EWEBS應(yīng)用虛擬化系統(tǒng)

1、EWEBS應(yīng)用虛擬化系統(tǒng) EWEBS應(yīng)用虛擬化系統(tǒng) 極通EWEBS是一種虛擬化平臺(tái)軟件，其主要功能是向企業(yè)提供最佳性能、靈活快捷的應(yīng)用交付服務(wù)。管理員只需要將各種應(yīng)用軟件集中部署在EWEBS服務(wù)器（集群）上，并通過EWEBS的應(yīng)用程序虛擬化功能，將各種應(yīng)用軟件整合到企業(yè)門戶中供終端用戶使用。終端客戶機(jī)無需安裝任何軟件，就能夠讓企業(yè)各種IT應(yīng)用擺脫終端設(shè)備和網(wǎng)絡(luò)寬帶的限制，實(shí)現(xiàn)終端客戶機(jī)用戶在任何時(shí)間、任何地點(diǎn)、使用任何網(wǎng)絡(luò)設(shè)備、采用任何網(wǎng)絡(luò)連接，都能夠高效、快捷、安全、方便地訪問已經(jīng)集中部署在EWEBS服務(wù)器（集群）上的各種應(yīng)用軟件。 *EWEBS簡介 技術(shù)角度 極通EWEBS是虛擬中間層 功

2、能角度 極通EWEBS是基于IT治理、軟件優(yōu)化、集中化管理、提高IT架構(gòu)合理化利用率的綜合平臺(tái)，實(shí)現(xiàn)共享、簡單、快捷、靈活的應(yīng)用 應(yīng)用角度 將所有的應(yīng)用軟件安裝在EWEBS服務(wù)器（群）上，客戶端零安裝，就可以基于WEB實(shí)時(shí)靈活應(yīng)用。通過極通自主研發(fā)的AIP協(xié)議，把應(yīng)用程序的人機(jī)交互邏輯（應(yīng)用程序界面、鍵盤及鼠標(biāo)的操作、音頻輸入輸出、讀卡器、打印輸出等）與計(jì)算邏輯隔離開來。在用戶訪問EWEBS服務(wù)器虛擬化后的應(yīng)用時(shí)，用戶計(jì)算機(jī)只需要把人機(jī)交互邏輯通過AIP協(xié)議傳送到服務(wù)器端，服務(wù)器端為用戶開設(shè)獨(dú)立的會(huì)話空間，應(yīng)用程序的計(jì)算邏輯在這個(gè)會(huì)話空間中運(yùn)行，把變化后的人機(jī)交互邏輯傳送給客戶端，并且在客戶端

3、相應(yīng)設(shè)備展示出來，從而使用戶獲得如同運(yùn)行本地應(yīng)用程序一樣的訪問感受。*EWEBS架構(gòu) *EWEBS主要功能發(fā)布桌面發(fā)布C/S應(yīng)用發(fā)布B/S應(yīng)用發(fā)布文檔發(fā)布目錄發(fā)布內(nèi)容用戶管理用戶賬號(hào)管理用戶組賬號(hào)管理密碼策略管理用戶安全策略服務(wù)器管理服務(wù)器配置策略服務(wù)器報(bào)警策略審計(jì)日志許可管理策略管理應(yīng)用配置策略訪問控制策略輸入法策略時(shí)間策略負(fù)載均衡策略安全策略 *EWEBS技術(shù)優(yōu)勢 1.強(qiáng)大的負(fù)載均衡技術(shù)，實(shí)現(xiàn)動(dòng)態(tài)集群 EWEBS可以區(qū)分應(yīng)用程序，根據(jù)對應(yīng)服務(wù)器上的綜合負(fù)載信息包括CPU、內(nèi)存、硬盤及網(wǎng)絡(luò)等服務(wù)器資源的綜合使用情況實(shí)現(xiàn)負(fù)載均衡。 2.完美的遠(yuǎn)程輸入技術(shù)實(shí)現(xiàn)本地輸入保留客戶端的輸入法習(xí)慣，更無

