虛擬化基礎(chǔ)架構(gòu)之使用openfiler搭建iSCSI網(wǎng)絡(luò)共享存儲

1、虛擬化基礎(chǔ)架構(gòu)之使用openfiler搭建iSCSI網(wǎng)絡(luò)共享存儲（IPSAN）2009年04月02日 星期四 18:25隨著虛擬化架構(gòu)的不斷完善與擴充，后臺集中的網(wǎng)絡(luò)存儲已開始成為虛擬化整體解決方案中的一部分（尤其是對VDI、高可用性群集等架構(gòu)），實現(xiàn)網(wǎng)絡(luò)存儲的方法有以下幾種： 直接向EMC、NetApp等廠商購買存儲設(shè)備：性能較好，價格高昂 在Windows平臺安裝模擬器：配制簡單，但性能一般，且由于商業(yè)軟件的試用期限制較難以長期使用 使用FreeNAS、Openfiler等Linux核心的iSCSI Target端程序：基于Linux內(nèi)核的裸金屬服務(wù)器端，性能較為理想，免費可自由下載，比較

2、適合于系統(tǒng)測試或評估使用。 這里將介紹使用Openfiler2.3來搭建基于iSCSI的網(wǎng)絡(luò)共享存儲 首先來看下基本架構(gòu)與一些基本概念，了解基本概念的請?zhí)^。 HYPERLINK /attachment.php?aid=34156&k=f695cccdf437357f684eb18f913c5390&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 1.jpg t _blank 下載 (25.61 KB)2009-1-30 04:44 在整個架構(gòu)中，所有的設(shè)備都通過以太網(wǎng)相連，兩臺需

3、要連接存儲的服務(wù)器分別為兩個節(jié)點，稱之為Initiator端（也可只有一個節(jié)點或多個節(jié)點），存儲設(shè)備可以是專門的硬件存儲設(shè)備，也可以由普通服務(wù)器充當(dāng)，只需安裝上述所說的模擬軟件或者Openfiler等精簡版Linux來充當(dāng)，稱之為Target端。 所以整個iSCSI架構(gòu)其實也是類似于C/S架構(gòu)，Target段為存儲服務(wù)器，Initiator端為客戶端，通過iSCSI協(xié)議將存儲設(shè)備上的邏輯卷作為自己的存儲設(shè)備使用。 下面切入正題，整個配置過程分為三大步驟： 在存儲服務(wù)器上安裝Openfiler 通過Web方式遠(yuǎn)程配置Openfiler存儲設(shè)備 配置客戶端服務(wù)器連接Openfiler存儲設(shè)備一、在

4、存儲服務(wù)器上安裝Openfile（基本的只有下一步可按的頁面就跳過了） 首先在 HYPERLINK /community/download/ t _blank /community/download/中下載合適的版本，從光驅(qū)引導(dǎo)后是典型的Linux安裝界面 直接回車進(jìn)入圖形化安裝界面 HYPERLINK /attachment.php?aid=34157&k=1f7105e0d20373a0fa5dc434a884d256&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 2.jpg

5、 t _blank 下載 (26.19 KB)2009-1-30 04:44在磁盤設(shè)置這里如果不熟悉Linux磁盤分區(qū)的話可以直接選擇自動分區(qū)，但是為了增強對磁盤分區(qū)的可控性，這里選擇手動分區(qū)。 HYPERLINK /attachment.php?aid=34158&k=a93f4421f27a507e3de738fd7e95e0a6&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 3.jpg t _blank 下載 (41.64 KB)2009-1-30 04:44系統(tǒng)詢問是否初

6、始化磁盤并刪除所有數(shù)據(jù)，選擇YES，連續(xù)選擇兩次No的話則Restart。 HYPERLINK /attachment.php?aid=34159&k=26eaacb1be065268e25da1349d8e957d&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 4.jpg t _blank 下載 (41.99 KB)2009-1-30 04:45進(jìn)入磁盤分區(qū)頁面，在這個系統(tǒng)中我有兩個磁盤，我的規(guī)劃是較小的磁盤安裝Openfiler，并且劃分一個區(qū)作為群集的仲裁磁盤，較大的磁盤作

