云計(jì)算=SaaS 網(wǎng)格計(jì)算 虛擬化

1、 HYPERLINK /wiki/kingdee/2081-cloud-computer-2 奉繼承博士：云計(jì)算SaaS+網(wǎng)格計(jì)算+虛擬化 到底什么是云計(jì)算？ 在IT業(yè)界，對(duì)于“云計(jì)算”至少有超過(guò)20種的解釋。維基百科的定義為“云計(jì)算（cloud computing），是這樣一種計(jì)算方式，計(jì)算資源是動(dòng)態(tài)易擴(kuò)展而且虛擬化的，往往通過(guò)互聯(lián)網(wǎng)提供。用戶(hù)不需要了解云中基礎(chǔ)設(shè)施的細(xì)節(jié)，不必具有相應(yīng)的專(zhuān)業(yè)知識(shí)，也無(wú)需直接進(jìn)行控制”。埃森哲（Accenture）咨詢(xún)公司的定義“第三方提供商通過(guò)網(wǎng)絡(luò)動(dòng)態(tài)提供及配置IT功能（硬件、軟件或服務(wù)）”。云計(jì)算的概念模型其實(shí)，云計(jì)算作為一種新技術(shù)，包含了多層含義：用戶(hù)的

2、公共性：云計(jì)算所提供的服務(wù)對(duì)象，既有企業(yè)/政府/學(xué)術(shù)/個(gè)人等最終用戶(hù)，也包括應(yīng)用軟件、中間件平臺(tái)等“用戶(hù)”，這是根據(jù)云計(jì)算提供不同層次的服務(wù)所決定的。設(shè)備的多樣性：云計(jì)算所提供服務(wù)的設(shè)備也是多樣的，既包括各種規(guī)模的服務(wù)器、主機(jī)、存儲(chǔ)設(shè)備，也包括各種類(lèi)型的終端設(shè)備，如計(jì)算機(jī)、智能手機(jī)、各種智能傳感器、RFID設(shè)備等。商業(yè)模式的服務(wù)性：云計(jì)算是以服務(wù)的方式提供設(shè)備和應(yīng)用的。這種服務(wù)特性體現(xiàn)在兩個(gè)方面的特征：簡(jiǎn)化和標(biāo)準(zhǔn)的服務(wù)接口，按需計(jì)費(fèi)的商業(yè)模式。提供方式的靈活性：云計(jì)算既可以作為一種共用設(shè)施，提供社會(huì)服務(wù)，即“公共云”，也可以作為企業(yè)信息化的集中計(jì)算平臺(tái)來(lái)提供，即“私有云”。云計(jì)算的概念模型因此

3、，云計(jì)算的核心內(nèi)涵包括： 計(jì)算服務(wù)化； 資源虛擬化； 管理智能化。云計(jì)算的技術(shù)體系要完全理解云計(jì)算的技術(shù)體系，或者其完整含義，我認(rèn)為需要從三個(gè)方面說(shuō)明。也就是說(shuō)，云計(jì)算一點(diǎn)也不神秘，其實(shí)云計(jì)算就是軟件即服務(wù)SaaS、網(wǎng)格計(jì)算、虛擬化三個(gè)概念的結(jié)合體。云計(jì)算的技術(shù)基礎(chǔ) 云計(jì)算的虛擬化（Virtualization）虛擬化即基礎(chǔ)設(shè)施的虛擬化（Virtualization），核心是傳統(tǒng)已經(jīng)成熟的集群技術(shù)和分區(qū)技術(shù)的結(jié)合。集群計(jì)算（Cluster Computing）是將多臺(tái)服務(wù)器虛擬為一臺(tái)服務(wù)器的技術(shù)，目的是提高計(jì)算能力和提升設(shè)備的容錯(cuò)、實(shí)現(xiàn)負(fù)載均衡。集群技術(shù)已經(jīng)廣泛應(yīng)用于操作系統(tǒng)、數(shù)據(jù)庫(kù)和中間件等

