呂君 夏宏雷 朱劍玫

摘要：隨著計算機虛擬化技術(shù)的發(fā)展和互聯(lián)網(wǎng)產(chǎn)業(yè)的廣泛推廣。虛擬專用網(wǎng)絡(luò)技術(shù)大大提升了跨網(wǎng)段訪問和傳輸數(shù)據(jù)的便捷性，從而提升了高校實驗教學的信息化處理能力。將虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用于實驗教學當中去，具有十分重要的研究意義。文章從高校內(nèi)部信息交互、同高校各部門異地辦公需求以及高校師生遠程教學等方面討論了虛擬專用網(wǎng)絡(luò)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用，希望能對高校實驗室網(wǎng)絡(luò)安全管理工作提供一定的參考價值。

關(guān)鍵詞：虛擬網(wǎng)絡(luò)技術(shù);安全;實驗教學;實驗室;應(yīng)用探索

我校虛擬資源中心利用虛擬化技術(shù)將物理資源進行整合，隨著虛擬化技術(shù)發(fā)展步伐的加快，網(wǎng)絡(luò)虛擬化技術(shù)將會更快的發(fā)展以實現(xiàn)整個虛擬化大環(huán)境，如何讓服務(wù)器虛擬化和桌面虛擬化系統(tǒng)安全地應(yīng)用于虛擬化網(wǎng)絡(luò)？如何通過虛擬化技術(shù)提高網(wǎng)絡(luò)資源的利用率，并讓網(wǎng)絡(luò)具有靈活的可擴展性和可管理性，這些都是網(wǎng)絡(luò)虛擬化技術(shù)的重點。

一、虛擬資源中心網(wǎng)絡(luò)虛擬化劃分

使用虛擬化技術(shù)后，虛擬資源中心的網(wǎng)絡(luò)需要解決內(nèi)部數(shù)據(jù)同步傳送、備份、虛擬機遷移的大流量問題。還需要采用統(tǒng)一的交換網(wǎng)絡(luò)減少布線、維護工作量和擴容成本;引入虛擬化技術(shù)之后，在不改變傳統(tǒng)虛擬資源中心網(wǎng)絡(luò)設(shè)計的物理拓撲和布線方式的前提下，可以實現(xiàn)網(wǎng)絡(luò)協(xié)議各層的橫向整合，形成一個統(tǒng)一的交換架構(gòu)。目前我校虛擬資源中心網(wǎng)絡(luò)虛擬化從以下三個方面進行部署：

1.核心層網(wǎng)絡(luò)虛擬化：主要指的是虛擬資源中心核心網(wǎng)絡(luò)設(shè)備的虛擬化。它要求核心層網(wǎng)絡(luò)具備超大規(guī)模的數(shù)據(jù)交換能力，以及足夠的萬兆接入能力;提供虛擬機箱技術(shù)，簡化設(shè)備管理，提高資源利用率，提高交換系統(tǒng)的靈活性和擴展性，為資源的靈活調(diào)度和動態(tài)伸縮提供支撐。

2.接入層虛擬化：可以實現(xiàn)虛擬資源中心接入層的分級設(shè)計。根據(jù)虛擬資源中心的走線要求，接入層交換機要求能夠支持各種靈活的部署方式和新的以太網(wǎng)技術(shù)。

3.虛擬機網(wǎng)絡(luò)交換：包括物理網(wǎng)卡虛擬化和虛擬網(wǎng)絡(luò)交換機，在服務(wù)器內(nèi)部虛擬出相應(yīng)的交換機和網(wǎng)卡功能，虛擬網(wǎng)卡是在一個物理網(wǎng)卡上虛擬出多個邏輯獨立的網(wǎng)卡，使得每個虛擬網(wǎng)卡具有獨立的MAC地址、動態(tài)IP地址，同時還可以在虛擬網(wǎng)卡之間實現(xiàn)一定的流量調(diào)度策略。

