走进cpu虚拟化的世界玩转win7xpmode

1、走进CPU虚拟化的世界 玩转Win7 XP Mode微软新一代操作系统Windows 7（简称Win7），已经发布好几个月了，在新系统中有很多新鲜的功能。其中，在Win7的专业版、企业版、旗舰版中，微软给我们提供了一个叫WinXP Mode的功能，基于微软的Virtual PC虚拟化技术，结合处理器的硬件虚拟化功能（AMD-V/Intel VT），可在Win7系统下模拟一个WinXP SP3系统，而且在其中操作不会影响到Win7，还可以直接调用Win7中的硬盘、软件等，相当实用。WinXP Mode对硬件有啥要求尽管，并不是什么电脑平台都可以用得上WinXP Mode，它对硬件平台有一定的要求

2、：1.CPU：支持Intel或AMD的硬件虚拟化技术；2.内存：至少1.5GB，推荐2GB；3.硬盘：C盘有足够的空余空间，最少2GB，建议10GB以上。在这些要求中，CPU支持硬件虚拟化是最重要的，也是必须的，如果CPU不支持硬件虚拟化技术，那么Win7就无法安装WinXP Mode功能。小提示：WinXP Mode有很多种语言，用户必须安装与系统相同的语言的版本，其下载地址为 HYPERLINK /china/windows/virtual-pc/download.aspx /china/windows/virtual-pc/download.aspx。硬件虚拟化是什么我们选购CPU的时候

3、，对于CPU是不是支持硬件虚拟化技术通常并没不在意，因为在大部分日常应用中接触较少。实际上，硬件虚拟化技术并不是一个新鲜事物，在传统的大型电脑和Unix系统上早已是很普及了。虚拟化是一个非常广义的术语，在计算机方面通常是指计算元件在虚拟的基础上而不是真实的基础上运行。简单地说，CPU虚拟化技术可以用单CPU模拟多个CPU并行，允许一个平台同时运行多个操作系统，并且应用程序都可以在相互独立的空间内运行而互不影响，从而提高计算机的工作效率。硬件虚拟化与多任务、超线程有啥区别可能很多人都知道，在许多单核心的CPU系统中，通过VMware workstation、Virtual PC、Virtual

4、BOX等软件也可以虚拟运行多个系统。另外，有一些支持超线程技术的单核CPU，在系统中我们可以看到两个CPU，这些技术和硬件虚拟化有什么不同呢？多任务工作原理示意图1.硬件虚拟化与多任务的区别在单核CPU上，如果系统不支持硬件虚拟化技术，而通过虚拟化软件来模拟多系统效果，这就是利用了CPU的多任务技术（目前所有的CPU都是支持多任务技术的），但是它要求操作系统也支持多任务。也就是说，多任务是指在一个操作系统中多个程序同时并行运行，而在虚拟化技术中，你可以拥有多个操作系统同时运行，每一个操作系统中都有多个程序运行，每一个操作系统都运行在一个虚拟的CPU上。小提示：目前，所有的Windows系统和L

5、inux系统都是支持多任务的，都可以多个程序同时并行运行，而老旧DOS系统则是单任务系统，不能同时运行多个程序。2.硬件虚拟化与超线程的区别每个单位时间内，CPU的一个处理单元只能处理一个线程，要想在单位时间内处理两个的线程是不可能的，除非是有两个的处理单元。超线程技术便是将原来的两个处理单元整合（或看做）一个处理单元里面，从而让CPU在单位时间内处理两个线程，以改善程序运行的性能。超线程工作原理示意图但是，CPU内部的处理单元和原来是一样的，都是在同一个核心里面，因此整合后的处理单元之间只能协同工作。相比之下，硬件虚拟化技术就是让单CPU模拟成为多个处理核心，每个核心之间是相互独立的，因此它

