虚拟网络是虚拟系统的干线,连接组成虚拟提供的服务器和存储设备。但是,虚拟系统通常仅限于一个设施使用,因此虚拟系统也是如此。虚拟路由和转发技术(VRF)能够创建一个包含位于多个地点的组件的一个单一的虚拟系统。
虚拟系统已经变得很流行了,因为它们能够带来如下灵活性和节省成本的好处:
1、虚拟网络能够让管理员把一个物理连接分为多个虚拟连接。每一个虚拟连接都完全是相互独立的。一般来说,一个虚拟网络将专门用于一个具体位置的通讯或者专门用于一组用户的通讯。
2、由于这种应用组合有很多变化并且处理一天的工作量,网络通讯的方式就改变了。虚拟网络管理员能够对在一个连接上的每一个应用分配不同的带宽。此外,多个物理连接结合在一起能够提供没有一个单个的物理连接能够提供的充足的带宽。
把局域网划分为多个虚拟网络的技术是IEEE(国际电气电子工程师学会)在90年代开发并且制定标准的。这些技术已经广泛应用了。
IEEE 802.1q标准定义了一个单个的局域网如何划分为多个虚拟局域网。IEEE 802.1p标准是与IEEE 802.1q标准一起使用的。这个标准规定了通讯的八个优先等级。网络管理员为通讯分配合适的优先等级以便为每一个应用提充分的带宽。
但是,虚拟局域网是一种2层技术。把2层网络扩展到更广泛的领域的技术确实存在,但是,虚拟局域网是一种广播域。随着装载太多的节点和太多的通讯,广播域有效的吞吐量将缩小。一个大型虚拟局域网必须使用3层路由协议分成若干网段以便保持可管理性。
具有VRF功能的路由器细分一个虚拟网络
VRF把一个路由器或者3层交换机细分为多个独立的虚拟设备。每一个虚拟路由器支持一个单个的虚拟网络。
虚拟路由器支持OSPF或者BGP等标准的路由协议。每一个虚拟路由器上的路由协议操作与同一个物理设备上的其它虚拟路由器上的路由操作都是互不相干的。每一个虚拟路由器都有一套单独的路由和转发表,没有必要让所有的虚拟路由器都支持同一套路由协议。
由于单个的虚拟网络完全是独立的,网络地址解析和防火墙等功能必须要为每一个虚拟网络独立操作。配置VRF功能的路由器中的网络地址解析和防火墙功能在一个虚拟路由器中运行。因此,每一个虚拟网络都能够有自己的防火墙政策和保持一个独立的IP地址空间。
配置VRF功能的路由器向MPLS提供网关
一个MPLS(多协议标签交换)网络经常提供站点之间的广域网连接。MPLS能够让网络管理员质规定提供的带宽和服务质量。每一个站点的一个或者更多的用户边缘路由器连接到一个或者更多的提供商边缘路由器的MPLS网络。用户边缘路由器和提供商边缘路由器都必须支持VFR。
在最简单的配置中,要使用多台用户边缘路由器,每一台路由器支持一个单个的虚拟网络。但是,这种配置不可能把带宽从一个虚拟网络转移到另一个虚拟网络。
要获得转移带宽的能力,一台单个的用户边缘路由器能够通过一个单个的物理链路连接到一个单个的提供商边缘路由器。来自所有虚拟网络的通讯都经过这个链路,因此,这个链路上的带宽分配就可以修改以满足不同工作量的需求。单个虚拟网络要设置为每一台路由器上的单个接口中的子接口。
更常用的是,多台客户边缘路由器连接到多台提供商边缘路由器以保持转变带宽的能力并且在一旦发生一个连接中断的时候增加保护措施。在这种情况下,所有的用户边缘路由器和提供商边缘路由器都支持所有的虚拟网络。VRF是独立于连接类型的技术。因此可以选择任何支持需要的总吞吐量的连接技术。
在需要加密和身份识别的地方,IPsec(IP网络安全协议 )等隧道协议比虚拟局域网更合适。考虑一下在一个远程站点的一个人力资源工作人员的情况。他或者她可能是那个站点惟一获准访问中心人事数据库的雇员。这个数据库的信息性质需要安全的访问。
一个IPsec隧道把来自那个人力资源工作人员的工作站的通讯传送到一台具有VRF功能的路由器。正如在一个虚拟局域网中的情况那样,这个隧道设置为那台路由器上的子接口。接下来,这个通讯从广域网传送到支持VRF的另一台路由器并且最终传送到连接人事数据库的链路。
在校园网络中的VRF
在3层交换机中的VRF功能能够用来连接校园网络内的虚拟局域网。当一个校区范围的虚拟网络太大以致于不能保持一个单个的广播域的时候,必须进行细分。可以使用支持VRF的3层交换机把这个虚拟网络细分为若干个虚拟局域网,每一个虚拟局域网的规模都是可以管理的。
随着网络管理员获得更多的经验,虚拟系统将增加更多的服务器和存储设备,组件将分布到更广泛的区域。VRF是用于细分连接虚拟服务器和存储设备的虚拟网络的使能技术。