二、網(wǎng)絡(luò)如何傳遞數(shù)據(jù)和IP地址要求

1.每一個網(wǎng)絡(luò)需要一個網(wǎng)絡(luò)地址，網(wǎng)絡(luò)中的電腦需要一個在網(wǎng)絡(luò)中唯一確定的標識，網(wǎng)絡(luò)號和電腦的標識號組成了IP地址，所以IP地址是由網(wǎng)絡(luò)號和主機號組成的。當你的電腦要和其他的電腦通信的時候，電腦會先根據(jù)IP地址和子網(wǎng)掩碼確定目標主機是在本地網(wǎng)絡(luò)中還是在遠程網(wǎng)絡(luò)中，如果在本地網(wǎng)絡(luò)中則直接把一個包含信息的IP數(shù)據(jù)包發(fā)送到本地網(wǎng)絡(luò)上，目標主機會檢測到并接收，如果目標主機在遠程網(wǎng)絡(luò)則需要通過一臺被稱為網(wǎng)關(guān)的電腦轉(zhuǎn)發(fā)到遠程網(wǎng)絡(luò)，網(wǎng)關(guān)（gateway）可以看作是連接網(wǎng)絡(luò)和網(wǎng)絡(luò)的橋梁，網(wǎng)關(guān)的概念很廣，這里為了簡化起見，我們暫且認為它和路由器是同一個概念。路由器（muter）是一種連接網(wǎng)絡(luò)和網(wǎng)絡(luò)，并選擇IP數(shù)據(jù)包傳送的路徑的一臺特殊計算機。很多情況下網(wǎng)關(guān)的概念等同于路由器。

2.在同一個網(wǎng)絡(luò)中，每臺電腦必須具有相同的網(wǎng)絡(luò)號，這樣電腦才認為目標主機是在本網(wǎng)絡(luò)中并且可以正確送達，如果網(wǎng)絡(luò)號不同，即使目標主機已經(jīng)用網(wǎng)線連到本網(wǎng)絡(luò)中數(shù)據(jù)也不能直接送達，即使這兩臺電腦近在咫尺，在電腦看來仍舊是一臺遠程電腦。比如一個網(wǎng)絡(luò)的網(wǎng)絡(luò)號為192.168.0，則該網(wǎng)絡(luò)中的計算機的IP地址必須以192.168.0開頭。假如要傳送一個數(shù)據(jù)包到網(wǎng)絡(luò)號為192.168.1的網(wǎng)絡(luò)，則必須通過路由器轉(zhuǎn)發(fā)，如果該網(wǎng)絡(luò)中沒有路由器，則發(fā)送失敗。因此，為了連接兩個網(wǎng)絡(luò)，一臺路由器至少要有兩個網(wǎng)絡(luò)接口（網(wǎng)卡、調(diào)制解調(diào)器等聯(lián)網(wǎng)設(shè)備稱為網(wǎng)絡(luò)接口）。

三、虛擬化網(wǎng)絡(luò)的構(gòu)建原理

1.存儲網(wǎng)絡(luò)的冗余設(shè)計。存儲網(wǎng)絡(luò)實現(xiàn)了VMWARE中物理服務(wù)器與存儲之間的數(shù)據(jù)交換，要求數(shù)據(jù)傳輸穩(wěn)定、快速，架構(gòu)相對簡單，所以存儲網(wǎng)絡(luò)一般使用8G光纖通道來實現(xiàn)。

實現(xiàn)存儲網(wǎng)絡(luò)的冗余，需要物理服務(wù)器和主要存儲具有雙光纖口，目前主流的存儲（比如EMC的光纖存儲）一般都具有雙控制器，每個控制器都有獨立的冗余光纖接口和獨立的供電模塊，很好地實現(xiàn)網(wǎng)絡(luò)冗余功能，服務(wù)器需要安裝雙HBA卡或雙口的單HBA卡，實現(xiàn)存儲網(wǎng)絡(luò)的冗余，HBA卡的性能不能小于光纖交換機的性能要求;要實現(xiàn)存儲網(wǎng)絡(luò)的冗余，重要的是要具有四臺獨立供電，兩臺規(guī)格相同的萬兆光纖交換機和兩臺規(guī)格相同的千兆交換機。以達到冗余效果。

存儲網(wǎng)絡(luò)的物理設(shè)備達到冗余條件以后，需要對鏈路進行連接，鏈路的連接遵循雙鏈路獨立控制互不交叉的原則，要求分別以每臺光纖交換機為中心，輻射到所有物理服務(wù)器和存儲的每個控制器。

