虚拟路由技术原及应用研究.docVIP

虚拟路由技术原理及应用研究 目 录 一、 前言 3 二、 虚拟路由技术原理 3 三、 虚拟路由技术现状 4 四、 虚拟路由技术应用 5 五、 小结 6 前言 随着虚拟技术的发展，虚拟局域网（VLAN）技术、虚拟主机技术先后出现，利用有限的物理资源通过虚拟化技术进行拓展已经成为一种发展趋势。路由器也发展出虚拟路由技术，通过虚拟路由技术可以将一个物理路由器虚拟为多个相互隔离的虚拟路由器，可有效提升路由器的利用率并降低运营商的运营成本。 虚拟路由技术原理 众所周知，路由器工作于OSI的第三层，路由器主要作用在于为不同的网段进行路由，而路由器的转发则是依赖路由表进行的。因此虚拟路由技术的核心在于虚拟路由转发表（VRF），在一个物理路由器上，可以形成多个逻辑上的虚拟路由器，每个虚拟路由器都单独地运行各自的路由协议实例，并且都有自己专用的I/O端口、缓存、地址空间、路由表和网络管理软件。虚拟骨干路由器，可以为客户提供成本低廉的专用骨干网控制和安全管理功能。每个虚拟路由器的进程与其它路由器的进程都是相互分开的，从而保证了数据的高度安全性许多路由器进行转发时，都是靠硬件来实现线速性能的。而对于使用虚拟路由功能的系统而言，这些硬件功能都可以被逻辑细分；还可以灵活地将其配置给某一个专用的虚拟路由器。具有虚拟路由功能的软件模块，可以完全控制数据分组发送和接收的物理端口及交换路径。虚拟路由技术使得每个虚拟路由器各自单独地执行路由协议软件实例（如：OSPF，BGP）和网络管理软件的实例（如：SNMP或命令行），因此，用户对每个虚拟路由器都可以独立地进行监视和管理。独立运行网络协议实例，使得每个虚拟路由器都拥有一个完全独立的IP地址域，相互之间不会产生任何冲突。每个虚拟路由器都可以作为一个单独运行的实体来进行管理。其提供的基于用户的安全模块，可以保证属于某个虚拟路由器的所有网络管理功能和信息都只对具有权限的用户开放。另外，每个虚拟路由器的分组转发路径也都是相互独立的，这使得管理员可以分别为每个虚拟路由器单独配置性能。 通过虚拟路由器，大的通信突发数据流只会对本路由器产生影响，而不会影响到其它的路由器，从而为终端用户能够得到稳定的网络性能提供了保障。此外，虚拟路由器同时还提供独立的策略，使虚拟路由器可以为终端用户提供完全的客户化服务。通过给虚拟路由器的I/O端口进行配置，可以对接收的分组进行计数，这样就能够保证数据量不会超越预先确定的协议；同时虚拟路由器还可以根据数据分组的服务等级不同，将其数据分组分配到不同的队列中，以实现不同的服务质量。 VRF-lite Multi-VRF 一种IP扩展协议，它在基于MPLS的网络上提供多个路由实例。 类似于VRF的路由虚拟化技术，但不需要MPLS。 类似于VRF-lite，利用BGP或OSPF等路由协议的多个实例，在同一台路由器上提供维护多个VRF表的能力。 虚拟路由技术应用 在常见的集团组网中，经常需要将集团的各个分支机构在移动公司机房汇聚后再连接至集团总部，这种情况经常需要为该集团单独放置一台汇聚设备，这样不但造成了成本增加，也占用了不少机房内机架资源。以往若是使用只投资一台设备，则存在网络安全隔离问题、地址重叠问题、路由隔离等问题，现在通过虚拟路由技术可方便地解决上述问题。 例一： 集团A与集团B,集团A采用ospf协议，集团B采用isis路由协议，双方地址都采用192.168开头的私网地址，而且地址存在重叠，传统方法必须每集团单独配置一台路由器。现解决办法为配置一台高端路由器作为集团接入路由器，采用虚拟化技术将路由器虚拟为三台路由器，一台为集团A使用，启用ospf协议；一台为集团B使用，启用isis协议，另一台用于其他客户接入公网使用，用于正常的上网业务，此外可以通过灵活的设置为不同的用户选择出口，此外还可根据各集团的实际流量以及对系统资源的消耗情况完成系统资源的按需分配与调度。 例二、一台防火墙既要实现L2TP的VPN接入，同时又要为从untrust区域上来的用户做NAT，而且还要为L2TP的拨号用户路由到另一出口，传统方式配置非常复杂，需配置策略，容易出错。现使用虚拟路由技术则很容易解决。 具体解决方法为将防火墙虚拟为两个相互独立的防火墙TRUST-VR,UNTRUST－VR，将相应的端口加入到相应的虚拟防火墙，各自通过默认路由出口，配置不同的NAT数据以及L2TP VPN数据即可解决。 小结 虚拟路由技术是将来技术发展的一个趋势，目前支持厂家不多，标准尚未统一，虚拟技术的发展可以有效地减少设备投资，节约机房空间以及能源消耗，可以有效地提升设备利用率，起到降本增晓、节能减排的效果。 虚拟路由技术原理及应用研究 accountable for the violation, Had a nega