現在的數據中心當中，服務器的虛擬化技術已經得到了廣泛應用，通過虛擬化技術可以在單臺物理服務器上，虛擬化出多個相互獨立的虛擬機，這些虛擬機可以作為一臺獨立的物理服務器運作，它有自己獨立的IP地址和MAC地址，有自己的操作系統和各種應用程序。而出于對數據中心的安全運營、維護和管理的需要，數據中心管理員有時需要對虛擬機進行跨物理服務器的遷移。一旦虛擬機遷移，該虛擬機在對應的物理交換機上的VLAN ID、ACL①條目和QoS②等信息就沒辦法做到跟隨虛擬機的遷移而遷移，在傳統交換機上管理人員需要在策略遷移之后的物理交換機上重新配置相對應的配置，這樣無形中增加了數據中心的管理難度和維護成本。

針對這個問題，已有的解決方法是管理員在服務器上安裝軟件防火墻，已達到IP過濾阻止或允許訪問的目的，常用的軟件防火墻軟件中有的為開源軟件，有的為付費軟件；管理員通常會根據組網或需求進行網段的分配，并針對不同網段進行相應的軟件防火墻上規則的設置，以達到權限的控制。但是這種傳統的方式尤其固有的問題：

• 占用主機資源，最多19%-21%，安全是得到了保障但是卻犧牲了自身處理的性能
• 維護難 ，類似軟件工具都需要手工或者半自動的導入配置，手工增減配置，增加了管理人員的工作量和排查難度

因此在新一代數據中心交換機上，新增支持了隨虛擬機的遷移而安全策略自動遷移的技術。它可通過物理交換機本身嗅探到虛擬機的遷移或通過后端的管理平臺自動跟隨虛擬機遷移而將之前的配置遷移到相對應的物理交換機的相應端口上。

圖1 安全策略自動遷移技術原理

在使用管理平臺自動跟隨虛擬機的遷移而遷移時，可以實現主動感知虛擬機的遷移，從而實現比傳統物理交換機被動感知更快的感知速度。該技術主要利用虛擬化提供商公開的API③接口，通過虛擬機管理服務器來感知和實時收集虛擬機服務器的信息，讓交換機能夠感知與其連接的虛擬機，然后將與虛擬機相關的配置和安全策略在虛擬機通信時進行關聯，實現對虛擬機的網絡保護。而這種操作相比傳統物理交換機的感知的優點是不需要手工每臺交換機進行配置，只需要將規則自動導入虛擬交換機管理軟件數據庫中即可，管理和維護更加簡便。

結束語：安全策略自動遷移技術可幫助現代數據中心的管理人員減少維護和配置的成本，將虛擬機的安全策略可以自動跟隨著虛擬機的遷移而遷移。銳捷網絡數據中心千兆TOR交換機RG-S6000系列作為一款數據中心交換機，可全面的支持安全策略自動遷移技術，同時配合銳捷自研的虛擬機管理平臺可以實現完整的虛擬機的監控和安全策略自動遷移，從而滿足大型數據中心虛擬機安全的需求。

① ACL：Access Control List，訪問控制列表

② QoS：Quality of Service，服務質量

③ API：Application Programming Interface，應用程序編程接口