紅帽虛擬化綜合測(cè)試報(bào)告

1、Red Hat 虛擬化綜合測(cè)試報(bào)告目錄Xen與VMware的性能比較測(cè)試1.0 .1 HYPERLINK l 1.1.測(cè)試說(shuō)明|outline測(cè)試目的. .1 HYPERLINK l 1.2.測(cè)試結(jié)果|outline 測(cè)試方式.1 HYPERLINK l 1.3.測(cè)試結(jié)論|outline 測(cè)試環(huán)境.1 HYPERLINK l 1.4.測(cè)試方法及策略|outline 測(cè)試方法與結(jié)果.1 測(cè)試結(jié)論.5 HYPERLINK l 2.測(cè)試概述|outline虛擬化性能測(cè)試報(bào)告.5 HYPERLINK l 2.1.測(cè)試人員及角色|outline測(cè)試目的.6 HYPERLINK l 2.2.測(cè)試環(huán)境|ou

2、tline測(cè)試方法.6壓力測(cè)試場(chǎng)景.6 測(cè)試環(huán)境.7 HYPERLINK l 2.2.1.軟、硬件環(huán)境|outline 硬件環(huán)境.7 HYPERLINK l 2.2.2.網(wǎng)絡(luò)環(huán)境|outline軟件環(huán)境.7 HYPERLINK l 2.2.3.其他說(shuō)明|outline虛擬化配置.7測(cè)試的情況與記錄.7 兩臺(tái)物理主機(jī)做HTTP Real Server .8 每臺(tái)物理主機(jī)裝2個(gè)虛擬機(jī)，4個(gè)虛擬機(jī)做HTTP Real Server. 8 每臺(tái)物理主機(jī)裝3個(gè)虛擬機(jī)，6個(gè)虛擬機(jī)做HTTP Real Server.8 每臺(tái)物理主機(jī)裝4個(gè)虛擬機(jī)，8個(gè)虛擬機(jī)做HTTP Real Server .8 數(shù)據(jù)分析圖

3、. . .91. 總體結(jié)論1.1測(cè)試目的為了比較Xen和VMware虛擬化軟件的性能，做一些基本性能測(cè)試，如CPU，內(nèi)存，IO，網(wǎng)絡(luò)等。另外針對(duì)Oracle數(shù)據(jù)庫(kù)和金蝶ERP系統(tǒng)應(yīng)用，利用loadrunner來(lái)跑一下壓力測(cè)試做一下比較。12測(cè)試方式本次測(cè)試用到兩臺(tái)服務(wù)器主機(jī)和一臺(tái)磁盤(pán)陣列，服務(wù)器和盤(pán)陣的硬件配置都是一模一樣。一臺(tái)主機(jī)裝上RHEL5系統(tǒng)，xen內(nèi)核，之上跑RHEL5虛擬機(jī)進(jìn)行測(cè)試。另一臺(tái)主機(jī)裝上VMware ESX 3.5，然后同樣在其上運(yùn)行RHEL5虛擬機(jī)進(jìn)行測(cè)試，最后將兩個(gè)環(huán)境下的性能測(cè)試結(jié)果進(jìn)行比較。拓?fù)鋱D如下：13測(cè)試環(huán)境硬件服務(wù)器：Dell PowerEdge 2950

4、 2（四核2.33G2、內(nèi)存4G、300G HDD）測(cè)盤(pán)陣列：Dell MD3000i （146 SAS HDD5、RAID5）軟件操作系統(tǒng)：Red Hat Enterprise Linux 5 update 2Vmware：Vmware ESX 3.5 update 3Oracle：Oracle Enterpise database 10g虛擬機(jī)Xen和VMWare ESX Server上的虛擬機(jī)均分配2 vcpus和1G內(nèi)存進(jìn)行測(cè)試。VMWare上的虛擬機(jī)主機(jī)名vm01，xen上的虛擬機(jī)主機(jī)名xen0114 測(cè)試方法與結(jié)果基準(zhǔn)性能測(cè)試(1)CPU和內(nèi)存對(duì)比測(cè)試測(cè)試工具：ubench 版本：