以我校實驗樓虛擬資源中心為例，用四臺物理服務(wù)器、兩臺光纖交換機與一主一備兩臺存儲搭建的VMWARR服務(wù)器虛擬化的存儲網(wǎng)絡(luò)架構(gòu)拓撲圖。

通過存儲網(wǎng)絡(luò)的冗余設(shè)計，可以保證任意一條網(wǎng)絡(luò)通道或任意一臺光纖交換機出現(xiàn)故障，不會影響整個網(wǎng)絡(luò)的通訊，從根本豐避免了單點故障造成的網(wǎng)絡(luò)中斷，同時通過冗余網(wǎng)絡(luò)，很地實現(xiàn)了數(shù)據(jù)傳輸?shù)呢撦d均衡，避免了單鏈路造成的數(shù)據(jù)擁堵，保證網(wǎng)絡(luò)安全的情況下，優(yōu)化了傳輸效果。

2.物理網(wǎng)絡(luò)的架構(gòu)設(shè)計VMWARE服務(wù)器虛擬化中，物理網(wǎng)絡(luò)主要用于物理服務(wù)器與存儲的管理、虛擬機的應(yīng)用數(shù)據(jù)訪問、虛擬機的管理和故障遷移以及USB等外設(shè)的訪問。為了保證網(wǎng)絡(luò)穩(wěn)定性和冗余要求，需要每個網(wǎng)絡(luò)功能使用獨立的網(wǎng)絡(luò)通道，每個網(wǎng)絡(luò)通道都實現(xiàn)雙鏈路冗余。

根據(jù)網(wǎng)絡(luò)功能，虛擬機的應(yīng)用需要一個獨立的網(wǎng)絡(luò)通道，VMWARE服務(wù)器虛擬化的主要功能就是保證每臺虛擬服務(wù)器具有完整的應(yīng)用和獨立的網(wǎng)絡(luò)，保證虛擬機的應(yīng)用網(wǎng)絡(luò)是VMWARE的首要條件;將管理HA使用一個物理網(wǎng)絡(luò)通道，管理網(wǎng)絡(luò)一般情況不常用，產(chǎn)生數(shù)據(jù)較少，HA主要用于實現(xiàn)服務(wù)器之間或存儲之間的故障轉(zhuǎn)移和負載均衡，對網(wǎng)絡(luò)帶寬要求也不高，管理和]IA都不是持續(xù)的數(shù)據(jù)傳輸，使用一個通道不會影響網(wǎng)絡(luò)速度;如果虛擬機有較大的變化或大數(shù)據(jù)的持續(xù)變化，數(shù)據(jù)量就會較大，需要網(wǎng)絡(luò)足夠穩(wěn)定和具有足夠的網(wǎng)絡(luò)帶寬;Vmotion使用一個獨立的網(wǎng)絡(luò)通道，因為Vmotion在對虛擬機進行集中批量維護的時候，會對網(wǎng)絡(luò)要求比較高，特別是在VMWARF環(huán)境初期，使用獨立的網(wǎng)絡(luò)會加快維護的速度，提高維護的質(zhì)量。按照上面的需要，對物理網(wǎng)絡(luò)規(guī)劃4個獨立通道，要實現(xiàn)網(wǎng)絡(luò)冗余，就要求每個物理服務(wù)器具有8個物理網(wǎng)口，四個網(wǎng)口一組連接到一個獨立的網(wǎng)絡(luò)交換機上，交換機端口的設(shè)置，需要將虛擬機應(yīng)用所在的端口設(shè)置TRUNK即串口模式，其他端口根據(jù)網(wǎng)絡(luò)需要劃分不同的Vlan。

預(yù)先規(guī)劃好網(wǎng)絡(luò)拓撲結(jié)構(gòu)，通過其功能網(wǎng)絡(luò)的獨立使用，可以避免不同應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)交叉，減少大數(shù)據(jù)聚集造成的網(wǎng)絡(luò)阻塞;同時通過網(wǎng)絡(luò)冗余實現(xiàn)了網(wǎng)絡(luò)間的熱備用，避免網(wǎng)絡(luò)故障造成的數(shù)據(jù)終端，最大程度豐保證了應(yīng)用系統(tǒng)的數(shù)據(jù)連續(xù)性。

