虚拟化基础架构之使用openfiler搭建iSCSI网络共享存储

1、虚拟化基础架构之使用openfiler搭建iSCSI网络共享存储（IPSAN）2009年04月02日 星期四 18:25随着虚拟化架构的不断完善与扩充，后台集中的网络存储已开始成为虚拟化整体解决方案中的一部分（尤其是对VDI、高可用性群集等架构），实现网络存储的方法有以下几种： 直接向EMC、NetApp等厂商购买存储设备：性能较好，价格高昂 在Windows平台安装模拟器：配制简单，但性能一般，且由于商业软件的试用期限制较难以长期使用 使用FreeNAS、Openfiler等Linux核心的iSCSI Target端程序：基于Linux内核的裸金属服务器端，性能较为理想，免费可自由下载，比较

2、适合于系统测试或评估使用。 这里将介绍使用Openfiler2.3来搭建基于iSCSI的网络共享存储 首先来看下基本架构与一些基本概念，了解基本概念的请跳过。 HYPERLINK /attachment.php?aid=34156&k=f695cccdf437357f684eb18f913c5390&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 1.jpg t _blank 下载 (25.61 KB)2009-1-30 04:44 在整个架构中，所有的设备都通过以太网相连，两台需

3、要连接存储的服务器分别为两个节点，称之为Initiator端（也可只有一个节点或多个节点），存储设备可以是专门的硬件存储设备，也可以由普通服务器充当，只需安装上述所说的模拟软件或者Openfiler等精简版Linux来充当，称之为Target端。 所以整个iSCSI架构其实也是类似于C/S架构，Target段为存储服务器，Initiator端为客户端，通过iSCSI协议将存储设备上的逻辑卷作为自己的存储设备使用。 下面切入正题，整个配置过程分为三大步骤： 在存储服务器上安装Openfiler 通过Web方式远程配置Openfiler存储设备 配置客户端服务器连接Openfiler存储设备一、在

4、存储服务器上安装Openfile（基本的只有下一步可按的页面就跳过了） 首先在 HYPERLINK /community/download/ t _blank /community/download/中下载合适的版本，从光驱引导后是典型的Linux安装界面 直接回车进入图形化安装界面 HYPERLINK /attachment.php?aid=34157&k=1f7105e0d20373a0fa5dc434a884d256&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 2.jpg

5、 t _blank 下载 (26.19 KB)2009-1-30 04:44在磁盘设置这里如果不熟悉Linux磁盘分区的话可以直接选择自动分区，但是为了增强对磁盘分区的可控性，这里选择手动分区。 HYPERLINK /attachment.php?aid=34158&k=a93f4421f27a507e3de738fd7e95e0a6&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 3.jpg t _blank 下载 (41.64 KB)2009-1-30 04:44系统询问是否初

6、始化磁盘并删除所有数据，选择YES，连续选择两次No的话则Restart。 HYPERLINK /attachment.php?aid=34159&k=26eaacb1be065268e25da1349d8e957d&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 4.jpg t _blank 下载 (41.99 KB)2009-1-30 04:45进入磁盘分区页面，在这个系统中我有两个磁盘，我的规划是较小的磁盘安装Openfiler，并且划分一个区作为群集的仲裁磁盘，较大的磁盘作

7、为共享数据磁盘（当然这是后话了，并且Linux系统的安装并不局限于一块物理磁盘，这里只是根据惯有的思路做一个预先规划） HYPERLINK /attachment.php?aid=34160&k=ac794bde2f9cf1b9f6d08cf361c1c2b0&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 5.jpg t _blank 下载 (49.35 KB)2009-1-30 04:45安装Openfiler本身的推荐分区方法则根常规的Linux分区方法是一样的，需要一个引导

8、分区，一个根分区，一个交换分区 点击较小的磁盘的Free空间，选择新建，在挂载点中择/boot，文件类型为ext3，只选择较小的磁盘（还是那句话，根据惯有思维，实在不习惯将一个分区横跨两个无力磁盘），大小设为100M即可，确定下方为固定大小，勾选强制为主分区选项。 HYPERLINK /attachment.php?aid=34161&k=59113774b23cff7bb0a13586023a1b5d&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 6.jpg t _blank

