虛擬化在數據中心的應用

武漢分公司網絡分為管理業務網和實時生產數據網，管理業務網覆蓋公司所有部門，涉及ERP、OA、人力資源等業務數據，實時生產數據網主要涉及實時數據采集、視頻監控、安全環保監測等生產數據，兩網之間以防火墻進行邏輯隔離。

網絡改造前，公司管理業務網絡和實時生產數據網絡中都沒有數據中心，服務器都是直接聯入網絡，沒有比較好的手段來保證服務器系統安全，根據公司網絡改造要求，需建立獨立的數據中心，在有限經費的情況下，如何利用一套網絡設備，完成管理業務數據和實時生產數據兩個數據中心的搭建，成為考慮的重點。

數據中心建設

建設目標

為服務器搭建專用網絡架構，全萬兆互聯、服務器千兆接入、重要應用雙線冗余，與用戶業務網絡用防火墻進行邏輯隔離，提高服務器區穩定性和安全性。

采用的技術

Virtual Device Context（VDC）

VDC是一種一虛多的技術，將一個物理設備虛擬成多個邏輯設備，每個邏輯設備的故障隔離、管理隔離、地址分配隔離、自適應資源管理、service differentiation domains。目前VDC僅在Cisco N7K平臺支持。

虛擬出的VDC有以下特色：

（1）每個 VDC 都有獨立的容錯才能，其間一個VDC出故障不會影響其他VDC的正常運轉，完成故障阻隔。如下圖若是VDC2出現故障并不會影響 VDC1，3，4 等的正常運轉。

（2）獨立的管理接口，進入物理設備的VDC實例進行管理各自的VDC。管理員能夠別離進入不相同的VDC域中對每個VDC進行管理和裝備，相互之間不受影響，對外看來就好像對不相同的物理設備進行管理操控。

（3）獨立的地址分配，每個VDC就是一個獨立的網絡。

（4）具有各自獨立的接口資源管理。端口分配到各個VDC，可是分配成功后不能在VDC之間同享，只要某一端口分配到其間一個VDC，這個端口就不能在分配給其他的VDC。（包括管理地址）

在本次數據中心搭建中，虛擬出來的每個VDC就是一臺設備的方式呈現在管理員面前。每個VDC運轉各自的軟件進程。VDC還虛擬出獨立的操控面，包含了所以有軟件功能，比如ospf協議，bgp協議等等。一切控制層面以及數據層面的數據都是由各自的VDC獨立完成的。

VDOM虛擬域設置可以使一臺防火墻設備能夠根據服務商的管理安全服務器對多個網絡提供獨立的防火墻與路由服務，使將一臺物理防火墻劃分為兩個或兩個以上的可以獨立運行的虛擬防火墻技術。VDOM優勢在于簡化管理、保持安全性、便捷的VDOM添加與減少。

獨立的VDO M各自完全分離，VDOM間 彼此沒有通訊，各個VDOM的管理員可以管理自己的VDOM，可以用于多個公司或多個部門共享單獨一臺物理FortiGate，通過VDOM實現各自安全策略及internet需求。

在本次數據中心網絡環境搭建中，防火墻采用透明模式，分別連接數據中心核心交換機N7010和管理網核心6509、生產網核心6509。為避免不同VDC之間的數據流，在防火墻上配置了VDOM，隔離了管理網應用數據和生產網應用數據。

拓撲架構及說明

拓撲架構

如圖1所示。

圖1 架構圖

在數據中心三層架構中，N7K交換機作為核心層交換機，每臺N7K采用了VDC技術，各劃分了兩個VDC：VDC-管理業務網、VDC-實時生產數據網，每個VDC劃分不同數據端口和管理端口，隔離開管理業務網絡和實時生產數據網絡數據，并實現了VDC雙核心冗余管理；N5K交換機與N2K擴展板模塊實現了匯聚層與接入層功能，N7K通過不同端口、數據鏈路分別連接兩臺N5K，實現了管理業務網與實時生產數據網的數據流分離。

兩臺防火墻采用虛擬域技術，分別將不同端口劃分到管理業務域VDOM1（FW-1，FW-2）和實時生產數據域VDOM2（FW-3，FW-4），與管理業務網絡核心和實時生產數據網絡核心、VDC- 管理業務網和VDC-實時生產數據網相連，實現了兩網數據中心的數據隔離，并能根據管理業務網和實時生產數據網業務需求不同，在不同的虛擬域中配置不同的策略，以提高服務器系統安全性。

結語

通過使用思科N7K交換機VDC虛擬化技術和飛塔防火墻VDOM虛擬域技術，武漢分公司實現了用一套設備搭建兩套數據中心的改造目的，也達到了管理業務網與實時生產數據網絡的數據邏輯隔離，提高了兩個數據中心的安全性。