雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 3317|回复: 3

实现网络虚拟三步走

[复制链接]
发表于 2006-12-8 00:40:23 | 显示全部楼层 |阅读模式
【SPOTO推荐】实现网络虚拟三步走网络, 三步走, SPOTO, 虚拟, 推荐

实现网络虚拟化的三个步骤

利用Cisco Catalyst 6500系列交换机实施三个步骤

随着各个公司扩展它们的网络规模并要求更快的应用部署和更多的存储空间,数据中心的设备数量也在显著地增长。

然而这些设备在占用了IT预算的时间和金钱的同时,相当一部分却没有得到充分的利用。那么如何分配这些网络资源才能使其更高效呢?答案就是将物理网络设备转换为虚拟资源池。/虚拟化-对单一物理网络进行逻辑分割—最初是将企业局域网业务转换成虚拟局域网(VLAN)。存储需求和容量的快速增长导致存储交换机的发展,比如Cisco MDS 9000系列多层交换机,它通过虚拟SAN(VSAN)技术将多个磁盘设备集成到了一个单一的存储区域网络(SAN)分区。现在,网络虚拟变得更智能了。随着各个公司扩展全球性的更大更复杂的数据中心,部署大量应用、与其他公司进行合作以及遵循法规要求,它们的网络需求也变得更复杂。Cisco Catalyst 6500系列交换机的虚拟化功能解决了在可扩展的分布式环境下部署应用服务和安全策略的各种挑战。

Catalyst 6500系列的新功能提供了应用和安全服务的大规模虚拟化能力。于2006年4月发布的思科应用控制引擎(ACE)巩固了多种网络设备的功能并且允许将ACE 物理资源逻辑分区成虚拟上下文(如52页图所示)。网络虚拟化可以通过三个步骤实现:接入控制,路径隔离和策略执行。


第一步,接入控制

与客户和合作伙伴不断增长的合作要求为各种应用提供多层次的接入优先权。公司办公室的访问者一般期望通过“guest”身份通过有线或无线方式接入互联网。而合作供应商,比如合同厂商有可能也为竞争对手服务,则需要在企业外部进行业务分割。这种复杂的接入需求一般是通过多层物理网络来满足的,但它也产生了大量的复杂管理需求并且需要多个物理设备和服务。

Catalyst 6500系列中的IEEE 802.1X端口验证标准将接入控制扩展到了媒体层。可以使用身份验证对入口用户或机器进行接入允许或拒绝控制并且应用业务策略。这使得用户与它们的VPN或网络分区紧密关联并且被限制在允许区域内。

位于得克萨斯州休斯顿的莱斯大学使用该功能将学生互联网接入同内部科系流量和校园间研究流量分开。“由于不断增长的教学研究和学生期望,我们需要部署安全可靠的互联网接入”,William Deigaard说,他是莱斯大学网络电信和数据中心运营的领导人。“我们采用Catalyst 6500将网络划分为多个子网并且对每个网络运用不同的策略.我们使用网络虚拟功能来管理和保护校园网络,包括以友好的、校园的方式来区分并支持访问者”。

第二步,路径隔离

网络虚拟化的第二步就是隔离各种业务流。隐私权和相关规定要求将财政和人力资源等部门应用进行分离。Catalyst 6500系列通过VLAN和第2层或第3层交换来处理这种分离,并且能够实行对封闭用户组的多种路径类型分离。这包括在校园网内(如guest VLAN接入)使用通用路由封装(GRE)隧道创建一些少量的封闭用户组;虚拟路由和转发(VRF)-由于IP地址可以在VPN间复用(每个组都能独立的使用私有IP地址),它对校园分割来说尤其实用;使用多协议标记交换协议(MPLS)通过VPN建立在网络内核上独立传输的封闭用户组(任何VPN都可以配置成连接网络中任意位置的用户和资源)。

在瑞士Unique苏黎世机场,运营人员需要一个网络支持各种应用,包括为180家公司提供公共Wi-Fi接入,航班运转以及安全的空中客流控制。典型的企业解决方案会面临可扩展性或排障方面的问题。多年前电信运营商已经开始使用MPLS VPN来提供这种类型的服务,但是大多数企业交换机却缺乏这方面的功能。Catalyst 6500系列中的虚拟化功能可以让苏黎世机场使用MPLS VPN来支持大范围的网络连接和横贯多个虚拟分区的性能需求,而所有这些都可以在一个单一的物理基础设施上实现。

