虚拟化网络安全的探索

吕君 夏宏雷 朱剑玫

摘要：随着计算机虚拟化技术的发展和互联网产业的广泛推广。虚拟专用网络技术大大提升了跨网段访问和传输数据的便捷性，从而提升了高校实验教学的信息化处理能力。将虛拟专用网络技术应用于实验教学当中去，具有十分重要的研究意义。文章从高校内部信息交互、同高校各部门异地办公需求以及高校师生远程教学等方面讨论了虚拟专用网络技术在网络安全中的应用，希望能对高校实验室网络安全管理工作提供一定的参考价值。

关键词：虚拟网络技术;安全;实验教学;实验室;应用探索

我校虚拟资源中心利用虚拟化技术将物理资源进行整合，随着虚拟化技术发展步伐的加快，网络虚拟化技术将会更快的发展以实现整个虚拟化大环境，如何让服务器虚拟化和桌面虚拟化系统安全地应用于虚拟化网络？如何通过虚拟化技术提高网络资源的利用率，并让网络具有灵活的可扩展性和可管理性，这些都是网络虚拟化技术的重点。

一、虚拟资源中心网络虚拟化划分

使用虚拟化技术后，虚拟资源中心的网络需要解决内部数据同步传送、备份、虚拟机迁移的大流量问题。还需要采用统一的交换网络减少布线、维护工作量和扩容成本;引入虚拟化技术之后，在不改变传统虚拟资源中心网络设计的物理拓扑和布线方式的前提下，可以实现网络协议各层的横向整合，形成一个统一的交换架构。目前我校虚拟资源中心网络虚拟化从以下三个方面进行部署：

1.核心层网络虚拟化：主要指的是虚拟资源中心核心网络设备的虚拟化。它要求核心层网络具备超大规模的数据交换能力，以及足够的万兆接入能力;提供虚拟机箱技术，简化设备管理，提高资源利用率，提高交换系统的灵活性和扩展性，为资源的灵活调度和动态伸缩提供支撑。

2.接入层虚拟化：可以实现虚拟资源中心接入层的分级设计。根据虚拟资源中心的走线要求，接入层交换机要求能够支持各种灵活的部署方式和新的以太网技术。

3.虚拟机网络交换：包括物理网卡虚拟化和虚拟网络交换机，在服务器内部虚拟出相应的交换机和网卡功能，虚拟网卡是在一个物理网卡上虚拟出多个逻辑独立的网卡，使得每个虚拟网卡具有独立的MAC地址、动态IP地址，同时还可以在虚拟网卡之间实现一定的流量调度策略。

二、网络如何传递数据和IP地址要求

1.每一个网络需要一个网络地址，网络中的电脑需要一个在网络中唯一确定的标识，网络号和电脑的标识号组成了IP地址，所以IP地址是由网络号和主机号组成的。当你的电脑要和其他的电脑通信的时候，电脑会先根据IP地址和子网掩码确定目标主机是在本地网络中还是在远程网络中，如果在本地网络中则直接把一个包含信息的IP数据包发送到本地网络上，目标主机会检测到并接收，如果目标主机在远程网络则需要通过一台被称为网关的电脑转发到远程网络，网关（gateway）可以看作是连接网络和网络的桥梁，网关的概念很广，这里为了简化起见，我们暂且认为它和路由器是同一个概念。路由器（muter）是一种连接网络和网络，并选择IP数据包传送的路径的一台特殊计算机。很多情况下网关的概念等同于路由器。

2.在同一个网络中，每台电脑必须具有相同的网络号，这样电脑才认为目标主机是在本网络中并且可以正确送达，如果网络号不同，即使目标主机已经用网线连到本网络中数据也不能直接送达，即使这两台电脑近在咫尺，在电脑看来仍旧是一台远程电脑。比如一个网络的网络号为192.168.0，则该网络中的计算机的IP地址必须以192.168.0开头。假如要传送一个数据包到网络号为192.168.1的网络，则必须通过路由器转发，如果该网络中没有路由器，则发送失败。因此，为了连接两个网络，一台路由器至少要有两个网络接口（网卡、调制解调器等联网设备称为网络接口）。

三、虚拟化网络的构建原理

1.存储网络的冗余设计。存储网络实现了VMWARE中物理服务器与存储之间的数据交换，要求数据传输稳定、快速，架构相对简单，所以存储网络一般使用8G光纤通道来实现。

实现存储网络的冗余，需要物理服务器和主要存储具有双光纤口，目前主流的存储（比如EMC的光纤存储）一般都具有双控制器，每个控制器都有独立的冗余光纤接口和独立的供电模块，很好地实现网络冗余功能，服务器需要安装双HBA卡或双口的单HBA卡，实现存储网络的冗余，HBA卡的性能不能小于光纤交换机的性能要求;要实现存储网络的冗余，重要的是要具有四台独立供电，两台规格相同的万兆光纤交换机和两台规格相同的千兆交换机。以达到冗余效果。

存储网络的物理设备达到冗余条件以后，需要对链路进行连接，链路的连接遵循双链路独立控制互不交叉的原则，要求分别以每台光纤交换机为中心，辐射到所有物理服务器和存储的每个控制器。

