一个逻辑路由器(LR)使用硬件分区创建多个路由实体在一个设备上。LR可以运行在不同的处理器在不同的卡片上的路由器。所有底层硬件和软件资源,致力于LR。这包括网络处理器、接口和路由和转发表。LRs提供优秀的故障隔离,但需要丰富的硬件来实现。
一个虚拟路由器(VR)使用软件模拟创建多个路由实体。底层硬件路由器之间共享不同流程(注意,我们的意思是一个完整的实例的IOS的nonkernel部分,没有一个路由器进程)。在实现虚拟路由器,用户只能查看和更改的配置和统计“他们”的路由器。
注意:前面的定义和图4 - 2来自rst - 4314 2004网络用户”的进步路由器体系结构:CRS-1 IOS-XR,”大卫·Tsiang大卫病房。
从前面的列表图4 - 2,给一个图形工具和LRs之间的区别,你可以看到,只有LR完全虚拟化。因为成本的额外的硬件和设备管理,LRs往往是高端系统。虚拟现实是一种基于软件的虚拟化解决方案,所有任务共享相同的硬件资源。
在这两种情况下,什么是虚拟化可以不同的粒度。有些实现允许多个路由器进程(例如,每个客户一个虚拟域),别人让你为任务分配资源(LR边界网关协议(东方)运行在一个硬件子系统和中间System-to-Intermediate系统到底是什么——却在另一个,例如)。
逻辑与虚拟路由器
多联机的意识
现在有多个路由和转发路由器上的实例,许多路由器子系统使用这些表中的信息(这是一长串)需要成为“多联机知道。”一个VRF-aware feature can be configured to refer to routing and forwarding information from a specific VRF and understand that only certain subinterfaces can be used with certain VRFs. Without this information, the feature uses the global table. For example, to assign an interface to a VRF, the basic接口ip地址命令修改参数多联机的名字,成为ip地址多联机的名字转发。
注意:多联机的意识是一个重要的实现细节。不幸的是,不存在规范列表VRF-aware特性(列表持续增长),所以最好的方法是检查最新的在线文档或纠缠你的思科的代表。
如果一个特定的应用程序需要的所有功能是多联机,可以使用多联机仿真虚拟现实,因此提供虚拟化设备功能。这是使用的方法你会看到这本书的设计部分。
层2:vfi
VFI是特定于服务的分区将附件相关联的一个开关电路形式的vlan虚拟交换接口(vsi)。
如果没有多大意义,它是有用的对服务本身有一些背景,即虚拟专用局域网服务(vpl),了解vfi。
vpl是一层2局域网服务提供的服务提供商(SPs)在WAN连接以太网设备。客户设备(调用它们客户边现在(CEs);我们在第5章详细回顾这个,“基础设施分割架构”)都是以太网交换机。然而,SP使用第三层网络运行多协议标签交换(MPLS)来提供这项服务。该装置边缘的SP网络被称为提供者边缘(PE)。其角色映射以太网流量从客户局域网MPLS隧道,连接到所有其他的PEs的相同的服务实例。PEs的全网状连接隧道和行为逻辑开关,称为逆变器。另一种思考这个问题的方法是看vpl服务跨WAN连接的以太网端口的集合。VSI是一组港口形成一个单独的广播域。
在许多方面,VSI的行为就像你希望普通的开关。当一个体育接收以太网帧从一个客户的设备,它首先学习源地址,将任何开关,在查看目的地MAC地址和之前转发帧。如果端口映射的目的MAC地址是未知的,或者是一个广播,帧被发送到所有PEs VSI的一部分。PEs使用分割地平线避免创建循环,反过来意味着不需要生成树在SP网络。
显然,先前解释隐藏了大量的细节,但它足以给的高级视图。
再一次,需要定义和管理组隔离开关的端口和通道。VLAN构造太有限,多联机是严格意义上的第三层,因此有必要提出一个新的虚拟设备结构vpl,称为VFI。
所有形式的PEs的VFI列表地址VSI。回想一下,vpl使用点对点的隧道的全网状inter-PE连接,所以将连接到每个PE上市。面向客户的港口地图vlan VFI名称。例4 - 6显示了一个短配置提取,将使这一过程更清晰。图4 - 3显示相应的网络拓扑。粗线表示运行在MPLS主干网和连接的VLAN vsi的体育设备。CE开关”认为“他们通过802.1 q树干VLAN100相连。每个体育之间的细线是实际pseudowires中定义l2 vfi声明4 - 6的例子。
注意:pseudowire是一个隧道。这个术语通常用于一层2的背景下服务。
vpl拓扑
例4 - 6VFI配置
100年的邻居13.13.13.13 l2 vfi VPLSA手动vpn id。封装mpls邻居12.12.12.12封装mpls接口环回1 ip地址11.11.11.11 255.255.255.255接口fastethernet1/0 switchport switchport模式dot1qtunnel switchport访问vlan 100接口vlan 100没有ip地址xconnect vfi VPLSA
vpl配置有两个组件。第一,我们已经提到,定义了网格的pseudowires一起作为虚拟交换机。第二个地图VSI使用VLAN干线港xconnect命令。这个出现在4 - 6的例子。
虚拟防火墙上下文
设备虚拟化不仅限于交换机和路由器。最后一个例子,考虑一个防火墙设备。本质上是经济原因,您可能需要多个不同客户之间共享一个防火墙或网络段。每个逻辑防火墙需要一套完整的政策,为传入和传出的交通专用接口,用户授权管理防火墙。
