虚拟化多变一数据中心网络

在数据中心中，安全策略的部署一直是一个有挑战的任务，需要根据具体服务器的应用特点对不同类型的应用系统制定不同级别的防护策略。在传统的数据中心中，由于应用系统和服务器区域基本都是固定不变的，所以安全策略仅在规划初期工作量较大，后期更多的是进行策略的更新和细微的调整。然而在虚拟化环境下则完全不同，应用系统和服务器是自由匹配和随需迁移的关系，每一次虚拟机的迁移对应安全策略的改变和调整，如果不能实现动态的配置调整，对于虚拟环境下安全策略的部署将不具备可实施性。

在数据中心网络进行虚拟化整合的基础上进行安全虚拟化，将部署的安全业务系统进行逻辑的分割，即将一台安全设备/模块分割成若干台逻辑安全设备，分割后的逻辑网络内部有独立的数据通道，对数据中心网络安全资源进行更加细致的划分，可以根据业务特征在逻辑网络内进行灵活的安全策略的部署和匹配，实现虚拟机迁移后对应的安全策略也随之动态迁移，扫清数据中心服务器虚拟化实施所带来的安全策略部署的困难。在部署时，网络设备和安全设备都需要支持虚拟化技术，网络设备通过多虚一的方式整合网络，然后在其基础上部署支持虚拟化技术（一虚多的方式,例如：虚拟防火墙技术）的安全设备/模块，最终实现虚拟环境下动态的安全策略部署。

当前在交换网络上通过VLAN来区分不同业务网段、配合防火墙等安全产品划分安全区域，是数据中心基本设计内容之一。出于将多个逻辑网络隔离、整合的需要，MPLS-VPN、Multi-VRF技术在路由环境下实现了网络访问的隔离。而针对终端准入的控制方式，如GSN，则实现了合法用户对网络资源的授权访问，并通过认证的手段可实现在不同逻辑网络之间实现切换，或称为网间切换，如图所示端到端隔离虚拟化的数据中心访问方式： 端到端虚拟化中，各层次网络的作用：

用户接入隔离：利用GSN方案保证接入用户的合法性，并能够识别用户的访问权限，可将用户通过认证授权方式分配置不同的逻辑网络(VLAN、VPN)，屏蔽用户终端类别，实现统一接入。 

中间网络隔离：利用MPLS VPN/Multi-VRF保证接入用户能够正确访问相应的资源，以及业务数据交换的隔离。

数据中心虚拟化：通过集中策略管理、安全划分，保证数据中心、服务器能为相应的合法用户提供服务，保证存储资源访问的隔离。

网络 1:N 虚拟化的应用方案—数据中心横向整合；

数据中心的很多应用都基于B/S多级架构，Web/App/DB；

Web与App，App与DB间要部署FW和LB设备；

通过网络虚拟化，可以简化网络架构，减少设备量，降低运营成本。

网络设备1:N虚拟化的传统实现方式： Mutil-VRF、多实例防火墙，一个操作系统上的多个转发表项；RG-S12000、RG-S6200系列均支持以上模式，操作系统中可独立出多个转发表项，实现网络1：N虚拟化。