網(wǎng)絡(luò)，通過OpenFlow協(xié)議對(duì)OpenFlow交換機(jī)進(jìn)行策略下發(fā)、狀態(tài)監(jiān)控。OpenFlow協(xié)議支持根據(jù)數(shù)據(jù)包的源／目的以太網(wǎng)地址、VLAN標(biāo)識(shí)、VLAN優(yōu)先級(jí)、MPLS標(biāo)簽、MPLS流量類型、源／目的IPv4地址等信息進(jìn)行轉(zhuǎn)發(fā)策略制定，實(shí)現(xiàn)2－4層細(xì)粒度管控。

圖6 基于OpenFlow的SDN技術(shù)架構(gòu)

    目前OpenFlow交換機(jī)包括軟件形態(tài)的開源OpenvSwitch以及HP等各廠商的硬件產(chǎn)品，前者運(yùn)行在服務(wù)器虛擬化平臺(tái)上，在服務(wù)器內(nèi)部處理虛擬機(jī)的流量。

    從安全角度來講，基于OpenFlow的SDN技術(shù)不僅能在虛擬交換機(jī)層面對(duì)虛擬機(jī)流量進(jìn)行細(xì)粒度管控，而且能夠通過交換機(jī)策略配置隨時(shí)隨地部署網(wǎng)絡(luò)安全設(shè)備，并且通過全局管理能力把握網(wǎng)絡(luò)拓?fù)洌�是一種綜合的網(wǎng)絡(luò)虛擬化邊界感知安全技術(shù)。清華大學(xué)的LiveSec架構(gòu)是OpenFlow技術(shù)在安全方面的一個(gè)應(yīng)用，圖7給出了其交互式訪問控制功能的示意圖。

圖7 LiveSec架構(gòu)交互式訪問控制功能示意圖

    3．4 總結(jié)分析

    以上介紹了三類網(wǎng)絡(luò)虛擬化邊界感知安全技術(shù)，表1給出了對(duì)這些技術(shù)的總結(jié)分析。從本質(zhì)上講，這三類技術(shù)分署新形態(tài)安全設(shè)備、新形態(tài)網(wǎng)絡(luò)設(shè)備、新形態(tài)網(wǎng)絡(luò)架構(gòu)三個(gè)不同的層面，因此不是互相替代的關(guān)系，而是一種互補(bǔ)的關(guān)系，隨著數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化的不斷深入，必將進(jìn)一步融合、成熟。

表1　數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化邊界感知安全技術(shù)總結(jié)分析

4 數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化技術(shù)及邊界感知安全技術(shù)發(fā)展趨勢(shì)

    作為數(shù)據(jù)中心虛擬化的一個(gè)方面，網(wǎng)絡(luò)虛擬化技術(shù)起步較晚，還處于快速發(fā)展階段。由于網(wǎng)絡(luò)安全技術(shù)建立在網(wǎng)絡(luò)技術(shù)之上，網(wǎng)絡(luò)虛擬化技術(shù)的不成熟，造成了網(wǎng)絡(luò)安全部署方案的模糊。在今后的發(fā)展中，數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化及安全會(huì)呈現(xiàn)如下發(fā)展趨勢(shì)：

    （1）協(xié)議進(jìn)一步簡(jiǎn)化　目前的數(shù)據(jù)中心虛擬化技術(shù)更多的是在傳統(tǒng)網(wǎng)絡(luò)的基礎(chǔ)上進(jìn)行擴(kuò)展，因此需要提出很多保證兼容性的協(xié)議。隨著網(wǎng)絡(luò)架構(gòu)的簡(jiǎn)化、網(wǎng)絡(luò)設(shè)備的更新，對(duì)這類協(xié)議的需求會(huì)逐步減少。

    （2）協(xié)議標(biāo)準(zhǔn)化　目前，各大廠商為了搶占話語權(quán)，紛紛提出各種技術(shù)和解決方案，往往采用專有協(xié)議，互不兼容，造成用戶難于選擇，網(wǎng)絡(luò)難于擴(kuò)展。數(shù)據(jù)中心的網(wǎng)絡(luò)規(guī)模是不斷擴(kuò)大的，在數(shù)據(jù)中心網(wǎng)絡(luò)的擴(kuò)建中，各廠商產(chǎn)品互通的需求增強(qiáng)，促進(jìn)協(xié)議標(biāo)準(zhǔn)化、開放化。