4、系統(tǒng)軟件平臺(tái)。而分區(qū)計(jì)算（Partition Computing）是大型主機(jī)和UNIX小型機(jī)上一種成熟的技術(shù)，就是將一臺(tái)服務(wù)器虛擬為多臺(tái)服務(wù)器，每個(gè)虛擬單元叫一個(gè)分區(qū)，各分區(qū)之間是相互隔離的，目的是提高資源利用率。只不過(guò)，現(xiàn)在低端的INTEL架構(gòu)的PC服務(wù)器也支持虛擬化而已。云計(jì)算的虛擬化虛擬化目前還包括網(wǎng)絡(luò)虛擬化（VPN）和存儲(chǔ)虛擬化（SAN/NAS）等技術(shù)，與服務(wù)器虛擬化一起，構(gòu)建為一個(gè)完整的計(jì)算資源虛擬化環(huán)境，在虛擬化管理系統(tǒng)的控制下，實(shí)現(xiàn)動(dòng)態(tài)的可配置的智能系統(tǒng)。 網(wǎng)格計(jì)算（Grid Computing）云計(jì)算是網(wǎng)格計(jì)算（Grid Computing）的另一種表現(xiàn)形式，是相似技術(shù)的兩種表

5、現(xiàn)形式。網(wǎng)格計(jì)算是一種計(jì)算能力提升的方式，其原理是依據(jù)并行計(jì)算理論，通過(guò)任務(wù)分解，將子任務(wù)分布式提交到其他服務(wù)器上運(yùn)行，以獲得更強(qiáng)大計(jì)算能力。應(yīng)用場(chǎng)景：科學(xué)計(jì)算，天氣預(yù)報(bào)，地震分析、地質(zhì)勘探、石油勘探等；任務(wù)特色：重計(jì)算，弱流程，少交互；這種計(jì)算任務(wù)需要消耗大量的CPU計(jì)算，對(duì)網(wǎng)絡(luò)流量不大，存儲(chǔ)和硬盤(pán)訪問(wèn)量不大。計(jì)算模式：任務(wù)通過(guò)服務(wù)分解，分布式計(jì)算。因此，網(wǎng)格計(jì)算盡管在IBM等公司大力推動(dòng)下，實(shí)際商業(yè)應(yīng)用并不成功，主要在一些高校、科研機(jī)構(gòu)等建設(shè)有這樣的實(shí)驗(yàn)環(huán)境，因?yàn)檫@種計(jì)算場(chǎng)景并不普遍。而云計(jì)算就是解決商業(yè)應(yīng)用環(huán)境下的計(jì)算資源的虛擬提供更強(qiáng)大計(jì)算能力和資源利用率。應(yīng)用場(chǎng)景：企業(yè)管理，電子政務(wù)

6、，電子商務(wù)等；任務(wù)特色：弱計(jì)算，強(qiáng)流程，多交互；這種應(yīng)用很難進(jìn)行分解，頻繁的人機(jī)交互，CPU消耗并不大，但存儲(chǔ)和硬盤(pán)訪問(wèn)量很大，因此網(wǎng)絡(luò)的訪問(wèn)流量也非常大。計(jì)算模式：資源的虛擬提供更強(qiáng)大的計(jì)算能力。云計(jì)算與網(wǎng)格計(jì)算網(wǎng)格計(jì)算的基礎(chǔ)技術(shù)就是Web Services，通過(guò)任務(wù)分解為服務(wù)，這些服務(wù)可以在分布式的計(jì)算環(huán)境中，實(shí)現(xiàn)和設(shè)備無(wú)關(guān)的標(biāo)準(zhǔn)交互，并且通過(guò)服務(wù)的封裝，可以實(shí)現(xiàn)并行的事務(wù)處理。云計(jì)算的平臺(tái)技術(shù)，主要是依賴(lài)于SOA，而我們知道SOA的主要實(shí)現(xiàn)技術(shù)體系也就是Web Services，因此云計(jì)算和網(wǎng)格計(jì)算的核心技術(shù)基礎(chǔ)是相似的。因此，云計(jì)算的商業(yè)用途將非常廣泛，能夠得到廠商和用戶(hù)的大力支持。

