邊緣交換機(jī)智能與性能兼顧

2019-11-05 01:37:25

字體：大中小

供稿：網(wǎng)友

　　假如網(wǎng)絡(luò)的邊緣設(shè)備將QoS、速率限制、ACL、PBR及sFlow集成到硬件芯片上，使得這些智能不致影響到基本二層、三層的線速轉(zhuǎn)發(fā)性能，
　　
　　　　那么端到端的智能網(wǎng)絡(luò)才得以大規(guī)模開展，從而使得整個(gè)網(wǎng)絡(luò)不僅擁有全局的連接能力，也同時(shí)擁有全局的網(wǎng)絡(luò)智能。
　　
　　　　從過去到現(xiàn)在，網(wǎng)絡(luò)的設(shè)計(jì)理念一直存在著幾種不同的思路。就透通與智能這兩個(gè)重點(diǎn)來看，側(cè)重程度的不同就影響到網(wǎng)絡(luò)的設(shè)計(jì)：透通強(qiáng)調(diào)連接能力、簡(jiǎn)單治理、價(jià)格低廉；智能強(qiáng)調(diào)控管和增值能力，因此多數(shù)復(fù)雜程度較高，成本也相對(duì)較高。其實(shí)設(shè)計(jì)并無高下，只取決于用戶的實(shí)際需求與經(jīng)費(fèi)預(yù)算而已。
　　
　　　　因此，網(wǎng)絡(luò)架構(gòu)可以是全二層的架構(gòu)，不過擴(kuò)展度較差；也可以是全三層的架構(gòu)，不過價(jià)格較高；而大多的規(guī)劃會(huì)在兩者之間取得一定的平衡，這就產(chǎn)生了兩種不同的架構(gòu)——折疊式骨干網(wǎng)絡(luò)架構(gòu)與分散式骨干網(wǎng)絡(luò)架構(gòu)。其中，折疊式骨干將智能收縮到上層的匯聚設(shè)備上，而在下層的接入設(shè)備則只強(qiáng)調(diào)透通與線速。單從智能控管的角度來看，這是一種集中式的設(shè)計(jì)。
　　
　　　這兩種架構(gòu)在網(wǎng)絡(luò)邊緣上存在著重大差異。折疊式骨干多以二層交換作為邊緣，而分散式骨干多以三層交換作為邊緣。假如簡(jiǎn)單地以交換或路由來判定網(wǎng)絡(luò)的智能，當(dāng)然三層交換優(yōu)于二層交換。但是由于愈來愈多的業(yè)務(wù)在同一張網(wǎng)上開通，網(wǎng)絡(luò)的智能問題不再單純地以二層/三層來判定，更多時(shí)候，執(zhí)行QoS的能力、提供指定接入速率的能力、ACL（訪問控制列表）的安全屏蔽能力、網(wǎng)絡(luò)流量統(tǒng)計(jì)與監(jiān)控能力以及策略路由（PBR）的支持能力，都可以更有效地來判定網(wǎng)絡(luò)的智能。因此，有了這樣一個(gè)概念，不管是折疊式骨干中的邊緣二層交換設(shè)備，是分散式骨干中的邊緣三層交換設(shè)備，在眾多廠家的二層、三層交換設(shè)備中，用戶可以依據(jù)自己業(yè)務(wù)上的實(shí)際需要做出更為明確的選擇。
　　
　　執(zhí)行QoS的能力
　　
　　　　在多媒體業(yè)務(wù)中，數(shù)據(jù)、語音、圖像對(duì)時(shí)延、抖動(dòng)、掉包的要求不盡相同。為了更好地執(zhí)行多媒體業(yè)務(wù)，用戶最好在數(shù)據(jù)包中加入相應(yīng)的QoS標(biāo)記，邊緣交換機(jī)或者讀取QoS并加以執(zhí)行，或者對(duì)于不可信任的來源，采取重行分類、重行標(biāo)記QoS并加以執(zhí)行的方式。QoS在過去有二層的CoS（服務(wù)等級(jí)）或三層的ip PRecedence（IP優(yōu)先等級(jí)）的做法，而現(xiàn)在則強(qiáng)調(diào)差分服務(wù)（DiffSew）的支持能力。因此，邊緣交換機(jī)在端到端的QoS支持上，作為QoS的入站點(diǎn)或出站點(diǎn)，扮演著極為要害的角色。對(duì)DiffSew提供硬件支持能力是交換機(jī)要害功能之一。
