摘要：信息系統(tǒng)的安全防護(hù)問題一直以來都是研究熱點(diǎn)，該文分析了虛擬化技術(shù)應(yīng)用中由管理模式變化、應(yīng)用遷移和沒有統(tǒng)一的虛擬安全技術(shù)標(biāo)準(zhǔn)引發(fā)的風(fēng)險情況。針對虛擬化技術(shù)應(yīng)用存在的問題，以優(yōu)化虛擬化平臺的部署策略和創(chuàng)新安全交換技術(shù)措施等方面提出了相應(yīng)對策，提出了一種新的虛擬條件下數(shù)據(jù)交換構(gòu)架。
　　關(guān)鍵詞：虛擬化技術(shù)；數(shù)據(jù)交換；技術(shù)標(biāo)準(zhǔn)
　　中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2012）28-6836-04
　　虛擬化技術(shù)突破了傳統(tǒng)IT基礎(chǔ)設(shè)施構(gòu)架和管理構(gòu)架，已成為信息領(lǐng)域的應(yīng)用熱點(diǎn)，它有效地簡化了基礎(chǔ)設(shè)施的管理，使用戶最大限度利用現(xiàn)有流程和資源，提高了IT資源的利用率，確保了業(yè)務(wù)連續(xù)性，并實(shí)現(xiàn)綠色I(xiàn)T的理念。目前，虛擬化技術(shù)應(yīng)用集中在內(nèi)存虛擬化、網(wǎng)絡(luò)虛擬化，存儲虛擬化、服務(wù)器虛擬化、數(shù)據(jù)中心虛擬化和應(yīng)用虛擬化等方面。在虛擬化技術(shù)市場，主要虛擬化產(chǎn)品有VWare的EXSi、vSphere和vCloud、Citrix的XenDesktop和Xen Server、Xen的Xen Hypervisor、XCP和XCI、Microsoft的Hyper—V。EMC、Oracle、Virtual Iron、Novell、Red Hat等企業(yè)也已紛紛推出了虛擬化產(chǎn)品。作為一項(xiàng)突破性技術(shù)，虛擬化技術(shù)至今還未形成統(tǒng)一的虛擬化標(biāo)準(zhǔn)平臺和開放協(xié)議，部署虛擬化技改變了IT基礎(chǔ)設(shè)施構(gòu)架和管理構(gòu)架的，它使IT 投資能夠?qū)崿F(xiàn)收益最大化、IT部門能夠以更加靈活的方式滿足業(yè)務(wù)要求的的同時也帶來了傳統(tǒng)IT 中從未出現(xiàn)過的新風(fēng)險。本文的目標(biāo)就是通過探討虛擬化技術(shù)的數(shù)據(jù)交換特性，研究基于虛擬化技術(shù)的信息系統(tǒng)安全防護(hù)綜合框架，從而對信息系統(tǒng)進(jìn)行更加有效的安全保護(hù)。
　　1 虛擬化技術(shù)簡介
　　虛擬化技術(shù)是一項(xiàng)實(shí)現(xiàn)計(jì)算資源彼此隔離的技術(shù)，也就是把物理資源轉(zhuǎn)變?yōu)檫壿嬌峡梢怨芾淼馁Y源，擺脫物理結(jié)構(gòu)的限制。通過該技術(shù)可以在一個硬件平臺上虛擬出若干個虛擬平臺，并使計(jì)算元件在虛擬的平臺上而不是真實(shí)的物理平臺上運(yùn)行，通過從物理硬件上隔離邏輯操作，虛擬化環(huán)境平臺提供了更好的操作靈活性和方便的系統(tǒng)修改能力。
　　系統(tǒng)虛擬化是被最廣泛接受和認(rèn)識的一種虛擬化技術(shù)。系統(tǒng)虛擬化實(shí)現(xiàn)了操作系統(tǒng)與物理計(jì)算機(jī)的分離，使得在一臺物理計(jì)算機(jī)上可以同時安裝和運(yùn)行一個或多個虛擬的操作系統(tǒng)。在操作系統(tǒng)內(nèi)部的應(yīng)用程序看來，與使用直接安裝在物理計(jì)算機(jī)上的操作系統(tǒng)沒有顯著差異。
　　如上圖所示，3個虛擬機(jī)同時運(yùn)作在虛擬化平臺Hypervisor上，共同使用物理服務(wù)器Physical Server的硬件資源。
