IBM虚拟化基本概念(2)-VIOS的安装与配置

1、IBM虚拟化基本概念（2）-VIOS的安装与配置一、VIO server 的 profile 配置 现在我们开始实施了。首先进入 HMC 的服务器界面，创建一个 VIO server 分区，注意这个分区只能用这种方式创建。虽然我们知道 VIO server 实际上是一个 mksysb 的光盘，但选用一般 AIX 分区是无法安装运行的。分区创建的 ID 为唯一标示，这点和创建一个 AIX 分区没有不同。如前所述，考虑到为实验室环境，所以这里设为共享，而非专用。按设计实施，设置 CPU 各个值。按设计，实施内存值。这里将所有设备加入 VIO Server, 包括 CD ROM，但记住安装完成后去除

2、 T16 的 IDE CD ROM。实际安装时可以根据设计来不同实施。下面开始配置 VIO SERVER 的特殊部分，首先将最大适配器数调到 500，便于增加虚拟网卡和存储卡，缺省值远远不够。我们先来配置需共享的网卡：按设计配置第一块需共享的虚拟网卡同样增加其他虚拟网卡，此处 11、12、13、14 共 4 块下面增加虚拟 SCSI 存储卡增加第一块卡同样一直增加到 202 虚拟存储卡，共增加 20 块。这里只设计 20 个 adapter，但建议可以设计更多，因为事后添加需要重起 VIO server。跟着安装向导，设置为正常启动，以免启动停留在 SMS 菜单。当然事后也可以修改。可以点击详

3、细信息确认配置建立完成，此时再逐一确认一下CPU 设置确认内存配置确认设备确认虚拟网卡确认虚拟 SCSI 卡确认开启确认二、VIO server 的安装注：由于以下此处文档事后所补，所以截图中分区名称有所区别，供参考示意。开始激活该分区（之前请记得把 VIO server 的安装光盘放入光驱）：选择 profile，开启终端窗口开始启动按 5 进入 SMS 菜单，选择 CD-ROM 启动安装接下来实际就是一个 mksysb 的恢复过程。安装完毕就会自动重起三、VIO server 配置 - 微分区的共享资源设置 VIO server 为有限制的 AIX 操作系统，不允许 root 登录，用户名

4、为 padmin，缺省口令无。 通过 oem_setup_env 进入 AIX 的环境，可以很方便的使用我们熟悉的 AIX 命令达到大多数操作相同的效果，下面会混合使用 2 个环境的命令。接受许可第一次开启 VIO server，利用 oem_setup_env 进入 AIX 环境必须接受 license 许可。login: padmin $ oem_setup_env The I/O Server license must be accepted before running this command.Only the chlang command may be run beforeacce

5、pting the license. To view the license, run the license command with the -view option. If the -lang flag is not specified the license will be displayed in the current locale (set by the chlang command). If the license is not available in the language selected, English will be the default. To accept

6、the license, run the license command with the -accept option. Locale currently set to: en_US. Usage: license -view -accept -lang Name license -ls 。 $ license -accept 配置磁盘在 oem_setup_env 的 AIX 环境下先建立 2 个 VG，供各个微分区的 rootvg 共享使用 ( 磁盘位置请参考前面的实验环境说明 )mkvg -y 55aa01_rootvg1 hdisk2 mkvg -y 55aa01_rootvg2 h

7、disk19 ss55aa01padmin/home/padmin#lspv NAME PVID VG STATUS hdisk0 000826ef27028dfe rootvg active hdisk1 000826efbaa78248 rootvg active hdisk2 000826ef415056f8 55aa01_rootvg1 active . hdisk19 000826ef41503876 55aa01_rootvg2 active建立 20 个 lv，每个微分区 2 个，可用来做镜像mklv -y rootvg1_55a11 -t jfs2 55aa01_rootvg1

8、 20G mklv -y rootvg1_55a12 -t jfs2 55aa01_rootvg1 20G mklv -y rootvg1_55a13 -t jfs2 55aa01_rootvg1 20G mklv - rootvg1_55a14 - jfs2 55aa01_rootvg1 20G 这样各个分区 rootvg 的准备工作完成，接下来要实际映射到各个微分区。先执行 exit 退出 oem_setup_env 的 AIX 环境。padmin 环境下建立 vdev先察看以下 vhost 的虚拟 scsi 卡对应各个微分区是否如设计ss55aa01padmin/home/padmin#

