设备- 如何被分道内部维护的设备吗?什么是用于第2层的原语,3层或4层的流量?
数据路径-如何跨网络路径实施流量隔离?有哪些工具可用来维护跨网络的隔离?
控制平面- 因为数据路径虚拟化基本建立覆盖拓扑,需要什么样的变化进行正确的路由协议功能?
本章不涉及架构、拓扑或设计。本章的目的是确保您在使用该技术之前理解它。(如果这一原则得到普遍应用,世界将会变得更加美好。)
本章的每个部分的一般格式是与协议技术的讨论开始,突出任何重要细节,有一些有限的配置示例。
网络设备虚拟化
一个的VN的特性是,它提供什么是在共享的基础设施的一组的成员之间的基本上专用通信路径。这为网络基础设施的两个要求:
来自一个组的流量永远不会与另一个组的流量混合- 用于发送和接收通过共享链路流量,隧道(许多从现有借虚拟专用网络[VPN]溶液)可以保证数据的分离。网络设备需要执行组分离在其内部存储器(例如,在路由表中查找,访问列表处理,或NetFlow统计数据收集)。
每个VN都有一个单独的地址空间- 这要求从一个事实,即VN相关提供相同的特性物理网络的。地址空间,并在它的转发是两个中的任何网络中最基本的环节。
注意 -在本节中,我们先从设备虚拟化的狭义定义如创建网络设备内的单独的地址空间。但是,你可以认为这是一个虚拟化的设备,这是设备资源分配给不同用途的能力管理员的一个更一般的定义的一个特例。我们考虑的第一个设备资源是地址空间,但我们通过章节和书籍都进行,我们包括的设备策略控制机制不同的层,如的服务质量(QoS)和安全规则。因此,虚拟化设备的最终图像将更接近于一般定义。
首先要解决的问题是如何将转发平面虚拟化,使其满足地址和流量分离的要求。根据设备的类型,虚拟分离可以通过以下名称进行:
虚拟LAN (VLAN)
虚拟路由与转发(VRF)
虚拟转发实例(VFI)
虚拟防火墙上下文
层2:vlan
VLAN是一块虚拟化难题,已经有相当一段时间的一个很好的例子。VLAN是端口形成单个广播域的开关上的逻辑分组。在一个VLAN端口只能在同一个VLAN中的其他端口进行通信。一个给定的开关请问这个是依赖于实现的,但一个共同的解决方案是因为它到达一个端口上的开关来标记一个VLAN号每一帧。当一个帧被发送到其他端口,输出硬件拷贝包只有当它被配置成与在该帧中携带的VLAN号码。
上的以太网交换机,通常存在单个MAC表,它映射端口MAC地址。支持VLAN(和简单的二层虚拟化),MAC表具有用于在其上台被发现,如实施例4-1中所示的VLAN号码的字段。
例4 - 1开关MAC表
显示mac地址表…非静态地址表:目的地址地址类型VLAN目的港- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 0010.0 de0。e289 Dynamic 1 thernet0/1 0060.5cf4.0076 Dynamic 1 thernet0/1 0060.5cf4.0077 Dynamic 1 thernet0/1 0060.5cf4.0077f301 Dynamic 1 thernet0/1 00e0.1e42.9978 Dynamic 1 FastEthernet0/1 00e0.1e9f动态1 thernet0/1
注意 -注意,示例4-1中的输出是从http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_command_reference_chapter09186a0080417db7.html#wp1021274。
VLANs的总结效果是将交换机划分为逻辑层2域。每个域都有自己的地址空间,来自一个域的包与另一个域的包是分开的。
层3:VRF实例
的VRF是层3 VLAN是二层和路由器内界定出IP网络的域。思科网站有一个更正式的定义:
VPN路由/转发实例。VRF由一个IP路由表、一个派生的转发表、一组使用转发表的接口以及一组确定进入转发表的规则和路由协议组成。
在VLAN场景中,MAC表中增加一列就足够了,而VRF则不同,它通过创建多个路由表和多个转发实例来对路由器进行分区。专用接口绑定到每个VRF。
图4 - 1示出了路由器的具有两个VRF的一个简单的逻辑表示:红色和绿色。所述RED表可以转发接口E1 / 0,E1 / 2和S2 / 0.102之间的数据包。的GREEN表,在另一方面,向前接口E4 / 2,S2 / 0.103,和S2 / 1.103之间。接口不能在多个VRF在同一时间。
在路由器的多个VRF
你可以看到图4 - 1VRFs如何在路由接口之间提供独立的层路径。红包永远不会出现在绿色界面上。
注意 -有一种方法可以在VRFs之间共享路由,但这超出了本文的讨论范围。感兴趣的读者请参阅附录中的参考文献,以获得关于多协议标签交换vpn(MPLS vpn)。
在路由器上很容易看到VRFs。例4-2显示了红色和绿色的vrf及其接口。例4-2显示了串行接口上重叠的IP地址。例4-3给出了相同数据的以接口为中心的视图。
例4 - 2显示的VRF
路由器#显示ip多联机名字默认RD接口红色100:1 Ethernet1/0、Ethernet1/2 Serial2/0.102绿色100:2 Serial2/0.103, Serial2/1.103 Ethernet4/2例4 - 3显示界面多联机映射路由器#显示ip多联机接口接口ip地址多联机协议Ethernet1/0 130.22.0.33红了Ethernet1/2 130.77.0.33红了Serial2/0.102 130.77.0.33红了Serial2/0.103 130.77.0.33绿了Serial2/1.102 130.77.0.33绿色了Ethernet4/2 130.22.0.33绿色路由器#
