weilaidewo 2010-01-15
随着我国交换行业的发展,其技术也更加的完善,具有接入控制功能是很多用户使用边缘层智能交换机的主要原因,同时VoIP在边缘层的广泛应用,也推动了边缘层智能交换机的市场需求量的大幅度增加。随着应用的扩展,骨干网上在传输着各种各样的数据,骨干网所受的数据传输压力越来越大。此种情况下就好似在宽广的主干公路上,跑着各式各样的交通工具,如果交通工具少还好说,但是随着交通流量的增大。
不区分车辆运行速度需求的轻重缓急(譬如救护车、消防车应让其优先占用车道,优先行驶),纵然车道再宽,交通也会陷入混乱的局面,难以收拾。对于骨干网络上的数据传输与以上情况类似,于是就出现了智能化交换机。智能交换机实现了QoS、ACL(访问控制列表)和多业务应用等功能,以上功能的实现部分解决了网络架构建设成本的问题,从而使网络骨干数据的传输速度得到了间接的提高。但是,随着社会的发展,汇集到主干公路上的支线公路也在日益面临着与主干公路上同样的危机,因此迫切需要在支线公路(网络边缘)上进行类似的管理。因此许多交换机生产厂商针对边缘需求推出了边缘智能交换机。
边缘与骨干智能之差异
由于核心层连接的是分布层与服务器群,所以核心层与边缘层在服务对象与目的上就存在很大的不同,也就导致了边缘层智能交换机与骨干智能交换机在功能与性能上肯定存在着一些差异。归纳总结起来有两点不同:首先,边缘层智能交换机更多考虑到的是对用户接入的控制。其次,边缘智能交换机在整体的交换容量、包转发率方面的指标要低于骨干智能交换机。
Foundry技术经理沈之千表示,骨干网的智能化体现在骨干路由/交换的高速路由、策略路由、CPU 保护以及万兆以太网的线速流量监控和安全防范、带宽管理等特性上。但是仅仅从骨干网上进行安全防护和线速转发并不能保证边缘交换机得到智能化的防护和特性,边缘产品同样需要强大的性能和安全特性,此外,边缘产品更多地直接面对最终用户,VoIP在边缘层上应用的普及,网络流量的加大催生了边缘层智能交换机。
安奈特产品经理潘粤宁从价格及应用的角度谈了对边缘智能的看法。首先,是网络设备价格的不断下降,其次,是应用的深入,今天的网络需要更多的智能应用以支持用户的多种需要,例如音、视频及点播等服务,同时,边缘接入也对交换机的安全性和可管理性提出了更高的要求,要求的带宽也越来越宽,所以网络智能的需要开始由核心向边缘扩散。
边缘智能的本职工作
边缘智能化的交换机主要为二层智能型和三层交换机,要求交换机具有第二层甚至第三层的交换能力,另外还可能提供面向四到七层应用的处理能力。对于边缘智能应该具备安全和QoS功能,各个厂商都非常赞同,但是对于边缘智能是否应该提供其他的功能,各有不同的观点。
沈之千认为除了应该提供基于线速的安全防范、QoS等,还应该提供永远在线的流量监控。他认为之所以是这样,是因为如果管理者不能看见实时的网络流量,很难想象达到高智能化交换、管理的目的。边缘交换机都应支持其独有的简化网络管理的解决方案,利用它可指明流经整个网络的流量,实时了解网络中的实际情况,可以图形化方式详细显示网络与应用层流量信息。利用这种功能,网络管理员现在能够快速、准确地检查整体网络运行情况,有效找到网络热点,快速诊断并在故障蔓延之前加以排除。而港湾网络有限公司企业网产品部产品经理表示,除了QoS外还应提供接入用户的识别和简单、方便的维护特性。
边缘智能交换新亮点
新的边缘智能交换机实现了实时流量监控功能,这种监控可以全方位的、针对整个交换机的每一个端口的所有流量进行监控。
QoS方面上的进展
智能边缘交换机可以在转发流量之前对其进行分类,再分类和标记操作。网络管理员可以对不同的网络应用或设备生成的流量进行分类,如:VoIP 电话机、行政管理应用或带宽关键应用,以便区分各种流量,并根据第二及第三层 QoS 字段实施带宽策略。同时,现在的边缘智能交换机,开始强调基于IP层的差分服务(DiffServ)的支持能力。发展到现在交换机能提供更多更丰富更全面的QoS技术,如802.1p、DiffServ、WRR以及RED等拥塞控制功能。
智能交换机可与安全设备联动
智能交换机与安全设备的协同工作从而可以实现联动,即智能交换机可以自动地将“可疑”的流量交给安全设备做分析,安全设备分析后将结果返回给交换机,然后交换机再执行相关的操作,比如丢弃相关的数据或者关闭相应的端口。例如:锐捷的S21系列和港湾的智能交换机可与其他安全设备实现联动,实现了接入层的安全。
部署时应注意什么
在部署边缘层智能交换机时,由于边缘产品具有量多而分散的特点,所以我们需要考虑在整体与分散策略方面上,取得一个最佳的平衡点。一个连续、智能的安全策略与用户接入策略对整体网络的性能和维护至关重要。用户既要实施智能化特性、又要在管理上简单化,同时对所有用户的监控是实现预防式网络安全和流量管理的关键,一个实现了全网监控的网络同样应该简单易行而不损伤性能。
潘粤宁认为边缘层智能交换机处于网络的边缘,接入用户数量大,扮演的角色相对于骨干交换机也很重要。所以她认为用户部署边缘智能交换机应该注意三点。首先,应该注意产品的可靠性。如果边缘交换机出现故障,将会影响到很多边缘层用户。所以在部署智能交换机时应尽量支持冗余配置。对于固定配置的边缘交换机,建议购置外置或者内置的冗余电源系统。同时为了提供链路方面的冗余性。
配置交换机的802.3ad链路聚合、STP/RSTP/MSTP生成树和三层VRRP协议。其次,如果网络可以实现分布式的安全部署,除了在网络核心部署传统的防火墙、IDS等安全产品之外,在边缘通常应该部署以下安全策略:带宽控制、ACL技术、安全套接层(SSL)、802.1X端口认证和RADIUS 认证、MAC地址绑定和过滤、以及Secure Shell (SSHv1/SSHv2) 加密等等。第三,尽量选择同一系列的交换机以保证所有模块和电源等部件能够通用,以便进行故障诊断和应急替换,同时减轻用户保留备品配件的压力。选择可堆叠的交换机,以部署高密度和可以集群管理的边缘网络。