思科軟件定義網絡的方法可跨運行VMware虛擬平臺的交換硬件和數據中心應用來管理政策，但當添加VMware的SDN安全選項進來時，思科的技術就發揮不了什么作用了。

[[167898]]

那些同時使用這兩家供應商SDN產品的企業都十分謹慎，他們分別將這兩款產品用于不同的任務。通常情況下，思科的SDN技術(被稱為應用為中心的基礎設施ACI)主要用于對硬件交換機應用網絡政策。而另一方面，VMware公司的NSX則主要用于管理虛擬化環境內的安全機制——微分段。

在上述情況中，企業無法充分利用ACI，當在沒有NSX的情況下，ACI可創建和分發政策來管理用戶的整個數據中心網絡基礎設施，包括VMware環境。

這個兼容性問題主要是因為思科和VMware的SDN產品采用不同類型的VXLAN協議。VXLAN(或者說虛擬可擴展LAN)是一種封裝協議，用于在交換硬件上運行虛擬網絡。

通過ACI從NSX轉發數據需要封裝信息，這意味著在VXLAN封裝內創建封裝。雖然這個方法可行，但IT服務公司OneNeck IT Solutions LLC數據中心架構師兼ACI專家Brian Dooley表示，這并不是最好的方法。

對于已經采用思科及其他供應商的硬件構建了網絡基礎設施的企業來說，更好的方法是跳過NSX，使用ACI用于微分段，以及管理所有其他網絡政策。

ACI微分段在VMware中不好用

那些完全使用思科SDN產品的企業會發現在VMware環境中應用微分段規則很麻煩，這是因為ACI執行微分段的方法是通過在VMware管理程序主機(提供網絡服務到該供應商的VM)上部署思科應用虛擬交換機(AVS)。

一般情況下，思科的AVS在VMware環境中無法像在該供應商的vSphere分布式交換機(VDS)那樣正常運作。VDS是ACI更好的選擇，如果企業現在還沒有將其用于微分段的話。

美國德州Hutto獨立學區網絡管理員Keith Reynolds表示，專家們的共識是AVS需要更多的時間才能更加成熟。

Reynolds稱：“思科似乎仍然在完善它。”Hutto使用ACI來執行網絡政策，管理著該學區學生和教師每天使用的3000個Chromebooks。

微分段機制越來越受歡迎，它可防止已經感染一個應用的攻擊者發送惡意軟件到另一個軟件中去。該方法涉及將數據中心分離為工作負載或應用，然后采用政策來限制這些邏輯單元之間的通信。

最終，企業在決定是否使用ACI、NSX或同時使用兩者時，應該在概念證明實驗室中全面測試這兩種技術，以確定哪種技術更適合其數據中心。

“如果企業希望獲得強大的網絡功能，我通常會建議選擇ACI解決方案，”他表示，“不過我們也有些客戶想要朝向虛擬化環境方面。”