7、云計(jì)算的服務(wù)化云計(jì)算的使用模式即服務(wù)化。所謂服務(wù)化，即服務(wù)消費(fèi)者只需提供服務(wù)的請(qǐng)求，并提交服務(wù)的輸入，而不關(guān)心服務(wù)的實(shí)現(xiàn)方法、技術(shù)和流程，而直接得到服務(wù)的結(jié)果。云計(jì)算的服務(wù)模式是將軟件作為服務(wù)SaaS (Software as a Service)、將平臺(tái)作為服務(wù)PaaS (Platform as a Service)和將基礎(chǔ)設(shè)施作為服務(wù)IaaS (Infrastructure as a Service)等各種模式。云計(jì)算的服務(wù)化軟件即服務(wù)Software-as-a-Service，簡(jiǎn)稱(chēng)SaaS，是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和應(yīng)用軟件的成熟，而在21世紀(jì)開(kāi)始興起的一種完全創(chuàng)新的軟件應(yīng)用模式。著名的S

8、aaS供應(yīng)商salesforce公司提出的SaaS 并運(yùn)用于CRM行業(yè)，它是一種通過(guò)Internet提供軟件的模式，SaaS供應(yīng)商將應(yīng)用軟件統(tǒng)一部署在服務(wù)器上，客戶(hù)可以根據(jù)自己實(shí)際需求，通過(guò)互聯(lián)網(wǎng)向服務(wù)商定購(gòu)所需的應(yīng)用軟件服務(wù)，按定購(gòu)的服務(wù)多少和時(shí)間長(zhǎng)短向服務(wù)商支付費(fèi)用，并通過(guò)互聯(lián)網(wǎng)獲得服務(wù)商提供的服務(wù)。用戶(hù)不用再購(gòu)買(mǎi)軟件，而改用向提供商租用基于Web的軟件，來(lái)管理企業(yè)經(jīng)營(yíng)活動(dòng)，且無(wú)需對(duì)軟件進(jìn)行維護(hù)，服務(wù)提供商會(huì)全權(quán)管理和維護(hù)軟件，軟件廠商在向客戶(hù)提供互聯(lián)網(wǎng)應(yīng)用的同時(shí)，也提供軟件的離線操作和本地?cái)?shù)據(jù)存儲(chǔ)，讓用戶(hù)隨時(shí)隨地都可以使用其定購(gòu)的軟件和服務(wù)。對(duì)于許多小型企業(yè)來(lái)說(shuō)，SaaS是采用先進(jìn)技術(shù)的

9、最好途徑，它消除了企業(yè)購(gòu)買(mǎi)、構(gòu)建和維護(hù)基礎(chǔ)設(shè)施和應(yīng)用程序的需要。SaaS之中的軟件“Software”本質(zhì)上是指應(yīng)用軟件Application Software，嚴(yán)格上來(lái)說(shuō)SaaS應(yīng)該叫做AaaS（Application as a Service）或者BaaS（Business as a Service），這是因?yàn)镾aaS出現(xiàn)的時(shí)候，系統(tǒng)軟件和平臺(tái)軟件還不能也還沒(méi)有作為服務(wù)來(lái)提供。平臺(tái)即服務(wù)Platform -as-a-Service，簡(jiǎn)稱(chēng)PaaS，是云計(jì)算一種重要的服務(wù)模式，其核心是將計(jì)算環(huán)境和應(yīng)用程序的運(yùn)行平臺(tái)作為一項(xiàng)服務(wù)進(jìn)行提供。PaaS的實(shí)現(xiàn)方式是將中間件平臺(tái)、及其組件和運(yùn)行環(huán)境進(jìn)行封

10、裝。 例如，如果客戶(hù)擁有Java應(yīng)用程序，或者個(gè)性化的一個(gè)應(yīng)用需要電子地圖組件，傳統(tǒng)上必須購(gòu)買(mǎi)和配置服務(wù)器硬件和操作系統(tǒng)，以及應(yīng)用服務(wù)器軟件和電子地圖組件等，還必須購(gòu)買(mǎi)Oracle數(shù)據(jù)庫(kù)等系統(tǒng)軟件，才能提供一個(gè)綜合的計(jì)算平臺(tái)，其應(yīng)用軟件才能夠運(yùn)行。而現(xiàn)在，云計(jì)算就可以提供客戶(hù)一個(gè)應(yīng)用運(yùn)行的平臺(tái)，而客戶(hù)無(wú)須關(guān)心平臺(tái)的配置硬件環(huán)境和軟件系統(tǒng)，只要部署到PaaS之中的平臺(tái)實(shí)例或者電子地圖的接口上（WebService）就可以按照租用的方式來(lái)運(yùn)行系統(tǒng)了?；A(chǔ)設(shè)施即服務(wù)IaaS (Infrastructure as a Service)是將硬件資源進(jìn)行虛擬化，在操作系統(tǒng)層面將計(jì)算基礎(chǔ)設(shè)施（CPU/內(nèi)存和

