智能交換機
智能交換機
智能交換機是指支持專門的具有應用功能的“刀片”伺服器,它們包括協議會話、遠程鏡像、磁帶模擬以及內網文件和數據共享。從具有對每個埠的額外處理能力以及刀片伺服器間巨大帶寬高度集成的體系結構,到相對簡單的每個伺服器都配備專用的處理器,內存和用於各個埠之間通信的輸入輸出功能的體系結構,智能交換有很多不同的體系結構。
智能交換機
Brocade 7420多協議路由器是一個具有高級智能的交換機的另外一個例子,它起初用來支持協議的轉換(從小型計算機介面到光纖通道),SAN的分段和選路以及使用FCIP協議的基於IP的遠距離存儲。另外一些交換機支持一些專用的刀片,這些伺服器涵蓋了從Maxxan 到Marranti。CNT和McData公司還宣布了他們的關於支持專用刀片的計劃。
對於應用智能交換機和基於結構的設備,要注意潛在的性能以及實效性影響。例如,使用一個智能交換機會增加還是降低你的伺服器和存儲子系統之間的輸入輸出速度?是會在交換機上運行更多的功能和應用還是這些添加的設備會降低其他的輸入輸出速度?我們是否需要冗餘的一對智能交換機來避免部件或者設備的意外失效?
由於“智能”這個詞在數據網路通信領域內從不同的角度可以有眾多不同的理解,因此我們首先要定義清楚本文所談的“智能交換機”或者“智能網管交換機”。而在定義此種類型的交換機之前,我們先要從傳統的交換機產品類別說起,來理解市場上為什麼會有此種產品類別的強烈需求。
從交換機可網管的角度來看
傳統的非網管交換機和全網管交換機在很大場合是不能滿足如下這些商業用戶對交換機產品的需求:
越來越多的中小商用用戶的電子應用越來越豐富,他們也需要用具有管理功能的交換機來構建他們的網路基礎架構平台,可非網管交換機並不能滿足他們的應用需要,而全網管交換機過於複雜的功能和較貴的價格也使得他們不敢大規模應用。
越來越多的大型商業用戶和企業用戶發現其實在很多應用場合併不需要目前全網管交換機這麼多的功能,如果能將投資成本進一步下降來提高投資回報比是他們的要求。我們所談的智能交換機。到底什麼是“智能交換機”或者“智能網管交換機”呢? 從現有大部分廠商的智能交換機的產品來看,我們可以從以下一些參考點來定義此產品。
從產品功能來看
交換機的管理方式一般支持基於WEB的圖形化管理和基於SNMPv1/v2c/v3的網路管理標準協議;而不支持以前傳統的較為複雜的CLI 命令行,以及Telnet, Consloe本地控制台等管理方式。交換機的功能支持絕大部分商用用戶所要求的常見功能,滿足市場上商業用戶80%的交換機功能需求;而並不是現在全網管交換機的全部功能。交換機的價格只是略高於非網管交換機而比全網管交換機要便宜很多,並且基於WEB的管理方式也使得設備的配置和維護相對來說極為容易。
從產品的特點來看
這種“智能交換機”或者“智能網管”交換機滿足了很多商業用戶對乙太網交換機的需要:具備一定的管理功能可滿足企業應用的發展;較為低廉的價格可確保網路基礎建設的投資回報比;方便簡易的管理配置方式確保安裝和維護的方便快捷。可以這麼說,智能型交換機以相當於非網管交換機的價格為用戶提供了網管型交換機功能,並且還保證了非網管式交換機的簡易安裝和維護。
從產品的目標用戶來看
智能交換機
總結來說,我們目前所談的智能交換機可從三個關鍵點來定義它:從交換機可網管的角度來區分的話,它支持基於WEB的圖形式管理和SNMP網路管理協議,而去掉了商業用戶並不需要的複雜的需要經過專業培訓才能掌握的CLI命令行管理方式。從交換機所支持的管理功能來看,它保留了傳統全網管理交換機中絕大部分商業用戶所需要的常用的功能。從產品的價格來看,它們是越來越接近非網管交換機。
