【TechTarget中国原创】诸多服务器虚拟化厂商都声称他们的产品在虚拟层提供两个交换机，用来保证虚拟机之间的连接，同时也可以将虚拟机连接到生产网络。如果用户基于传统层的交换机如何运转做出假设，就有可能假设这个虚拟交换机能够隔离每台虚拟机的单播数据帧。同一虚拟网络上虚拟机单播隔离却并非总是如此，而是取决于不同的服务器虚拟化平台。

　　众所周知，VMware的VI（Virtual Infrastructure）平台和ESX服务器都能够提供相当好的网络隔离和802.1Q虚拟LAN（VLAN）集群支持。因此如果关注虚拟网络安全的话，最容易想到的就是ESX服务器。因为我对ESX产品比较熟悉，所以对其它虚拟化服务器平台在网络隔离方面是如何设计来和ESX竞争的这个问题更感兴趣。为了公平起见，我决定评估当前三大服务器虚拟化平台（三者都可以免费使用）。

【TechTarget中国原创】诸多服务器虚拟化厂商都声称他们的产品在虚拟层提供两个交换机，用来保证虚拟机之间的连接，同时也可以将虚拟机连接到生产网络。如果用户基于传统层的交换机如何运转做出假设，就有可能假设这个虚拟交换机能够隔离每台虚拟机的单播数据帧。同一虚拟网络上虚拟机单播隔离却并非总是如此，而是取决于不同的服务器虚拟化平台。

　　众所周知，VMware的VI（Virtual Infrastructure）平台和ESX服务器都能够提供相当好的网络隔离和802.1Q虚拟LAN（VLAN）集群支持。因此如果关注虚拟网络安全的话，最容易想到的就是ESX服务器。因为我对ESX产品比较熟悉，所以对其它虚拟化服务器平台在网络隔离方面是如何设计来和ESX竞争的这个问题更感兴趣。为了公平起见，我决定评估当前三大服务器虚拟化平台（三者都可以免费使用）：

• VMware Server
• Microsoft Virtual Server 2005 R2
• XenSource XenExpress

　　我使用如下配置和标准来测试隔离性：

• 两台虚拟机（Windows Server 2003的操作系统）：连接到同一个虚拟网络上的物理LAN
• 在其中一台虚拟机（VM1）中以随意的方式运行WireShark 捕捉程序
• 在WireShark捕捉程序运行过程中，从另外一台虚拟机（VM2）和物理主机系统发起初始化网络连接

　　需要提醒的是，对于每一台测试的虚拟化平台，我使用的是产品的默认配置。

　　VMware Server

　　我不得不承认VMware Server的测试结果是相当有说服力的。打开两台虚拟机之后，我在VM1上开始运行WireShark捕捉程序。作为一个简单的测试，我在VM2上打开浏览器，浏览SearchServerVirtualization.com网页，从图1中可以看到捕获了来自VM2的每一帧。之后我在VM1上又开始一次捕捉程序，然后通过LAN从物理主机系统到另外一台服务器发起一个远程桌面连接。令人吃惊的是VM1能够捕捉到物理主机系统发送和接收的所有数据帧（如图2所示）。至于从一台虚拟机和物理主机到另外一台虚拟机的隔离流量，VMware Server也做不到。

 
　　图1：VM1捕捉到的VM2DNS请求（VMware Server）

 
　　图2：VM1捕捉到的物理主机系统发送和接收的RDP流量（VMware Server）

　　Microsoft Virtual Server

　　在Microsoft Virtual Server 2005 R2上，我运行的程序和VMware Server相同。同样，虚拟机之间的网络隔离并不存在，其中一台虚拟机可以捕捉到另外一台虚拟机通过LAN和其它服务器通信的所有数据帧。然后我决定把VM2绑定另外一个虚拟交换机上——这个虚拟交换机也连接到物理主机上的同一块物理网卡上——看一下情况是否有所变化。只要每台虚拟机在不同的物理交换机上，并且这两个物理交换机连接到同一个物理接口，一台虚拟机就可以捕捉到另外一台虚拟机发送和接收的所有网络流量。然而，和VMware Server不同的是，Microsoft Virtual Server虚拟机不能捕捉到物理主机系统发送和接收的任何网络流量。因此如果在连接到同一块网卡上的虚拟机之间没有网络隔离，那么在虚拟机和物理主机之间就有网络隔离。

 
　　图3：VM1捕捉到的VM2DNS请求（Microsoft Virtual Server）

　　Xen Source Xen Express

　　同前面两个虚拟平台的操作一样，我在Xen Source Server上做了完全相同的测试。这次我看到的情况是虚拟层交换机运行和物理层交换机运行完全一致，VM1不能捕捉到来自VM2的任何单播流量（如图4所示）。另外，VM1也不能捕捉到物理主机发送和接收的任何单播流量。同VMware ESX Server一样，Xen Express也支持802.1Q VLAN集群，这能够给现有显著隔离带来额外的网络安全性和隔离性。关于Xen 802.1Q VLAN配置的更多信息请参考Xen Wiki。

 
　　图4：在Xen平台上只能捕捉到广播流量

　　虚拟交换机对比

　　表1概括总结了默认配置下三种虚拟服务器平台的虚拟交换机安全性：

　　表1：虚拟交换机流量隔离比对

　　虽然默认配置下VMware Server和Microsoft Virtual Server虚拟交换机隔离是有限的，但是还有其它方法隔离虚拟交换机流量。

　　隔离流量的一种方法是把每一台虚拟机配置在其各自的虚拟网络中，并且给每个虚拟网络指定给一个特定的物理网卡；另外一种方法是网络群组驱动，如Broadcom高级控制工具包（Broadcom Advanced Control Suite）。例如，使用Broadcom方法可以允许用户把一台物理主机系统上的一块物理网卡分成多个不同的虚拟网卡，然后给每块虚拟网卡指定给一个单独VLAN。这个时候就可以把每台服务器虚拟化平台上的虚拟网络和物理主机系统上的Broadcom虚拟网卡连接起来了。然而比起Xen来，这个方法需要做更多的工作。该方法也允许在VMware Server平台和Microsoft Virtual Server平台上实现和Xen同样的网络隔离。