虚拟化条件下边缘虚拟交换研究.docVIP

虚拟化条件下边缘虚拟交换研究 　　摘要：信息系统的安全防护问题一直以来都是研究热点，该文分析了虚拟化技术应用中由管理模式变化、应用迁移和没有统一的虚拟安全技术标准引发的风险情况。针对虚拟化技术应用存在的问题，以优化虚拟化平台的部署策略和创新安全交换技术措施等方面提出了相应对策，提出了一种新的虚拟条件下数据交换构架。 　　关键词：虚拟化技术；数据交换；技术标准 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2012）28-6836-04 　　虚拟化技术突破了传统IT基础设施构架和管理构架，已成为信息领域的应用热点，它有效地简化了基础设施的管理，使用户最大限度利用现有流程和资源，提高了IT资源的利用率，确保了业务连续性，并实现绿色IT的理念。目前，虚拟化技术应用集中在内存虚拟化、网络虚拟化，存储虚拟化、服务器虚拟化、数据中心虚拟化和应用虚拟化等方面。在虚拟化技术市场，主要虚拟化产品有VWare的EXSi、vSphere和vCloud、Citrix的XenDesktop和Xen Server、Xen的Xen Hypervisor、XCP和XCI、Microsoft的Hyper—V。EMC、Oracle、Virtual Iron、Novell、Red Hat等企业也已纷纷推出了虚拟化产品。作为一项突破性技术，虚拟化技术至今还未形成统一的虚拟化标准平台和开放协议，部署虚拟化技改变了IT基础设施构架和管理构架的，它使IT 投资能够实现收益最大化、IT部门能够以更加灵活的方式满足业务要求的的同时也带来了传统IT 中从未出现过的新风险。本文的目标就是通过探讨虚拟化技术的数据交换特性，研究基于虚拟化技术的信息系统安全防护综合框架，从而对信息系统进行更加有效的安全保护。 　　1 虚拟化技术简介 　　虚拟化技术是一项实现计算资源彼此隔离的技术，也就是把物理资源转变为逻辑上可以管理的资源，摆脱物理结构的限制。通过该技术可以在一个硬件平台上虚拟出若干个虚拟平台，并使计算元件在虚拟的平台上而不是真实的物理平台上运行，通过从物理硬件上隔离逻辑操作，虚拟化环境平台提供了更好的操作灵活性和方便的系统修改能力。 　　系统虚拟化是被最广泛接受和认识的一种虚拟化技术。系统虚拟化实现了操作系统与物理计算机的分离，使???在一台物理计算机上可以同时安装和运行一个或多个虚拟的操作系统。在操作系统内部的应用程序看来，与使用直接安装在物理计算机上的操作系统没有显著差异。 　　如上图所示，3个虚拟机同时运作在虚拟化平台Hypervisor上，共同使用物理服务器Physical Server的硬件资源。 　　2 虚拟化数据交换主要技术及特点 　　2.1 vSwitch虚拟交换机技术 　　vSwitch作为最早出现的一种的网络虚拟化技术，已经在Linux Bridge、VMWare vSwitch等软件产品中实现。所谓的vSwitch，就是VEB技术，即将虚拟网桥完全在服务器（终端）硬件上实现，不涉及外部交换机的协作。 　　该技术最大的优点就是流量完全在服务器上进行传递，能够享受到最大的带宽和最小的延迟。 　　如图3所示，VEB和VEPA被看成了网络虚拟化的两个方向。VEB朝的是低延迟，流量在服务器内平行流动，因此称为东西流策略；VEPA朝的是多功能方向，流量需要在服务器和交换机之间传递，因此称为南北流策略。 　　2.2 SR-IOV技术 　　由于仅靠软件来实现虚拟网桥会影响到服务器的硬件性能，因此出现了单一源I/O虚拟化（SR-IOV）技术，也就是将vSwitch技术在网卡NIC上实现，如图4所示 　　VEB直接嵌入在物理NIC中，负责虚拟NIC之间的报文转发，也负责将虚拟NIC发送的报文通过VEB上链口发到邻接桥上。 　　对比于虚拟机上通过软件实现交换，由硬件NIC实现交换可以提高I/O性能，减轻了由于软件模拟交换机而给服务器CPU带来的负担，而且由于是NIC硬件来实现报文传输，提高了虚拟机和外部网络的交互性能。 　　尽管如此，SR-IOV技术也存在不足，比如缺乏管理可扩展性、网络流量流的管理可见性，还可能因为地址表容量不足导致泛洪的增加。 　　3 一种解决方案及优势 　　之前虚拟集群均采用“软”的方式来实现数据交换，现在可采用一种“硬”交换机的思路，将虚拟机的交换能力回归到交换机 ，安全性能有保证，特性丰富 ，管理界面清晰 。 　　根据IEEE802.1工作组提出的技术，指定了一种Edge Virtual Bridging（EVB）标准（IEEE 802.1Qbg），主要是通过支持端口映射的S-VLAN组件，该标准基于一个名为Virtual Ethernet Port Aggregator （VEPA） 的技术。通过VEPA，来自于VM的所有流