RG-S6000系列交换机安全策略自动迁移技术解析

现在的数据中心当中，服务器的虚拟化技术已经得到了广泛应用，通过虚拟化技术可以在单台物理服务器上，虚拟化出多个相互独立的虚拟机，这些虚拟机可以作为一台独立的物理服务器运作，它有自己独立的IP地址和MAC地址，有自己的操作系统和各种应用程序。而出于对数据中心的安全运营、维护和管理的需要，数据中心管理员有时需要对虚拟机进行跨物理服务器的迁移。一旦虚拟机迁移，该虚拟机在对应的物理交换机上的VLAN ID、ACL①条目和QoS②等信息就没办法做到跟随虚拟机的迁移而迁移，在传统交换机上管理人员需要在策略迁移之后的物理交换机上重新配置相对应的配置，这样无形中增加了数据中心的管理难度和维护成本。

针对这个问题，已有的解决方法是管理员在服务器上安装软件防火墙，已达到IP过滤阻止或允许访问的目的，常用的软件防火墙软件中有的为开源软件，有的为付费软件；管理员通常会根据组网或需求进行网段的分配，并针对不同网段进行相应的软件防火墙上规则的设置，以达到权限的控制。但是这种传统的方式尤其固有的问题：

• 占用主机资源，最多19%-21%，安全是得到了保障但是却牺牲了自身处理的性能
• 维护难 ，类似软件工具都需要手工或者半自动的导入配置，手工增减配置，增加了管理人员的工作量和排查难度

因此在新一代数据中心交换机上，新增支持了随虚拟机的迁移而安全策略自动迁移的技术。它可通过物理交换机本身嗅探到虚拟机的迁移或通过后端的管理平台自动跟随虚拟机迁移而将之前的配置迁移到相对应的物理交换机的相应端口上。

图1 安全策略自动迁移技术原理

在使用管理平台自动跟随虚拟机的迁移而迁移时，可以实现主动感知虚拟机的迁移，从而实现比传统物理交换机被动感知更快的感知速度。该技术主要利用虚拟化提供商公开的API③接口，通过虚拟机管理服务器来感知和实时收集虚拟机服务器的信息，让交换机能够感知与其连接的虚拟机，然后将与虚拟机相关的配置和安全策略在虚拟机通信时进行关联，实现对虚拟机的网络保护。而这种操作相比传统物理交换机的感知的优点是不需要手工每台交换机进行配置，只需要将规则自动导入虚拟交换机管理软件数据库中即可，管理和维护更加简便。

结束语：安全策略自动迁移技术可帮助现代数据中心的管理人员减少维护和配置的成本，将虚拟机的安全策略可以自动跟随着虚拟机的迁移而迁移。锐捷网络数据中心千兆TOR交换机RG-S6000系列作为一款数据中心交换机，可全面的支持安全策略自动迁移技术，同时配合锐捷自研的虚拟机管理平台可以实现完整的虚拟机的监控和安全策略自动迁移，从而满足大型数据中心虚拟机安全的需求。

① ACL：Access Control List，访问控制列表

② QoS：Quality of Service，服务质量

③ API：Application Programming Interface，应用程序编程接口