11、存儲(chǔ)/操作系統(tǒng)）等以出租的方式在虛擬網(wǎng)絡(luò)VPN下為客戶(hù)提供服務(wù)的模式。 云計(jì)算的智能化云計(jì)算的虛擬化和動(dòng)態(tài)管理本質(zhì)上是系統(tǒng)的管理智能化，通過(guò)動(dòng)態(tài)配置的資源管理、自動(dòng)動(dòng)態(tài)配置的自適應(yīng)性和自我恢復(fù)能力，將云計(jì)算設(shè)計(jì)為智能系統(tǒng)。這些智能的自我管理特性表現(xiàn)為： 虛擬化設(shè)置：可以非常簡(jiǎn)化地在控制臺(tái)配置虛擬化的計(jì)算資源； 資源動(dòng)態(tài)配置：可以在運(yùn)行期動(dòng)態(tài)調(diào)整資源配置； 系統(tǒng)自動(dòng)監(jiān)測(cè)：自動(dòng)監(jiān)測(cè)系統(tǒng)運(yùn)行的健康狀況，對(duì)異常情況自動(dòng)報(bào)警； 安全隔離：各虛擬資源之間進(jìn)行安全的隔離，各個(gè)實(shí)例之間實(shí)現(xiàn)自治； 負(fù)載自動(dòng)均衡：系統(tǒng)在虛擬設(shè)備之內(nèi)實(shí)現(xiàn)多個(gè)資源之間的自動(dòng)負(fù)載均衡； 資源管理決策支持：可以對(duì)云計(jì)算資源的適應(yīng)狀況進(jìn)行

12、優(yōu)化的管理決策，實(shí)現(xiàn)自?xún)?yōu)化； 自恢復(fù)：云計(jì)算的實(shí)例和虛擬化資源出現(xiàn)運(yùn)行故障或者死鎖，系統(tǒng)具備自我恢復(fù)功能。通過(guò)這些智能化的管理功能，云計(jì)算是一個(gè)自適應(yīng)、自?xún)?yōu)化的智能系統(tǒng)。附錄資料：不需要的可以自行刪除 園區(qū)網(wǎng)絡(luò)虛擬化無(wú)論規(guī)模如何或有什么安全需求，企業(yè)現(xiàn)在都能在單一物理網(wǎng)絡(luò)上，受益于支持多個(gè)封閉用戶(hù)組的虛擬化園區(qū)網(wǎng)絡(luò)。綜述隨著對(duì)園區(qū)網(wǎng)絡(luò)的需求日益復(fù)雜，可擴(kuò)展解決方案也越來(lái)越需要將多個(gè)網(wǎng)絡(luò)用戶(hù)組進(jìn)行邏輯分區(qū)。網(wǎng)絡(luò)虛擬化提供了多個(gè)解決方案，能在保持現(xiàn)有園區(qū)設(shè)計(jì)的高可用性、可管理性、安全性和可擴(kuò)展性?xún)?yōu)勢(shì)的同時(shí)，實(shí)現(xiàn)服務(wù)和安全策略的集中。為達(dá)到出色效果，這些解決方案必須包括網(wǎng)絡(luò)虛擬化的三個(gè)主要方面：訪問(wèn)