7、為共享數(shù)據(jù)磁盤（當(dāng)然這是后話了，并且Linux系統(tǒng)的安裝并不局限于一塊物理磁盤，這里只是根據(jù)慣有的思路做一個預(yù)先規(guī)劃） HYPERLINK /attachment.php?aid=34160&k=ac794bde2f9cf1b9f6d08cf361c1c2b0&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 5.jpg t _blank 下載 (49.35 KB)2009-1-30 04:45安裝Openfiler本身的推薦分區(qū)方法則根常規(guī)的Linux分區(qū)方法是一樣的，需要一個引導(dǎo)

8、分區(qū)，一個根分區(qū)，一個交換分區(qū) 點擊較小的磁盤的Free空間，選擇新建，在掛載點中擇/boot，文件類型為ext3，只選擇較小的磁盤（還是那句話，根據(jù)慣有思維，實在不習(xí)慣將一個分區(qū)橫跨兩個無力磁盤），大小設(shè)為100M即可，確定下方為固定大小，勾選強制為主分區(qū)選項。 HYPERLINK /attachment.php?aid=34161&k=59113774b23cff7bb0a13586023a1b5d&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 6.jpg t _blank

9、下載 (47.72 KB)2009-1-30 04:45用同樣的方法建立根分區(qū)，掛載點位/，文件格式為ext3,掛載在較小的物理磁盤，大小為1GB-2GB即可，因為是精簡版的Linux，且以后也不大會安裝其它軟件，所以1GB足矣（又是那句話，按照慣性思維，我設(shè)了2G，被微軟慣性壞了。），下面則同樣是固定大小，強制為主分區(qū)。 最后建立一個交換分區(qū)，不需要選擇掛載點，文件類型為swap，第一塊無力磁盤，大小為內(nèi)存的兩倍即可，其余設(shè)置一樣，這里發(fā)現(xiàn)少截張圖。 HYPERLINK /attachment.php?aid=34162&k=9c6bf68321cf57d50c40d79de778fa49&

10、t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 7.jpg t _blank 下載 (52.15 KB)2009-1-30 04:45分區(qū)完成后最終的效果應(yīng)該是這樣的，其余的分區(qū)保持為Free狀態(tài)，不然在Openfiler中可能無法分配。 HYPERLINK /attachment.php?aid=34163&k=45d981ea9fe30bab176a30b3a4eea50a&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fql

11、d8VB54a5qeLqExjJbos1T3mZ6o o 8.jpg t _blank 下載 (52.25 KB)2009-1-30 04:45配置網(wǎng)絡(luò)屬性，建議設(shè)為固定IP，因為Openfiler安裝完成之后沒有圖形界面，所有的配置都通過web方式完成，沒有固定的IP會給以后的配置造成不必要的麻煩。 HYPERLINK /attachment.php?aid=34164&k=9169ce7dcae821f054de26d6083ea6e1&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6

12、o o 9.jpg t _blank 下載 (48.07 KB)2009-1-30 04:45接下來是選擇時區(qū)，設(shè)置Root帳戶密碼，然后光盤中的文件拷貝至硬盤中開始正式安裝，都比較簡單，安裝完成后取出光盤，按下Restart，整個安裝過程就算完成了，其實跟安裝普通的Linux沒有任何區(qū)別。 HYPERLINK /attachment.php?aid=34165&k=c1d7734556cbb1a7eaf17cb336213216&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 1

13、0.jpg t _blank 下載 (31.91 KB)2009-1-30 04:45二、通過Web方式遠(yuǎn)程配置Openfiler存儲設(shè)備 啟動Openfiler之后會顯示他的Web管理的URL： https:/IP:446 HYPERLINK /attachment.php?aid=34166&k=daa1d6bfc3bad965d0bee71c1a4f4c4e&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 11.jpg t _blank 下載 (41.94 KB)2009-1

