Koncepcja wirtualizacji trafiła na podatny grunt także wśród producentów urządzeń sieciowych. Obok takich technologii, jak znane od dawna VPN czy VLAN, pojawia się szereg nowych pomysłów. W tym artykule przyglądamy się koncepcjom i rozwiązaniom do wirtualizacji przedstawiane przez Cisco.
Zgodnie z koncepcją Cisco Data Center 3.0, rozwiązania wirtualizacyjne będą przeznaczone przede wszystkim do centrów danych.Realizację te koncepcji mają umożliwić wirtualne usługi komunikacyjne (MPLS, VPN warstwy 2 i 3, wirtualne routery), wirtualne sieci (VLAN, VRF), rozwiązania do wirtualizacji serwerów czy zwirtualizowana pamięć masowa (Virtul SAN). W tym artykule skupimy się na wirtualnych sieciach i usługach komunikacyjnych.
Wirtualizacja w kontekście sieci przybiera nieco inne formy niż w przypadku wirtualizacji serwerów. Mogą to być zarówno rozwiązania typu „jeden do wielu” – jedna sieć fizyczna obsługuje wiele sieci wirtualnych, jak również rozwiązania „wiele do jednego” – jedna sieć konsoliduje wiele sieci. Podobne są natomiast korzyści. Wirtualizacja sieci zwiększa elastyczność wykorzystania zasobów, poprawia wykorzystanie pojemności oraz umożliwia segmentację sieci, a co za tym idzie, poprawę bezpieczeństwa.
Wirtualizacja routerów
VLAN, czyli technologia wirtualizacja przełączników, jest powszechnie znana. Nowym rozwiązaniem jest VRF (Virtual Routing/Forwarding), czyli technologia wirtualizacji routerów. Jest to przykład rozwiązania „jeden do wielu”.
W typowym routerze wszystkie trasy statyczne oraz procesy routingu są przechowywane w jednej tablicy routingu, do której przypisane są wszystkie interfejsy sieciowe. VRF umożliwia podzielenie tablicy routingu na wiele wirtualnych tablic. Specjalne rozszerzenia protokołów routingu umożliwiają przypisywanie procesów i zakresów adresów do wybranej, wirtualnej tablicy. Również interfejsy sieciowe można przypisać do określonej tablicy.
Podstawowa implementacja to VRF Lite. W tym przypadku każdy router w sieci jest węzłem wirtualnego środowiska routingu. Takie rozwiązania znajdują zastosowanie w małych i średnich firmach oraz centrach danych, ale już nie w przypadku dużych instalacji czy firm działających na skalę globalną, ze względu na ograniczoną skalowalność. Problemów ze skalą nie ma w przypadku implementacji IPVPN. W tym rozwiązaniu rdzeń sieci służy do transmisji danych na duże odległości pomiędzy instancjami VRF działającymi na brzegu sieci poszczególnych lokalizacji. IPVPN jest wdrażany w szkielecie sieci MPLS do oznaczania pakietów, co pozwala na identyfikację wirtualnego routera użytkownika.
Wirtualne przełączniki
Z kolei przykładem rozwiązań „wiele do jednego” jest system wirtualnych przełączników (Virtual Switching System – VSS). Implementacją tego rozwiązania jest Virtual Switching System 1440 zbudowany z dwóch przełączników Catalyst 6500. Przełączniki te wykorzystuje się w centrach danych w drugiej warstwie (dystrybucji), gdzie standardowo pracują w parach, aby zapewnić redundancję. To jednak komplikuje zarządzanie, a także ogranicza wykorzystanie wydajności routerów.
Połączenie dwóch routerów Catalyst 6500 w jedno logiczne urządzenie pozwala rozwiązać te problemy. W konsoli administracyjnej od razu ubywa połowa urządzeń, a jednocześnie zaczynają one pracować z większą wydajnością. Również przez inne urządzenia sieciowe VSS jest postrzegany jako pojedynczy węzeł przełączający warstwy drugiej lub jako węzeł routingu warstwy trzeciej. Zachowana zostaje hierarchiczna struktura i redundancja – gdy jeden z routerów ulegnie awarii, drugi przejmuje jego zadania.
