園區(qū)網(wǎng)絡(luò)虛擬化

1、園區(qū)網(wǎng)絡(luò)虛擬化無論規(guī)模如何或有什么安全需求，企業(yè)現(xiàn)在都能在單一物理網(wǎng)絡(luò)上，受益于支持多個封閉用戶組的虛擬化園區(qū)網(wǎng)絡(luò)。綜述隨著對園區(qū)網(wǎng)絡(luò)絡(luò)的需求日益益復(fù)雜，可擴(kuò)擴(kuò)展解決方案案也越來越需需要將多個網(wǎng)網(wǎng)絡(luò)用戶組進(jìn)進(jìn)行邏輯分區(qū)區(qū)。網(wǎng)絡(luò)虛擬擬化提供了多多個解決方案案，能在保持持現(xiàn)有園區(qū)設(shè)設(shè)計的高可用用性、可管理理性、安全性性和可擴(kuò)展性性優(yōu)勢的同時時，實(shí)現(xiàn)服務(wù)務(wù)和安全策略略的集中。為為達(dá)到出色效效果，這些解解決方案必須須包括網(wǎng)絡(luò)虛虛擬化的三個個主要方面：訪問控制、路路徑隔離和服服務(wù)邊緣。通通過實(shí)施這些些解決方案，網(wǎng)網(wǎng)絡(luò)虛擬化即即能與思科系系統(tǒng)公司的的服務(wù)導(dǎo)向網(wǎng)網(wǎng)絡(luò)架構(gòu)(SSONA)相相結(jié)合，為遷遷移到智能

2、化化信息網(wǎng)絡(luò)的的企業(yè)創(chuàng)建一一個強(qiáng)大的框框架。SONA網(wǎng)絡(luò)利利用NAC和和IEEE 802.11x協(xié)議提供供身份識別服服務(wù)，從而實(shí)實(shí)現(xiàn)最優(yōu)訪問問控制。在用用戶獲準(zhǔn)接入入網(wǎng)絡(luò)后，三三個路徑隔離離解決方案GRE隧道道、VRF-lite和和MPLS VPN能能在保留當(dāng)前前園區(qū)網(wǎng)設(shè)計計優(yōu)勢的同時時，在現(xiàn)有局局域網(wǎng)上疊加加分區(qū)機(jī)制，將將網(wǎng)絡(luò)劃分為為安全、虛擬擬的網(wǎng)絡(luò)。這這些解決方案案解決了與分分布部署服務(wù)務(wù)和安全策略略相關(guān)的問題題。最后，共共享服務(wù)和安安全策略實(shí)施施的集中化，大大大減少了在在園區(qū)網(wǎng)中維維護(hù)不同群組組的安全策略略和服務(wù)所需需的資本和運(yùn)運(yùn)營開支。這這種集中化有有助于在園區(qū)區(qū)中實(shí)施一致致的策略。

3、挑戰(zhàn)園區(qū)網(wǎng)絡(luò)的設(shè)計計建議一直缺缺乏一種對網(wǎng)網(wǎng)絡(luò)流量分區(qū)區(qū)，以便為封封閉用戶組提提供安全獨(dú)立立環(huán)境的方式式（表1）。有有許多因素都都在推動對于于創(chuàng)建封閉用用戶組的需要要，包括： 企業(yè)中存在不同同級別的訪問問權(quán)限：幾乎乎每個企業(yè)都都需要解決方方案來為客戶戶、廠商、合合作伙伴以及及園區(qū)局域網(wǎng)網(wǎng)上的員工授授予不同的訪訪問級別。 法規(guī)遵從性：部部分企業(yè)受法法律或規(guī)定的的要求，必須須對較大的機(jī)機(jī)構(gòu)進(jìn)行分區(qū)區(qū)。例如，在在金融公司中中，銀行業(yè)務(wù)務(wù)必須與證券券交易業(yè)務(wù)分分開。 過大的企業(yè)需要要簡化網(wǎng)絡(luò)：對于非常大大型的園區(qū)網(wǎng)網(wǎng)絡(luò)，如機(jī)場場、醫(yī)院或大大學(xué)來說，過過去，為保證證不同用戶組組或部門間的的安全性，就就必