3.虛擬網(wǎng)絡(luò)的部署按照物理網(wǎng)絡(luò)架構(gòu)的設(shè)計思路，需要構(gòu)建三到四臺虛擬交換機來實現(xiàn)虛擬機應(yīng)用、管理、HA和Vmotion的需要，后期環(huán)境穩(wěn)定以后，Vmotion的需求相對減少，可以將Vmotion的網(wǎng)絡(luò)并到虛擬機應(yīng)用中，來提高虛擬機應(yīng)用數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)帶寬，保證業(yè)務(wù)操作的流暢度。

由于虛擬環(huán)境中不會存在環(huán)境因素造成的接觸不良問題，所以虛擬環(huán)境下一般不會做雙鏈路冗余，會拿出更多的資源用于提高數(shù)據(jù)傳輸速度。

根據(jù)需要劃分為4個端口組，虛擬機使用一個單獨的端口組，管理和HA使用一個端口組，F(xiàn)T使用一個端口組，Vmotion使用一個端口組，每兩個端口組使用一個標準虛擬交換機，在每個物理主機內(nèi)建立2個虛擬標準交換機，每個虛擬機交換機連接4個物理網(wǎng)卡，組成負載均衡和故障切換的冗余方式。在標準虛擬交換機內(nèi)部同的VlanID，通過Vlan隔離不同端口組之間流量。

4.負載均衡及故障切換策略。使用負載均衡和故障切換策略確定網(wǎng)絡(luò)流量如何在網(wǎng)卡間分布，以及在網(wǎng)卡發(fā)生故障時重新路由流量。

負載均衡及故障切換策略包括以下參數(shù)：

（1）負載均衡策略：負載均衡策略確定了輸出流量是如何在連接到標準交換機的網(wǎng)卡上分布的，輸人流量由物理交換機上的負載均衡策略控制。

（2）故障切換策略：鏈路狀態(tài)和信標注探測

（3）網(wǎng)絡(luò)適配順序（活動或待機兩種）出現(xiàn)故障切換或故障恢復(fù)事件時，有時可能會失去標準交換機連接。這會導致與該標準交換機關(guān)聯(lián)的虛擬機所使用的MAC地址出現(xiàn)在與之前不同的交換機端口。為了避免此問題，可將物理交換機端口置于中繼模式。

四、結(jié)束語

我校實驗教學中心虛擬資源中心采用VMWARE產(chǎn)品虛擬化的網(wǎng)絡(luò)架構(gòu)設(shè)計，需要保證整個實驗樓各實驗室端口的網(wǎng)絡(luò)安全、穩(wěn)定的情況下，最大限度地提升網(wǎng)絡(luò)速度，實現(xiàn)網(wǎng)絡(luò)的冗余備份。由于虛擬化的特殊性，不可避免的會造成不同類型數(shù)據(jù)網(wǎng)絡(luò)的交叉以及虛擬網(wǎng)絡(luò)與物理網(wǎng)絡(luò)的交叉，要做到的合理分流、科學規(guī)劃，更好地實現(xiàn)VMWARE網(wǎng)絡(luò)的負載均衡，又能保證網(wǎng)絡(luò)安全才是VMWARE網(wǎng)絡(luò)架構(gòu)設(shè)計的初衷。

參考文獻：

[1]趙慧玲.網(wǎng)絡(luò)虛擬化及網(wǎng)絡(luò)功能虛擬化技術(shù)探討[J].中興通訊技術(shù)，2014（6）.

[2]靳曉嘉，楊舟.虛擬核心網(wǎng)IMS技術(shù)及試點應(yīng)用[J].電信工程技術(shù)與標準化，2016（9）.

[3]鄭舒，王曉東.基于NFV架構(gòu)的IMS核心網(wǎng)實現(xiàn)方案[J].電信工程技術(shù)與標準化，2016（5）.

基金項目：本文系武漢工商學院教改教研課題：虛擬化網(wǎng)絡(luò)在實驗教學中的安全設(shè)計（2017Y10）o