数据中心网络业务隔离技术浅析

数据中心承载的业务是多种多样的，数据中心需要通过各种各样的技术来满足用户的各类需求，其中最常见的需求就是对各种业务的访问进行控制，对业务进行隔离。数据中心有很多种方法实现，比如： 防火墙、ACL、策略路由等方法。本文将主要讲述通过数据中心的网络基础技术实现业务隔离的方法。

数据中心为什么要进行业务隔离？

业务隔离对于数据中心非常重要，对于一个企业，各个部门之间的访问要受到严格控制，有些涉及到机密、内部的文件不希望被别的部门或者是外部知道，就必须进行高隔离，比如财务部门，财务很多的业务都要向 其它部门员工保密，对外界更是要严格封锁消息。这样就需要对财务部门内部的交流进行隔离，对其它部门财务部门基于网络的内部交互都不可见，这就要通过业务隔离实现。现在很多企业都租用数据中心，由数据中心提供服务，当然企业最基本的要求就是企业内部的业务不能被外界所知，尤其涉及机密的信息，这就需要进行业务隔离，数据中心通过使用网络隔离技术可以很好地实现这些需求。

端口隔离

数据中心网络设备有很多物理端口，用于连接设备或者 服务器，有时即使多个端口在同一VLAN中，也需要进行业务隔离，这时端口隔离技术应运而生，端口隔离通过端口掩码技术将同属于一个VLAN的多个端口之间隔离开。已经隔离开的端口要想实现互通，必须要上游设备上开始代理，才能互通。通过使用端口隔离和VLAN技术可以很好地实现二层业务的隔离。如果数据中心将业务部署在了一个大二层的网络中，那么通过给不同的业务提供不同的隔离组就可以轻松实现。

VLAN

802.1Q标准是VLAN技术实现的基础，它系统的规划了VLAN技术的应用架构、工作机制以及实现这一标准的具体技术规范，其通过在以太报文二层头中增加TAG来实现业务的二层隔离，802.1Q Tag标记是802.1Q数据帧区别于其它数据帧的核心标志。VLAN是以太网最古老的一种技术，其可以根据协议类型、端口、MAC等特征进行划分，对不同的业务打上不同的TAG，这样不同TAG之间的应用业务就天然实现了隔离。我们可以在数据中心的接入侧对不同业务进行TAG标注，这样业务之间就实现了隔离。随着技术的发展，现在通过VLAN技术演变出来了不少新技术，比如灵活QINQ、XVLAN、SUB VLAN等等，这些技术不仅具有VLAN基本的隔离技术，还拥有了很多新技术特征。这些新技术已经开始有了不少应用，尤其是灵活QINQ，几乎成为了运营商网络的必备技术，因为灵活QINQ很好地将运营商网络和用户网络很好地隔离起来。虽然现在数据中心出现了不少二层技术，但VLAN这种古老技术仍是应用最为频繁、最为广泛的。