4、須構(gòu)建和和管理不同的的物理網(wǎng)絡(luò)，這這種做法既昂昂貴又難以管管理。 網(wǎng)絡(luò)整合：在合合并和收購時時，通常需要要迅速集成所所收購公司的的網(wǎng)絡(luò)。 外包：隨著外包包和離岸外包包的普及，子子承包商必須須證明各客戶戶的信息間完完全隔離。尤尤其當(dāng)一家承承包商服務(wù)于于相互競爭的的公司時，這這尤為重要。 提供網(wǎng)絡(luò)服務(wù)的的企業(yè)：零售售連鎖公司為為其他公司支支持售貨亭或或?yàn)榧佑驼咎崽峁┗ヂ?lián)網(wǎng)接接入；同樣，服服務(wù)于多家航航空公司和零零售商的機(jī)場場能使用單一一網(wǎng)絡(luò)來提供供隔離服務(wù)和和共享服務(wù)。 表1. 不同垂垂直行業(yè)中網(wǎng)網(wǎng)絡(luò)分區(qū)的應(yīng)應(yīng)用示例垂直行業(yè)網(wǎng)絡(luò)虛擬化應(yīng)用用示例制造業(yè)生產(chǎn)工廠(自動動裝置，生產(chǎn)產(chǎn)環(huán)境自動化化等)，管

5、理理，銷售，視視頻監(jiān)視。 金融業(yè)交易大廳，管理理，合并。政府支持不同部門的的共同建筑物物和設(shè)施。在在部分國家，法法律要求這些些部門采用不不同網(wǎng)絡(luò)。醫(yī)療總體趨勢是在進(jìn)進(jìn)行治療的同同時提供賓館館式服務(wù)。須須隔離醫(yī)護(hù)人人員、核磁共共振成像(MMRI)和其其他技術(shù)設(shè)備備、病人互聯(lián)聯(lián)網(wǎng)接入，以以及為病人提提供的廣播和和電視等媒體體服務(wù)。 商業(yè)智能樓宇：多企業(yè)園區(qū)區(qū)不同部門共享部部分資源。多多個公司位于于同一園區(qū)，其其中不同建筑筑物分屬不同同部門，但全全使用相同的的核心和互聯(lián)聯(lián)網(wǎng)接入機(jī)制制。園區(qū)所有有者管理建筑筑物自動化體體系，覆蓋所所有建筑物。零售售貨亭，分支機(jī)機(jī)構(gòu)中的公共共無線局域網(wǎng)網(wǎng)，RF識別別，W

6、LANN設(shè)備（例如如，不支持任任何WLANN安全特性的的較早的WLLAN條碼閱閱讀器）。教育學(xué)生、教授、管管理人員和外外部研究團(tuán)隊隊間需要隔離離。此外，分分布于多個建建筑物的各院院系可能需要要訪問各自的的服務(wù)器區(qū)域域。而某些資資源（例如互互聯(lián)網(wǎng)、電子子郵件和新聞聞）可能需要要共享或通過過一個服務(wù)區(qū)區(qū)訪問。此外外，建筑物自自動化體系也也必須分開。園區(qū)局域網(wǎng)的發(fā)發(fā)展網(wǎng)絡(luò)虛擬化允允許多個用戶戶組訪問同一一物理網(wǎng)絡(luò)，但但從邏輯上對對它們進(jìn)行一一定程度的隔隔離，以便它它們無法查看看其他組這這是多年來網(wǎng)網(wǎng)絡(luò)經(jīng)理面臨臨的挑戰(zhàn)。在在上世紀(jì)900年代，L22交換是園區(qū)區(qū)局域網(wǎng)的標(biāo)標(biāo)志性特征，虛虛擬局域網(wǎng)(VLA

7、N)是在一個通通用基礎(chǔ)設(shè)施施中將局域網(wǎng)網(wǎng)劃分為不同同工作組的標(biāo)標(biāo)準(zhǔn)。此解決決方案安全高高效，但無法法很好地擴(kuò)展展，而且隨著著園區(qū)局域網(wǎng)網(wǎng)的發(fā)展，其其管理也非易易事。核心和分布層中中L3交換的的出現(xiàn)，在VVLAN方式式的基礎(chǔ)上對對可擴(kuò)展性、性性能和故障排排除進(jìn)行了優(yōu)優(yōu)化。過去幾幾年中，所構(gòu)構(gòu)建的基于LL3的園區(qū)網(wǎng)網(wǎng)絡(luò)已經(jīng)證實(shí)實(shí)，它們便于于擴(kuò)展、功能能強(qiáng)大，具有有高性能。但但在網(wǎng)絡(luò)分區(qū)區(qū)和封閉用戶戶組方面，LL3園區(qū)方式式有著重大缺缺陷和限制。在在此情況下，添添加封閉用戶戶組即意味著著增加成本和和復(fù)雜度。解決方案：網(wǎng)絡(luò)絡(luò)虛擬化因此我們需要一一個便于擴(kuò)展展的解決方案案，來保持用用戶組完全隔隔離，實(shí)現(xiàn)

