网络通信 频道

如何在企业部署网络虚拟化?

  在这篇文章中,我们将探讨在企业园区网络部署网络虚拟化的不同方法。

  网络虚拟化可分为以下三种主要模式,每种都包含不同的技术以满足不同的需求:

  · 设备虚拟化

  · 路径隔离

  · 服务虚拟化

  此外,您可单独使用不同模式的技术以满足特定要求,或者结合这些技术来实现终端到终端网络虚拟化解决方案。因此,网络设计人员必须充分了解不同的技术方法以及它们的属性,以选择最合适的虚拟化技术和设计方法,为企业带来价值。

  设备虚拟化

  也被称为设备分区,设备虚拟化是指在某个网络节点(例如交换机或路由器)虚拟化数据平面、控制平面或两者。通过利用设备级虚拟化可帮助在本地设备水平实现2层网络、3层网络或两者的分离,下面是实现设备级网络虚拟化的主要技术:

  · 虚拟LAN(VLAN):VLAN是最常见的2层网络虚拟化技术。它被用在网络中,其中单个交换机可被分为多个逻辑2层网络广播域,这些域与其他VLAN虚拟分离。您可使用网络边缘的VLAN来放置端点到某个虚拟网络。每个VLAN都有自己的MAC转发表以及生成树实例(Per-VLAN Spanning Tree[PVST])。

  · 虚拟路由和转发(VRF)VRF在概念是与VLAN类似,但从控制平面和转发角度来看,它是在3层网络设备。VRF可结合VLAN来为每个VLAN提供虚拟化3层网络网关服务。

  如图所示,跨802.1Q中继的每个VLAN都可映射到不同子接口,这些接口被分配独特的VRF,每个VRF保持自己的转发和路由实例,并可能利用不同的VRFaware路由协议(例如,OSPF或者EIGRP实例)

如何在企业部署网络虚拟化?

  路径隔离

  路径隔离是指跨网络维护终端到终端逻辑路径传输分离的概念。这种终端到终端路径分离可使用以下主要设计方法来实现:

  · 逐跳: 如图所示,这种设计方法是基于在流量路径中按设备部署终端到终端(VLAN+802.1Q中继链路+VRF),这种设计方法提供了简单可靠的路径分离解决方案。然而,对于大规模动态网络(大量虚拟化网络),这是非常难以管理的复杂解决方案。这种复杂性与设计可扩展性限制有关。

如何在企业部署网络虚拟化?

  · 多跳Multihop:这种方法基于使用隧道和其他覆盖技术来提供端到端路径隔离,并在网络传输虚拟化流量。

  最常见的方法包括:

  · 隧道协议:GRE或多点GRE(mGRE)(动态多点VPN[DMVPN])等隧道协议将消除对端到端VRF和802.1Q中继的依赖,因为激活的流量将通过隧道传输。与之前的方法相比,这种方法提供更高级别的可扩展性,以及更简单的操作。这种设计非常适合只有部分网络需要路径隔离的网络。

  然而,对于拥有多个逻辑组或业务部门的大规模网络,这种隧道方法会给设计和操作增加复杂性。例如,如果该设计需要为跨两个“分布块”的用户组进行路径隔离,隧道则很适合。但mGRE可为较大型网络提供相同的传输和路径隔离,且保持更低的设计和操作复杂性。

  · MPLS VPN:通过将企业转换为服务提供商类型的网络,核心是启用多协议标签交换(MPLS)以及分布层交换机作为提供商边缘(PE)设备。正如在服务提供商网络中,每个PE(分布块)将通过MP-BGP会话交换VPN路由,如图所示。(还可以引入路由反射器来减少全网状MP-BGP对等会话的复杂性)

如何在企业部署网络虚拟化?

  另外,如果需要的话,这种架构还可引入L2VPN功能,例如基于MPLS的以太网(EoMPLS),以跨越不同分布块提供扩展的2层网络通信。在这种设计方法中,端到端虚拟化和流量分离可在很大程度上得到简化。

  下图介绍了不同企业园区网络的虚拟化技术

如何在企业部署网络虚拟化?

  如本文前面所述,对于网络设计人员来说,了解不同网络虚拟化技术之间的差异很重要。下表从不同的设计角度以总结的方式对比了这些技术。

如何在企业部署网络虚拟化?

  服务器虚拟化

  虚拟化的主要目标之一是将服务访问分为不同逻辑组,例如用户组或部门。然而,在某些情况下,可能会出现混合情况,即某些服务只能由特定组访问,而其他服务则由不同组共享,例如数据中心或互联网访问(如图)的文件服务器。

如何在企业部署网络虚拟化?

  因此,在这样的情况下,服务访问需要根据虚拟网络或组来分离,网络虚拟化的概念必须扩展到服务访问边缘,例如具有多个VM的服务器或者具有单个或多个互联网链接的互联网边缘路由器。

  注意:网络虚拟化可扩展到其他网络服务设备,例如防火墙。例如,您可在每个虚拟网络部署单独的虚拟防火墙,以便于虚拟用户网络和虚拟服务及工作负载之间的访问控制,如下图所示。网络服务设备的虚拟化可被认为是“一对多”网络设备级虚拟化。

如何在企业部署网络虚拟化?

  此外,在多租户网络环境中,多个安全背景内容为企业(以及服务提供商)提供了灵活且具有成本效益的解决方案。这个方法可让网络运营商对单对冗余防火墙分区,或者将单个防火墙集群按业务单位或租户分为多个虚拟网络实例。每个租户可部署及管理自己的安全政策和服务访问,这些都是虚拟分离的。这种方法还允许受控的租户内通信。例如,在典型的多租户企业园区网络环境中(核心启用了MPLS VPN),不同租户之间的流量通常通过防火墙服务来路由,正如下图所示。

如何在企业部署网络虚拟化?

  下图展示了不同租户/VPN(A和B)之间流量传输更详细的视图,其中每个租户都有自己的虚拟防火墙服务实例——在企业园区网络的服务块(或者在数据中心)。

如何在企业部署网络虚拟化?

1
相关文章