【正文】 數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)方案目 錄第一章 數(shù)據(jù)中心現(xiàn)狀分析 4第二章 數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)分析 4 路由與交換 4 EOR 與TOR 5 5 網(wǎng)絡(luò)多虛一技術(shù) 5 7 VM互訪技術(shù)（VEPA） 7 虛擬機(jī)遷移網(wǎng)絡(luò)技術(shù) 11第三章 方案設(shè)計(jì) 13 13 15 16 1市、區(qū)/縣數(shù)據(jù)中心互聯(lián)設(shè)計(jì) 1市數(shù)據(jù)中心互聯(lián) 1區(qū)/縣數(shù)據(jù)中心互聯(lián) 19 19第四章 方案的新技術(shù)特點(diǎn) 21 21 21 22 Extreme Direct Attach技術(shù) 24 幫助虛機(jī)無(wú)縫遷移的XNV技術(shù) 29 33 最穩(wěn)定可靠的網(wǎng)絡(luò)平臺(tái) 34 獨(dú)有的模塊化操作系統(tǒng)設(shè)計(jì) 34 35 37 設(shè)備安全特性 38 39 40 41附錄 方案產(chǎn)品資料 451. 核心交換機(jī)BD 8800 452. SummitX670系列產(chǎn)品 493. 三層千兆交換機(jī)Summit X460 614. 核心路由器MP7500 695. 匯聚路由器MP7200 756. 接入路由器MP3840 817. 接入路由器MP2824 858. MSG4000綜合安全網(wǎng)關(guān) 90第一章 數(shù)據(jù)中心現(xiàn)狀分析云計(jì)算數(shù)據(jù)中心相比較傳統(tǒng)數(shù)據(jù)中心對(duì)網(wǎng)絡(luò)的要求有以下變化：ServerServer流量成為主流，而且要求二層流量為主。站點(diǎn)內(nèi)部物理服務(wù)器和虛擬機(jī)數(shù)量增大，導(dǎo)致二層拓?fù)渥兇?。擴(kuò)容、災(zāi)備和VM遷移要求數(shù)據(jù)中心多站點(diǎn)間大二層互通。數(shù)據(jù)中心多站點(diǎn)的選路問(wèn)題受大二層互通影響更加復(fù)雜。iSCSI/FCoE是數(shù)據(jù)中心以網(wǎng)絡(luò)為核心演進(jìn)的需求，也是不可或缺的一部分。第二章 數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)分析 路由與交換數(shù)據(jù)中心網(wǎng)絡(luò)方面，關(guān)注的重點(diǎn)是數(shù)據(jù)中心內(nèi)部服務(wù)器前后端網(wǎng)絡(luò)，對(duì)于廣泛意義上的數(shù)據(jù)中心，如園區(qū)網(wǎng)、廣域網(wǎng)和接入網(wǎng)等內(nèi)容，不做過(guò)多擴(kuò)散。數(shù)據(jù)中心的網(wǎng)絡(luò)以交換以太網(wǎng)為主，只有傳統(tǒng)意義的匯聚層往上才是IP的天下。數(shù)據(jù)中心的以太網(wǎng)絡(luò)會(huì)逐步擴(kuò)大，IP轉(zhuǎn)發(fā)的層次也會(huì)被越推越高。數(shù)據(jù)中心網(wǎng)絡(luò)從設(shè)計(jì)伊始，主要著眼點(diǎn)就是轉(zhuǎn)發(fā)性能，因此基于CPU/NP轉(zhuǎn)發(fā)的路由器自然會(huì)被基于ASIC轉(zhuǎn)發(fā)的三層交換機(jī)所淘汰。傳統(tǒng)的Ethernet交換技術(shù)中，只有MAC一張表要維護(hù)，地址學(xué)習(xí)靠廣播，沒(méi)有什么太復(fù)雜的網(wǎng)絡(luò)變化需要關(guān)注，所以速率可以很快。