    （3）網(wǎng)絡(luò)安全獨(dú)立化　隨著數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化協(xié)議的不斷成熟、開放，網(wǎng)絡(luò)安全（包括物理網(wǎng)絡(luò)安全和虛擬網(wǎng)絡(luò)安全）部署也就有了立足之本。數(shù)據(jù)中心網(wǎng)絡(luò)安全業(yè)務(wù)與網(wǎng)絡(luò)虛擬化、服務(wù)器虛擬化等業(yè)務(wù)不再是緊耦合關(guān)系，可以獨(dú)立開展。

    （4）邊界感知安全技術(shù)融合、發(fā)展　隨著數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化的廣泛應(yīng)用，邊界感知安全技術(shù)將成為數(shù)據(jù)中心網(wǎng)絡(luò)安全的關(guān)鍵。不同層面的邊界感知安全技術(shù)將通過標(biāo)準(zhǔn)化協(xié)議接口融合為一個(gè)整體，成為一種全方位的數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化邊界感知機(jī)制。

5 應(yīng)用簡(jiǎn)介

    上海市政務(wù)網(wǎng)的公共服務(wù)虛擬共享平臺(tái)采用了思科統(tǒng)一計(jì)算的解決方案，服務(wù)器部分由思科UCS系列的刀片服務(wù)器組成，并由UCSManager對(duì)刀片服務(wù)器硬件進(jìn)行統(tǒng)一管理；虛擬化軟件使用vｍwarevSphere，由vCenter對(duì)所有系統(tǒng)和虛擬機(jī)進(jìn)行集中管理；網(wǎng)絡(luò)部分配置思科Nexus5000系列交換機(jī)和Nexus1000V分布式虛擬交換機(jī)。系統(tǒng)結(jié)構(gòu)圖如圖8、圖9所示。

圖8

圖9

    上海市政務(wù)網(wǎng)的上述平臺(tái)上，同時(shí)使用了物理設(shè)備處理虛機(jī)流量技術(shù)和軟件定義網(wǎng)絡(luò)技術(shù)。即通過使用VNTAG技術(shù)，為虛機(jī)分配獨(dú)立的網(wǎng)卡，將流量引入到外部物理交換設(shè)備進(jìn)行統(tǒng)一交換；利用Nexus1000V分布式交換機(jī)技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化邊界感知，保證所有虛擬機(jī)在進(jìn)行動(dòng)態(tài)遷移時(shí)，虛機(jī)端口的策略可以一起進(jìn)行遷移，管理員還可以制定自動(dòng)化策略，使虛擬機(jī)在流量高時(shí)自動(dòng)遷徙到網(wǎng)絡(luò)資源更豐富的服務(wù)器上。

6 結(jié)語

    近年來，數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化技術(shù)快速發(fā)展，該技術(shù)使得網(wǎng)絡(luò)邊界向宿主服務(wù)器內(nèi)部延伸，為了實(shí)現(xiàn)全面的網(wǎng)絡(luò)監(jiān)管，網(wǎng)絡(luò)虛擬化邊界感知安全技術(shù)應(yīng)運(yùn)而生。本文將現(xiàn)有的邊界感知安全技術(shù)分為虛機(jī)態(tài)網(wǎng)絡(luò)安全設(shè)備技術(shù)、物理設(shè)備處理虛機(jī)流量技術(shù)（VN Tag和VEPA）和軟件定義網(wǎng)絡(luò)技術(shù)（基于OpenFlow）三類，分別探討了它們?cè)�理、所屬的層面、�?yōu)勢(shì)、不足和應(yīng)用。在未來的數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化發(fā)展中，不同層面的邊界感知安全技術(shù)必將優(yōu)勢(shì)互補(bǔ)，相互融合。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化環(huán)境中邊界感知安全技術(shù)和應(yīng)用

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/1112157898.html