14、-30 04:45通過遠(yuǎn)程客戶端瀏覽器登錄，用戶名為openfiler,密碼為password 進(jìn)入管理界面之后首先看到是一些常規(guī)設(shè)備信息，關(guān)系不大，在上方導(dǎo)航欄中選擇system，拉到頁面下方，在Network Access Configuration中添加Initiator客戶端所在的網(wǎng)段地址，用以在之后選擇是否授權(quán)這個網(wǎng)段的計算機能夠連接本臺存儲，可以通過子網(wǎng)掩碼進(jìn)一步控制數(shù)量，類型保留為share，點擊Update。 HYPERLINK /attachment.php?aid=34167&k=d78001ffa52ae1a2022cf0862ab1d864&t=1238667764&n

15、othumb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 12.jpg t _blank 下載 (41.46 KB)2009-1-30 04:45在導(dǎo)航欄中選擇Volumes，點擊右側(cè)的Block Devices，可以查看到當(dāng)前存儲服務(wù)器所擁有的物理磁盤，選擇某一個物理磁盤的view，可以查看這塊物理磁盤上已有的分區(qū)。 HYPERLINK /attachment.php?aid=34168&k=439eb9aaed0b17f76ec8601ce86b40ba&t=1238667764¬humb=yes&sid=7

16、50deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 13.jpg t _blank 下載 (48.48 KB)2009-1-30 04:45下面就開始正式劃分我們所需要的共享仲裁磁盤和數(shù)據(jù)磁盤。 單擊第一塊物理磁盤: /dev/sda 拉到頁面下方（如果要說Openfiler有什么很讓人火大的地方就是這里了，很多頁面都設(shè)計的很長，要拉到很下面才能進(jìn)行設(shè)置），在這里劃分一個物理分區(qū)出來，注意將PartitionType設(shè)置為物理卷，類型為主要，通過設(shè)置開始柱面和結(jié)束柱面，系統(tǒng)會計算出劃分的區(qū)為多大，調(diào)整到滿意的值后點擊Creat HYPERLIN

17、K /attachment.php?aid=34169&k=6feefc9edbf60f930da4110edd556594&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 14.jpg t _blank 下載 (40.67 KB)2009-1-30 04:45接下來點擊右側(cè)的Volume Group，拉到頁面下方，創(chuàng)建一個新的卷組，設(shè)置卷組名為Quorum，包含剛才創(chuàng)建的物理分區(qū)，點擊Add Volume Group。 HYPERLINK /attachment.php?aid=

18、34170&k=0662c8ba4dbadeb2cf6ccc717d2fa5e0&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 15.jpg t _blank 下載 (41.31 KB)2009-1-30 04:45點擊右側(cè)的Add Volume，選擇剛才創(chuàng)建的卷組，在這個卷組所包含的空間上創(chuàng)建一個真正的會掛接到Initiator客戶端服務(wù)器上的邏輯卷（Lun），什么？你在這個頁面中沒看到創(chuàng)建？看到右側(cè)的滾動條了么？對了。往下拉。 HYPERLINK /attachment.ph

19、p?aid=34171&k=9e6b041d6095aef1ebc3ce562b58ab40&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 16.jpg t _blank 下載 (43.09 KB)2009-1-30 04:45在創(chuàng)建邏輯Lun的時候可以選擇所需要的大小，而不是選擇整個卷組，Openfiler對磁盤的靈活性體現(xiàn)出來了，一個卷組可以劃分多個邏輯Lun，卷組本身又可以來自多個物理磁盤，好了，被我說亂了？等下我來整理思路。這里定義完了卷名后在文件類型列表中選擇iSCSI

20、，點擊Creat。 HYPERLINK /attachment.php?aid=34172&k=d0cf23bd44f5c6c65b80f98f7793f2ae&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 17.jpg t _blank 下載 (35.61 KB)2009-1-30 04:45用同樣的方法在第二塊磁盤上創(chuàng)建一個物理分區(qū)，包含在data這個卷組中。 HYPERLINK /attachment.php?aid=34173&k=87040530d8cff3e57b97