而在IP路由轉(zhuǎn)發(fā)時(shí)，路由表、FIB表、ARP表一個(gè)都不能少，效率自然也低了很多。云計(jì)算數(shù)據(jù)中心對(duì)轉(zhuǎn)發(fā)帶寬的需求更是永無(wú)止境，因此會(huì)以部署核心接入二層網(wǎng)絡(luò)結(jié)構(gòu)為主。層次越多，故障點(diǎn)越多、延遲越高、轉(zhuǎn)發(fā)瓶頸也會(huì)越多。目前在一些ISP（InternetService Provider）的二層結(jié)構(gòu)大型數(shù)據(jù)中心里，由于傳統(tǒng)的STP需要阻塞鏈路浪費(fèi)帶寬，而新的二層多路徑L2MP技術(shù)還不夠成熟，因此會(huì)采用全三層IP轉(zhuǎn)發(fā)來(lái)暫時(shí)作為過(guò)渡技術(shù)，如接入層與核心層之間跑OSPF動(dòng)態(tài)路由協(xié)議的方式。這樣做的缺點(diǎn)顯而易見(jiàn)，組網(wǎng)復(fù)雜，路由計(jì)算繁多，以后勢(shì)必會(huì)被Ethernet L2MP技術(shù)所取代。新的二層多路徑技術(shù)，不管是TRILL還是SPB都引入了二層ISIS控制平面協(xié)議來(lái)作為轉(zhuǎn)發(fā)路徑計(jì)算依據(jù)，這樣雖然可以避免當(dāng)前以太網(wǎng)單路徑轉(zhuǎn)發(fā)和廣播環(huán)路的問(wèn)題，但畢竟是增加了控制平面拓?fù)溥x路計(jì)算的工作，能否使其依然如以往Ethernet般高效還有待觀察。MPLS就是一個(gè)的前車之鑒，本想著幫IP提高轉(zhuǎn)發(fā)效率，沒(méi)想到卻在VPN路由隔離方面獲得真正應(yīng)用。 EOR 與TOR數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備就是交換機(jī)，而交換機(jī)就分為機(jī)箱式與機(jī)架式兩種。當(dāng)前云計(jì)算以大量X86架構(gòu)服務(wù)器替代小型機(jī)和大型機(jī)，導(dǎo)致單獨(dú)機(jī)架Rack上的服務(wù)器數(shù)量增多。受工程布線的困擾，在大型數(shù)據(jù)中心內(nèi)EOR（End Of Row）結(jié)構(gòu)已經(jīng)逐步被TOR（Top Of Rack）結(jié)構(gòu)所取代。機(jī)架式交換機(jī)作為數(shù)據(jù)中心服務(wù)器第一接入設(shè)備的地位變得愈發(fā)不可動(dòng)搖。而為了確保大量機(jī)架式設(shè)備的接入，匯聚和核心層次的設(shè)備首要解決的問(wèn)題就是高密度接口數(shù)量，由此機(jī)箱式交換機(jī)也就占據(jù)了數(shù)據(jù)中心轉(zhuǎn)發(fā)核心的位置。綜合來(lái)說(shuō)，一般情況下數(shù)據(jù)中心以大型機(jī)箱式設(shè)備為核心，機(jī)架式設(shè)備為各個(gè)機(jī)柜的接入云計(jì)算就是計(jì)算虛擬化，而存儲(chǔ)虛擬化已經(jīng)在SAN上實(shí)現(xiàn)得很好了，剩下網(wǎng)絡(luò)虛擬化了。云計(jì)算環(huán)境中，所有的服務(wù)資源都成為了一個(gè)對(duì)外的虛擬資源，那么網(wǎng)絡(luò)不管是從路徑提供還是管理維護(hù)的角度來(lái)說(shuō)，都得跟著把一堆的機(jī)框盒子進(jìn)行多虛一統(tǒng)一規(guī)劃。而云計(jì)算一虛多的時(shí)候，物理服務(wù)器都變成了很多的VM，網(wǎng)絡(luò)層面則需要對(duì)一虛多對(duì)通路建立和管理更精細(xì)化。 網(wǎng)絡(luò)多虛一技術(shù)網(wǎng)絡(luò)多虛一技術(shù)。最早的網(wǎng)絡(luò)多虛一技術(shù)代表是交換機(jī)集群Cluster技術(shù)，多以盒式小交換機(jī)為主，較為古老，當(dāng)前數(shù)據(jù)中心里面已經(jīng)很少見(jiàn)了。