9、下载 (47.72 KB)2009-1-30 04:45用同样的方法建立根分区，挂载点位/，文件格式为ext3,挂载在较小的物理磁盘，大小为1GB-2GB即可，因为是精简版的Linux，且以后也不大会安装其它软件，所以1GB足矣（又是那句话，按照惯性思维，我设了2G，被微软惯性坏了。），下面则同样是固定大小，强制为主分区。 最后建立一个交换分区，不需要选择挂载点，文件类型为swap，第一块无力磁盘，大小为内存的两倍即可，其余设置一样，这里发现少截张图。 HYPERLINK /attachment.php?aid=34162&k=9c6bf68321cf57d50c40d79de778fa49&

10、t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 7.jpg t _blank 下载 (52.15 KB)2009-1-30 04:45分区完成后最终的效果应该是这样的，其余的分区保持为Free状态，不然在Openfiler中可能无法分配。 HYPERLINK /attachment.php?aid=34163&k=45d981ea9fe30bab176a30b3a4eea50a&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fql

11、d8VB54a5qeLqExjJbos1T3mZ6o o 8.jpg t _blank 下载 (52.25 KB)2009-1-30 04:45配置网络属性，建议设为固定IP，因为Openfiler安装完成之后没有图形界面，所有的配置都通过web方式完成，没有固定的IP会给以后的配置造成不必要的麻烦。 HYPERLINK /attachment.php?aid=34164&k=9169ce7dcae821f054de26d6083ea6e1&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6

12、o o 9.jpg t _blank 下载 (48.07 KB)2009-1-30 04:45接下来是选择时区，设置Root帐户密码，然后光盘中的文件拷贝至硬盘中开始正式安装，都比较简单，安装完成后取出光盘，按下Restart，整个安装过程就算完成了，其实跟安装普通的Linux没有任何区别。 HYPERLINK /attachment.php?aid=34165&k=c1d7734556cbb1a7eaf17cb336213216&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 1

13、0.jpg t _blank 下载 (31.91 KB)2009-1-30 04:45二、通过Web方式远程配置Openfiler存储设备 启动Openfiler之后会显示他的Web管理的URL： https:/IP:446 HYPERLINK /attachment.php?aid=34166&k=daa1d6bfc3bad965d0bee71c1a4f4c4e&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 11.jpg t _blank 下载 (41.94 KB)2009-1

14、-30 04:45通过远程客户端浏览器登录，用户名为openfiler,密码为password 进入管理界面之后首先看到是一些常规设备信息，关系不大，在上方导航栏中选择system，拉到页面下方，在Network Access Configuration中添加Initiator客户端所在的网段地址，用以在之后选择是否授权这个网段的计算机能够连接本台存储，可以通过子网掩码进一步控制数量，类型保留为share，点击Update。 HYPERLINK /attachment.php?aid=34167&k=d78001ffa52ae1a2022cf0862ab1d864&t=1238667764&n

15、othumb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 12.jpg t _blank 下载 (41.46 KB)2009-1-30 04:45在导航栏中选择Volumes，点击右侧的Block Devices，可以查看到当前存储服务器所拥有的物理磁盘，选择某一个物理磁盘的view，可以查看这块物理磁盘上已有的分区。 HYPERLINK /attachment.php?aid=34168&k=439eb9aaed0b17f76ec8601ce86b40ba&t=1238667764¬humb=yes&sid=7

16、50deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 13.jpg t _blank 下载 (48.48 KB)2009-1-30 04:45下面就开始正式划分我们所需要的共享仲裁磁盘和数据磁盘。 单击第一块物理磁盘: /dev/sda 拉到页面下方（如果要说Openfiler有什么很让人火大的地方就是这里了，很多页面都设计的很长，要拉到很下面才能进行设置），在这里划分一个物理分区出来，注意将PartitionType设置为物理卷，类型为主要，通过设置开始柱面和结束柱面，系统会计算出划分的区为多大，调整到满意的值后点击Creat HYPERLIN

