智能新紀元 四層交換到桌面
細心的觀察我們可以發現,從2001年的中期開始直到現在,一些在以太網交換領域領先的廠商推出了一系列新的以太網交換機。其中有一類固定配置交換機,工作在網絡的邊緣,如網絡的接入層或者是匯聚層(分布層)的邊緣,并且支持第四層交換。
那么在連接最終用戶的交換機上為什么要實現四層交換呢?這些新的交換機會給企業網帶來什么變化呢?帶著這些疑問,我們展開了此次四層交換到桌面的采訪,非常感謝3Com公司技術市場經理唐勇、思科系統中國網絡技術有限公司營銷運作部產品經理陶欣先生、北京港灣有限公司產品部總經理李劍先生接受我們的采訪。也感謝一些廠商填寫了我們的功能列表,幫助讀者對這類產品有一個更為感性的認識。
企業網的新需求
高速、融合、更安全是今天企業網的新需求。融合網絡的話題已經談了很久,將語音、視頻等對延遲、抖動要求非常高的通信與數據通信在同一個網絡上傳輸,現在看已經是一個必然的趨勢。另一方面,一些關鍵性的應用比如供應鏈管理等對數據傳輸的要求非常高,對網絡的丟包、延遲等提出了很高的要求。承載如此重要的商業應用同時也對網絡管理提出了很高的要求,由于數據網絡基本上都采用帶內管理的方式,一些管理信息也對網絡的通信質量提出了很高的要求。
企業網的另一個新的發展趨勢是網絡速度的提高。從提高服務質量的角度看,不斷增添網絡帶寬是一種有效而且相對簡單的方法。但是,無論交換機的背板帶寬有多高,無論交換機的數據包轉發率有多大,無論數據交換得有多快,擁塞卻永遠在所有網絡中存在。比如說,在從高速的局域網到低速的廣域網的地方、在多個鏈路的流量匯聚到一個上聯鏈路的地方、在從一個高速鏈路向一個低速鏈路傳輸的時候,都會產生擁塞。沒有服務質量的控制,將意味著數據包的丟失和延遲的增加。
網絡的融合趨勢需要網絡能夠依據不同的應用,以及不同應用所需要的服務質量特性,提供服務。
企業網另一個需求是安全性,特別是針對來自內部的安全威脅。有數據表明,80%的安全攻擊來自于企業的內部。企業網需要加強對訪問者的控制,限制非授權用戶的通信。
你用過IEEE802.1P嗎?這是李劍先生問我的一句話。想必大多數網絡管理人員,對IEEE802.1P仰慕已久,而實際上真正在網絡上部署的人鳳毛麟角。記者在采訪中,幾位被采訪者都談到以往交換機的IEEE802.1P實際上并沒有什么意義。市場上僅有很少的網卡支持IEEE802.1P,而桌面的應用軟件也不支持IEEE802.1P。而在配置的角度上看,上次測試的交換機都停留在打開或者關閉的水平,而不是做到能夠為某一類應用提供相應的服務質量策略。如果想在全網實施QoS,需要到每一臺PC機上設置應用與IEEE802.1P的映射關系(比如3Com網卡的附帶軟件)。而李劍認為如果QoS的定義在桌面實現,將會導致網絡的混亂,就如同每個人可以自己定義電話號碼一樣。
在網絡中實施QoS,依賴這樣的接入交換機,除非我們的網絡管理員有一臺智能多層的核心骨干交換機否則無法做到。而核心骨干交換機價格不菲。
我們測試的千兆接入交換機也有安全的設置,比如說靜態的MAC地址表,能實現MAC地址的過濾,能夠劃分VLAN。但是對于網絡管理人員來說,手段還不夠多也不夠靈活。
我們此次關注的這些部署在網絡邊緣的四層交換機正在力圖解決這些問題。讓我們來結合后面的功能列表來認識一下新一代的網絡交換機。
此四層非彼四層
雖然我們此次的專題名稱叫做“四層交換到桌面”,但是在我們功能列表中的網絡交換機與以前我們常提到的四層或者四至七層交換機并不一樣。
首先從交換機在網絡中的位置來看,過去的四到七層交換機,一般放置在企業或者運營商的數據中心,專門用來連接Web服務器或者其他相關的服務器群組。它們的出現是為了提高互聯網站點的服務性能。
