6.9 虚拟化的整体架构
Cisco防火墙
上文已经对各类虚拟化技术进行了具体的介绍,现在我们需要将视野扩展到那些可以充当虚拟化解决方案基础的案例中。本章会介绍一些将不同的虚拟化技术组合使用的方案,其目的是为了搭建一个端到端的虚拟化架构。
6.9.1 FWSM与ACE模块的虚拟化
在数据中心虚拟化的大环境中,Cisco应用控制引擎(ACE)模块可以与FWSM进行类比。在典型的部署环境中,FWSM可以提供防火墙服务,而ACE模块则负责服务器负载均衡(SLB)工作。
图6-15显示了服务模块VLAN划分的分层特性,以及Catalyst 6500上的虚拟防火墙。起初,6500从VLAN池中(其包含了约4000个VLAN)选取出了一组VLAN,并将它们分配给了各个物理模块。接着,子VLAN池会被分配给相应的虚拟防火墙。
图6-15所示为一台安装了一个FWSM模块和一个ACE模块的Catalyst 6500的VLAN分配方案。该图的重点在于,这是一个非常方便实用的方案,它不仅清晰地定义了IP子网的结构分层,同时也定义了VLAN的编号规则。
12XX范围中的VLAN(vlan-group1)留作Catalyst 6500 MSFC与FWSM outside接口之间的连接。
13XX范围中的VLAN(vlan-group2)留作FWSM inside接口与ACE模块 outside接口之间的连接。
属于vlan-group3的VLAN(范围为14XX)被分配给了ACE模块处理的服务器集群。
在划分VLAN上所下的功夫会在日常运维时得到报偿(排错更加方便,因为VLAN所在的层可以很快通过VLAN号找到)。即使一开始不需要创建很多虚拟防火墙,使用合理的方式进行编号也可以给未来的扩展工作带来便利。
图6-16进一步显示了图6-15中的分配方案,它显示了名为INTERNET和INTRANET的两个虚拟结构(它们都使用了ACE和FWSM上的常规虚拟防火墙,并且使用了MSFC上的专用VRF)。管理结构使用的是服务模块上的admin-context和MSFC中的全局表。
6.9.2 分段传输
图6-17所示的网络虚拟化方案旨在将去往数据中心的用户组流量进行分段。
在接入层交换机(或无线接入点)上,管理员根据用户请求访问的作用,将端口划分进不同的VLAN。验证用户身份是通过802.1X或NAC(网络准入控制)等机制实现的。VLAN分配最好能够反映一个组中的用户执行其任务所需的优先权级别。
在这个方案中,接入层设备会通过传输用户VLAN的802.1Q trunk连接到分布层交换机(用户VLAN会动态分配给用户端口,但需要在trunk上进行定义)。
VLAN接口会与定义用户组的VRF进行关联。为了简便起见,这里只显示了两个用户组。
VRF会使用MPLS VPN或GRE隧道(与VRF绑定)等技术,以分段的方式穿越核心层传输数据。
每个user-group都只能访问数据中心两部分虚拟资源其中之一,这可以通过VRF、FWSM和ACE虚拟防火墙来实现(请参考图6-16来了解这些虚拟成份的部署示例)。
6.9.3 虚拟设备与Nexus 1000V
服务器端的虚拟化已经颇有一些历史了。最著名的案例是通过ESX平台实现的VMWARE解决方案。自Cisco Nexus 1000V虚拟交换机问世以来,这个经典解决方案得到了进一步的拓展。
图6-18对Cisco Nexus 1000V和VMWARE ESX之间的关系进行了高度的概括。
每台运行ESX的物理服务器上都安装了虚拟以太网模块(VEM),以取代VMWARE虚拟交换机的作用。该软件在模块化LAN交换机上充当接口模块的作用。
设备会按照物理服务器上的每个虚拟设备都连接了VEM模块的一个端口的方式对信息进行处理。
虚拟管理程序模块是一个外部管理方案,它的作用就是充当模块化LAN交换机的管理程序。
原ESX解决方案的这件附加装置可以实现一些此前只能在物理交换机上使用的管理和安全特性。如果使用Nexus 1000V,管理员就可以为不同的VM分别部署下列特性:
端口安全;
DHCP嗅探(DHCP snooping);
动态ARP监控(Dynamic ARP inspection);
IP源保护(IP Source Guard);
私有VLAN;
端口镜像(SPAN);
Netflow v9;
QoS特性(如802.1q CoS标记及速率限制)。
上述内容只是对Nexus 1000V进行了简要的介绍。如果读者正在(或准备)使用VMWARE ESX平台,那么多了解一些这个强大方案的内容是很有必要的。
此外,读者不妨尝试部署一下最后一节中的解决方案,搭建一个端到端的虚拟化架构。