　　2 虛擬化數(shù)據(jù)交換主要技術(shù)及特點(diǎn)
　　2.1 vSwitch虛擬交換機(jī)技術(shù)
　　vSwitch作為最早出現(xiàn)的一種的網(wǎng)絡(luò)虛擬化技術(shù)，已經(jīng)在Linux Bridge、VMWare vSwitch等軟件產(chǎn)品中實(shí)現(xiàn)。所謂的vSwitch，就是VEB技術(shù)，即將虛擬網(wǎng)橋完全在服務(wù)器（終端）硬件上實(shí)現(xiàn)，不涉及外部交換機(jī)的協(xié)作。
　　該技術(shù)最大的優(yōu)點(diǎn)就是流量完全在服務(wù)器上進(jìn)行傳遞，能夠享受到最大的帶寬和最小的延遲。
　　如圖3所示，VEB和VEPA被看成了網(wǎng)絡(luò)虛擬化的兩個方向。VEB朝的是低延遲，流量在服務(wù)器內(nèi)平行流動，因此稱為東西流策略；VEPA朝的是多功能方向，流量需要在服務(wù)器和交換機(jī)之間傳遞，因此稱為南北流策略。
　　2.2 SR-IOV技術(shù)
　　由于僅靠軟件來實(shí)現(xiàn)虛擬網(wǎng)橋會影響到服務(wù)器的硬件性能，因此出現(xiàn)了單一源I/O虛擬化（SR-IOV）技術(shù)，也就是將vSwitch技術(shù)在網(wǎng)卡NIC上實(shí)現(xiàn)，如圖4所示
　　VEB直接嵌入在物理NIC中，負(fù)責(zé)虛擬NIC之間的報(bào)文轉(zhuǎn)發(fā)，也負(fù)責(zé)將虛擬NIC發(fā)送的報(bào)文通過VEB上鏈口發(fā)到鄰接橋上。
　　對比于虛擬機(jī)上通過軟件實(shí)現(xiàn)交換，由硬件NIC實(shí)現(xiàn)交換可以提高I/O性能，減輕了由于軟件模擬交換機(jī)而給服務(wù)器CPU帶來的負(fù)擔(dān)，而且由于是NIC硬件來實(shí)現(xiàn)報(bào)文傳輸，提高了虛擬機(jī)和外部網(wǎng)絡(luò)的交互性能。
　　盡管如此，SR-IOV技術(shù)也存在不足，比如缺乏管理可擴(kuò)展性、網(wǎng)絡(luò)流量流的管理可見性，還可能因?yàn)榈刂繁砣萘坎蛔銓?dǎo)致泛洪的增加。
　　3 一種解決方案及優(yōu)勢
　　之前虛擬集群均采用“軟”的方式來實(shí)現(xiàn)數(shù)據(jù)交換，現(xiàn)在可采用一種“硬”交換機(jī)的思路，將虛擬機(jī)的交換能力回歸到交換機(jī) ，安全性能有保證，特性豐富 ，管理界面清晰 。
　　根據(jù)IEEE802.1工作組提出的技術(shù)，指定了一種Edge Virtual Bridging（EVB）標(biāo)準(zhǔn)（IEEE 802.1Qbg），主要是通過支持端口映射的S-VLAN組件，該標(biāo)準(zhǔn)基于一個名為Virtual Ethernet Port Aggregator （VEPA） 的技術(shù)。通過VEPA，來自于VM的所有流量都會被轉(zhuǎn)發(fā)到鄰近的物理接入交換機(jī)，或者當(dāng)目標(biāo)VM也位于同一個服務(wù)器時被轉(zhuǎn)回到相同的物理服務(wù)器。
　　左邊是虛擬機(jī)部分，深綠色粗線標(biāo)識VM Edge（虛擬機(jī)邊緣），VM中各個虛擬網(wǎng)卡virtual Network Interface Controller （VNIC）都以虛擬接口在圖中標(biāo)識，即深綠粗線上的各個白色接口。虛擬網(wǎng)卡需要通過hypervisor和物理網(wǎng)絡(luò)接口關(guān)聯(lián)起來，這就涉及到下面所說的VEB和VEPA。