而新的技術(shù)則主要分為兩個(gè)方向，控制平面虛擬化與數(shù)據(jù)平面虛擬化。控制平面虛擬化顧名思義，控制平面虛擬化是將所有設(shè)備的控制平面合而為一，只有一個(gè)主體去處理整個(gè)虛擬交換機(jī)的協(xié)議處理，表項(xiàng)同步等工作。從結(jié)構(gòu)上來(lái)說(shuō)，控制平面虛擬化又可以分為縱向與橫向虛擬化兩種方向?？v向虛擬化指不同層次設(shè)備之間通過(guò)虛擬化合多為一，相當(dāng)于將下游交換機(jī)設(shè)備作為上游設(shè)備的接口擴(kuò)展而存在，虛擬化后的交換機(jī)控制平面和轉(zhuǎn)發(fā)平面都在上游設(shè)備上，下游設(shè)備只有一些簡(jiǎn)單的同步處理特性，報(bào)文轉(zhuǎn)發(fā)也都需要上送到上游設(shè)備進(jìn)行?？梢岳斫鉃榧惺睫D(zhuǎn)發(fā)的虛擬交換機(jī)橫向虛擬化多是將同一層次上的同類型交換機(jī)設(shè)備虛擬合一，控制平面工作如縱向一般，都由一個(gè)主體去完成，但轉(zhuǎn)發(fā)平面上所有的機(jī)框和盒子都可以對(duì)流量進(jìn)行本地轉(zhuǎn)發(fā)和處理，是典型分布式轉(zhuǎn)發(fā)結(jié)構(gòu)的虛擬交換機(jī)?？刂破矫嫣摂M化從一定意義上來(lái)說(shuō)是真正的虛擬交換機(jī)，能夠同時(shí)解決統(tǒng)一管理與接口擴(kuò)展的需求。但是有一個(gè)很嚴(yán)重的問(wèn)題制約了其技術(shù)的發(fā)展。服務(wù)器多虛一技術(shù)目前無(wú)法做到所有資源的靈活虛擬調(diào)配，而只能基于主機(jī)級(jí)別當(dāng)多機(jī)運(yùn)行時(shí)，協(xié)調(diào)者的角色（等同于框式交換機(jī)的主控板控制平面）對(duì)同一應(yīng)用來(lái)說(shuō)，只能主備，無(wú)法做到負(fù)載均衡。網(wǎng)絡(luò)設(shè)備虛擬化也同樣如此，以框式設(shè)備舉例，不管以后能夠支持多少臺(tái)設(shè)備虛擬合一，只要不能解決上述問(wèn)題，從控制平面處理整個(gè)虛擬交換機(jī)運(yùn)行的物理控制節(jié)點(diǎn)主控板都只能有一塊為主，其他都是備份角色（類似于服務(wù)器多虛一中的HA Cluster結(jié)構(gòu)）。總而言之，虛擬交換機(jī)支持的物理節(jié)點(diǎn)規(guī)模永遠(yuǎn)會(huì)受限于此控制節(jié)點(diǎn)的處理能力。 數(shù)據(jù)平面虛擬化數(shù)據(jù)平面的虛擬化，目前主要是TRILL和SPB，他們都是用L2 ISIS作為控制協(xié)議在所有設(shè)備上進(jìn)行拓?fù)渎窂接?jì)算，轉(zhuǎn)發(fā)的時(shí)候會(huì)對(duì)原始報(bào)文進(jìn)行外層封裝，以不同的目的Tag在TRILL/SPB區(qū)域內(nèi)部進(jìn)行轉(zhuǎn)發(fā)。對(duì)外界來(lái)說(shuō)，可以認(rèn)為TRILL/SPB區(qū)域網(wǎng)絡(luò)就是一個(gè)大的虛擬交換機(jī)，Ethernet報(bào)文從入口進(jìn)去后，完整的從出口吐出來(lái)，內(nèi)部的轉(zhuǎn)發(fā)過(guò)程對(duì)外是不可見(jiàn)且無(wú)意義的。這種數(shù)據(jù)平面虛擬化多合一已經(jīng)是廣泛意義上的多虛一了，此方式在二層Ethernet轉(zhuǎn)發(fā)時(shí)可以有效的擴(kuò)展規(guī)模范圍，作為網(wǎng)絡(luò)節(jié)點(diǎn)的N虛一來(lái)說(shuō)，控制平面虛擬化目前N還在個(gè)位到十位數(shù)上晃悠，數(shù)據(jù)平面虛擬化的N已經(jīng)可以輕松達(dá)到百位的范疇。