浅谈网络虚拟化道路

　　不仅仅是服务器和电脑平台，如今局域网厂商们也在竭力宣传

　　虚拟化功能

　　虚拟化技术应用于服务器或者存储系统，可以让用户放置几十个甚至几百个服务器操作系统实例，或者划分及控制不同磁盘上的存储容量。支持者声称，这项技术降低了运营成本、减少了复杂性。

　　虚拟化是一个广义的术语，在计算机方面通常是指计算元件在虚拟的基础上而不是真实的基础上运行。虚拟化技术可以扩大硬件的容量，简化软件的重新配置过程。CPU的虚拟化技术可以单CPU模拟多CPU并行，允许一个平台同时运行多个操作系统，并且应用程序都可以在相互独立的空间内运行而互不影响，从而显着提高计算机的工作效率。虚拟化技术与多任务以及超线程技术是完全不同的。多任务是指在一个操作系统中多个程序同时并行运行，而在虚拟化技术中，则可以同时运行多个操作系统，而且每一个操作系统中都有多个程序运行，每一个操作系统都运行在一个虚拟的CPU或者是虚拟主机上；而超线程技术只是单CPU模拟双CPU来平衡程序运行性能，这两个模拟出来的CPU是不能分离的，只能协同工作。

　　现在网络厂商们声称，虚拟化技术也可以适用于企业网络和边缘的路由。如果把一个企业网络分隔成多个不同的子网络——它们使用不同的规则和控制，用户就可以充分利用交换机的虚拟化路由功能，而不是购买及插入新的机架或者设备来实现这种分隔机制。

　　虚拟化网络概念并不是什么新概念，因为多年来，虚拟局域网（VLAN）技术作为经实践证明切实可靠的一种方法，历来用于在一个以太网交换上或者跨多个交换机来构建安全、独立的局域网网段。

　　VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。

　　而机架交换机里面的虚拟化路由功能是可以在第三层分隔企业网络、对内外网络流量提供更多安全和控制的一种类似工具。

　　通过VRF进行隔离

　　在多协议标记交换（MPLS）运营商网络，多协议标签交换（MPLS）是一种用于快速数据包交换和路由的体系，它为网络数据流量提供了目标、路由、转发和交换等能力。更特殊的是，它具有管理各种不同形式通信流的机制。MPLS 独立于第二和第三层协议，诸如 ATM 和 IP。它提供了一种方式，将 IP 地址映射为简单的具有固定长度的标签，用于不同的包转发和包交换技术。它是现有路由和交换协议的接口，如 IP、ATM、帧中继、资源预留协议（RSVP）、开放短路径优先（OSPF）等等。 虚拟路由和转发（Virtual Routing Forwarding，VRF）被用于把客户流量分割成独立路由转发的几段流量，这步操作有时在同一个设备上进行。

　　厂商们称，针对企业应用，精简版VRF（一种规模比较小的VRF，不需要MPLS）可以把一个路由器划分成多个虚拟化设备。譬如说，Extreme公司就在其模块化的ExtremeWare XOS交换机操作系统里面添加了虚拟化路由器配置这项功能。

　　除了其他路由平台外，Juniper公司的ISG系列安全路由器/防火墙也支持虚拟化技术。思科的IOS型号的Catalyst 6500交换机里面添加了支持VRF和精简版VRF的功能。

　　网捷网络公司的NetIron交换机支持Multi-VRF，这可以让用户在一个设备里面创建多个虚拟化路由选择域。这些路由选择域类似第二层虚拟局域网，可以对流量进行分离。用户可以在该设备外面安装防火墙，也可以安装内部访问控制列表，从而监管虚拟化路由器网段之间共享的那些流量。

　　通过思科IOS交换机里面的命令，交换机是一种用于电信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。常见的交换机是以太网交换机。其他常见的还有电话语音交换机、光纤交换机等。就可以激活及配置VRF和精简版VRF。据思科负责路由器和交换机产品的营销经理Marie Hattar声称，为了在Catalyst 6500上使用虚拟化、经过路由的网段，需要这一步操作。

　　Hattar说： “这项技术会充分利用VRF的各部分。我们正在试图为企业客户提供设置虚拟化服务的一种方法，而不必使用基于MPLS的实现系统，因为后者比较复杂。”

　　虚拟化路由器

　　路由器：连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以路径，按前后顺序发送信号的设备。 路由器英文名Router，路由器是互联网络的枢纽、"交通警察"。目前路由器已经广泛应用于各行各业，各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。路由器（Router）是用于连接多个逻辑上分开的网络，所谓逻辑网络是代表一个单独的网络或者一个子网。当数据从一个子网传输到另一个子网时，可通过路由器来完成。

　　Amica保险公司使用了其Extreme BlackDiamond 10K的虚拟化路由功能，还使用了Juniper ISG路由器/防火墙；BlackDiamond 10K可以分割成多个虚拟化路由器。

　　据该公司的IT主管Ron Rivet声称，这种方案可以把负责传送Web、虚拟专用网（VPN）和外联网等流量的复杂边缘基础设施全部收缩到两个物理设备里面。

　　在Amica公司的网络上，BlackDiamond 10K被分割成了六个虚拟化路由器，每个路由器都有各自的路由表、IP地址、访问控制及规则。一个虚拟化路由器负责处理所有进出的因特网流量，并且使用多路DS-3连接。

　　Juniper ISG这个路由器连接到Juniper防火墙，也被分割成多个虚拟化路由器。ISG负责对数据包进行过滤，并确定流量是传送到几个非军事区（DMZ）当中的一个——这些DMZ面向外联网的应用软件或者公共网站，还是传送到存放有在公司内部网络上运行的应用软件的VPN网段。

　　ISG将分段流量发送到第二个虚拟化路由器，该路由器再将流量路由转发到ISG里面的虚拟化路由器网段——在这里，防火墙规则第二次加以运用。流量由此发送到BlackDiamond 10K的其中一个虚拟化路由器。BlackDiamond 10K负责处理不同网段的流量。

　　Rivet说，如果在Amica的网络安全配置的每个步骤都安装不同厂商的一个个设备来处理流量需要高昂成本——他估计硬件费用至少需要5万到10万美元，管理起来也比较困难。

　　行业观察人士认为，大多数企业恐怕不会充分利用由思科、网捷及其他厂商提供的这几种虚拟化路由功能。

　　Yankee集团的分析师Zeus Kerravala说：“这几种网络虚拟化功能其实适用于电信公司和高端企业，因为它们有多个客户或者部署需要服务，也需要这种虚拟化功能进行扩展。”

　　其他人士则说，就为大型企业网络划分网段而言，在物理设备上添加另外一台路由器、对网络进行分段是比较简单也是比较安全的一种方法。