段志成 韓 平 甘偉業(yè)

（中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司廣西分公司，廣西 南寧 530001）

PC虛擬化實(shí)驗(yàn)室研究

段志成 韓 平 甘偉業(yè)

（中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司廣西分公司，廣西 南寧 530001）

文章開篇介紹PC虛擬化技術(shù)的基本原理，以虛擬化軟件模擬某政府單位網(wǎng)絡(luò)的部分核心為案例，分析“構(gòu)建PC級(jí)別的網(wǎng)絡(luò)系統(tǒng)集成虛擬實(shí)驗(yàn)室”的可行性及大致實(shí)現(xiàn)方式，向IT行業(yè)入門者展現(xiàn)“PC虛擬化”在技能學(xué)習(xí)、知識(shí)培訓(xùn)、原理實(shí)驗(yàn)、方案演練、IT系統(tǒng)環(huán)境模擬等方面的應(yīng)用前景。

虛擬化技術(shù)；虛擬化軟件；虛擬實(shí)驗(yàn)室

1 引言

談及虛擬化技術(shù)（Virtualization），IT入門者可能會(huì)聯(lián)想到企業(yè)級(jí)虛擬化、高可用性、云計(jì)算等高端術(shù)語(yǔ)。事實(shí)上，無論虛擬化技術(shù)如何分門別類，例如全虛擬化/半虛擬化、平臺(tái)/應(yīng)用程序/資源虛擬化、裸機(jī)Hypervisor型/宿主型/混合型虛擬，無論VMware、Citrix、Oracle、IBM、Microsoft等不同廠家虛擬化產(chǎn)品如何百家爭(zhēng)鳴，無論虛擬化技術(shù)涉及原理知識(shí)如何種類繁多、高深莫測(cè)，IT領(lǐng)域的虛擬化廣義理解為：對(duì)真實(shí)計(jì)算資源進(jìn)行“虛擬化”，得到邏輯上獨(dú)立的、共享真實(shí)的虛擬資源。在本文中，虛擬化存在于人們辦公娛樂用的普通PC中，運(yùn)行在傳統(tǒng)windows操作系統(tǒng)上（宿主型虛擬），是由一些應(yīng)用軟件實(shí)現(xiàn)的功能，可以通過操作管理軟件，把1臺(tái)真實(shí)的機(jī)器模擬成為多臺(tái)功能接近真實(shí)的“虛擬機(jī)”（Virtual machine），甚至可以借助軟件的虛擬網(wǎng)絡(luò)技術(shù)特性，將多臺(tái)虛擬機(jī)互聯(lián)起來，在邏輯上構(gòu)建一個(gè)虛擬的、功能完備的網(wǎng)絡(luò)系統(tǒng)集成實(shí)驗(yàn)室環(huán)境，在一定程度上滿足技能學(xué)習(xí)、知識(shí)培訓(xùn)等需求。

2 PC虛擬化技術(shù)簡(jiǎn)介

2.1 宿主型PC虛擬機(jī)實(shí)現(xiàn)步驟

宿主型虛擬：在真機(jī)、真實(shí)PC（稱為Host Machine）的操作系統(tǒng)上安裝設(shè)置虛擬機(jī)軟件。

由軟件核心Hypervisor（Virtual Machine Moniter）模擬機(jī)器硬件環(huán)境并協(xié)調(diào)分配資源。當(dāng)創(chuàng)建虛擬通用PC時(shí)，PC的CPU、RAM、指令集、I/O設(shè)備、硬盤等各種元素均由軟件算法實(shí)現(xiàn)，最終用戶不關(guān)心這些。

在真實(shí)硬件資源允許的范圍內(nèi)，可以創(chuàng)建多臺(tái)虛擬機(jī)器（稱為Guest Machine）。

在虛擬硬件上可加電自檢、引導(dǎo)加載啟動(dòng)筆者所需操作系統(tǒng)（稱為Guest OS），如傳統(tǒng)操作系統(tǒng)windows、linux、unix，網(wǎng)絡(luò)設(shè)備操作系統(tǒng)思科IOS、華為VRP、H3C Comware、Juniper JunOS。而甚至有些虛擬化軟件其本身可作為操作系統(tǒng)（如VMWARE vsphere、Citrix XenServer等）可直接安裝加載于真實(shí)硬件（Host Machine）上進(jìn)行“裸機(jī)型虛擬”。