6、可以同时运行多个操作系统，并且应用程序都可以在相互独立的空间内运行而互不影响，从而显著提高计算机的工作效率。硬件虚拟技术原理示意图3.硬件虚拟化的优势从三者的技术原理对比上，相信大家不难看出，硬件虚拟化技术在进行多任务、多线程以及多平台处理时有许多优势。简单归纳，有如下几点：第一，进行多任务处理、多线程时，系统速度和效率会明显提高。比如，当你在Win7下播放电影、听音乐或者网络下载时，你再打开一个虚拟系统（例如在VMware workstation中运行WinXP），那么采用硬件虚拟化技术的CPU就不会让整个系统的速度和效率降下来。第二，多平台处理时，工作效率会明显提高。比如，如果你正在同时运

7、行几个操作系统，当你准备给其中一个系统安排一些新工作（比如载入一个新的映像），那么虚拟化技术就可以让你将该系统正在处理的工作分流给其他系统运行。第三，多系统的安全性更好。比如，如果你已为你正在运行的操作系统存储了一份“快照”，那么当有一些不愉快的事情发生时，例如被黑客攻击、感染病毒，你只要对将发生问题的系统重启或者重新加载备份映像，而不必要将整台计算机重启。如何让开启主板支持虚拟化实际上，虚拟化技术是一套解决方案。在完整的情况下，它除了需要CPU支持外，还需要主板芯片组、BIOS、操作系统或者软件的支持。即使只是CPU支持虚拟化技术，没有相应的配套支持下，也会比完全不支持虚拟化技术的系统有更好

8、的性能。目前，微软的WinXP、Win2003、Vista和Win7都支持虚拟化技术，因此消费者不用担心操作系统存在问题。在使用虚拟化技术的时候，可能需要注意的是主板BIOS没有开启虚拟化，有些主板默认可能将虚拟化支持项目关闭了，那么你可以手动开启。以P45主板为例，设置步骤为：重启并按DEL键进入BIOS设置界面，依次进入“Advanced BIOS FeaturesCPU Features”设置项，然后将“Virtualization Technology”项设置为“Enabled”即可。在BIOS中开启虚拟化技术哪些CPU支持硬件虚拟化在桌面系统上，Intel是于2005年推出虚拟化技术

9、的，时间上要先于AMD。但是，几乎所有AMD主流的CPU都支持虚拟化技术，这点比Intel要厚道一些，而Intel即使一些入门级四核产品也有可能不支持。因此，我们关于虚拟化技术CPU的选购，主要针对的是Intel的。1.判断CPU是否支持虚拟化判断CPU是否支持虚拟化，有很多方法。比如用CPU-z软件来查看CPU的指令集，如果指令集中包含VT或VT-x指令，那么该CPU就是支持虚拟化技术的。另外，还可以用专门的CPU虚拟化技术支持检测软件SecurAble（ HYPERLINK /files/securable.exe /files/securable.exe）来帮助你判断。在SecurAbl

10、e中，有三个检测项目：第一个选项用来标识CPU是64位还是32位，第二个选项用来标识CPU是否支持DEP（Data Execution Prevention，数据执行保护），第三个才是标识CPU是否支持硬件虚拟技术。CPU支持VT技术CPU不支持VT技术2.Intel有哪些CPU支持虚拟化实际上，Intel最早发布了支持虚拟化技术的CPU一共有七款，分别为奔腾4 672/662、奔腾D920/930/940/950、奔腾EE 955。目前，这些产品已经退市了，但虚拟化技术则被应用到了一些主流的赛扬双核、奔腾双核、酷睿双核、酷睿四核等CPU中。当然，如果你想详细地知道Intel有哪些CPU支持虚

11、拟化技术，可以到 HYPERLINK /VTList.aspx /VTList.aspx查阅。3.有没有虚拟化技术，请看S-Spec编码！实际上，从2009年以后发布的CPU中，绝大部分是支持虚拟化技术的，比如Core i3、i5、i7等。另外，为了迎合Windows 7，Intel对一些原来不支持虚拟化的产品进行了升级，消费者可以通过处理器的S-Spec编码来判断。支持型号支持VT的S-Spec编码不支持VT的S-Spec编码Intel Pentium E5300SLGTLSLB9U、SLGQ6Intel Pentium E5400SLGTKSLB9VIntel Core 2 Duo E74

