久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

網(wǎng)絡(luò)虛擬化可分為以下三種主要模式，每種都包含不同的技術(shù)以滿足不同的需求：

·

設(shè)備虛擬化

·

路徑隔離

·

服務(wù)虛擬化

此外，您可單獨使用不同模式的技術(shù)以滿足特定要求，或者結(jié)合這些技術(shù)來實現(xiàn)終端到終端網(wǎng)絡(luò)虛擬化解決方案。因此，網(wǎng)絡(luò)設(shè)計人員必須充分了解不同的技術(shù)方法以及它們的屬性，以選擇最合適的虛擬化技術(shù)和設(shè)計方法，為企業(yè)帶來價值。

設(shè)備虛擬化

也被稱為設(shè)備分區(qū)，設(shè)備虛擬化是指在某個網(wǎng)絡(luò)節(jié)點(例如交換機或路由器)虛擬化數(shù)據(jù)平面、控制平面或兩者。通過利用設(shè)備級虛擬化可幫助在本地設(shè)備水平實現(xiàn)2層網(wǎng)絡(luò)、3層網(wǎng)絡(luò)或兩者的分離，下面是實現(xiàn)設(shè)備級網(wǎng)絡(luò)虛擬化的主要技術(shù)：

· 虛擬LAN(VLAN)：

VLAN是最常見的2層網(wǎng)絡(luò)虛擬化技術(shù)。它被用在網(wǎng)絡(luò)中，其中單個交換機可被分為多個邏輯2層網(wǎng)絡(luò)廣播域，這些域與其他VLAN虛擬分離。您可使用網(wǎng)絡(luò)邊緣的VLAN來放置端點到某個虛擬網(wǎng)絡(luò)。每個VLAN都有自己的MAC轉(zhuǎn)發(fā)表以及生成樹實例(Per-VLAN Spanning Tree[PVST])。

· 虛擬路由和轉(zhuǎn)發(fā)(VRF)VRF

在概念是與VLAN類似，但從控制平面和轉(zhuǎn)發(fā)角度來看，它是在3層網(wǎng)絡(luò)設(shè)備。VRF可結(jié)合VLAN來為每個VLAN提供虛擬化3層網(wǎng)絡(luò)網(wǎng)關(guān)服務(wù)。

如圖所示，跨802.1Q中繼的每個VLAN都可映射到不同子接口，這些接口被分配獨特的VRF，每個VRF保持自己的轉(zhuǎn)發(fā)和路由實例，并可能利用不同的VRFaware路由協(xié)議(例如，OSPF或者EIGRP實例)

路徑隔離

路徑隔離是指跨網(wǎng)絡(luò)維護終端到終端邏輯路徑傳輸分離的概念。這種終端到終端路徑分離可使用以下主要設(shè)計方法來實現(xiàn)：

· 逐跳:

如圖所示，這種設(shè)計方法是基于在流量路徑中按設(shè)備部署終端到終端(VLAN+802.1Q中繼鏈路+VRF)，這種設(shè)計方法提供了簡單可靠的路徑分離解決方案。然而，對于大規(guī)模動態(tài)網(wǎng)絡(luò)(大量虛擬化網(wǎng)絡(luò))，這是非常難以管理的復(fù)雜解決方案。這種復(fù)雜性與設(shè)計可擴展性限制有關(guān)。

· 多跳Multihop：

這種方法基于使用隧道和其他覆蓋技術(shù)來提供端到端路徑隔離，并在網(wǎng)絡(luò)傳輸虛擬化流量。

最常見的方法包括：

· 隧道協(xié)議：

GRE或多點GRE(mGRE)(動態(tài)多點VPN[DMVPN])等隧道協(xié)議將消除對端到端VRF和802.1Q中繼的依賴，因為激活的流量將通過隧道傳輸。與之前的方法相比，這種方法提供更高級別的可擴展性，以及更簡單的操作。這種設(shè)計非常適合只有部分網(wǎng)絡(luò)需要路徑隔離的網(wǎng)絡(luò)。