9、lsmap -all|grep vhostvhost0 U9133.55A.069511H-V2-C111 0 x00000000 vhost1 U9133.55A.069511H-V2-C112 0 x00000000 vhost2 U9133.55A.069511H-V2-C121 0 x00000000 . vhost17 U9133.55A.069511H-V2-C192 0 x00000000 vhost18 U9133.55A.069511H-V2-C201 0 x00000000 vhost19 U9133.55A.069511H-V2-C202 0 x00000000建立各个虚

10、拟存储设备，将微分区 rootvg 映射到各个预先建立的 lv 上，如对于 ss55aa11 这个微分区，建立一个 rootvg1_55a11 将 55a11_rootvg1 这个 lv 映射到 vhost0 上，即 ss55aa11 上的一块 scsi 卡上，从而使得 ss55aa11 这个微分区能认出这块虚拟磁盘来。mkvdev -vdev rootvg1_55a11 -vadapter vhost0 -dev 55a11_rootvg1 mkvdev -vdev rootvg1_55a12 -vadapter vhost2 -dev 55a12_rootvg1 mkvdev -vdev

11、rootvg1_55a13 -vadapter vhost4 -dev 55a13_rootvg1 mkvdev -vdev rootvg1_55a14 -vadapter vhost6 -dev 55a14_rootvg1 mkvdev -vdev rootvg1_55a15 -vadapter vhost8 -dev 55a15_rootvg1 mkvdev -vdev rootvg1_55a16 -vadapter vhost10 -dev 55a16_rootvg1 mkvdev -vdev rootvg1_55a17 -vadapter vhost12 -dev 55a17_root

12、vg1 mkvdev -vdev rootvg1_55a18 -vadapter vhost14 -dev 55a18_rootvg1 . . . mkvdev -vdev rootvg2_55a14 -vadapter vhost7 -dev 55a14_rootvg2 mkvdev -vdev rootvg2_55a15 -vadapter vhost9 -dev 55a15_rootvg2 mkvdev -vdev rootvg2_55a16 -vadapter vhost11 -dev 55a16_rootvg2 mkvdev -vdev rootvg2_55a17 -vadapter

13、 vhost13 -dev 55a17_rootvg2 mkvdev -vdev rootvg2_55a18 -vadapter vhost15 -dev 55a18_rootvg2 mkvdev -vdev rootvg2_55a19 -vadapter vhost17 -dev 55a19_rootvg2 mkvdev -vdev rootvg2_55a20 -vadapter vhost19 -dev 55a20_rootvg2建立 datavg同理，建立各个微分区的 datavg，但这里使用磁盘直接对应的，而非 lv，但命令使用方法并无不同：mkvdev -vdev hdisk3 -v

14、adapter vhost0 -dev 55a11_datavg1 mkvdev -vdev hdisk4 -vadapter vhost2 -dev 55a12_datavg1 mkvdev -vdev hdisk5 -vadapter vhost4 -dev 55a13_datavg1 mkvdev -vdev hdisk6 -vadapter vhost6 -dev 55a14_datavg1 mkvdev -vdev hdisk7 -vadapter vhost8 -dev 55a15_datavg1 mkvdev -vdev hdisk8 -vadapter vhost10 -dev

15、 55a16_datavg1 mkvdev -vdev hdisk9 -vadapter vhost12 -dev 55a17_datavg1 mkvdev -vdev hdisk10 -vadapter vhost14 -dev 55a18_datavg1 mkvdev -vdev hdisk11 -vadapter vhost16 -dev 55a19_datavg1 mkvdev -vdev hdisk12 -vadapter vhost18 -dev 55a20_datavg1注意 :tempvg 没有加以处理，分配方法一致，留待以后分配检查一下结果：ss55aa01padmin/ho

16、me/padmin#lsmap -all SVSA Physloc Client Partition ID- - -vhost0 U9133.55A.069511H-V2-C111 0 x00000003 VTD 55a11_datavg1 Status Available LUN 0 x8200000000000000 Backing device hdisk3 Physloc U787B.001.DNWGNVK-P1-C3-T2-W2148000B5D6A02AA-L1000000000000 VTD 55a11_rootvg1 Status Available LUN 0 x810000

17、0000000000 Backing device rootvg1_55a11 Physloc . SVSA Physloc Client Partition ID - - - vhost18 U9133.55A.069511H-V2-C201 0 x00000000 VTD 55a20_datavg1 Status Available LUN 0 x8200000000000000 Backing device hdisk12 Physloc U787B.001.DNWGNVK-P1-C3-T1-W2149000B5D6A02AA-LA000000000000 VTD 55a20_rootv

18、g1 Status Available LUN 0 x8100000000000000 Backing device rootvg1_55a20 Physloc SVSA Physloc Client Partition ID - - - vhost19 U9133.55A.069511H-V2-C202 0 x00000000 VTD 55a20_rootvg2 Status Available LUN 0 x8100000000000000 Backing device rootvg2_55a20 Physloc 至此，每个微分区的 rootvg，datavg 已映射完成。网卡设置：1.

