隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)虛擬化已經(jīng)越來(lái)越受到歡迎，在這其中，企業(yè)是網(wǎng)絡(luò)虛擬化的主力用戶。那么如何在企業(yè)部署網(wǎng)絡(luò)虛擬化呢？對(duì)此，中培偉業(yè)《網(wǎng)絡(luò)部署實(shí)戰(zhàn)及架構(gòu)設(shè)計(jì)》培訓(xùn)專(zhuān)家袁老師指出，網(wǎng)絡(luò)虛擬化可分為以下三種主要模式，每種都包含不同的技術(shù)以滿足不同的需求：

· 設(shè)備虛擬化

· 路徑隔離

· 服務(wù)虛擬化

此外，可單獨(dú)使用不同模式的技術(shù)以滿足特定要求，或者結(jié)合這些技術(shù)來(lái)實(shí)現(xiàn)終端到終端網(wǎng)絡(luò)虛擬化解決方案。因此，網(wǎng)絡(luò)設(shè)計(jì)人員必須充分了解不同的技術(shù)方法以及它們的屬性，以選擇最合適的虛擬化技術(shù)和設(shè)計(jì)方法，為企業(yè)帶來(lái)價(jià)值。

設(shè)備虛擬化

也被稱為設(shè)備分區(qū)，設(shè)備虛擬化是指在某個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)(例如交換機(jī)或路由器)虛擬化數(shù)據(jù)平面、控制平面或兩者。通過(guò)利用設(shè)備級(jí)虛擬化可幫助在本地設(shè)備水平實(shí)現(xiàn)2層網(wǎng)絡(luò)、3層網(wǎng)絡(luò)或兩者的分離，下面是實(shí)現(xiàn)設(shè)備級(jí)網(wǎng)絡(luò)虛擬化的主要技術(shù)：

· 虛擬LAN(VLAN)：VLAN是最常見(jiàn)的2層網(wǎng)絡(luò)虛擬化技術(shù)。它被用在網(wǎng)絡(luò)中，其中單個(gè)交換機(jī)可被分為多個(gè)邏輯2層網(wǎng)絡(luò)廣播域，這些域與其他VLAN虛擬分離。您可使用網(wǎng)絡(luò)邊緣的VLAN來(lái)放置端點(diǎn)到某個(gè)虛擬網(wǎng)絡(luò)。每個(gè)VLAN都有自己的MAC轉(zhuǎn)發(fā)表以及生成樹(shù)實(shí)例(Per-VLAN Spanning Tree[PVST])。

· 虛擬路由和轉(zhuǎn)發(fā)(VRF)VRF在概念是與VLAN類(lèi)似，但從控制平面和轉(zhuǎn)發(fā)角度來(lái)看，它是在3層網(wǎng)絡(luò)設(shè)備。VRF可結(jié)合VLAN來(lái)為每個(gè)VLAN提供虛擬化3層網(wǎng)絡(luò)網(wǎng)關(guān)服務(wù)。

　　路徑隔離

路徑隔離是指跨網(wǎng)絡(luò)維護(hù)終端到終端邏輯路徑傳輸分離的概念。這種終端到終端路徑分離可使用以下主要設(shè)計(jì)方法來(lái)實(shí)現(xiàn)：

· 逐跳: 這種設(shè)計(jì)方法是基于在流量路徑中按設(shè)備部署終端到終端(VLAN+802.1Q中繼鏈路+VRF)，這種設(shè)計(jì)方法提供了簡(jiǎn)單可靠的路徑分離解決方案。然而，對(duì)于大規(guī)模動(dòng)態(tài)網(wǎng)絡(luò)(大量虛擬化網(wǎng)絡(luò))，這是非常難以管理的復(fù)雜解決方案。這種復(fù)雜性與設(shè)計(jì)可擴(kuò)展性限制有關(guān)。

· 多跳Multihop：這種方法基于使用隧道和其他覆蓋技術(shù)來(lái)提供端到端路徑隔離，并在網(wǎng)絡(luò)傳輸虛擬化流量最常見(jiàn)的方法包括：

· 隧道協(xié)議：GRE或多點(diǎn)GRE(mGRE)(動(dòng)態(tài)多點(diǎn)VPN[DMVPN])等隧道協(xié)議將消除對(duì)端到端VRF和802.1Q中繼的依賴，因?yàn)榧せ畹牧髁繉⑼ㄟ^(guò)隧道傳輸。與之前的方法相比，這種方法提供更高級(jí)別的可擴(kuò)展性，以及更簡(jiǎn)單的操作。這種設(shè)計(jì)非常適合只有部分網(wǎng)絡(luò)需要路徑隔離的網(wǎng)絡(luò)。

然而，對(duì)于擁有多個(gè)邏輯組或業(yè)務(wù)部門(mén)的大規(guī)模網(wǎng)絡(luò)，這種隧道方法會(huì)給設(shè)計(jì)和操作增加復(fù)雜性。例如，如果該設(shè)計(jì)需要為跨兩個(gè)“分布?jí)K”的用戶組進(jìn)行路徑隔離，隧道則很適合。但mGRE可為較大型網(wǎng)絡(luò)提供相同的傳輸和路徑隔離，且保持更低的設(shè)計(jì)和操作復(fù)雜性。