　　
　　指定接入速率的能力
　　
　　　　固然千兆以太網(wǎng)的普及使得骨干有較為充裕的帶寬，但這種資源不是取之不盡、用之不竭的。而且采取使用者付費(fèi)以管制邊緣帶寬的有效使用是最為可行的手段，因此，在邊緣交換機(jī)的接口上，不但要提供十兆、百兆的設(shè)定能力，更要提供基于端口、優(yōu)先等級(jí)、VLAN、ACL分類的速率限制能力，而且最好是入站或出站均能執(zhí)行速率限制，范圍由256k一直到千兆，粒度則以硬件芯片能以硬件處理的范圍為宜，一般而言在256k左右。
　　
　　　　應(yīng)用智能交換機(jī)情況調(diào)查
　　
　　　　這里必須非凡強(qiáng)調(diào)，硬件處理是希望邊緣設(shè)備不會(huì)因?yàn)閱?dòng)速率限制而影響其線速轉(zhuǎn)發(fā)數(shù)據(jù)包的能力，這一點(diǎn)對(duì)邊緣設(shè)備來講是很重要的性能指標(biāo)。有了完整的速率限制功能，而又不影響網(wǎng)絡(luò)的性能指標(biāo)，才能有效地治理網(wǎng)絡(luò)的帶寬資源。
　　
　　ACL的安全屏蔽能力
　　
　　　　在網(wǎng)絡(luò)中，ACL不但可以讓網(wǎng)絡(luò)治理者用來制定網(wǎng)絡(luò)策略，對(duì)個(gè)別用戶或特定的數(shù)據(jù)流進(jìn)行答應(yīng)或者拒絕的控制，也可以用來加強(qiáng)網(wǎng)絡(luò)的安全屏蔽。從簡(jiǎn)單的Ping to Death攻擊、TCP Sync攻擊，一直到更多樣化更復(fù)雜的黑客攻擊，ACL都可以起到一定的屏蔽作用。ACL有標(biāo)準(zhǔn)ACL及擴(kuò)展ACL（Extended ACL）兩種，不論邊緣是二層交換機(jī)還是三層交換機(jī)，最好都具備支持標(biāo)準(zhǔn)ACL及擴(kuò)展ACL的能力，才能將網(wǎng)絡(luò)的安全屏蔽及策略執(zhí)行能力分散到網(wǎng)絡(luò)的邊緣。
　　
　　　　跟速率限制一樣，網(wǎng)絡(luò)設(shè)備不但應(yīng)該能執(zhí)行完整的ACL功能，包括進(jìn)站及出站，同時(shí)也必須強(qiáng)調(diào)由硬件處理的能力。如此，才能在啟動(dòng)ACL的同時(shí)，不會(huì)影響到二層或三層交換設(shè)備線速轉(zhuǎn)發(fā)數(shù)據(jù)包的能力。
　　
　　策略路由支持能力
　　
　　　　一般路由不管是透過RIP、OSPF、BGP，還是MPLS標(biāo)記協(xié)議，多是由目的地址來決定路由路徑，因此無法對(duì)網(wǎng)絡(luò)流量進(jìn)行有效分流，或是對(duì)網(wǎng)絡(luò)流量制定策略。然而，策略路由能力在現(xiàn)今多樣化的網(wǎng)絡(luò)環(huán)境中有時(shí)是必要的功能之一。簡(jiǎn)單舉例來說，在大型網(wǎng)絡(luò)運(yùn)營(yíng)商（NSP）的環(huán)境中，不同的用戶需要被連接到不同的Internet 運(yùn)營(yíng)商（ISP）中；或者在校園網(wǎng)中，作為教學(xué)研究的用戶必須被連接到高速的網(wǎng)絡(luò)出口，而宿舍網(wǎng)絡(luò)的用戶則通常被導(dǎo)引到較低速的出口，如此分流才不致影響到校園網(wǎng)的科研性能，同時(shí)經(jīng)由適當(dāng)?shù)姆至鳎咚?