今天许多供应商提供此功能,无疑有自己的,精心挑选的名字,但在思科防火墙上下文是指一个虚拟防火墙。与多联机、vfi或vlan,上下文是一个设备的仿真(虚拟现实概念的一个例子在本章前面所讨论的)。
防火墙环境有点不同寻常的方式分配一个包一个上下文。我们看到了到目前为止所有的分区有静态分配的接口(你可以为一个多联机动态分配IP数据包。我们封面之后)。防火墙模块看着传入数据包的目的地IP地址或以太网VLAN标记来决定哪些包属于上下文。所有的防火墙需要的两个领域是独一无二的。所以,要么每个上下文都有一个唯一的IP地址空间在其接口或地址空间是共享的,但每个上下文不同的VLAN。
图4 - 4显示了一个简单的设置和一个以太网交换机连接到防火墙中使用两个vlan。交换机的vlan结合多联机蓝色(顶部)和多联机红色。防火墙有两个不同的上下文中。蓝色的接收所有帧VLAN 101和红的VLAN 102。通过这种方式,包从外面(右边的图),属于VLAN 101通过一组不同的防火墙规则比属于VLAN 102。
多联机在开关连接到防火墙在vlan上下文
网络设备虚拟化总结
真正的设备虚拟化允许资源分配给任务,或应用程序。我们看了四个不同的原语,虚拟化在交换机或路由器的转发路径:VLAN、VFI第二层,第三层的多联机,防火墙的上下文。这些功能略有不同。多联机拥有最广泛的改编作品与其他特性,我们使用广泛的设计部分。覆盖数据通路虚拟化之前,一个词对数据中心设计。雷竞技电脑网站我们专注于网络设备只在这本书中,不解决服务器和存储虚拟化的细节,这是两个重要的主题在他们自己的权利。
数据通路的虚拟化
连接设备与私人路径在一个共享的基础设施是一个众所周知的问题。SPs与不同迭代的VPN解决方案解决了这个。不足为奇的是,我们可以使用相同和适应这些协议在企业网络创建虚拟化的第二层和第三层连接使用公共交换基础设施。在本节中,焦点是压倒性的更相关,而菜单的协议建立VPN。其中一些部分是许多读者的评论,尤其是材料802.1 q,通用路由封装(GRE), IPsec,我们不把这些主题空间。然而,我们也包括标签切换(也称为MPLS)和第二层隧道协议版本3(L2TPv3),这可能是不太熟悉,因此会详细介绍。
注意:除了引用列在书的最后,我们有兴趣的读者参考附录A,“L2TPv3扩大覆盖面,”关于L2TPv3的更多细节。
2层:802.1 q中继
你可能不认为802.1 q的数据通路虚拟化协议。但是,802.1 q协议,插入一个VLAN标签以太网链接,保证地址空间分离的重要属性在网络接口。
显然,这是一个2层的解决方案,每一跳必须单独配置允许802.1 q跨网络的连通性。因为一个VLAN是一个广播域的代名词,端到端VLAN通常避免的。
通用路由封装
GRE考试提供了一个方法,封装任意数据包的协议类型的数据包(RFC使用另一种类型的表达式X / Y,这是一个精确的描述要解决的问题)。来自上层的数据被称为载荷。底层称为交付协议。GRE允许私人运输网络数据共享,可能是公共基础设施,通常使用点对点的隧道。
尽管GRE是一个通用的X / Y的解决方案,它主要是用来传输IP / IP(用于微软轻轻修改版本点对点隧道协议[PPTP],最近,我们看到GRE用于运输MPLS)。GRE也用于运输遗留协议等互联网络数据包交换(IPX)和可路由协议组,在IP网络和2层框架。
GRE,在RFC 2784中定义的一个简单的标题,正如你所看到的图4 - 5。
GRE头
第二个2头包含的八位字节负载协议类型,编码使用互联网地址分配机构的(IANA)以太网数字(你可以找到最新版本http://www.iana.org/assignments/ethernet-numbers)。IP是x800编码为0。
最简单的表达式GRE的头是一个协议类型字段。所有前面的字段通常是0,后续可以省略。你可以找到免费的实现工作只有2第一个八位字节,但所有4应该得到支持。
GRE纯粹是一种封装机制。数据包到达隧道端点是如何离开完全取决于用户。没有控制协议,没有会话状态维护,没有会计记录,等等;这简洁,简单允许将GRE考试容易实现在高端硬件系统。随之而来的缺点是GRE端点没有知识的发生在隧道的另一端,甚至是否可以。
历史悠久的机制检测隧道可达性问题是运行动态路由协议在隧道。路由协议(RP) keepalives下降如果隧道,和RP本身将宣布你的邻居为遥不可及的,试图绕过它。你会失去很多的数据等待一个RP这样和reconverge检测问题。思科keepalive选项添加到它的GRE考试的实现。这个选项通过隧道发送一个数据包在一个可配置的时期。一定数量的错过后keepalives(数量是可配置的),路由器声明了隧道接口。一个路由协议将检测接口事件并做出相应的反应。
GRE的缺乏控制协议也意味着,基本上没有成本保持静止隧道活跃。同行交换状态信息,必须封装数据包到达时。此外,像所有我们讨论的数据通路虚拟化机制,核心网络的隧道穿越的数量。所有这些工作都是针对边缘。
我们不想表明GRE VPN相当于一个普遍的溶剂。有一个成本处理GRE-encapsulation /被膜剥除术,路由查找,但是它的数据路径。
GRE IOS配置
思科设备,普通GRE端点接口。这个看似无害的声明中充满了意义,因为任何思科IOS,需要看到一个接口(路由协议,访问列表和更多)将在GRE隧道自动工作。
例4 - 7显示了GRE端点配置,对应R103路由器的图4 - 6。
GRE拓扑
例4 - 7R103 GRE配置
接口Tunnel0 ip地址40.0.0.1 255.255.255.0 192.168.2.1隧道源Serial1/0隧道的目的地