21、7c63986f23b7&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 18.jpg t _blank 下載 (39.27 KB)2009-1-30 04:45點擊右側(cè)的Add Volume，注意選擇需要在哪個卷組上創(chuàng)建邏輯卷，選擇data卷組后需要點擊change，才能在data這個卷組中操作，和上面一樣，拉到頁面下方，創(chuàng)建一個用于data的邏輯卷。 HYPERLINK /attachment.php?aid=34174&k=4454c5007832533296ac06d781

22、13aeb7&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 19.jpg t _blank 下載 (43.84 KB)2009-1-30 04:46在導(dǎo)航欄中選擇Service，將下方服務(wù)中的iSCSI Target Server修改為Enable狀態(tài)。 HYPERLINK /attachment.php?aid=34175&k=bce2f3adb4902b850433e923a3cab190&t=1238667764¬humb=yes&sid=750deuCQht82L6

23、eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 20.jpg t _blank 下載 (44.38 KB)2009-1-30 04:46回到Volumes標(biāo)簽，點擊右側(cè)的iSCSI Targets，點擊Add添加iSCSI Target。 HYPERLINK /attachment.php?aid=34176&k=9fbaed9ee6ed18e2fd36f6153260e459&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 21.jpg t _blan

24、k 下載 (43.94 KB)2009-1-30 04:46單擊導(dǎo)航欄下方的Lun Mapping，可以看到之前劃出來可用于掛載的邏輯Lun，將兩個邏輯卷全部Map至該Target。 HYPERLINK /attachment.php?aid=34177&k=9468f16e3f47cd3ffb93a014fd431325&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 22.jpg t _blank 下載 (49.96 KB)2009-1-30 04:46最后單擊Network

25、ACL，可以看到先前設(shè)置的Initiator端所在的網(wǎng)段，在Access下選擇Allow，單擊Update，大功告成。 HYPERLINK /attachment.php?aid=34178&k=48a8cb69ae18dbc661e01db7cec5d8d4&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 23.jpg t _blank 下載 (43.18 KB)2009-1-30 04:46三、配置客戶端服務(wù)器連接Openfiler存儲設(shè)備 這個步驟比較簡單，跟所有的連接iSC

26、SI設(shè)備客戶端所需的操作一樣（硬件HBA卡除外），安裝微軟的iSCSI Initiator 2.0（如果是Server08的話不需要安裝，系統(tǒng)自帶） HYPERLINK /attachment.php?aid=34179&k=5eeef3ab333f70d35f48bd9ce4a3af46&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 24.jpg t _blank 下載 (33.47 KB)2009-1-30 04:46在Discovery標(biāo)簽中，單擊Add，填入Openfil

27、er服務(wù)器的地址，端口默認(rèn)，確認(rèn)。 HYPERLINK /attachment.php?aid=34180&k=abe7fc877888f8038b2c3b6c311762a9&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 25.jpg t _blank 下載 (39.68 KB)2009-1-30 04:46在Targets標(biāo)簽，單擊Log On，勾選系統(tǒng)啟動時自動恢復(fù)連接，確定，Target中的信息會由Inactive變?yōu)镃onnected。 HYPERLINK /attac

28、hment.php?aid=34181&k=16cf0062a38bce2b313c68693716669b&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 26.jpg t _blank 下載 (38.75 KB)2009-1-30 04:46打開磁盤管理，系統(tǒng)發(fā)現(xiàn)新的可初始化的磁盤，網(wǎng)絡(luò)存儲配置完成，只需在第二臺節(jié)點進(jìn)行同樣的操作即可（第一臺節(jié)點最好關(guān)閉，但實際坐下來問題不大，反正最后是由群集控制）。 HYPERLINK /attachment.php?aid=34182&k=