我們收集在表格中的交換機則明顯不同。在這8款交換機中,一類是具備第二層和第四層交換能力,如3Com公司的SuperStack 3 Switch 4400、Avaya公司的P134G2和Cisco公司的Catalyst 2950、華為公司的Quidway S3026E。它們工作在網絡的接入層,直接連接到用戶的桌面終端,比如PC機、以太網電話機,并用高速的千兆鏈路上聯到分布層交換機。剩下的交換機為2/3/4層交換機,比如港灣公司的FlexHammer 5010/5020、華為公司的Quidway S3526、Cisco公司的Catalyst 3550和Extreme公司Summit48si。這些交換機一般位于網絡的分布層邊緣,下連接入交換機,或者直接連接桌面的終端,上聯核心骨干交換機。這也是我們將此次專題命名為四層交換到桌面的原因。
從對數據包的操作來看,二者也有很大的不同。以前的四到七層交換機,根據數據包的第四層乃至更高層的信息,決定不同數據包發往交換機的不同端口,比如端口的重定向、負載均衡等等操作。
四層交換到桌面的交換機,并沒有根據四層的信息進行交換,而是對四層的信息進行識別,更深層次的講是對應用進行識別,然后按照網絡設備預設的服務策略,提供服務質量保證,根據已定策略保證企業網絡的安全性。
按照陶欣的說法,實現四層交換到桌面的交換機實際上是二層和三層交換的擴展,提供更多的服務。#p#
端到端的服務質量
翻看我們的表格,我們會發現這一類交換機在服務質量控制方面,比較原先的二層交換機有了很大的提升。
在優先級隊列方面,原來的千兆接入交換機,每個百兆端口僅僅支持2個隊列,新一代的智能邊緣交換機可以支持4個。
在QoS所要做的分類與識別工作中,第二層都能夠識別IEEE802.1P的信息,有一點表上沒有反應的是,一般這類交換機在識別應用之后可以根據QoS策略改寫以太網幀的IEEE802.1P的標記字段。另外,它們也可以通過識別端口、MAC地址、VID確定數據的優先級。第三層,他們可以通過識別IP地址的信息,確定交換機的優先級設置,同時也可以識別IP DiffServ字段,并重寫這一字段的信息。第四層,他們可以識別第四層的端口號碼,結合優先級策略提供相應的服務。
唐勇先生說,對于邊緣交換機來說,24個百兆口或者48個百兆口,通過一個千兆鏈路上聯,一般不會發生擁塞。他認為從現在到未來幾年內的桌面應用看,只要不超過100個百兆口,在接入交換機的千兆上聯端口處,一般不會出現擁塞的情況。所以說,四層交換到桌面不是為了解決邊緣交換機的擁塞問題,而是為了能夠在網絡中實現端到端的服務質量,能夠在網絡邊緣識別應用,為數據包打上優先級的標記,比如IEEE802.1Q或者是IP DiffServ。
在擁塞控制、擁塞避免和數據整形方面,除了一些2層交換機會支持的隊頭阻塞控制、IEEE802.3X以外,實現四層交換到桌面的產品還支持了WRR、WRED、RED、CAR這樣的協議,這些協議過去更多的應用在路由器產品上,在邊緣交換機中很少見到。
豐富的安全設置
在安全方面,新一代的交換機有更豐富的設置選項,對于網管員來說有更多的手段。
在二層,一般的交換機都會支持基于MAC地址過濾的訪問控制,也會支持IEEE 802.1Q的VLAN。而新一代的交換機有一個特征是,大多準備或者已經支持IEEE802.1X協議。
在第三層,絕大部分的交換機支持基于IP地址信息的訪問控制。在第四層支持基于四層端口號的訪問控制,也有廠商稱之為數據流的過濾,限制一些用戶的操作,比如說非法的下載。這樣網絡管理員可以基于應用來部署網絡內的安全策略,方式更為靈活。比如說在同一個交換機連接的用戶中,有些人不能訪問Web站點,有些人不能下載MP3和視頻等等,而過去的交換機是無法做到的。
