网络虚拟化-IBM.PDF

网络虚拟化 – 将一个网络分解成多个网络 E786-ITI Gary Simpelo Gary Simpelo/Costa Mesa/IBM@IBMUS 摘要- 在当前的商业环境中，需求的快速变化需要 IT 基础设施具备灵活性和自适应能 力。为了满足灵活性和自适应能力的要求，企业开始实施资源虚拟化并取得了显著成 效，因此，术语虚拟化被应用到多个领域，如服务器虚拟化、应用虚拟化、存储资源虚 拟化和安全产品虚拟化。 可见，网络基础设施虚拟化并不是新鲜事。现在，企业通过高 级网络满足不同用户群的各种需求，包括各类特定的网络、应用、安全性和服务质量要 求。鉴于这些要求相差迥异，因此，IT 部门必须采用完全不同的方法来处理它们。全企 业的用户移动性、无线连接、跨部门协作和资源共享等大趋势使 IT 部门难以区分处理不 同的用户群并确保他们的安全性。随着用户群数量的增长，管理他们变得越来越复杂。 “网络虚拟化技术”允许IT 部门通过共享服务和安全设备的一个通用基础设施为这些不 同的用户群安全地提供服务。本文将简要介绍什么是网络虚拟化、它能够解决什么问 题、目前都有哪些方法和技术提供用于实现网络虚拟化。本文将提供充分的背景信息， 帮助读者为满足不同的业务要求选择明智的技术。 索引术语– 网络、虚拟化、安全性、MPLS 、VPN 、VRF 、园区局域网、架构 介绍 业务问题 通过可扩展的解决方案将不同的网络用户群和资源分割成多个逻辑分区大幅度加剧了企业 网络的复杂性。提供灵活的连接选项，同时保证用户群和资源与非团队成员保持隔离对现 在的企业网络至关重要。允许多个用户群访问相同的物理网络，同时保证他们从逻辑上彼 此隔离以防彼此察看是多年来一直困扰着网络经理的问题。企业网络虚拟化为企业解决这 些问题提供了答案。 网络虚拟化的业务驱动力 企业网络虚拟化的业务驱动力包括： • 允许来宾和访客安全地访问互联网，从而提高生产率；为合作伙伴、承包商和顾问 提供共享资源 • 隔离受病毒感染的主机以及违反企业安全策略的主机，从而提高网络可用性 • 满足法律和规章制度的要求，如HIPPA 和SOX 2008 年技术领导人交流会 1 • 实施部分或全部隔离的安全服务区 • 将多个网络合并到单一基础设施上 • 将不同的竞争客户共置在一个共享基础设施上 • 集成子公司、业务部门及新收购的公司 主体 网络虚拟化案例研究 IBM 全球技术服务部受命为重要客户提供概念设计建议和解决方案。这家跨国金融公司 希望解决方案不仅提供企业网络的可扩展性和灵活性，而且还会考虑公司独特的、严格的 安全要求。随着公司不断扩展服务以便利用互联网的全球覆盖范围，过去用于保护公司资 产的网络架构和安全控制机制在响应性、灵活性和可扩展性方面都不再能够满足未来要 求。网络和安全问题已对公司的增长和生产率产生了负面影响，尤其是在当前的商业和调 节环境中。如何满足现行安全法的要求(如FTC, GLBA, SB-1386, PCI 和 ISO/IEC 17799) ， 同时提高网络基础设施对业务的响应性、灵活性和可扩展性，防止出现影响全球网络业务 运行的安全问题，都是公司管理层在规划企业网络和安全决策时的考虑因素。 现有网络基础设施虽然能够满足公司的安全要求，但结构非常复杂，需要大量的管理和经 营开销。更改网络和安全流程需要付出巨大的时间和精力并且会影响到业务部门流程、公 司增长和生产率。公司的许多业务部门都彼此独立地运行，有自己独特的网络服务和安全 要求。为了保持这些业务部门的独立性，公司一直都在整个网络上使用第3 层访问控制表 (ACL)来控制哪些端点和网络能够访问网络(基础设施)设备和服务；公司还建立了分布式 防火墙和状态防火墙控制机制，基于用户群或单个用户实施安全性和安全区的访问控制。 公司需要开发并应用大量的防火墙规则对安全区实施访问控制并保护它们的安全性。集成 新收购的公司网络占用大量时间，需