低速出口均能分配到相應(yīng)的流量，從而使得帶寬的應(yīng)用得到有效分配。想要達(dá)到這種分流的效果，一般路由是無法做到的，唯有透過策略路由（PBR），將源地址進(jìn)行分類，并且制定其下一跳出口的IP地址才能達(dá)成，而這也是策略路由有別于一般路由之處：基于源地址信息執(zhí)行路由選徑，而不基于目的地址信息執(zhí)行路由選徑。策略路由能做的不僅是依用戶的類別進(jìn)行路由選徑及分流，更進(jìn)一步，它也可以做到依業(yè)務(wù)的類別來指定路由或分流。其具體做法就是在進(jìn)行分類時(shí)，不只看第三層的IP地址，更進(jìn)一步看第四層的IP端口號(hào)，不同的業(yè)務(wù)導(dǎo)引到不同的路由。比如對(duì)所有端口號(hào)80的HTTP數(shù)據(jù)流進(jìn)行分類，并將其導(dǎo)引到特定的四層Web交換機(jī)或緩存服務(wù)器上，從而透過Web緩存機(jī)制，使得用戶的Web響應(yīng)時(shí)間得到大幅度提升，而且網(wǎng)絡(luò)出口的重復(fù)流量也得到大幅度緩解。以上的例子都只是策略路由的部分功能而已，實(shí)際上它的功能遠(yuǎn)超過這些，策略路由因?yàn)榭梢灾苯釉诰W(wǎng)絡(luò)下端設(shè)備指定，再透過中間設(shè)備的一般路由，到達(dá)指定的上端設(shè)備出口，因此，它并不多是在中間的匯聚設(shè)備上啟動(dòng)，更多時(shí)候?yàn)榱烁行У胤至餍Ч呗月酚蓪⒃诮尤朐O(shè)備上啟動(dòng)。
　　
　　　　跟ACL一樣，在需要策略路由的網(wǎng)絡(luò)設(shè)備上，不但要有完整而多樣化的策略路由支持功能，同時(shí)必須強(qiáng)調(diào)有硬件處理能力，才能在啟動(dòng)的同時(shí)，仍然享有三層交換線速轉(zhuǎn)發(fā)的能力。
　　
　　網(wǎng)絡(luò)流量統(tǒng)計(jì)與監(jiān)控能力
　　
　　　　流量統(tǒng)計(jì)與監(jiān)控在網(wǎng)絡(luò)建設(shè)中已經(jīng)成為重要的一環(huán)。一個(gè)很簡(jiǎn)單的思路就是，假如你無法看到網(wǎng)絡(luò)的整體流量，又如何能夠治理整個(gè)網(wǎng)絡(luò)？假如我們?cè)谔峁└咝軒挼耐瑫r(shí)，也能充分把握網(wǎng)絡(luò)的流量信息，便可隨時(shí)調(diào)節(jié)網(wǎng)絡(luò)的資源與策略，使得網(wǎng)絡(luò)運(yùn)行順暢，也使得網(wǎng)絡(luò)故障的排除變得簡(jiǎn)單而快速。所以在網(wǎng)絡(luò)中，再提供一套完整的、覆蓋全網(wǎng)的、實(shí)時(shí)的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，就像是在縱橫交錯(cuò)的高速公路網(wǎng)上處處加裝監(jiān)視攝像頭一般，讓交管人員采取有效的分流手段，同時(shí)也可透過完整的統(tǒng)計(jì)資料，對(duì)路由進(jìn)行擴(kuò)容及規(guī)劃提供重要的參考。
　　
　　　　流量監(jiān)控與統(tǒng)計(jì)在過去因?yàn)槭芟抻诩扔屑夹g(shù)，多數(shù)只能以SNMP、RMON、RMON v2等技術(shù)實(shí)現(xiàn)部分功能，而且對(duì)網(wǎng)絡(luò)的帶寬占用或網(wǎng)絡(luò)設(shè)備的資源開銷造成相當(dāng)程度的影響，所以通常無法覆蓋全網(wǎng)，無法實(shí)時(shí)監(jiān)控，無法在百兆、千兆甚至萬兆端口等高速網(wǎng)絡(luò)上執(zhí)行，這些都使得全網(wǎng)的監(jiān)控與統(tǒng)計(jì)無法達(dá)到令人滿足的表現(xiàn)。
