PC虚拟化实验室研究

2015-08-07 13:39段志成甘伟业
大众科技 2015年1期
关键词:网络设备网络系统网关

段志成 韩 平 甘伟业

(中国电信集团系统集成有限责任公司广西分公司,广西 南宁 530001)

PC虚拟化实验室研究

段志成 韩 平 甘伟业

(中国电信集团系统集成有限责任公司广西分公司,广西 南宁 530001)

文章开篇介绍PC虚拟化技术的基本原理,以虚拟化软件模拟某政府单位网络的部分核心为案例,分析“构建PC级别的网络系统集成虚拟实验室”的可行性及大致实现方式,向IT行业入门者展现“PC虚拟化”在技能学习、知识培训、原理实验、方案演练、IT系统环境模拟等方面的应用前景。

虚拟化技术;虚拟化软件;虚拟实验室

1 引言

谈及虚拟化技术(Virtualization),IT入门者可能会联想到企业级虚拟化、高可用性、云计算等高端术语。事实上,无论虚拟化技术如何分门别类,例如全虚拟化/半虚拟化、平台/应用程序/资源虚拟化、裸机Hypervisor型/宿主型/混合型虚拟,无论VMware、Citrix、Oracle、IBM、Microsoft等不同厂家虚拟化产品如何百家争鸣,无论虚拟化技术涉及原理知识如何种类繁多、高深莫测,IT领域的虚拟化广义理解为:对真实计算资源进行“虚拟化”,得到逻辑上独立的、共享真实的虚拟资源。在本文中,虚拟化存在于人们办公娱乐用的普通PC中,运行在传统windows操作系统上(宿主型虚拟),是由一些应用软件实现的功能,可以通过操作管理软件,把1台真实的机器模拟成为多台功能接近真实的“虚拟机”(Virtual machine),甚至可以借助软件的虚拟网络技术特性,将多台虚拟机互联起来,在逻辑上构建一个虚拟的、功能完备的网络系统集成实验室环境,在一定程度上满足技能学习、知识培训等需求。

2 PC虚拟化技术简介

2.1 宿主型PC虚拟机实现步骤

宿主型虚拟:在真机、真实PC(称为Host Machine)的操作系统上安装设置虚拟机软件。

由软件核心Hypervisor(Virtual Machine Moniter)模拟机器硬件环境并协调分配资源。当创建虚拟通用PC时,PC的CPU、RAM、指令集、I/O设备、硬盘等各种元素均由软件算法实现,最终用户不关心这些。

在真实硬件资源允许的范围内,可以创建多台虚拟机器(称为Guest Machine)。

在虚拟硬件上可加电自检、引导加载启动笔者所需操作系统(称为Guest OS),如传统操作系统windows、linux、unix,网络设备操作系统思科IOS、华为VRP、H3C Comware、Juniper JunOS。而甚至有些虚拟化软件其本身可作为操作系统(如VMWARE vsphere、Citrix XenServer等)可直接安装加载于真实硬件(Host Machine)上进行“裸机型虚拟”。

在Guest OS上如真机般可安装应用,架设MAIL、SQL server,像真实路由器CLI界面一样调试OSPF、VPN、ACL等。

真机经历了虚拟化过程,生成了逻辑的、虚拟的服务器/网络路由器/交换机等,并且这些虚拟机共享真实PC硬件资源,功能与真机几乎无异。

2.2 PC虚拟机软件简介

本文案例使用软件VMWARE (workstation)及Dynamips(GUI),前者主要用来虚拟主机,后者用来虚拟思科网络设备。类似的软件有很多,虚拟主机的有Oracle Virtual Box、Microsoft Virtual PC、Hyper-V、Linux开源KVM、Xen、Qemu;虚拟网络设备的有Dynagen/GNS3(同DynamipsGUI,为Dynamips图形前端程序,虚拟化主体程序为Dynamips)、华为eNSP、H3C LITO、Juniper Olive等。

