网络虚拟化技术介绍及应用实例

网络虚拟化介绍及应用实例
技术背景
随着社会生产力的不断发展，用户需求不断发展提高，市场也不断发展变化，谁能真正掌握市场迎合用户，谁就能够占领先机提高自己的核心竞争力。

企业运营中关键资讯传递的畅通可以帮助企业充分利用关键资源，供应链、渠道管理，了解市场抓住商机，从而帮助企业维持甚至提高其竞争地位。

作为网络数据存储和流通中心的企业数据中心，很显然拥有企业资讯流通最核心的地位，越来越受到企业的重视。

当前各个企业/行业的基础网络已经基本完成，随着“大集中”思路越来越深入人心，各企业、行业越来越迫切的需要在原来的基础网络上新建自己的数据中心。

数据中心设施的整合已经成为行业内的一个主要发展趋势，利用数据中心，企业不但能集中资源和信息加强资讯的流通以及新技术的采用，还可以改善对外服务水平提高企业的市场竞争力。

一个好的数据中心在具有上述好处之外甚至还可以降低拥有成本。

1. 虚拟化简介
在数据大集中的趋势下，数据中心的服务器规模越来越庞大。

随着服务器规模的成倍增加，硬件成本也水涨船高，同时管理众多的服务器的维护成本也随着增加。

为了降低数据中心的硬件成本和管理难度，对大量的服务器进行整合成了必然的趋势。

通过整合，可以将多种业务集成在同一台服务器上，直接减少服务器的数量，有效的降低服务器硬件成本和管理难度。

服务器整合带来了巨大的经济效益，同时也带来了一个难题：多种业务集成在一台服务器上，安全如何保证？而且不同的业务对服务器资源也有不同的需求，如何保证各个业务资源的正常运作？为了解决这些问题，虚拟化应运而生了。

虚拟化指用多个物理实体创建一个逻辑实体，或者用一个物理实体创建多个逻辑实体。

实体可以是计算、存储、网络或应用资源。

虚拟化的实质就是“隔离”—将不同的业务隔离开来，彼此不能互访，从而保证业务的安全需求；将不同的业
务的资源隔离开来，从而保证业务对于服务器资源的要求。

数据中心运行的应用越来越多，但很多应用都相互独立，而且在使用率低下、相关隔绝的不同环境中运行。

每个应用都追求性能的不断提高，数据中心拥有多种操作系统、计算平台和存储系统。

因此，IT 机构必须提高运行效率，优化数据中心资源的利用率，才能将节省出来的资金用于开展新的盈利型IT 项目。

另外，数据中心需要建立永续的基础设施，才能保护各种应用和服务免受各种安全攻击和干扰的危害，才能建立既可以持续改进计算机、存储和应用技术，又能支持不断变化的业务流程的灵活型基础设施。

利用整合和虚拟化技术帮助数据中心将计算和存储资源从多个分立式系统转变成可以通过智能网络汇聚、分层、调配和访问的标准化组件，从而为自动化等新兴IT 战略奠定基础。

数据中心资源的整合和虚拟化正在不断发展，这需要高度可扩展的永续安全数据中心网络基础。

网络不但能让用户安全访问各种数据中心服务，还能根据需要实现共享数据中心组件的部署、互联和汇聚，包括各种应用、服务器、设备和存储。

适当规划的数据中心网络不仅能保护应用和数据完整性，提高应用可用性和性能，还能增强对不断变化的市场状况、业务重要程度和技术先进性的反应能力。

网络虚拟化技术
网络虚拟化是目前业界关于虚拟化细分领域界定最不明确，存在争议较多的一个概念。

但总体来说，分为纵向分割和横向分割两大类概念。

纵向分割
早期的"网络虚拟化"，是指虚拟专用网络(VPN)。

VPN 对网络连接的概念进行了抽象，允许远程用户访问组织的内部网络，就像物理上连接到该网络一样。

网络虚拟化可以帮助保护IT环境，防止来自Internet 的威胁，同时使用户能够快速安全的访问应用程序和数据。

随后的网络虚拟化技术随着数据中心业务要求发展为：多种应用承载在一张物理网络上，通过网络虚拟化分割(称为纵向分割)功能使得不同企业机构相互隔
离，但可在同一网络上访问自身应用，从而实现了将物理网络进行逻辑纵向分割虚拟化为多个网络；
如果把一个企业网络分隔成多个不同的子网络――它们使用不同的规则和控制，用户就可以充分利用基础网络的虚拟化路由功能，而不是部署多套网络来实现这种隔离机制。