8、服服務(wù)和安全策策略的集中，并并保留園區(qū)網(wǎng)網(wǎng)設(shè)計的高可可用性、安全全性和可擴(kuò)展展性優(yōu)勢。為為支持此解決決方案，網(wǎng)絡(luò)絡(luò)設(shè)計必須高高效地解決以以下問題： 訪問控制：確保保能識別合法法用戶和設(shè)備備，對其分類類，并允許其其接入獲得訪訪問授權(quán)的網(wǎng)網(wǎng)絡(luò)部分。 路徑隔離：確保保各用戶或設(shè)設(shè)備都能高效效地分配到正正確、安全的的可用資源集集即正確的的VPN。 服務(wù)邊緣：確保保合法的用戶戶和設(shè)備能訪訪問相應(yīng)的正正確服務(wù)，并并集中實(shí)施策策略。 思科解決方案案能通過幾個個方式實(shí)現(xiàn)網(wǎng)網(wǎng)絡(luò)虛擬化。虛虛擬化技術(shù)使使單一物理設(shè)設(shè)備或資源能能作為它自己己的多個物理理版本，在網(wǎng)網(wǎng)絡(luò)中共享。網(wǎng)網(wǎng)絡(luò)虛擬化是是思科SONNA框架的一一個

9、重要組件件。思科SOONA使用虛虛擬化技術(shù)來來改進(jìn)服務(wù)器器和存儲局域域網(wǎng)（SANN）等網(wǎng)絡(luò)資資產(chǎn)的使用。例例如，一個物物理防火墻能能配置為執(zhí)行行多個虛擬防防火墻的功能能，幫助企業(yè)業(yè)優(yōu)化資源和和安全投資。其其他虛擬化戰(zhàn)戰(zhàn)略包括集中中策略管理、負(fù)負(fù)載均衡和動動態(tài)分配等。虛虛擬化能提高高靈活性和網(wǎng)網(wǎng)絡(luò)效率，降降低資本和運(yùn)運(yùn)營開支。訪問控制：身份份驗(yàn)證和接入入層安全接入層安全對于于保護(hù)園區(qū)局局域網(wǎng)免遭外外部威脅十分分重要。通過過在威脅進(jìn)入入園區(qū)前即采采取防御措施施的特性，能能對思科網(wǎng)絡(luò)絡(luò)虛擬化解決決方案構(gòu)成補(bǔ)補(bǔ)充。IEEEE 8022.1X即是是這樣一種技技術(shù)，它是端端口安全的標(biāo)標(biāo)準(zhǔn)。8022.1X在

10、用用戶及其相關(guān)關(guān)的VPN間間形成強(qiáng)大的的連接，防止止在未授權(quán)情情況下訪問禁禁止接入的資資源。另一種種補(bǔ)充技術(shù)是是思科網(wǎng)絡(luò)準(zhǔn)準(zhǔn)入控制(NNAC)。NNAC的職責(zé)責(zé)是在邊緣防防御威脅，在在有害流量到到達(dá)分布層或或核心層前即即將其刪除。NNAC有助于于確保用戶不不會使園區(qū)基基礎(chǔ)設(shè)施遭受受到任何病毒毒、蠕蟲等威威脅。路徑隔離：L33 VPN為支持園區(qū)網(wǎng)絡(luò)絡(luò)虛擬化，思思科提供了三三個非常適用用于典型園區(qū)區(qū)網(wǎng)絡(luò)設(shè)計，并并混合使用了了L2和L33技術(shù)的解決決方案： GRE隧道 VRF-litte MPLS VPPN GRE隧道GRE隧道為在在園區(qū)網(wǎng)絡(luò)上上創(chuàng)建封閉用用戶組提供了了一種相當(dāng)簡簡單且高效的的方法。