交換機功能的定義是根據用戶的應用所需要來定義的,我們從商業用戶所常見的應用層面出發來討論智能交換機所必須支持的一些功能。
數據流、語音流和視頻流在網路中混合傳輸需要接入層交換機能夠對不同的業務流進行區分,並按照優先順序不同進行不同的帶寬分配,因此智能交換機都支持802.1p(服務類別),QoS服務質量保證以及Bandwidth Control帶寬控制等服務策略。
網路面臨各種安全威脅,而且這些安全威脅呈現混合性攻擊特徵。邊緣交換機需要具備有效防範惡意攻擊和非法侵入的能力。MAC地址認證和IEEE 802.1x認證等功能可幫助用戶在接入網路時完成必要的身份認證,來有效防止非法用戶訪問網路。另外如交換機埠和用戶PC機MAC地址鎖定功能,分別基於交換機埠出入方向的埠限速功能(Rate Limiting)。有時為了便於用戶對進入埠的數據包進行監控,埠的鏡像功能 Port Mirroring 功能也是十分必須的。
為了便於用戶對設備的工作狀態有個較為詳盡的了解,Syslog 日誌記錄以及相應的RMON功能是智能交換機所普通支持的。
智能交換機
目前在國內,廣泛的中小學校,網吧,酒店客戶,辦公室網路以及各行各業的商用網路正在大量開始應用智能交換機。智能交換機的發貨量在急劇的增長。
在2007年,針對中小型商業網路用戶並不需要目前全網管千兆三層交換機的許多額外功能(如OSPF、VRRP以及PIM等)的市場需求下,一些具備基本三層路由功能(如支持基於VLAN的路由,支持RIP等)的三層千兆智能交換機產品將快速出現。智能交換機將朝著產品型號越來越多,貼近用戶的功能越來越豐富,管理配置的方式越來越簡易的方式發展。智能交換機的發展前景將越來越好。
24 埠或者48埠具千兆上連的 10/100M智能 交換機
16,24或者48埠的全千兆智能交換機
堆疊式24 埠或者48埠具千兆上連的 10/100M智能交換機
堆疊式24 埠或者48埠全千兆智能交換機
具有PoE功能的10/100M或者全千兆智能交換機
智能交換機由於內置操作系統,某種意義上可以算一個計算機,當然可以進行管理,目前管理方式主要有以下幾種
1、通過WEB方式管理,管理員可以通過一台普通計算機和該交換機連接,輸入該交換機的IP地址(可自設也可以默認),就可以見到管理頁面,進行管理。
2、通過TELNET遠程終端方式管理,有的提供簡單的菜單,有的則可以通過命令行管理,一般CISCO的交換機都有一套完整的管理命令,注意的是,命令分不同模式,不同級別的用戶可以使用的命令是不一樣的。
3、SNMP管理,通過一些SNMP軟體對交換機進行管理和監視。
主要就是這些,比較高檔的都是通過命令行管理的。
:對網路及設備的監控和管理
可管理是智能交換的基礎,通常意義上的網路管理系統包括性能、配置、故障、計費和安全等5個功能域,這是最基本、也是最常用到的功能。隨著用戶網路規模的擴大、網路應用的增多,對網路運行狀況的實時監控和維護就變得非常必要,需要網管系統與智能交換設備相互密切配合。
目前常見的網管系統有兩類,一類是通用的網管平台,如HP OpenView,可以提供一個第三方的網管平台,支持對所有SNMP設備的發現和簡單監控。但由於各廠商設備都具有大量自行開發的私有MIB(Management Information Base)庫,通用網管平台無法對其進行識別和管理。因此,如果要實現對各種設備進行詳盡監控、管理和配置時,必須進行二次開發。近年來,各廠商設備更新很快,而與第三方通用網管平台的配合則非常有限,使得通用網管平台難以細緻地對多廠商的設備進行管理。
