鄧成俊，高 潔

(1.重慶電力高等專科學(xué)校，重慶 400053；2.重慶南岸區(qū)教師進(jìn)修學(xué)院，重慶 400060)

數(shù)據(jù)中心借助于整合、監(jiān)控和管理儲(chǔ)備設(shè)備、計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備等資源的方式，為諸多用戶提供平臺(tái)、網(wǎng)絡(luò)等一整套的設(shè)施，其在為學(xué)校專用的同時(shí)可以為多用戶共享。伴隨近年來數(shù)據(jù)中心規(guī)模的不斷擴(kuò)大，學(xué)校為實(shí)現(xiàn)有效提高資源利用率以及降低運(yùn)營成本兩方面的目的，將虛擬化技術(shù)運(yùn)用到數(shù)據(jù)中心的構(gòu)建中，為清楚感知虛擬機(jī)網(wǎng)絡(luò)流量并把握虛擬化后的網(wǎng)絡(luò)邊界，學(xué)術(shù)界已經(jīng)就相關(guān)技術(shù)提出了針對性的解決方法。

1 現(xiàn)狀分析

傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)構(gòu)建的最小單位是單臺(tái)主機(jī)設(shè)備，其主要由核心層、匯聚層以及接入層作為抽象架構(gòu)，將網(wǎng)絡(luò)安全設(shè)備部署在匯聚層，采用邊界防護(hù)、安全域劃分等方式為網(wǎng)絡(luò)安全提供保障[1]。近年來，服務(wù)器虛擬化技術(shù)得到進(jìn)一步發(fā)展，伴隨著發(fā)展數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化應(yīng)運(yùn)而生，分析其原因主要是：其一，將數(shù)十臺(tái)的虛擬機(jī)部署于單臺(tái)宿主服務(wù)器上，由于此類虛擬機(jī)上存在網(wǎng)絡(luò)拓?fù)?，因而需要輔助于外部網(wǎng)絡(luò)才能開展訪問工作；其二，數(shù)據(jù)中心服務(wù)器以千萬臺(tái)進(jìn)行計(jì)算且在數(shù)據(jù)中心內(nèi)部呈現(xiàn)多流量發(fā)生情況，因而需要更多網(wǎng)絡(luò)接口和網(wǎng)絡(luò)寬帶；其三，從一臺(tái)宿主服務(wù)器上動(dòng)態(tài)遷移虛擬機(jī)到另一臺(tái)宿主服務(wù)器，期間不僅需要保障不中斷的會(huì)話狀態(tài)而且需要保持不中斷的IP地址[2]。

正因?yàn)樯鲜鲈虻拇嬖?，對?shù)據(jù)中心網(wǎng)絡(luò)虛擬技術(shù)的發(fā)展具有顯著的推動(dòng)作用。就目前數(shù)據(jù)中心虛擬化技術(shù)發(fā)展而言，其主要呈現(xiàn)出以下三方面的發(fā)展態(tài)勢：其一，網(wǎng)絡(luò)功能從服務(wù)器外圍向宿主服務(wù)器內(nèi)部滲透，主要借助于將軟件形態(tài)虛擬交換機(jī)運(yùn)用到宿主服務(wù)器上的方式實(shí)現(xiàn)，其主要目的在于滿足虛擬機(jī)聯(lián)網(wǎng)方面的需要；其二，數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)朝著組成二層網(wǎng)絡(luò)構(gòu)架方面發(fā)展(千兆/萬兆接入層、萬兆/十萬兆核心層)，主要是因?yàn)閭鹘y(tǒng)三層網(wǎng)絡(luò)架構(gòu)配置不僅具有復(fù)雜性的特點(diǎn)而且具有高延遲性的特點(diǎn)，因而目前的虛擬機(jī)現(xiàn)狀已無法滿足同聯(lián)的需要；其三，動(dòng)態(tài)遷移虛擬機(jī)的不同宿主服務(wù)器具有靈活性，即可以是跨數(shù)據(jù)中心也可以是不跨數(shù)據(jù)中心，故需在數(shù)據(jù)、快數(shù)據(jù)中心部署二層網(wǎng)絡(luò)[3]。