12、00SLGW3SLB9Y、SLGQ8Intel Core 2 Duo E7400SLGTESLB9ZIntel Core 2 Duo M P7550其它均支持SLGF8Intel Core 2 Quad Q8300SLGURSLB5W小技巧：通过Intel S-Spec编码来了解CPU规格在Intel CPU包装盒和顶盖上有很多信息，如果你能读懂其中的信息，你就可轻松了解该CPU的规格参数。其中，在Intel CPU包装盒上会有一项“PROD CODE”编号，是由“Product Order编码+S-Spec编码”组成的，其中最后的5位字符就是S-Spec编码。不过有时候，一些产品会直接标明S

13、-Spec编码，另外这一编码还会出现在CPU顶盖上。当你拿到了这个编码之后，打开浏览器中打开 HYPERLINK / ，然后在网页下面的搜索框中输入该编码就可以查到你想要的信息了，如果查询结果中有“Intel Virtualization Technology”项目，则该CPU支持虚拟化技术。产品推荐：500元内CPU也玩虚拟化Intel奔腾双核E6300（盒）参考价格：499元产品资料：插槽类型：LGA775核心类型：Wolfdale核心数量：双核心制作工艺：45纳米TDP：65W主频：2.8GHz前端总线：1000MHz二级缓存：2MBIntel奔腾双核E5300（盒）（注：S-Spec编

14、码为SLGTL）参考价格：440元产品资料：插槽类型：LGA775核心类型：Wolfdale核心数量：双核心制作工艺：45纳米TDP：65W主频：2.6GHz前端总线：800MHz二级缓存：2MBIntel赛扬双核E3200（散）参考价格：290元产品资料：插槽类型：LGA775核心类型：Wolfdale核心数量：双核心制作工艺：45纳米TDP：65W主频：2.4GHz前端总线：800MHz二级缓存：1MBAMD Athlon II X3 435（盒）参考价格：490元产品资料：插槽类型：Socket AM3核心数量：三核心制作工艺：45纳米主频：2.9GHz前端总线：1800MHz一级缓存：

15、3128KB二级缓存：3512KBAMD Athlon II X2 240（盒）参考价格：390元产品资料：插槽类型：Socket AM3核心数量：双核心制作工艺：45纳米主频：2.8GHz前端总线：2000MHz一级缓存：2128KB二级缓存：21MB附录资料：不需要的可以自行删除 园区网络虚拟化无论规模如何或有什么安全需求，企业现在都能在单一物理网络上，受益于支持多个封闭用户组的虚拟化园区网络。综述随着对园区网络的需求日益复杂，可扩展解决方案也越来越需要将多个网络用户组进行逻辑分区。网络虚拟化提供了多个解决方案，能在保持现有园区设计的高可用性、可管理性、安全性和可扩展性优势的同时，实现服务

16、和安全策略的集中。为达到出色效果，这些解决方案必须包括网络虚拟化的三个主要方面：访问控制、路径隔离和服务边缘。通过实施这些解决方案，网络虚拟化即能与思科系统公司的服务导向网络架构(SONA)相结合，为迁移到智能化信息网络的企业创建一个强大的框架。SONA网络利用NAC和IEEE 802.1x协议提供身份识别服务，从而实现最优访问控制。在用户获准接入网络后，三个路径隔离解决方案GRE隧道、VRF-lite和MPLS VPN能在保留当前园区网设计优势的同时，在现有局域网上叠加分区机制，将网络划分为安全、虚拟的网络。这些解决方案解决了与分布部署服务和安全策略相关的问题。最后，共享服务和安全策略实施的

17、集中化，大大减少了在园区网中维护不同群组的安全策略和服务所需的资本和运营开支。这种集中化有助于在园区中实施一致的策略。挑战园区网络的设计建议一直缺乏一种对网络流量分区，以便为封闭用户组提供安全独立环境的方式（表1）。有许多因素都在推动对于创建封闭用户组的需要，包括： 企业中存在不同级别的访问权限：几乎每个企业都需要解决方案来为客户、厂商、合作伙伴以及园区局域网上的员工授予不同的访问级别。 法规遵从性：部分企业受法律或规定的要求，必须对较大的机构进行分区。例如，在金融公司中，银行业务必须与证券交易业务分开。 过大的企业需要简化网络：对于非常大型的园区网络，如机场、医院或大学来说，过去，为保证不同