19、按前面设计，先察看以下网卡状况，看看通过 profile 设置，启动后是否如设计：ss55aa01padmin/home/padmin#lsdev -Cc adapter ent0 Available 07-08 2-Port 10/100/1000 Base-TX PCI-X Adapter (14108902) ent1 Available 07-09 2-Port 10/100/1000 Base-TX PCI-X Adapter (14108902) ent2 Available 09-08 2-Port 10/100/1000 Base-TX PCI-X Adapter (14108

20、902) ent3 Available 09-09 2-Port 10/100/1000 Base-TX PCI-X Adapter (14108902) ent4 Available Virtual I/O Ethernet Adapter (l-lan) ent5 Available Virtual I/O Ethernet Adapter (l-lan) ent6 Available Virtual I/O Ethernet Adapter (l-lan) ent7 Available Virtual I/O Ethernet Adapter (l-lan) ss55aa01padmin

21、/home/padmin#lscfg -vpl ent4 ent4 U9133.55A.069511H-V2-C11-T1 Virtual I/O Ethernet Adapter (l-lan) Network Address.9EBF8000200B Displayable Message.Virtual I/O Ethernet Adapter (l-lan) Hardware Location Code.U9133.55A.069511H-V2-C11-T1 PLATFORM SPECIFIC Name: l-lan Node: l-lan3000000b Device Type: n

22、etwork Physical Location: U9133.55A.069511H-V2-C11-T1 。 ss55aa01padmin/home/padmin#lscfg -vpl ent7 ent7 U9133.55A.069511H-V2-C14-T1 Virtual I/O Ethernet Adapter (l-lan) Network Address.9EBF8000200E Displayable Message.Virtual I/O Ethernet Adapter (l-lan) Hardware Location Code.U9133.55A.069511H-V2-C

23、14-T12. 将实际物理网卡加以聚合，做成 enternet chanel 网卡mkvdev -lnagg ent0,ent2 mkvdev -lnagg ent1,ent3可以看到新生成了 ent8，ent9ent8 Available EtherChannel / IEEE 802.3ad Link Aggregation ent9 Available EtherChannel / IEEE 802.3ad Link Aggregation3. 建立虚拟 sea 网卡，将聚合的 enternet chanel 网卡和虚拟网卡勾连起来，注意 VLAN 的 ID 设置要按设计和微分区设置一致

24、： mkvdev -sea ent8 -vadapter ent4 -default ent4 -defaultid 1 mkvdev -sea ent9 -vadapter ent5 -default ent5 -defaultid 98 ss55aa01padmin/home/padmin#lsdev -Cc adapter . ent8 Available EtherChannel / IEEE 802.3ad Link Aggregation ent9 Available EtherChannel / IEEE 802.3ad Link Aggregation ent10 Availa

25、ble Shared Ethernet Adapter ent11 Available Shared Ethernet Adapter可以看到生成了 ent10，ent11 这两个共享虚拟网卡。至此，微分区需使用的共享网卡设置完成。4. 设置 ip 地址，供远程访问 VIO server 使用，这个设置其实和微分区无关。mktcpip -hostname ss55aa01 -inetaddr 10.25.76.197 -interface en10 -netmask 255.255.255.0 -gateway 10.66.76.254 ss55aa01padmin/home/padmin#n

26、etstat -in Name Mtu Network Address Ipkts Ierrs Opkts Oerrs Coll en10 1500 link#2 0.1a.64.ff.10.d6 1192509 0 35721 0 0 en10 1500 10.25.76 10.25.76.197 1192509 0 35721 0 0 。至此，VIO server 的配置完成附录资料：不需要的可以自行删除 园区网络虚拟化无论规模如何或有什么安全需求，企业现在都能在单一物理网络上，受益于支持多个封闭用户组的虚拟化园区网络。综述随着对园区网络的需求日益复杂，可扩展解决方案也越来越需要将多个网络

