虛擬網絡設備在網絡中的作用

　　很多網絡供應商已經開始通過使用Intel的平台和硬件產品來 減小開發成本。例如，Cisco的ASA防火牆、F5的負載均衡器和Vyatta的路由器。接下來的事情是很明顯的，其中一些此類供應商已經開始為虛擬設 備提供產品了。F5已經有它的Local Traffic Manager–Virtual Edition (LTM VE)產品，而Vyatta則宣稱具有一個全面虛擬設備解決方案。雖然VMware在這方面稍微有些落後，但也提供了虛擬防火牆(vShield Zones、vShield App)和路由器/負載均衡器(vShield Edge)。

　　虛擬網絡設備：關鍵是什麼?

　 　網絡設備與服務器不同，它們一般執行高I/O的任務，通過網絡接口以最小附加處理來傳輸大量的數據，並且非常依賴於專用硬件。所有高速路由和數據包轉 發，包括加密(IPsec與SSL)和負載均衡，都依靠專用處理器。當一個網絡設備被重新打包為一個虛擬機格式時，專用硬件就失效了，所有的這些任務現在 都必須由通用的CPU執行，這有時候會導致性能的顯著下降。

　　在虛擬設備中部署路由器、交換機或者防火牆可能會直接占用在其他地方可以更好利用的CPU時間——當然，除非您已經充實地預分配了服務器，並且還有大量閒置的CPU處理時間，否則在這種情況下您的規劃將會出現嚴重的問題。

　 　更糟糕的是，在服務器虛擬化解決方案中所使用的虛擬機管理軟件也可以虛擬化網絡接口。這意味著從網絡設備到虛擬化硬件的每個I/O訪問路徑都會經過一個 更高特權軟件(虛擬機管理程序)進行環境轉換，它可以使用大量的CPU時間來解碼所需要做的事情，模擬想要的動作。同時，在虛擬機器之間傳輸的數據必須在 它們的地址空間進行復制，這會給整個過程增加更多的延遲。

　　VMware的虛擬機管理程序具有的DVFilter API會帶來一定的幫助，它支持一個可加載的內核模塊，來檢查和修改虛擬機管理程序(vNetwork Data Path Agent)內部或它與虛擬機(vNetwork Control Path Agent)之間傳輸的網絡流量。可加載的內核模塊能夠顯著地減少VM環境轉換的開銷。

　　虛擬網絡設備發揮作用的位置

　　 虛擬網絡設備可以發揮作用的位置很多。例如，您可以將一個不依靠專用硬件而執行大量CPU密集處理的設備虛擬化。Web應用程序防火牆(WAF)和復雜的 負載均衡器就是很好的例子(它們一般是作為Apache Web服務器或者作為Squid反向代理服務器的可加載模版實現，也就不足為奇了)。