随着互联网技术的不断发展,网络虚拟化已经越来越受到欢迎,在这其中,企业是网络虚拟化的主力用户。那么如何在企业部署网络虚拟化呢?对此,中培教育《网络部署实战及架构设计》培训专家袁老师指出,网络虚拟化可分为以下三种主要模式,每种都包含不同的技术以满足不同的需求:
· 设备虚拟化
· 路径隔离
· 服务虚拟化
此外,可单独使用不同模式的技术以满足特定要求,或者结合这些技术来实现终端到终端网络虚拟化解决方案。因此,网络设计人员必须充分了解不同的技术方法以及它们的属性,以选择最合适的虚拟化技术和设计方法,为企业带来价值。
设备虚拟化
也被称为设备分区,设备虚拟化是指在某个网络节点(例如交换机或路由器)虚拟化数据平面、控制平面或两者。通过利用设备级虚拟化可帮助在本地设备水平实现2层网络、3层网络或两者的分离,下面是实现设备级网络虚拟化的主要技术:
· 虚拟LAN(VLAN):VLAN是最常见的2层网络虚拟化技术。它被用在网络中,其中单个交换机可被分为多个逻辑2层网络广播域,这些域与其他VLAN虚拟分离。您可使用网络边缘的VLAN来放置端点到某个虚拟网络。每个VLAN都有自己的MAC转发表以及生成树实例(Per-VLAN Spanning Tree[PVST])。
· 虚拟路由和转发(VRF)VRF在概念是与VLAN类似,但从控制平面和转发角度来看,它是在3层网络设备。VRF可结合VLAN来为每个VLAN提供虚拟化3层网络网关服务。
路径隔离
路径隔离是指跨网络维护终端到终端逻辑路径传输分离的概念。这种终端到终端路径分离可使用以下主要设计方法来实现:
· 逐跳: 这种设计方法是基于在流量路径中按设备部署终端到终端(VLAN+802.1Q中继链路+VRF),这种设计方法提供了简单可靠的路径分离解决方案。然而,对于大规模动态网络(大量虚拟化网络),这是非常难以管理的复杂解决方案。这种复杂性与设计可扩展性限制有关。
· 多跳Multihop:这种方法基于使用隧道和其他覆盖技术来提供端到端路径隔离,并在网络传输虚拟化流量最常见的方法包括:
· 隧道协议:GRE或多点GRE(mGRE)(动态多点VPN[DMVPN])等隧道协议将消除对端到端VRF和802.1Q中继的依赖,因为激活的流量将通过隧道传输。与之前的方法相比,这种方法提供更高级别的可扩展性,以及更简单的操作。这种设计非常适合只有部分网络需要路径隔离的网络。
然而,对于拥有多个逻辑组或业务部门的大规模网络,这种隧道方法会给设计和操作增加复杂性。例如,如果该设计需要为跨两个“分布块”的用户组进行路径隔离,隧道则很适合。但mGRE可为较大型网络提供相同的传输和路径隔离,且保持更低的设计和操作复杂性。
· MPLS VPN:通过将企业转换为服务提供商类型的网络,核心是启用多协议标签交换(MPLS)以及分布层交换机作为提供商边缘(PE)设备。正如在服务提供商网络中,每个PE(分布块)将通过MP-BGP会话交换VPN路由。
另外,如果需要的话,这种架构还可引入L2VPN功能,例如基于MPLS的以太网(EoMPLS),以跨越不同分布块提供扩展的2层网络通信。在这种设计方法中,端到端虚拟化和流量分离可在很大程度上得到简化。
服务器虚拟化
虚拟化的主要目标之一是将服务访问分为不同逻辑组,例如用户组或部门。然而,在某些情况下,可能会出现混合情况,即某些服务只能由特定组访问,而其他服务则由不同组共享,例如数据中心或互联网访问的文件服务器。
因此,在这样的情况下,服务访问需要根据虚拟网络或组来分离,网络虚拟化的概念必须扩展到服务访问边缘,例如具有多个VM的服务器或者具有单个或多个互联网链接的互联网边缘路由器。
注意:网络虚拟化可扩展到其他网络服务设备,例如防火墙。例如,您可在每个虚拟网络部署单独的虚拟防火墙,以便于虚拟用户网络和虚拟服务及工作负载之间的访问控制,如下图所示。网络服务设备的虚拟化可被认为是“一对多”网络设备级虚拟化。
此外,在多租户网络环境中,多个安全背景内容为企业(以及服务提供商)提供了灵活且具有成本效益的解决方案。这个方法可让网络运营商对单对冗余防火墙分区,或者将单个防火墙集群按业务单位或租户分为多个虚拟网络实例。每个租户可部署及管理自己的安全政策和服务访问,这些都是虚拟分离的。这种方法还允许受控的租户内通信。例如,在典型的多租户企业园区网络环境中(核心启用了MPLS VPN),不同租户之间的流量通常通过防火墙服务来路由