2 邊界感知安全技術(shù)的發(fā)展趨勢

網(wǎng)絡(luò)虛擬化技術(shù)作為數(shù)據(jù)中心虛擬化的一個(gè)方面，盡管其起步較晚，但目前尚處在加快發(fā)展的階段，故高度重視學(xué)校數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化環(huán)境中的邊界感知安全技術(shù)具有重要意義[4]。建立在網(wǎng)絡(luò)技術(shù)之上的網(wǎng)絡(luò)安全技術(shù)，受到不成熟的網(wǎng)絡(luò)虛擬化技術(shù)的制約，在一定程度上造成了網(wǎng)絡(luò)安全部署方案中的模糊情況出現(xiàn)。在今后的發(fā)展過程中，數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化以及安全性呈現(xiàn)以下4種發(fā)展趨勢。

其一，進(jìn)一步簡化協(xié)議。現(xiàn)今，主要是在網(wǎng)絡(luò)基礎(chǔ)上開展數(shù)據(jù)中心虛擬化技術(shù)擴(kuò)展的工作，因而為了數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化的安全提出諸多保障兼容性的協(xié)議具有重要意義。目前，有關(guān)兼容性協(xié)議方面的需求已經(jīng)呈現(xiàn)出不斷減少的趨勢，主要是受到網(wǎng)絡(luò)構(gòu)建不斷簡化以及網(wǎng)絡(luò)設(shè)備不斷更新的影響。

其二，標(biāo)準(zhǔn)化協(xié)議。在當(dāng)前的時(shí)代大背景下，各大廠商為了能夠在市場中搶占話語權(quán)，不僅提出了技術(shù)方案，還提出了諸多問題的解決方案，而此類方案多采用專有協(xié)議的方式，具有互不兼容的特點(diǎn)。一方面導(dǎo)致了用戶難以選擇的情況出現(xiàn)，另一方面導(dǎo)致了網(wǎng)絡(luò)難以擴(kuò)展的情況出現(xiàn)[5]。在擴(kuò)建數(shù)據(jù)中心網(wǎng)絡(luò)的過程中應(yīng)不斷增強(qiáng)各廠商產(chǎn)品互通的需求，進(jìn)而實(shí)現(xiàn)專有協(xié)議開放化和標(biāo)準(zhǔn)化的目標(biāo)。

其三，獨(dú)立化的網(wǎng)絡(luò)安全。目前，在數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化協(xié)議中主要呈現(xiàn)出兩種趨勢，即不斷成熟與不斷開放，其不僅在物理網(wǎng)絡(luò)安全方面的安全部署存在立足依據(jù)，而且在虛擬網(wǎng)絡(luò)安全部署上有了立足的依據(jù)。目前，數(shù)據(jù)中心網(wǎng)絡(luò)安全業(yè)務(wù)、網(wǎng)絡(luò)虛擬化、服務(wù)器虛擬化三者之間亦可以開展獨(dú)立的工作，即已不再是之前的緊耦合關(guān)系。

其四，融合并發(fā)展邊界感知安全技術(shù)。近年來，數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化得到了廣泛的運(yùn)用，其中邊界性感知安全技術(shù)便是其關(guān)鍵之一，在不同的層面，邊界感知技術(shù)作為一個(gè)整體方式主要借助于標(biāo)準(zhǔn)化協(xié)議接口予以融合，其后構(gòu)建一個(gè)具有全方位性的邊界感知機(jī)制[6]。

3 應(yīng)用介紹

本次應(yīng)用將借助戴爾統(tǒng)一計(jì)算的解決方案運(yùn)用到數(shù)據(jù)中心的公共服務(wù)虛擬化共享平臺(tái)(見圖1)，選擇由戴爾PowerEdge M1000e系列刀箱，配備8塊全高尺寸刀片服務(wù)器PowerEdgeM910，每塊大刀片服務(wù)器配置4×Intel(R) Xeon(R) CPU E7- 4820 @ 2.00 GHz，每個(gè)CPU內(nèi)核數(shù)達(dá)32個(gè)CPU×1.994 GHz，單塊刀片服務(wù)器內(nèi)存容量達(dá)256 GB。戴爾PowerEdge系列刀片服務(wù)器基于 Intel?Xeon?處理器，憑借對虛擬應(yīng)用和非虛擬應(yīng)用的支持，該服務(wù)器可幫助您提高性能、能源效率、靈活性和管理員工作效率。刀片服務(wù)器組成服務(wù)器的部分，并統(tǒng)一由Dell OpenManageTM管理器管理刀片服務(wù)器硬件。虛擬軟件則選用vmware v Sphere虛擬化平臺(tái)，所有虛擬機(jī)和系統(tǒng)的集中管理則采用v Center進(jìn)行。