另一類是由網路設備廠商自行開發的網管平台,如Cisco WORKS、神州數碼LinkManager等,可以對本廠商的設備進行深入細緻的監控、配置和管理,實用性較強且價格也較便宜。但問題是,無法用這類網管系統實現對全網設備的統一管理,因此用戶往往採用多台網管工作站分別安裝不同的系統,進行分別管理。
隨著用戶對不同設備進行統一網管的需求日益迫切,各廠商也在考慮採用更加開放的方式實現設備對網管的支持,例如開放私有MIB庫,乃至完全依照RFC來編寫MIB庫,以實現不同廠商間設備與網管系統的互操作性。
目前,在大中型企業網中,應用網管系統的比例較以前已大幅度提高。因此,用戶在選擇時不能滿足於拓撲發現、流量監控、狀態監控等通用的網管功能,還要對於設備遠程配置、用戶管理、訪問控制乃至QoS監控等提出更高的要求。
另外,為節省IP地址,簡化管理層次,不同的廠商採用堆疊或集群網管等技術,將多台設備作為一台邏輯上的設備進行統一管理。用戶也可以關注這類產品。
:對不同應用類型數據的分類和處理
智能交換的另外一個重要體現是,對網路中不同類型的數據自動進行分類,並提供不同的傳輸策略,確保關鍵應用的順暢運行,也就是通常所說的服務質量(QoS)。
目前常見的QoS技術有IntServ(RSVP)和DiffServ兩種方式。
前者採用資源預留的方式,即針對每種不同的應用,都在網路上預留“端到端”的專用通道,確保關鍵應用獨享固定的帶寬資源。資源預留的方式屬於虛擬專線的解決方案,能夠確保關鍵應用的傳輸質量,卻無法實現帶寬的共享,易造成線路資源的浪費;另外,資源預留只適合於較為簡單的網路拓撲,如路由器間點對點的專線連接,對於複雜而龐大的企業網而言,很難實施,更不要說城域網了。
因此,用戶最好採用DiffServ的交換機,以實現“端到端”的QoS。需要指出的是,為實現DiffServ QoS,要求用戶的網路上所有相關的交換機都支持802.1p優先順序功能。
:對多媒體傳輸的支持
交換機對專用於多媒體傳輸的功能和協議的支持越來越多,其中最為典型的是組播技術。
組管理協議IGMP已經成為智能交換機必備的基本功能。而對於三層交換機,除了RIP、OSPF等單播路由協議外,也開始支持DVMRP、PIM SM/DM等組播路由協議。
在進行組播應用時(如視頻會議等),各交換機均可通過IGMP協議在整個網路範圍內傳遞分組信息,使各交換機確定每組的成員,而組播路由協議則可對組播數據包進行路由,使得組播包在網路上順暢傳輸。其中,DVMRP相當於單播時的RIP協議,適合於小規模的網路應用;而PIM則是與協議無關的組播路由協議,分為密集模式(DM)和稀疏模式(SM)兩種。密集模式主要適用於網路帶寬較大、用戶分佈較集中的場合,如公司的區域網; 而稀疏模式主要適用於網路帶寬較小、用戶分佈較稀疏的場合,如廣域網或Internet。
有的交換機還配置了語音網關模塊,使得乙太網交換機直接具備VoIP功能,但這樣的應用還需要在客戶端分別布網線和電話線;若採用客戶端的VoIP網關,則可通過一條網線實現語音、數據的傳輸。這兩種方案孰優孰劣,還要根據實際情況來判斷。
:用戶分類和訪問控制
用戶分類、許可權設置和訪問控制,也是智能網路的重要功能。由於企業管理的細化,對於不同的網路資源,要針對不同用戶設置不同的訪問許可權。
訪問許可權的設置有工作組級和用戶級兩種方式。
基於VLAN和三層交換的訪問控制就屬於工作組級的訪問控制。VLAN除了具備隔離廣播、提高網路性能的作用之外,其重要的作用就在於將不同的工作組隔離開來,便於實現可控的相互訪問。三層交換機可以實現跨VLAN的訪問,而通過訪問控制列表ACL,則可設置不同VLAN間乃至不同IP地址的設備對於不同網路服務的訪問許可權。
對於智能小區寬頻接入應用,將每個用戶都劃分在單獨的VLAN中,也能夠實現用戶級的認證和訪問控制,但這種方式只適用於固定接入的用戶,且無法實現計費。