而对Cisco Packet Tracer、BOSON NETSIM等思科网络设备模拟软件,并不能称之为虚拟机软件,因为它们只模仿了CLI命令行输入输出、一问一答,未模拟硬件环境、未加载真实OS、也未进行上述“虚拟化”过程。

VMWARE和Dynamips虚拟机系统使用界面和真机非常相似,如图1、图2。

图1 VMWARE界面

图2 Dynamips界面

3 构建PC虚拟化网络系统集成实验室

既然在PC上能够通过软件生成主机、网络设备虚拟机,那么构建一整套网络系统集成核心虚拟实验室环境,便存在可能性。以下案例将模拟仿真某政府部门二三级网的网络系统集成部分核心内容。

3.1 某政府部门真实网络集成方案

真实拓扑图如图3。

图3 某政府部门网络拓扑

方案部分精髓如下:

采用OSPF+静态路由相结合方式。(右侧)新建电信线路区、市、县三级路由器使用OSPF动态路由协议。(左侧)原VPN设备完全使用静态路由。

通过OSPF+默认路由相结合方式,达到正常情况下市、县流量上行到新增路由器后直接从电信线路走,仅当右侧线路故障才会走默认路由到原VPN设备走政务外网(左侧)线路。左侧作为备份线路使用。

在各地市新增路由器上加一条默认路由指向原VPN设备,该默认路由不引入OSPF;在各县新增路由器上加一条默认路由指向原VPN设备,该默认路由不引入OSPF。

3.2 网络虚拟仿真思路

简化模拟的设备数量,只模拟厅/地市/县份原VPN设备及电信新增路由器,各级网络PC网关指向新增路由器。

模仿方案部分精髓,设置网络设备参数。

在厅级虚拟部署1台Apache web 服务器,在县份虚拟1台普通PC。在正常情况下,在县份PC端查看web业务是否正常、tracert跟踪路由是否如同方案设计精髓,从右侧线路走。

模拟右侧线路故障,web业务是否仍然正常?tracert跟踪路由是否如同方案设计精髓,从左侧线路走?先看虚拟网络拓扑,如图4。

图4 虚拟网络拓扑

3.3 Dynamips与VMWARE虚拟网络系统集成原理

3.3.1 Dynamips虚拟网络

图4所示D区域网络,由Dynamips(GUI)虚拟生成,为用来虚拟网络设备的网络。各设备间的虚拟的“OSI物理层”连接实则由Dynamips(GUI)软件定义,在真实PC上开启了一些udp端口,每一个udp端口对应虚拟网络设备(路由器、交换机)的一个“物理”接口,如图5。

图5 Dynamips虚拟网络设备互联示意

Router1接口 GigabitEthernet1/0与Router3接口GigabitEthernet1/0互连,实则为由真实PC开放udp 11110端口与11310端口通信而模拟互联。多台虚拟设备按照这种方式互联,便形成了网络设备虚拟网络。

3.3.2 VMWARE虚拟网络

图4中V区域网络由VMWARE虚拟生成,如图6。

图6 VMWARE虚拟网络模式

VMWARE定义了3种虚拟网络,在真实PC上创建了一些虚拟的数据链路层网桥(或Virtual Switch):

VMnet1-仅主机模式:该模式下,虚拟网络是一个专用二层网络,虚拟机无法直接与外界通信。

VMnet8-NAT模式:该模式由软件虚拟提供三层默认网关,并具有NAT功能,或称虚拟机共享主机IP,可访问真实网络甚至INTERNET,通信时虚拟机将由软件把IP地址转换成真实PC的IP地址。三层默认网关如图7。

图7 VMWARE NAT设置

VMnet0-桥接模式:该模式在逻辑上直接将虚拟机网络桥接至真实PC的局域网,相当于软件虚拟创建了一个二层交换机,而虚拟机与真实PC以平等身份连入真实局域网,而只要主机可以访问INTERNET,虚拟机也可以。

