3.4　小结

在私有云计算以及云IaaS中，防火墙能力、服务器负载平衡等都属于非常基础的智能网络服务，因此需在企业DC的SOI中引入服务机箱层，通过虚拟设备上下文或虚拟分区在物理防火墙或服务器负载平衡设备上实现防火墙设备和SLB的虚拟化及整合。

云IaaS能够支持基础设施分段，实现不同租户间的安全隔离。L2层分段通过VLAN很容易获得，而L3层分段在很多场景下更有优势。L3层分段主要包括两个主要部分：控制层面虚拟化和数据路径虚拟化，前者通过VRF实例实现，后者对VRF实例扩展可借助逐跳寻径或端到端方法实现。逐跳寻径数据路径虚拟化通常使用L2层内部连接类型，例如802.1trunk、端口隧道等，而端到端数据路径虚拟化采用L3层隧道实现。

企业DC的L3层划分以及虚拟化需要经WAN向远程分支扩展，为了实现这一目标，我们需要一种新的基于路径转发技术而非陈旧的面向HBH方法。MPLS以及MPLS VPN也因此在未来企业WANs中发挥作用，简而言之，企业可以选择从SP处订购multi-VPN服务通过WAN将L3层分段从DC扩展至远程分支。

不过，私有云计算要求企业具有自治及控制能力。企业也许反而希望考虑基于MPLS的自我管理网络，经由WAN再扩展至远程分支的L3层分段可以通过在L2层服务上的MPLS VPN、DMVPN per VRF，或者基于DMVPN之上的MPLS VPN实现，以上方法或者只使用multi-VRF实现，或者同时使用MPLS VPN和multi-VRF两种技术，无论哪一种方式都能够很容易地实现网络的虚拟化。独立网络的安全级别等同不要求SP介入的私有连接，也可以支持不同租户间的网络划分，至于最终采用何种方案，还是取决于能够获得什么类型的WAN服务以及企业硬件能够支持哪些技术，当然最重要的还是看随这些方案增加的成本到底有多高。