目前在寬頻接入網和企業網中,以往用於電信運營網路中的AAA技術(授權、認證、計費),如傳統的RADIUS、PPPoE,以及新興的802.1x等用戶認證功能等,開始被集成到智能交換機中,與認證伺服器配合,從而實現基於用戶的認證和訪問控制。
對於企業網來說,通常要實現在用戶訪問不同的網路服務資源時,進行認證、訪問控制及服務認證,而不是針對用戶接入埠進行接入認證。因此,常用的方式是以訪問控制列表或RADIUS認證伺服器,對相關應用服務資源設置不同的訪問許可權,並針對用戶實現認證和授權。
對於寬頻接入網來說,則需要通過用戶認證實現對埠聯通狀態的控制,通常要採用“PPPoE+RADIUS”或“802.1x+RADIUS”的方式來實現接入認證。
PPPoE是一種較為成熟的認證方式,通過PPP協議封裝乙太網幀,在無連接的乙太網上提供了點對點的連接。PPPoE類似傳統的撥號接入方式,用戶端採用一個撥號軟體,發起PPP連接請求,穿過乙太網交換機或者DSL設備,終結在集中控制管理層的接入網關設備上。接入網關設備負責終結PPP連接,並與RADIUS配合實現用戶管理和策略控制。
802.1x起源於802.11協議的EAPOL,是最近出現的一種乙太網認證技術。 802.1x是IEEE為了解決基於埠的接入控制而定義的一個標準。
802.1x認證方式主要通過認證前後打開/關閉用戶接入埠來實現對用戶接入的控制。基於埠的網路接入控制是在 LAN 設備的物理接入級對接入設備進行認證和控制。連接在物理埠上的用戶設備如果能通過認證,就可以訪問 LAN 內的資源;如果不能通過認證,則無法訪問 LAN 內的資源,相當於物理上斷開連接。認證通過時,從遠端認證伺服器可以傳遞來自用戶的信息,如VLAN、CAR參數、優先順序、用戶的訪問控制列表等; 認證通過後,用戶的流量就將接受上述參數的監管。
802.1x要求接入交換機支持EAPOL協議,至少支持該報文的透傳,但現有通常的網路設備多數不支持。雖然越來越多的廠商開始提供支持802.1x的智能交換機產品,但由於該協議標準尚未成熟,各廠商實現的方式不盡相同,它的發展受到了一定程度的制約。
:防止網路攻擊
為確保核心交換機不受類似拒絕服務(DoS)攻擊而導致全網癱瘓,有的廠商在核心路由交換機中採用了防火牆和IDS系統中的防攻擊技術,以確保核心交換機更加穩固和強壯。此舉尤其可以抵禦來自網路內部的攻擊,提高系統的安全性。但是目前,該技術在邊緣交換機中仍較少採用。
設備的大規模應用,成本的大幅度下降,競爭更趨理性,這些表明寬頻業務已經度過生命周期的進入期,進入業務成長期。用戶對寬頻網路的需求最終是為了實現“三網合一”,也就是數據、語音、視頻業務三網合一。
為了能對用戶的關鍵業務進行保證,對不同等級的用戶進行區別對待,就需要寬頻IP網路能夠對用戶提供端到端的服務質量,也要求從邊緣接入層設備到核心層設備都能夠提供統一的QoS特性,除此之外,對用戶的管理及計費也是寬頻設備,尤其是對乙太網交換機智能化的一個要求。
需要端到端的QoS
智能交換機
完善ACL功能
第二個需求就是ACL(訪問控制)功能的完善,能夠對經過本設備的數據流按照一定的原則進行一定的訪問過濾,最常用的策略就是基於流分類來進行訪問控制。常見的應用就是對某些非法網站的IP地址在本地出口設備上配置ACL規則,禁止本地用戶對非法網站的訪問。ACL訪問控制具體能控制到哪一個層面完全取決於流分類的能力,流分類能力越強能夠控制的層面就越大,當然也不是說能流分類就能訪問控制,而是說流分類是實現訪問控制的一個必要條件,有了這個必要條件還要看訪問控制的實現到底能達到哪個層面。這就要求交換機能夠基於用戶的源MAC、目的MAC、源物理埠號、目的物理埠號、源IP地址、目的IP地址、源網段地址、目的網段地址、按四層協議類型(socket)、按用戶自定義規則等來對數據業務進行分類,同時按照這些的分類對不同的業務流提供不同的服務質量或進行ACL控制,即禁止或允許特定流的轉發。
