数据中心承载的业务是多种多样的,数据中心需要通过各种各样的技术来满足用户的各类需求,其中最常见的需求就是对各种业务的访问进行控制,对业务进行隔离。数据中心有很多种方法实现,比如:防火墙、ACL、策略路由等方法。本文将主要讲述通过数据中心的网络基础技术实现业务隔离的方法。
数据中心为什么要进行业务隔离?
业务隔离对于数据中心非常重要,对于一个企业,各个部门之间的访问要受到严格控制,有些涉及到机密、内部的文件不希望被别的部门或者是外部知道,就必须进行高隔离,比如财务部门,财务很多的业务都要向其它部门员工保密,对外界更是要严格封锁消息。这样就需要对财务部门内部的交流进行隔离,对其它部门财务部门基于网络的内部交互都不可见,这就要通过业务隔离实现。现在很多企业都租用数据中心,由数据中心提供服务,当然企业最基本的要求就是企业内部的业务不能被外界所知,尤其涉及机密的信息,这就需要进行业务隔离,数据中心通过使用网络隔离技术可以很好地实现这些需求。
端口隔离
数据中心网络设备有很多物理端口,用于连接设备或者服务器,有时即使多个端口在同一VLAN中,也需要进行业务隔离,这时端口隔离技术应运而生,端口隔离通过端口掩码技术将同属于一个VLAN的多个端口之间隔离开。已经隔离开的端口要想实现互通,必须要上游设备上开始代理,才能互通。通过使用端口隔离和VLAN技术可以很好地实现二层业务的隔离。如果数据中心将业务部署在了一个大二层的网络中,那么通过给不同的业务提供不同的隔离组就可以轻松实现。
VLAN
802.1Q标准是VLAN技术实现的基础,它系统的规划了VLAN技术的应用架构、工作机制以及实现这一标准的具体技术规范,其通过在以太报文二层头中增加TAG来实现业务的二层隔离,802.1Q Tag标记是802.1Q数据帧区别于其它数据帧的核心标志。VLAN是以太网最古老的一种技术,其可以根据协议类型、端口、MAC等特征进行划分,对不同的业务打上不同的TAG,这样不同TAG之间的应用业务就天然实现了隔离。我们可以在数据中心的接入侧对不同业务进行TAG标注,这样业务之间就实现了隔离。随着技术的发展,现在通过VLAN技术演变出来了不少新技术,比如灵活QINQ、XVLAN、SUB VLAN等等,这些技术不仅具有VLAN基本的隔离技术,还拥有了很多新技术特征。这些新技术已经开始有了不少应用,尤其是灵活QINQ,几乎成为了运营商网络的必备技术,因为灵活QINQ很好地将运营商网络和用户网络很好地隔离起来。虽然现在数据中心出现了不少二层技术,但VLAN这种古老技术仍是应用最为频繁、最为广泛的。
VPN
VPN(Virtual Private Network,虚拟私有网)是近年来随着网络的发展而迅速发展起来的一种网络技术,其利用公共网络来构建的私有专用网络称为VPN。按照OSI参考模型,VPN可以分为一层VPN,二层VPN,三层VPN,传输层VPN,应用层VPN。VPN技术涵盖了OSI的所有网络层,在这其中的VPN技术属三层VPN应用最为广泛,所以实际上VPN就是一种三层隔离技术,其强调私有网络的安全性和可靠性。通过VPN可以将三层网络划分为不同的区域给不同的业务私用。现在VPN技术已经衍生出多种技术,比如:MPLS、L3VPN、L2VPN、VPLS、VLL等技术。VPN技术通过网络设备进行隔离,并不对报文内容进行修改,只是在网络设备上通过VPN配置,确保相同的三层业务划分到一个VPN中。而MPLS、VPLS、VLL等技术已经对报文内容进行了修改,其接入网络必须要配置VPN。现在对仅提供VPN技术的网络设备称为CE或者MCE设备,对于能提供MPLS能力的设备成为PE或P设备。VPN技术已经成为企业数据中心必备的技术之一。
一虚多虚拟化技术
随着网络虚拟化技术的普及,几乎所有的高端网络设备都可以提供虚拟化技术。一般虚拟化包含两个方面的技术:一是多虚一;二是一虚多。一虚多可以将一台设备(这一台设备也可以是多台设备虚拟化为一台的设备)隔离成为多台相互独立的虚拟设备,一虚多实际上也是一种实现了二三层同时隔离的技术。这种技术与基于PC操作系统实现的VMware的虚拟桌面、虚拟机技术类似。在一台网络设备上就可以虚拟出多台设备,虚拟出的每台设备都可以租给不同的企业使用,这些虚拟设备之间业务完全隔离,无法互通。
以上这些隔离技术在数据中心中大量应用,基于这些技术已经发展多了更多的隔离技术。通过这些隔离技术,数据中心可以满足用户多种多样的需求,迅速完成业务部署。随着人们对信息安全越来越关注,对业务隔离提出了更高的要求,不仅是业务隔离,还要具备完备的安全性,防止信息泄露。所以数据中心仅部署这些业务隔离的技术是远远不够的,这些隔离技术缺乏安全认证的功能,所以还要和一些安全认证的技术配合使用。比如:802.1X、Radius、Portal等认证技术,这样可以大大增加业务隔离的安全性。数据中心的网络技术在不断的技术,现在的网络技术名词五花八门,有些技术名词甚至不知所云,说的让人云山雾罩。其实最重要的仍是这些古老的业务隔离技术,在这些技术上做一些小的优化,无疑是井上添花,可以让数据中心提供的业务更加丰富。请不要再去关注那些过于新潮的技术,对于你的数据中心,部署那些技术很可能是画蛇添足,用之乏味,除了耗尽你的财力没有更多的意义。