边界感知安全技术在学校数据中心网络虚拟化环境中的应用

邓成俊，高 洁

(1.重庆电力高等专科学校，重庆 400053；2.重庆南岸区教师进修学院，重庆 400060)

数据中心借助于整合、监控和管理储备设备、计算机、网络设备等资源的方式，为诸多用户提供平台、网络等一整套的设施，其在为学校专用的同时可以为多用户共享。伴随近年来数据中心规模的不断扩大，学校为实现有效提高资源利用率以及降低运营成本两方面的目的，将虚拟化技术运用到数据中心的构建中，为清楚感知虚拟机网络流量并把握虚拟化后的网络边界，学术界已经就相关技术提出了针对性的解决方法。

1 现状分析

传统数据中心网络构建的最小单位是单台主机设备，其主要由核心层、汇聚层以及接入层作为抽象架构，将网络安全设备部署在汇聚层，采用边界防护、安全域划分等方式为网络安全提供保障[1]。近年来，服务器虚拟化技术得到进一步发展，伴随着发展数据中心网络虚拟化应运而生，分析其原因主要是：其一，将数十台的虚拟机部署于单台宿主服务器上，由于此类虚拟机上存在网络拓扑，因而需要辅助于外部网络才能开展访问工作；其二，数据中心服务器以千万台进行计算且在数据中心内部呈现多流量发生情况，因而需要更多网络接口和网络宽带；其三，从一台宿主服务器上动态迁移虚拟机到另一台宿主服务器，期间不仅需要保障不中断的会话状态而且需要保持不中断的IP地址[2]。

正因为上述原因的存在，对数据中心网络虚拟技术的发展具有显著的推动作用。就目前数据中心虚拟化技术发展而言，其主要呈现出以下三方面的发展态势：其一，网络功能从服务器外围向宿主服务器内部渗透，主要借助于将软件形态虚拟交换机运用到宿主服务器上的方式实现，其主要目的在于满足虚拟机联网方面的需要；其二，数据中心网络架构朝着组成二层网络构架方面发展(千兆/万兆接入层、万兆/十万兆核心层)，主要是因为传统三层网络架构配置不仅具有复杂性的特点而且具有高延迟性的特点，因而目前的虚拟机现状已无法满足同联的需要；其三，动态迁移虚拟机的不同宿主服务器具有灵活性，即可以是跨数据中心也可以是不跨数据中心，故需在数据、快数据中心部署二层网络[3]。

2 边界感知安全技术的发展趋势

网络虚拟化技术作为数据中心虚拟化的一个方面，尽管其起步较晚，但目前尚处在加快发展的阶段，故高度重视学校数据中心网络虚拟化环境中的边界感知安全技术具有重要意义[4]。建立在网络技术之上的网络安全技术，受到不成熟的网络虚拟化技术的制约，在一定程度上造成了网络安全部署方案中的模糊情况出现。在今后的发展过程中，数据中心网络虚拟化以及安全性呈现以下4种发展趋势。

其一，进一步简化协议。现今，主要是在网络基础上开展数据中心虚拟化技术扩展的工作，因而为了数据中心网络虚拟化的安全提出诸多保障兼容性的协议具有重要意义。目前，有关兼容性协议方面的需求已经呈现出不断减少的趋势，主要是受到网络构建不断简化以及网络设备不断更新的影响。

其二，标准化协议。在当前的时代大背景下，各大厂商为了能够在市场中抢占话语权，不仅提出了技术方案，还提出了诸多问题的解决方案，而此类方案多采用专有协议的方式，具有互不兼容的特点。一方面导致了用户难以选择的情况出现，另一方面导致了网络难以扩展的情况出现[5]。在扩建数据中心网络的过程中应不断增强各厂商产品互通的需求，进而实现专有协议开放化和标准化的目标。

其三，独立化的网络安全。目前，在数据中心网络虚拟化协议中主要呈现出两种趋势，即不断成熟与不断开放，其不仅在物理网络安全方面的安全部署存在立足依据，而且在虚拟网络安全部署上有了立足的依据。目前，数据中心网络安全业务、网络虚拟化、服务器虚拟化三者之间亦可以开展独立的工作，即已不再是之前的紧耦合关系。