17、K /attachment.php?aid=34169&k=6feefc9edbf60f930da4110edd556594&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 14.jpg t _blank 下载 (40.67 KB)2009-1-30 04:45接下来点击右侧的Volume Group，拉到页面下方，创建一个新的卷组，设置卷组名为Quorum，包含刚才创建的物理分区，点击Add Volume Group。 HYPERLINK /attachment.php?aid=

18、34170&k=0662c8ba4dbadeb2cf6ccc717d2fa5e0&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 15.jpg t _blank 下载 (41.31 KB)2009-1-30 04:45点击右侧的Add Volume，选择刚才创建的卷组，在这个卷组所包含的空间上创建一个真正的会挂接到Initiator客户端服务器上的逻辑卷（Lun），什么？你在这个页面中没看到创建？看到右侧的滚动条了么？对了。往下拉。 HYPERLINK /attachment.ph

19、p?aid=34171&k=9e6b041d6095aef1ebc3ce562b58ab40&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 16.jpg t _blank 下载 (43.09 KB)2009-1-30 04:45在创建逻辑Lun的时候可以选择所需要的大小，而不是选择整个卷组，Openfiler对磁盘的灵活性体现出来了，一个卷组可以划分多个逻辑Lun，卷组本身又可以来自多个物理磁盘，好了，被我说乱了？等下我来整理思路。这里定义完了卷名后在文件类型列表中选择iSCSI

20、，点击Creat。 HYPERLINK /attachment.php?aid=34172&k=d0cf23bd44f5c6c65b80f98f7793f2ae&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 17.jpg t _blank 下载 (35.61 KB)2009-1-30 04:45用同样的方法在第二块磁盘上创建一个物理分区，包含在data这个卷组中。 HYPERLINK /attachment.php?aid=34173&k=87040530d8cff3e57b97

21、7c63986f23b7&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 18.jpg t _blank 下载 (39.27 KB)2009-1-30 04:45点击右侧的Add Volume，注意选择需要在哪个卷组上创建逻辑卷，选择data卷组后需要点击change，才能在data这个卷组中操作，和上面一样，拉到页面下方，创建一个用于data的逻辑卷。 HYPERLINK /attachment.php?aid=34174&k=4454c5007832533296ac06d781

22、13aeb7&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 19.jpg t _blank 下载 (43.84 KB)2009-1-30 04:46在导航栏中选择Service，将下方服务中的iSCSI Target Server修改为Enable状态。 HYPERLINK /attachment.php?aid=34175&k=bce2f3adb4902b850433e923a3cab190&t=1238667764¬humb=yes&sid=750deuCQht82L6

23、eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 20.jpg t _blank 下载 (44.38 KB)2009-1-30 04:46回到Volumes标签，点击右侧的iSCSI Targets，点击Add添加iSCSI Target。 HYPERLINK /attachment.php?aid=34176&k=9fbaed9ee6ed18e2fd36f6153260e459&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 21.jpg t _blan

24、k 下载 (43.94 KB)2009-1-30 04:46单击导航栏下方的Lun Mapping，可以看到之前划出来可用于挂载的逻辑Lun，将两个逻辑卷全部Map至该Target。 HYPERLINK /attachment.php?aid=34177&k=9468f16e3f47cd3ffb93a014fd431325&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 22.jpg t _blank 下载 (49.96 KB)2009-1-30 04:46最后单击Network

25、ACL，可以看到先前设置的Initiator端所在的网段，在Access下选择Allow，单击Update，大功告成。 HYPERLINK /attachment.php?aid=34178&k=48a8cb69ae18dbc661e01db7cec5d8d4&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 23.jpg t _blank 下载 (43.18 KB)2009-1-30 04:46三、配置客户端服务器连接Openfiler存储设备 这个步骤比较简单，跟所有的连接iSC

26、SI设备客户端所需的操作一样（硬件HBA卡除外），安装微软的iSCSI Initiator 2.0（如果是Server08的话不需要安装，系统自带） HYPERLINK /attachment.php?aid=34179&k=5eeef3ab333f70d35f48bd9ce4a3af46&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 24.jpg t _blank 下载 (33.47 KB)2009-1-30 04:46在Discovery标签中，单击Add，填入Openfil

