设备-如何在设备内部维护流量隔离?第2层、第3层或第4层流量使用的基本类型是什么?
数据通路-如何跨网络路径实施流量隔离?有哪些工具可用来维护网络上的隔离?
控制平面- 因为数据路径虚拟化基本建立覆盖拓扑,需要什么样的变化进行正确的路由协议功能?
本章不包括体系结构,拓扑结构或设计。本章的目的是为了确保您在使用它之前了解该技术。(世界将是一个更好的地方,如果是普遍适用这一原则)。
本章的每个部分的一般格式是与协议技术的讨论开始,突出任何重要细节,有一些有限的配置示例。
网络设备虚拟化
一个的VN的特性是,它提供什么是在共享的基础设施的一组的成员之间的基本上专用通信路径。这为网络基础设施的两个要求:
来自一个组的流量永远不会与另一个组的流量混合- 用于发送和接收通过共享链路流量,隧道(许多从现有借虚拟专用网络[VPN]溶液)可以保证数据的分离。网络设备需要执行组分离在其内部存储器(例如,在路由表中查找,访问列表处理,或NetFlow统计数据收集)。
每个VN有一个独立的地址空间-这一要求源于VNs提供与物理网络相同的特性这一事实。地址空间和其中的转发是任何网络最基本的两个方面。
注意:在本节中,我们先从设备虚拟化的狭义定义如创建网络设备内的单独的地址空间。但是,你可以认为这是一个虚拟化的设备,这是设备资源分配给不同用途的能力管理员的一个更一般的定义的一个特例。我们考虑的第一个设备资源是地址空间,但我们通过章节和书籍都进行,我们包括的设备策略控制机制不同的层,如服务质量(QoS)和安全规则。因此,虚拟设备的最终图像将更接近一般定义。
首先要解决的问题是如何将转发平面虚拟化,使其满足地址和流量分离的要求。根据设备类型的不同,虚拟分隔可以通过以下名称进行:
虚拟局域网(VLAN)
虚拟路由和转发(VRF)
虚拟转发实例(VFI)
虚拟防火墙上下文
第2层:VLAN的
VLAN是一块虚拟化难题,已经有相当一段时间的一个很好的例子。VLAN是端口形成单个广播域的开关上的逻辑分组。在一个VLAN端口只能在同一个VLAN中的其他端口进行通信。一个给定的开关请问这个是依赖于实现的,但一个共同的解决方案是因为它到达一个端口上的开关来标记一个VLAN号每一帧。当一个帧被发送到其他端口,输出硬件拷贝包只有当它被配置成与在该帧中携带的VLAN号码。
上的以太网交换机,通常存在单个MAC表,它映射端口MAC地址。支持VLAN(和简单的二层虚拟化),MAC表具有用于在其上台被发现,如实施例4-1中所示的VLAN号码的字段。
例4-1开关MAC表
显示mac地址表…非静态地址表:目的地址地址类型VLAN目的港- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 0010.0 de0。e289 Dynamic 1 thernet0/1 0010.7b00.1540 Dynamic 2 thernet0/5 0010.7b00.1545 Dynamic 2 thernet0/5 0060.5cf4.0076 Dynamic 1 thernet0/1 0060.5cf4.0077 Dynamic 1 thernet0/1 0060.5cf4.0077 Dynamic 1 thernet0/1 0060.70cbf301动态1 thernet0/1 00e0.1e42.9978动态1 thernet0/1 00e0.1e9f3900动态1
注意:注意,在实施例4-1的输出被取自http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_command_reference_chapter09186a0080417db7.html#wp1021274。
VLANs的总体效果是将交换机划分为逻辑层2域。每个域都有自己的地址空间,来自一个域的包与另一个域的包是分开的。
层3:VRF实例
的VRF是层3 VLAN是二层和路由器内界定出IP网络的域。思科网站有一个更正式的定义:
VRF-A的VPN路由/转发实例。一个VRF包括一个IP路由表,派生转发表,一组使用转发表的接口,以及一组规则和路由决定什么进入转发表协议。
不像VLAN场景,其中在MAC表中的额外的列是足够的,一个VRF分区的创建多个路由表和多个转发实例路由器。专用接口被绑定到的每个VRF。
图4-1示出了路由器的具有两个VRF的一个简单的逻辑表示:红色和绿色。所述RED表可以转发接口E1 / 0,E1 / 2和S2 / 0.102之间的数据包。的GREEN表,在另一方面,向前接口E4 / 2,S2 / 0.103,和S2 / 1.103之间。接口不能在多个VRF在同一时间。
在路由器的多个VRF
你可以看到图4-1VRFs如何在路由接口之间提供独立的层路径。红包永远不会出现在绿色界面上。
注意:有一种方法来VRF之间共享路由,但是这超出了本介绍的范围。有兴趣的读者请参阅附录中的参考有关的专门著作多协议标签交换vpn(MPLS vpn)。
这是很容易看到一个路由器上的VRF。实施例4-2示出了红色和绿色的VRF,与它们接口。实施例4-2示出了在串行接口重叠的IP地址。实施例4-3给出了同样的数据的接口为中心的视图。
例4-2显示的VRF
路由器#显示ip多联机名称默认RD接口RED 100:1端口Ethernet / 0,端口Ethernet / 2,Serial2 / 0.102 GREEN 100:2 Serial2 / 0.103,Serial2 / 1.103,以太网端口Ethernet4 / 2实施例4-3显示接口到VRF映射路由器#显示IP VRF接口接口IP-地址VRF协议端口Ethernet / 0 130.22.0.33 RED向上端口Ethernet / 2 130.77.0.33 RED向上Serial2 / 0.102 130.77.0.33 RED向上Serial2 / 0.103 130.77.0.33 GREEN向上Serial2 / 1.102 130.77.0.33 GREEN向上以太网端口Ethernet4 / 2 130.22。0.33绿起来路由器#
