呂君 夏宏雷 朱劍玫

摘要：隨著計(jì)算機(jī)虛擬化技術(shù)的發(fā)展和互聯(lián)網(wǎng)產(chǎn)業(yè)的廣泛推廣。虛擬專用網(wǎng)絡(luò)技術(shù)大大提升了跨網(wǎng)段訪問和傳輸數(shù)據(jù)的便捷性，從而提升了高校實(shí)驗(yàn)教學(xué)的信息化處理能力。將虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用于實(shí)驗(yàn)教學(xué)當(dāng)中去，具有十分重要的研究意義。文章從高校內(nèi)部信息交互、同高校各部門異地辦公需求以及高校師生遠(yuǎn)程教學(xué)等方面討論了虛擬專用網(wǎng)絡(luò)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用，希望能對(duì)高校實(shí)驗(yàn)室網(wǎng)絡(luò)安全管理工作提供一定的參考價(jià)值。

關(guān)鍵詞：虛擬網(wǎng)絡(luò)技術(shù);安全;實(shí)驗(yàn)教學(xué);實(shí)驗(yàn)室;應(yīng)用探索

我校虛擬資源中心利用虛擬化技術(shù)將物理資源進(jìn)行整合，隨著虛擬化技術(shù)發(fā)展步伐的加快，網(wǎng)絡(luò)虛擬化技術(shù)將會(huì)更快的發(fā)展以實(shí)現(xiàn)整個(gè)虛擬化大環(huán)境，如何讓服務(wù)器虛擬化和桌面虛擬化系統(tǒng)安全地應(yīng)用于虛擬化網(wǎng)絡(luò)？如何通過虛擬化技術(shù)提高網(wǎng)絡(luò)資源的利用率，并讓網(wǎng)絡(luò)具有靈活的可擴(kuò)展性和可管理性，這些都是網(wǎng)絡(luò)虛擬化技術(shù)的重點(diǎn)。

一、虛擬資源中心網(wǎng)絡(luò)虛擬化劃分

使用虛擬化技術(shù)后，虛擬資源中心的網(wǎng)絡(luò)需要解決內(nèi)部數(shù)據(jù)同步傳送、備份、虛擬機(jī)遷移的大流量問題。還需要采用統(tǒng)一的交換網(wǎng)絡(luò)減少布線、維護(hù)工作量和擴(kuò)容成本;引入虛擬化技術(shù)之后，在不改變傳統(tǒng)虛擬資源中心網(wǎng)絡(luò)設(shè)計(jì)的物理拓?fù)浜筒季€方式的前提下，可以實(shí)現(xiàn)網(wǎng)絡(luò)協(xié)議各層的橫向整合，形成一個(gè)統(tǒng)一的交換架構(gòu)。目前我校虛擬資源中心網(wǎng)絡(luò)虛擬化從以下三個(gè)方面進(jìn)行部署：

1.核心層網(wǎng)絡(luò)虛擬化：主要指的是虛擬資源中心核心網(wǎng)絡(luò)設(shè)備的虛擬化。它要求核心層網(wǎng)絡(luò)具備超大規(guī)模的數(shù)據(jù)交換能力，以及足夠的萬兆接入能力;提供虛擬機(jī)箱技術(shù)，簡(jiǎn)化設(shè)備管理，提高資源利用率，提高交換系統(tǒng)的靈活性和擴(kuò)展性，為資源的靈活調(diào)度和動(dòng)態(tài)伸縮提供支撐。

2.接入層虛擬化：可以實(shí)現(xiàn)虛擬資源中心接入層的分級(jí)設(shè)計(jì)。根據(jù)虛擬資源中心的走線要求，接入層交換機(jī)要求能夠支持各種靈活的部署方式和新的以太網(wǎng)技術(shù)。

