1、園區網絡虛擬化無論規模如何或有什么安全需求，企業現在都能在單一物理網絡上，受益于支持多個封閉用戶組的虛擬化園區網絡。綜述隨著對園區網絡絡的需求日益益復雜，可擴擴展解決方案案也越來越需需要將多個網網絡用戶組進進行邏輯分區區。網絡虛擬擬化提供了多多個解決方案案，能在保持持現有園區設設計的高可用用性、可管理理性、安全性性和可擴展性性優勢的同時時，實現服務務和安全策略略的集中。為為達到出色效效果，這些解解決方案必須須包括網絡虛虛擬化的三個個主要方面：訪問控制、路路徑隔離和服服務邊緣。通通過實施這些些解決方案，網網絡虛擬化即即能與思科系系統公司的的服務導向網網絡架構(SSONA)相相結合，為遷遷移到智能

2、化化信息網絡的的企業創建一一個強大的框框架。SONA網絡利利用NAC和和IEEE 802.11x協議提供供身份識別服服務，從而實實現最優訪問問控制。在用用戶獲準接入入網絡后，三三個路徑隔離離解決方案GRE隧道道、VRF-lite和和MPLS VPN能能在保留當前前園區網設計計優勢的同時時，在現有局局域網上疊加加分區機制，將將網絡劃分為為安全、虛擬擬的網絡。這這些解決方案案解決了與分分布部署服務務和安全策略略相關的問題題。最后，共共享服務和安安全策略實施施的集中化，大大大減少了在在園區網中維維護不同群組組的安全策略略和服務所需需的資本和運運營開支。這這種集中化有有助于在園區區中實施一致致的策略。

3、挑戰園區網絡的設計計建議一直缺缺乏一種對網網絡流量分區區，以便為封封閉用戶組提提供安全獨立立環境的方式式（表1）。有有許多因素都都在推動對于于創建封閉用用戶組的需要要，包括： 企業中存在不同同級別的訪問問權限：幾乎乎每個企業都都需要解決方方案來為客戶戶、廠商、合合作伙伴以及及園區局域網網上的員工授授予不同的訪訪問級別。 法規遵從性：部部分企業受法法律或規定的的要求，必須須對較大的機機構進行分區區。例如，在在金融公司中中，銀行業務務必須與證券券交易業務分分開。 過大的企業需要要簡化網絡：對于非常大大型的園區網網絡，如機場場、醫院或大大學來說，過過去，為保證證不同用戶組組或部門間的的安全性，就就必

4、須構建和和管理不同的的物理網絡，這這種做法既昂昂貴又難以管管理。 網絡整合：在合合并和收購時時，通常需要要迅速集成所所收購公司的的網絡。 外包：隨著外包包和離岸外包包的普及，子子承包商必須須證明各客戶戶的信息間完完全隔離。尤尤其當一家承承包商服務于于相互競爭的的公司時，這這尤為重要。 提供網絡服務的的企業：零售售連鎖公司為為其他公司支支持售貨亭或或為加油站提提供互聯網接接入；同樣，服服務于多家航航空公司和零零售商的機場場能使用單一一網絡來提供供隔離服務和和共享服務。 表1. 不同垂垂直行業中網網絡分區的應應用示例垂直行業網絡虛擬化應用用示例制造業生產工廠(自動動裝置，生產產環境自動化化等)，管

5、理理，銷售，視視頻監視。 金融業交易大廳，管理理，合并。政府支持不同部門的的共同建筑物物和設施。在在部分國家，法法律要求這些些部門采用不不同網絡。醫療總體趨勢是在進進行治療的同同時提供賓館館式服務。須須隔離醫護人人員、核磁共共振成像(MMRI)和其其他技術設備備、病人互聯聯網接入，以以及為病人提提供的廣播和和電視等媒體體服務。 商業智能樓宇：多企業園區區不同部門共享部部分資源。多多個公司位于于同一園區，其其中不同建筑筑物分屬不同同部門，但全全使用相同的的核心和互聯聯網接入機制制。園區所有有者管理建筑筑物自動化體體系，覆蓋所所有建筑物。零售售貨亭，分支機機構中的公共共無線局域網網，RF識別別，W

6、LANN設備（例如如，不支持任任何WLANN安全特性的的較早的WLLAN條碼閱閱讀器）。教育學生、教授、管管理人員和外外部研究團隊隊間需要隔離離。此外，分分布于多個建建筑物的各院院系可能需要要訪問各自的的服務器區域域。而某些資資源（例如互互聯網、電子子郵件和新聞聞）可能需要要共享或通過過一個服務區區訪問。此外外，建筑物自自動化體系也也必須分開。園區局域網的發發展網絡虛擬化允允許多個用戶戶組訪問同一一物理網絡，但但從邏輯上對對它們進行一一定程度的隔隔離，以便它它們無法查看看其他組這這是多年來網網絡經理面臨臨的挑戰。在在上世紀900年代，L22交換是園區區局域網的標標志性特征，虛虛擬局域網(VLA

