虚拟化隔离技术探讨

隔离技术探讨

网络内部各个部门均有独立业务，而且各职能体系之间存在信息安全、保密的实际需要，因此在建基础网络平台的同时需要考虑如何将各种业务进行逻辑隔离，确保各部门业务的独立性，并且需要考虑在部署了业务隔离之后，如何对部分数据进行共享，如何与各业务部门的原有专网进行对接。

1 传统隔离方法：物理隔离

在虚拟化技术诞生和成熟之前，为了保证多个业务的独立性和安全性，企业往往构建和维护两套甚至多套物理网络，分别运行不同的关键业务。这种多套物理网络带来的问题有：

1. 维护不便。多套独立的物理网络，在基础网络管理和安全策略部署方面成倍增加了网络管理员的维护工作量。

2. 成本高昂。需要购买的网络硬件和软件资源成本成倍增加。

3. 利用率低。多套物理网络分别承载不同的关键业务，网络资源整体利用率低，以及利用率不平衡，例如某些网络设备负荷偏高，而某些网络设备负荷偏低，而不能很好的做到资源共享，充分利用企业现有网络资源。

4. 灵活性差。在企业业务发生变化，例如业务整合、部门合并或分离等，需要对现有的业务隔离模式进行调整。当这些业务分别承载在多个相互隔离的物理网络上时，对业务的整合、互访控制就非常复杂甚至难以实施。

2逻辑隔离方法

随着网络技术的发展，虚拟化技术得到了广泛的应用。虚拟化即是在一套物理网络上，采用逻辑隔离技术将网络资源划分为多个逻辑隔离的虚拟通道，虚拟通道间既能达到与物理隔离等同的安全保证，也可以灵活控制某条虚拟通道中的业务对其他虚拟通道的访问。

虚拟化技术根据隔离的层次可以分为VLAN和VPN两种：

2.1 VLAN技术

VLAN（Virtual Local Area Network，虚拟局域网）是一种二层隔离技术，其原理是在交

换机上划分多个VLAN，某一个VLAN内的用户是相互可访问的，但一个VLAN的数据包在二层交换机上不会发送到另一个VLAN，这样，其他VLAN的用户的网络上收不到任何该VLAN的数据包，这样就确保了该VLAN的信息不会被其他VLAN的人所窃听，从而实现了信息的保密。

由于VLAN是逻辑上对网络进行划分，组网方案灵活，配置管理简单，降低了管理维护的成本，在L2网络中是一种安全高效的虚拟化技术。

VLAN用户之间的三层隔离部署

VLAN的安全隔离仅限于L2网络，但纯粹L2网络在可扩展性、性能和故障排除方面有一定局限性，因此园区网中核心和汇聚执行L3交换得到了普遍的应用。网络中存在L3转发设备时，除了使用VLAN将用户和业务进行隔离外，还必须考虑在L3设备上对用户的互访进行控制，即部署ACL访问策略。

如上图所示，不同VLAN的用户，通过中间的路由器设备，则可以将一个VLAN的报文转发到另一个VLAN，从而达到互访的目的。因此，VLAN的隔离在三层转发设备上终结后，还需要在三层转发设备上部署访问策略控制（ACL），控制各个VLAN内业务的互访。

VLAN+ACL隔离技术分析

通过VLAN实现二层隔离，ACL控制三层互访的方式自20世纪90年代以来获得了广泛的应用，随着网络规模的增大和网络业务的增加，用户对网络安全性、稳定性、可靠性、利用率要求的提高，VLAN+ACL方式逐渐暴露了以下不足：

1. 大规模部署困难。随着网络规模逐步增大、需要隔离和互访的业务增多，ACL访问控制策略的部署也成倍增加，对企业网络VLAN规划、IP地址规划也提出了更高的要求。一个非规律性的IP地址规划，会导致ACL策略部署的难度急剧增加，甚至无法实施。

2. 存在潜在的安全漏洞。大量的ACL部署，在加重网络管理员设计和配置的工作量的同时，也增加了网络管理员设计不全面以及配置错误的可能。这种潜在安全漏洞也随着网络规模的增大显著增加。

3. 链路利用率低。二层网络的一个广播域中不能出现环路，因此会将部署的部分冗余链路阻塞，导致链路资源空闲。

4. 网络收敛慢。二层网络通过部署STP/RSTP/MSTP协议维护网络的链路状态，避免环路。但网络出现故障后，STP/RSTP/MSTP协议需要一定的时间重新收敛，这个时间一般在2S～30S左右，并且在收敛过程中也有可能出现环路，导致网络转发错误。

5. 网络稳定性不高。二层网络容易出现广播风暴、ARP攻击等，导致网络拥塞、转发不通，网络整体稳定性不高。

6. 灵活性不高，管理维护困难。大量的ACL部署，使得在网络扩展和业务增加时，需

要在原设备和新设备上同步部署大量的附加ACL，大大增加网络规划和部署难度。此外，一旦出现不通、安全漏洞等现象，网络中大量的ACL也给故障排查和确认带来极大的工作量。

2.2 VPN技术

VPN（Virtual Private Network，虚拟私有网）是一种基于三层的隔离技术，在20世纪90年代中期兴起，旨在通过公用网络设施实现类似专线的私有连接。其原理是在三层转发设备（路由器或三层交换机）上为每个VPN建立专用的VRF（Virtual Route Forwarding）表，各VRF表相互独立，具有特殊的标记，通过专用的隧道（GRE、MPLS、TE、IPSec、L2TP）将各VPN数据在公共网络上进行转发。通过特殊的标记，VPN数据在VRF和专用隧道中相互隔离，保证VPN数据的隐密性。

VPN隔离技术分析

VPN是一种基于三层的隔离技术，不需要ACL的控制，直接在IP层将各个VPN通过专用的VRF进行隔离，每个VRF维护一套独立的路由转发表，一个VRF的报文不会进入到其他VRF中进行转发，从而达到各VPN安全隔离的目的。如果VPN之间有互访需求，则可以通过控制VRF间路由的引入来实现。VPN间路由的引入是可控和易于查看的，便于管理员的维护和部署。

通过将VPN与VLAN映射，可以实现端到端的安全隔离。

如上图所示，对接入的用户所在的VLAN与VPN进行映射，从而无须额外的ACL控制，即可将VLAN的隔离延伸到三层VPN，建立端到端的虚拟转发通道，实现数据的安全隔离和传输。VPN隔离方式解决了传统VLAN+ACL隔离方式的不足，适合于对网络安全性要求更高和更大规模网络的应用：

1. 业务隔离性高。通过端到端的VRF隔离，实现业务数据整网的虚拟通道转发，同时网络部署中极大减少了ACL策略的控制，降低了出错的可能性和安全漏洞，安全性高。

2. 扩展性、可管理为核心高。每个VPN维护独立的虚拟路由转发表，允许各VPN的IP 地址重叠，对网络IP地址规划要求低，配置管理简单，能够满足大型网络的应用。