29、7c7e8753096db99c6fe738803e44be9a&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 27.jpg t _blank 下載 (43.76 KB)2009-1-30 04:56在設(shè)備管理器中的磁盤驅(qū)動器下可以看到，有兩個OpnFiler.SCSI的設(shè)備驅(qū)動器。 HYPERLINK /attachment.php?aid=34183&k=1728eb6fa31175b7cd83f628e7f43e99&t=1238667764¬humb=yes&sid

30、=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 28.jpg t _blank 下載 (45.74 KB)2009-1-30 04:56回到web控制臺，進(jìn)入Status標(biāo)簽，單擊右側(cè)的iSCSI Target，可以看到連上來的Initiator，選擇View可以看到IP信息。 HYPERLINK /attachment.php?aid=34184&k=67bea0fabfd0e79f45ce538e313ecca2&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5

31、qeLqExjJbos1T3mZ6o o 29.jpg t _blank 下載 (46.77 KB)2009-1-30 04:56整個配置到這里算是全部完成了，最后簡單整理下Openfiler創(chuàng)建邏輯卷的整個過程： 1.首先在物理磁盤上創(chuàng)建物理分區(qū)，不能跨越物理磁盤 2.創(chuàng)建卷組，在卷組中可以包含任意的未被分配的物理分區(qū)，可以跨越物理磁盤，可以理解為將多個物理上的空間整合為一個可用的空間 3.在卷組中創(chuàng)建用于被連接的邏輯Lun，一個卷組可以創(chuàng)建一個邏輯Lun，也可以創(chuàng)建多個邏輯Lun，一個邏輯Lun被連接到客戶端服務(wù)器后在磁盤管理器中最終看到的即是一個物理磁盤。在這里容易搞混得是卷組的名字是V

32、olume Group，邏輯Lun的名字是Volume，在創(chuàng)建過程中是先創(chuàng)建VolumeGroup，最后才在相應(yīng)的VolumeGroup中Add Volume的。掃描rootcentos49 # iscsiadm -m discovery -type sendtargets -portal 0 (iscsi服務(wù)器IP)0:3260,1 .30:storage.iscsitest登記rootcentos49 iscsi# iscsiadm -m node -T .30:storage.iscsitest -p 0 -login Login session iface: default, targ

33、et: .30:storage.iscsitest, portal: 0,3260注銷rootcentos49 iscsi# iscsiadm -m node -T .30:storage.iscsitest -p 0 -logout附錄資料：不需要的可以自行刪除 園區(qū)網(wǎng)絡(luò)虛擬化無論規(guī)模如何或有什么安全需求，企業(yè)現(xiàn)在都能在單一物理網(wǎng)絡(luò)上，受益于支持多個封閉用戶組的虛擬化園區(qū)網(wǎng)絡(luò)。綜述隨著對園區(qū)網(wǎng)絡(luò)的需求日益復(fù)雜，可擴展解決方案也越來越需要將多個網(wǎng)絡(luò)用戶組進(jìn)行邏輯分區(qū)。網(wǎng)絡(luò)虛擬化提供了多個解決方案，能在保持現(xiàn)有園區(qū)設(shè)計的高可用性、可管理性、安全性和可擴展性優(yōu)勢的同時，實現(xiàn)服務(wù)和安全策略的集中。為

34、達(dá)到出色效果，這些解決方案必須包括網(wǎng)絡(luò)虛擬化的三個主要方面：訪問控制、路徑隔離和服務(wù)邊緣。通過實施這些解決方案，網(wǎng)絡(luò)虛擬化即能與思科系統(tǒng)公司的服務(wù)導(dǎo)向網(wǎng)絡(luò)架構(gòu)(SONA)相結(jié)合，為遷移到智能化信息網(wǎng)絡(luò)的企業(yè)創(chuàng)建一個強大的框架。SONA網(wǎng)絡(luò)利用NAC和IEEE 802.1x協(xié)議提供身份識別服務(wù)，從而實現(xiàn)最優(yōu)訪問控制。在用戶獲準(zhǔn)接入網(wǎng)絡(luò)后，三個路徑隔離解決方案GRE隧道、VRF-lite和MPLS VPN能在保留當(dāng)前園區(qū)網(wǎng)設(shè)計優(yōu)勢的同時，在現(xiàn)有局域網(wǎng)上疊加分區(qū)機制，將網(wǎng)絡(luò)劃分為安全、虛擬的網(wǎng)絡(luò)。這些解決方案解決了與分布部署服務(wù)和安全策略相關(guān)的問題。最后，共享服務(wù)和安全策略實施的集中化，大大減少了在