在Guest OS上如真機(jī)般可安裝應(yīng)用，架設(shè)MAIL、SQL server，像真實(shí)路由器CLI界面一樣調(diào)試OSPF、VPN、ACL等。

真機(jī)經(jīng)歷了虛擬化過程，生成了邏輯的、虛擬的服務(wù)器/網(wǎng)絡(luò)路由器/交換機(jī)等，并且這些虛擬機(jī)共享真實(shí)PC硬件資源，功能與真機(jī)幾乎無異。

2.2 PC虛擬機(jī)軟件簡(jiǎn)介

本文案例使用軟件VMWARE （workstation）及Dynamips（GUI），前者主要用來虛擬主機(jī)，后者用來虛擬思科網(wǎng)絡(luò)設(shè)備。類似的軟件有很多，虛擬主機(jī)的有Oracle Virtual Box、Microsoft Virtual PC、Hyper-V、Linux開源KVM、Xen、Qemu；虛擬網(wǎng)絡(luò)設(shè)備的有Dynagen/GNS3（同DynamipsGUI，為Dynamips圖形前端程序，虛擬化主體程序?yàn)镈ynamips）、華為eNSP、H3C LITO、Juniper Olive等。

而對(duì)Cisco Packet Tracer、BOSON NETSIM等思科網(wǎng)絡(luò)設(shè)備模擬軟件，并不能稱之為虛擬機(jī)軟件，因?yàn)樗鼈冎荒７铝薈LI命令行輸入輸出、一問一答，未模擬硬件環(huán)境、未加載真實(shí)OS、也未進(jìn)行上述“虛擬化”過程。

VMWARE和Dynamips虛擬機(jī)系統(tǒng)使用界面和真機(jī)非常相似，如圖1、圖2。

圖1 VMWARE界面

圖2 Dynamips界面

3 構(gòu)建PC虛擬化網(wǎng)絡(luò)系統(tǒng)集成實(shí)驗(yàn)室

既然在PC上能夠通過軟件生成主機(jī)、網(wǎng)絡(luò)設(shè)備虛擬機(jī)，那么構(gòu)建一整套網(wǎng)絡(luò)系統(tǒng)集成核心虛擬實(shí)驗(yàn)室環(huán)境，便存在可能性。以下案例將模擬仿真某政府部門二三級(jí)網(wǎng)的網(wǎng)絡(luò)系統(tǒng)集成部分核心內(nèi)容。

3.1 某政府部門真實(shí)網(wǎng)絡(luò)集成方案

真實(shí)拓?fù)鋱D如圖3。

圖3 某政府部門網(wǎng)絡(luò)拓?fù)?/p>

方案部分精髓如下：

采用OSPF+靜態(tài)路由相結(jié)合方式。（右側(cè)）新建電信線路區(qū)、市、縣三級(jí)路由器使用OSPF動(dòng)態(tài)路由協(xié)議。（左側(cè)）原VPN設(shè)備完全使用靜態(tài)路由。

通過OSPF+默認(rèn)路由相結(jié)合方式，達(dá)到正常情況下市、縣流量上行到新增路由器后直接從電信線路走，僅當(dāng)右側(cè)線路故障才會(huì)走默認(rèn)路由到原VPN設(shè)備走政務(wù)外網(wǎng)（左側(cè)）線路。左側(cè)作為備份線路使用。

在各地市新增路由器上加一條默認(rèn)路由指向原VPN設(shè)備，該默認(rèn)路由不引入OSPF；在各縣新增路由器上加一條默認(rèn)路由指向原VPN設(shè)備，該默認(rèn)路由不引入OSPF。