真实PC在“网络连接”创建了2种VMWARE虚拟网卡,可以与上述VMnet1、VMnet8网络通信,如图8。

图8 VMWARE 虚拟网卡

3.3.3 VMWARE与Dynamips虚拟网络桥接

Dynamips软件在底层定义了虚拟网络设备的“接口”“桥接到PC”的功能,如图9。

图9 虚拟网络桥接

无论是VMWARE软件定义的虚拟网卡,或是真实PC物理网卡,都会在windows系统注册表生成“DeviceNPF……”的底层识别参数,对Dynamips(GUI)而言,都可在虚拟的数据链路层进行桥接。由VMWARE、Dynamips(GUI)分别定义的虚拟网络可组成一个大的虚拟二层交换网络,于是构建虚拟网络系统集成实验室便有了实现的基础:依据现实情况需求使用Dynamips(GUI)虚拟多个网络设备进行互联、参数调试,在VMWARE虚拟机安装测试应用,把虚拟的主机、网络基础设施设备软硬件仿照现实进行整合组织。以上便是VMWARE及Dynamips(GUI)进行虚拟网络系统集成的大致原理。因文章篇幅关系,且涉及参数配置过多,不进行详尽的参数配置描述。

3.4 虚拟网络集成效果

3.4.1 虚拟网络部分设定

本文实验时在软件上及虚拟机内进行了一些参数配置设定(例如左侧网络设备全做静态路由,右侧设备只做ospf等),然后设定虚拟服务器与PC的网关:将VMWARE虚拟得到的WEB服务器192.168.5.129默认网关指向R7-三层交换SW VLAN网关192.168.5.250,将VMWARE虚拟得到的PC客户端192.168.7.129默认网关指向R5 192.168.7.250。

由两个软件定义的二层“桥接”(图2红色虚拟交换机),对于整体网络来说,其实是透明的,逻辑上可认为:由VMWARE虚拟的WEB服务器及PC客户端,直连至由Dynamips虚拟的网络设备。图2拓扑图简化如图10。

图10 虚拟网络简化拓扑

在VMWARE上虚拟部署安装了CentOS及Apache web应用服务器。如图11。

图11 VMWARE Apache应用

虚拟PC windows客户端上访问web服务器,正常打开Apache网页;跟踪路由,数据流向发生在右侧县份路由器R5-地市R3—厅级路由器R1—厅级R7(三层SW),即我们虚拟的“新增电信线路”;查看OSPF邻居状态,为正常FULL。如图12、图13。

图12 模拟(故障前)仿真网络效果

图13 模拟(故障前)R5 OSPF邻居状态

3.4.2 虚拟网络仿真效果

对R5-R3线路故障,我们模拟时可将R5上行端口G1/0手工shutdown进行故障模拟,如图14。

图14 模拟故障

此时虚拟PC仍可访问web服务器;跟踪路由,过了县份R5后,主要发生在左侧旧线路设备,R6—R4—R2—R7。如图15。

图15 模拟(故障后)仿真网络效果

以上实现了本案例模拟初衷:对厅—地市—县份路由,ospf+静态路由结合,左侧为备份的线路设备,右侧为正常情况下优先进行数据流向的线路设备。

3.5 虚拟、真实网络衔接

在上述案例基础上继续进行实验,设想把虚拟网络与真实网络衔接起来。下面使县级PC客户端在能访问虚拟网络的同时,访问真实网络、INTERNET,另外令公网服务器可以对内网路由器R5进行远程连接。

为更具真实性,在案例虚拟网络与真实网络间添加1道虚拟思科ASA安全防火墙(VMWARE虚拟机版),新拓扑如图16。

图16 模拟(故障后)仿真网络效果

虚拟ASA防火墙inside区域即是VMWARE Vmnet8,而outside区域即为实验时所在真实LAN(使用了家用无线局域网,192.168.254.0/24网段)。

笔者在ASA上配置Secure-level、ACL、NAT、SSH、对R5级联ASA的虚拟内网IP进行端口重定向(端口映射),在PC客户端及R5路由器上修改静态路由,默认指向ASA inside IP、其它目标网络下一跳仍指向前述案例中的默认网关。