然而，對于擁有多個邏輯組或業(yè)務(wù)部門的大規(guī)模網(wǎng)絡(luò)，這種隧道方法會給設(shè)計和操作增加復(fù)雜性。例如，如果該設(shè)計需要為跨兩個“分布塊”的用戶組進行路徑隔離，隧道則很適合。但mGRE可為較大型網(wǎng)絡(luò)提供相同的傳輸和路徑隔離，且保持更低的設(shè)計和操作復(fù)雜性。

· MPLS VPN：

通過將企業(yè)轉(zhuǎn)換為服務(wù)提供商類型的網(wǎng)絡(luò)，核心是啟用多協(xié)議標簽交換(MPLS)以及分布層交換機作為提供商邊緣(PE)設(shè)備。正如在服務(wù)提供商網(wǎng)絡(luò)中，每個PE(分布塊)將通過MP-BGP會話交換VPN路由，如圖所示。(還可以引入路由反射器來減少全網(wǎng)狀MP-BGP對等會話的復(fù)雜性)

另外，如果需要的話，這種架構(gòu)還可引入L2VPN功能，例如基于MPLS的以太網(wǎng)(EoMPLS)，以跨越不同分布塊提供擴展的2層網(wǎng)絡(luò)通信。在這種設(shè)計方法中，端到端虛擬化和流量分離可在很大程度上得到簡化。

下圖介紹了不同企業(yè)園區(qū)網(wǎng)絡(luò)的虛擬化技術(shù)

下表從不同的設(shè)計角度以總結(jié)的方式對比了這些技術(shù)。

如本文前面所述，對于網(wǎng)絡(luò)設(shè)計人員來說，了解不同網(wǎng)絡(luò)虛擬化技術(shù)之間的差異很重要。

服務(wù)器虛擬化

虛擬化的主要目標之一是將服務(wù)訪問分為不同邏輯組，例如用戶組或部門。然而，在某些情況下，可能會出現(xiàn)混合情況，即某些服務(wù)只能由特定組訪問，而其他服務(wù)則由不同組共享，例如數(shù)據(jù)中心或互聯(lián)網(wǎng)訪問(如圖)的文件服務(wù)器。

因此，在這樣的情況下，服務(wù)訪問需要根據(jù)虛擬網(wǎng)絡(luò)或組來分離，網(wǎng)絡(luò)虛擬化的概念必須擴展到服務(wù)訪問邊緣，例如具有多個VM的服務(wù)器或者具有單個或多個互聯(lián)網(wǎng)鏈接的互聯(lián)網(wǎng)邊緣路由器。

注意：

網(wǎng)絡(luò)虛擬化可擴展到其他網(wǎng)絡(luò)服務(wù)設(shè)備，例如防火墻。例如，您可在每個虛擬網(wǎng)絡(luò)部署單獨的虛擬防火墻，以便于虛擬用戶網(wǎng)絡(luò)和虛擬服務(wù)及工作負載之間的訪問控制，如下圖所示。網(wǎng)絡(luò)服務(wù)設(shè)備的虛擬化可被認為是“一對多”網(wǎng)絡(luò)設(shè)備級虛擬化。

此外，在多租戶網(wǎng)絡(luò)環(huán)境中，多個安全背景內(nèi)容為企業(yè)(以及服務(wù)提供商)提供了靈活且具有成本效益的解決方案。這個方法可讓網(wǎng)絡(luò)運營商對單對冗余防火墻分區(qū)，或者將單個防火墻集群按業(yè)務(wù)單位或租戶分為多個虛擬網(wǎng)絡(luò)實例。每個租戶可部署及管理自己的安全政策和服務(wù)訪問，這些都是虛擬分離的。這種方法還允許受控的租戶內(nèi)通信。例如，在典型的多租戶企業(yè)園區(qū)網(wǎng)絡(luò)環(huán)境中(核心啟用了MPLS VPN)，不同租戶之間的流量通常通過防火墻服務(wù)來路由，正如下圖所示。

下圖展示了不同租戶/VPN(A和B)之間流量傳輸更詳細的視圖，其中每個租戶都有自己的虛擬防火墻服務(wù)實例——在企業(yè)園區(qū)網(wǎng)絡(luò)的服務(wù)塊(或者在數(shù)據(jù)中心)。