4、須在服務(wù)器端安裝眾多的輸入法。由于文字輸入工作完全在本地進(jìn)行，即使是手寫、語音等輸入方法都可以繼續(xù)使用。同時(shí)在EWEBS 本地輸入法中，由于采用了獨(dú)特的編碼、解碼技術(shù)，可以實(shí)現(xiàn)不同文字類型的自動(dòng)切換，如繁簡字的切換可以方便的實(shí)現(xiàn)。3.完善的打印機(jī)制，雙重選擇 極通EWEBS立足于客戶應(yīng)用，采用了雙重打印機(jī)制，用戶可以根據(jù)自己實(shí)際需要選擇。 原生打印，直接所有的驅(qū)動(dòng)程序安裝在服務(wù)器端，打印時(shí)速度快，質(zhì)量好。 虛擬打印，不用在服務(wù)端安裝驅(qū)動(dòng)程序，把用戶要打印的文檔生成xpdf文件，并把xpdf文件傳送到客戶端，使用客戶端的打印驅(qū)動(dòng)進(jìn)行打印。4.智能的主機(jī)動(dòng)態(tài)IP定位技術(shù) EWEBS中內(nèi)嵌了動(dòng)態(tài)DN

5、S技術(shù)，用戶只需經(jīng)過簡單的配置就可以獲得由極通科技專門為用戶提供的DNS服務(wù)。無論用戶的公網(wǎng)IP發(fā)生什么樣的變化，極通科技的DNS服務(wù)器都會(huì)在最短的時(shí)間內(nèi)為用戶提供最新的地址解析，用戶就可以一直使用固定的名稱來訪問應(yīng)用服務(wù)器。 5.完備的安全防護(hù)體系不管是C/S還是B/S架構(gòu)的應(yīng)用，如何保證數(shù)據(jù)傳輸?shù)陌踩枪芾韱T要面對的問題，安全的關(guān)注點(diǎn)主要在三個(gè)方面： 用戶身份驗(yàn)證的安全性：用戶身份驗(yàn)證的安全主要包括用戶身份密碼的安全和驗(yàn)證安全兩個(gè)環(huán)節(jié)，傳統(tǒng)的應(yīng)用體系中，用戶驗(yàn)證通常有用戶名/密碼驗(yàn)證、USB key驗(yàn)證及智能卡驗(yàn)證等方法。在EWEBS中，采用用戶帳號(hào)和Windows帳號(hào)關(guān)聯(lián)的方式，用戶訪問

6、應(yīng)用程序時(shí)不直接使用Windows 帳號(hào)密碼，而是使用EWEBS中為用戶單獨(dú)創(chuàng)建的帳號(hào)。用戶帳號(hào)的身份驗(yàn)證支持用戶名/密碼、USB Key驗(yàn)證、智能卡、指紋或視網(wǎng)膜等生物學(xué)身份驗(yàn)證方法。 服務(wù)器的安全性： 在EWEBS中，直接內(nèi)嵌了Windows Active Directory 組策略的配置設(shè)置，管理員無需熟悉組策略的具體配置，只需要進(jìn)行簡單的選擇，就可以輕松的限制用戶對某個(gè)具體的硬盤、系統(tǒng)任務(wù)欄或IE等服務(wù)器端資源的訪問。 數(shù)據(jù)傳輸?shù)陌踩裕?在EWEBS中，由于所有的應(yīng)用程序都在服務(wù)器(集群)上運(yùn)行，所以客戶端和服務(wù)器端傳送的僅僅是應(yīng)用程序的輸入輸出邏輯，在沒有特別授權(quán)的情況下，數(shù)據(jù)無法