13、控制、路徑隔離和服務(wù)邊緣。通過(guò)實(shí)施這些解決方案，網(wǎng)絡(luò)虛擬化即能與思科系統(tǒng)公司的服務(wù)導(dǎo)向網(wǎng)絡(luò)架構(gòu)(SONA)相結(jié)合，為遷移到智能化信息網(wǎng)絡(luò)的企業(yè)創(chuàng)建一個(gè)強(qiáng)大的框架。SONA網(wǎng)絡(luò)利用NAC和IEEE 802.1x協(xié)議提供身份識(shí)別服務(wù)，從而實(shí)現(xiàn)最優(yōu)訪問(wèn)控制。在用戶(hù)獲準(zhǔn)接入網(wǎng)絡(luò)后，三個(gè)路徑隔離解決方案GRE隧道、VRF-lite和MPLS VPN能在保留當(dāng)前園區(qū)網(wǎng)設(shè)計(jì)優(yōu)勢(shì)的同時(shí)，在現(xiàn)有局域網(wǎng)上疊加分區(qū)機(jī)制，將網(wǎng)絡(luò)劃分為安全、虛擬的網(wǎng)絡(luò)。這些解決方案解決了與分布部署服務(wù)和安全策略相關(guān)的問(wèn)題。最后，共享服務(wù)和安全策略實(shí)施的集中化，大大減少了在園區(qū)網(wǎng)中維護(hù)不同群組的安全策略和服務(wù)所需的資本和運(yùn)營(yíng)開(kāi)支。這種集

14、中化有助于在園區(qū)中實(shí)施一致的策略。挑戰(zhàn)園區(qū)網(wǎng)絡(luò)的設(shè)計(jì)建議一直缺乏一種對(duì)網(wǎng)絡(luò)流量分區(qū)，以便為封閉用戶(hù)組提供安全獨(dú)立環(huán)境的方式（表1）。有許多因素都在推動(dòng)對(duì)于創(chuàng)建封閉用戶(hù)組的需要，包括： 企業(yè)中存在不同級(jí)別的訪問(wèn)權(quán)限：幾乎每個(gè)企業(yè)都需要解決方案來(lái)為客戶(hù)、廠商、合作伙伴以及園區(qū)局域網(wǎng)上的員工授予不同的訪問(wèn)級(jí)別。 法規(guī)遵從性：部分企業(yè)受法律或規(guī)定的要求，必須對(duì)較大的機(jī)構(gòu)進(jìn)行分區(qū)。例如，在金融公司中，銀行業(yè)務(wù)必須與證券交易業(yè)務(wù)分開(kāi)。 過(guò)大的企業(yè)需要簡(jiǎn)化網(wǎng)絡(luò)：對(duì)于非常大型的園區(qū)網(wǎng)絡(luò)，如機(jī)場(chǎng)、醫(yī)院或大學(xué)來(lái)說(shuō)，過(guò)去，為保證不同用戶(hù)組或部門(mén)間的安全性，就必須構(gòu)建和管理不同的物理網(wǎng)絡(luò)，這種做法既昂貴又難以管理。

15、網(wǎng)絡(luò)整合：在合并和收購(gòu)時(shí)，通常需要迅速集成所收購(gòu)公司的網(wǎng)絡(luò)。 外包：隨著外包和離岸外包的普及，子承包商必須證明各客戶(hù)的信息間完全隔離。尤其當(dāng)一家承包商服務(wù)于相互競(jìng)爭(zhēng)的公司時(shí)，這尤為重要。 提供網(wǎng)絡(luò)服務(wù)的企業(yè)：零售連鎖公司為其他公司支持售貨亭或?yàn)榧佑驼咎峁┗ヂ?lián)網(wǎng)接入；同樣，服務(wù)于多家航空公司和零售商的機(jī)場(chǎng)能使用單一網(wǎng)絡(luò)來(lái)提供隔離服務(wù)和共享服務(wù)。 表1. 不同垂直行業(yè)中網(wǎng)絡(luò)分區(qū)的應(yīng)用示例垂直行業(yè)網(wǎng)絡(luò)虛擬化應(yīng)用示例制造業(yè)生產(chǎn)工廠(自動(dòng)裝置，生產(chǎn)環(huán)境自動(dòng)化等)，管理，銷(xiāo)售，視頻監(jiān)視。 金融業(yè)交易大廳，管理，合并。政府支持不同部門(mén)的共同建筑物和設(shè)施。在部分國(guó)家，法律要求這些部門(mén)采用不同網(wǎng)絡(luò)。醫(yī)療總體趨勢(shì)

