什么是网络虚拟化？网络虚拟化包含哪些技术？一文便知！

多租户每天都变得越来越重要，它不仅是服务提供商，即使在企业中，我们也需要考虑多租户。

租户是独立的客户，这些可以是内部客户，例如拥有各种院系的大学校园，或者是带有访客网络、研发部门和承包商接入的办公楼，它们都需要共享一个共同的基础设施，但必须是分开的。

这种分离要求我们提供逻辑网络，在共享基础架构上创建这些逻辑网络称为网络虚拟化。

虚拟网络

网络中的虚拟化并不新鲜，例如，VLAN 从一开始就存在，但是，VLAN 的范围有限，并且不能在整个网络层次结构中扩展。

VPN 创建端到端的虚拟网络，不要在这里混淆，这与您在家工作时拨号的 Internet VPN 不同，这里的 VPN 是企业内的虚拟网络，这可能包括 MPLS、GRE 隧道或 VLAN 中继的某种组合。

这样做的一个主要优势是能够扩展和适应虚拟网络，至于底层基础架构，它会随着您的虚拟网络的增长而横向扩展。

虚拟网络由三个主要组件组成：

• 边缘，又名访问控制
• 路径，又名路径隔离
• 服务，又名服务边缘

访问控制

访问控制是指将用户和设备分配到特定的虚拟网络，这是在网络边缘，这就是为什么这也被称为边缘控制。

一种简单的方法是将端口静态分配给虚拟网络，问题是这是一个非常手动的过程，此外，漫游设备会更改端口，这不适用于此解决方案。

另一种选择是使用 802.1X 来识别连接到边缘的设备和用户，然后将用户和设备添加到正确的虚拟网络。

路径隔离

用户和/或设备现在位于本地交换机上的正确网络中，下一步是将它们保持在跨基础架构的同一个虚拟网络中。

这是我们使用覆盖技术的地方，GRE、MPLS 或 VxLAN 等技术可确保流量独一无二。

服务边缘

服务边缘代表您提供给用户的服务，例如，Web 服务、邮件服务等，这些通常位于数据中心或服务器群中。

这就像访问控制，它们仍处于网络边缘，但通常是受信任的设备。

控制对服务的访问是这里的重点。

路径隔离

不同的隔离技术适用于网络的不同部分。

边缘使用 VLAN 进行流量分离，做这件事有很多种方法：

• 手动，其中每个端口都分配了一个 VLAN
• 802.1X，在用户和设备进行身份验证时分配 VLAN
• MAC 身份验证和旁路 (MAB)，允许漫游，交换机根据主机的MAC地址分配VLAN
• WebAuth，用户需要在网页上进行身份验证

但是 VLAN 本身并不能提供可扩展的端到端虚拟网络 (VN)，流量离开第 2 层域，并通过核心路由。

这就是为什么我们也需要第 3 层 VN，这就是 VRF 发挥作用的地方，VRF 位于第 2 层和第 3 层之间的边界，在第 2 层和第 3 层设备之间的 VLAN 中中继传输流量。

每个租户都应该有自己的隔离路由表。

现在是时候考虑跨核心传输流量了，为此，有几个选项，有些选项是 hop-by-hop，其中每个设备都需要特殊配置。其他方法是 multihop，它允许更好的缩放。

逐跳选项

VRF-Lite

VRF 位于每个第 3 层设备上，在第 3 层边缘设备上，VLAN 映射到 VRF。

每个第 3 层设备上的每个 VRF 都有一个单独的路由实例，分布层和核心层之间运行单独的中继链路以承载 IGP 流量，每个 IGP 实例在中继上都有自己的 VLAN。如果可能，请使用子接口与邻居进行对等互连，SVI 也是可以接受的。

这是一个非常手动的过程，不能很好地扩展，这最适合小型网络。

简易虚拟网络 (EVN)

EVN 是 Cisco 专有的解决方案，可简化配置，VRF 仍然在每个设备上配置，使其成为逐跳解决方案。

动态路由不需要常规中继，相反，交换机之间有一个特殊的 VNET 中继。这为对等互连创建了子接口，从而简化了配置。

流量获得 VNET 标记。这允许接收路由器知道流量属于哪个本地 VRF。

多跳选项

GRE隧道

在每一跳配置 VRF 并不总是可行的，一方面，并非所有设备都支持 VRF，此外，如果网络增长，这可能是管理上的噩梦。

此处的替代方法是仅在第 3 层边缘路由器上创建 VRF，然后，构建跨核心的 GRE 隧道，连接这些设备，它们可能是点对点或点对多点隧道。

租户在网络上有自己的隧道，保持他们的流量分开。

不利的一面是这会增加隧道端点的开销。当您想将访客流量与内部流量分开时，这可能是一个很好的解决方案。对于许多 VN 来说，它不能很好地扩展。

MPLS核心

在核心中运行 MPLS 是令人兴奋的地方，这是 MP-BGP 和 LDP（标签分发协议）的组合。

第 3 层边缘路由器仍将客户流量放入 VRF。然后标记流量，以识别它属于哪个租户，当流量通过核心时，它保持唯一。当它到达网络的另一端时，标签会识别要放回租户 VRF 的流量。

此解决方案具有很强的可扩展性，因为它不需要所有 VRF 都位于每个路由器上，此外，不需要额外的 VLAN 中继或静态隧道。

这也允许租户 IP 寻址重叠而不会引起冲突。

此解决方案的缺点是并非所有设备都支持 MPLS，这会使解决方案更加昂贵。

此解决方案的替代方案是运行另一种覆盖类型，例如 VxLAN，VxLAN 更常用作数据中心解决方案。