以我校实验楼虚拟资源中心为例，用四台物理服务器、两台光纤交换机与一主一备两台存储搭建的VMWARR服务器虚拟化的存储网络架构拓扑图。

通过存储网络的冗余设计，可以保证任意一条网络通道或任意一台光纤交换机出现故障，不会影响整个网络的通讯，从根本丰避免了单点故障造成的网络中断，同时通过冗余网络，很地实现了数据传输的负载均衡，避免了单链路造成的数据拥堵，保证网络安全的情况下，优化了传输效果。

2.物理网络的架构设计VMWARE服务器虚拟化中，物理网络主要用于物理服务器与存储的管理、虚拟机的应用数据访问、虚拟机的管理和故障迁移以及USB等外设的访问。为了保证网络稳定性和冗余要求，需要每个网络功能使用独立的网络通道，每个网络通道都实现双链路冗余。

根据网络功能，虚拟机的应用需要一个独立的网络通道，VMWARE服务器虚拟化的主要功能就是保证每台虚拟服务器具有完整的应用和独立的网络，保证虚拟机的应用网络是VMWARE的首要条件;将管理HA使用一个物理网络通道，管理网络一般情况不常用，产生数据较少，HA主要用于实现服务器之间或存储之间的故障转移和负载均衡，对网络带宽要求也不高，管理和]IA都不是持续的数据传输，使用一个通道不会影响网络速度;如果虚拟机有较大的变化或大数据的持续变化，数据量就会较大，需要网络足够稳定和具有足够的网络带宽;Vmotion使用一个独立的网络通道，因为Vmotion在对虚拟机进行集中批量维护的时候，会对网络要求比较高，特别是在VMWARF环境初期，使用独立的网络会加快维护的速度，提高维护的质量。按照上面的需要，对物理网络规划4个独立通道，要实现网络冗余，就要求每个物理服务器具有8个物理网口，四个网口一组连接到一个独立的网络交换机上，交换机端口的设置，需要将虚拟机应用所在的端口设置TRUNK即串口模式，其他端口根据网络需要划分不同的Vlan。

预先规划好网络拓扑结构，通过其功能网络的独立使用，可以避免不同应用數据的网络交叉，减少大数据聚集造成的网络阻塞;同时通过网络冗余实现了网络间的热备用，避免网络故障造成的数据终端，最大程度丰保证了应用系统的数据连续性。

3.虚拟网络的部署按照物理网络架构的设计思路，需要构建三到四台虚拟交换机来实现虚拟机应用、管理、HA和Vmotion的需要，后期环境稳定以后，Vmotion的需求相对减少，可以将Vmotion的网络并到虚拟机应用中，来提高虚拟机应用数据传输的网络带宽，保证业务操作的流畅度。

由于虚拟环境中不会存在环境因素造成的接触不良问题，所以虚拟环境下一般不会做双链路冗余，会拿出更多的资源用于提高数据传输速度。

根据需要划分为4个端口组，虚拟机使用一个单独的端口组，管理和HA使用一个端口组，FT使用一个端口组，Vmotion使用一个端口组，每两个端口组使用一个标准虚拟交换机，在每个物理主机内建立2个虚拟标准交换机，每个虚拟机交换机连接4个物理网卡，组成负载均衡和故障切换的冗余方式。在标准虚拟交换机内部同的VlanID，通过Vlan隔离不同端口组之间流量。

4.负载均衡及故障切换策略。使用负载均衡和故障切换策略确定网络流量如何在网卡间分布，以及在网卡发生故障时重新路由流量。

负载均衡及故障切换策略包括以下参数：

（1）负载均衡策略：负载均衡策略确定了输出流量是如何在连接到标准交换机的网卡上分布的，输人流量由物理交换机上的负载均衡策略控制。

（2）故障切换策略：链路状态和信标注探测

（3）网络适配顺序（活动或待机两种）出现故障切换或故障恢复事件时，有时可能会失去标准交换机连接。这会导致与该标准交换机关联的虚拟机所使用的MAC地址出现在与之前不同的交换机端口。为了避免此问题，可将物理交换机端口置于中继模式。

四、结束语

我校实验教学中心虚拟资源中心采用VMWARE产品虚拟化的网络架构设计，需要保证整个实验楼各实验室端口的网络安全、稳定的情况下，最大限度地提升网络速度，实现网络的冗余备份。由于虚拟化的特殊性，不可避免的会造成不同类型数据网络的交叉以及虚拟网络与物理网络的交叉，要做到的合理分流、科学规划，更好地实现VMWARE网络的负载均衡，又能保证网络安全才是VMWARE网络架构设计的初衷。

参考文献：

[1]赵慧玲.网络虚拟化及网络功能虚拟化技术探讨[J].中兴通讯技术，2014（6）.

[2]靳晓嘉，杨舟.虚拟核心网IMS技术及试点应用[J].电信工程技术与标准化，2016（9）.

[3]郑舒，王晓东.基于NFV架构的IMS核心网实现方案[J].电信工程技术与标准化，2016（5）.

基金项目：本文系武汉工商学院教改教研课题：虚拟化网络在实验教学中的安全设计（2017Y10）o