小谎和肋骨
在查看VRF的路由信息之前,我们需要介绍路由表的两个主要数据结构,它们用于查找给定数据包的出口接口转发信息库(FIB)和路由信息基础(肋骨)。路由器维护一个路由表的日子已经一去不复返了,它可以在这个路由表上对目标IP地址进行线性的、最长前缀的搜索。
FIB是一个用于转发信息包的信息数据库。当在路由接口上接收到包时,路由器在FIB中查找目标地址,以查找包的下一跳。
该FIB结构是解决最长前缀匹配特别有效,和Cisco IOS解决所有路径重定向使得单个查找可以得到用于分组的下一跳的条目。思科文学呈现FIB时经常提到的邻接的概念。一个邻接是网络中任何可以通过第二层跳到达的节点。碰巧的是,Cisco IOS还维护了邻接的数据结构,其中包含接口和MAC层为所有可能的下一跳重写信息等内容。FIB条目指向邻接表,在本章的其余部分中,我们将这两个条目组合在一起,并简单地引用FIB。基于硬件的转发路径使用了FIB概念思科表达转发(CEF)。
由于FIB同时包含第2层和第3层信息,因此可以由多个源(如路由协议和地址解析协议(ARP)更新。
RIB是包含经典路由数据的内存结构。RIB可以包含递归路径。如果包目的地不在FIB中,路由器将包“踢”到一个缓慢的处理路径,并使用RIB解析下一跳的目的地。
当启用VRFs时,FIB和RIB中有多个信息实例。您可以查看路由信息显示ip路由vrf名称命令,在实施例4-3中,如图所示。除了第一行,其识别VRF,没有由经常差显示IP路由输出。
例4 - 3VRF路由表信息
R104#显示IP路由VRF RED路由表:红色代码:C -连接,S -静态R - RIP, M -移动、B -边界网关协议D - EIGRP, EX - EIGRP外部,O - OSPF IA - OSPF国米区N1 OSPF NSSA外部1型,N2 - 2型E1 OSPF NSSA外部OSPF外部1型、2型i - E2 - OSPF外部到底是什么——却,苏——到底是什么——却总结、L1 -是什么,寿命是1级,L2 -是什么,寿命是2级IA是什么,寿命是国米,* -候选人违约,U -每个用户的静态路由O ODR, P -定期下载最后的静态路由网关没有设置20.0.0.0/24网化,1个子网O 20.0.0.0[110/11121]通过40.0.0.1,00:00:02,巷道0 40.0.0.0/24是子网,1个子网C 40.0.0.0是直接连接的,巷道0 30.0.0.0/24是子网,1个子网C 30.0.0.0是直接连接的,Ethernet0/0
VRF中任何路由条目的邻接必须解析为不同的接口,即使接口上的IP地址相同。例4-4有来自全局路由表的FIB条目40.0.0.2,例4-5有红色VRF的相同信息。这些示例故意很简单,但是您可以使用显示ip cef转发vrf名称细节命令你细读谎言的全部荣耀。
例4 - 4FIB输出全球路由表
R104#显示ip欧共体语言教学大纲的前缀下一跳的接口0.0.0.0/0降NULL0的(默认路由处理程序入口)0.0.0.0/32接收40.0.0.0/24附Loopback1接口40.0.0.0/32接收40.0.0.2/32接收40.0.0.255/32接收
例4 - 5FIB输出的VRF RED
R104#显示IP CEF VRF RED前缀Next Hop接口0.0.0.0/0 drop Null0(默认路由处理程序条目)0.0.0.0/32 receive 40.0.0.0/24 attached Tunnel0 40.0.0.0/32 receive 40.0.0.2/32 receive
这个词全球用于引用不在VRF中的路由实例和表,如在“全局路由表”或“全局地址空间”中。
在讨论VRFs时,经常会听到关于资源分配的问题,比如“在VRFs之间如何分配路由器资源?”This is a natural question, even if it is not logical! There are no special rules to prioritize data from one VRF to be processed quicker than data from other VRFs. A VRF exists in the memory plane of a device, not in the scheduling plane, which is what per-VRF traffic prioritization would require.
注意 -创建VRF不会自动消耗大量内存。然而,预期的情况是您将向VRFs添加路由,在这种情况下,要小心虚拟路由表中的条目总数不要超过设备的容量。事实上,这与控制路由表大小的标准最佳实践没有太大的区别。
流量处理根据相同的规则没有的VRF的设备上发生的情况:
流量进入路由器。
应用入口策略。
发生路由和转发查找。
实施出口政策。
流量转发。
显然,入口和出口策略可以包括QoS语句,这些语句优先处理进出特定接口或地址的流量,但数据包属于特定的VRF这一事实对这些策略没有影响。它只是简单地改变了前面列表的第三步所发生的事情。
根据策略标准将接口或包流绑定到特定的VRF要常见得多。例如,来自某个用户域的所有接口都绑定到一个公司VRF,或具有10.0.0.0/8源地址的数据包绑定到一个客户VRF。我们会在一些设计章节中详细讨论这个问题。
虚拟和逻辑路由器
VRF与完全虚拟化的设备不是一回事,即使它们有时会被混淆(确实,一些营销文献鼓励这种混淆)。它们只是允许路由器支持多个地址空间。这与完全虚拟化的设备有一定的距离,资源可以或多或少地任意分配给任务。
然而,虚拟化设备确实存在,为了拨开困惑的迷雾,最好先对术语进行分类: