虛擬化網絡在實驗教學中的安全設計

呂君 夏宏雷 朱劍玫

摘 要：在虛擬化技術廣泛應用的今天，其中一項重要的虛擬化網技術也在不斷地發展和使用，近年來在各高校的實驗教學和實驗室網絡架構中應用取得了不錯的效果。伴隨著虛擬化網絡技術在越來越多的地方應用，網絡安全問題也慢慢地凸顯出來。網絡安全問題不僅給高校實驗教學造成重大的影響，有時還會造成數據和資料泄密而被破壞。而虛擬網絡技術的使用可以增強跨網段訪問及傳輸數據的安全，并且大大提高了高校實驗教學的信息化手段。虛擬化網絡技術在網絡安全方面具有十分重要的研究意義。從跨不同的網段間互相通信、超級管理員在后臺進行遠程管理等方面研究了虛擬網絡技術在網絡安全中的應用，本文希望能對網絡安全的管理提供一些參考意見。

關鍵詞：虛擬化網絡;網絡安全;安全設計

基金項目：本文系武漢工商學院教改教研課題：虛擬化網絡在實驗教學中的安全設計（2017Y10）

1 虛擬化網絡基本概念

網絡虛擬化是指采用虛擬化技術搭建的網絡。虛擬化網絡對網絡連接中概念進行了抽象化，可以讓遠程用戶來訪問內部的網絡，就像物理終端訪問物理網絡一樣的效果。網絡虛擬化可以更好地保護IT環境，防御來自Internet的病毒，同時讓用戶能夠快速安全地訪問各種應用程序和數據。網絡虛擬化可將網絡抽象化成一個廣義的網絡容量池。可以將統一網絡容量池以最佳的方式分割成多個邏輯網絡。虛擬化網絡可以實現跨越物理邊界的邏輯網絡，從而實現跨集群和單位的計算資源并將其進行優化。不同于傳統網絡體系架構，邏輯網絡不需要重新配置底層物理硬件便能實現擴展。

我校虛擬資源中心使用的是VMware虛擬化網絡技術，通過虛擬化技術可將局域網進行擴展，可以創建疊加在物理網絡基礎架構之上的邏輯網絡。VMware作為全球最大的虛擬化廠商實現了通過軟件可以定義應用及其所需的所有資源，包括服務器、存儲、網絡和安全功能都會實現虛擬化，然后組合所有元素以創建一個軟件定義的數據中心。通過虛擬化可以減少服務器部署的時間和成本，可以實現靈活性和資源利用率的最大化，可以在調配虛擬機時對環境進行自定義，在軟件定義的數據中心里虛擬機可以跨越物理子網邊界。傳統的網絡在第2層利用VLAN來實現廣播隔離，在以太網數據幀中使用12位的VLAN ID將第二層網絡劃分成多個廣播域，VLAN數量需少于4094個。隨著虛擬化技術應用越來越廣泛，4094個的數值上限基本快到達峰值。此外，由于生成樹協議（STP）的限制，極大的限制了可以使用的VLAN數量?；赩XLAN的網絡虛擬化解決了傳統物理網絡面臨的諸多難題。

2 虛擬資源中心網絡虛擬化存在的主要問題

2.1 物理和虛擬資源的高利用率帶來的風險

通過使用虛擬化技術，大提高了虛擬資源中心服務器的利用效率和訪問量，但也導致服務器負載過重，特別是機房同時上課讓服務器和網絡資源使用率達到近90%。虛擬化后臺的多個應用和管理平臺集中在幾臺核心物理服務器上，當物理服務器出現故障時那么虛擬的應用平臺和管理臺將不能正常運轉。網絡虛擬化的特點是應用只與虛擬層進行交互，與物理硬件是隔離的，從而導致管理人員看不到設備背后的安全風險，服務器系統變得不穩定，數據變得不安全。

2.2 網絡架構變動導致的安全風險

虛擬化網絡技術的部置對傳統的網絡結構進行了很大的變動，因此也帶來了新的風險。部署虛擬化網絡之前，在防火墻上新建幾個隔離區，根據物理服務器的異同用不同的訪問規則加以控制，從而有效地保證把網絡攻擊限定在一個隔離區范圍之內，部署虛擬化網絡完成后，若有一臺虛擬機失效，能通過虛擬網絡把安全問題的消息發布到其他虛擬機中去。

2.3 虛擬化網絡環境的安全風險

1）來自黑客的攻擊。全面地控制住管理層的黑客，能控制物理服務器中的全部虛擬機，那么管理程序上所運行的所有操作系統特別難監測出一些流氓軟件和病毒所帶來的威脅。

2）系統補丁存在安全風險。在物理服務器發布多個虛擬機之后，這些虛擬機會在定期進行系統的補丁更新、維護，在補丁成功安裝后會出現不能及時地補漏洞所產生的安全威脅。超級管理員在虛擬化管理平臺發現有安全漏洞時，那么就能讓虛擬機在主機上運行惡意代碼。黑客便使用虛擬化技術去隱藏計算機病毒、木馬程序和其他各類帶有破壞性的軟件的軌跡，讓我們防不勝防。