3.虛擬機(jī)網(wǎng)絡(luò)交換：包括物理網(wǎng)卡虛擬化和虛擬網(wǎng)絡(luò)交換機(jī)，在服務(wù)器內(nèi)部虛擬出相應(yīng)的交換機(jī)和網(wǎng)卡功能，虛擬網(wǎng)卡是在一個(gè)物理網(wǎng)卡上虛擬出多個(gè)邏輯獨(dú)立的網(wǎng)卡，使得每個(gè)虛擬網(wǎng)卡具有獨(dú)立的MAC地址、動(dòng)態(tài)IP地址，同時(shí)還可以在虛擬網(wǎng)卡之間實(shí)現(xiàn)一定的流量調(diào)度策略。

二、網(wǎng)絡(luò)如何傳遞數(shù)據(jù)和IP地址要求

1.每一個(gè)網(wǎng)絡(luò)需要一個(gè)網(wǎng)絡(luò)地址，網(wǎng)絡(luò)中的電腦需要一個(gè)在網(wǎng)絡(luò)中唯一確定的標(biāo)識(shí)，網(wǎng)絡(luò)號(hào)和電腦的標(biāo)識(shí)號(hào)組成了IP地址，所以IP地址是由網(wǎng)絡(luò)號(hào)和主機(jī)號(hào)組成的。當(dāng)你的電腦要和其他的電腦通信的時(shí)候，電腦會(huì)先根據(jù)IP地址和子網(wǎng)掩碼確定目標(biāo)主機(jī)是在本地網(wǎng)絡(luò)中還是在遠(yuǎn)程網(wǎng)絡(luò)中，如果在本地網(wǎng)絡(luò)中則直接把一個(gè)包含信息的IP數(shù)據(jù)包發(fā)送到本地網(wǎng)絡(luò)上，目標(biāo)主機(jī)會(huì)檢測(cè)到并接收，如果目標(biāo)主機(jī)在遠(yuǎn)程網(wǎng)絡(luò)則需要通過一臺(tái)被稱為網(wǎng)關(guān)的電腦轉(zhuǎn)發(fā)到遠(yuǎn)程網(wǎng)絡(luò)，網(wǎng)關(guān)（gateway）可以看作是連接網(wǎng)絡(luò)和網(wǎng)絡(luò)的橋梁，網(wǎng)關(guān)的概念很廣，這里為了簡(jiǎn)化起見，我們暫且認(rèn)為它和路由器是同一個(gè)概念。路由器（muter）是一種連接網(wǎng)絡(luò)和網(wǎng)絡(luò)，并選擇IP數(shù)據(jù)包傳送的路徑的一臺(tái)特殊計(jì)算機(jī)。很多情況下網(wǎng)關(guān)的概念等同于路由器。

2.在同一個(gè)網(wǎng)絡(luò)中，每臺(tái)電腦必須具有相同的網(wǎng)絡(luò)號(hào)，這樣電腦才認(rèn)為目標(biāo)主機(jī)是在本網(wǎng)絡(luò)中并且可以正確送達(dá)，如果網(wǎng)絡(luò)號(hào)不同，即使目標(biāo)主機(jī)已經(jīng)用網(wǎng)線連到本網(wǎng)絡(luò)中數(shù)據(jù)也不能直接送達(dá)，即使這兩臺(tái)電腦近在咫尺，在電腦看來仍舊是一臺(tái)遠(yuǎn)程電腦。比如一個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)號(hào)為192.168.0，則該網(wǎng)絡(luò)中的計(jì)算機(jī)的IP地址必須以192.168.0開頭。假如要傳送一個(gè)數(shù)據(jù)包到網(wǎng)絡(luò)號(hào)為192.168.1的網(wǎng)絡(luò)，則必須通過路由器轉(zhuǎn)發(fā)，如果該網(wǎng)絡(luò)中沒有路由器，則發(fā)送失敗。因此，為了連接兩個(gè)網(wǎng)絡(luò)，一臺(tái)路由器至少要有兩個(gè)網(wǎng)絡(luò)接口（網(wǎng)卡、調(diào)制解調(diào)器等聯(lián)網(wǎng)設(shè)備稱為網(wǎng)絡(luò)接口）。