谎言和肋骨
看着一个VRF路由信息之前,我们需要引入路由表中的两个主要数据结构,这是用来找到一个给定数据包的出口接口:转发信息库(FIB)和路由信息库(肋骨)。路由器维护一个路由表的日子已经一去不复返了,在这个路由表上,它可以对目标IP地址进行线性的、最长前缀的搜索。
FIB是用于转发信息包的信息数据库。当包在路由接口上接收到时,路由器在FIB中查找目标地址,以查找包的下一跳。
FIB结构对于解决最长前缀匹配特别有效,而且Cisco IOS解决所有路由重定向,这样一次查找就可以为包的下一跳提供入口。Cisco文献在介绍FIB时经常提到邻接概念。一个邻接是网络中任何一个可以通过第二层跳到达的节点。碰巧Cisco IOS还维护了邻接的数据结构,其中包含接口和MAC层为所有可能的下一跳重写信息等内容。FIB条目指向邻接表,在本章的其余部分中,我们将这两个条目组合在一起,并简单地引用FIB。基于硬件的转发路径和FIB一样使用了这个概念思科表达转发(CEF)。
因为它包含第2层和第3层的信息,该FIB可以通过几个信号源,如路由协议和被更新地址解析协议(ARP)更新。
RIB是存储结构,它包含经典的路由数据。肋骨可以包含递归路线。如果一个数据包的目的地是不是在FIB,路由器“平底船”包一个缓慢的处理路径,并使用RIB解决了目的地下一跳。
当您启用的VRF,也有在FIB和肋骨的信息的多个实例。你可以看到路由信息显示IP路由VRF名称命令,如例4-3所示。除了标识VRF的第一行之外,与常规的没有区别显示IP路由输出。
例4-3VRF路由表信息
R104#显示IP路由VRF RED路由表:RED代码:C - 连接,S - 静态,R - RIP中,M - 移动,B - BGP d - EIGRP,EX - EIGRP外部,-O - OSPF,IA - OSPF间区域N1 - OSPF NSSA外部类型1,N2 - OSPF NSSA外部类型2 E1 - OSPF外部类型1,E2 - OSPF外部类型2 I - IS-IS,苏 - IS-IS摘要,L1 - IS-IS级别1,L2 - IS-IS LEVEL-2ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 20.0.0.0/24 is subnetted, 1 subnets O 20.0.0.0 [110/11121] via 40.0.0.1, 00:00:02, Tunnel0 40.0.0.0/24 is subnetted, 1 subnets C 40.0.0.0 is directly connected, Tunnel0 30.0.0.0/24 is subnetted, 1 subnets C 30.0.0.0 is directly connected, Ethernet0/0
在VRF任何路由条目中的相邻部分必须解决不同的接口,即使该接口上的IP地址是相同的。实施例4-4具有从全局路由表40.0.0.2 FIB表项,和实施例4-5具有用于RED VRF相同的信息。这些例子是故意简单,但是你可以使用显示IP CEF转发VRF名称详情命令细读FIB在其所有的荣耀。
例4-4用于全局路由表的FIB输出
R104#显示IP CEF前缀Next Hop接口0.0.0.0/0 drop Null0(默认路由处理程序条目)0.0.0.0/32 receive 40.0.0.0/24 attached Loopback1 40.0.0.0/32 receive 40.0.0.2/32 receive 40.0.0.255/32 receive
实施例4-5FIB输出的VRF RED
R104#显示IP CEF VRF RED前缀下一跳的接口0.0.0.0/0降NULL0的(默认路由处理程序入口)0.0.0.0/32接收40.0.0.0/24附Tunnel0 40.0.0.0/32接收40.0.0.2/32接收
这个词全球被用来指不在一个VRF,如“全球路由表”或路由实例和表格“全局地址空间。”
当讨论的VRF,这是经常听到关于资源分配的问题,比如“如何在VRF之间分配路由器资源?”这是一个很自然的问题,即使它是不符合逻辑!有没有特殊的规则,优先从一个VRF的数据比其他VRF的数据处理速度更快。一个VRF存在于设备的记忆层,而不是在调度飞机,这是每个VRF流量优先级需要。
注意:创建一个VRF不会自动消耗的内存量显著。然而,预期的是,你将路由添加到VRF的,在这种情况下,要小心,条目的虚拟路由表的总和不超过设备的容量。事实上,这是不是从管理路由表的大小标准的最佳做法大不相同。
流量处理根据相同的规则没有的VRF的设备上发生的情况:
流量进入路由器。
进入策略被应用。
路由和转发查找发生。
实施出口政策。
流量转发。
显然,入口和出口策略可以包括对进出特定接口或地址的流量进行优先级排序的QoS语句,但数据包属于特定VRF这一事实对这些策略没有影响。它只是改变了前面列表的步骤3中发生的事情。
根据策略标准将接口或包流绑定到特定的VRF要常见得多。例如,来自某个用户域的所有接口都绑定到单个公司VRF,或具有10.0.0.0/8源地址的数据包绑定到来宾VRF。我们将在一些设计章节中详细讨论这一点。