“基于Cisco Catalyst 6500的网络使我们能够为苏黎世机场的各类客户,包括航空公司、机场运营和其他服务机构,提供“运营商级别”的网络服务-这是一个典型的企业网络价格的电信运营商技术。”,Peter Zopfi说,他是Unique通信工程的主管。





第一步,接入控制

与客户和合作伙伴不断增长的合作要求为各种应用提供多层次的接入优先权。公司办公室的访问者一般期望通过“guest”身份通过有线或无线方式接入互联网。而合作供应商,比如合同厂商有可能也为竞争对手服务,则需要在企业外部进行业务分割。这种复杂的接入需求一般是通过多层物理网络来满足的,但它也产生了大量的复杂管理需求并且需要多个物理设备和服务。

Catalyst 6500系列中的IEEE 802.1X端口验证标准将接入控制扩展到了媒体层。可以使用身份验证对入口用户或机器进行接入允许或拒绝控制并且应用业务策略。这使得用户与它们的VPN或网络分区紧密关联并且被限制在允许区域内。

位于得克萨斯州休斯顿的莱斯大学使用该功能将学生互联网接入同内部科系流量和校园间研究流量分开。“由于不断增长的教学研究和学生期望,我们需要部署安全可靠的互联网接入”,William Deigaard说,他是莱斯大学网络电信和数据中心运营的领导人。“我们采用Catalyst 6500将网络划分为多个子网并且对每个网络运用不同的策略.我们使用网络虚拟功能来管理和保护校园网络,包括以友好的、校园的方式来区分并支持访问者”。

第二步,路径隔离

网络虚拟化的第二步就是隔离各种业务流。隐私权和相关规定要求将财政和人力资源等部门应用进行分离。Catalyst 6500系列通过VLAN和第2层或第3层交换来处理这种分离,并且能够实行对封闭用户组的多种路径类型分离。这包括在校园网内(如guest VLAN接入)使用通用路由封装(GRE)隧道创建一些少量的封闭用户组;虚拟路由和转发(VRF)-由于IP地址可以在VPN间复用(每个组都能独立的使用私有IP地址),它对校园分割来说尤其实用;使用多协议标记交换协议(MPLS)通过VPN建立在网络内核上独立传输的封闭用户组(任何VPN都可以配置成连接网络中任意位置的用户和资源)。

在瑞士Unique苏黎世机场,运营人员需要一个网络支持各种应用,包括为180家公司提供公共Wi-Fi接入,航班运转以及安全的空中客流控制。典型的企业解决方案会面临可扩展性或排障方面的问题。多年前电信运营商已经开始使用MPLS VPN来提供这种类型的服务,但是大多数企业交换机却缺乏这方面的功能。Catalyst 6500系列中的虚拟化功能可以让苏黎世机场使用MPLS VPN来支持大范围的网络连接和横贯多个虚拟分区的性能需求,而所有这些都可以在一个单一的物理基础设施上实现。

“基于Cisco Catalyst 6500的网络使我们能够为苏黎世机场的各类客户,包括航空公司、机场运营和其他服务机构,提供“运营商级别”的网络服务-这是一个典型的企业网络价格的电信运营商技术。”,Peter Zopfi说,他是Unique通信工程的主管。