网络虚拟化概念并不是什么新概念，因为多年来，虚拟局域网（VLAN）技术作为基本隔离技术已经广泛应用。

当前在交换网络上通过VLAN来区分不同业务网段、配合防火墙等安全产品划分安全区域，是数据中心基本设计内容之一。

出于将多个逻辑网络隔离、整合的需要，VLAN、MPLS-VPN、Multi-VRF 技术在路由环境下实现了网络访问的隔离，虚拟化分割的逻辑网络内部有独立的数据通道，终端用户和上层应用均不会感知其它逻辑网络的存在。

但在每个逻辑网络内部，仍然存在安全控制需求，对数据中心而言，访问数据流从外部进入数据中心，则表明了数据在不同安全等级的区域之间流转，因此，有必要在网络上提供逻辑网络内的安全策略，而不同逻辑网络的安全策略有各自独立的要求，虚拟化安全技术，将一台安全设备可分割成若干台逻辑安全设备(成为多个实例)，从而很好满足了虚拟化的深度强化安全要求。

横向分割
从另外一个角度来看，多个网络节点承载上层应用，基于冗余的网络设计带来复杂性，而将多个网络节点进行整合(称为横向整合)，虚拟化成一台逻辑设备，提升数据中心网络可用性、节点性能的同时将极大简化网络架构。

数据中心是企业IT架构的核心领域，传统的数据中心网络架构由于多层结构、安全区域、安全等级、策略部署、路由控制、VLAN划分、二层环路、冗余设计等诸多因素，导致网络结构比较复杂，使得数据中心基础网络的运维管理难度较高。

使用网络虚拟化技术，用户可以将多台设备连接，“横向整合”起来组成一个“联合设备”，并将这些设备看作单一设备进行管理和使用。

多个盒式设备整合类似于一台机架式设备，多台框式设备的整合相当于增加了槽位，虚拟化整合后的设备组成了一个逻辑单元，在网络中表现为一个网元节点，管理简单化、配置简单化、可跨设备链路聚合，极大简化网络架构，同时进一步增强冗余可靠性。

目前纵向和横向分割的业界网络虚拟化倡导者为Cisco与3Com，两家业界巨头更希望能将任何基于服务的传统客户端/服务器安置到"网络上"，甚至在路由器中插入一张工作卡。

该卡上带有一套全功能的Linux服务器，可以和路由器中枢相连。

在这个Linux服务器中，你可以安装诸如sniffer、V oIP、安全应用等等。

让路由器和交换机执行更多的服务。

但总的来说，目前网络虚拟化并无业界标准，成熟程度不如服务器虚拟化和
存储虚拟化，而且相当一部分技术已经在设备采购中包含(比如VPN,VLAN) ，无需单独统一部署。

园区网络虚拟化
无论规模如何或有什么安全需求，企业现在都能在单一物理网络上，受益于支持多个封闭用户组的虚拟化园区网络。

综述
随着对园区网络的需求日益复杂，可扩展解决方案也越来越需要将多个网络用户组进行逻辑分区。

网络虚拟化提供了多个解决方案，能在保持现有园区设计的高可用性、可管理性、安全性和可扩展性优势的同时，实现服务和安全策略的集中。

为达到出色效果，这些解决方案必须包括网络虚拟化的三个主要方面：访问控制、路径隔离和服务边缘。

通过实施这些解决方案，网络虚拟化即能与思科系统公司®的服务导向网络架构(SONA)相结合，为迁移到智能化信息网络的企业创建一个强大的框架。

SONA网络利用NAC和IEEE 802.1x协议提供身份识别服务，从而实现最优访问控制。

在用户获准接入网络后，三个路径隔离解决方案—GRE隧道、VRF-lite 和MPLS VPN—能在保留当前园区网设计优势的同时，在现有局域网上叠加分区机制，将网络划分为安全、虚拟的网络。