但其缺點(diǎn)也很明顯，引入了控制協(xié)議報(bào)文處理，增加了網(wǎng)絡(luò)的復(fù)雜度，同時(shí)由于轉(zhuǎn)發(fā)時(shí)對(duì)數(shù)據(jù)報(bào)文多了外層頭的封包解包動(dòng)作，降低了Ethernet的轉(zhuǎn)發(fā)效率。從數(shù)據(jù)中心當(dāng)前發(fā)展來(lái)看，規(guī)模擴(kuò)充是首位的，帶寬增長(zhǎng)也是不可動(dòng)搖的，因此在網(wǎng)絡(luò)多虛一方面，控制平面多虛一的各種技術(shù)除非能夠突破控制層多機(jī)協(xié)調(diào)工作的技術(shù)枷鎖，否則只有在中小型數(shù)據(jù)中心里面應(yīng)用，后期真正的大型云計(jì)算數(shù)據(jù)中心勢(shì)必是屬于TRILL/SPB此類數(shù)據(jù)平面多虛一技術(shù)的天地。網(wǎng)絡(luò)一虛多技術(shù)，已經(jīng)根源久遠(yuǎn)，從Ethernet的VLAN到IP的VPN都是已經(jīng)成熟技術(shù)，F(xiàn)C里面則有對(duì)應(yīng)的VSAN技術(shù)。此類技術(shù)特點(diǎn)就是給轉(zhuǎn)發(fā)報(bào)文里面多插入一個(gè)Tag，供不同設(shè)備統(tǒng)一進(jìn)行識(shí)別，然后對(duì)報(bào)文進(jìn)行分類轉(zhuǎn)發(fā)。代表如只能手工配置的VLAN ID和可以自協(xié)商的MPLS Label。傳統(tǒng)技術(shù)都是基于轉(zhuǎn)發(fā)層面的，雖然在管理上也可以根據(jù)VPN進(jìn)行區(qū)分，但是CPU/轉(zhuǎn)發(fā)芯片/內(nèi)存這些基礎(chǔ)部件都是只能共享的。目前最新的一虛多技術(shù)是類似Extreme Networks在交換機(jī)系統(tǒng)中實(shí)現(xiàn)的Virtual Router，和VM一樣可以建立多個(gè)虛擬交換機(jī)并將物理資源獨(dú)立分配，目前的實(shí)現(xiàn)是最多可建立64個(gè)VR，其中有一個(gè)用做管理。 VM互訪技術(shù)（VEPA）隨著虛擬化技術(shù)的成熟和x86 CPU性能的發(fā)展，越來(lái)越多的數(shù)據(jù)中心開(kāi)始向虛擬化轉(zhuǎn)型。虛擬化架構(gòu)能夠在以下幾方面對(duì)傳統(tǒng)數(shù)據(jù)中心進(jìn)行優(yōu)化：提高物理服務(wù)器CPU利用率；提高數(shù)據(jù)中心能耗效率；提高數(shù)據(jù)中心高可用性；加快業(yè)務(wù)的部署速度正是由于這些不可替代的優(yōu)點(diǎn)，虛擬化技術(shù)正成為數(shù)據(jù)中心未來(lái)發(fā)展的方向。然而一個(gè)問(wèn)題的解決，往往伴隨著另一些問(wèn)題的誕生，數(shù)據(jù)網(wǎng)絡(luò)便是其中之一。隨著越來(lái)越多的服務(wù)器被改造成虛擬化平臺(tái)，數(shù)據(jù)中心內(nèi)部的物理網(wǎng)口越來(lái)越少，以往十臺(tái)數(shù)據(jù)庫(kù)系統(tǒng)就需要十個(gè)以太網(wǎng)口，而現(xiàn)在，這十個(gè)系統(tǒng)可能是駐留在一臺(tái)物理服務(wù)器內(nèi)的十個(gè)虛擬機(jī)，共享一條上聯(lián)網(wǎng)線。這種模式顯然是不合適的，多個(gè)虛擬機(jī)收發(fā)的數(shù)據(jù)全部擠在一個(gè)出口上，單個(gè)操作系統(tǒng)和網(wǎng)絡(luò)端口之間不再是一一對(duì)應(yīng)的關(guān)系，從網(wǎng)管人員的角度來(lái)說(shuō)，原來(lái)針對(duì)端口的策略都無(wú)法部署，增加了管理的復(fù)雜程度。