欢迎来到天天文库
浏览记录
ID:12345774
大小:194.00 KB
页数:5页
时间:2018-07-16
《虚拟化隔离技术探讨》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、隔离技术探讨网络内部各个部门均有独立业务,而且各职能体系之间存在信息安全、保密的实际需要,因此在建基础网络平台的同时需要考虑如何将各种业务进行逻辑隔离,确保各部门业务的独立性,并且需要考虑在部署了业务隔离之后,如何对部分数据进行共享,如何与各业务部门的原有专网进行对接。1传统隔离方法:物理隔离在虚拟化技术诞生和成熟之前,为了保证多个业务的独立性和安全性,企业往往构建和维护两套甚至多套物理网络,分别运行不同的关键业务。这种多套物理网络带来的问题有:1.维护不便。多套独立的物理网络,在基础网络管理和安全策略
2、部署方面成倍增加了网络管理员的维护工作量。2.成本高昂。需要购买的网络硬件和软件资源成本成倍增加。3.利用率低。多套物理网络分别承载不同的关键业务,网络资源整体利用率低,以及利用率不平衡,例如某些网络设备负荷偏高,而某些网络设备负荷偏低,而不能很好的做到资源共享,充分利用企业现有网络资源。4.灵活性差。在企业业务发生变化,例如业务整合、部门合并或分离等,需要对现有的业务隔离模式进行调整。当这些业务分别承载在多个相互隔离的物理网络上时,对业务的整合、互访控制就非常复杂甚至难以实施。2逻辑隔离方法随着网络技
3、术的发展,虚拟化技术得到了广泛的应用。虚拟化即是在一套物理网络上,采用逻辑隔离技术将网络资源划分为多个逻辑隔离的虚拟通道,虚拟通道间既能达到与物理隔离等同的安全保证,也可以灵活控制某条虚拟通道中的业务对其他虚拟通道的访问。虚拟化技术根据隔离的层次可以分为VLAN和VPN两种:2.1VLAN技术VLAN(VirtualLocalAreaNetwork,虚拟局域网)是一种二层隔离技术,其原理是在交换机上划分多个VLAN,某一个VLAN内的用户是相互可访问的,但一个VLAN的数据包在二层交换机上不会发送到另一
4、个VLAN,这样,其他VLAN的用户的网络上收不到任何该VLAN的数据包,这样就确保了该VLAN的信息不会被其他VLAN的人所窃听,从而实现了信息的保密。由于VLAN是逻辑上对网络进行划分,组网方案灵活,配置管理简单,降低了管理维护的成本,在L2网络中是一种安全高效的虚拟化技术。VLAN用户之间的三层隔离部署VLAN的安全隔离仅限于L2网络,但纯粹L2网络在可扩展性、性能和故障排除方面有一定局限性,因此园区网中核心和汇聚执行L3交换得到了普遍的应用。网络中存在L3转发设备时,除了使用VLAN将用户和业务
5、进行隔离外,还必须考虑在L3设备上对用户的互访进行控制,即部署ACL访问策略。如上图所示,不同VLAN的用户,通过中间的路由器设备,则可以将一个VLAN的报文转发到另一个VLAN,从而达到互访的目的。因此,VLAN的隔离在三层转发设备上终结后,还需要在三层转发设备上部署访问策略控制(ACL),控制各个VLAN内业务的互访。VLAN+ACL隔离技术分析通过VLAN实现二层隔离,ACL控制三层互访的方式自20世纪90年代以来获得了广泛的应用,随着网络规模的增大和网络业务的增加,用户对网络安全性、稳定性、可靠
6、性、利用率要求的提高,VLAN+ACL方式逐渐暴露了以下不足:1.大规模部署困难。随着网络规模逐步增大、需要隔离和互访的业务增多,ACL访问控制策略的部署也成倍增加,对企业网络VLAN规划、IP地址规划也提出了更高的要求。一个非规律性的IP地址规划,会导致ACL策略部署的难度急剧增加,甚至无法实施。2.存在潜在的安全漏洞。大量的ACL部署,在加重网络管理员设计和配置的工作量的同时,也增加了网络管理员设计不全面以及配置错误的可能。这种潜在安全漏洞也随着网络规模的增大显著增加。3.链路利用率低。二层网络的一
7、个广播域中不能出现环路,因此会将部署的部分冗余链路阻塞,导致链路资源空闲。4.网络收敛慢。二层网络通过部署STP/RSTP/MSTP协议维护网络的链路状态,避免环路。但网络出现故障后,STP/RSTP/MSTP协议需要一定的时间重新收敛,这个时间一般在2S~30S左右,并且在收敛过程中也有可能出现环路,导致网络转发错误。5.网络稳定性不高。二层网络容易出现广播风暴、ARP攻击等,导致网络拥塞、转发不通,网络整体稳定性不高。6.灵活性不高,管理维护困难。大量的ACL部署,使得在网络扩展和业务增加时,需要在
8、原设备和新设备上同步部署大量的附加ACL,大大增加网络规划和部署难度。此外,一旦出现不通、安全漏洞等现象,网络中大量的ACL也给故障排查和确认带来极大的工作量。2.2VPN技术VPN(VirtualPrivateNetwork,虚拟私有网)是一种基于三层的隔离技术,在20世纪90年代中期兴起,旨在通过公用网络设施实现类似专线的私有连接。其原理是在三层转发设备(路由器或三层交换机)上为每个VPN建立专用的VRF(VirtualRouteFor
此文档下载收益归作者所有