27、er服务器的地址，端口默认，确认。 HYPERLINK /attachment.php?aid=34180&k=abe7fc877888f8038b2c3b6c311762a9&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 25.jpg t _blank 下载 (39.68 KB)2009-1-30 04:46在Targets标签，单击Log On，勾选系统启动时自动恢复连接，确定，Target中的信息会由Inactive变为Connected。 HYPERLINK /attac

28、hment.php?aid=34181&k=16cf0062a38bce2b313c68693716669b&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 26.jpg t _blank 下载 (38.75 KB)2009-1-30 04:46打开磁盘管理，系统发现新的可初始化的磁盘，网络存储配置完成，只需在第二台节点进行同样的操作即可（第一台节点最好关闭，但实际坐下来问题不大，反正最后是由群集控制）。 HYPERLINK /attachment.php?aid=34182&k=

29、7c7e8753096db99c6fe738803e44be9a&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 27.jpg t _blank 下载 (43.76 KB)2009-1-30 04:56在设备管理器中的磁盘驱动器下可以看到，有两个OpnFiler.SCSI的设备驱动器。 HYPERLINK /attachment.php?aid=34183&k=1728eb6fa31175b7cd83f628e7f43e99&t=1238667764¬humb=yes&sid

30、=750deuCQht82L6eJy3%2Fqld8VB54a5qeLqExjJbos1T3mZ6o o 28.jpg t _blank 下载 (45.74 KB)2009-1-30 04:56回到web控制台，进入Status标签，单击右侧的iSCSI Target，可以看到连上来的Initiator，选择View可以看到IP信息。 HYPERLINK /attachment.php?aid=34184&k=67bea0fabfd0e79f45ce538e313ecca2&t=1238667764¬humb=yes&sid=750deuCQht82L6eJy3%2Fqld8VB54a5

31、qeLqExjJbos1T3mZ6o o 29.jpg t _blank 下载 (46.77 KB)2009-1-30 04:56整个配置到这里算是全部完成了，最后简单整理下Openfiler创建逻辑卷的整个过程： 1.首先在物理磁盘上创建物理分区，不能跨越物理磁盘 2.创建卷组，在卷组中可以包含任意的未被分配的物理分区，可以跨越物理磁盘，可以理解为将多个物理上的空间整合为一个可用的空间 3.在卷组中创建用于被连接的逻辑Lun，一个卷组可以创建一个逻辑Lun，也可以创建多个逻辑Lun，一个逻辑Lun被连接到客户端服务器后在磁盘管理器中最终看到的即是一个物理磁盘。在这里容易搞混得是卷组的名字是V

32、olume Group，逻辑Lun的名字是Volume，在创建过程中是先创建VolumeGroup，最后才在相应的VolumeGroup中Add Volume的。扫描rootcentos49 # iscsiadm -m discovery -type sendtargets -portal 0 (iscsi服务器IP)0:3260,1 .30:storage.iscsitest登记rootcentos49 iscsi# iscsiadm -m node -T .30:storage.iscsitest -p 0 -login Login session iface: default, targ

33、et: .30:storage.iscsitest, portal: 0,3260注销rootcentos49 iscsi# iscsiadm -m node -T .30:storage.iscsitest -p 0 -logout附录资料：不需要的可以自行删除 园区网络虚拟化无论规模如何或有什么安全需求，企业现在都能在单一物理网络上，受益于支持多个封闭用户组的虚拟化园区网络。综述随着对园区网络的需求日益复杂，可扩展解决方案也越来越需要将多个网络用户组进行逻辑分区。网络虚拟化提供了多个解决方案，能在保持现有园区设计的高可用性、可管理性、安全性和可扩展性优势的同时，实现服务和安全策略的集中。为