圖1 虛擬化部署

數(shù)據(jù)中心刀片公共服務(wù)虛擬化平臺(tái)網(wǎng)絡(luò)(見圖2)配備戴爾光纖交換機(jī)(M5424光纖交換機(jī))和戴爾48口千兆交換機(jī)(M6348網(wǎng)絡(luò)交換機(jī))。因刀片服務(wù)器每塊配備4個(gè)千兆網(wǎng)絡(luò)接口，故對網(wǎng)絡(luò)交換機(jī)根據(jù)刀片服務(wù)器應(yīng)用情況采取不同配置，如：G/0/1-8口配置為刀片服務(wù)器1-8第1網(wǎng)絡(luò)接口，G0/9-16口配置為刀片服務(wù)器1-8第3網(wǎng)口，G0/17-24口配置為刀片服務(wù)器第2網(wǎng)口，G0/25-32口配置為刀片服務(wù)器1-8第4網(wǎng)口,G0/33-34接M1000e刀箱，G0/37-38接DELL3600F存儲(chǔ)設(shè)備，G0/47-48做網(wǎng)絡(luò)核心交換機(jī)，從而實(shí)現(xiàn)虛擬刀片服務(wù)器的網(wǎng)絡(luò)架構(gòu)。

圖2 公共服務(wù)平臺(tái)網(wǎng)絡(luò)部署

網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)配置部分節(jié)選如下：

configure

vlan database

vlan 3,5,105-106

vlan routing 1 1

vlan routing 5 2

exit

interface out-of-band

ip address 192.168.253.120 255.255.255.224 192.168.253.97

exit

interface vlan 1

ip address 1.2.3.4 255.255.255.0

exit

interface vlan 5

exit

interface Gi1/0/1

switchport access vlan 3

exit

interface Gi1/0/17

switchport access vlan 104

exit

interface Gi1/0/9

switchport access vlan 104

exit

interface Gi1/0/25

switchport access vlan 105

exit

interface Gi1/0/33

switchport access vlan 5

exit

interface Gi1/0/37

interface Gi1/0/47

channel-group 1 mode on

exit

interface Gi1/0/48

channel-group 1 mode on

exit

同時(shí)，將物理設(shè)備處理虛擬機(jī)流量技術(shù)和軟件定義網(wǎng)絡(luò)技術(shù)運(yùn)用在數(shù)據(jù)中心的公共服務(wù)虛擬共享平臺(tái)。為開展統(tǒng)一交換工作需要將流量引入外部物理交換設(shè)備中，借助VN-TAG技術(shù)為虛擬機(jī)設(shè)置獨(dú)立的網(wǎng)卡，為實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化邊界的感知可以采用分布及交換技術(shù)進(jìn)行。為保障動(dòng)態(tài)遷移所有虛擬機(jī)可以借助于一同遷移虛機(jī)端口策略的方式實(shí)現(xiàn)。此外，為能夠促使虛擬機(jī)在高流量工作的時(shí)候自動(dòng)嵌入具有更為豐富資源的網(wǎng)絡(luò)服務(wù)器中，還可以通過管理員借助自動(dòng)化策略的方式予以實(shí)現(xiàn)。

4 結(jié)語

近年來，不斷擴(kuò)大的數(shù)據(jù)中心規(guī)模一方面可以滿足提高學(xué)校資源利用率的目的，另一方面可以滿足降低學(xué)校運(yùn)營成本的目的，許多學(xué)校將虛擬化技術(shù)運(yùn)用到數(shù)據(jù)中心的構(gòu)建中。為清楚感知虛擬機(jī)網(wǎng)絡(luò)流量并把握虛擬化后的網(wǎng)絡(luò)邊界，學(xué)術(shù)界已經(jīng)就相關(guān)技術(shù)提出了針對性的解決方法。數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化伴隨服務(wù)器虛擬化技術(shù)的發(fā)展出現(xiàn)，對大量數(shù)據(jù)信息進(jìn)行處理和保存，是學(xué)校數(shù)據(jù)中心的重要工作，所以數(shù)據(jù)中心的安全性需要得到高度的重視，其中一個(gè)關(guān)鍵環(huán)節(jié)在于網(wǎng)絡(luò)的安全。目前快速發(fā)展的數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化技術(shù)進(jìn)一步促使網(wǎng)絡(luò)邊界朝著宿主服務(wù)器內(nèi)部深入，網(wǎng)絡(luò)虛擬邊界感知安全技術(shù)可為實(shí)現(xiàn)全面監(jiān)管網(wǎng)絡(luò)提供幫助。