7、離開服務(wù)器(集群)，保證了數(shù)據(jù)的安全。EWEBS中還內(nèi)嵌了SSL通信技術(shù)來保證客戶端和服務(wù)器端網(wǎng)絡(luò)通訊的安全，通過訪問控制策略和和時(shí)間策略限制用戶在固定的時(shí)間固定的地點(diǎn)訪問固定的應(yīng)用。 6.特有的資源整合技術(shù)，提升效率在EWEBS8中，專門開啟了獨(dú)立的共享空間，用于加載應(yīng)用程序模塊的代碼段，用戶執(zhí)行應(yīng)用程序時(shí)數(shù)據(jù)段存放在各自獨(dú)立的內(nèi)存空間中，這樣就減少從服務(wù)器硬盤上大量讀取代碼段的需求，從而減少服務(wù)器內(nèi)存、硬盤及CPU資源的消耗。因此在同樣的硬件條件下，服務(wù)器同時(shí)可以支持更多的用戶訪問。 7.遠(yuǎn)程監(jiān)控技術(shù)、加大管控力度EWEBS中具有獨(dú)特的遠(yuǎn)程監(jiān)控技術(shù)，可以進(jìn)行遠(yuǎn)程的集中式培訓(xùn)、會(huì)議，另外可以

8、很好的監(jiān)視服務(wù)器的各項(xiàng)性能。8.圖形加速技術(shù)，擴(kuò)大應(yīng)用領(lǐng)域 傳統(tǒng)的方式遠(yuǎn)程的應(yīng)用各種圖像處理軟件，一般都是使用虛擬顯卡，調(diào)用圖形軟件GPU，性能很低，處理起來的效果很不理想。在EWEBS中，通過圖像加速技術(shù)，以物理顯卡來處理，提高顯示性能，達(dá)到理想應(yīng)用。9. 提供SDK客戶化工具包，方便解決合作伙伴的各種應(yīng)用軟件在多用戶環(huán)境下的兼容性問題 方便客戶將它的軟件和EWEBS軟件無縫整合，提供應(yīng)用集成，方便二次開發(fā)以及功能的擴(kuò)展。 *EWEBS應(yīng)用環(huán)境 服務(wù)器操作系統(tǒng) Windows Server 2003Windows Server 2008Windows XP Professional服務(wù)器硬件

9、需求PIII 800M/512M RAM/ 40G 硬盤以上支持客戶端類型支持 Windows 全系列操作系統(tǒng)、Linux、Unix等多種操作系統(tǒng)支持所有網(wǎng)絡(luò)附錄資料：不需要的可以自行刪除 園區(qū)網(wǎng)絡(luò)虛擬化無論規(guī)模如何或有什么安全需求，企業(yè)現(xiàn)在都能在單一物理網(wǎng)絡(luò)上，受益于支持多個(gè)封閉用戶組的虛擬化園區(qū)網(wǎng)絡(luò)。綜述隨著對園區(qū)網(wǎng)絡(luò)的需求日益復(fù)雜，可擴(kuò)展解決方案也越來越需要將多個(gè)網(wǎng)絡(luò)用戶組進(jìn)行邏輯分區(qū)。網(wǎng)絡(luò)虛擬化提供了多個(gè)解決方案，能在保持現(xiàn)有園區(qū)設(shè)計(jì)的高可用性、可管理性、安全性和可擴(kuò)展性優(yōu)勢的同時(shí)，實(shí)現(xiàn)服務(wù)和安全策略的集中。為達(dá)到出色效果，這些解決方案必須包括網(wǎng)絡(luò)虛擬化的三個(gè)主要方面：訪問控制、路徑隔

