加快邊緣交換邊緣智能交換縱橫談

2019-11-05 01:41:40

字體：大中小

來源：轉載

供稿：網友

　　隨著應用的擴展。骨干網上在傳輸著各種各樣的數據，骨干網所受的數據傳輸壓力越來越大。此種情況下就好似在寬廣的主干公路上，跑著各式各樣的交通工具，假如交通工具少還好說，但是隨著交通流量的增大，假如不對交通工具進行分類治理，不區分車輛運行速度需求的輕重緩急（譬如救護車、消防車應讓其優先占用車道，優先行駛），縱然車道再寬，交通也會陷入混亂的局面，難以收拾。對于骨干網絡上的數據傳輸與以上情況類似，于是就出現了智能化交換機。智能交換機實現了QoS、ACL（訪問控制列表）和多業務應用等功能，以上功能的實現部分解決了網絡架構建設成本的問題，從而使網絡骨干數據的傳輸速度得到了間接的提高。但是，隨著社會的發展，匯集到主干公路上的支線公路也在日益面臨著與主干公路上同樣的危機，因此迫切需要在支線公路（網絡邊緣）上進行類似的治理。因此許多交換機生產廠商針對邊緣需求推出了邊緣智能交換機。
　　
　　邊緣與骨干智能之差異
　　由于核心層連接的是分布層與服務器群，所以核心層與邊緣層在服務對象與目的上就存在很大的不同，也就導致了邊緣層智能交換機與骨干智能交換機在功能與性能上肯定存在著一些差異。歸納總結起來有兩點不同：首先，邊緣智能交換機更多考慮到的是對用戶接入的控制。其次，邊緣智能交換機在整體的交換容量、包轉發率方面的指標要低于骨干智能交換機。
　　
　　Foundry技術經理沈之千表示，骨干網的智能化體現在骨干路由/交換的高速路由、策略路由、CPU 保護以及萬兆以太網的線速流量監控和安全防范、帶寬治理等特性上。但是僅僅從骨干網上進行安全防護和線速轉發并不能保證邊緣交換機得到智能化的防護和特性，邊緣產品同樣需要強大的性能和安全特性，此外，邊緣產品更多地直接面對最終用戶，Voip在邊緣層上應用的普及，網絡流量的加大催生了邊緣智能交換機。
　　
　　安奈特產品經理潘粵寧從價格及應用的角度談了對邊緣智能的看法。首先，是網絡設備價格的不斷下降，其次，是應用的深入，今天的網絡需要更多的智能應用以支持用戶的多種需要，例如音、視頻及點播等服務，同時，邊緣接入也對交換機的安全性和可治理性提出了更高的要求，要求的帶寬也越來越寬，所以網絡智能的需要開始由核心向邊緣擴散。
　　
　　邊緣智能的本職工作
　　邊緣智能化的交換機主要為二層智能型和三層交換機，要求交換機具有第二層甚至第三層的交換能力，另外還可能提供面向四到七層應用的處理能力。對于邊緣智能應該具備安全和QoS功能，各個廠商都非常贊同，但是對于邊緣智能是否應該提供其他的功能，各有不同的觀點。
　　
　　沈之千認為除了應該提供基于線速的安全防范、QoS等，還應該提供永遠在線的流量監控。他認為之所以是這樣，是因為假如治理者不能看見實時的網絡流量，很難想象達到高智能化交換、治理的目的。邊緣交換機都應支持其獨有的簡化網絡治理的解決方案，利用它可指明流經整個網絡的流量，實時了解網絡中的實際情況，可以圖形化方式具體顯示網絡與應用層流量信息。利用這種功能，網絡治理員現在能夠快速、準確地檢查整體網絡運行情況，有效找到網絡熱點，快速診斷并在故障蔓延之前加以排除。
　　
　　而港灣網絡有限公司企業網產品部產品經理表示，除了QoS外還應提供接入用戶的識別和簡單、方便的維護特性。
　　
　　邊緣智能交換新亮點
　　治理上的進展