其次，目前的主流虛擬平臺(tái)上，都沒(méi)有獨(dú)立網(wǎng)管界面，一旦出現(xiàn)問(wèn)題網(wǎng)管人員與服務(wù)器維護(hù)人員又要陷入無(wú)止盡的扯皮中。當(dāng)初虛擬化技術(shù)推行的一大障礙就是責(zé)任界定不清晰，現(xiàn)在這個(gè)問(wèn)題再次阻礙了虛擬化的進(jìn)一步普及。接入層的概念不再僅僅針對(duì)物理端口，而是延伸到服務(wù)器內(nèi)部，為不同虛擬機(jī)之間的流量交換提供服務(wù)，將虛擬機(jī)同網(wǎng)絡(luò)端口重新關(guān)聯(lián)起來(lái)。 做為X86平臺(tái)虛擬化的領(lǐng)導(dǎo)廠商，VMWare早已經(jīng)在其vsphere平臺(tái)內(nèi)置了虛擬交換機(jī)vswitch，甚至更進(jìn)一步，實(shí)現(xiàn)了分布式虛擬交互機(jī)VDS（vnetwork distributed switch），為一個(gè)數(shù)據(jù)中心內(nèi)提供一個(gè)統(tǒng)一的網(wǎng)絡(luò)接入平臺(tái)，當(dāng)虛擬機(jī)發(fā)生vmotion時(shí)，所有端口上的策略都將隨著虛擬機(jī)移動(dòng)。虛擬以太網(wǎng)端口匯聚器（VEPA）是最新IEEE ，其設(shè)計(jì)目標(biāo)是降低與高度虛擬化部署有關(guān)的復(fù)雜性。如果我們研究一下使用虛擬交換機(jī)的傳統(tǒng)方法就會(huì)發(fā)現(xiàn)，它與VEPA方法存在很大的不同，VEPA使用戶可以深入了解虛擬化及聯(lián)網(wǎng)中的各項(xiàng)部署挑戰(zhàn)和需要考慮的因素。當(dāng)您的物理主機(jī)上的監(jiān)視程序上有多臺(tái)虛擬機(jī)（每臺(tái)虛擬機(jī)都包含一套操作系統(tǒng)和多種應(yīng)用）時(shí)，這些虛擬機(jī)在相互通信和與外部世界通信時(shí)都要使用虛擬交換機(jī)。事實(shí)上，虛擬交換機(jī)是一種第2層交換機(jī)，通常以軟件的形式在監(jiān)視程序內(nèi)運(yùn)行。每種監(jiān)視程序通常都有一個(gè)內(nèi)建的虛擬交換機(jī)。不同的監(jiān)視程序所含的虛擬交換機(jī)在能力方面也是千差萬(wàn)別的。當(dāng)虛擬交換機(jī)從聯(lián)網(wǎng)領(lǐng)域轉(zhuǎn)移到服務(wù)器領(lǐng)域時(shí)，就有必要針對(duì)虛擬環(huán)境對(duì)傳統(tǒng)的基于網(wǎng)絡(luò)的工具和解決方案進(jìn)行重新測(cè)試、重新定性和重新部署。從某些方面來(lái)說(shuō)，這種變化會(huì)對(duì)虛擬化的快速擴(kuò)展和普及造成阻礙。例如，傳統(tǒng)的網(wǎng)絡(luò)和服務(wù)器運(yùn)營(yíng)團(tuán)隊(duì)是截然分開(kāi)的，每個(gè)團(tuán)隊(duì)都有自己的流程、工具和控制范圍。由于虛擬交換機(jī)的原因，聯(lián)網(wǎng)進(jìn)入了服務(wù)器的范疇，因此像供應(yīng)虛擬機(jī)這樣的簡(jiǎn)單任務(wù)也需要這些團(tuán)隊(duì)之間開(kāi)展額外的協(xié)調(diào)工作，從而確保虛擬交換機(jī)的配置與物理網(wǎng)絡(luò)配置保持一致。由于缺乏網(wǎng)絡(luò)中虛擬機(jī)之間流量的可視性，因此涉及到虛擬機(jī)之間通信的故障查找和監(jiān)視也變成了一項(xiàng)極具挑戰(zhàn)性的工作。而且隨著虛擬機(jī)數(shù)量的增長(zhǎng)，單個(gè)服務(wù)器中的虛擬機(jī)目前已經(jīng)達(dá)到8至12臺(tái)，并且會(huì)在不久的將來(lái)達(dá)到32至64臺(tái)，因此，保護(hù)虛擬機(jī)彼此不受干擾，以及不受外界威脅的侵害都變成了一項(xiàng)需要認(rèn)真考慮的問(wèn)題。