3.2 網(wǎng)絡(luò)虛擬仿真思路

簡(jiǎn)化模擬的設(shè)備數(shù)量，只模擬廳/地市/縣份原VPN設(shè)備及電信新增路由器，各級(jí)網(wǎng)絡(luò)PC網(wǎng)關(guān)指向新增路由器。

模仿方案部分精髓，設(shè)置網(wǎng)絡(luò)設(shè)備參數(shù)。

在廳級(jí)虛擬部署1臺(tái)Apache web 服務(wù)器，在縣份虛擬1臺(tái)普通PC。在正常情況下，在縣份PC端查看web業(yè)務(wù)是否正常、tracert跟蹤路由是否如同方案設(shè)計(jì)精髓，從右側(cè)線路走。

模擬右側(cè)線路故障，web業(yè)務(wù)是否仍然正常？tracert跟蹤路由是否如同方案設(shè)計(jì)精髓，從左側(cè)線路走？先看虛擬網(wǎng)絡(luò)拓?fù)?，如圖4。

圖4 虛擬網(wǎng)絡(luò)拓?fù)?/p>

3.3 Dynamips與VMWARE虛擬網(wǎng)絡(luò)系統(tǒng)集成原理

3.3.1 Dynamips虛擬網(wǎng)絡(luò)

圖4所示D區(qū)域網(wǎng)絡(luò)，由Dynamips(GUI)虛擬生成，為用來虛擬網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)。各設(shè)備間的虛擬的“OSI物理層”連接實(shí)則由Dynamips(GUI)軟件定義，在真實(shí)PC上開啟了一些udp端口，每一個(gè)udp端口對(duì)應(yīng)虛擬網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)）的一個(gè)“物理”接口，如圖5。

圖5 Dynamips虛擬網(wǎng)絡(luò)設(shè)備互聯(lián)示意

Router1接口 GigabitEthernet1/0與Router3接口GigabitEthernet1/0互連，實(shí)則為由真實(shí)PC開放udp 11110端口與11310端口通信而模擬互聯(lián)。多臺(tái)虛擬設(shè)備按照這種方式互聯(lián)，便形成了網(wǎng)絡(luò)設(shè)備虛擬網(wǎng)絡(luò)。

3.3.2 VMWARE虛擬網(wǎng)絡(luò)

圖4中V區(qū)域網(wǎng)絡(luò)由VMWARE虛擬生成，如圖6。

圖6 VMWARE虛擬網(wǎng)絡(luò)模式

VMWARE定義了3種虛擬網(wǎng)絡(luò)，在真實(shí)PC上創(chuàng)建了一些虛擬的數(shù)據(jù)鏈路層網(wǎng)橋（或Virtual Switch）：

VMnet1-僅主機(jī)模式：該模式下，虛擬網(wǎng)絡(luò)是一個(gè)專用二層網(wǎng)絡(luò)，虛擬機(jī)無法直接與外界通信。

VMnet8-NAT模式：該模式由軟件虛擬提供三層默認(rèn)網(wǎng)關(guān)，并具有NAT功能，或稱虛擬機(jī)共享主機(jī)IP，可訪問真實(shí)網(wǎng)絡(luò)甚至INTERNET，通信時(shí)虛擬機(jī)將由軟件把IP地址轉(zhuǎn)換成真實(shí)PC的IP地址。三層默認(rèn)網(wǎng)關(guān)如圖7。

圖7 VMWARE NAT設(shè)置

VMnet0-橋接模式：該模式在邏輯上直接將虛擬機(jī)網(wǎng)絡(luò)橋接至真實(shí)PC的局域網(wǎng)，相當(dāng)于軟件虛擬創(chuàng)建了一個(gè)二層交換機(jī)，而虛擬機(jī)與真實(shí)PC以平等身份連入真實(shí)局域網(wǎng)，而只要主機(jī)可以訪問INTERNET，虛擬機(jī)也可以。

真實(shí)PC在“網(wǎng)絡(luò)連接”創(chuàng)建了2種VMWARE虛擬網(wǎng)卡，可以與上述VMnet1、VMnet8網(wǎng)絡(luò)通信，如圖8。