35、園區(qū)網(wǎng)中維護(hù)不同群組的安全策略和服務(wù)所需的資本和運營開支。這種集中化有助于在園區(qū)中實施一致的策略。挑戰(zhàn)園區(qū)網(wǎng)絡(luò)的設(shè)計建議一直缺乏一種對網(wǎng)絡(luò)流量分區(qū)，以便為封閉用戶組提供安全獨立環(huán)境的方式（表1）。有許多因素都在推動對于創(chuàng)建封閉用戶組的需要，包括： 企業(yè)中存在不同級別的訪問權(quán)限：幾乎每個企業(yè)都需要解決方案來為客戶、廠商、合作伙伴以及園區(qū)局域網(wǎng)上的員工授予不同的訪問級別。 法規(guī)遵從性：部分企業(yè)受法律或規(guī)定的要求，必須對較大的機構(gòu)進(jìn)行分區(qū)。例如，在金融公司中，銀行業(yè)務(wù)必須與證券交易業(yè)務(wù)分開。 過大的企業(yè)需要簡化網(wǎng)絡(luò)：對于非常大型的園區(qū)網(wǎng)絡(luò)，如機場、醫(yī)院或大學(xué)來說，過去，為保證不同用戶組或部門間的安全

36、性，就必須構(gòu)建和管理不同的物理網(wǎng)絡(luò)，這種做法既昂貴又難以管理。 網(wǎng)絡(luò)整合：在合并和收購時，通常需要迅速集成所收購公司的網(wǎng)絡(luò)。 外包：隨著外包和離岸外包的普及，子承包商必須證明各客戶的信息間完全隔離。尤其當(dāng)一家承包商服務(wù)于相互競爭的公司時，這尤為重要。 提供網(wǎng)絡(luò)服務(wù)的企業(yè)：零售連鎖公司為其他公司支持售貨亭或為加油站提供互聯(lián)網(wǎng)接入；同樣，服務(wù)于多家航空公司和零售商的機場能使用單一網(wǎng)絡(luò)來提供隔離服務(wù)和共享服務(wù)。 表1. 不同垂直行業(yè)中網(wǎng)絡(luò)分區(qū)的應(yīng)用示例垂直行業(yè)網(wǎng)絡(luò)虛擬化應(yīng)用示例制造業(yè)生產(chǎn)工廠(自動裝置，生產(chǎn)環(huán)境自動化等)，管理，銷售，視頻監(jiān)視。 金融業(yè)交易大廳，管理，合并。政府支持不同部門的共同建筑

37、物和設(shè)施。在部分國家，法律要求這些部門采用不同網(wǎng)絡(luò)。醫(yī)療總體趨勢是在進(jìn)行治療的同時提供賓館式服務(wù)。須隔離醫(yī)護(hù)人員、核磁共振成像(MRI)和其他技術(shù)設(shè)備、病人互聯(lián)網(wǎng)接入，以及為病人提供的廣播和電視等媒體服務(wù)。 商業(yè)智能樓宇：多企業(yè)園區(qū)不同部門共享部分資源。多個公司位于同一園區(qū)，其中不同建筑物分屬不同部門，但全使用相同的核心和互聯(lián)網(wǎng)接入機制。園區(qū)所有者管理建筑物自動化體系，覆蓋所有建筑物。零售售貨亭，分支機構(gòu)中的公共無線局域網(wǎng)，RF識別，WLAN設(shè)備（例如，不支持任何WLAN安全特性的較早的WLAN條碼閱讀器）。教育學(xué)生、教授、管理人員和外部研究團(tuán)隊間需要隔離。此外，分布于多個建筑物的各院系可能需