10、離和服務(wù)邊緣。通過實(shí)施這些解決方案，網(wǎng)絡(luò)虛擬化即能與思科系統(tǒng)公司的服務(wù)導(dǎo)向網(wǎng)絡(luò)架構(gòu)(SONA)相結(jié)合，為遷移到智能化信息網(wǎng)絡(luò)的企業(yè)創(chuàng)建一個(gè)強(qiáng)大的框架。SONA網(wǎng)絡(luò)利用NAC和IEEE 802.1x協(xié)議提供身份識(shí)別服務(wù)，從而實(shí)現(xiàn)最優(yōu)訪問控制。在用戶獲準(zhǔn)接入網(wǎng)絡(luò)后，三個(gè)路徑隔離解決方案GRE隧道、VRF-lite和MPLS VPN能在保留當(dāng)前園區(qū)網(wǎng)設(shè)計(jì)優(yōu)勢的同時(shí)，在現(xiàn)有局域網(wǎng)上疊加分區(qū)機(jī)制，將網(wǎng)絡(luò)劃分為安全、虛擬的網(wǎng)絡(luò)。這些解決方案解決了與分布部署服務(wù)和安全策略相關(guān)的問題。最后，共享服務(wù)和安全策略實(shí)施的集中化，大大減少了在園區(qū)網(wǎng)中維護(hù)不同群組的安全策略和服務(wù)所需的資本和運(yùn)營開支。這種集中化有助于在

11、園區(qū)中實(shí)施一致的策略。挑戰(zhàn)園區(qū)網(wǎng)絡(luò)的設(shè)計(jì)建議一直缺乏一種對網(wǎng)絡(luò)流量分區(qū)，以便為封閉用戶組提供安全獨(dú)立環(huán)境的方式（表1）。有許多因素都在推動(dòng)對于創(chuàng)建封閉用戶組的需要，包括： 企業(yè)中存在不同級(jí)別的訪問權(quán)限：幾乎每個(gè)企業(yè)都需要解決方案來為客戶、廠商、合作伙伴以及園區(qū)局域網(wǎng)上的員工授予不同的訪問級(jí)別。 法規(guī)遵從性：部分企業(yè)受法律或規(guī)定的要求，必須對較大的機(jī)構(gòu)進(jìn)行分區(qū)。例如，在金融公司中，銀行業(yè)務(wù)必須與證券交易業(yè)務(wù)分開。 過大的企業(yè)需要簡化網(wǎng)絡(luò)：對于非常大型的園區(qū)網(wǎng)絡(luò)，如機(jī)場、醫(yī)院或大學(xué)來說，過去，為保證不同用戶組或部門間的安全性，就必須構(gòu)建和管理不同的物理網(wǎng)絡(luò)，這種做法既昂貴又難以管理。 網(wǎng)絡(luò)整合：在

12、合并和收購時(shí)，通常需要迅速集成所收購公司的網(wǎng)絡(luò)。 外包：隨著外包和離岸外包的普及，子承包商必須證明各客戶的信息間完全隔離。尤其當(dāng)一家承包商服務(wù)于相互競爭的公司時(shí)，這尤為重要。 提供網(wǎng)絡(luò)服務(wù)的企業(yè)：零售連鎖公司為其他公司支持售貨亭或?yàn)榧佑驼咎峁┗ヂ?lián)網(wǎng)接入；同樣，服務(wù)于多家航空公司和零售商的機(jī)場能使用單一網(wǎng)絡(luò)來提供隔離服務(wù)和共享服務(wù)。 表1. 不同垂直行業(yè)中網(wǎng)絡(luò)分區(qū)的應(yīng)用示例垂直行業(yè)網(wǎng)絡(luò)虛擬化應(yīng)用示例制造業(yè)生產(chǎn)工廠(自動(dòng)裝置，生產(chǎn)環(huán)境自動(dòng)化等)，管理，銷售，視頻監(jiān)視。 金融業(yè)交易大廳，管理，合并。政府支持不同部門的共同建筑物和設(shè)施。在部分國家，法律要求這些部門采用不同網(wǎng)絡(luò)。醫(yī)療總體趨勢是在進(jìn)行治療