三、虛擬化網(wǎng)絡(luò)的構(gòu)建原理

1.存儲(chǔ)網(wǎng)絡(luò)的冗余設(shè)計(jì)。存儲(chǔ)網(wǎng)絡(luò)實(shí)現(xiàn)了VMWARE中物理服務(wù)器與存儲(chǔ)之間的數(shù)據(jù)交換，要求數(shù)據(jù)傳輸穩(wěn)定、快速，架構(gòu)相對(duì)簡(jiǎn)單，所以存儲(chǔ)網(wǎng)絡(luò)一般使用8G光纖通道來實(shí)現(xiàn)。

實(shí)現(xiàn)存儲(chǔ)網(wǎng)絡(luò)的冗余，需要物理服務(wù)器和主要存儲(chǔ)具有雙光纖口，目前主流的存儲(chǔ)（比如EMC的光纖存儲(chǔ)）一般都具有雙控制器，每個(gè)控制器都有獨(dú)立的冗余光纖接口和獨(dú)立的供電模塊，很好地實(shí)現(xiàn)網(wǎng)絡(luò)冗余功能，服務(wù)器需要安裝雙HBA卡或雙口的單HBA卡，實(shí)現(xiàn)存儲(chǔ)網(wǎng)絡(luò)的冗余，HBA卡的性能不能小于光纖交換機(jī)的性能要求;要實(shí)現(xiàn)存儲(chǔ)網(wǎng)絡(luò)的冗余，重要的是要具有四臺(tái)獨(dú)立供電，兩臺(tái)規(guī)格相同的萬兆光纖交換機(jī)和兩臺(tái)規(guī)格相同的千兆交換機(jī)。以達(dá)到冗余效果。

存儲(chǔ)網(wǎng)絡(luò)的物理設(shè)備達(dá)到冗余條件以后，需要對(duì)鏈路進(jìn)行連接，鏈路的連接遵循雙鏈路獨(dú)立控制互不交叉的原則，要求分別以每臺(tái)光纖交換機(jī)為中心，輻射到所有物理服務(wù)器和存儲(chǔ)的每個(gè)控制器。

以我校實(shí)驗(yàn)樓虛擬資源中心為例，用四臺(tái)物理服務(wù)器、兩臺(tái)光纖交換機(jī)與一主一備兩臺(tái)存儲(chǔ)搭建的VMWARR服務(wù)器虛擬化的存儲(chǔ)網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D。

通過存儲(chǔ)網(wǎng)絡(luò)的冗余設(shè)計(jì)，可以保證任意一條網(wǎng)絡(luò)通道或任意一臺(tái)光纖交換機(jī)出現(xiàn)故障，不會(huì)影響整個(gè)網(wǎng)絡(luò)的通訊，從根本豐避免了單點(diǎn)故障造成的網(wǎng)絡(luò)中斷，同時(shí)通過冗余網(wǎng)絡(luò)，很地實(shí)現(xiàn)了數(shù)據(jù)傳輸?shù)呢?fù)載均衡，避免了單鏈路造成的數(shù)據(jù)擁堵，保證網(wǎng)絡(luò)安全的情況下，優(yōu)化了傳輸效果。

2.物理網(wǎng)絡(luò)的架構(gòu)設(shè)計(jì)VMWARE服務(wù)器虛擬化中，物理網(wǎng)絡(luò)主要用于物理服務(wù)器與存儲(chǔ)的管理、虛擬機(jī)的應(yīng)用數(shù)據(jù)訪問、虛擬機(jī)的管理和故障遷移以及USB等外設(shè)的訪問。為了保證網(wǎng)絡(luò)穩(wěn)定性和冗余要求，需要每個(gè)網(wǎng)絡(luò)功能使用獨(dú)立的網(wǎng)絡(luò)通道，每個(gè)網(wǎng)絡(luò)通道都實(shí)現(xiàn)雙鏈路冗余。