　　
　　　　最近又有NetFlow及sFlow（RFC3176）基于流的流量監(jiān)控與統(tǒng)計(jì)技術(shù)，出現(xiàn)在比較高端的網(wǎng)絡(luò)設(shè)備上，包括骨干、邊緣、二層設(shè)備、三層設(shè)備。這兩種技術(shù)基本上提供比較完整的流量信息，不過兩者之間依然有所區(qū)別：NetFlow更擴(kuò)及IPX及AppleTalk，同時(shí)提供更多的信息，包括VLAN統(tǒng)計(jì)、MAC地址統(tǒng)計(jì)、BGP共同體統(tǒng)計(jì)等信息，因此從統(tǒng)計(jì)及計(jì)費(fèi)的角度來看，NetFlow可以提供更令人信服的資料，但相對(duì)的開銷及成本也高；從統(tǒng)計(jì)及監(jiān)控的角度來看，sFlow提供更多的信息，對(duì)于流量分布的分析、流量的未來趨勢(shì)、異常流量的監(jiān)測(cè)、故障的發(fā)現(xiàn)與排除都可以在相對(duì)較低的開銷及成本下，通過硬件芯片以線速方式達(dá)成，sFlow因此可以直接內(nèi)建在邊緣的二層或三層交換設(shè)備上提供覆蓋全網(wǎng)、實(shí)時(shí)網(wǎng)絡(luò)監(jiān)控的功能。對(duì)整體網(wǎng)絡(luò)而言，這實(shí)在是相當(dāng)吸引人的增值功能。
　　
　　　　同前面所說的功能一樣，sFlow流量統(tǒng)計(jì)與監(jiān)控功能也必須是硬件處理，才能不影響到網(wǎng)絡(luò)設(shè)備既有的二層或三層交換線速性能。
　　
　　　　在組網(wǎng)的設(shè)計(jì)理念上，不管是采用集中式的折疊式骨干，從而強(qiáng)調(diào)采用透通的二層交換設(shè)備作為邊緣接入設(shè)備；或者是采用分散式骨干，從而強(qiáng)調(diào)采用智能的三層交換設(shè)備作為邊緣接入設(shè)備，其智能都不應(yīng)僅限于交換或路由能力的考慮，或是只強(qiáng)調(diào)線速交換或線速路由的能力，究竟這一部分已經(jīng)是業(yè)界的標(biāo)準(zhǔn)，幾乎所有廠家的二層交換，三層路由設(shè)備都可以達(dá)到。隨著寬帶網(wǎng)絡(luò)、寬帶業(yè)務(wù)、多媒體應(yīng)用的發(fā)展，用戶更應(yīng)該關(guān)心的是端對(duì)端的網(wǎng)絡(luò)智能，以及硬件芯片的集成能力。假如在邊緣設(shè)備（不論是二層交換或三層路由交換設(shè)備）上，都極大程度地將服務(wù)質(zhì)量（QoS）、速率限制（Rating Limiting）、訪問控制列表（ACL）、策略路由（PBR）及流量監(jiān)控（sFlow）集成到硬件芯片上，使得這些智能不會(huì)影響到基本二層、三層的線速轉(zhuǎn)發(fā)性能，那么端到端的智能網(wǎng)絡(luò)才能得以大規(guī)模開展，從而使得整個(gè)網(wǎng)絡(luò)不僅擁有全局的連接能力（Connectivity），也同時(shí)擁有全局的網(wǎng)絡(luò)智能（Control）。有了這樣的概念，在眾多的邊緣交換設(shè)備上，用戶才可以對(duì)不同的產(chǎn)品有更清楚的定位與選擇。

上一篇：6509的內(nèi)容交換模塊配置

下一篇：如何在交換機(jī)上配置802.1X