11、GRRE隧道非常常適于作為托托管“訪客”接接入的企業(yè)解解決方案，使使公司能為訪訪客或來訪者者提供全球互互聯(lián)網(wǎng)接入，而而又能防止這這些用戶訪問問內(nèi)部資源。在在圖1中，GGRE隧道與與Ciscoo VRF-lite特特性共用，為為訪客接入創(chuàng)創(chuàng)建了一個簡簡單、易于管管理的解決方方案。圖1. 結(jié)合使使用GRE隧隧道和VRFF-litee該解決方案的優(yōu)優(yōu)勢包括： 能跨越典型的多多層園區(qū)網(wǎng)絡(luò)絡(luò)（無需園區(qū)區(qū)級VLANN）。 訪客用戶流量與與其他公司局局域網(wǎng)流量隔隔離。 所有訪客流量的的進(jìn)入點(diǎn)位于于中央位置，使使安全性和服服務(wù)質(zhì)量(QQoS)策略略更易于管理理。 甚至能通過廣域域網(wǎng)擴(kuò)展到分分支機(jī)構(gòu)。 在將GR

12、E隧道道作為支持封封閉用戶組的的解決方案時時，需要注意意的一個因素素是隧道本身身較難配置和和管理，因此此不建議解決決方案部署超超過兩條隧道道。此類網(wǎng)絡(luò)絡(luò)虛擬化適用用于需要星型型拓?fù)涞膱龊虾?。VRF-litteVRF-litte是一個思思科特性，通通常稱為多VVRF客戶邊邊緣，通過使使用單一路由由設(shè)備支持多多個虛擬路由由器，來提供供園區(qū)分區(qū)解解決方案。VVRF-liite是MPPLS的輕量量版本。利用VRF-llite，網(wǎng)網(wǎng)絡(luò)經(jīng)理能靈靈活地為任意意特定VPNN使用任意IIP地址空間間，而無論它它是否與其他他VPN的地地址空間重疊疊或沖突。這這種靈活性在在很多場合都都非常實(shí)用。例例如，當(dāng)所收收購公

13、司的網(wǎng)網(wǎng)絡(luò)合并到一一個共享局域域網(wǎng)中，所收收購的網(wǎng)絡(luò)能能作為獨(dú)立VVPN進(jìn)入基基礎(chǔ)設(shè)施，幾幾乎或完全不不會干擾網(wǎng)絡(luò)絡(luò)上的日常業(yè)業(yè)務(wù)流程。VRF-litte能用作端端到端解決方方案，如圖22所示，也能能與另一解決決方案共用來來支持封閉用用戶組，這將將在下一部分分中討論?？偪傮w來說，VVRF-liite的可擴(kuò)擴(kuò)展性高于GGRE隧道，但但它最適用于于有四或五個個分區(qū)的網(wǎng)絡(luò)絡(luò)。每次添加加用戶組時，它它都需要人工工重配置，因因此相當(dāng)耗費(fèi)費(fèi)勞力。圖2. VRFF作為端到端端解決方案部部署MPLS VPPN另一種為封閉用用戶組進(jìn)行園園區(qū)網(wǎng)絡(luò)分區(qū)區(qū)的方法為基基于MPLSS的L3 VVPN。和GGRE隧道與與V

14、RF-llite一樣樣，MPLSS VPN提提供了一種安安全可靠的方方式，在通用用物理基礎(chǔ)設(shè)設(shè)施上進(jìn)行網(wǎng)網(wǎng)絡(luò)邏輯分區(qū)區(qū)。盡管電信運(yùn)營商商使用MPLLS技術(shù)的時時間已有幾年年，但因?yàn)榫志钟蚓W(wǎng)交換機(jī)機(jī)上缺乏對MMPLS的支支持，它還未未在企業(yè)網(wǎng)絡(luò)絡(luò)中廣泛部署署。而不斷改改變的業(yè)務(wù)需需求，以及相相應(yīng)的新產(chǎn)品品面世，正幫幫助MPLSS成為園區(qū)基基礎(chǔ)設(shè)施中的的重要技術(shù)。隨隨著Ciscco Cattalystt 65000系列提供供了對于MPPLS VPPN的支持，對對許多大型企企業(yè)來說，MMPLS技術(shù)術(shù)已擁有了廉廉宜價位。MPLS VPPN具有本文文中討論的其其他解決方案案的所有優(yōu)勢勢（參見圖33）。此