其四，融合并发展边界感知安全技术。近年来，数据中心网络虚拟化得到了广泛的运用，其中边界性感知安全技术便是其关键之一，在不同的层面，边界感知技术作为一个整体方式主要借助于标准化协议接口予以融合，其后构建一个具有全方位性的边界感知机制[6]。

3 应用介绍

本次应用将借助戴尔统一计算的解决方案运用到数据中心的公共服务虚拟化共享平台(见图1)，选择由戴尔PowerEdge M1000e系列刀箱，配备8块全高尺寸刀片服务器PowerEdgeM910，每块大刀片服务器配置4×Intel(R) Xeon(R) CPU E7- 4820 @ 2.00 GHz，每个CPU内核数达32个CPU×1.994 GHz，单块刀片服务器内存容量达256 GB。戴尔PowerEdge系列刀片服务器基于 Intel®Xeon®处理器，凭借对虚拟应用和非虚拟应用的支持，该服务器可帮助您提高性能、能源效率、灵活性和管理员工作效率。刀片服务器组成服务器的部分，并统一由Dell OpenManageTM管理器管理刀片服务器硬件。虚拟软件则选用vmware v Sphere虚拟化平台，所有虚拟机和系统的集中管理则采用v Center进行。

图1 虚拟化部署

数据中心刀片公共服务虚拟化平台网络(见图2)配备戴尔光纤交换机(M5424光纤交换机)和戴尔48口千兆交换机(M6348网络交换机)。因刀片服务器每块配备4个千兆网络接口，故对网络交换机根据刀片服务器应用情况采取不同配置，如：G/0/1-8口配置为刀片服务器1-8第1网络接口，G0/9-16口配置为刀片服务器1-8第3网口，G0/17-24口配置为刀片服务器第2网口，G0/25-32口配置为刀片服务器1-8第4网口,G0/33-34接M1000e刀箱，G0/37-38接DELL3600F存储设备，G0/47-48做网络核心交换机，从而实现虚拟刀片服务器的网络架构。

图2 公共服务平台网络部署

网络交换机网络配置部分节选如下：

configure

vlan database

vlan 3,5,105-106

vlan routing 1 1

vlan routing 5 2

exit

interface out-of-band

ip address 192.168.253.120 255.255.255.224 192.168.253.97

exit

interface vlan 1

ip address 1.2.3.4 255.255.255.0

exit

interface vlan 5

exit

interface Gi1/0/1

switchport access vlan 3

exit

interface Gi1/0/17

switchport access vlan 104

exit

interface Gi1/0/9

switchport access vlan 104

exit

interface Gi1/0/25

switchport access vlan 105

exit

interface Gi1/0/33

switchport access vlan 5

exit

interface Gi1/0/37

interface Gi1/0/47

channel-group 1 mode on

exit

interface Gi1/0/48

channel-group 1 mode on

exit

同时，将物理设备处理虚拟机流量技术和软件定义网络技术运用在数据中心的公共服务虚拟共享平台。为开展统一交换工作需要将流量引入外部物理交换设备中，借助VN-TAG技术为虚拟机设置独立的网卡，为实现网络虚拟化边界的感知可以采用分布及交换技术进行。为保障动态迁移所有虚拟机可以借助于一同迁移虚机端口策略的方式实现。此外，为能够促使虚拟机在高流量工作的时候自动嵌入具有更为丰富资源的网络服务器中，还可以通过管理员借助自动化策略的方式予以实现。

4 结语

近年来，不断扩大的数据中心规模一方面可以满足提高学校资源利用率的目的，另一方面可以满足降低学校运营成本的目的，许多学校将虚拟化技术运用到数据中心的构建中。为清楚感知虚拟机网络流量并把握虚拟化后的网络边界，学术界已经就相关技术提出了针对性的解决方法。数据中心网络虚拟化伴随服务器虚拟化技术的发展出现，对大量数据信息进行处理和保存，是学校数据中心的重要工作，所以数据中心的安全性需要得到高度的重视，其中一个关键环节在于网络的安全。目前快速发展的数据中心网络虚拟化技术进一步促使网络边界朝着宿主服务器内部深入，网络虚拟边界感知安全技术可为实现全面监管网络提供帮助。