5、0.32(最新) 下載 HYPERLINK /download/download/方法:分別在兩臺(tái)主機(jī)之上編譯并運(yùn)行ubench 5次測(cè)試得到平均值CPU benchmark測(cè)試結(jié)果：MEM benchmark測(cè)試結(jié)果：(2)I/O讀寫(xiě)速率對(duì)比測(cè)試測(cè)試工具iozone 版本：穩(wěn)定版本3.21下載地址： HYPERLINK /src/current/iozone3_321.tar/src/current/iozone3_321.tar 測(cè)試結(jié)果包括很多不同的文件系統(tǒng)讀寫(xiě)能力，本測(cè)試報(bào)告展現(xiàn)的是read和write方式的文件系統(tǒng)性能。VMware虛擬機(jī)的讀性能：VMware虛擬機(jī)的寫(xiě)性能：Xen虛

6、擬機(jī)的讀性能：Xen虛擬機(jī)的寫(xiě)性能：從得出的數(shù)據(jù)看出：在各個(gè)不同的測(cè)試文件大小及文件系統(tǒng)條件下，VMware和xen虛擬機(jī)的讀性能持平，基本在18000002400000k/s之間，vmware虛擬機(jī)在140000165000k/s水平，而xen虛擬機(jī)在630000670000k/s水平，呈現(xiàn)出較大的性能優(yōu)勢(shì)。(3)網(wǎng)絡(luò)吞吐對(duì)比測(cè)試測(cè)試工具：iperf版本：2.0.4方法：用局域網(wǎng)內(nèi)第三臺(tái)主機(jī)做iperf server，分別在兩臺(tái)虛擬機(jī)上運(yùn)行iperf的客戶端，求5次平均值，得到如下結(jié)果。特定應(yīng)用性能對(duì)比測(cè)試OracleOracle版本：Oracle Enterprise database 1

7、0gR2測(cè)試軟件：orabm下載地址： HYPERLINK http:/www.linxcel.co.uk/orabm/orabm.tarhttp:/www.linxcel.co.uk/orabm/orabm.tar方法：分別在兩臺(tái)虛擬機(jī)上安裝好Oracle軟件，將orabm的測(cè)試用表放到了iscsi共享存儲(chǔ)上，保證測(cè)試機(jī)到共享存儲(chǔ)資源的獨(dú)享，運(yùn)行orabm軟件測(cè)試5次，得到平均值。結(jié)果如下：15測(cè)試總結(jié)從上面一系列的測(cè)試結(jié)果可以看出，在讀性能上VMware ESX和xen虛擬機(jī)性能持平，在CPU、內(nèi)存性能上，xen虛擬機(jī)啊比VMware ESX虛擬機(jī)略高，而在磁盤(pán)寫(xiě)性能和網(wǎng)絡(luò)IO性能上x(chóng)en

8、相比VMware ESX有很大的性能優(yōu)勢(shì)。而針對(duì)特殊應(yīng)用oracle，xen也比VMware ESX擁有更好事務(wù)處理能力。2、Xen虛擬化性能測(cè)試報(bào)告2.1測(cè)試目的本次目的在于測(cè)試多Xen虛擬機(jī)運(yùn)行在單一主機(jī)上對(duì)系統(tǒng)整體性能影響。2.2測(cè)試方法用RHCS（piranha）搭建http負(fù)載均衡服務(wù)器，轉(zhuǎn)發(fā)方式用NAT。輪循策略使用round robin。測(cè)試軟件：Loadrunner 8.0。配置了4臺(tái)load generator同時(shí)發(fā)送http請(qǐng)求。模擬2000用戶并發(fā)訪問(wèn)PHP測(cè)試頁(yè)。2.3 壓力測(cè)試場(chǎng)景 1.3.1 兩臺(tái)物理主機(jī)做HTTP Real Server 1.3.2 每臺(tái)物理主機(jī)裝

9、2個(gè)虛擬機(jī)，4個(gè)虛擬機(jī)做HTTP Real Server1.3.3 每臺(tái)物理主機(jī)裝3個(gè)虛擬機(jī)，6個(gè)虛擬機(jī)做HTTP Real Server1.3.4 每臺(tái)物理主機(jī)裝4個(gè)虛擬機(jī)，8個(gè)虛擬機(jī)做HTTP Real Server2.4測(cè)試環(huán)境2.4.1 硬件環(huán)境 服務(wù)器型號(hào) ：DELL 2950兩臺(tái) 硬件配置 ：2*Intel Xeon CPU 2.66GHz / 4G 內(nèi)存 2.4.2 軟件環(huán)境 操作系統(tǒng)：Redhat Enterprise Linux 5 Update 2 x86_64應(yīng)用軟件：piranha-0.8.4-9.3.el5ipvsadm-1.24-8.1httpd-2.2.3-11.