27、用户组进行逻辑分区。网络虚拟化提供了多个解决方案，能在保持现有园区设计的高可用性、可管理性、安全性和可扩展性优势的同时，实现服务和安全策略的集中。为达到出色效果，这些解决方案必须包括网络虚拟化的三个主要方面：访问控制、路径隔离和服务边缘。通过实施这些解决方案，网络虚拟化即能与思科系统公司的服务导向网络架构(SONA)相结合，为迁移到智能化信息网络的企业创建一个强大的框架。SONA网络利用NAC和IEEE 802.1x协议提供身份识别服务，从而实现最优访问控制。在用户获准接入网络后，三个路径隔离解决方案GRE隧道、VRF-lite和MPLS VPN能在保留当前园区网设计优势的同时，在现有局域网上

28、叠加分区机制，将网络划分为安全、虚拟的网络。这些解决方案解决了与分布部署服务和安全策略相关的问题。最后，共享服务和安全策略实施的集中化，大大减少了在园区网中维护不同群组的安全策略和服务所需的资本和运营开支。这种集中化有助于在园区中实施一致的策略。挑战园区网络的设计建议一直缺乏一种对网络流量分区，以便为封闭用户组提供安全独立环境的方式（表1）。有许多因素都在推动对于创建封闭用户组的需要，包括： 企业中存在不同级别的访问权限：几乎每个企业都需要解决方案来为客户、厂商、合作伙伴以及园区局域网上的员工授予不同的访问级别。 法规遵从性：部分企业受法律或规定的要求，必须对较大的机构进行分区。例如，在金融公

29、司中，银行业务必须与证券交易业务分开。 过大的企业需要简化网络：对于非常大型的园区网络，如机场、医院或大学来说，过去，为保证不同用户组或部门间的安全性，就必须构建和管理不同的物理网络，这种做法既昂贵又难以管理。 网络整合：在合并和收购时，通常需要迅速集成所收购公司的网络。 外包：随着外包和离岸外包的普及，子承包商必须证明各客户的信息间完全隔离。尤其当一家承包商服务于相互竞争的公司时，这尤为重要。 提供网络服务的企业：零售连锁公司为其他公司支持售货亭或为加油站提供互联网接入；同样，服务于多家航空公司和零售商的机场能使用单一网络来提供隔离服务和共享服务。 表1. 不同垂直行业中网络分区的应用示例垂

30、直行业网络虚拟化应用示例制造业生产工厂(自动装置，生产环境自动化等)，管理，销售，视频监视。 金融业交易大厅，管理，合并。政府支持不同部门的共同建筑物和设施。在部分国家，法律要求这些部门采用不同网络。医疗总体趋势是在进行治疗的同时提供宾馆式服务。须隔离医护人员、核磁共振成像(MRI)和其他技术设备、病人互联网接入，以及为病人提供的广播和电视等媒体服务。 商业智能楼宇：多企业园区不同部门共享部分资源。多个公司位于同一园区，其中不同建筑物分属不同部门，但全使用相同的核心和互联网接入机制。园区所有者管理建筑物自动化体系，覆盖所有建筑物。零售售货亭，分支机构中的公共无线局域网，RF识别，WLAN设备（

31、例如，不支持任何WLAN安全特性的较早的WLAN条码阅读器）。教育学生、教授、管理人员和外部研究团队间需要隔离。此外，分布于多个建筑物的各院系可能需要访问各自的服务器区域。而某些资源（例如互联网、电子邮件和新闻）可能需要共享或通过一个服务区访问。此外，建筑物自动化体系也必须分开。园区局域网的发展网络虚拟化允许多个用户组访问同一物理网络，但从逻辑上对它们进行一定程度的隔离，以便它们无法查看其他组这是多年来网络经理面临的挑战。在上世纪90年代，L2交换是园区局域网的标志性特征，虚拟局域网(VLAN)是在一个通用基础设施中将局域网划分为不同工作组的标准。此解决方案安全高效，但无法很好地扩展，而且随着

32、园区局域网的发展，其管理也非易事。核心和分布层中L3交换的出现，在VLAN方式的基础上对可扩展性、性能和故障排除进行了优化。过去几年中，所构建的基于L3的园区网络已经证实，它们便于扩展、功能强大，具有高性能。但在网络分区和封闭用户组方面，L3园区方式有着重大缺陷和限制。在此情况下，添加封闭用户组即意味着增加成本和复杂度。解决方案：网络虚拟化因此我们需要一个便于扩展的解决方案，来保持用户组完全隔离，实现服务和安全策略的集中，并保留园区网设计的高可用性、安全性和可扩展性优势。为支持此解决方案，网络设计必须高效地解决以下问题： 访问控制：确保能识别合法用户和设备，对其分类，并允许其接入获得访问授权的