这些解决方案解决了与分布部署服务和安全策略相关的问题。

最后，共享服务和安全策略实施的集中化，大大减少了在园区网中维护不同群组的安全策略和服务所需的资本和运营开支。

这种集中化有助于在园区中实施一致的策略。

挑战
园区网络的设计建议一直缺乏一种对网络流量分区，以便为封闭用户组提供安全独立环境的方式（表1）。

有许多因素都在推动对于创建封闭用户组的需要，包括：
∙企业中存在不同级别的访问权限：几乎每个企业都需要解决方案来为客户、厂商、合作伙伴以及园区局域网上的员工授予不同的访问级别。

∙法规遵从性：部分企业受法律或规定的要求，必须对较大的机构进行分区。

例如，在金融公司中，银行业务必须与证券交易业务分开。

∙过大的企业需要简化网络：对于非常大型的园区网络，如机场、医院或大学来说，过去，为保证不同用户组或部门间的安全性，就必须构建和管理不同的物理网络，这种做法既昂贵又难以管理。

∙网络整合：在合并和收购时，通常需要迅速集成所收购公司的网络。

∙外包：随着外包和离岸外包的普及，子承包商必须证明各客户的信息间完全隔离。

尤其当一家承包商服务于相互竞争的公司时，这尤为重要。

∙提供网络服务的企业：零售连锁公司为其他公司支持售货亭或为加油站提供互联网接入；同样，服务于多家航空公司和零售商的机场能使用单一网络来提供隔离服务和共享服务。

不同垂直行业中网络分区的应用示例
垂直行业网络虚拟化应用示例
制造业生产工厂(自动装置，生产环境自动化等)，管理，销售，视频监视。

金融业交易大厅，管理，合并。

政府支持不同部门的共同建筑物和设施。

在部分国家，法律要求这些部门采用不同网络。

医疗总体趋势是在进行治疗的同时提供宾馆式服务。

须隔离医护人员、核磁共振成像(MRI)和其他技术设备、病人互联网接入，以及为病人
提供的广播和电视等媒体服务。

商业智能楼宇：多企业园区不同部门共享部分资源。

多个公司位于同一园区，其中不同建筑物分属不同部门，但全使用相同的核心和互联网接入机制。

园区所有者管理建筑物自动化体系，覆盖所有建筑物。

零售售货亭，分支机构中的公共无线局域网，RF识别，WLAN设备（例如，不支持任何WLAN安全特性的较早的WLAN条码阅读器）。

教育学生、教授、管理人员和外部研究团队间需要隔离。

此外，分布于多个建筑物的各院系可能需要访问各自的服务器区域。

而某些资源
（例如互联网、电子邮件和新闻）可能需要共享或通过一个服务区
访问。

此外，建筑物自动化体系也必须分开。

网络虚拟化技术解决方案
1.背景介绍
行业的分布格局较为单一，属于典型“纵横”结构。

“纵”指的是从行业总部到行业各省、市、县等区域分部的业务体系。

“横”指的是在各省、市、县等区域内，行业各个分部之间的业务体系。

行业网解决方案的组网结构与行业网结构相对应，也分为“纵、横”两部分。

纵向网指的是连接行业总部网络与各省、市、县等区域网络的骨干网，横向网指的是连接各区域内业务点的城域网。

行业网内存在多种业务，业务与业务之间需要互不干扰，才能保证各种业务的独立管理和服务质量。

因此，在统一的行业网络上，需要将不同的业务进行逻辑隔离，达到“网络业务虚拟化”的目的，而BGP/MPLS VPN就是实现业务虚拟化的一种最佳方式。

BGP/MPLS VPN是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN），可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。

采用MPLS VPN技术可以把现有的IP网络分解成逻辑上隔离的网络，这种逻辑上隔离的网络的应用可以是千变万化的：可以是用在解决行业骨干网/城域网互连、也可以时用来提供新的业务---如为IP电话业务专门开辟一个VPN、以此解决IP网络地址不足和QoS的问题，也可以为用MPLS VPN为IPv6提供开展业务的可能。