34、达到出色效果，这些解决方案必须包括网络虚拟化的三个主要方面：访问控制、路径隔离和服务边缘。通过实施这些解决方案，网络虚拟化即能与思科系统公司的服务导向网络架构(SONA)相结合，为迁移到智能化信息网络的企业创建一个强大的框架。SONA网络利用NAC和IEEE 802.1x协议提供身份识别服务，从而实现最优访问控制。在用户获准接入网络后，三个路径隔离解决方案GRE隧道、VRF-lite和MPLS VPN能在保留当前园区网设计优势的同时，在现有局域网上叠加分区机制，将网络划分为安全、虚拟的网络。这些解决方案解决了与分布部署服务和安全策略相关的问题。最后，共享服务和安全策略实施的集中化，大大减少了在

35、园区网中维护不同群组的安全策略和服务所需的资本和运营开支。这种集中化有助于在园区中实施一致的策略。挑战园区网络的设计建议一直缺乏一种对网络流量分区，以便为封闭用户组提供安全独立环境的方式（表1）。有许多因素都在推动对于创建封闭用户组的需要，包括： 企业中存在不同级别的访问权限：几乎每个企业都需要解决方案来为客户、厂商、合作伙伴以及园区局域网上的员工授予不同的访问级别。 法规遵从性：部分企业受法律或规定的要求，必须对较大的机构进行分区。例如，在金融公司中，银行业务必须与证券交易业务分开。 过大的企业需要简化网络：对于非常大型的园区网络，如机场、医院或大学来说，过去，为保证不同用户组或部门间的安全

36、性，就必须构建和管理不同的物理网络，这种做法既昂贵又难以管理。 网络整合：在合并和收购时，通常需要迅速集成所收购公司的网络。 外包：随着外包和离岸外包的普及，子承包商必须证明各客户的信息间完全隔离。尤其当一家承包商服务于相互竞争的公司时，这尤为重要。 提供网络服务的企业：零售连锁公司为其他公司支持售货亭或为加油站提供互联网接入；同样，服务于多家航空公司和零售商的机场能使用单一网络来提供隔离服务和共享服务。 表1. 不同垂直行业中网络分区的应用示例垂直行业网络虚拟化应用示例制造业生产工厂(自动装置，生产环境自动化等)，管理，销售，视频监视。 金融业交易大厅，管理，合并。政府支持不同部门的共同建筑

37、物和设施。在部分国家，法律要求这些部门采用不同网络。医疗总体趋势是在进行治疗的同时提供宾馆式服务。须隔离医护人员、核磁共振成像(MRI)和其他技术设备、病人互联网接入，以及为病人提供的广播和电视等媒体服务。 商业智能楼宇：多企业园区不同部门共享部分资源。多个公司位于同一园区，其中不同建筑物分属不同部门，但全使用相同的核心和互联网接入机制。园区所有者管理建筑物自动化体系，覆盖所有建筑物。零售售货亭，分支机构中的公共无线局域网，RF识别，WLAN设备（例如，不支持任何WLAN安全特性的较早的WLAN条码阅读器）。教育学生、教授、管理人员和外部研究团队间需要隔离。此外，分布于多个建筑物的各院系可能需

38、要访问各自的服务器区域。而某些资源（例如互联网、电子邮件和新闻）可能需要共享或通过一个服务区访问。此外，建筑物自动化体系也必须分开。园区局域网的发展网络虚拟化允许多个用户组访问同一物理网络，但从逻辑上对它们进行一定程度的隔离，以便它们无法查看其他组这是多年来网络经理面临的挑战。在上世纪90年代，L2交换是园区局域网的标志性特征，虚拟局域网(VLAN)是在一个通用基础设施中将局域网划分为不同工作组的标准。此解决方案安全高效，但无法很好地扩展，而且随着园区局域网的发展，其管理也非易事。核心和分布层中L3交换的出现，在VLAN方式的基础上对可扩展性、性能和故障排除进行了优化。过去几年中，所构建的基于

