企業網D1Net  2月13日 數據中心承載的業務是多種多樣的，數據中心需要通過各種各樣的技術來滿足用戶的各類需求，其中最常見的需求就是對各種業務的訪問進行控制，對業務進行隔離。數據中心有很多種方法實現，比如：防火墻、ACL、策略路由等方法。本文將主要講述通過數據中心的網絡基礎技術實現業務隔離的方法。

數據中心為什么要進行業務隔離?

業務隔離對于數據中心非常重要，對于一個企業，各個部門之間的訪問要受到嚴格控制，有些涉及到機密、內部的文件不希望被別的部門或者是外部知道，就必須進行高隔離，比如財務部門，財務很多的業務都要向其它部門員工保密，對外界更是要嚴格封鎖消息。這樣就需要對財務部門內部的交流進行隔離，對其它部門財務部門基于網絡的內部交互都不可見，這就要通過業務隔離實現。現在很多企業都租用數據中心，由數據中心提供服務，當然企業最基本的要求就是企業內部的業務不能被外界所知，尤其涉及機密的信息，這就需要進行業務隔離，數據中心通過使用網絡隔離技術可以很好地實現這些需求。

端口隔離

數據中心網絡設備有很多物理端口，用于連接設備或者服務器，有時即使多個端口在同一VLAN中，也需要進行業務隔離，這時端口隔離技術應運而生，端口隔離通過端口掩碼技術將同屬于一個VLAN的多個端口之間隔離開。已經隔離開的端口要想實現互通，必須要上游設備上開始代理，才能互通。通過使用端口隔離和VLAN技術可以很好地實現二層業務的隔離。如果數據中心將業務部署在了一個大二層的網絡中，那么通過給不同的業務提供不同的隔離組就可以輕松實現。

VLAN

802.1Q標準是VLAN技術實現的基礎，它系統的規劃了VLAN技術的應用架構、工作機制以及實現這一標準的具體技術規范，其通過在以太報文二層頭中增加TAG來實現業務的二層隔離，802.1Q Tag標記是802.1Q數據幀區別于其它數據幀的核心標志。VLAN是以太網最古老的一種技術，其可以根據協議類型、端口、MAC等特征進行劃分，對不同的業務打上不同的TAG，這樣不同TAG之間的應用業務就天然實現了隔離。我們可以在數據中心的接入側對不同業務進行TAG標注，這樣業務之間就實現了隔離。隨著技術的發展，現在通過VLAN技術演變出來了不少新技術，比如靈活QINQ、XVLAN、SUB VLAN等等，這些技術不僅具有VLAN基本的隔離技術，還擁有了很多新技術特征。這些新技術已經開始有了不少應用，尤其是靈活QINQ，幾乎成為了運營商網絡的必備技術，因為靈活QINQ很好地將運營商網絡和用戶網絡很好地隔離起來。雖然現在數據中心出現了不少二層技術，但VLAN這種古老技術仍是應用最為頻繁、最為廣泛的。

VPN

VPN（Virtual Private Network，虛擬私有網）是近年來隨著網絡的發展而迅速發展起來的一種網絡技術，其利用公共網絡來構建的私有專用網絡稱為VPN。按照OSI參考模型，VPN可以分為一層VPN，二層VPN，三層VPN，傳輸層VPN，應用層VPN。VPN技術涵蓋了OSI的所有網絡層，在這其中的VPN技術屬三層VPN應用最為廣泛，所以實際上VPN就是一種三層隔離技術，其強調私有網絡的安全性和可靠性。通過VPN可以將三層網絡劃分為不同的區域給不同的業務私用。現在VPN技術已經衍生出多種技術，比如：MPLS、L3VPN、L2VPN、VPLS、VLL等技術。VPN技術通過網絡設備進行隔離，并不對報文內容進行修改，只是在網絡設備上通過VPN配置，確保相同的三層業務劃分到一個VPN中。而MPLS、VPLS、VLL等技術已經對報文內容進行了修改，其接入網絡必須要配置VPN。現在對僅提供VPN技術的網絡設備稱為CE或者MCE設備，對于能提供MPLS能力的設備成為PE或P設備。VPN技術已經成為企業數據中心必備的技術之一。

一虛多虛擬化技術

隨著網絡虛擬化技術的普及，幾乎所有的高端網絡設備都可以提供虛擬化技術。一般虛擬化包含兩個方面的技術：一是多虛一；二是一虛多。一虛多可以將一臺設備（這一臺設備也可以是多臺設備虛擬化為一臺的設備）隔離成為多臺相互獨立的虛擬設備，一虛多實際上也是一種實現了二三層同時隔離的技術。這種技術與基于PC操作系統實現的VMware的虛擬桌面、虛擬機技術類似。在一臺網絡設備上就可以虛擬出多臺設備，虛擬出的每臺設備都可以租給不同的企業使用，這些虛擬設備之間業務完全隔離，無法互通。

以上這些隔離技術在數據中心中大量應用，基于這些技術已經發展多了更多的隔離技術。通過這些隔離技術，數據中心可以滿足用戶多種多樣的需求，迅速完成業務部署。隨著人們對信息安全越來越關注，對業務隔離提出了更高的要求，不僅是業務隔離，還要具備完備的安全性，防止信息泄露。所以數據中心僅部署這些業務隔離的技術是遠遠不夠的，這些隔離技術缺乏安全認證的功能，所以還要和一些安全認證的技術配合使用。比如：802.1X、Radius、Portal等認證技術，這樣可以大大增加業務隔離的安全性。數據中心的網絡技術在不斷的技術，現在的網絡技術名詞五花八門，有些技術名詞甚至不知所云，說的讓人云山霧罩。其實最重要的仍是這些古老的業務隔離技術，在這些技術上做一些小的優化，無疑是井上添花，可以讓數據中心提供的業務更加豐富。請不要再去關注那些過于新潮的技術，對于你的數據中心，部署那些技術很可能是畫蛇添足，用之乏味，除了耗盡你的財力沒有更多的意義。