圖8 VMWARE 虛擬網(wǎng)卡

3.3.3 VMWARE與Dynamips虛擬網(wǎng)絡(luò)橋接

Dynamips軟件在底層定義了虛擬網(wǎng)絡(luò)設(shè)備的“接口”“橋接到PC”的功能，如圖9。

圖9 虛擬網(wǎng)絡(luò)橋接

無論是VMWARE軟件定義的虛擬網(wǎng)卡，或是真實(shí)PC物理網(wǎng)卡，都會(huì)在windows系統(tǒng)注冊(cè)表生成“DeviceNPF……”的底層識(shí)別參數(shù)，對(duì)Dynamips(GUI)而言，都可在虛擬的數(shù)據(jù)鏈路層進(jìn)行橋接。由VMWARE、Dynamips(GUI)分別定義的虛擬網(wǎng)絡(luò)可組成一個(gè)大的虛擬二層交換網(wǎng)絡(luò)，于是構(gòu)建虛擬網(wǎng)絡(luò)系統(tǒng)集成實(shí)驗(yàn)室便有了實(shí)現(xiàn)的基礎(chǔ)：依據(jù)現(xiàn)實(shí)情況需求使用Dynamips(GUI)虛擬多個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行互聯(lián)、參數(shù)調(diào)試，在VMWARE虛擬機(jī)安裝測(cè)試應(yīng)用，把虛擬的主機(jī)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備軟硬件仿照現(xiàn)實(shí)進(jìn)行整合組織。以上便是VMWARE及Dynamips(GUI)進(jìn)行虛擬網(wǎng)絡(luò)系統(tǒng)集成的大致原理。因文章篇幅關(guān)系，且涉及參數(shù)配置過多，不進(jìn)行詳盡的參數(shù)配置描述。

3.4 虛擬網(wǎng)絡(luò)集成效果

3.4.1 虛擬網(wǎng)絡(luò)部分設(shè)定

本文實(shí)驗(yàn)時(shí)在軟件上及虛擬機(jī)內(nèi)進(jìn)行了一些參數(shù)配置設(shè)定（例如左側(cè)網(wǎng)絡(luò)設(shè)備全做靜態(tài)路由，右側(cè)設(shè)備只做ospf等），然后設(shè)定虛擬服務(wù)器與PC的網(wǎng)關(guān)：將VMWARE虛擬得到的WEB服務(wù)器192.168.5.129默認(rèn)網(wǎng)關(guān)指向R7-三層交換SW VLAN網(wǎng)關(guān)192.168.5.250，將VMWARE虛擬得到的PC客戶端192.168.7.129默認(rèn)網(wǎng)關(guān)指向R5 192.168.7.250。

由兩個(gè)軟件定義的二層“橋接”（圖2紅色虛擬交換機(jī)），對(duì)于整體網(wǎng)絡(luò)來說，其實(shí)是透明的，邏輯上可認(rèn)為：由VMWARE虛擬的WEB服務(wù)器及PC客戶端，直連至由Dynamips虛擬的網(wǎng)絡(luò)設(shè)備。圖2拓?fù)鋱D簡(jiǎn)化如圖10。

圖10 虛擬網(wǎng)絡(luò)簡(jiǎn)化拓?fù)?/p>

在VMWARE上虛擬部署安裝了CentOS及Apache web應(yīng)用服務(wù)器。如圖11。

圖11 VMWARE Apache應(yīng)用

虛擬PC windows客戶端上訪問web服務(wù)器，正常打開Apache網(wǎng)頁(yè)；跟蹤路由，數(shù)據(jù)流向發(fā)生在右側(cè)縣份路由器R5-地市R3—廳級(jí)路由器R1—廳級(jí)R7(三層SW)，即我們虛擬的“新增電信線路”；查看OSPF鄰居狀態(tài)，為正常FULL。如圖12、圖13。

圖12 模擬（故障前）仿真網(wǎng)絡(luò)效果

圖13 模擬（故障前）R5 OSPF鄰居狀態(tài)