18、用户组或部门间的安全性，就必须构建和管理不同的物理网络，这种做法既昂贵又难以管理。 网络整合：在合并和收购时，通常需要迅速集成所收购公司的网络。 外包：随着外包和离岸外包的普及，子承包商必须证明各客户的信息间完全隔离。尤其当一家承包商服务于相互竞争的公司时，这尤为重要。 提供网络服务的企业：零售连锁公司为其他公司支持售货亭或为加油站提供互联网接入；同样，服务于多家航空公司和零售商的机场能使用单一网络来提供隔离服务和共享服务。 表1. 不同垂直行业中网络分区的应用示例垂直行业网络虚拟化应用示例制造业生产工厂(自动装置，生产环境自动化等)，管理，销售，视频监视。 金融业交易大厅，管理，合并。政府支

19、持不同部门的共同建筑物和设施。在部分国家，法律要求这些部门采用不同网络。医疗总体趋势是在进行治疗的同时提供宾馆式服务。须隔离医护人员、核磁共振成像(MRI)和其他技术设备、病人互联网接入，以及为病人提供的广播和电视等媒体服务。 商业智能楼宇：多企业园区不同部门共享部分资源。多个公司位于同一园区，其中不同建筑物分属不同部门，但全使用相同的核心和互联网接入机制。园区所有者管理建筑物自动化体系，覆盖所有建筑物。零售售货亭，分支机构中的公共无线局域网，RF识别，WLAN设备（例如，不支持任何WLAN安全特性的较早的WLAN条码阅读器）。教育学生、教授、管理人员和外部研究团队间需要隔离。此外，分布于多个

20、建筑物的各院系可能需要访问各自的服务器区域。而某些资源（例如互联网、电子邮件和新闻）可能需要共享或通过一个服务区访问。此外，建筑物自动化体系也必须分开。园区局域网的发展网络虚拟化允许多个用户组访问同一物理网络，但从逻辑上对它们进行一定程度的隔离，以便它们无法查看其他组这是多年来网络经理面临的挑战。在上世纪90年代，L2交换是园区局域网的标志性特征，虚拟局域网(VLAN)是在一个通用基础设施中将局域网划分为不同工作组的标准。此解决方案安全高效，但无法很好地扩展，而且随着园区局域网的发展，其管理也非易事。核心和分布层中L3交换的出现，在VLAN方式的基础上对可扩展性、性能和故障排除进行了优化。过去

21、几年中，所构建的基于L3的园区网络已经证实，它们便于扩展、功能强大，具有高性能。但在网络分区和封闭用户组方面，L3园区方式有着重大缺陷和限制。在此情况下，添加封闭用户组即意味着增加成本和复杂度。解决方案：网络虚拟化因此我们需要一个便于扩展的解决方案，来保持用户组完全隔离，实现服务和安全策略的集中，并保留园区网设计的高可用性、安全性和可扩展性优势。为支持此解决方案，网络设计必须高效地解决以下问题： 访问控制：确保能识别合法用户和设备，对其分类，并允许其接入获得访问授权的网络部分。 路径隔离：确保各用户或设备都能高效地分配到正确、安全的可用资源集即正确的VPN。 服务边缘：确保合法的用户和设备能访

22、问相应的正确服务，并集中实施策略。 思科解决方案能通过几个方式实现网络虚拟化。虚拟化技术使单一物理设备或资源能作为它自己的多个物理版本，在网络中共享。网络虚拟化是思科SONA框架的一个重要组件。思科SONA使用虚拟化技术来改进服务器和存储局域网（SAN）等网络资产的使用。例如，一个物理防火墙能配置为执行多个虚拟防火墙的功能，帮助企业优化资源和安全投资。其他虚拟化战略包括集中策略管理、负载均衡和动态分配等。虚拟化能提高灵活性和网络效率，降低资本和运营开支。访问控制：身份验证和接入层安全接入层安全对于保护园区局域网免遭外部威胁十分重要。通过在威胁进入园区前即采取防御措施的特性，能对思科网络虚拟化解