在真实LAN网关上配置内网网端口重定向(这里的内网便是ASA的“outside外网”),如图17。

图17 真实网络DNAT

因家庭访问互联网方式为ADSL拨号,笔者在家用路由器上使用了花生壳DDNS,使出口DHCP获取到的动态公网IP有了固定的公网域名,可让公网服务器通过域名访问虚拟网络的设备。

在公网1台服务器上测试效果如下图,可通过域名访问笔者的ASA及R5。如图18。

图18 虚拟与真实网络衔接效果

4 PC虚拟化存在问题与解决方法

4.1 存在问题

笔者展现了两个虚拟机软件构建网络系统集成虚拟化实验室的效果、大致实现原理及方法方式。但“PC虚拟化”存在问题:

(1)通过PC虚拟化虚拟得到多台逻辑意义上独立的虚拟机,需要同时共享真实PC的硬件资源(CPU/内存等)性能,因此真实PC(宿主机)的硬件性能会限制虚拟设备的数量及性能,反之真实PC性能也会受到虚拟机影响;

(2)Dynamips思科虚拟设备软件存在问题:模拟硬件环境、可引导加载的IOS版本较旧(并涉及商业版权问题)、且软件本身已停止升级,在功能方面与真实网络设备有不小的差距,例如Dynamips虚拟三层交换机是通过虚拟3640型号路由器的交换模块实现,很多三层交换机的新功能都无法实现。

份鉴别、访问控制,数据加密处理,完整性控制等安全技术手段及数据备份与恢复、防病毒、安全审计、漏洞扫描、入侵防御、数据库安全保护、安全监控等一系列等基础安全机制和规章制度。对数据备份子系统和安全防护管理子系统进行整合。

5 结语

随着人类活动对地质环境的影响逐步加大,环境管理和保护的工作压力进一步增大,地质环境信息化的发展受到进一步的重视。广西地质环境信息化建设需要有一个长远的蓝图规划路线图,才能逐步建成系统一体化、数据集成化、信息综合化和成果可视化的省级地质环境信息系统平台,实现全区地质环境信息服务能力的全面提升。

[1] 国土资源部,中国地质环境监测院.全国地质环境信息化建设总体方案设计[Z].北京:2012.

[2] 国土资源部.全国地质环境信息化建设总体方案设计[Z].北京:2012.

[3] 全国地质环境信息化建设方案[Z].北京:2013.

[4] 张鸣之,喻孟良,王勇,等.国家级地质环境数据仓库的设计与实现[J].武汉:中国地质大学学报,2013,(11):1347-1354. [5] 张鸣之,诸云强,罗德利,等.地质环境数据集成服务及其系统实现[J].中国地质灾害与防治学报,2013,(3):84-88.

Research on PC Virtual Laboratory

This paper starts with an introduction about the basic principle of PC virtualization technology, using virtualization software to simulate some parts of the core in a government network as a case study, analyzing the feasibility of " the construction of PC level network system virtual laboratory" and its way of realization, showing people that the prospect of application about PC virtualization in skill learning, knowledge training, theory into practice, scheme drilling, IT environmental system simulation,etc.

Virtualization technology;virtualization software;virtual laboratory

TP3

A

1008-1151(2015)01-0029-05

2014-12-12

段志成(1987-),男(瑶族),中国电信集团系统集成有限责任公司广西分公司技术工程师,从事系统集成项目售后技术服务工作。

猜你喜欢
网络设备网络系统网关
网络设备的安装与调试课程思政整体设计
一种基于C# 的网络设备自动化登录工具的研制
信号系统网关设备的优化
基于DEMATEL-ISM的军事通信网络系统结构分析
高速公路网络系统配置浅析
LTE Small Cell网关及虚拟网关技术研究
应对气候变化需要打通“网关”
一种实时高效的伺服控制网关设计
纯电动客车的CAN网络系统设计与开发
基于列车监测网络设备的射频功放模块设计