13、的同時(shí)提供賓館式服務(wù)。須隔離醫(yī)護(hù)人員、核磁共振成像(MRI)和其他技術(shù)設(shè)備、病人互聯(lián)網(wǎng)接入，以及為病人提供的廣播和電視等媒體服務(wù)。 商業(yè)智能樓宇：多企業(yè)園區(qū)不同部門共享部分資源。多個(gè)公司位于同一園區(qū)，其中不同建筑物分屬不同部門，但全使用相同的核心和互聯(lián)網(wǎng)接入機(jī)制。園區(qū)所有者管理建筑物自動(dòng)化體系，覆蓋所有建筑物。零售售貨亭，分支機(jī)構(gòu)中的公共無線局域網(wǎng)，RF識(shí)別，WLAN設(shè)備（例如，不支持任何WLAN安全特性的較早的WLAN條碼閱讀器）。教育學(xué)生、教授、管理人員和外部研究團(tuán)隊(duì)間需要隔離。此外，分布于多個(gè)建筑物的各院系可能需要訪問各自的服務(wù)器區(qū)域。而某些資源（例如互聯(lián)網(wǎng)、電子郵件和新聞）可能需要共享

14、或通過一個(gè)服務(wù)區(qū)訪問。此外，建筑物自動(dòng)化體系也必須分開。園區(qū)局域網(wǎng)的發(fā)展網(wǎng)絡(luò)虛擬化允許多個(gè)用戶組訪問同一物理網(wǎng)絡(luò)，但從邏輯上對它們進(jìn)行一定程度的隔離，以便它們無法查看其他組這是多年來網(wǎng)絡(luò)經(jīng)理面臨的挑戰(zhàn)。在上世紀(jì)90年代，L2交換是園區(qū)局域網(wǎng)的標(biāo)志性特征，虛擬局域網(wǎng)(VLAN)是在一個(gè)通用基礎(chǔ)設(shè)施中將局域網(wǎng)劃分為不同工作組的標(biāo)準(zhǔn)。此解決方案安全高效，但無法很好地?cái)U(kuò)展，而且隨著園區(qū)局域網(wǎng)的發(fā)展，其管理也非易事。核心和分布層中L3交換的出現(xiàn)，在VLAN方式的基礎(chǔ)上對可擴(kuò)展性、性能和故障排除進(jìn)行了優(yōu)化。過去幾年中，所構(gòu)建的基于L3的園區(qū)網(wǎng)絡(luò)已經(jīng)證實(shí)，它們便于擴(kuò)展、功能強(qiáng)大，具有高性能。但在網(wǎng)絡(luò)分區(qū)和封

15、閉用戶組方面，L3園區(qū)方式有著重大缺陷和限制。在此情況下，添加封閉用戶組即意味著增加成本和復(fù)雜度。解決方案：網(wǎng)絡(luò)虛擬化因此我們需要一個(gè)便于擴(kuò)展的解決方案，來保持用戶組完全隔離，實(shí)現(xiàn)服務(wù)和安全策略的集中，并保留園區(qū)網(wǎng)設(shè)計(jì)的高可用性、安全性和可擴(kuò)展性優(yōu)勢。為支持此解決方案，網(wǎng)絡(luò)設(shè)計(jì)必須高效地解決以下問題： 訪問控制：確保能識(shí)別合法用戶和設(shè)備，對其分類，并允許其接入獲得訪問授權(quán)的網(wǎng)絡(luò)部分。 路徑隔離：確保各用戶或設(shè)備都能高效地分配到正確、安全的可用資源集即正確的VPN。 服務(wù)邊緣：確保合法的用戶和設(shè)備能訪問相應(yīng)的正確服務(wù)，并集中實(shí)施策略。 思科解決方案能通過幾個(gè)方式實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化。虛擬化技術(shù)使單一物

