設為首頁 | 加入收藏 | 聯系我們
小廣播:
2019/10/21 19:18:20
技術問題  
技術問題
 
陜西兆通利合數碼科技有限公司
地址:唐延南路與錦業二路交界逸翠尚府
3A期2棟6單元902室
電話:029-68723601-05
傳真:029-68723600
手 機:13991149922
E-mail:[email protected]
網 址:www.ofckbw.icu
 
技術問題 你當前的位置:首頁 >> 技術問題 >> 技術問題
數據中心網絡業務隔離技術淺析

(2014-2-17)   Hits:1071

數據中心承載的業務是多種多樣的,數據中心需要通過各種各樣的技術來滿足用戶的各類需求,其中最常見的需求就是對各種業務的訪問進行控制,對業務進行隔離。數據中心有很多種方法實現,比如:防火墻、ACL、策略路由等方法。本文將主要講述通過數據中心的網絡基礎技術實現業務隔離的方法。

數據中心為什么要進行業務隔離?

業務隔離對于數據中心非常重要,對于一個企業,各個部門之間的訪問要受到嚴格控制,有些涉及到機密、內部的文件不希望被別的部門或者是外部知道,就必須進行高隔離,比如財務部門,財務很多的業務都要向其它部門員工保密,對外界更是要嚴格封鎖消息。這樣就需要對財務部門內部的交流進行隔離,對其它部門財務部門基于網絡的內部交互都不可見,這就要通過業務隔離實現。現在很多企業都租用數據中心,由數據中心提供服務,當然企業最基本的要求就是企業內部的業務不能被外界所知,尤其涉及機密的信息,這就需要進行業務隔離,數據中心通過使用網絡隔離技術可以很好地實現這些需求。

端口隔離

數據中心網絡設備有很多物理端口,用于連接設備或者服務器,有時即使多個端口在同一VLAN中,也需要進行業務隔離,這時端口隔離技術應運而生,端口隔離通過端口掩碼技術將同屬于一個VLAN的多個端口之間隔離開。已經隔離開的端口要想實現互通,必須要上游設備上開始代理,才能互通。通過使用端口隔離和VLAN技術可以很好地實現二層業務的隔離。如果數據中心將業務部署在了一個大二層的網絡中,那么通過給不同的業務提供不同的隔離組就可以輕松實現。

VLAN

802.1Q標準是VLAN技術實現的基礎,它系統的規劃了VLAN技術的應用架構、工作機制以及實現這一標準的具體技術規范,其通過在以太報文二層頭中增加TAG來實現業務的二層隔離,802.1Q Tag標記是802.1Q數據幀區別于其它數據幀的核心標志。VLAN是以太網最古老的一種技術,其可以根據協議類型、端口、MAC等特征進行劃分,對不同的業務打上不同的TAG,這樣不同TAG之間的應用業務就天然實現了隔離。我們可以在數據中心的接入側對不同業務進行TAG標注,這樣業務之間就實現了隔離。隨著技術的發展,現在通過VLAN技術演變出來了不少新技術,比如靈活QINQ、XVLAN、SUB VLAN等等,這些技術不僅具有VLAN基本的隔離技術,還擁有了很多新技術特征。這些新技術已經開始有了不少應用,尤其是靈活QINQ,幾乎成為了運營商網絡的必備技術,因為靈活QINQ很好地將運營商網絡和用戶網絡很好地隔離起來。雖然現在數據中心出現了不少二層技術,但VLAN這種古老技術仍是應用最為頻繁、最為廣泛的。

VPN

VPN(Virtual Private Network,虛擬私有網)是近年來隨著網絡的發展而迅速發展起來的一種網絡技術,其利用公共網絡來構建的私有專用網絡稱為VPN。按照OSI參考模型,VPN可以分為一層VPN,二層VPN,三層VPN,傳輸層VPN,應用層VPN。VPN技術涵蓋了OSI的所有網絡層,在這其中的VPN技術屬三層VPN應用最為廣泛,所以實際上VPN就是一種三層隔離技術,其強調私有網絡的安全性和可靠性。通過VPN可以將三層網絡劃分為不同的區域給不同的業務私用。現在VPN技術已經衍生出多種技術,比如:MPLS、L3VPN、L2VPN、VPLS、VLL等技術。VPN技術通過網絡設備進行隔離,并不對報文內容進行修改,只是在網絡設備上通過VPN配置,確保相同的三層業務劃分到一個VPN中。而MPLS、VPLS、VLL等技術已經對報文內容進行了修改,其接入網絡必須要配置VPN。現在對僅提供VPN技術的網絡設備稱為CE或者MCE設備,對于能提供MPLS能力的設備成為PE或P設備。VPN技術已經成為企業數據中心必備的技術之一。

一虛多虛擬化技術

隨著網絡虛擬化技術的普及,幾乎所有的高端網絡設備都可以提供虛擬化技術。一般虛擬化包含兩個方面的技術:一是多虛一;二是一虛多。一虛多可以將一臺設備(這一臺設備也可以是多臺設備虛擬化為一臺的設備)隔離成為多臺相互獨立的虛擬設備,一虛多實際上也是一種實現了二三層同時隔離的技術。這種技術與基于PC操作系統實現的VMware的虛擬桌面、虛擬機技術類似。在一臺網絡設備上就可以虛擬出多臺設備,虛擬出的每臺設備都可以租給不同的企業使用,這些虛擬設備之間業務完全隔離,無法互通。

以上這些隔離技術在數據中心中大量應用,基于這些技術已經發展多了更多的隔離技術。通過這些隔離技術,數據中心可以滿足用戶多種多樣的需求,迅速完成業務部署。隨著人們對信息安全越來越關注,對業務隔離提出了更高的要求,不僅是業務隔離,還要具備完備的安全性,防止信息泄露。所以數據中心僅部署這些業務隔離的技術是遠遠不夠的,這些隔離技術缺乏安全認證的功能,所以還要和一些安全認證的技術配合使用。比如:802.1X、Radius、Portal等認證技術,這樣可以大大增加業務隔離的安全性。數據中心的網絡技術在不斷的技術,現在的網絡技術名詞五花八門,有些技術名詞甚至不知所云,說的讓人云山霧罩。其實最重要的仍是這些古老的業務隔離技術,在這些技術上做一些小的優化,無疑是井上添花,可以讓數據中心提供的業務更加豐富。請不要再去關注那些過于新潮的技術,對于你的數據中心,部署那些技術很可能是畫蛇添足,用之乏味,除了耗盡你的財力沒有更多的意義。

Copyright @ 2009 陜西兆通利合數碼有限公司 All Rights Reserved.
地址:唐延南路與錦業二路交界逸翠尚府3A期2棟6單元902室 電話:029-68723601-05 傳真:029-68723600
技術支持:西安網站制作 陜ICP備12010729號-1 腾讯手游游戏大全