企業(yè)網(wǎng)D1Net  2月13日 數(shù)據(jù)中心承載的業(yè)務(wù)是多種多樣的，數(shù)據(jù)中心需要通過各種各樣的技術(shù)來滿足用戶的各類需求，其中最常見的需求就是對(duì)各種業(yè)務(wù)的訪問進(jìn)行控制，對(duì)業(yè)務(wù)進(jìn)行隔離。數(shù)據(jù)中心有很多種方法實(shí)現(xiàn)，比如：防火墻、ACL、策略路由等方法。本文將主要講述通過數(shù)據(jù)中心的網(wǎng)絡(luò)基礎(chǔ)技術(shù)實(shí)現(xiàn)業(yè)務(wù)隔離的方法。

數(shù)據(jù)中心為什么要進(jìn)行業(yè)務(wù)隔離?

業(yè)務(wù)隔離對(duì)于數(shù)據(jù)中心非常重要，對(duì)于一個(gè)企業(yè)，各個(gè)部門之間的訪問要受到嚴(yán)格控制，有些涉及到機(jī)密、內(nèi)部的文件不希望被別的部門或者是外部知道，就必須進(jìn)行高隔離，比如財(cái)務(wù)部門，財(cái)務(wù)很多的業(yè)務(wù)都要向其它部門員工保密，對(duì)外界更是要嚴(yán)格封鎖消息。這樣就需要對(duì)財(cái)務(wù)部門內(nèi)部的交流進(jìn)行隔離，對(duì)其它部門財(cái)務(wù)部門基于網(wǎng)絡(luò)的內(nèi)部交互都不可見，這就要通過業(yè)務(wù)隔離實(shí)現(xiàn)?，F(xiàn)在很多企業(yè)都租用數(shù)據(jù)中心，由數(shù)據(jù)中心提供服務(wù)，當(dāng)然企業(yè)最基本的要求就是企業(yè)內(nèi)部的業(yè)務(wù)不能被外界所知，尤其涉及機(jī)密的信息，這就需要進(jìn)行業(yè)務(wù)隔離，數(shù)據(jù)中心通過使用網(wǎng)絡(luò)隔離技術(shù)可以很好地實(shí)現(xiàn)這些需求。

端口隔離

數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備有很多物理端口，用于連接設(shè)備或者服務(wù)器，有時(shí)即使多個(gè)端口在同一VLAN中，也需要進(jìn)行業(yè)務(wù)隔離，這時(shí)端口隔離技術(shù)應(yīng)運(yùn)而生，端口隔離通過端口掩碼技術(shù)將同屬于一個(gè)VLAN的多個(gè)端口之間隔離開。已經(jīng)隔離開的端口要想實(shí)現(xiàn)互通，必須要上游設(shè)備上開始代理，才能互通。通過使用端口隔離和VLAN技術(shù)可以很好地實(shí)現(xiàn)二層業(yè)務(wù)的隔離。如果數(shù)據(jù)中心將業(yè)務(wù)部署在了一個(gè)大二層的網(wǎng)絡(luò)中，那么通過給不同的業(yè)務(wù)提供不同的隔離組就可以輕松實(shí)現(xiàn)。

VLAN

802.1Q標(biāo)準(zhǔn)是VLAN技術(shù)實(shí)現(xiàn)的基礎(chǔ)，它系統(tǒng)的規(guī)劃了VLAN技術(shù)的應(yīng)用架構(gòu)、工作機(jī)制以及實(shí)現(xiàn)這一標(biāo)準(zhǔn)的具體技術(shù)規(guī)范，其通過在以太報(bào)文二層頭中增加TAG來實(shí)現(xiàn)業(yè)務(wù)的二層隔離，802.1Q Tag標(biāo)記是802.1Q數(shù)據(jù)幀區(qū)別于其它數(shù)據(jù)幀的核心標(biāo)志。VLAN是以太網(wǎng)最古老的一種技術(shù)，其可以根據(jù)協(xié)議類型、端口、MAC等特征進(jìn)行劃分，對(duì)不同的業(yè)務(wù)打上不同的TAG，這樣不同TAG之間的應(yīng)用業(yè)務(wù)就天然實(shí)現(xiàn)了隔離。我們可以在數(shù)據(jù)中心的接入側(cè)對(duì)不同業(yè)務(wù)進(jìn)行TAG標(biāo)注，這樣業(yè)務(wù)之間就實(shí)現(xiàn)了隔離。隨著技術(shù)的發(fā)展，現(xiàn)在通過VLAN技術(shù)演變出來了不少新技術(shù)，比如靈活QINQ、XVLAN、SUB VLAN等等，這些技術(shù)不僅具有VLAN基本的隔離技術(shù)，還擁有了很多新技術(shù)特征。這些新技術(shù)已經(jīng)開始有了不少應(yīng)用，尤其是靈活QINQ，幾乎成為了運(yùn)營商網(wǎng)絡(luò)的必備技術(shù)，因?yàn)殪`活QINQ很好地將運(yùn)營商網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)很好地隔離起來。雖然現(xiàn)在數(shù)據(jù)中心出現(xiàn)了不少二層技術(shù)，但VLAN這種古老技術(shù)仍是應(yīng)用最為頻繁、最為廣泛的。