根據(jù)網(wǎng)絡(luò)功能，虛擬機(jī)的應(yīng)用需要一個(gè)獨(dú)立的網(wǎng)絡(luò)通道，VMWARE服務(wù)器虛擬化的主要功能就是保證每臺(tái)虛擬服務(wù)器具有完整的應(yīng)用和獨(dú)立的網(wǎng)絡(luò)，保證虛擬機(jī)的應(yīng)用網(wǎng)絡(luò)是VMWARE的首要條件;將管理HA使用一個(gè)物理網(wǎng)絡(luò)通道，管理網(wǎng)絡(luò)一般情況不常用，產(chǎn)生數(shù)據(jù)較少，HA主要用于實(shí)現(xiàn)服務(wù)器之間或存儲(chǔ)之間的故障轉(zhuǎn)移和負(fù)載均衡，對(duì)網(wǎng)絡(luò)帶寬要求也不高，管理和]IA都不是持續(xù)的數(shù)據(jù)傳輸，使用一個(gè)通道不會(huì)影響網(wǎng)絡(luò)速度;如果虛擬機(jī)有較大的變化或大數(shù)據(jù)的持續(xù)變化，數(shù)據(jù)量就會(huì)較大，需要網(wǎng)絡(luò)足夠穩(wěn)定和具有足夠的網(wǎng)絡(luò)帶寬;Vmotion使用一個(gè)獨(dú)立的網(wǎng)絡(luò)通道，因?yàn)閂motion在對(duì)虛擬機(jī)進(jìn)行集中批量維護(hù)的時(shí)候，會(huì)對(duì)網(wǎng)絡(luò)要求比較高，特別是在VMWARF環(huán)境初期，使用獨(dú)立的網(wǎng)絡(luò)會(huì)加快維護(hù)的速度，提高維護(hù)的質(zhì)量。按照上面的需要，對(duì)物理網(wǎng)絡(luò)規(guī)劃4個(gè)獨(dú)立通道，要實(shí)現(xiàn)網(wǎng)絡(luò)冗余，就要求每個(gè)物理服務(wù)器具有8個(gè)物理網(wǎng)口，四個(gè)網(wǎng)口一組連接到一個(gè)獨(dú)立的網(wǎng)絡(luò)交換機(jī)上，交換機(jī)端口的設(shè)置，需要將虛擬機(jī)應(yīng)用所在的端口設(shè)置TRUNK即串口模式，其他端口根據(jù)網(wǎng)絡(luò)需要?jiǎng)澐植煌腣lan。

預(yù)先規(guī)劃好網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通過其功能網(wǎng)絡(luò)的獨(dú)立使用，可以避免不同應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)交叉，減少大數(shù)據(jù)聚集造成的網(wǎng)絡(luò)阻塞;同時(shí)通過網(wǎng)絡(luò)冗余實(shí)現(xiàn)了網(wǎng)絡(luò)間的熱備用，避免網(wǎng)絡(luò)故障造成的數(shù)據(jù)終端，最大程度豐保證了應(yīng)用系統(tǒng)的數(shù)據(jù)連續(xù)性。

3.虛擬網(wǎng)絡(luò)的部署按照物理網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)思路，需要構(gòu)建三到四臺(tái)虛擬交換機(jī)來實(shí)現(xiàn)虛擬機(jī)應(yīng)用、管理、HA和Vmotion的需要，后期環(huán)境穩(wěn)定以后，Vmotion的需求相對(duì)減少，可以將Vmotion的網(wǎng)絡(luò)并到虛擬機(jī)應(yīng)用中，來提高虛擬機(jī)應(yīng)用數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)帶寬，保證業(yè)務(wù)操作的流暢度。

由于虛擬環(huán)境中不會(huì)存在環(huán)境因素造成的接觸不良問題，所以虛擬環(huán)境下一般不會(huì)做雙鏈路冗余，會(huì)拿出更多的資源用于提高數(shù)據(jù)傳輸速度。