10、el5_1.3php-5.1.6-20.el52.4.3 虛擬機(jī)配置每個(gè)虛擬機(jī)分配1顆CPU，2G內(nèi)存，配置文件如下：name = vs1uuid = 14b5a124-4a08-ab7f-8aae-5c7e82b40bb8maxmem = 2000memory = 2000vcpus = 1bootloader = /usr/bin/pygrubon_poweroff = destroyon_reboot = restarton_crash = restartvfb = type=vnc,vncunused=1,keymap=en-us disk = tap:aio:/xen/vs1.img

11、,xvda,w vif = mac=00:16:3e:01:02:51,bridge=xenbr0,script=vif-bridge 2.5、測(cè)試的情況與記錄本測(cè)試在系統(tǒng)未做任何優(yōu)化的條件下進(jìn)行，每種場(chǎng)景均測(cè)試五次取平均值。報(bào)告中選擇最接近平均值的一次列出。其他測(cè)試結(jié)果請(qǐng)查看文件”xen虛擬化測(cè)試結(jié)果”。2.5.1兩臺(tái)物理主機(jī)做HTTP Real Server測(cè)試數(shù)據(jù)：2.5.2每臺(tái)物理主機(jī)裝2個(gè)虛擬機(jī)，4個(gè)虛擬機(jī)做HTTP Real Server2.5.3每臺(tái)物理主機(jī)裝3個(gè)虛擬機(jī)，6個(gè)虛擬機(jī)做HTTP Real Server2.5.4每臺(tái)物理主機(jī)裝4個(gè)虛擬機(jī)，8個(gè)虛擬機(jī)做HTTP Real

12、 Server2.5.5數(shù)據(jù)分析圖下圖為2000個(gè)用戶并發(fā)請(qǐng)求頁(yè)面時(shí)的數(shù)據(jù)對(duì)比：從上圖曲線看出，“每臺(tái)物理主機(jī)裝4個(gè)虛擬機(jī)，8個(gè)虛擬機(jī)做HTTP Real Server”這種情況性能最好。并且隨著虛擬機(jī)數(shù)量的增加，性能有大幅度提升，并逐漸趨于平緩。附錄資料：不需要的可以自行刪除 園區(qū)網(wǎng)絡(luò)虛擬化無(wú)論規(guī)模如何或有什么安全需求，企業(yè)現(xiàn)在都能在單一物理網(wǎng)絡(luò)上，受益于支持多個(gè)封閉用戶組的虛擬化園區(qū)網(wǎng)絡(luò)。綜述隨著對(duì)園區(qū)網(wǎng)絡(luò)的需求日益復(fù)雜，可擴(kuò)展解決方案也越來(lái)越需要將多個(gè)網(wǎng)絡(luò)用戶組進(jìn)行邏輯分區(qū)。網(wǎng)絡(luò)虛擬化提供了多個(gè)解決方案，能在保持現(xiàn)有園區(qū)設(shè)計(jì)的高可用性、可管理性、安全性和可擴(kuò)展性優(yōu)勢(shì)的同時(shí)，實(shí)現(xiàn)服務(wù)和安全