　　新的邊緣智能交換機實現了實時流量監控功能，這種監控可以全方位的、針對整個交換機的每一個端口的所有流量進行監控。
　　
　　QoS方面上的進展
　　智能邊緣交換機可以在轉發流量之前對其進行分類，再分類和標記操作。網絡治理員可以對不同的網絡應用或設備生成的流量進行分類，如：VoIP 電話機、行政治理應用或帶寬要害應用，以便區分各種流量，并根據第二及第三層 QoS 字段實施帶寬策略。同時，現在的邊緣智能交換機，開始強調基于IP層的差分服務（DiffServ）的支持能力。發展到現在交換機能提供更多更豐富更全面的QoS技術，如802.1p、DiffServ、WRR以及RED等擁塞控制功能。
　　
　　智能交換機可與安全設備聯動
　　智能交換機與安全設備的協同工作從而可以實現聯動，即智能交換機可以自動地將“可疑”的流量交給安全設備做分析，安全設備分析后將結果返回給交換機，然后交換機再執行相關的操作，比如丟棄相關的數據或者關閉相應的端口。例如：銳捷的S21系列和港灣的智能交換機可與其他安全設備實現聯動，實現了接入層的安全。
　　
　　部署時應注重什么
　　在部署邊緣智能交換機時，由于邊緣產品具有量多而分散的特點，所以我們需要考慮在整體與分散策略方面上，取得一個最佳的平衡點。一個連續、智能的安全策略與用戶接入策略對整體網絡的性能和維護至關重要。用戶既要實施智能化特性、又要在治理上簡單化，同時對所有用戶的監控是實現預防式網絡安全和流量治理的要害，一個實現了全網監控的網絡同樣應該簡單易行而不損傷性能。
　　
　　潘粵寧認為邊緣智能交換機處于網絡的邊緣，接入用戶數量大，扮演的角色相對于骨干交換機也很重要。所以她認為用戶部署邊緣智能交換機應該注重三點。首先，應該注重產品的可靠性。假如邊緣交換機出現故障，將會影響到很多邊緣層用戶。所以在部署智能交換機時應盡量支持冗余配置。對于固定配置的邊緣交換機，建議購置外置或者內置的冗余電源系統。同時為了提供鏈路方面的冗余性。配置交換機的802.3ad鏈路聚合、STP/RSTP/MSTP生成樹和三層VRRP協議。其次，假如網絡可以實現分布式的安全部署，除了在網絡核心部署傳統的防火墻、IDS等安全產品之外，在邊緣通常應該部署以下安全策略：帶寬控制、ACL技術、安全套接層(SSL)、802.1X端口認證和RADIUS 認證、MAC地址綁定和過濾、以及Secure Shell (SSHv1/SSHv2) 加密等等。第三，盡量選擇同一系列的交換機以保證所有模塊和電源等部件能夠通用，以便進行故障診斷和應急替換，同時減輕用戶保留備品配件的壓力。選擇可堆疊的交換機，以部署高密度和可以集群治理的邊緣網絡。
　　
　　此外，銳捷網絡（原實達網絡）產品經理羅自靈在QoS應用方面也給我們提出了有益的建議。她認為針對每個具體應用的不同，優先級隊列的應用存在很大的不同。在配置智能交換機時應該加以具體的規劃，以免造成資金上的浪費。
　　
　　邊緣智能交換機的出現無疑從源頭控制了網絡數據流量，減輕整個網絡的壓力。同時，我們也應注重到在邊緣采用智能交換機并不會影響性能，這是因為大多的智能交換機都是將一些重要智能功能如QoS、速率限制、ACL集成到高速的ASIC芯片上，所以這些智能不致影響到基本二層、三層的線速轉發性能。在這一點上，用戶大可放心。

上一篇：NGN體系的五個技術發展方向綜述

下一篇：Cisco交換機口令的恢復(Catalyst2900-XLand3500-XL)