私有VLAN技术在企业数据中心中应用.docVIP

私有VLAN技术在企业数据中心中应用 　　摘要：本文以当前日益发展的企业数据中心为背景，很多企业在投入大量的人力和物力组建数据中心时，往往忽略了其安全性，从而可能会使数据丢失甚至泄露。基于以上情况，本文提出了应用私有VLAN技术来保障数据中心的安全。首先介绍了私有VLAN产生的原因，私有VLAN的原理及其作用等，然后依据具体的企业数据中心项目案例来实现私有VLAN技术在企业数据中心中的应用，既满足了该项目的需求，同时又保障了企业数据中心的安全。 　　关键词：私有VLAN技术 数据中心 信息安全 　　中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2016）09-0063-03 　　1 引言 　　随着时代的进步，信息化无处不在，涉及我们生活、工作和学习等方方面面，而作为信息化的核心部分―数据中心也就变得至关重要。数据中心是企业的业务系统与数据资源进行集中、集成、共享和分析的场地、工具、流程等的有机组合。从应用层面看，包括业务系统、基于数据仓库的分析系统；从数据层面看，包括操作型数据和分析型数据以及数据与数据的集成/整合流程；从基础设施层面看，包括服务器、网络、存储和整体IT 运行维护服务[1]。 　　但是很多企业在投入大量的人力和物力建设数据中心的同时，在其安全方面考虑不多，因此在数据中心投入使用后出现了较多的安全问题。数据中心安全围绕数据为核心，从数据的访问、使用、破坏、修改、丢失和泄漏等多方面展开，一般来说包括以下几个方面： 　　（1）物理安全：主要指数据中心机房的安全，包括机房的选址，机房场地安全，防电磁辐射泄漏，防静电，防火等内容；（2）网络安全：指数据中心网络自身的设计、构建和使用以及基于网络的各种安全相关的技术和手段，如防火墙，IPS，安全审计等；（3）系统安全：包括服务器操作系统，数据库，中间件等在内的系统安全，以及为提高这些系统的安全性而使用安全评估管理工具所进行的系统安全分析和加固；（4）数据安全：数据的保存以及备份和恢复设计；（5）信息安全：完整的用户身份认证以及安全日志审计跟踪，以及对安全日志和事件的统一分析和记录。 　　抛开物理安全的考虑，网络是数据中心所有系统的基础平台，网络安全从而成为数据中心安全的基础支持。因此合理的网络安全体系设计、构建安全可靠的数据中心基础网络平台是进行数据中心安全建设的基本内容[2]。 　　本文就以数据中心的安全问题入手，提出使用私有VLAN技术可以保障企业数据中心的安全，并给出相应的解决实现方案。下面首先来介绍私有VLAN技术。 　　2 私有VLAN技术简介 　　2.1 私有VLAN技术的产生 　　随着网络的迅速发展，用户对于网络数据通信的安全性提出了更高的要求，诸如防范黑客攻击、控制病毒传播等，都要求保证网络用户通信的相对安全性；传统的解决方法是给每个客户分配一个VLAN和相关的IP子网，通过使用VLAN，每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听。 然而，这种分配每个客户单一VLAN和IP子网的模型造成了巨大的可扩展方面的局限[3]。这些局限主要有下述几方面： 　　（1）为每个客户都分配一个不同的VLAN就需要在服务提供商的网络设备上使用大量的三层接口； 　　（2）当很多VLAN互相通信时，生成树就会变得非常复杂； 　　（3）管理员必须将网络地址空间分为很多子网，而这样做会浪费地址空间，并且增加网络的复杂程度； 　　（4）管理员需要使用很多ACL应用来确保这些VLAN的安全性，这也会增加网络管理员的复杂程度。 　　基于以上情况产生了私有VLAN技术，该技术可以让交换机共享一部分端口，而又隔离一部分端口，同时所有这些端口还都位于同一个VLAN中。 　　2.2 私有VLAN技术的原理 　　2.2.1 私有VLAN的VLAN类型 　　每个私有VLAN包含2种VLAN类型：主VLAN（Primary VLAN）和辅助VLAN（Secondary VLAN），而辅助VLAN（Secondary VLAN）又包含两种类型：隔离VLAN（Isolated VLAN）和团体VLAN（Community VLAN）。其中Primary VLAN把流量从混杂端口传送到隔离、团体和同一个VLAN内部的其它主要混杂端口；Isolated VLAN把流量从隔离端口传送到一个混杂端口。Isolated VLAN中的端口，使其不能与私有VLAN内部的任何其它端口进行第2层通信。若要与其它端口通信，则必须穿越混杂端口；在相同Community VLAN内部的团体端口之间传送流量并传送到混杂端口，Community VLAN内的端口可以在第2层彼此通信，但是不能与其它团体或隔离VLAN的端口进行通信。若要与其