13、策略的集中。為達(dá)到出色效果，這些解決方案必須包括網(wǎng)絡(luò)虛擬化的三個(gè)主要方面：訪問(wèn)控制、路徑隔離和服務(wù)邊緣。通過(guò)實(shí)施這些解決方案，網(wǎng)絡(luò)虛擬化即能與思科系統(tǒng)公司的服務(wù)導(dǎo)向網(wǎng)絡(luò)架構(gòu)(SONA)相結(jié)合，為遷移到智能化信息網(wǎng)絡(luò)的企業(yè)創(chuàng)建一個(gè)強(qiáng)大的框架。SONA網(wǎng)絡(luò)利用NAC和IEEE 802.1x協(xié)議提供身份識(shí)別服務(wù)，從而實(shí)現(xiàn)最優(yōu)訪問(wèn)控制。在用戶獲準(zhǔn)接入網(wǎng)絡(luò)后，三個(gè)路徑隔離解決方案GRE隧道、VRF-lite和MPLS VPN能在保留當(dāng)前園區(qū)網(wǎng)設(shè)計(jì)優(yōu)勢(shì)的同時(shí)，在現(xiàn)有局域網(wǎng)上疊加分區(qū)機(jī)制，將網(wǎng)絡(luò)劃分為安全、虛擬的網(wǎng)絡(luò)。這些解決方案解決了與分布部署服務(wù)和安全策略相關(guān)的問(wèn)題。最后，共享服務(wù)和安全策略實(shí)施的集中化

14、，大大減少了在園區(qū)網(wǎng)中維護(hù)不同群組的安全策略和服務(wù)所需的資本和運(yùn)營(yíng)開(kāi)支。這種集中化有助于在園區(qū)中實(shí)施一致的策略。挑戰(zhàn)園區(qū)網(wǎng)絡(luò)的設(shè)計(jì)建議一直缺乏一種對(duì)網(wǎng)絡(luò)流量分區(qū)，以便為封閉用戶組提供安全獨(dú)立環(huán)境的方式（表1）。有許多因素都在推動(dòng)對(duì)于創(chuàng)建封閉用戶組的需要，包括： 企業(yè)中存在不同級(jí)別的訪問(wèn)權(quán)限：幾乎每個(gè)企業(yè)都需要解決方案來(lái)為客戶、廠商、合作伙伴以及園區(qū)局域網(wǎng)上的員工授予不同的訪問(wèn)級(jí)別。 法規(guī)遵從性：部分企業(yè)受法律或規(guī)定的要求，必須對(duì)較大的機(jī)構(gòu)進(jìn)行分區(qū)。例如，在金融公司中，銀行業(yè)務(wù)必須與證券交易業(yè)務(wù)分開(kāi)。 過(guò)大的企業(yè)需要簡(jiǎn)化網(wǎng)絡(luò)：對(duì)于非常大型的園區(qū)網(wǎng)絡(luò)，如機(jī)場(chǎng)、醫(yī)院或大學(xué)來(lái)說(shuō)，過(guò)去，為保證不同用戶組

15、或部門(mén)間的安全性，就必須構(gòu)建和管理不同的物理網(wǎng)絡(luò)，這種做法既昂貴又難以管理。 網(wǎng)絡(luò)整合：在合并和收購(gòu)時(shí)，通常需要迅速集成所收購(gòu)公司的網(wǎng)絡(luò)。 外包：隨著外包和離岸外包的普及，子承包商必須證明各客戶的信息間完全隔離。尤其當(dāng)一家承包商服務(wù)于相互競(jìng)爭(zhēng)的公司時(shí)，這尤為重要。 提供網(wǎng)絡(luò)服務(wù)的企業(yè)：零售連鎖公司為其他公司支持售貨亭或?yàn)榧佑驼咎峁┗ヂ?lián)網(wǎng)接入；同樣，服務(wù)于多家航空公司和零售商的機(jī)場(chǎng)能使用單一網(wǎng)絡(luò)來(lái)提供隔離服務(wù)和共享服務(wù)。 表1. 不同垂直行業(yè)中網(wǎng)絡(luò)分區(qū)的應(yīng)用示例垂直行業(yè)網(wǎng)絡(luò)虛擬化應(yīng)用示例制造業(yè)生產(chǎn)工廠(自動(dòng)裝置，生產(chǎn)環(huán)境自動(dòng)化等)，管理，銷售，視頻監(jiān)視。 金融業(yè)交易大廳，管理，合并。政府支持不同