從防火墻到IDS/IPS，基于網(wǎng)絡(luò)的傳統(tǒng)設(shè)備和工具都需要針對(duì)這些高度虛擬化的環(huán)境重新開(kāi)發(fā)、重新認(rèn)證和重新部署，從而確保虛擬機(jī)之間通過(guò)虛擬交換機(jī)的通信能夠滿足法規(guī)一致性和安全方面的要求。由于在虛擬交換機(jī)方面缺乏標(biāo)準(zhǔn)，因此會(huì)增加涉及不同監(jiān)視技術(shù)的培訓(xùn)、互用性和管理開(kāi)銷，進(jìn)入使這些挑戰(zhàn)變得更加復(fù)雜。事實(shí)上，物理服務(wù)器正在變成一種全面的網(wǎng)絡(luò)環(huán)境，擁有自身的互用性、部署、認(rèn)證和測(cè)試要求。有趣的是，這種趨勢(shì)與虛擬化最基本的優(yōu)勢(shì)之一是背道而馳的，即虛擬化能夠?qū)⒎?wù)器中過(guò)剩的容量以更高的效率來(lái)運(yùn)行各類應(yīng)用。目前，這種“服務(wù)器中的網(wǎng)絡(luò)”很有可能演變成這些過(guò)剩容量的消費(fèi)方，將CPU和內(nèi)存資源吞噬殆盡。VEPA的方法為應(yīng)用這些挑戰(zhàn)，各方已經(jīng)提出了多種不同的解決方案，其中就包括VEPA。VEPA是一種虛擬交換機(jī)替代產(chǎn)品；它不僅進(jìn)入了標(biāo)準(zhǔn)化進(jìn)程，而且成為業(yè)界眾多廠商的一致選擇。事實(shí)上，VEPA會(huì)將服務(wù)器上虛擬機(jī)生成的所有流量轉(zhuǎn)移到外部的網(wǎng)絡(luò)交換機(jī)上。外部網(wǎng)絡(luò)交換機(jī)接下來(lái)會(huì)為同一臺(tái)物理服務(wù)器上的虛擬機(jī)和基礎(chǔ)設(shè)施的其它部分提供連接。實(shí)現(xiàn)這一功能的方法是將一種新型轉(zhuǎn)發(fā)模式融入物理交換機(jī)中，使流量能夠從來(lái)時(shí)的端口“原路返回”，從而簡(jiǎn)化同一服務(wù)器上虛擬機(jī)之間的通信?！霸贩祷亍蹦Ｊ剑ɑ蚍Q“反射中繼”）可以在需要時(shí)將包的單一副本反向發(fā)送至同一臺(tái)服務(wù)器上的目的地或目標(biāo)虛擬機(jī)。對(duì)于廣播或組播流量，VEPA能夠以本地方式向服務(wù)器上的虛擬機(jī)提供包復(fù)制能力。傳統(tǒng)上，多數(shù)網(wǎng)絡(luò)交換機(jī)都不支持這種“原路返回”模式行為，因?yàn)樗赡軙?huì)在非虛擬世界中造成環(huán)路和廣播風(fēng)暴。然而，許多網(wǎng)絡(luò)廠商都開(kāi)始支持這種行為，目的就是解決虛擬機(jī)交換的問(wèn)題，而且使用簡(jiǎn)單的軟件或固件升級(jí)即可實(shí)現(xiàn)。VEPA能夠以軟件的方式，作為監(jiān)視程序中的瘦層在服務(wù)器中實(shí)施，也可以作為網(wǎng)卡中的硬件來(lái)實(shí)施，在后一種情況下還可以與SRIOV等PCIe I/O虛擬化技術(shù)結(jié)合使用。其中一個(gè)典型的例子就是Linux KVM監(jiān)視程序中提供的基于軟件的VEPA實(shí)施。事實(shí)上，VEPA將交換功能移出了服務(wù)器，并且將其放回物理網(wǎng)絡(luò)中，而且讓外部網(wǎng)絡(luò)交換機(jī)能夠看到所有的虛擬機(jī)流量。通過(guò)將虛擬機(jī)交換移回物理網(wǎng)絡(luò)，基于VEPA的方法使現(xiàn)有的網(wǎng)絡(luò)工具和流程可以在虛擬化和非虛擬化環(huán)境以及監(jiān)視程序技術(shù)中以相同的方式自由使用。防火墻和IDS/IPS等基于網(wǎng)絡(luò)的設(shè)備，以及訪問(wèn)控制列表（ACL）、服務(wù)質(zhì)量（Qo