16、是在進(jìn)行治療的同時(shí)提供賓館式服務(wù)。須隔離醫(yī)護(hù)人員、核磁共振成像(MRI)和其他技術(shù)設(shè)備、病人互聯(lián)網(wǎng)接入，以及為病人提供的廣播和電視等媒體服務(wù)。 商業(yè)智能樓宇：多企業(yè)園區(qū)不同部門(mén)共享部分資源。多個(gè)公司位于同一園區(qū)，其中不同建筑物分屬不同部門(mén)，但全使用相同的核心和互聯(lián)網(wǎng)接入機(jī)制。園區(qū)所有者管理建筑物自動(dòng)化體系，覆蓋所有建筑物。零售售貨亭，分支機(jī)構(gòu)中的公共無(wú)線局域網(wǎng)，RF識(shí)別，WLAN設(shè)備（例如，不支持任何WLAN安全特性的較早的WLAN條碼閱讀器）。教育學(xué)生、教授、管理人員和外部研究團(tuán)隊(duì)間需要隔離。此外，分布于多個(gè)建筑物的各院系可能需要訪問(wèn)各自的服務(wù)器區(qū)域。而某些資源（例如互聯(lián)網(wǎng)、電子郵件和新聞）

17、可能需要共享或通過(guò)一個(gè)服務(wù)區(qū)訪問(wèn)。此外，建筑物自動(dòng)化體系也必須分開(kāi)。園區(qū)局域網(wǎng)的發(fā)展網(wǎng)絡(luò)虛擬化允許多個(gè)用戶(hù)組訪問(wèn)同一物理網(wǎng)絡(luò)，但從邏輯上對(duì)它們進(jìn)行一定程度的隔離，以便它們無(wú)法查看其他組這是多年來(lái)網(wǎng)絡(luò)經(jīng)理面臨的挑戰(zhàn)。在上世紀(jì)90年代，L2交換是園區(qū)局域網(wǎng)的標(biāo)志性特征，虛擬局域網(wǎng)(VLAN)是在一個(gè)通用基礎(chǔ)設(shè)施中將局域網(wǎng)劃分為不同工作組的標(biāo)準(zhǔn)。此解決方案安全高效，但無(wú)法很好地?cái)U(kuò)展，而且隨著園區(qū)局域網(wǎng)的發(fā)展，其管理也非易事。核心和分布層中L3交換的出現(xiàn)，在VLAN方式的基礎(chǔ)上對(duì)可擴(kuò)展性、性能和故障排除進(jìn)行了優(yōu)化。過(guò)去幾年中，所構(gòu)建的基于L3的園區(qū)網(wǎng)絡(luò)已經(jīng)證實(shí)，它們便于擴(kuò)展、功能強(qiáng)大，具有高性能。但在

18、網(wǎng)絡(luò)分區(qū)和封閉用戶(hù)組方面，L3園區(qū)方式有著重大缺陷和限制。在此情況下，添加封閉用戶(hù)組即意味著增加成本和復(fù)雜度。解決方案：網(wǎng)絡(luò)虛擬化因此我們需要一個(gè)便于擴(kuò)展的解決方案，來(lái)保持用戶(hù)組完全隔離，實(shí)現(xiàn)服務(wù)和安全策略的集中，并保留園區(qū)網(wǎng)設(shè)計(jì)的高可用性、安全性和可擴(kuò)展性?xún)?yōu)勢(shì)。為支持此解決方案，網(wǎng)絡(luò)設(shè)計(jì)必須高效地解決以下問(wèn)題： 訪問(wèn)控制：確保能識(shí)別合法用戶(hù)和設(shè)備，對(duì)其分類(lèi)，并允許其接入獲得訪問(wèn)授權(quán)的網(wǎng)絡(luò)部分。 路徑隔離：確保各用戶(hù)或設(shè)備都能高效地分配到正確、安全的可用資源集即正確的VPN。 服務(wù)邊緣：確保合法的用戶(hù)和設(shè)備能訪問(wèn)相應(yīng)的正確服務(wù)，并集中實(shí)施策略。 思科解決方案能通過(guò)幾個(gè)方式實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化。虛擬化

