网络虚拟化实用功能综述.docxVIP

网络虚拟化实用功能综述 　　摘要随着虚拟化技术的进步，不仅计算和存储可以实现虚拟化，同样网络也可以实现虚拟化。物理网络存在管理不够灵活，管理不独立，技术受限较多等问题，而网络虚拟化提供的功能正好可以弥补物理网络的不足。虚拟化网络能够部署在任何ip网络上，且无须对数据中心的底层网络进行重构。网络虚拟化可以提供几乎所有的网络服务，如：路由器、负载均衡、防火墙等。除了这些常规功能，网络虚拟化还能够提供一些更加实用的功能，如：微分段、分布式软件防火墙、动态迁移增强、网络自动化等。 　　关键词网络虚拟化;微分段;分布式防火墙 　　随着虚拟化技术的进步，不仅计算和存储可以实现虚拟化，同样网络也可以实现虚拟化，而整个数据中心的物理基础架构可以通过虚拟化的方式重新构建，网络虚拟化就是其中的一个重要组成部分。物理网络存在管理不够灵活，管理不独立，技术受限较多等问题，而网络虚拟化提供的功能正好可以弥补物理网络的不足[1]。就像服务器虚拟化可以通过软件方式创建、删除和还原虚机以及拍摄快照一样，网络虚拟化也可以通过软件方式对虚拟网络实现同样的功能。通过网络虚拟化构建的虚拟化网络能够部署在任何ip网络上，且无须对数据中心的底层网络进行重构。 　　在软件定义数据中心中，不同的应用被安装在独立的虚机中，我们通过虚拟化网络将各个虚机的网络都连接在一个分布式交换机上，所有虚机的网络通信都是通过这个分布式交换机实现的。网络虚拟化通过分布式交换机把虚机和物理网络隔离开，做到了网络服务与实际的物理网络设备分离，使我们在网络设备的选择和采购上有着更大的灵活性[2]。网络虚拟化可以提供几乎所有的网络服务，如：路由器、负载均衡、防火墙等。除了这些常规的功能，网络虚拟化还能够提供一些更实用的功能，如：微分段、分布式软件防火墙、动态迁移增强、网络自动化等。 　　1微分段 　　网络虚拟化中的微分段是一种基于零信任架构的高效网络安全解决方案，主要用于解决当前以边界为中心的网络安全所存在的问题。它可以将不相关的网络完全隔离，进而实现高效可靠的安全防护与访问控制。 　　我们可以用微分段在数据中心内部对虚机进行隔离，把不同业务部门的虚机分隔在不同的安全组里。管理员可以根据虚机名、虚机的操作系统、虚机属性来定义安全组，在虚拟化网络上，跨安全组的访问是不可能发生的[3]。只有同一安全组的虚机才可以相互访问，这些虚机就好像连接在同一個物理网段上。实际上，这些虚机可能是分布在不同物理服务器上的，这些物理服务器可能位于不同的物理网段，微分段在虚拟网络上把这些虚机与其他网络相隔离。在同一安全组内部，我们还可以根据业务需要在虚机之间设立防火墙，确保虚机之间只进行必需的网络通信。 　　2分布式软件防火墙 　　通常我们把数据中心内部和外部的流量称之为南北向流量，数据中心内部的网络流量称之为东西向流量。边界防火墙虽然能够很好地控制南北向流量，减轻来自于外部的攻击风险，但是对于数据中心内部却没有任何的防范措施。 　　同样基于零信任架构，使用网络虚拟化提供的分布式软件防火墙可以更方便的管理东西向流量。因为是完全基于软件的虚拟防火墙，可以做到每台虚机都配备一个防火墙。虽然防火墙是分布式的，但是管理方式是集中管理，通过统一的管理界面来控制所有的虚拟防火墙，并集中配置安全规则，因此这种方式在管理上更加简便。 　　分布式防火墙对于东西向流量的管理也更为高效。处于同一台物理服务器上的虚机，它们之间的网络通信就可以就近由虚拟防火墙来处理，网络数据包甚至都不需要出物理服务器，就可以直接通过虚拟交换机传送到目的地。位于不同物理服务器的虚机之间，网络数据包也可以通过机柜内部的交换机和内部的虚拟防火墙来传输，这样可以明显减少网络路由的跳数，使网络传输效率大大提高，同时也有效降低了边界防火墙的工作负载。 　　3动态迁移增强 　　动态迁移技术可以让虚机在不中断的情况下从一台物理服务器迁移到另一台物理服务器，但受制于二层网络的物理架构，局限性较大。通过网络虚拟化构建扩展的大二层网络，可以使虚机实现更大跨度的迁移，可以实现不改变网络配置的跨数据中心的动态迁移[4]。 　　网络虚拟化配合数据中心的管理系统为虚机提供在不改变ip地址的前提下进行迁移的功能。在虚拟化网络环境中，可以把虚机所依赖的整个虚拟网络环境以及对应的网络安全策略迁移到新的服务器上运行，甚至虚机的运行状态和连接状态也会跟随着应用一起迁移到新的运行环境，从而保证业务的持续性。这就好比让虚机搬家，在搬家的时候，保证虚机上运行的业务不能中断一样。 　　4网络自动化管理 　　网络虚拟化的功能都是由软件来实现的，所以使用网络虚拟化的管理程序能够动态地创建网络