16、部門(mén)的共同建筑物和設(shè)施。在部分國(guó)家，法律要求這些部門(mén)采用不同網(wǎng)絡(luò)。醫(yī)療總體趨勢(shì)是在進(jìn)行治療的同時(shí)提供賓館式服務(wù)。須隔離醫(yī)護(hù)人員、核磁共振成像(MRI)和其他技術(shù)設(shè)備、病人互聯(lián)網(wǎng)接入，以及為病人提供的廣播和電視等媒體服務(wù)。 商業(yè)智能樓宇：多企業(yè)園區(qū)不同部門(mén)共享部分資源。多個(gè)公司位于同一園區(qū)，其中不同建筑物分屬不同部門(mén)，但全使用相同的核心和互聯(lián)網(wǎng)接入機(jī)制。園區(qū)所有者管理建筑物自動(dòng)化體系，覆蓋所有建筑物。零售售貨亭，分支機(jī)構(gòu)中的公共無(wú)線局域網(wǎng)，RF識(shí)別，WLAN設(shè)備（例如，不支持任何WLAN安全特性的較早的WLAN條碼閱讀器）。教育學(xué)生、教授、管理人員和外部研究團(tuán)隊(duì)間需要隔離。此外，分布于多個(gè)建筑物

17、的各院系可能需要訪問(wèn)各自的服務(wù)器區(qū)域。而某些資源（例如互聯(lián)網(wǎng)、電子郵件和新聞）可能需要共享或通過(guò)一個(gè)服務(wù)區(qū)訪問(wèn)。此外，建筑物自動(dòng)化體系也必須分開(kāi)。園區(qū)局域網(wǎng)的發(fā)展網(wǎng)絡(luò)虛擬化允許多個(gè)用戶組訪問(wèn)同一物理網(wǎng)絡(luò)，但從邏輯上對(duì)它們進(jìn)行一定程度的隔離，以便它們無(wú)法查看其他組這是多年來(lái)網(wǎng)絡(luò)經(jīng)理面臨的挑戰(zhàn)。在上世紀(jì)90年代，L2交換是園區(qū)局域網(wǎng)的標(biāo)志性特征，虛擬局域網(wǎng)(VLAN)是在一個(gè)通用基礎(chǔ)設(shè)施中將局域網(wǎng)劃分為不同工作組的標(biāo)準(zhǔn)。此解決方案安全高效，但無(wú)法很好地?cái)U(kuò)展，而且隨著園區(qū)局域網(wǎng)的發(fā)展，其管理也非易事。核心和分布層中L3交換的出現(xiàn)，在VLAN方式的基礎(chǔ)上對(duì)可擴(kuò)展性、性能和故障排除進(jìn)行了優(yōu)化。過(guò)去幾年中

18、，所構(gòu)建的基于L3的園區(qū)網(wǎng)絡(luò)已經(jīng)證實(shí)，它們便于擴(kuò)展、功能強(qiáng)大，具有高性能。但在網(wǎng)絡(luò)分區(qū)和封閉用戶組方面，L3園區(qū)方式有著重大缺陷和限制。在此情況下，添加封閉用戶組即意味著增加成本和復(fù)雜度。解決方案：網(wǎng)絡(luò)虛擬化因此我們需要一個(gè)便于擴(kuò)展的解決方案，來(lái)保持用戶組完全隔離，實(shí)現(xiàn)服務(wù)和安全策略的集中，并保留園區(qū)網(wǎng)設(shè)計(jì)的高可用性、安全性和可擴(kuò)展性優(yōu)勢(shì)。為支持此解決方案，網(wǎng)絡(luò)設(shè)計(jì)必須高效地解決以下問(wèn)題： 訪問(wèn)控制：確保能識(shí)別合法用戶和設(shè)備，對(duì)其分類，并允許其接入獲得訪問(wèn)授權(quán)的網(wǎng)絡(luò)部分。 路徑隔離：確保各用戶或設(shè)備都能高效地分配到正確、安全的可用資源集即正確的VPN。 服務(wù)邊緣：確保合法的用戶和設(shè)備能訪問(wèn)相應(yīng)