3 虛擬化網絡的安全設計

3.1 虛擬資源中心的安全需求

正常的虛擬資源中心主要監控常規業務流量的訪問情況，虛擬資源中心進行虛擬化后增加了一些主機的動態遷移和積灰業務混雜一起的風險，所以在安全的模型之中要把主機的動態去遷移到同一個資源池的其他物理服務器中，把業務風險有效的隔離作為管理平臺的一個關注點。虛擬化技術的虛擬資源中心安全需求包含三個方面：一是進行通道隔離，主要是各種應用、業務和用戶需要安全隔離，以便保證終端用戶群組可以獲得準確資源和充裕的網絡流量，從而保持高可用;二是接入進行控制，主要是網絡安全的策略可支撐集群中所有成員進行動態加入、遷移或離開;三是網絡安全方面策略能夠跟隨虛擬機進行遷移。

3.2 虛擬資源中心的安全網絡架構

1）虛擬資源中心的安全網絡架構原則。在虛擬資源中心新一代的虛擬化技術進行網絡架構，可以通過智能彈性架構技術將多臺網絡設備組成一個集群，連成一臺網絡設備進行統一管理，采用整體無環路設計方案可以大大提高設備的可用性。

虛擬資源中心在進行虛擬化網絡架構的時候，堅持模塊化和層次化的規則。以安全可靠性原則為出發點，使用三層架構和二層架構兩種方式都能夠實現網絡的高可用，如果使用二層扁平化的網絡架構則更能滿足大規模的服務器虛擬化集群，以及虛擬機進行遷移工作。能在內部網中基于應用系統的重要性、網絡流量特征以及用戶特征不同的特點，可以劃分幾個區域來，要以虛擬資源中心的核心區為中心，將其它功能區與核心區進行連接，從而讓虛擬資源中心網絡的邊緣區域資源都利用起來。

2）虛擬資源中心的安全網絡架構具體方案。隨著云計算的發展，計算資源被池化，為了使得計算資源可以任意分配，需要一個大二層的網絡架構。即整個數據中心網絡都是一個L2廣播域，這樣，服務器可以在任意地點創建、遷移，而不需要對IP地址或者默認網關做修改。大二層網絡架構，L2/L3分界在核心交換機，核心交換機以下，也就是整個數據中心，是L2網絡（當然，可以包含多個VLAN，VLAN之間通過核心交換機做路由進行連通）。大二層的網絡架構如下圖所示：

大二層網絡架構雖然使得虛機網絡能夠靈活創建，但是帶來的問題也是明顯的。共享的L2廣播域帶來的BUM（Broadcast，Unknown Unicast，Multicast）風暴隨著網絡規模的增加而明顯增加，最終將影響正常的網絡流量。

傳統三層網絡架構已經存在幾十年，并且現在有些數據中心中仍然使用這種架構。這種架構提出的最初原因是什么？一方面是因為早期L3路由設備比L2橋接設備貴得多。即使是現在，核心交換機也比匯聚接入層設備貴不少。采用這種架構，使用一組核心交換機可以連接多個匯聚層POD，例如上面的圖中，一對核心交換機連接了多個匯聚層POD。另一方面，早期的數據中心，大部分流量是南北向流量。例如，一個服務器上部署了WEB應用，供數據中心之外的客戶端使用。使用這種架構可以在核心交換機統一控制數據的流入流出，添加負載均衡器，為數據流量做負載均衡等。

虛擬化的流行。傳統的數據中心中，服務器的利用率并不高，采用三層網絡架構配合一定的超占比（over subscription），能夠有效的共享利用核心交換機和一些其他網絡設備的性能。但是虛擬化的流行使得服務器的利用率變高，一個物理服務器可以虛擬出多個虛擬機，分別運行各自的任務，走自己的網絡路徑。因此，高的服務器利用率要求更小的超占比。

虛擬資源中心的虛擬化網絡是以虛擬化技術來構建基礎的設施池，這包括計算、存儲和網絡三種資源。高校實驗教學在安全的范疇上使用虛擬網絡技術，從而可以更好地服務于廣大師生們。

參考文獻

[1]潘林.安全中虛擬網絡技術的作用[J].網絡安全技術與應用，2015（6）：31-33.

[2]金磊.虛擬專用網絡技術在計算機網絡信息安全中的應用探討[J].無線互聯科技，2016（19）：29-30.

[3]劉培.淺談計算機網絡安全中虛擬網絡技術的作用[J].通訊世界，2015（11）：313-314.