 楼主| 发表于 2006-12-8 00:41:03 | 显示全部楼层
<font size="2">思科ACE应用基础设施控制功能<br/><br/></font>思科ACE模块<br/><br/>管理界面虚拟分区A 虚拟分区B角色<br/><br/>分区定义HR域ACCT域应用<br/><br/>资源分配CRM域OPS域服务器<br/><br/>管理配置安全<br/><br/>管理工作站网络<br/><br/>监视器<br/><br/>定制<br/><br/>思科ACE增强了多种网络设备的功能<br/><br/>思科ACE模块增长<br/><br/>Cisco Catalyst 6500中的ACE能够将资源分割到250个虚拟分区中。根据客户、商务机构或者应用来定义每个分区并为各分区定义带宽或者连接数量等资源。思科ACE中基于角色的接入控制(RBAC)允许恰当的商务组织或者IT团队来管理每个分区。此外,在每个虚拟分区内,可以建立的管理域达到十个,这为虚拟分区内的资源管理提供了更高的粒度。网络小组可以配置第3层变量。可以基于应用,商务组织或者用户对每个分区实施综合或具体的安全策略。应用和服务器部分可以监控和管理它们自己的虚拟服务器而不会影响其他IT配置。应用或者服务器所有人可以基于所属组对服务器进行维护。<br/><br/>这种RBAC灵活性支持更快的服务部署,简化了IT的工作流并且减少了配置错误。集中的安全策略保证了在组织内执行的一致性并且降低了使用多种策略的复杂性和运行成本。此外,思科应用网络管理(ANM)软件(一个基于服务器的管理包)简化了思科ACE虚拟分区的管理。<br/><br/>思科ANM提供了一个统一的界面,用于配置、维护、运行和对思科ACE模块内和模块间虚拟分区进行性能监控。基于模板的配置使得各个组织可以快速进行应用分区。可以在多个分区和模块上激活多个并发管理员。分区功能简化和缩减了配置并较少了出错的可能性。<br/><br/>更多应用,更高的可用性<br/><br/>影响应用性能的重大挑战是服务器上不断增长的服务数量。安全套接字层(SSL)加密/解密,TCP优化,多层次安全检测和多媒体处理这些活动正在不断吞噬服务器的容量。<br/><br/>Cisco Catalyst 6500中的新ACE服务模块能够将应用业务均衡的加载到服务器上并且能够通过软件许可证而非上门服务的方式使其具有市场领先的吞吐量以及连接建立时间和性能可扩展性。引进虚拟分区后(每个模块可以达到250个),思科ACE允许对应用供应基础设施进行良好的控制。对每一个虚拟分区,管理员能够调整处理资源-带宽,连接建立速率,SSL事务速率,系统日志速率等-以及大量的内存资源-大量的并发连接和访问控制列表(ACL)等。因此,商务组织,顾客/订户以及应用都能够在彼此完全隔离的前提下共享一个物理ACE模块。<br/><br/>更重要的是,虚拟分区使得网络操作员只需要少量的点击即可开启一个新的应用或服务,而不用再对新设备进行繁琐耗时的选择、认证、部署和排障的过程。<br/><br/>思科ACE采用了多种优化技术。TCP连接能够被集中到单独的服务器,以便新的客户端TCP连接请求不会形成额外的服务器开销。SSL会话能够在思科ACE上直接得到处理,这能够极大的增加SSL的可扩展性并减少服务器负载。<br/><br/>可以在单一平台、数据中心内的平台或者数据中心间进行应用或者模块冗余配置。ACE使用独特的虚拟分区技术提供了在两个ACE模块间实现了应用级的保护能力。<p><font face="verdana, arial, helvetica" size="2"><br/></font></p>
 楼主| 发表于 2006-12-8 00:42:13 | 显示全部楼层
<p><span class="javascript" id="text5396465" style="FONT-SIZE: 12px;"><font face="Verdana">第三步,策略执行<br/><br/>Catalyst 6500系列中的集成服务模块可以实行集中的策略执行。比如,安全能够被虚拟化。ACE支持硬件加速检查和常用数据中心协议修复。它能够支持一百万条网络地址翻译(NAT)条目和256,000个接入控制元素,这些可以被分摊到多个虚拟分区中。此外,为了提供更广泛的协议来支持Internet/Intranet防火墙,Cisco Catalyst 6500防火墙服务模块(FWSM)也使用虚拟技术在一个物理硬件平台上提供多个逻辑防火墙。ACE模块能够与FWSM共同对防火墙流量进行负载均衡,或者针对ACE本身不支持的协议向FWSM寻求帮助。<br/><br/>总之,Cisco Catalyst 6500系列交换机的虚拟功能允许你的公司在应用、组织、工作组或者个人之间保持安全分离的同时共享网络资源。不同部门、客户和供应商的网络业务能够在无需建立覆盖网络或者单独部署设备的前提下实现逻辑分离。可以使用少量资源更快地部署关键应用。此外,还可根据IT部分分配的角色对应用基础设施进行轻松管理。</font></span></p><p><span class="javascript" id="text5396465" style="FONT-SIZE: 12px;"><font face="Verdana"></font></span></p><span class="javascript" id="text5396465" style="FONT-SIZE: 12px;"><p><font face="verdana, arial, helvetica" size="2"><span class="javascript" id="text5396467" style="FONT-SIZE: 12px;">英文原文请参看:<a href="http://www.nxtbook.com/nxtbooks/cisco/packet-3q-06/index.php?startpage=1" target="_blank">http://www.nxtbook.com/nxtbooks/cis...php?startpage=1</a></span></font></p></span>
发表于 2006-12-8 07:45:07 | 显示全部楼层
<p>楼主能不能先介绍下什么是ACE</p>
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|熊猫同学技术论坛|小黑屋| 网络工程师论坛 ( 沪ICP备09076391 )

GMT+8, 2024-11-22 14:30 , Processed in 0.072979 second(s), 18 queries , Gzip On.

快速回复 返回顶部 返回列表