19、的正確服務(wù)，并集中實(shí)施策略。 思科解決方案能通過(guò)幾個(gè)方式實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化。虛擬化技術(shù)使單一物理設(shè)備或資源能作為它自己的多個(gè)物理版本，在網(wǎng)絡(luò)中共享。網(wǎng)絡(luò)虛擬化是思科SONA框架的一個(gè)重要組件。思科SONA使用虛擬化技術(shù)來(lái)改進(jìn)服務(wù)器和存儲(chǔ)局域網(wǎng)（SAN）等網(wǎng)絡(luò)資產(chǎn)的使用。例如，一個(gè)物理防火墻能配置為執(zhí)行多個(gè)虛擬防火墻的功能，幫助企業(yè)優(yōu)化資源和安全投資。其他虛擬化戰(zhàn)略包括集中策略管理、負(fù)載均衡和動(dòng)態(tài)分配等。虛擬化能提高靈活性和網(wǎng)絡(luò)效率，降低資本和運(yùn)營(yíng)開(kāi)支。訪問(wèn)控制：身份驗(yàn)證和接入層安全接入層安全對(duì)于保護(hù)園區(qū)局域網(wǎng)免遭外部威脅十分重要。通過(guò)在威脅進(jìn)入園區(qū)前即采取防御措施的特性，能對(duì)思科網(wǎng)絡(luò)虛擬化解決方案

20、構(gòu)成補(bǔ)充。IEEE 802.1X即是這樣一種技術(shù)，它是端口安全的標(biāo)準(zhǔn)。802.1X在用戶及其相關(guān)的VPN間形成強(qiáng)大的連接，防止在未授權(quán)情況下訪問(wèn)禁止接入的資源。另一種補(bǔ)充技術(shù)是思科網(wǎng)絡(luò)準(zhǔn)入控制(NAC)。NAC的職責(zé)是在邊緣防御威脅，在有害流量到達(dá)分布層或核心層前即將其刪除。NAC有助于確保用戶不會(huì)使園區(qū)基礎(chǔ)設(shè)施遭受到任何病毒、蠕蟲(chóng)等威脅。路徑隔離：L3 VPN為支持園區(qū)網(wǎng)絡(luò)虛擬化，思科提供了三個(gè)非常適用于典型園區(qū)網(wǎng)絡(luò)設(shè)計(jì)，并混合使用了L2和L3技術(shù)的解決方案： GRE隧道 VRF-lite MPLS VPN GRE隧道GRE隧道為在園區(qū)網(wǎng)絡(luò)上創(chuàng)建封閉用戶組提供了一種相當(dāng)簡(jiǎn)單且高效的方法。GR

21、E隧道非常適于作為托管“訪客”接入的企業(yè)解決方案，使公司能為訪客或來(lái)訪者提供全球互聯(lián)網(wǎng)接入，而又能防止這些用戶訪問(wèn)內(nèi)部資源。在圖1中，GRE隧道與Cisco VRF-lite特性共用，為訪客接入創(chuàng)建了一個(gè)簡(jiǎn)單、易于管理的解決方案。圖1. 結(jié)合使用GRE隧道和VRF-lite該解決方案的優(yōu)勢(shì)包括： 能跨越典型的多層園區(qū)網(wǎng)絡(luò)（無(wú)需園區(qū)級(jí)VLAN）。 訪客用戶流量與其他公司局域網(wǎng)流量隔離。 所有訪客流量的進(jìn)入點(diǎn)位于中央位置，使安全性和服務(wù)質(zhì)量(QoS)策略更易于管理。 甚至能通過(guò)廣域網(wǎng)擴(kuò)展到分支機(jī)構(gòu)。 在將GRE隧道作為支持封閉用戶組的解決方案時(shí)，需要注意的一個(gè)因素是隧道本身較難配置和管理，因此不建

22、議解決方案部署超過(guò)兩條隧道。此類網(wǎng)絡(luò)虛擬化適用于需要星型拓?fù)涞膱?chǎng)合。VRF-liteVRF-lite是一個(gè)思科特性，通常稱為多VRF客戶邊緣，通過(guò)使用單一路由設(shè)備支持多個(gè)虛擬路由器，來(lái)提供園區(qū)分區(qū)解決方案。VRF-lite是MPLS的輕量版本。利用VRF-lite，網(wǎng)絡(luò)經(jīng)理能靈活地為任意特定VPN使用任意IP地址空間，而無(wú)論它是否與其他VPN的地址空間重疊或沖突。這種靈活性在很多場(chǎng)合都非常實(shí)用。例如，當(dāng)所收購(gòu)公司的網(wǎng)絡(luò)合并到一個(gè)共享局域網(wǎng)中，所收購(gòu)的網(wǎng)絡(luò)能作為獨(dú)立VPN進(jìn)入基礎(chǔ)設(shè)施，幾乎或完全不會(huì)干擾網(wǎng)絡(luò)上的日常業(yè)務(wù)流程。VRF-lite能用作端到端解決方案，如圖2所示，也能與另一解決方案共用