2.方案概述
2.1 行业骨干网
行业骨干网纵向连接省、市、县三级，横向接入三级城域网，主要负责行业纵向系统三级业务流传递，要求提供数据高速转发。

骨干网路由设备要求支持MPLS VPN和QOS（端到端服务质量保证）功能。

从可靠性角度考虑，骨干网路由设备应支持关键部件全冗余配置以及NSF（不间断路由转发）和GR（平滑
重启）功能。

从接口上看，骨干网路由设备应支持2.5G/155M CPOS，GE/FE等接口。

行业骨干网典型组网
2.2 行业城域网
城域网中基本以三层交换机设备为主，在组网功能结构上可分为：核心层、汇聚层、接入层。

可以使用MPLS VPN技术隔离各种业务，各业务网络共用同一套物理网络，但是逻辑上相互独立，这样既有利于各种业务的开展，也使得网络管
理更加方便。

行业城域网典型组网
3.功能特点
网络及路由层次清晰
采用业界主流分层的分层结构设计，核心层可以专注于IP/MPLS的快速交换，汇聚层负责城域网业务的汇接，高速转发，层次清晰，分工明确。

分层网络结构，路由设计更清晰，可以尽量避免核心区域的路由受到边缘链路震荡的影响。

网络结构充分考虑可靠性
汇聚层设备采用双归属等措施避免了单点故障，提高网络的可靠性。

同时，核心、汇聚层设备均采用分布式体系结构、关键部件冗余的高可靠性设计，保证了设备系统的可靠性和可用性。

端到端QoS
基于DiffServer模型的QoS端到端部署，实现IP DSCP与MPLS EXP与之间的映射，保证了业务流端到端的服务质量。

扩展性强
独特的分层PE和VPE得引入，极大简化了网络的复杂性，降低了网络建设、维护成本，增强了网络的可扩展性。

易管理
H3C提供强大的网络设备管理软件MPLS VPManager，实现正常的网络管理功能外，在故障管理和配置管理上更加人性化，满足管理人员的实际需求。

除此之外，通过图形化简单的操作实现对复杂VPN网络的轻松管理和资源调度。

安全
由于基于MPLS/BGP实现，报文在网络节点构成的MPLS域中采用标签转发的形式进行交换（LSP），因此具有同ATM/FR虚电路相同的安全级别；MPLS BGP VPN方案采用VRF实现VPN之间的路由隔离；通过MPLS LSP隧道将VPN 流量完全隔离。

4.方案部件
4.1 骨干网方案部件
骨干网提供各级城域网的互联，主要提供高速数据转发，要求设备具备高性能、高可靠、高稳定。

核心路由器NE40或SR88
骨干网核心P设备使用NE40或SR88，提供高速转发，性能高、可靠性高。

NE20/SR66/MSR
根据需要，边缘PE设备可使用NE20/SR66/MSR，NE20/SR66的性能较高，
适用于大型网络，MSR的性能较低，但是业务更丰富，可以用在性能要求不是很高的地方。

4.2 城域网方案部件
核心交换机S9512
在核心骨干层，采用骨干交换机进行组网，实现高速的标签转发，保证相应的QoS
S9505/S75E/S3610
在汇聚层，可以充分考虑网络的现状，采用具有MPLS VPN能力的交换机来组网，比如S9505，S75E；在小汇聚这个层次上，建议使用S3610作为MCE，简化网络结构
S3000/S5000
在CE侧，主要使用三层接入交换机进行接入，主要产品可以根据行业的实际情况，选择3000系列或者5000系列交换机完成对办公室，楼层，整楼，整个机关学校的以太网接入和互连；充分利用交换机具有GE/FE端口密度高，ACL 流分类多，成本低的特点，转发线速无阻塞，QoS比较好，可以满足政府机关，学校，公司企业等业务多，要求带宽高的特点
4.3 管理部件
MPLS VPManager
MPLS VPN管理软件支持MPLS L3 VPN，实现了“多种VPN业务，单点集中运维”的需求，降低管理成本，提高工作效率。

5.典型组网应用
行业纵向骨干网
骨干网提供各级城域网的互联，主要提供高速数据转发，要求设备具备高性能、高可靠、高稳定。

同时保证各种重点业务的隔离和服务质量。

行业横向城域网
城域网提供区域内各业务点之间的互联和资源共享，带宽高、线速转发、网络节点的冗余备份。

同时保证各种重点业务的隔离和服务质量。