VPN

VPN（Virtual Private Network，虛擬私有網(wǎng)）是近年來隨著網(wǎng)絡(luò)的發(fā)展而迅速發(fā)展起來的一種網(wǎng)絡(luò)技術(shù)，其利用公共網(wǎng)絡(luò)來構(gòu)建的私有專用網(wǎng)絡(luò)稱為VPN。按照OSI參考模型，VPN可以分為一層VPN，二層VPN，三層VPN，傳輸層VPN，應(yīng)用層VPN。VPN技術(shù)涵蓋了OSI的所有網(wǎng)絡(luò)層，在這其中的VPN技術(shù)屬三層VPN應(yīng)用最為廣泛，所以實(shí)際上VPN就是一種三層隔離技術(shù)，其強(qiáng)調(diào)私有網(wǎng)絡(luò)的安全性和可靠性。通過VPN可以將三層網(wǎng)絡(luò)劃分為不同的區(qū)域給不同的業(yè)務(wù)私用?，F(xiàn)在VPN技術(shù)已經(jīng)衍生出多種技術(shù)，比如：MPLS、L3VPN、L2VPN、VPLS、VLL等技術(shù)。VPN技術(shù)通過網(wǎng)絡(luò)設(shè)備進(jìn)行隔離，并不對(duì)報(bào)文內(nèi)容進(jìn)行修改，只是在網(wǎng)絡(luò)設(shè)備上通過VPN配置，確保相同的三層業(yè)務(wù)劃分到一個(gè)VPN中。而MPLS、VPLS、VLL等技術(shù)已經(jīng)對(duì)報(bào)文內(nèi)容進(jìn)行了修改，其接入網(wǎng)絡(luò)必須要配置VPN?，F(xiàn)在對(duì)僅提供VPN技術(shù)的網(wǎng)絡(luò)設(shè)備稱為CE或者M(jìn)CE設(shè)備，對(duì)于能提供MPLS能力的設(shè)備成為PE或P設(shè)備。VPN技術(shù)已經(jīng)成為企業(yè)數(shù)據(jù)中心必備的技術(shù)之一。

一虛多虛擬化技術(shù)

隨著網(wǎng)絡(luò)虛擬化技術(shù)的普及，幾乎所有的高端網(wǎng)絡(luò)設(shè)備都可以提供虛擬化技術(shù)。一般虛擬化包含兩個(gè)方面的技術(shù)：一是多虛一；二是一虛多。一虛多可以將一臺(tái)設(shè)備（這一臺(tái)設(shè)備也可以是多臺(tái)設(shè)備虛擬化為一臺(tái)的設(shè)備）隔離成為多臺(tái)相互獨(dú)立的虛擬設(shè)備，一虛多實(shí)際上也是一種實(shí)現(xiàn)了二三層同時(shí)隔離的技術(shù)。這種技術(shù)與基于PC操作系統(tǒng)實(shí)現(xiàn)的VMware的虛擬桌面、虛擬機(jī)技術(shù)類似。在一臺(tái)網(wǎng)絡(luò)設(shè)備上就可以虛擬出多臺(tái)設(shè)備，虛擬出的每臺(tái)設(shè)備都可以租給不同的企業(yè)使用，這些虛擬設(shè)備之間業(yè)務(wù)完全隔離，無法互通。

以上這些隔離技術(shù)在數(shù)據(jù)中心中大量應(yīng)用，基于這些技術(shù)已經(jīng)發(fā)展多了更多的隔離技術(shù)。通過這些隔離技術(shù)，數(shù)據(jù)中心可以滿足用戶多種多樣的需求，迅速完成業(yè)務(wù)部署。隨著人們對(duì)信息安全越來越關(guān)注，對(duì)業(yè)務(wù)隔離提出了更高的要求，不僅是業(yè)務(wù)隔離，還要具備完備的安全性，防止信息泄露。所以數(shù)據(jù)中心僅部署這些業(yè)務(wù)隔離的技術(shù)是遠(yuǎn)遠(yuǎn)不夠的，這些隔離技術(shù)缺乏安全認(rèn)證的功能，所以還要和一些安全認(rèn)證的技術(shù)配合使用。比如：802.1X、Radius、Portal等認(rèn)證技術(shù)，這樣可以大大增加業(yè)務(wù)隔離的安全性。數(shù)據(jù)中心的網(wǎng)絡(luò)技術(shù)在不斷的技術(shù)，現(xiàn)在的網(wǎng)絡(luò)技術(shù)名詞五花八門，有些技術(shù)名詞甚至不知所云，說的讓人云山霧罩。其實(shí)最重要的仍是這些古老的業(yè)務(wù)隔離技術(shù)，在這些技術(shù)上做一些小的優(yōu)化，無疑是井上添花，可以讓數(shù)據(jù)中心提供的業(yè)務(wù)更加豐富。請(qǐng)不要再去關(guān)注那些過于新潮的技術(shù)，對(duì)于你的數(shù)據(jù)中心，部署那些技術(shù)很可能是畫蛇添足，用之乏味，除了耗盡你的財(cái)力沒有更多的意義。