38、要訪問各自的服務(wù)器區(qū)域。而某些資源（例如互聯(lián)網(wǎng)、電子郵件和新聞）可能需要共享或通過一個服務(wù)區(qū)訪問。此外，建筑物自動化體系也必須分開。園區(qū)局域網(wǎng)的發(fā)展網(wǎng)絡(luò)虛擬化允許多個用戶組訪問同一物理網(wǎng)絡(luò)，但從邏輯上對它們進(jìn)行一定程度的隔離，以便它們無法查看其他組這是多年來網(wǎng)絡(luò)經(jīng)理面臨的挑戰(zhàn)。在上世紀(jì)90年代，L2交換是園區(qū)局域網(wǎng)的標(biāo)志性特征，虛擬局域網(wǎng)(VLAN)是在一個通用基礎(chǔ)設(shè)施中將局域網(wǎng)劃分為不同工作組的標(biāo)準(zhǔn)。此解決方案安全高效，但無法很好地擴展，而且隨著園區(qū)局域網(wǎng)的發(fā)展，其管理也非易事。核心和分布層中L3交換的出現(xiàn)，在VLAN方式的基礎(chǔ)上對可擴展性、性能和故障排除進(jìn)行了優(yōu)化。過去幾年中，所構(gòu)建的基于

39、L3的園區(qū)網(wǎng)絡(luò)已經(jīng)證實，它們便于擴展、功能強大，具有高性能。但在網(wǎng)絡(luò)分區(qū)和封閉用戶組方面，L3園區(qū)方式有著重大缺陷和限制。在此情況下，添加封閉用戶組即意味著增加成本和復(fù)雜度。解決方案：網(wǎng)絡(luò)虛擬化因此我們需要一個便于擴展的解決方案，來保持用戶組完全隔離，實現(xiàn)服務(wù)和安全策略的集中，并保留園區(qū)網(wǎng)設(shè)計的高可用性、安全性和可擴展性優(yōu)勢。為支持此解決方案，網(wǎng)絡(luò)設(shè)計必須高效地解決以下問題： 訪問控制：確保能識別合法用戶和設(shè)備，對其分類，并允許其接入獲得訪問授權(quán)的網(wǎng)絡(luò)部分。 路徑隔離：確保各用戶或設(shè)備都能高效地分配到正確、安全的可用資源集即正確的VPN。 服務(wù)邊緣：確保合法的用戶和設(shè)備能訪問相應(yīng)的正確服務(wù)，并

40、集中實施策略。 思科解決方案能通過幾個方式實現(xiàn)網(wǎng)絡(luò)虛擬化。虛擬化技術(shù)使單一物理設(shè)備或資源能作為它自己的多個物理版本，在網(wǎng)絡(luò)中共享。網(wǎng)絡(luò)虛擬化是思科SONA框架的一個重要組件。思科SONA使用虛擬化技術(shù)來改進(jìn)服務(wù)器和存儲局域網(wǎng)（SAN）等網(wǎng)絡(luò)資產(chǎn)的使用。例如，一個物理防火墻能配置為執(zhí)行多個虛擬防火墻的功能，幫助企業(yè)優(yōu)化資源和安全投資。其他虛擬化戰(zhàn)略包括集中策略管理、負(fù)載均衡和動態(tài)分配等。虛擬化能提高靈活性和網(wǎng)絡(luò)效率，降低資本和運營開支。訪問控制：身份驗證和接入層安全接入層安全對于保護(hù)園區(qū)局域網(wǎng)免遭外部威脅十分重要。通過在威脅進(jìn)入園區(qū)前即采取防御措施的特性，能對思科網(wǎng)絡(luò)虛擬化解決方案構(gòu)成補充。IE