19、技術(shù)使單一物理設(shè)備或資源能作為它自己的多個(gè)物理版本，在網(wǎng)絡(luò)中共享。網(wǎng)絡(luò)虛擬化是思科SONA框架的一個(gè)重要組件。思科SONA使用虛擬化技術(shù)來(lái)改進(jìn)服務(wù)器和存儲(chǔ)局域網(wǎng)（SAN）等網(wǎng)絡(luò)資產(chǎn)的使用。例如，一個(gè)物理防火墻能配置為執(zhí)行多個(gè)虛擬防火墻的功能，幫助企業(yè)優(yōu)化資源和安全投資。其他虛擬化戰(zhàn)略包括集中策略管理、負(fù)載均衡和動(dòng)態(tài)分配等。虛擬化能提高靈活性和網(wǎng)絡(luò)效率，降低資本和運(yùn)營(yíng)開(kāi)支。訪問(wèn)控制：身份驗(yàn)證和接入層安全接入層安全對(duì)于保護(hù)園區(qū)局域網(wǎng)免遭外部威脅十分重要。通過(guò)在威脅進(jìn)入園區(qū)前即采取防御措施的特性，能對(duì)思科網(wǎng)絡(luò)虛擬化解決方案構(gòu)成補(bǔ)充。IEEE 802.1X即是這樣一種技術(shù)，它是端口安全的標(biāo)準(zhǔn)。802.

20、1X在用戶(hù)及其相關(guān)的VPN間形成強(qiáng)大的連接，防止在未授權(quán)情況下訪問(wèn)禁止接入的資源。另一種補(bǔ)充技術(shù)是思科網(wǎng)絡(luò)準(zhǔn)入控制(NAC)。NAC的職責(zé)是在邊緣防御威脅，在有害流量到達(dá)分布層或核心層前即將其刪除。NAC有助于確保用戶(hù)不會(huì)使園區(qū)基礎(chǔ)設(shè)施遭受到任何病毒、蠕蟲(chóng)等威脅。路徑隔離：L3 VPN為支持園區(qū)網(wǎng)絡(luò)虛擬化，思科提供了三個(gè)非常適用于典型園區(qū)網(wǎng)絡(luò)設(shè)計(jì)，并混合使用了L2和L3技術(shù)的解決方案： GRE隧道 VRF-lite MPLS VPN GRE隧道GRE隧道為在園區(qū)網(wǎng)絡(luò)上創(chuàng)建封閉用戶(hù)組提供了一種相當(dāng)簡(jiǎn)單且高效的方法。GRE隧道非常適于作為托管“訪客”接入的企業(yè)解決方案，使公司能為訪客或來(lái)訪者提供全

21、球互聯(lián)網(wǎng)接入，而又能防止這些用戶(hù)訪問(wèn)內(nèi)部資源。在圖1中，GRE隧道與Cisco VRF-lite特性共用，為訪客接入創(chuàng)建了一個(gè)簡(jiǎn)單、易于管理的解決方案。圖1. 結(jié)合使用GRE隧道和VRF-lite該解決方案的優(yōu)勢(shì)包括： 能跨越典型的多層園區(qū)網(wǎng)絡(luò)（無(wú)需園區(qū)級(jí)VLAN）。 訪客用戶(hù)流量與其他公司局域網(wǎng)流量隔離。 所有訪客流量的進(jìn)入點(diǎn)位于中央位置，使安全性和服務(wù)質(zhì)量(QoS)策略更易于管理。 甚至能通過(guò)廣域網(wǎng)擴(kuò)展到分支機(jī)構(gòu)。 在將GRE隧道作為支持封閉用戶(hù)組的解決方案時(shí)，需要注意的一個(gè)因素是隧道本身較難配置和管理，因此不建議解決方案部署超過(guò)兩條隧道。此類(lèi)網(wǎng)絡(luò)虛擬化適用于需要星型拓?fù)涞膱?chǎng)合。VRF-l

22、iteVRF-lite是一個(gè)思科特性，通常稱(chēng)為多VRF客戶(hù)邊緣，通過(guò)使用單一路由設(shè)備支持多個(gè)虛擬路由器，來(lái)提供園區(qū)分區(qū)解決方案。VRF-lite是MPLS的輕量版本。利用VRF-lite，網(wǎng)絡(luò)經(jīng)理能靈活地為任意特定VPN使用任意IP地址空間，而無(wú)論它是否與其他VPN的地址空間重疊或沖突。這種靈活性在很多場(chǎng)合都非常實(shí)用。例如，當(dāng)所收購(gòu)公司的網(wǎng)絡(luò)合并到一個(gè)共享局域網(wǎng)中，所收購(gòu)的網(wǎng)絡(luò)能作為獨(dú)立VPN進(jìn)入基礎(chǔ)設(shè)施，幾乎或完全不會(huì)干擾網(wǎng)絡(luò)上的日常業(yè)務(wù)流程。VRF-lite能用作端到端解決方案，如圖2所示，也能與另一解決方案共用來(lái)支持封閉用戶(hù)組，這將在下一部分中討論。總體來(lái)說(shuō)，VRF-lite的可擴(kuò)展性高