3.4.2 虛擬網(wǎng)絡(luò)仿真效果

對(duì)R5-R3線路故障，我們模擬時(shí)可將R5上行端口G1/0手工shutdown進(jìn)行故障模擬，如圖14。

圖14 模擬故障

此時(shí)虛擬PC仍可訪問web服務(wù)器；跟蹤路由，過了縣份R5后，主要發(fā)生在左側(cè)舊線路設(shè)備，R6—R4—R2—R7。如圖15。

圖15 模擬（故障后）仿真網(wǎng)絡(luò)效果

以上實(shí)現(xiàn)了本案例模擬初衷：對(duì)廳—地市—縣份路由，ospf+靜態(tài)路由結(jié)合，左側(cè)為備份的線路設(shè)備，右側(cè)為正常情況下優(yōu)先進(jìn)行數(shù)據(jù)流向的線路設(shè)備。

3.5 虛擬、真實(shí)網(wǎng)絡(luò)銜接

在上述案例基礎(chǔ)上繼續(xù)進(jìn)行實(shí)驗(yàn)，設(shè)想把虛擬網(wǎng)絡(luò)與真實(shí)網(wǎng)絡(luò)銜接起來。下面使縣級(jí)PC客戶端在能訪問虛擬網(wǎng)絡(luò)的同時(shí)，訪問真實(shí)網(wǎng)絡(luò)、INTERNET，另外令公網(wǎng)服務(wù)器可以對(duì)內(nèi)網(wǎng)路由器R5進(jìn)行遠(yuǎn)程連接。

為更具真實(shí)性，在案例虛擬網(wǎng)絡(luò)與真實(shí)網(wǎng)絡(luò)間添加1道虛擬思科ASA安全防火墻（VMWARE虛擬機(jī)版），新拓?fù)淙鐖D16。

圖16 模擬（故障后）仿真網(wǎng)絡(luò)效果

虛擬ASA防火墻inside區(qū)域即是VMWARE Vmnet8，而outside區(qū)域即為實(shí)驗(yàn)時(shí)所在真實(shí)LAN（使用了家用無線局域網(wǎng)，192.168.254.0/24網(wǎng)段）。

筆者在ASA上配置Secure-level、ACL、NAT、SSH、對(duì)R5級(jí)聯(lián)ASA的虛擬內(nèi)網(wǎng)IP進(jìn)行端口重定向（端口映射），在PC客戶端及R5路由器上修改靜態(tài)路由，默認(rèn)指向ASA inside IP、其它目標(biāo)網(wǎng)絡(luò)下一跳仍指向前述案例中的默認(rèn)網(wǎng)關(guān)。

在真實(shí)LAN網(wǎng)關(guān)上配置內(nèi)網(wǎng)網(wǎng)端口重定向（這里的內(nèi)網(wǎng)便是ASA的“outside外網(wǎng)”），如圖17。

圖17 真實(shí)網(wǎng)絡(luò)DNAT

因家庭訪問互聯(lián)網(wǎng)方式為ADSL撥號(hào)，筆者在家用路由器上使用了花生殼DDNS，使出口DHCP獲取到的動(dòng)態(tài)公網(wǎng)IP有了固定的公網(wǎng)域名，可讓公網(wǎng)服務(wù)器通過域名訪問虛擬網(wǎng)絡(luò)的設(shè)備。

在公網(wǎng)1臺(tái)服務(wù)器上測(cè)試效果如下圖，可通過域名訪問筆者的ASA及R5。如圖18。

圖18 虛擬與真實(shí)網(wǎng)絡(luò)銜接效果

4 PC虛擬化存在問題與解決方法

4.1 存在問題

筆者展現(xiàn)了兩個(gè)虛擬機(jī)軟件構(gòu)建網(wǎng)絡(luò)系統(tǒng)集成虛擬化實(shí)驗(yàn)室的效果、大致實(shí)現(xiàn)原理及方法方式。但“PC虛擬化”存在問題：

（1）通過PC虛擬化虛擬得到多臺(tái)邏輯意義上獨(dú)立的虛擬機(jī)，需要同時(shí)共享真實(shí)PC的硬件資源（CPU/內(nèi)存等）性能，因此真實(shí)PC（宿主機(jī)）的硬件性能會(huì)限制虛擬設(shè)備的數(shù)量及性能，反之真實(shí)PC性能也會(huì)受到虛擬機(jī)影響；