　　VEB指的是Virtual Ethernet Bridges （虛擬以太網(wǎng)網(wǎng)橋），該網(wǎng)橋上也有虛擬端口（VLAN Bridge Ports），虛擬網(wǎng)卡對應(yīng)的接口就是和網(wǎng)橋上的虛擬端口連接，這個連接稱為VSI（Virtual Station Interface，虛擬終端接口）。VEB實(shí)際上就是一個常規(guī)的以太網(wǎng)網(wǎng)橋，可以等同于視作前面提到的vSwitch技術(shù)。一般來說，VEB用于在虛擬網(wǎng)卡之間進(jìn)行本地轉(zhuǎn)發(fā)，即負(fù)責(zé)不同虛擬網(wǎng)卡間報(bào)文的轉(zhuǎn)發(fā)。注意，VEB不需要通過探聽（Snooping）網(wǎng)絡(luò)流量來獲知MAC地址，因?yàn)樗ㄟ^諸如訪問虛擬機(jī)的配置文件等手段來獲知虛擬機(jī)的MAC地址。此外，VEB也負(fù)責(zé)虛擬網(wǎng)卡和外部交換機(jī)之間的報(bào)文傳輸，但不負(fù)責(zé)外部交換機(jī)本身的報(bào)文傳輸，如圖7所示，1表示虛擬網(wǎng)卡和鄰接交換機(jī)通訊，2表示虛擬網(wǎng)卡之間通訊，3表示VEB不支持交換機(jī)本身的互相通訊。VEB不支持STP協(xié)議，這是因?yàn)橄褚訴Mware為代表的虛擬機(jī)架構(gòu)強(qiáng)調(diào)一層的網(wǎng)絡(luò)架構(gòu)，也就是說，一個主機(jī)上的所有的Virtual Switch是無法直接溝通的，如果需要溝通的話，那就需要通過物理的交換機(jī)，也就是主機(jī)本身的網(wǎng)絡(luò)架構(gòu)就是平的，所以主機(jī)上的交換機(jī)就沒有使用生成樹協(xié)議的需要。因此，Hypervisor需要保證其內(nèi)部的VEB連接不存在環(huán)路。對于互相之間需要通過直連來獲取高轉(zhuǎn)發(fā)性能、低延遲的虛擬機(jī)，建議將它們連接在VEB上。
　　VEPA指的是將虛擬機(jī)上若干個VSI口匯聚起來，交換機(jī)發(fā)向各個VSI的報(bào)文首先到達(dá)VEPA，再有VEPA負(fù)責(zé)朝某個VSI轉(zhuǎn)發(fā)。另外一方面，VSI所生成的報(bào)文不通過VEB進(jìn)行轉(zhuǎn)發(fā)，而是統(tǒng)統(tǒng)匯聚在一起通過物理鏈路發(fā)送到交換機(jī)，由交換機(jī)來完成轉(zhuǎn)發(fā)，交換機(jī)將報(bào)文送回虛擬機(jī)或?qū)?bào)文轉(zhuǎn)發(fā)到外網(wǎng)。這樣既可以利用交換機(jī)實(shí)現(xiàn)更多的功能（如安全策略、流量監(jiān)控統(tǒng)計(jì)），又可以減輕虛擬機(jī)上的轉(zhuǎn)發(fā)負(fù)擔(dān)。VEPA在整個EVB視圖中所處位置如上所示，圖8中VEPA負(fù)責(zé)匯聚3個VSI的流量，再轉(zhuǎn)發(fā)到鄰接橋上。VEPA只支持虛擬網(wǎng)卡和鄰接交換機(jī)之間的報(bào)文傳輸，不支持虛擬網(wǎng)卡之間報(bào)文傳輸，也不支持鄰接交換機(jī)本身的報(bào)文傳輸。對于需要獲取流量監(jiān)控、防火墻或其他連接橋上的服務(wù)的虛擬機(jī)可以考慮連接到VEPA上。
　　4 結(jié)束語
　　本文闡述根據(jù)IEEE 802.1Qbg標(biāo)準(zhǔn)，通過采用一種硬件方式，設(shè)計(jì)虛擬以太網(wǎng)交換方式，解決虛擬網(wǎng)絡(luò)數(shù)據(jù)交換存在的問題，使得虛擬化服務(wù)平臺管理員可以專注于與服務(wù)平臺相關(guān)的配置工作，網(wǎng)絡(luò)管理員更加專注于與網(wǎng)絡(luò)相關(guān)的配置工作，幫助網(wǎng)絡(luò)管理員和系統(tǒng)管理員更加便利地合作，最終達(dá)到簡化數(shù)據(jù)中心系統(tǒng)的管理的目