41、EE 802.1X即是這樣一種技術(shù)，它是端口安全的標(biāo)準(zhǔn)。802.1X在用戶及其相關(guān)的VPN間形成強大的連接，防止在未授權(quán)情況下訪問禁止接入的資源。另一種補充技術(shù)是思科網(wǎng)絡(luò)準(zhǔn)入控制(NAC)。NAC的職責(zé)是在邊緣防御威脅，在有害流量到達(dá)分布層或核心層前即將其刪除。NAC有助于確保用戶不會使園區(qū)基礎(chǔ)設(shè)施遭受到任何病毒、蠕蟲等威脅。路徑隔離：L3 VPN為支持園區(qū)網(wǎng)絡(luò)虛擬化，思科提供了三個非常適用于典型園區(qū)網(wǎng)絡(luò)設(shè)計，并混合使用了L2和L3技術(shù)的解決方案： GRE隧道 VRF-lite MPLS VPN GRE隧道GRE隧道為在園區(qū)網(wǎng)絡(luò)上創(chuàng)建封閉用戶組提供了一種相當(dāng)簡單且高效的方法。GRE隧道非常適于

42、作為托管“訪客”接入的企業(yè)解決方案，使公司能為訪客或來訪者提供全球互聯(lián)網(wǎng)接入，而又能防止這些用戶訪問內(nèi)部資源。在圖1中，GRE隧道與Cisco VRF-lite特性共用，為訪客接入創(chuàng)建了一個簡單、易于管理的解決方案。圖1. 結(jié)合使用GRE隧道和VRF-lite該解決方案的優(yōu)勢包括： 能跨越典型的多層園區(qū)網(wǎng)絡(luò)（無需園區(qū)級VLAN）。 訪客用戶流量與其他公司局域網(wǎng)流量隔離。 所有訪客流量的進(jìn)入點位于中央位置，使安全性和服務(wù)質(zhì)量(QoS)策略更易于管理。 甚至能通過廣域網(wǎng)擴展到分支機構(gòu)。 在將GRE隧道作為支持封閉用戶組的解決方案時，需要注意的一個因素是隧道本身較難配置和管理，因此不建議解決方案部署

43、超過兩條隧道。此類網(wǎng)絡(luò)虛擬化適用于需要星型拓?fù)涞膱龊?。VRF-liteVRF-lite是一個思科特性，通常稱為多VRF客戶邊緣，通過使用單一路由設(shè)備支持多個虛擬路由器，來提供園區(qū)分區(qū)解決方案。VRF-lite是MPLS的輕量版本。利用VRF-lite，網(wǎng)絡(luò)經(jīng)理能靈活地為任意特定VPN使用任意IP地址空間，而無論它是否與其他VPN的地址空間重疊或沖突。這種靈活性在很多場合都非常實用。例如，當(dāng)所收購公司的網(wǎng)絡(luò)合并到一個共享局域網(wǎng)中，所收購的網(wǎng)絡(luò)能作為獨立VPN進(jìn)入基礎(chǔ)設(shè)施，幾乎或完全不會干擾網(wǎng)絡(luò)上的日常業(yè)務(wù)流程。VRF-lite能用作端到端解決方案，如圖2所示，也能與另一解決方案共用來支持封閉用戶組，這將在下一部分中討論?？傮w來說，VRF-lite的可擴展性高于GRE隧道，但它最適用于有四或五個分區(qū)的網(wǎng)絡(luò)。每次添加用戶組時，它都需要人工重配置，因此相當(dāng)耗費勞力。圖2. VRF作為端到端解決方案部署MPLS VPN另一種為封閉用戶組進(jìn)行園區(qū)網(wǎng)絡(luò)分區(qū)的方法為基于MPLS的L3 VPN。和GRE隧道與VRF-lite一樣，MPLS VPN提供了一種安全可靠的方式，在通用物理基礎(chǔ)設(shè)施上進(jìn)行網(wǎng)絡(luò)邏輯分區(qū)。盡管電信運營商使