虛擬化網絡安全的探索

呂君 夏宏雷 朱劍玫

摘要：隨著計算機虛擬化技術的發展和互聯網產業的廣泛推廣。虛擬專用網絡技術大大提升了跨網段訪問和傳輸數據的便捷性，從而提升了高校實驗教學的信息化處理能力。將虛擬專用網絡技術應用于實驗教學當中去，具有十分重要的研究意義。文章從高校內部信息交互、同高校各部門異地辦公需求以及高校師生遠程教學等方面討論了虛擬專用網絡技術在網絡安全中的應用，希望能對高校實驗室網絡安全管理工作提供一定的參考價值。

關鍵詞：虛擬網絡技術;安全;實驗教學;實驗室;應用探索

我校虛擬資源中心利用虛擬化技術將物理資源進行整合，隨著虛擬化技術發展步伐的加快，網絡虛擬化技術將會更快的發展以實現整個虛擬化大環境，如何讓服務器虛擬化和桌面虛擬化系統安全地應用于虛擬化網絡？如何通過虛擬化技術提高網絡資源的利用率，并讓網絡具有靈活的可擴展性和可管理性，這些都是網絡虛擬化技術的重點。

一、虛擬資源中心網絡虛擬化劃分

使用虛擬化技術后，虛擬資源中心的網絡需要解決內部數據同步傳送、備份、虛擬機遷移的大流量問題。還需要采用統一的交換網絡減少布線、維護工作量和擴容成本;引入虛擬化技術之后，在不改變傳統虛擬資源中心網絡設計的物理拓撲和布線方式的前提下，可以實現網絡協議各層的橫向整合，形成一個統一的交換架構。目前我校虛擬資源中心網絡虛擬化從以下三個方面進行部署：

1.核心層網絡虛擬化：主要指的是虛擬資源中心核心網絡設備的虛擬化。它要求核心層網絡具備超大規模的數據交換能力，以及足夠的萬兆接入能力;提供虛擬機箱技術，簡化設備管理，提高資源利用率，提高交換系統的靈活性和擴展性，為資源的靈活調度和動態伸縮提供支撐。

2.接入層虛擬化：可以實現虛擬資源中心接入層的分級設計。根據虛擬資源中心的走線要求，接入層交換機要求能夠支持各種靈活的部署方式和新的以太網技術。

3.虛擬機網絡交換：包括物理網卡虛擬化和虛擬網絡交換機，在服務器內部虛擬出相應的交換機和網卡功能，虛擬網卡是在一個物理網卡上虛擬出多個邏輯獨立的網卡，使得每個虛擬網卡具有獨立的MAC地址、動態IP地址，同時還可以在虛擬網卡之間實現一定的流量調度策略。

二、網絡如何傳遞數據和IP地址要求

1.每一個網絡需要一個網絡地址，網絡中的電腦需要一個在網絡中唯一確定的標識，網絡號和電腦的標識號組成了IP地址，所以IP地址是由網絡號和主機號組成的。當你的電腦要和其他的電腦通信的時候，電腦會先根據IP地址和子網掩碼確定目標主機是在本地網絡中還是在遠程網絡中，如果在本地網絡中則直接把一個包含信息的IP數據包發送到本地網絡上，目標主機會檢測到并接收，如果目標主機在遠程網絡則需要通過一臺被稱為網關的電腦轉發到遠程網絡，網關（gateway）可以看作是連接網絡和網絡的橋梁，網關的概念很廣，這里為了簡化起見，我們暫且認為它和路由器是同一個概念。路由器（muter）是一種連接網絡和網絡，并選擇IP數據包傳送的路徑的一臺特殊計算機。很多情況下網關的概念等同于路由器。

2.在同一個網絡中，每臺電腦必須具有相同的網絡號，這樣電腦才認為目標主機是在本網絡中并且可以正確送達，如果網絡號不同，即使目標主機已經用網線連到本網絡中數據也不能直接送達，即使這兩臺電腦近在咫尺，在電腦看來仍舊是一臺遠程電腦。比如一個網絡的網絡號為192.168.0，則該網絡中的計算機的IP地址必須以192.168.0開頭。假如要傳送一個數據包到網絡號為192.168.1的網絡，則必須通過路由器轉發，如果該網絡中沒有路由器，則發送失敗。因此，為了連接兩個網絡，一臺路由器至少要有兩個網絡接口（網卡、調制解調器等聯網設備稱為網絡接口）。

三、虛擬化網絡的構建原理

1.存儲網絡的冗余設計。存儲網絡實現了VMWARE中物理服務器與存儲之間的數據交換，要求數據傳輸穩定、快速，架構相對簡單，所以存儲網絡一般使用8G光纖通道來實現。

實現存儲網絡的冗余，需要物理服務器和主要存儲具有雙光纖口，目前主流的存儲（比如EMC的光纖存儲）一般都具有雙控制器，每個控制器都有獨立的冗余光纖接口和獨立的供電模塊，很好地實現網絡冗余功能，服務器需要安裝雙HBA卡或雙口的單HBA卡，實現存儲網絡的冗余，HBA卡的性能不能小于光纖交換機的性能要求;要實現存儲網絡的冗余，重要的是要具有四臺獨立供電，兩臺規格相同的萬兆光纖交換機和兩臺規格相同的千兆交換機。以達到冗余效果。

存儲網絡的物理設備達到冗余條件以后，需要對鏈路進行連接，鏈路的連接遵循雙鏈路獨立控制互不交叉的原則，要求分別以每臺光纖交換機為中心，輻射到所有物理服務器和存儲的每個控制器。

