隨著互聯網技術的不斷發展，網絡虛擬化已經越來越受到歡迎，在這其中，企業是網絡虛擬化的主力用戶。那么如何在企業部署網絡虛擬化呢？對此，中培偉業《網絡部署實戰及架構設計》培訓專家袁老師指出，網絡虛擬化可分為以下三種主要模式，每種都包含不同的技術以滿足不同的需求：

· 設備虛擬化

· 路徑隔離

· 服務虛擬化

此外，可單獨使用不同模式的技術以滿足特定要求，或者結合這些技術來實現終端到終端網絡虛擬化解決方案。因此，網絡設計人員必須充分了解不同的技術方法以及它們的屬性，以選擇最合適的虛擬化技術和設計方法，為企業帶來價值。

設備虛擬化

也被稱為設備分區，設備虛擬化是指在某個網絡節點(例如交換機或路由器)虛擬化數據平面、控制平面或兩者。通過利用設備級虛擬化可幫助在本地設備水平實現2層網絡、3層網絡或兩者的分離，下面是實現設備級網絡虛擬化的主要技術：

· 虛擬LAN(VLAN)：VLAN是最常見的2層網絡虛擬化技術。它被用在網絡中，其中單個交換機可被分為多個邏輯2層網絡廣播域，這些域與其他VLAN虛擬分離。您可使用網絡邊緣的VLAN來放置端點到某個虛擬網絡。每個VLAN都有自己的MAC轉發表以及生成樹實例(Per-VLAN Spanning Tree[PVST])。

· 虛擬路由和轉發(VRF)VRF在概念是與VLAN類似，但從控制平面和轉發角度來看，它是在3層網絡設備。VRF可結合VLAN來為每個VLAN提供虛擬化3層網絡網關服務。

　　路徑隔離

路徑隔離是指跨網絡維護終端到終端邏輯路徑傳輸分離的概念。這種終端到終端路徑分離可使用以下主要設計方法來實現：

· 逐跳: 這種設計方法是基于在流量路徑中按設備部署終端到終端(VLAN+802.1Q中繼鏈路+VRF)，這種設計方法提供了簡單可靠的路徑分離解決方案。然而，對于大規模動態網絡(大量虛擬化網絡)，這是非常難以管理的復雜解決方案。這種復雜性與設計可擴展性限制有關。

· 多跳Multihop：這種方法基于使用隧道和其他覆蓋技術來提供端到端路徑隔離，并在網絡傳輸虛擬化流量最常見的方法包括：

· 隧道協議：GRE或多點GRE(mGRE)(動態多點VPN[DMVPN])等隧道協議將消除對端到端VRF和802.1Q中繼的依賴，因為激活的流量將通過隧道傳輸。與之前的方法相比，這種方法提供更高級別的可擴展性，以及更簡單的操作。這種設計非常適合只有部分網絡需要路徑隔離的網絡。

然而，對于擁有多個邏輯組或業務部門的大規模網絡，這種隧道方法會給設計和操作增加復雜性。例如，如果該設計需要為跨兩個“分布塊”的用戶組進行路徑隔離，隧道則很適合。但mGRE可為較大型網絡提供相同的傳輸和路徑隔離，且保持更低的設計和操作復雜性。

· MPLS VPN：通過將企業轉換為服務提供商類型的網絡，核心是啟用多協議標簽交換(MPLS)以及分布層交換機作為提供商邊緣(PE)設備。正如在服務提供商網絡中，每個PE(分布塊)將通過MP-BGP會話交換VPN路由。

另外，如果需要的話，這種架構還可引入L2VPN功能，例如基于MPLS的以太網(EoMPLS)，以跨越不同分布塊提供擴展的2層網絡通信。在這種設計方法中，端到端虛擬化和流量分離可在很大程度上得到簡化。

服務器虛擬化

虛擬化的主要目標之一是將服務訪問分為不同邏輯組，例如用戶組或部門。然而，在某些情況下，可能會出現混合情況，即某些服務只能由特定組訪問，而其他服務則由不同組共享，例如數據中心或互聯網訪問的文件服務器。

因此，在這樣的情況下，服務訪問需要根據虛擬網絡或組來分離，網絡虛擬化的概念必須擴展到服務訪問邊緣，例如具有多個VM的服務器或者具有單個或多個互聯網鏈接的互聯網邊緣路由器。

注意：網絡虛擬化可擴展到其他網絡服務設備，例如防火墻。例如，您可在每個虛擬網絡部署單獨的虛擬防火墻，以便于虛擬用戶網絡和虛擬服務及工作負載之間的訪問控制，如下圖所示。網絡服務設備的虛擬化可被認為是“一對多”網絡設備級虛擬化。

此外，在多租戶網絡環境中，多個安全背景內容為企業(以及服務提供商)提供了靈活且具有成本效益的解決方案。這個方法可讓網絡運營商對單對冗余防火墻分區，或者將單個防火墻集群按業務單位或租戶分為多個虛擬網絡實例。每個租戶可部署及管理自己的安全政策和服務訪問，這些都是虛擬分離的。這種方法還允許受控的租戶內通信。例如，在典型的多租戶企業園區網絡環境中(核心啟用了MPLS VPN)，不同租戶之間的流量通常通過防火墻服務來路由