39、L3的园区网络已经证实，它们便于扩展、功能强大，具有高性能。但在网络分区和封闭用户组方面，L3园区方式有着重大缺陷和限制。在此情况下，添加封闭用户组即意味着增加成本和复杂度。解决方案：网络虚拟化因此我们需要一个便于扩展的解决方案，来保持用户组完全隔离，实现服务和安全策略的集中，并保留园区网设计的高可用性、安全性和可扩展性优势。为支持此解决方案，网络设计必须高效地解决以下问题： 访问控制：确保能识别合法用户和设备，对其分类，并允许其接入获得访问授权的网络部分。 路径隔离：确保各用户或设备都能高效地分配到正确、安全的可用资源集即正确的VPN。 服务边缘：确保合法的用户和设备能访问相应的正确服务，并

40、集中实施策略。 思科解决方案能通过几个方式实现网络虚拟化。虚拟化技术使单一物理设备或资源能作为它自己的多个物理版本，在网络中共享。网络虚拟化是思科SONA框架的一个重要组件。思科SONA使用虚拟化技术来改进服务器和存储局域网（SAN）等网络资产的使用。例如，一个物理防火墙能配置为执行多个虚拟防火墙的功能，帮助企业优化资源和安全投资。其他虚拟化战略包括集中策略管理、负载均衡和动态分配等。虚拟化能提高灵活性和网络效率，降低资本和运营开支。访问控制：身份验证和接入层安全接入层安全对于保护园区局域网免遭外部威胁十分重要。通过在威胁进入园区前即采取防御措施的特性，能对思科网络虚拟化解决方案构成补充。IE

41、EE 802.1X即是这样一种技术，它是端口安全的标准。802.1X在用户及其相关的VPN间形成强大的连接，防止在未授权情况下访问禁止接入的资源。另一种补充技术是思科网络准入控制(NAC)。NAC的职责是在边缘防御威胁，在有害流量到达分布层或核心层前即将其删除。NAC有助于确保用户不会使园区基础设施遭受到任何病毒、蠕虫等威胁。路径隔离：L3 VPN为支持园区网络虚拟化，思科提供了三个非常适用于典型园区网络设计，并混合使用了L2和L3技术的解决方案： GRE隧道 VRF-lite MPLS VPN GRE隧道GRE隧道为在园区网络上创建封闭用户组提供了一种相当简单且高效的方法。GRE隧道非常适于

42、作为托管“访客”接入的企业解决方案，使公司能为访客或来访者提供全球互联网接入，而又能防止这些用户访问内部资源。在图1中，GRE隧道与Cisco VRF-lite特性共用，为访客接入创建了一个简单、易于管理的解决方案。图1. 结合使用GRE隧道和VRF-lite该解决方案的优势包括： 能跨越典型的多层园区网络（无需园区级VLAN）。 访客用户流量与其他公司局域网流量隔离。 所有访客流量的进入点位于中央位置，使安全性和服务质量(QoS)策略更易于管理。 甚至能通过广域网扩展到分支机构。 在将GRE隧道作为支持封闭用户组的解决方案时，需要注意的一个因素是隧道本身较难配置和管理，因此不建议解决方案部署

43、超过两条隧道。此类网络虚拟化适用于需要星型拓扑的场合。VRF-liteVRF-lite是一个思科特性，通常称为多VRF客户边缘，通过使用单一路由设备支持多个虚拟路由器，来提供园区分区解决方案。VRF-lite是MPLS的轻量版本。利用VRF-lite，网络经理能灵活地为任意特定VPN使用任意IP地址空间，而无论它是否与其他VPN的地址空间重叠或冲突。这种灵活性在很多场合都非常实用。例如，当所收购公司的网络合并到一个共享局域网中，所收购的网络能作为独立VPN进入基础设施，几乎或完全不会干扰网络上的日常业务流程。VRF-lite能用作端到端解决方案，如图2所示，也能与另一解决方案共用来支持封闭用户组，这将在下一部分中讨论。总体来说，VRF-lite的可扩展性高于GRE隧道，但它最适用于有四或五个分区的网络。每次添加用户组时，它都需要人工重配置，因此相当耗费劳力。图2. VRF作为端到端解决方案部署MPLS VPN另一种为封闭用户组进行园区网络分区的方法为基于MPLS的L3 VPN。和GRE隧道与VRF-lite一样，MPLS VPN提供了一种安全可靠的方式，在通用物理基础设施上进行网络逻辑分区。尽管电信运营商使