尽管多家网络厂商将虚拟化视为其产品的一个重要特性,但是就目前来看,虚拟化技术在网络领域的应用尚不流行。
在服务器和存储领域之外,虚拟化还可以应用于企业核心和边缘路由。利用交换机中的虚拟路由特性,用户可以将企业划分为使用不同规则和控制的多个子网,而不必再为此购买和安装新的机架或设备。支持者认为,这项技术具有更少的运营费用和更低的复杂性。
各厂商虚拟技术有所不同
虚拟网络的概念并非新东西,虚拟LAN(VLAN)技术可在一台以太网交换机或跨多台交换机上建立安全、独立的LAN网段,多年来已经过无数实践的检验。很多网络厂商现在将其核心交换机中的虚拟化路由特性,描述为一种在3层上划分企业不同部分的、能够在内部与外部网络传输流上提供更多安全性和控制性的工具。
在MPLS运营商网络中,虚拟路由与转发(VRF)技术被用于将客户传输流划分到独立可被路由的网段。对于企业应用而言,VRF-lite(不需要MPLS的更小规模的实现)可将一台路由器分割成多台虚拟设备。例如,Extreme公司就在其模块化ExtremeWare XOS交换机操作系统中,将虚拟路由器配置作为一种特性提供给用户。Juniper公司则在其ISG系列安全路由器/防火墙产品线以及其他路由平台上支持这项技术。Cisco公司也在运行IOS的Catalyst 6500交换机中支持VRF和VRF-lite。
据Cisco公司路由器与交换机产品营销经理Marie Hattar说,VRF和VRF-lite通过Cisco IOS中的命令来激活和配置。在Catalyst 6500上运行虚拟化的、可被路由的网段必须要有Cisco IOS。Hattar说:“我们在未来实现方面追求的目标是如何能够演进基于IP的技术,使提供虚拟化功能变得更容易。公司尝试为企业用户提供一种无须使用复杂的、基于MPLS的实现就可建立虚拟服务的途径。”
Foundry Networks的NetIron交换机则支持Multi-VRF,这是一种让用户可以在一台设备中创建虚拟路由域的技术。与2层VLAN类似,这些域隔离传输流。用户可以在这种设备外安装防火墙或内部访问控制列表,进而管理虚拟路由器网段间共享的传输流。
Amica的虚拟化特例
Amica保险公司在使用Juniper ISG路由器/防火墙的同时,利用Extreme BlackDiamond 10K上的虚拟路由特性将其划分为若干虚拟路由器。据公司IT主管Ron Rivet说,这种设置将由Web、VPN和外网的传输流构成的复合边缘基础设施压缩到两台设备中。
在Amica的网络中,BlackDiamond 10K被划分为6台虚拟路由器,每一台路由器都有自己的路由表、IP地址以及访问与控制规则。其中一台虚拟路由器处理所有输入和输出的Internet传输流,并具有多条DS-3连接。这台路由器连接在Juniper防火墙上,也被划分为多个虚拟路由器。ISG用来过滤数据包,并决定传输流是传送给DMZ(非保护区,直接连接外网应用或公共网站)中的一个,还是传送给能够支持公司内部网络应用的VPN网段。ISG将被分段的传输流传送给第二台虚拟路由器,后者再传送给ISG中的某个虚拟路由器网段。在这个网段上,防火墙规则将被第二次应用。然后,传输流又被传送给为不同网段处理传输流的BlackDiamond 10K中的一台虚拟路由器上。
Rivet说:“由于我们使用两台设备处理所有这些工作,因此不必去配置多台路由器。又因为其中的一台设备是防火墙,所以传输流不断经过防火墙规则的检查……在这两台设备之间,我们真正感受到是在保护自己,因为所有的传输流都经过两次检查。”
不过,行业观察员表示,大多数企业可能不会利用Amica使用的那种,或作为Cisco IOS的一部分提供的那些类型的虚拟路由特性。Yankee Group分析师Zeus Kerravala说:“那些类型的网络虚拟化特性,实际上适用于需要为多家用户或部门提供服务,并对这类虚拟化进行扩展的电信公司和高端企业。虚拟化的概念仍主要流行于服务器和计算领域。在这些领域中,单个的Windows、Unix或Linux被当作虚拟机,并由一台更大的主机或多处理器设备来运行。”另外一些观点认为,在设备中增加一台附加的路由器并为网络分段,相对于在大型企业中划分网段是一个更容易、更安全的做法。
一沙一世界 一花一天堂 掌中握無……
网络编程技术、多媒体技术、PC应用技术