按照李劍的說法,新一代的交換機讓企業網變成了業務型的網絡,從而能夠實現業務型的安全。而昨天的網絡是職能型的網絡,VLAN則是職能型的安全。
還要提到的一點是,新一代的交換機在實現三層和四層的訪問控制時,都是利用硬件完成的。這意味著交換機從四層信息的識別,到進行控制、提供服務,所進行的操作對交換機的性能應該沒有太多的影響。
在安全方面,新一代交換機大都支持與RADIUS服務器的連接,并結合了IEEE 802.1X技術,實現安全認證。
對于網絡管理人員來說,新一代的交換機可以將多種安全手段捆綁在一起,更有效的防止非法用戶的侵入,對網絡造成危害,實現端到端的安全控制。
基于策略的網管
基于對業務的智能識別,使用新一代的交換機,網絡管理人員可以基于統一的服務質量策略和安全控制策略,在整個網絡中進行部署。而且對于網絡管理人員來說,部署的工作更為簡單。
在網絡的邊緣實現四層交換之后,企業網絡將變得更可運營。對于網絡管理人員來說,對不同的業務、應用制定服務和安全策略,在網絡中集中部署。我們看到大多數的交換機都支持配置的分發。李劍認為未來在網絡中,可以通過后臺的策略服務器,更方便的在全網中實施服務質量控制策略,就像ATM網絡那樣。
新一代的交換機也提供了非常友善的配置頁面。陶欣認為增加了對業務的識別,服務質量的控制和更多的安全策略,就增加了邊緣交換機的配置難度,但是Cisco為新一代的交換機提供了更為方便的圖形化的配置軟件減輕難度。這樣的情況在其他公司提交的信息上也有體現。
低廉的價格和高性能
我們走訪的幾家公司都談到,新一代的交換機與過去網絡中處于同樣位置的二層接入交換機的價格相差不多。陶欣告訴記者Catalyst 3550和2950交換機與原來的35系列和29系列交換機價格相當。
我們在媒體廣告上可以看到,3Com公司新推出了一款名為Super Stack 3 4400SE的交換機,唐勇告訴記者這款交換機與二層交換機的價格相差無幾,花一點錢用軟件升級的方式使交換機具備四層交換功能。陶欣告訴記者,Catalyst 2950系列交換機中也有類似可以通過軟件升級為四層的產品。
新一代的交換機性能指標都非常高,這從我們表格中配置那一欄就可以看得出來,交換機的交換能力都非常強。
智能新紀元
新一代的交換機帶來了企業網絡的革新,網絡以應用為核心。交換機能夠智能的識別桌面應用,根據應用提供服務質量。它使網絡管理人員能夠根據應用在全網實施端到端的服務質量控制策略,以及依據業務應用的安全策略。
四層交換到桌面也改變著網絡的模型。唐勇先生談到,四層交換到桌面,將減輕核心交換機的通信壓力,減輕用戶對核心交換機的依賴。核心交換機不用對應用進行識別,只要支持IP DiffServ和IEEE802.1P識別,并提供服務質量就可以。另外,骨干交換機對每一個數據包識別到第四層,并且要保證全線速,成本要比邊緣高很多。四層交換到達桌面后,骨干交換機的功能將非常簡單。
李劍先生認為,現在的網絡技術在吸收ATM的精髓,變成一個可以運營的網絡。另外,他反復提到企業網的通信模型在從職能型的網絡向業務型的網絡轉變。這一方面要求在邊緣實現智能,同時要求在網絡的分布層提供高性能的第三層交換。過去第三層交換是為了VLAN之間的通信,因為職能型企業網的通信流量集中在VLAN內部。今天,業務型的企業網,用戶有大量通信是訪問整個企業的業務服務器,是跨VLAN的通信,需要在分布層提供第三層的交換。另外,三層網絡更穩定,在發生網絡連接故障之后,三層的收斂速度超過2層的生成樹的收斂速度。
【編輯推薦】