23、于GRE隧道，但它最適用于有四或五個(gè)分區(qū)的網(wǎng)絡(luò)。每次添加用戶(hù)組時(shí)，它都需要人工重配置，因此相當(dāng)耗費(fèi)勞力。圖2. VRF作為端到端解決方案部署MPLS VPN另一種為封閉用戶(hù)組進(jìn)行園區(qū)網(wǎng)絡(luò)分區(qū)的方法為基于MPLS的L3 VPN。和GRE隧道與VRF-lite一樣，MPLS VPN提供了一種安全可靠的方式，在通用物理基礎(chǔ)設(shè)施上進(jìn)行網(wǎng)絡(luò)邏輯分區(qū)。盡管電信運(yùn)營(yíng)商使用MPLS技術(shù)的時(shí)間已有幾年，但因?yàn)榫钟蚓W(wǎng)交換機(jī)上缺乏對(duì)MPLS的支持，它還未在企業(yè)網(wǎng)絡(luò)中廣泛部署。而不斷改變的業(yè)務(wù)需求，以及相應(yīng)的新產(chǎn)品面世，正幫助MPLS成為園區(qū)基礎(chǔ)設(shè)施中的重要技術(shù)。隨著Cisco Catalyst 6500系列提供了對(duì)

24、于MPLS VPN的支持，對(duì)許多大型企業(yè)來(lái)說(shuō)，MPLS技術(shù)已擁有了廉宜價(jià)位。MPLS VPN具有本文中討論的其他解決方案的所有優(yōu)勢(shì)（參見(jiàn)圖3）。此外，任何MPLS VPN都能通過(guò)配置，連接至用戶(hù)和位于網(wǎng)絡(luò)中任意地點(diǎn)的資源，而不會(huì)影響性能或網(wǎng)絡(luò)設(shè)計(jì)。相應(yīng)地，MPLS VPN也是三個(gè)思科網(wǎng)絡(luò)基礎(chǔ)設(shè)施虛擬化解決方案中可擴(kuò)展性最高的。當(dāng)添加或改動(dòng)用戶(hù)組時(shí)，無(wú)需人工重配置，這提高了可擴(kuò)展性，降低了運(yùn)營(yíng)開(kāi)支。當(dāng)在網(wǎng)絡(luò)邊緣使用VLAN，在園區(qū)的路由部分使用L3 VPN時(shí)，保留了層次化園區(qū)網(wǎng)部署的所有優(yōu)勢(shì)，同時(shí)該解決方案還能在園區(qū)局域網(wǎng)中實(shí)現(xiàn)端到端、可擴(kuò)展分區(qū)，并支持集中的安全特性和服務(wù)。和VRF-lite一樣，網(wǎng)絡(luò)定址靈活性也是MPLS VPN的另一優(yōu)勢(shì)。圖3. MPLS VPN支持任意到任意連接統(tǒng)一接入提供靈活性這三個(gè)思科園區(qū)網(wǎng)虛擬化解決方案并不限制用戶(hù)使用任何特定的接入類(lèi)型。盡管他們?cè)趩我晃锢砭W(wǎng)絡(luò)基礎(chǔ)設(shè)施中工作，但這些解決方案能輕松地支持移動(dòng)用戶(hù)。無(wú)論使用的解決方案是基于GRE隧道、VRF-lite還是MPLS VPN，用戶(hù)只要能接入網(wǎng)絡(luò)，就能透明地與其所屬的封閉用戶(hù)組相關(guān)聯(lián)。虛擬化服務(wù)虛擬化網(wǎng)絡(luò)服務(wù)是思科網(wǎng)絡(luò)基礎(chǔ)設(shè)施