不僅僅是服務(wù)器和電腦平臺(tái)，如今局域網(wǎng)廠商們也在竭力宣傳虛擬化功能。
虛擬化技術(shù)應(yīng)用于服務(wù)器或者存儲(chǔ)系統(tǒng)，可以讓用戶放置幾十個(gè)甚至幾百個(gè)服務(wù)器操作系統(tǒng)實(shí)例，或者劃分及控制不同磁盤上的存儲(chǔ)容量。支持者聲稱，這項(xiàng)技術(shù)降低了運(yùn)營成本、減少了復(fù)雜性。
現(xiàn)在網(wǎng)絡(luò)廠商們聲稱，虛擬化技術(shù)也可以適用于企業(yè)網(wǎng)絡(luò)核心和邊緣的路由。如果把一個(gè)企業(yè)網(wǎng)絡(luò)分隔成多個(gè)不同的子網(wǎng)絡(luò)——它們使用不同的規(guī)則和控制，用戶就可以充分利用交換機(jī)的虛擬化路由功能，而不是購買及插入新的機(jī)架或者設(shè)備來實(shí)現(xiàn)這種分隔機(jī)制。
虛擬化網(wǎng)絡(luò)概念并不是什么新概念，因?yàn)槎嗄陙?，虛擬局域網(wǎng)（VLAN）技術(shù)作為經(jīng)實(shí)踐證明切實(shí)可靠的一種方法，歷來用于在一個(gè)以太網(wǎng)交換上或者跨多個(gè)交換機(jī)來構(gòu)建安全、獨(dú)立的局域網(wǎng)網(wǎng)段。
而核心機(jī)架交換機(jī)里面的虛擬化路由功能是可以在第三層分隔企業(yè)網(wǎng)絡(luò)、對(duì)內(nèi)外網(wǎng)絡(luò)流量提供更多安全和控制的一種類似工具。
通過VRF進(jìn)行隔離
在多協(xié)議標(biāo)記交換（MPLS）運(yùn)營商網(wǎng)絡(luò)，虛擬路由和轉(zhuǎn)發(fā)（Virtual Routing Forwarding，VRF）被用于把客戶流量分割成獨(dú)立路由轉(zhuǎn)發(fā)的幾段流量，這步操作有時(shí)在同一個(gè)設(shè)備上進(jìn)行。
廠商們稱，針對(duì)企業(yè)應(yīng)用，精簡版VRF（一種規(guī)模比較小的VRF，不需要MPLS）可以把一個(gè)路由器劃分成多個(gè)虛擬化設(shè)備。譬如說，Extreme公司就在其模塊化的ExtremeWare XOS交換機(jī)操作系統(tǒng)里面添加了虛擬化路由器配置這項(xiàng)功能。
除了其他路由平臺(tái)外，Juniper公司的ISG系列安全路由器/防火墻也支持虛擬化技術(shù)。思科的IOS型號(hào)的Catalyst 6500交換機(jī)里面添加了支持VRF和精簡版VRF的功能。
網(wǎng)捷網(wǎng)絡(luò)公司的NetIron交換機(jī)支持Multi-VRF，這可以讓用戶在一個(gè)設(shè)備里面創(chuàng)建多個(gè)虛擬化路由選擇域。這些路由選擇域類似第二層虛擬局域網(wǎng)，可以對(duì)流量進(jìn)行分離。用戶可以在該設(shè)備外面安裝防火墻，也可以安裝內(nèi)部訪問控制列表，從而監(jiān)管虛擬化路由器網(wǎng)段之間共享的那些流量。
通過思科IOS交換機(jī)里面的命令，就可以激活及配置VRF和精簡版VRF。據(jù)思科負(fù)責(zé)路由器和交換機(jī)產(chǎn)品的營銷經(jīng)理Marie Hattar聲稱，為了在Catalyst 6500上使用虛擬化、經(jīng)過路由的網(wǎng)段，需要這一步操作。
Hattar說: “這項(xiàng)技術(shù)會(huì)充分利用VRF的各部分。我們正在試圖為企業(yè)客戶提供設(shè)置虛擬化服務(wù)的一種方法，而不必使用基于MPLS的實(shí)現(xiàn)系統(tǒng)，因?yàn)楹笳弑容^復(fù)雜。”
虛擬化路由器
Amica保險(xiǎn)公司使用了其Extreme BlackDiamond 10K的虛擬化路由功能，還使用了Juniper ISG路由器/防火墻;BlackDiamond 10K可以分割成多個(gè)虛擬化路由器。
據(jù)該公司的IT主管Ron Rivet聲稱，這種方案可以把負(fù)責(zé)傳送Web、虛擬專用網(wǎng)（VPN）和外聯(lián)網(wǎng)等流量的復(fù)雜邊緣基礎(chǔ)設(shè)施全部收縮到兩個(gè)物理設(shè)備里面。
在Amica公司的網(wǎng)絡(luò)上，BlackDiamond 10K被分割成了六個(gè)虛擬化路由器，每個(gè)路由器都有各自的路由表、IP地址、訪問控制及規(guī)則。一個(gè)虛擬化路由器負(fù)責(zé)處理所有進(jìn)出的因特網(wǎng)流量，并且使用多路DS-3連接。
Juniper ISG這個(gè)路由器連接到Juniper防火墻，也被分割成多個(gè)虛擬化路由器。ISG負(fù)責(zé)對(duì)數(shù)據(jù)包進(jìn)行過濾，并確定流量是傳送到幾個(gè)非軍事區(qū)（DMZ）當(dāng)中的一個(gè)——這些DMZ面向外聯(lián)網(wǎng)的應(yīng)用軟件或者公共網(wǎng)站，還是傳送到存放有在公司內(nèi)部網(wǎng)絡(luò)上運(yùn)行的應(yīng)用軟件的VPN網(wǎng)段。
ISG將分段流量發(fā)送到第二個(gè)虛擬化路由器，該路由器再將流量路由轉(zhuǎn)發(fā)到ISG里面的虛擬化路由器網(wǎng)段——在這里，防火墻規(guī)則第二次加以運(yùn)用。流量由此發(fā)送到BlackDiamond 10K的其中一個(gè)虛擬化路由器。BlackDiamond 10K負(fù)責(zé)處理不同網(wǎng)段的流量。
Rivet說，如果在Amica的網(wǎng)絡(luò)安全配置的每個(gè)步驟都安裝不同廠商的一個(gè)個(gè)設(shè)備來處理流量需要高昂成本——他估計(jì)硬件費(fèi)用至少需要5萬到10萬美元，管理起來也比較困難。
行業(yè)觀察人士認(rèn)為，大多數(shù)企業(yè)恐怕不會(huì)充分利用由思科、網(wǎng)捷及其他廠商提供的這幾種虛擬化路由功能。
Yankee集團(tuán)的分析師Zeus Kerravala說:“這幾種網(wǎng)絡(luò)虛擬化功能其實(shí)適用于電信公司和高端企業(yè)，因?yàn)樗鼈冇卸鄠€(gè)客戶或者部署需要服務(wù)，也需要這種虛擬化功能進(jìn)行擴(kuò)展。”
其他人士則說，就為大型企業(yè)網(wǎng)絡(luò)劃分網(wǎng)段而言，在物理設(shè)備上添加另外一臺(tái)路由器、對(duì)網(wǎng)絡(luò)進(jìn)行分段是比較簡單也是比較安全的一種方法。