· MPLS VPN：通過(guò)將企業(yè)轉(zhuǎn)換為服務(wù)提供商類(lèi)型的網(wǎng)絡(luò)，核心是啟用多協(xié)議標(biāo)簽交換(MPLS)以及分布層交換機(jī)作為提供商邊緣(PE)設(shè)備。正如在服務(wù)提供商網(wǎng)絡(luò)中，每個(gè)PE(分布?jí)K)將通過(guò)MP-BGP會(huì)話交換VPN路由。

另外，如果需要的話，這種架構(gòu)還可引入L2VPN功能，例如基于MPLS的以太網(wǎng)(EoMPLS)，以跨越不同分布?jí)K提供擴(kuò)展的2層網(wǎng)絡(luò)通信。在這種設(shè)計(jì)方法中，端到端虛擬化和流量分離可在很大程度上得到簡(jiǎn)化。

服務(wù)器虛擬化

虛擬化的主要目標(biāo)之一是將服務(wù)訪問(wèn)分為不同邏輯組，例如用戶組或部門(mén)。然而，在某些情況下，可能會(huì)出現(xiàn)混合情況，即某些服務(wù)只能由特定組訪問(wèn)，而其他服務(wù)則由不同組共享，例如數(shù)據(jù)中心或互聯(lián)網(wǎng)訪問(wèn)的文件服務(wù)器。

因此，在這樣的情況下，服務(wù)訪問(wèn)需要根據(jù)虛擬網(wǎng)絡(luò)或組來(lái)分離，網(wǎng)絡(luò)虛擬化的概念必須擴(kuò)展到服務(wù)訪問(wèn)邊緣，例如具有多個(gè)VM的服務(wù)器或者具有單個(gè)或多個(gè)互聯(lián)網(wǎng)鏈接的互聯(lián)網(wǎng)邊緣路由器。

注意：網(wǎng)絡(luò)虛擬化可擴(kuò)展到其他網(wǎng)絡(luò)服務(wù)設(shè)備，例如防火墻。例如，您可在每個(gè)虛擬網(wǎng)絡(luò)部署單獨(dú)的虛擬防火墻，以便于虛擬用戶網(wǎng)絡(luò)和虛擬服務(wù)及工作負(fù)載之間的訪問(wèn)控制，如下圖所示。網(wǎng)絡(luò)服務(wù)設(shè)備的虛擬化可被認(rèn)為是“一對(duì)多”網(wǎng)絡(luò)設(shè)備級(jí)虛擬化。

此外，在多租戶網(wǎng)絡(luò)環(huán)境中，多個(gè)安全背景內(nèi)容為企業(yè)(以及服務(wù)提供商)提供了靈活且具有成本效益的解決方案。這個(gè)方法可讓網(wǎng)絡(luò)運(yùn)營(yíng)商對(duì)單對(duì)冗余防火墻分區(qū)，或者將單個(gè)防火墻集群按業(yè)務(wù)單位或租戶分為多個(gè)虛擬網(wǎng)絡(luò)實(shí)例。每個(gè)租戶可部署及管理自己的安全政策和服務(wù)訪問(wèn)，這些都是虛擬分離的。這種方法還允許受控的租戶內(nèi)通信。例如，在典型的多租戶企業(yè)園區(qū)網(wǎng)絡(luò)環(huán)境中(核心啟用了MPLS VPN)，不同租戶之間的流量通常通過(guò)防火墻服務(wù)來(lái)路由

在當(dāng)前信息安全以及企業(yè)信息化建設(shè)不斷發(fā)展的前提下，企業(yè)的網(wǎng)絡(luò)虛擬化也成為互聯(lián)網(wǎng)行業(yè)不斷進(jìn)行探索的方法，這也是當(dāng)前互聯(lián)網(wǎng)快速發(fā)展下的一個(gè)新的趨勢(shì)。

袁老師最后總結(jié)道，隨著當(dāng)前互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)虛擬化將成為一個(gè)重要的發(fā)展方向。而在虛擬化的過(guò)程中，設(shè)備虛擬化和服務(wù)器虛擬化也將其中兩個(gè)重要的關(guān)注焦點(diǎn)。這也是目前兩個(gè)重要的互聯(lián)網(wǎng)領(lǐng)域應(yīng)該面臨的重要技術(shù)課題。虛擬化雖然算不上當(dāng)前的前沿科技，但依然可以說(shuō)是重要的技術(shù)課題，需要技術(shù)人員不斷優(yōu)化這兩個(gè)方面的技術(shù)來(lái)適應(yīng)新時(shí)代的發(fā)展。

想了解更多IT資訊，請(qǐng)?jiān)L問(wèn)中培偉業(yè)官網(wǎng)：中培偉業(yè)