15、外，任任何MPLSS VPN都都能通過配置置，連接至用用戶和位于網(wǎng)網(wǎng)絡(luò)中任意地地點(diǎn)的資源，而而不會影響性性能或網(wǎng)絡(luò)設(shè)設(shè)計。相應(yīng)地地，MPLSS VPN也也是三個思科科網(wǎng)絡(luò)基礎(chǔ)設(shè)設(shè)施虛擬化解解決方案中可可擴(kuò)展性最高高的。當(dāng)添加加或改動用戶戶組時，無需需人工重配置置，這提高了了可擴(kuò)展性，降降低了運(yùn)營開開支。當(dāng)在網(wǎng)絡(luò)邊緣使使用VLANN，在園區(qū)的的路由部分使使用L3 VVPN時，保保留了層次化化園區(qū)網(wǎng)部署署的所有優(yōu)勢勢，同時該解解決方案還能能在園區(qū)局域域網(wǎng)中實(shí)現(xiàn)端端到端、可擴(kuò)擴(kuò)展分區(qū)，并并支持集中的的安全特性和和服務(wù)。和VVRF-liite一樣，網(wǎng)網(wǎng)絡(luò)定址靈活活性也是MPPLS VPPN的另一優(yōu)優(yōu)勢

16、。圖3. MPLLS VPNN支持任意到到任意連接統(tǒng)一接入提供靈靈活性這三個思科園區(qū)區(qū)網(wǎng)虛擬化解解決方案并不不限制用戶使使用任何特定定的接入類型型。盡管他們們在單一物理理網(wǎng)絡(luò)基礎(chǔ)設(shè)設(shè)施中工作，但但這些解決方方案能輕松地地支持移動用用戶。無論使使用的解決方方案是基于GGRE隧道、VVRF-liite還是MMPLS VVPN，用戶戶只要能接入入網(wǎng)絡(luò)，就能能透明地與其其所屬的封閉閉用戶組相關(guān)關(guān)聯(lián)。虛擬化服務(wù)虛擬化網(wǎng)絡(luò)服務(wù)務(wù)是思科網(wǎng)絡(luò)絡(luò)基礎(chǔ)設(shè)施虛虛擬化解決方方案和SONNA的一個重重要組件，能能幫助企業(yè)高高效運(yùn)營，從從而減少其網(wǎng)網(wǎng)絡(luò)上使用的的設(shè)備數(shù)目。思思科網(wǎng)絡(luò)虛擬擬化解決方案案支持集中服服務(wù)，包括：

17、 集中設(shè)備，如防防火墻和入侵侵檢測系統(tǒng)(IDS) 安全策略實(shí)施 流量監(jiān)控、記帳帳和收費(fèi) 共享的互聯(lián)網(wǎng)和和廣域網(wǎng)接入入 共享數(shù)據(jù)中心 這些集中服務(wù)大大大簡化和強(qiáng)強(qiáng)化了安全策策略實(shí)施。通通過確保每個個VPN使用用單一接入點(diǎn)點(diǎn)，多個VPPN能夠共享享集中部署的的防火墻和入入侵檢測設(shè)備備。對不同VVPN通用的的大量其他服服務(wù)也能共享享，藉此大幅幅降低了提供供這些服務(wù)的的資本和運(yùn)營營開支。VPN支持安全全功能的集中中，這一點(diǎn)很很重要，因?yàn)闉樵谥醒氲攸c(diǎn)點(diǎn)實(shí)施安全策策略能夠簡化化管理和縮減減運(yùn)營開支。它它還能共享安安全設(shè)備，如如用于Cissco Caatalysst 65000系列交換換機(jī)的思科防防火墻服務(wù)

18、模模塊，它具有有VPN感知知特性，且能能在一個設(shè)備備上并發(fā)提供供數(shù)百個虛擬擬防火墻。利利用能感知VVPN的虛擬擬防火墻，每每個用戶組都都能在各自的的虛擬防火墻墻上實(shí)施自己己的策略，而而企業(yè)只需擁擁有和維護(hù)一一個防火墻設(shè)設(shè)備，從而降降低了總體擁擁有成本?？偨Y(jié)在當(dāng)今不斷發(fā)展展的網(wǎng)絡(luò)環(huán)境境中，典型的的園區(qū)網(wǎng)絡(luò)設(shè)設(shè)計混合使用用部署于網(wǎng)絡(luò)絡(luò)邊緣（接入入層）的交換換（L2）技技術(shù)和部署于于網(wǎng)絡(luò)核心（分分布層和核心心層）的路由由（L3）技技術(shù)。因此，通通過VLANN即能在網(wǎng)絡(luò)絡(luò)接入層（LL2）實(shí)現(xiàn)網(wǎng)網(wǎng)絡(luò)虛擬化，通通過GRE隧隧道、VRFF-litee和基于MPPLS的L33 VPN，即即能在網(wǎng)絡(luò)核核心（L3）實(shí)實(shí)現(xiàn)網(wǎng)絡(luò)虛擬