7、N)是在一個通通用基礎設施施中將局域網網劃分為不同同工作組的標標準。此解決決方案安全高高效，但無法法很好地擴展展，而且隨著著園區局域網網的發展，其其管理也非易易事。核心和分布層中中L3交換的的出現，在VVLAN方式式的基礎上對對可擴展性、性性能和故障排排除進行了優優化。過去幾幾年中，所構構建的基于LL3的園區網網絡已經證實實，它們便于于擴展、功能能強大，具有有高性能。但但在網絡分區區和封閉用戶戶組方面，LL3園區方式式有著重大缺缺陷和限制。在在此情況下，添添加封閉用戶戶組即意味著著增加成本和和復雜度。解決方案：網絡絡虛擬化因此我們需要一一個便于擴展展的解決方案案，來保持用用戶組完全隔隔離，實現

8、服服務和安全策策略的集中，并并保留園區網網設計的高可可用性、安全全性和可擴展展性優勢。為為支持此解決決方案，網絡絡設計必須高高效地解決以以下問題： 訪問控制：確保保能識別合法法用戶和設備備，對其分類類，并允許其其接入獲得訪訪問授權的網網絡部分。 路徑隔離：確保保各用戶或設設備都能高效效地分配到正正確、安全的的可用資源集集即正確的的VPN。 服務邊緣：確保保合法的用戶戶和設備能訪訪問相應的正正確服務，并并集中實施策策略。 思科解決方案案能通過幾個個方式實現網網絡虛擬化。虛虛擬化技術使使單一物理設設備或資源能能作為它自己己的多個物理理版本，在網網絡中共享。網網絡虛擬化是是思科SONNA框架的一一個

9、重要組件件。思科SOONA使用虛虛擬化技術來來改進服務器器和存儲局域域網（SANN）等網絡資資產的使用。例例如，一個物物理防火墻能能配置為執行行多個虛擬防防火墻的功能能，幫助企業業優化資源和和安全投資。其其他虛擬化戰戰略包括集中中策略管理、負負載均衡和動動態分配等。虛虛擬化能提高高靈活性和網網絡效率，降降低資本和運運營開支。訪問控制：身份份驗證和接入入層安全接入層安全對于于保護園區局局域網免遭外外部威脅十分分重要。通過過在威脅進入入園區前即采采取防御措施施的特性，能能對思科網絡絡虛擬化解決決方案構成補補充。IEEEE 8022.1X即是是這樣一種技技術，它是端端口安全的標標準。8022.1X在

10、用用戶及其相關關的VPN間間形成強大的的連接，防止止在未授權情情況下訪問禁禁止接入的資資源。另一種種補充技術是是思科網絡準準入控制(NNAC)。NNAC的職責責是在邊緣防防御威脅，在在有害流量到到達分布層或或核心層前即即將其刪除。NNAC有助于于確保用戶不不會使園區基基礎設施遭受受到任何病毒毒、蠕蟲等威威脅。路徑隔離：L33 VPN為支持園區網絡絡虛擬化，思思科提供了三三個非常適用用于典型園區區網絡設計，并并混合使用了了L2和L33技術的解決決方案： GRE隧道 VRF-litte MPLS VPPN GRE隧道GRE隧道為在在園區網絡上上創建封閉用用戶組提供了了一種相當簡簡單且高效的的方法。

11、GRRE隧道非常常適于作為托托管“訪客”接接入的企業解解決方案，使使公司能為訪訪客或來訪者者提供全球互互聯網接入，而而又能防止這這些用戶訪問問內部資源。在在圖1中，GGRE隧道與與Ciscoo VRF-lite特特性共用，為為訪客接入創創建了一個簡簡單、易于管管理的解決方方案。圖1. 結合使使用GRE隧隧道和VRFF-litee該解決方案的優優勢包括： 能跨越典型的多多層園區網絡絡（無需園區區級VLANN）。 訪客用戶流量與與其他公司局局域網流量隔隔離。 所有訪客流量的的進入點位于于中央位置，使使安全性和服服務質量(QQoS)策略略更易于管理理。 甚至能通過廣域域網擴展到分分支機構。 在將GR

12、E隧道道作為支持封封閉用戶組的的解決方案時時，需要注意意的一個因素素是隧道本身身較難配置和和管理，因此此不建議解決決方案部署超超過兩條隧道道。此類網絡絡虛擬化適用用于需要星型型拓撲的場合合。VRF-litteVRF-litte是一個思思科特性，通通常稱為多VVRF客戶邊邊緣，通過使使用單一路由由設備支持多多個虛擬路由由器，來提供供園區分區解解決方案。VVRF-liite是MPPLS的輕量量版本。利用VRF-llite，網網絡經理能靈靈活地為任意意特定VPNN使用任意IIP地址空間間，而無論它它是否與其他他VPN的地地址空間重疊疊或沖突。這這種靈活性在在很多場合都都非常實用。例例如，當所收收購公