33、网络部分。 路径隔离：确保各用户或设备都能高效地分配到正确、安全的可用资源集即正确的VPN。 服务边缘：确保合法的用户和设备能访问相应的正确服务，并集中实施策略。 思科解决方案能通过几个方式实现网络虚拟化。虚拟化技术使单一物理设备或资源能作为它自己的多个物理版本，在网络中共享。网络虚拟化是思科SONA框架的一个重要组件。思科SONA使用虚拟化技术来改进服务器和存储局域网（SAN）等网络资产的使用。例如，一个物理防火墙能配置为执行多个虚拟防火墙的功能，帮助企业优化资源和安全投资。其他虚拟化战略包括集中策略管理、负载均衡和动态分配等。虚拟化能提高灵活性和网络效率，降低资本和运营开支。访问控制：身份

34、验证和接入层安全接入层安全对于保护园区局域网免遭外部威胁十分重要。通过在威胁进入园区前即采取防御措施的特性，能对思科网络虚拟化解决方案构成补充。IEEE 802.1X即是这样一种技术，它是端口安全的标准。802.1X在用户及其相关的VPN间形成强大的连接，防止在未授权情况下访问禁止接入的资源。另一种补充技术是思科网络准入控制(NAC)。NAC的职责是在边缘防御威胁，在有害流量到达分布层或核心层前即将其删除。NAC有助于确保用户不会使园区基础设施遭受到任何病毒、蠕虫等威胁。路径隔离：L3 VPN为支持园区网络虚拟化，思科提供了三个非常适用于典型园区网络设计，并混合使用了L2和L3技术的解决方案：

35、 GRE隧道 VRF-lite MPLS VPN GRE隧道GRE隧道为在园区网络上创建封闭用户组提供了一种相当简单且高效的方法。GRE隧道非常适于作为托管“访客”接入的企业解决方案，使公司能为访客或来访者提供全球互联网接入，而又能防止这些用户访问内部资源。在图1中，GRE隧道与Cisco VRF-lite特性共用，为访客接入创建了一个简单、易于管理的解决方案。图1. 结合使用GRE隧道和VRF-lite该解决方案的优势包括： 能跨越典型的多层园区网络（无需园区级VLAN）。 访客用户流量与其他公司局域网流量隔离。 所有访客流量的进入点位于中央位置，使安全性和服务质量(QoS)策略更易于管理。

36、 甚至能通过广域网扩展到分支机构。 在将GRE隧道作为支持封闭用户组的解决方案时，需要注意的一个因素是隧道本身较难配置和管理，因此不建议解决方案部署超过两条隧道。此类网络虚拟化适用于需要星型拓扑的场合。VRF-liteVRF-lite是一个思科特性，通常称为多VRF客户边缘，通过使用单一路由设备支持多个虚拟路由器，来提供园区分区解决方案。VRF-lite是MPLS的轻量版本。利用VRF-lite，网络经理能灵活地为任意特定VPN使用任意IP地址空间，而无论它是否与其他VPN的地址空间重叠或冲突。这种灵活性在很多场合都非常实用。例如，当所收购公司的网络合并到一个共享局域网中，所收购的网络能作为独

37、立VPN进入基础设施，几乎或完全不会干扰网络上的日常业务流程。VRF-lite能用作端到端解决方案，如图2所示，也能与另一解决方案共用来支持封闭用户组，这将在下一部分中讨论。总体来说，VRF-lite的可扩展性高于GRE隧道，但它最适用于有四或五个分区的网络。每次添加用户组时，它都需要人工重配置，因此相当耗费劳力。图2. VRF作为端到端解决方案部署MPLS VPN另一种为封闭用户组进行园区网络分区的方法为基于MPLS的L3 VPN。和GRE隧道与VRF-lite一样，MPLS VPN提供了一种安全可靠的方式，在通用物理基础设施上进行网络逻辑分区。尽管电信运营商使用MPLS技术的时间已有几年，但因为局域网交换机上缺乏对MPLS的支持，它还未在企业网络中广泛部署。而不断改变的业务需求，以及相应的新产品面世，正帮助MPLS成为园区基础设施中的重要技术。随着Cisco Catalyst 6500系列提供了对于MPLS VPN的支持，对许多大型企业来说，MPLS技术已拥有了廉宜价位。MPLS VPN具有本文中讨论的其他解决方案的所有优势（参见图3）。此外，任何MPLS