Do połączenia przełączników służy specjalne łącze 10 GE, które umożliwia im pracę w trybie Virtual Switching Mode. Długość tego połączenia może wynosić nawet 40 km, jeśli użyje się światłowodów X2-10GB-ER. Jeden z routerów pełni rolę nadrzędnego i zarządza pracą drugiego. Tak więc tylko w jednym przełączniku jest aktywny panel kontrolny, natomiast w obu aktywne są panele danych, co pozwala jednemu i drugiemu urządzeniu na przesyłanie danych.
Wirtualne usługi sieciowe
Oprócz routerów i przełączników w sieci pracują jeszcze inne urządzenia, jak zapory sieciowe czy równoważące obciążenie. Je również można zwirtualizować i skonsolidować, co przynosi spore korzyści. Standardowe rozwiązania mają istotne wady. Wdrażanie jednej aplikacji na dedykowanym urządzeniu prowadzi do szybkiego przyrostu liczby urządzeń, niskiego wykorzystania ich możliwości oraz trudności w zarządzaniu. Uruchomienie wielu aplikacji na jednym urządzeniu rozwiązuje te problemy, ale brak izolacji między nimi powoduje, że: aplikacje konkurują o zasoby, zmiany w aplikacjach wpływają na inne aplikacje, plik konfiguracyjny staje się bardziej złożony.
Odpowiednią izolację może zapewnić zwirtualizowanie aplikacji. W przypadku Cisco podstawą takiego rozwiązania jest przełącznik Catalyst 6500 z modułami FWSM i ACE. Taka platforma jest w stanie obsłużyć wirtualne routery (VRF), wirtualne zapory sieciowe, wirtualne urządzenia równoważące obciążenie oraz wirtualne dekodery SSL (SSL Offloader). Wirtualne firewalle wymagają stosowania modułów FWSM, natomiast wirtualne urządzenia równoważenia obciążenia i dekodujące SSL wymagają modułów ACE.
Każde wirtualne urządzenie (ang. context) ma własny plik konfiguracyjny i oddzielną tablicę routingu. Dla każdego można zdefiniować oddzielny zestaw reguł, a zarządzać i monitorować nimi globalnie. Poza tym na fizycznym routerze działa jedno wirtualne urządzenie służące do zadań administracyjnych i odpowiadające za przydzielanie zasobów.
Korzyści z wirtualizacji urządzeń są podobne, jak w przypadku wirtualizacji serwerów: konsolidacja czy szybkie reagowanie na potrzeby firmy. Wdrażanie nowych wirtualnych urządzeń czy zmiany w istniejących sprowadzają do prostych operacji w konsoli zarządzania, co w przypadku urządzeń fizycznych wiąże się z procesem zakupu nowego sprzętu.
Funkcje kontroli zasobów pozwalają zagwarantować wymagany poziom zasobów dla każdego wirtualnego urządzenia. Obejmują przydzielanie przepustowości, liczby połączeń na sekundę, przepustowości dla połączeń SSL oraz pamięci operacyjnej. Stosowanie wirtualnych urządzeń pozwala także na izolację ruchu generowanego przez poszczególnego aplikacje, np. działające na jednym serwerze, ale w maszynach wirtualnych.
Wirtualne sieci w wirtualnych serwerach
Warto jeszcze wspomnieć o Cisco Nexus 1000V – jest to pierwszy programowy router przygotowany przez Csci na potrzeby firmy VMware. Oprogramowanie to będzie zintegrowane z ESX Serverem i oferowane jako opcjonalne wyposażenie.
Nexus 1000V ma uprościć infrastrukturę połączeń sieciowych pomiędzy wirtualnymi i fizycznymi serwerami. Znajdą się w nim rozwiązania znane z fizycznych przełączników Cisco, ale największą zaletą tego oprogramowania będzie zagwarantowanie, że konfiguracja sieci i reguły zabezpieczeń będą automatycznie podążać za wirtualną maszyną podczas migracji VMotion między serwerami fizycznymi.