13、司的網網絡合并到一一個共享局域域網中，所收收購的網絡能能作為獨立VVPN進入基基礎設施，幾幾乎或完全不不會干擾網絡絡上的日常業業務流程。VRF-litte能用作端端到端解決方方案，如圖22所示，也能能與另一解決決方案共用來來支持封閉用用戶組，這將將在下一部分分中討論。總總體來說，VVRF-liite的可擴擴展性高于GGRE隧道，但但它最適用于于有四或五個個分區的網絡絡。每次添加加用戶組時，它它都需要人工工重配置，因因此相當耗費費勞力。圖2. VRFF作為端到端端解決方案部部署MPLS VPPN另一種為封閉用用戶組進行園園區網絡分區區的方法為基基于MPLSS的L3 VVPN。和GGRE隧道與與V

14、RF-llite一樣樣，MPLSS VPN提提供了一種安安全可靠的方方式，在通用用物理基礎設設施上進行網網絡邏輯分區區。盡管電信運營商商使用MPLLS技術的時時間已有幾年年，但因為局局域網交換機機上缺乏對MMPLS的支支持，它還未未在企業網絡絡中廣泛部署署。而不斷改改變的業務需需求，以及相相應的新產品品面世，正幫幫助MPLSS成為園區基基礎設施中的的重要技術。隨隨著Ciscco Cattalystt 65000系列提供供了對于MPPLS VPPN的支持，對對許多大型企企業來說，MMPLS技術術已擁有了廉廉宜價位。MPLS VPPN具有本文文中討論的其其他解決方案案的所有優勢勢（參見圖33）。此

15、外，任任何MPLSS VPN都都能通過配置置，連接至用用戶和位于網網絡中任意地地點的資源，而而不會影響性性能或網絡設設計。相應地地，MPLSS VPN也也是三個思科科網絡基礎設設施虛擬化解解決方案中可可擴展性最高高的。當添加加或改動用戶戶組時，無需需人工重配置置，這提高了了可擴展性，降降低了運營開開支。當在網絡邊緣使使用VLANN，在園區的的路由部分使使用L3 VVPN時，保保留了層次化化園區網部署署的所有優勢勢，同時該解解決方案還能能在園區局域域網中實現端端到端、可擴擴展分區，并并支持集中的的安全特性和和服務。和VVRF-liite一樣，網網絡定址靈活活性也是MPPLS VPPN的另一優優勢

16、。圖3. MPLLS VPNN支持任意到到任意連接統一接入提供靈靈活性這三個思科園區區網虛擬化解解決方案并不不限制用戶使使用任何特定定的接入類型型。盡管他們們在單一物理理網絡基礎設設施中工作，但但這些解決方方案能輕松地地支持移動用用戶。無論使使用的解決方方案是基于GGRE隧道、VVRF-liite還是MMPLS VVPN，用戶戶只要能接入入網絡，就能能透明地與其其所屬的封閉閉用戶組相關關聯。虛擬化服務虛擬化網絡服務務是思科網絡絡基礎設施虛虛擬化解決方方案和SONNA的一個重重要組件，能能幫助企業高高效運營，從從而減少其網網絡上使用的的設備數目。思思科網絡虛擬擬化解決方案案支持集中服服務，包括：

17、 集中設備，如防防火墻和入侵侵檢測系統(IDS) 安全策略實施 流量監控、記帳帳和收費 共享的互聯網和和廣域網接入入 共享數據中心 這些集中服務大大大簡化和強強化了安全策策略實施。通通過確保每個個VPN使用用單一接入點點，多個VPPN能夠共享享集中部署的的防火墻和入入侵檢測設備備。對不同VVPN通用的的大量其他服服務也能共享享，藉此大幅幅降低了提供供這些服務的的資本和運營營開支。VPN支持安全全功能的集中中，這一點很很重要，因為為在中央地點點實施安全策策略能夠簡化化管理和縮減減運營開支。它它還能共享安安全設備，如如用于Cissco Caatalysst 65000系列交換換機的思科防防火墻服務

18、模模塊，它具有有VPN感知知特性，且能能在一個設備備上并發提供供數百個虛擬擬防火墻。利利用能感知VVPN的虛擬擬防火墻，每每個用戶組都都能在各自的的虛擬防火墻墻上實施自己己的策略，而而企業只需擁擁有和維護一一個防火墻設設備，從而降降低了總體擁擁有成本。總結在當今不斷發展展的網絡環境境中，典型的的園區網絡設設計混合使用用部署于網絡絡邊緣（接入入層）的交換換（L2）技技術和部署于于網絡核心（分分布層和核心心層）的路由由（L3）技技術。因此，通通過VLANN即能在網絡絡接入層（LL2）實現網網絡虛擬化，通通過GRE隧隧道、VRFF-litee和基于MPPLS的L33 VPN，即即能在網絡核核心（L3）實實現網絡虛擬