23、來(lái)支持封閉用戶組，這將在下一部分中討論?？傮w來(lái)說(shuō)，VRF-lite的可擴(kuò)展性高于GRE隧道，但它最適用于有四或五個(gè)分區(qū)的網(wǎng)絡(luò)。每次添加用戶組時(shí)，它都需要人工重配置，因此相當(dāng)耗費(fèi)勞力。圖2. VRF作為端到端解決方案部署MPLS VPN另一種為封閉用戶組進(jìn)行園區(qū)網(wǎng)絡(luò)分區(qū)的方法為基于MPLS的L3 VPN。和GRE隧道與VRF-lite一樣，MPLS VPN提供了一種安全可靠的方式，在通用物理基礎(chǔ)設(shè)施上進(jìn)行網(wǎng)絡(luò)邏輯分區(qū)。盡管電信運(yùn)營(yíng)商使用MPLS技術(shù)的時(shí)間已有幾年，但因?yàn)榫钟蚓W(wǎng)交換機(jī)上缺乏對(duì)MPLS的支持，它還未在企業(yè)網(wǎng)絡(luò)中廣泛部署。而不斷改變的業(yè)務(wù)需求，以及相應(yīng)的新產(chǎn)品面世，正幫助MPLS成為園

24、區(qū)基礎(chǔ)設(shè)施中的重要技術(shù)。隨著Cisco Catalyst 6500系列提供了對(duì)于MPLS VPN的支持，對(duì)許多大型企業(yè)來(lái)說(shuō)，MPLS技術(shù)已擁有了廉宜價(jià)位。MPLS VPN具有本文中討論的其他解決方案的所有優(yōu)勢(shì)（參見(jiàn)圖3）。此外，任何MPLS VPN都能通過(guò)配置，連接至用戶和位于網(wǎng)絡(luò)中任意地點(diǎn)的資源，而不會(huì)影響性能或網(wǎng)絡(luò)設(shè)計(jì)。相應(yīng)地，MPLS VPN也是三個(gè)思科網(wǎng)絡(luò)基礎(chǔ)設(shè)施虛擬化解決方案中可擴(kuò)展性最高的。當(dāng)添加或改動(dòng)用戶組時(shí)，無(wú)需人工重配置，這提高了可擴(kuò)展性，降低了運(yùn)營(yíng)開(kāi)支。當(dāng)在網(wǎng)絡(luò)邊緣使用VLAN，在園區(qū)的路由部分使用L3 VPN時(shí)，保留了層次化園區(qū)網(wǎng)部署的所有優(yōu)勢(shì)，同時(shí)該解決方案還能在園區(qū)局域網(wǎng)中實(shí)現(xiàn)端到端、可擴(kuò)展分區(qū)，并支持集中的安全特性和服務(wù)。和VRF-lite一樣，網(wǎng)絡(luò)定址靈活性也是MPLS VPN的另一優(yōu)勢(shì)。圖3. MPLS VPN支持任意到任意連接統(tǒng)一接入提供靈活性這三個(gè)思科園區(qū)網(wǎng)虛擬化解決方案并不限制用戶使用任何特定的接入類型。盡管他們?cè)趩我晃锢砭W(wǎng)絡(luò)基礎(chǔ)設(shè)施中工作，但這些解決方案能輕松地支持移動(dòng)用戶。無(wú)論使用的解決方案是基于GRE隧道、VRF-lite還是MPLS VPN，用戶只要能接入網(wǎng)絡(luò)，就能透明地與其所屬的封閉用戶組相關(guān)聯(lián)。虛擬化服務(wù)虛擬化網(wǎng)絡(luò)服務(wù)是思科網(wǎng)絡(luò)