（2）Dynamips思科虛擬設(shè)備軟件存在問題：模擬硬件環(huán)境、可引導(dǎo)加載的IOS版本較舊（并涉及商業(yè)版權(quán)問題）、且軟件本身已停止升級(jí)，在功能方面與真實(shí)網(wǎng)絡(luò)設(shè)備有不小的差距，例如Dynamips虛擬三層交換機(jī)是通過虛擬3640型號(hào)路由器的交換模塊實(shí)現(xiàn)，很多三層交換機(jī)的新功能都無法實(shí)現(xiàn)。

份鑒別、訪問控制，數(shù)據(jù)加密處理，完整性控制等安全技術(shù)手段及數(shù)據(jù)備份與恢復(fù)、防病毒、安全審計(jì)、漏洞掃描、入侵防御、數(shù)據(jù)庫(kù)安全保護(hù)、安全監(jiān)控等一系列等基礎(chǔ)安全機(jī)制和規(guī)章制度。對(duì)數(shù)據(jù)備份子系統(tǒng)和安全防護(hù)管理子系統(tǒng)進(jìn)行整合。

5 結(jié)語(yǔ)

隨著人類活動(dòng)對(duì)地質(zhì)環(huán)境的影響逐步加大，環(huán)境管理和保護(hù)的工作壓力進(jìn)一步增大，地質(zhì)環(huán)境信息化的發(fā)展受到進(jìn)一步的重視。廣西地質(zhì)環(huán)境信息化建設(shè)需要有一個(gè)長(zhǎng)遠(yuǎn)的藍(lán)圖規(guī)劃路線圖，才能逐步建成系統(tǒng)一體化、數(shù)據(jù)集成化、信息綜合化和成果可視化的省級(jí)地質(zhì)環(huán)境信息系統(tǒng)平臺(tái)，實(shí)現(xiàn)全區(qū)地質(zhì)環(huán)境信息服務(wù)能力的全面提升。

[1] 國(guó)土資源部,中國(guó)地質(zhì)環(huán)境監(jiān)測(cè)院.全國(guó)地質(zhì)環(huán)境信息化建設(shè)總體方案設(shè)計(jì)[Z].北京:2012.

[2] 國(guó)土資源部.全國(guó)地質(zhì)環(huán)境信息化建設(shè)總體方案設(shè)計(jì)[Z].北京:2012.

[3] 全國(guó)地質(zhì)環(huán)境信息化建設(shè)方案[Z].北京:2013.

[4] 張鳴之,喻孟良,王勇,等.國(guó)家級(jí)地質(zhì)環(huán)境數(shù)據(jù)倉(cāng)庫(kù)的設(shè)計(jì)與實(shí)現(xiàn)[J].武漢:中國(guó)地質(zhì)大學(xué)學(xué)報(bào),2013,(11):1347-1354. [5] 張鳴之,諸云強(qiáng),羅德利,等.地質(zhì)環(huán)境數(shù)據(jù)集成服務(wù)及其系統(tǒng)實(shí)現(xiàn)[J].中國(guó)地質(zhì)災(zāi)害與防治學(xué)報(bào),2013,(3):84-88.

Research on PC Virtual Laboratory

This paper starts with an introduction about the basic principle of PC virtualization technology, using virtualization software to simulate some parts of the core in a government network as a case study, analyzing the feasibility of " the construction of PC level network system virtual laboratory" and its way of realization, showing people that the prospect of application about PC virtualization in skill learning, knowledge training, theory into practice, scheme drilling, IT environmental system simulation,etc.

Virtualization technology;virtualization software;virtual laboratory

TP3

A

1008-1151(2015)01-0029-05

2014-12-12

段志成（1987－），男（瑤族），中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司廣西分公司技術(shù)工程師，從事系統(tǒng)集成項(xiàng)目售后技術(shù)服務(wù)工作。