適應多業務應用
第三個需求是對多業務應用的需求。這裡所謂的多業務包含幾個方面:一是對組播業務的支持,二層交換機上應該實現IGMP Snooping功能,三層交換機上應該實現PIM-SM、PIM-DM、DVMRP等三層組播協議至少一種以上,目前業界比較認可、應用比較廣泛的主要是PIM協議;二是用戶的安全策略問題,包括對用戶身份的認證、用戶的計費、基本的防攻擊策略等。目前在乙太網交換機上採用的用戶身份的認證方式簡單的主要有mac+port綁定、mac+IP綁定、IP+mac+port綁定,複雜點認證方式主要是802.1x、portal認證、強制portal等。802.1x實現可以有本地認證和遠端認證兩種方式,本地認證意味著交換機內置了RADIUS Server,用戶可以直接在本地交換機上進行認證而不需要在交換機上外掛RADIUS Server,遠端認證就需要在交換機之外提供外掛的RADIUS Server,交換機本身只完成認證報文的中繼。
組播業務現在已經成為IP網路的主要業務之一,基於組播的視頻業務得到越來越廣泛的應用。傳統的組播業務只是關注業務的可行性、網路帶寬的合理化使用,並不能實現對下屬用戶接收許可權的控制。智能乙太網交換機應該能夠提供對組播業務許可權的控制,只有通過認證的用戶才能接收相應的組播業務,沒有經過組播許可權認證的用戶只能實現數據業務的通信不能接收組播業務,這一概念稱為可控組播或受控組播。能夠在接入層設備支持基於複雜流分類的ACL。能夠基於用戶的源mac、目的mac、源物理埠號、目的物理埠號、源IP地址、目的IP地址、源網段地址、目的網段地址、按四層協議類型(socket)、按用戶自定義規則等來對數據業務進行分類,同時按照上述的分類對不同的業務流提供不同的服務質量或進行ACL控制,即禁止或允許特定流的轉發。
作為智能乙太網交換機,除了能對用戶進行管理之外,還應該對設備有較強的管理及安全特性。對設備的管理首先是配合網管的設備管理,應該支持SNMP V1/V2/V3、RMON 1、2、3、9,WEB網管,能夠從網管平台對設備進行可視化的、便捷的設備管理。除此之外,設備本身應該具有一定的安全特性,包括二層的埠捆綁、STP/RSTP、MSTP,三層的VRRP等鏈路備份或設備備份功能。華為的智能乙太網交換機能夠提供集群管理、PVLAN、GMRP、GVRP。
對用戶的計費主要依靠RADIUS 伺服器來完成,交換機負責統計用戶的時長、流量、訪問內容等計費信息,並負責把統計到的計費信息轉發給後台的RADIUS計費伺服器。就上述對智能乙太網交換機的理解,華為Quidway S3026E(二層交換機)、Quidway S3526E(三層交換機)均屬於智能乙太網交換機。
智能向接入層轉移
智能乙太網交換機市場應用前景非常廣闊,目前大企業網、教育網、寬頻智能小區等場合智能乙太網交換機已經成為網路建設的關鍵設備,在其他諸如IP城域網、金融網等眾多應用領域智能乙太網交換機也起著越來越大的作用。
未來智能乙太網交換機的功能將會進一步得到提升,諸如硬體NAT業務板、ALG(地址網關)、硬體集成IAD(語音網關)、MPLS VPN等業務也會在智能乙太網交換機上逐步地實現,從而把網路匯聚層的大部分智能業務逐步下移到接入層的智能乙太網交換機上,減輕匯聚層負擔,從而達到優化網路、提高網路效率、增強網路功能的目的,最終向NGN(下一代網路)平滑過渡。