16、理設(shè)備或資源能作為它自己的多個(gè)物理版本，在網(wǎng)絡(luò)中共享。網(wǎng)絡(luò)虛擬化是思科SONA框架的一個(gè)重要組件。思科SONA使用虛擬化技術(shù)來改進(jìn)服務(wù)器和存儲(chǔ)局域網(wǎng)（SAN）等網(wǎng)絡(luò)資產(chǎn)的使用。例如，一個(gè)物理防火墻能配置為執(zhí)行多個(gè)虛擬防火墻的功能，幫助企業(yè)優(yōu)化資源和安全投資。其他虛擬化戰(zhàn)略包括集中策略管理、負(fù)載均衡和動(dòng)態(tài)分配等。虛擬化能提高靈活性和網(wǎng)絡(luò)效率，降低資本和運(yùn)營開支。訪問控制：身份驗(yàn)證和接入層安全接入層安全對于保護(hù)園區(qū)局域網(wǎng)免遭外部威脅十分重要。通過在威脅進(jìn)入園區(qū)前即采取防御措施的特性，能對思科網(wǎng)絡(luò)虛擬化解決方案構(gòu)成補(bǔ)充。IEEE 802.1X即是這樣一種技術(shù)，它是端口安全的標(biāo)準(zhǔn)。802.1X在用戶及

17、其相關(guān)的VPN間形成強(qiáng)大的連接，防止在未授權(quán)情況下訪問禁止接入的資源。另一種補(bǔ)充技術(shù)是思科網(wǎng)絡(luò)準(zhǔn)入控制(NAC)。NAC的職責(zé)是在邊緣防御威脅，在有害流量到達(dá)分布層或核心層前即將其刪除。NAC有助于確保用戶不會(huì)使園區(qū)基礎(chǔ)設(shè)施遭受到任何病毒、蠕蟲等威脅。路徑隔離：L3 VPN為支持園區(qū)網(wǎng)絡(luò)虛擬化，思科提供了三個(gè)非常適用于典型園區(qū)網(wǎng)絡(luò)設(shè)計(jì)，并混合使用了L2和L3技術(shù)的解決方案： GRE隧道 VRF-lite MPLS VPN GRE隧道GRE隧道為在園區(qū)網(wǎng)絡(luò)上創(chuàng)建封閉用戶組提供了一種相當(dāng)簡單且高效的方法。GRE隧道非常適于作為托管“訪客”接入的企業(yè)解決方案，使公司能為訪客或來訪者提供全球互聯(lián)網(wǎng)接入

18、，而又能防止這些用戶訪問內(nèi)部資源。在圖1中，GRE隧道與Cisco VRF-lite特性共用，為訪客接入創(chuàng)建了一個(gè)簡單、易于管理的解決方案。圖1. 結(jié)合使用GRE隧道和VRF-lite該解決方案的優(yōu)勢包括： 能跨越典型的多層園區(qū)網(wǎng)絡(luò)（無需園區(qū)級(jí)VLAN）。 訪客用戶流量與其他公司局域網(wǎng)流量隔離。 所有訪客流量的進(jìn)入點(diǎn)位于中央位置，使安全性和服務(wù)質(zhì)量(QoS)策略更易于管理。 甚至能通過廣域網(wǎng)擴(kuò)展到分支機(jī)構(gòu)。 在將GRE隧道作為支持封閉用戶組的解決方案時(shí)，需要注意的一個(gè)因素是隧道本身較難配置和管理，因此不建議解決方案部署超過兩條隧道。此類網(wǎng)絡(luò)虛擬化適用于需要星型拓?fù)涞膱龊?。VRF-liteVRF

19、-lite是一個(gè)思科特性，通常稱為多VRF客戶邊緣，通過使用單一路由設(shè)備支持多個(gè)虛擬路由器，來提供園區(qū)分區(qū)解決方案。VRF-lite是MPLS的輕量版本。利用VRF-lite，網(wǎng)絡(luò)經(jīng)理能靈活地為任意特定VPN使用任意IP地址空間，而無論它是否與其他VPN的地址空間重疊或沖突。這種靈活性在很多場合都非常實(shí)用。例如，當(dāng)所收購公司的網(wǎng)絡(luò)合并到一個(gè)共享局域網(wǎng)中，所收購的網(wǎng)絡(luò)能作為獨(dú)立VPN進(jìn)入基礎(chǔ)設(shè)施，幾乎或完全不會(huì)干擾網(wǎng)絡(luò)上的日常業(yè)務(wù)流程。VRF-lite能用作端到端解決方案，如圖2所示，也能與另一解決方案共用來支持封閉用戶組，這將在下一部分中討論?？傮w來說，VRF-lite的可擴(kuò)展性高于GRE隧道