23、决方案构成补充。IEEE 802.1X即是这样一种技术，它是端口安全的标准。802.1X在用户及其相关的VPN间形成强大的连接，防止在未授权情况下访问禁止接入的资源。另一种补充技术是思科网络准入控制(NAC)。NAC的职责是在边缘防御威胁，在有害流量到达分布层或核心层前即将其删除。NAC有助于确保用户不会使园区基础设施遭受到任何病毒、蠕虫等威胁。路径隔离：L3 VPN为支持园区网络虚拟化，思科提供了三个非常适用于典型园区网络设计，并混合使用了L2和L3技术的解决方案： GRE隧道 VRF-lite MPLS VPN GRE隧道GRE隧道为在园区网络上创建封闭用户组提供了一种相当简单且高效的方法

24、。GRE隧道非常适于作为托管“访客”接入的企业解决方案，使公司能为访客或来访者提供全球互联网接入，而又能防止这些用户访问内部资源。在图1中，GRE隧道与Cisco VRF-lite特性共用，为访客接入创建了一个简单、易于管理的解决方案。图1. 结合使用GRE隧道和VRF-lite该解决方案的优势包括： 能跨越典型的多层园区网络（无需园区级VLAN）。 访客用户流量与其他公司局域网流量隔离。 所有访客流量的进入点位于中央位置，使安全性和服务质量(QoS)策略更易于管理。 甚至能通过广域网扩展到分支机构。 在将GRE隧道作为支持封闭用户组的解决方案时，需要注意的一个因素是隧道本身较难配置和管理，因

25、此不建议解决方案部署超过两条隧道。此类网络虚拟化适用于需要星型拓扑的场合。VRF-liteVRF-lite是一个思科特性，通常称为多VRF客户边缘，通过使用单一路由设备支持多个虚拟路由器，来提供园区分区解决方案。VRF-lite是MPLS的轻量版本。利用VRF-lite，网络经理能灵活地为任意特定VPN使用任意IP地址空间，而无论它是否与其他VPN的地址空间重叠或冲突。这种灵活性在很多场合都非常实用。例如，当所收购公司的网络合并到一个共享局域网中，所收购的网络能作为独立VPN进入基础设施，几乎或完全不会干扰网络上的日常业务流程。VRF-lite能用作端到端解决方案，如图2所示，也能与另一解决方

26、案共用来支持封闭用户组，这将在下一部分中讨论。总体来说，VRF-lite的可扩展性高于GRE隧道，但它最适用于有四或五个分区的网络。每次添加用户组时，它都需要人工重配置，因此相当耗费劳力。图2. VRF作为端到端解决方案部署MPLS VPN另一种为封闭用户组进行园区网络分区的方法为基于MPLS的L3 VPN。和GRE隧道与VRF-lite一样，MPLS VPN提供了一种安全可靠的方式，在通用物理基础设施上进行网络逻辑分区。尽管电信运营商使用MPLS技术的时间已有几年，但因为局域网交换机上缺乏对MPLS的支持，它还未在企业网络中广泛部署。而不断改变的业务需求，以及相应的新产品面世，正帮助MPLS

27、成为园区基础设施中的重要技术。随着Cisco Catalyst 6500系列提供了对于MPLS VPN的支持，对许多大型企业来说，MPLS技术已拥有了廉宜价位。MPLS VPN具有本文中讨论的其他解决方案的所有优势（参见图3）。此外，任何MPLS VPN都能通过配置，连接至用户和位于网络中任意地点的资源，而不会影响性能或网络设计。相应地，MPLS VPN也是三个思科网络基础设施虚拟化解决方案中可扩展性最高的。当添加或改动用户组时，无需人工重配置，这提高了可扩展性，降低了运营开支。当在网络边缘使用VLAN，在园区的路由部分使用L3 VPN时，保留了层次化园区网部署的所有优势，同时该解决方案还能在园区局域网中实现端到端、可扩展分区，并支持集中的安全特性和服务。和VRF-lite一样，网络定址灵活性也是MPLS VPN的另一优势。图3. MPLS VPN支持任意到任意连接统一接入提供灵活性这三个思科园区网虚拟化解决方案并不限制用户使用任何特定的接入类型。尽管他们在单一物理网络基础设施中工作，但这些解决方案能轻松地