大概阅读时间9分钟。
本文部分内容由ChatGPT生成。为确保信息的准确性和实用性,请参考相关的官方文档或教材。
Describe device virtualization technologies
Hypervisor type 1 and 2
Hypervisor Type 1(裸金属虚拟机管理程序):
- 直接安装在硬件上,而不是在操作系统上运行。
- 提供了更好的性能和效率,因为它直接与硬件交互。
-
常见的包括VMware ESXi、Microsoft Hyper-V和KVM等。
Hypervisor Type 2(托管虚拟机管理程序):
- 安装在操作系统之上,作为软件层运行。
- 性能略差于Hypervisor Type 1,因为它需要通过底层操作系统与硬件通信。
-
常见的包括VMware Workstation、Oracle VirtualBox和Parallels Desktop等。
Virtual machine
定义: 虚拟机是被Hypervisor管理的、可以运行操作系统和应用程序的独立环境。
特点:- 隔离性:每个虚拟机是相互独立的,故障和配置不会影响到其他虚拟机。
- 资源利用:可以在同一台物理服务器上运行多个虚拟机,优化资源使用。
- 可迁移性:可以在不影响运行状态的情况下将虚拟机从一台物理主机迁移到另一台。
Virtual switching
定义: 虚拟交换机用于在虚拟机之间和虚拟机与外部网络之间传输数据。
功能:- 网络隔离:支持创建虚拟局域网(VLAN),将不同的虚拟机隔离在不同的网络中。
- 流量管理:可以应用策略来控制流量,比如带宽限制和优先级设置。
- 连接外部网络:通过虚拟交换机,虚拟机可以访问外部物理网络和互联网。
Configure and verify data path virtualization technologies
VRF
VRF 的定义和作用
定义: VRF(Virtual Routing and Forwarding)是一种允许在同一台物理路由器或交换机上创建多个独立的路由表的技术。
作用:
- 网络隔离:不同VRF中的流量是完全隔离的,可以实现多租户环境下的安全性和隐私。
- 重叠地址空间:允许不同VRF中使用相同的IP地址段,而不会产生冲突。
-
增强的控制和管理:每个VRF可以有独立的策略和路由协议配置。
VRF的基本配置和验证
配置步骤:
- 创建 VRF:使用命令
ip vrf <vrf-name>创建VRF实例。 - 配置接口:将接口分配给VRF,例如
ip vrf forwarding <vrf-name>。 - 路由配置:为每个VRF配置独立的路由协议,如:静态路由、OSPF、EIGRP等。
验证查看步骤: - 查看 VRF:使用命令
show ip vrf查看VRF的状态。 - 查看 VRF 路由表:使用
show ip route vrf <vrf-name>查看所有(all)或某个VRF路由表。 - 查看接口情况:使用
show ip interface brief命令查看接口分配情况。
GRE and IPsec tunneling
GRE (Generic Routing Encapsulation)
定义: GRE是一种通用的封装协议,用于在两个网络设备之间传输不同协议的封装数据。
特点: - 创建 VRF:使用命令
- 协议透明性:可以封装几乎任何网络层协议(如IPv4、IPv6)。
-
简单的隧道配置:GRE隧道只需配置源和目标IP地址。
IPsec (Internet Protocol Security)
定义: IPsec是一组协议,用于在IP网络上提供安全的加密通信。
主要组件: - IKE (Internet Key Exchange):用于建立安全关联(SA)和管理加密密钥。
- AH (Authentication Header) 和 ESP (Encapsulating Security Payload):用于数据认证和加密。
Describe Network Virtualization Concepts
LISP (Locator/ID Separation Protocol)
LISP 的定义和作用
定义:LISP是一种旨在解决当前互联网架构中的可扩展性问题的协议,通过分离IP地址的身份(ID)和位置(Locator)来实现更高效的路由。
作用:
- 提高路由可扩展性:通过将终端标识符和位置标识符分离,可以减少全局路由表的规模。
- 增强移动性:终端设备的IP地址不变,即使其物理位置发生变化,也不会影响通信。
- 优化流量工程:通过灵活的映射机制,可以实现更有效的流量分配和路径选择。
LISP 的关键组件
- Endpoint Identifier (EID):标识终端设备的地址,可以是IPv4或IPv6地址。
- Routing Locator (RLOC):标识设备所在位置的地址,通常是路由器或边界设备的地址。
- Map-Server (MS) 和 Map-Resolver (MR):负责存储和解析EID到RLOC的映射关系。
- Ingress Tunnel Router (ITR) 和 Egress Tunnel Router (ETR):ITR负责封装发往EID的数据包,ETR负责解封装接收到的数据包。
LISP 的工作原理
- 数据包封装和解封装:数据包从源端发送到目的端时,ITR将数据包封装,添加RLOC头。ETR接收数据包后解封装,还原原始数据包。
- 映射请求和响应:ITR向Map-Resolver发送映射请求,获取EID到RLOC的映射信息,并进行数据包转发。
VXLAN (Virtual Extensible LAN)
VXLAN 的定义和作用
定义:VXLAN是一种网络虚拟化技术,通过在现有的IP网络基础上创建虚拟化的第2层网络,用于大规模数据中心的网络隔离和扩展。
作用:
- 扩展VLAN的数量:VXLAN使用24位的VNID(VXLAN Network Identifier),可以支持高达1600万的逻辑网络。
- 增强网络隔离:为不同租户或应用提供独立的虚拟网络。
- 跨数据中心的第2层扩展:支持在不同物理位置的数据中心之间创建逻辑第2层网络。
VXLAN 的关键组件
- VXLAN Network Identifier (VNID):用于标识不同的VXLAN段,每个VXLAN段有唯一的VNID。
- VXLAN Tunnel Endpoint (VTEP):VTEP负责VXLAN数据包的封装和解封装,通常部署在交换机或服务器上。
- Underlay Network:底层物理网络,承载VXLAN隧道的数据传输。
VXLAN 的工作原理
数据包封装和解封装:VTEP将发送的数据包封装为VXLAN数据包,添加VXLAN头和底层网络的IP头。目标VTEP接收数据包后,去掉封装,还原原始数据包。
多播和单播模式:
- 多播模式:使用底层网络的多播组传输广播、未知单播和多播流量。
- 单播模式(Headend Replication):在没有多播支持的网络中,源VTEP将流量复制并发送到所有目标VTEP。
参考资料:
https://aws.amazon.com/compare/the-difference-between-type-1-and-type-2-hypervisors/
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucme/vrf/design/guide/vrfDesignGuide.html
https://blog.devops955.com/swain/2024/04/10/learning-ipsec/
https://community.cisco.com/t5/networking-blogs/what-is-network-tunneling-and-how-to-configure-gre/ba-p/4449014
https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2020/pdf/DGTL-BRKDCN-1645.pdf
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/nx-os/vxlan/configuration/guide/b_NX-OS_VXLAN_Configuration_Guide/overview.pdf
https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/locator-id-separation-protocol-lisp/datasheet_c78-576698.html