20、，但它最適用于有四或五個(gè)分區(qū)的網(wǎng)絡(luò)。每次添加用戶組時(shí)，它都需要人工重配置，因此相當(dāng)耗費(fèi)勞力。圖2. VRF作為端到端解決方案部署MPLS VPN另一種為封閉用戶組進(jìn)行園區(qū)網(wǎng)絡(luò)分區(qū)的方法為基于MPLS的L3 VPN。和GRE隧道與VRF-lite一樣，MPLS VPN提供了一種安全可靠的方式，在通用物理基礎(chǔ)設(shè)施上進(jìn)行網(wǎng)絡(luò)邏輯分區(qū)。盡管電信運(yùn)營商使用MPLS技術(shù)的時(shí)間已有幾年，但因?yàn)榫钟蚓W(wǎng)交換機(jī)上缺乏對MPLS的支持，它還未在企業(yè)網(wǎng)絡(luò)中廣泛部署。而不斷改變的業(yè)務(wù)需求，以及相應(yīng)的新產(chǎn)品面世，正幫助MPLS成為園區(qū)基礎(chǔ)設(shè)施中的重要技術(shù)。隨著Cisco Catalyst 6500系列提供了對于MPLS

21、VPN的支持，對許多大型企業(yè)來說，MPLS技術(shù)已擁有了廉宜價(jià)位。MPLS VPN具有本文中討論的其他解決方案的所有優(yōu)勢（參見圖3）。此外，任何MPLS VPN都能通過配置，連接至用戶和位于網(wǎng)絡(luò)中任意地點(diǎn)的資源，而不會(huì)影響性能或網(wǎng)絡(luò)設(shè)計(jì)。相應(yīng)地，MPLS VPN也是三個(gè)思科網(wǎng)絡(luò)基礎(chǔ)設(shè)施虛擬化解決方案中可擴(kuò)展性最高的。當(dāng)添加或改動(dòng)用戶組時(shí)，無需人工重配置，這提高了可擴(kuò)展性，降低了運(yùn)營開支。當(dāng)在網(wǎng)絡(luò)邊緣使用VLAN，在園區(qū)的路由部分使用L3 VPN時(shí)，保留了層次化園區(qū)網(wǎng)部署的所有優(yōu)勢，同時(shí)該解決方案還能在園區(qū)局域網(wǎng)中實(shí)現(xiàn)端到端、可擴(kuò)展分區(qū)，并支持集中的安全特性和服務(wù)。和VRF-lite一樣，網(wǎng)絡(luò)定址靈活性也是MPLS VPN的另一優(yōu)勢。圖3. MPLS VPN支持任意到任意連接統(tǒng)一接入提供靈活性這三個(gè)思科園區(qū)網(wǎng)虛擬化解決方案并不限制用戶使用任何特定的接入類型。盡管他們在單一物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施中工作，但這些解決方案能輕松地支持移動(dòng)用戶。無論使用的解決方案是基于GRE隧道、VRF-lite還是MPLS VPN，用戶只要能接入網(wǎng)絡(luò)，就能透明地與其所屬的封閉用戶組相關(guān)聯(lián)。虛擬化服務(wù)虛擬化網(wǎng)絡(luò)服務(wù)是思科網(wǎng)絡(luò)基礎(chǔ)設(shè)施虛擬化解決方案和SONA的一個(gè)重要組件，能幫助企業(yè)高效運(yùn)營，從而減少其網(wǎng)絡(luò)上使用的設(shè)備數(shù)目。思科網(wǎng)絡(luò)虛擬化解決方案支持集中服務(wù)，包括： 集中設(shè)備，如防火墻和入侵檢測系統(tǒng)(IDS) 安