以我校實驗樓虛擬資源中心為例，用四臺物理服務器、兩臺光纖交換機與一主一備兩臺存儲搭建的VMWARR服務器虛擬化的存儲網絡架構拓撲圖。

通過存儲網絡的冗余設計，可以保證任意一條網絡通道或任意一臺光纖交換機出現故障，不會影響整個網絡的通訊，從根本豐避免了單點故障造成的網絡中斷，同時通過冗余網絡，很地實現了數據傳輸的負載均衡，避免了單鏈路造成的數據擁堵，保證網絡安全的情況下，優化了傳輸效果。

2.物理網絡的架構設計VMWARE服務器虛擬化中，物理網絡主要用于物理服務器與存儲的管理、虛擬機的應用數據訪問、虛擬機的管理和故障遷移以及USB等外設的訪問。為了保證網絡穩定性和冗余要求，需要每個網絡功能使用獨立的網絡通道，每個網絡通道都實現雙鏈路冗余。

根據網絡功能，虛擬機的應用需要一個獨立的網絡通道，VMWARE服務器虛擬化的主要功能就是保證每臺虛擬服務器具有完整的應用和獨立的網絡，保證虛擬機的應用網絡是VMWARE的首要條件;將管理HA使用一個物理網絡通道，管理網絡一般情況不常用，產生數據較少，HA主要用于實現服務器之間或存儲之間的故障轉移和負載均衡，對網絡帶寬要求也不高，管理和]IA都不是持續的數據傳輸，使用一個通道不會影響網絡速度;如果虛擬機有較大的變化或大數據的持續變化，數據量就會較大，需要網絡足夠穩定和具有足夠的網絡帶寬;Vmotion使用一個獨立的網絡通道，因為Vmotion在對虛擬機進行集中批量維護的時候，會對網絡要求比較高，特別是在VMWARF環境初期，使用獨立的網絡會加快維護的速度，提高維護的質量。按照上面的需要，對物理網絡規劃4個獨立通道，要實現網絡冗余，就要求每個物理服務器具有8個物理網口，四個網口一組連接到一個獨立的網絡交換機上，交換機端口的設置，需要將虛擬機應用所在的端口設置TRUNK即串口模式，其他端口根據網絡需要劃分不同的Vlan。

預先規劃好網絡拓撲結構，通過其功能網絡的獨立使用，可以避免不同應用數據的網絡交叉，減少大數據聚集造成的網絡阻塞;同時通過網絡冗余實現了網絡間的熱備用，避免網絡故障造成的數據終端，最大程度豐保證了應用系統的數據連續性。

3.虛擬網絡的部署按照物理網絡架構的設計思路，需要構建三到四臺虛擬交換機來實現虛擬機應用、管理、HA和Vmotion的需要，后期環境穩定以后，Vmotion的需求相對減少，可以將Vmotion的網絡并到虛擬機應用中，來提高虛擬機應用數據傳輸的網絡帶寬，保證業務操作的流暢度。

由于虛擬環境中不會存在環境因素造成的接觸不良問題，所以虛擬環境下一般不會做雙鏈路冗余，會拿出更多的資源用于提高數據傳輸速度。

根據需要劃分為4個端口組，虛擬機使用一個單獨的端口組，管理和HA使用一個端口組，FT使用一個端口組，Vmotion使用一個端口組，每兩個端口組使用一個標準虛擬交換機，在每個物理主機內建立2個虛擬標準交換機，每個虛擬機交換機連接4個物理網卡，組成負載均衡和故障切換的冗余方式。在標準虛擬交換機內部同的VlanID，通過Vlan隔離不同端口組之間流量。

4.負載均衡及故障切換策略。使用負載均衡和故障切換策略確定網絡流量如何在網卡間分布，以及在網卡發生故障時重新路由流量。

負載均衡及故障切換策略包括以下參數：

（1）負載均衡策略：負載均衡策略確定了輸出流量是如何在連接到標準交換機的網卡上分布的，輸人流量由物理交換機上的負載均衡策略控制。

（2）故障切換策略：鏈路狀態和信標注探測

（3）網絡適配順序（活動或待機兩種）出現故障切換或故障恢復事件時，有時可能會失去標準交換機連接。這會導致與該標準交換機關聯的虛擬機所使用的MAC地址出現在與之前不同的交換機端口。為了避免此問題，可將物理交換機端口置于中繼模式。

四、結束語

我校實驗教學中心虛擬資源中心采用VMWARE產品虛擬化的網絡架構設計，需要保證整個實驗樓各實驗室端口的網絡安全、穩定的情況下，最大限度地提升網絡速度，實現網絡的冗余備份。由于虛擬化的特殊性，不可避免的會造成不同類型數據網絡的交叉以及虛擬網絡與物理網絡的交叉，要做到的合理分流、科學規劃，更好地實現VMWARE網絡的負載均衡，又能保證網絡安全才是VMWARE網絡架構設計的初衷。

參考文獻：

[1]趙慧玲.網絡虛擬化及網絡功能虛擬化技術探討[J].中興通訊技術，2014（6）.

[2]靳曉嘉，楊舟.虛擬核心網IMS技術及試點應用[J].電信工程技術與標準化，2016（9）.

[3]鄭舒，王曉東.基于NFV架構的IMS核心網實現方案[J].電信工程技術與標準化，2016（5）.

基金項目：本文系武漢工商學院教改教研課題：虛擬化網絡在實驗教學中的安全設計（2017Y10）o