根據(jù)需要?jiǎng)澐譃?個(gè)端口組，虛擬機(jī)使用一個(gè)單獨(dú)的端口組，管理和HA使用一個(gè)端口組，F(xiàn)T使用一個(gè)端口組，Vmotion使用一個(gè)端口組，每?jī)蓚€(gè)端口組使用一個(gè)標(biāo)準(zhǔn)虛擬交換機(jī)，在每個(gè)物理主機(jī)內(nèi)建立2個(gè)虛擬標(biāo)準(zhǔn)交換機(jī)，每個(gè)虛擬機(jī)交換機(jī)連接4個(gè)物理網(wǎng)卡，組成負(fù)載均衡和故障切換的冗余方式。在標(biāo)準(zhǔn)虛擬交換機(jī)內(nèi)部同的VlanID，通過Vlan隔離不同端口組之間流量。

4.負(fù)載均衡及故障切換策略。使用負(fù)載均衡和故障切換策略確定網(wǎng)絡(luò)流量如何在網(wǎng)卡間分布，以及在網(wǎng)卡發(fā)生故障時(shí)重新路由流量。

負(fù)載均衡及故障切換策略包括以下參數(shù)：

（1）負(fù)載均衡策略：負(fù)載均衡策略確定了輸出流量是如何在連接到標(biāo)準(zhǔn)交換機(jī)的網(wǎng)卡上分布的，輸人流量由物理交換機(jī)上的負(fù)載均衡策略控制。

（2）故障切換策略：鏈路狀態(tài)和信標(biāo)注探測(cè)

（3）網(wǎng)絡(luò)適配順序（活動(dòng)或待機(jī)兩種）出現(xiàn)故障切換或故障恢復(fù)事件時(shí)，有時(shí)可能會(huì)失去標(biāo)準(zhǔn)交換機(jī)連接。這會(huì)導(dǎo)致與該標(biāo)準(zhǔn)交換機(jī)關(guān)聯(lián)的虛擬機(jī)所使用的MAC地址出現(xiàn)在與之前不同的交換機(jī)端口。為了避免此問題，可將物理交換機(jī)端口置于中繼模式。

四、結(jié)束語

我校實(shí)驗(yàn)教學(xué)中心虛擬資源中心采用VMWARE產(chǎn)品虛擬化的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，需要保證整個(gè)實(shí)驗(yàn)樓各實(shí)驗(yàn)室端口的網(wǎng)絡(luò)安全、穩(wěn)定的情況下，最大限度地提升網(wǎng)絡(luò)速度，實(shí)現(xiàn)網(wǎng)絡(luò)的冗余備份。由于虛擬化的特殊性，不可避免的會(huì)造成不同類型數(shù)據(jù)網(wǎng)絡(luò)的交叉以及虛擬網(wǎng)絡(luò)與物理網(wǎng)絡(luò)的交叉，要做到的合理分流、科學(xué)規(guī)劃，更好地實(shí)現(xiàn)VMWARE網(wǎng)絡(luò)的負(fù)載均衡，又能保證網(wǎng)絡(luò)安全才是VMWARE網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)的初衷。

參考文獻(xiàn)：

[1]趙慧玲.網(wǎng)絡(luò)虛擬化及網(wǎng)絡(luò)功能虛擬化技術(shù)探討[J].中興通訊技術(shù)，2014（6）.

[2]靳曉嘉，楊舟.虛擬核心網(wǎng)IMS技術(shù)及試點(diǎn)應(yīng)用[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2016（9）.

[3]鄭舒，王曉東.基于NFV架構(gòu)的IMS核心網(wǎng)實(shí)現(xiàn)方案[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2016（5）.

基金項(xiàng)目：本文系武漢工商學(xué)院教改教研課題：虛擬化網(wǎng)絡(luò)在實(shí)驗(yàn)教學(xué)中的安全設(shè)計(jì)（2017Y10）o