本节书摘来自异步社区《Cisco防火墙》一书中的第6章,第6.1节,作者 【巴西】Alexandre M.S.P. Moraes,更多章节内容可以访问云栖社区“异步社区”公众号查看
第6章防火墙世界中的虚拟化
Cisco防火墙
6.1 一些初始定义
Cisco防火墙
在对虚拟化展开讨论之前,读者必须先了解两类术语。第一类术语与网络的平面有关,而第二类术语则是对虚拟化这个词的各类解释。
网络设备处理的流量可以分为三大功能平面。
- 数据平面:亦称为转发平面(Forwarding Plane),这一部分的功能与穿越设备的流量有关。这个平面通常对应流经网络设备(如路由器和防火墙)的最大数据流量。
- 控制平面:这一类流量由直接发往网络设备的流量所组成,其主要功能包括构建路由表和拓扑表,建立信令以及维护接口状态等。
- 管理平面:这种平面的作用是通过设备与网络的连接来对设备实行管理。属于这类平面的重要协议包括Syslog、SNMP和SSH等。
注释在许多技术图书中,管理平面和控制平面常常被合二为一。按照这种方式来分类亦无伤大雅,因为即使参与不同平面的协议有所不同,这两类平面的流量也都是直接发送给路由器的。
当前,虚拟化这个术语已然无所不在,而且这个词可以应用在网络和安全领域众多不同的语境中。为了避免出现混淆,本书有必要介绍一下这个词的一些经典含义。
- 抽象物:指代表物理成份的抽象实体。网络地址转换(NAT)或服务器负载均衡(Server Load Balancing)中的虚拟IP以及首跳冗余协议(如HSRP、VRRP和GLBP)中使用的虚拟地址都属于这一类。
- 捆绑:将多个物理成份当作一个逻辑实体来处理的方式。(比如在Cisco广域应用服务[WAAS]设备的WAN优化解决方案中)端口聚合技术(也称为端口捆绑技术)以及TCP连接池(TCP connection pooling)技术都属于这一类。
- 分区:即将一个物理成份分为多个逻辑实体。VLAN和VRF(虚拟路由与转发)实例就属于应用于数据平面(的路由器和交换机)的分区技术。安全虚拟防火墙是一种可以同时将设备(如防火墙和服务器负载均衡器)的数据平面和控制层面进行分离的技术。
本章会对一些分区方式分别进行介绍,同时还会介绍如何将它们整合进强大的分层解决方案中。
