细心的观察我们可以发现,从2001年的中期开始直到现在,一些在以太网交换领域领先的厂商推出了一系列新的以太网交换机。其中有一类固定配置交换机,工作在网络的边缘,如网络的接入层或者是汇聚层(分布层)的边缘,并且支持第四层交换。
那么在连接最终用户的交换机上为什么要实现四层交换呢?这些新的交换机会给企业网带来什么变化呢?带着这些疑问,我们展开了此次四层交换到桌面的采访,非常感谢3Com公司技术市场经理唐勇、思科系统中国网络技术有限公司营销运作部产品经理陶欣先生、北京港湾有限公司产品部总经理李剑先生接受我们的采访。也感谢一些厂商填写了我们的功能列表,帮助读者对这类产品有一个更为感性的认识。
企业网的新需求
高速、融合、更安全是今天企业网的新需求。融合网络的话题已经谈了很久,将语音、视频等对延迟、抖动要求非常高的通信与数据通信在同一个网络上传输,现在看已经是一个必然的趋势。另一方面,一些关键性的应用比如供应链管理等对数据传输的要求非常高,对网络的丢包、延迟等提出了很高的要求。承载如此重要的商业应用同时也对网络管理提出了很高的要求,由于数据网络基本上都采用带内管理的方式,一些管理信息也对网络的通信质量提出了很高的要求。
企业网的另一个新的发展趋势是网络速度的提高。从提高服务质量的角度看,不断增添网络带宽是一种有效而且相对简单的方法。但是,无论交换机的背板带宽有多高,无论交换机的数据包转发率有多大,无论数据交换得有多快,拥塞却永远在所有网络中存在。比如说,在从高速的局域网到低速的广域网的地方、在多个链路的流量汇聚到一个上联链路的地方、在从一个高速链路向一个低速链路传输的时候,都会产生拥塞。没有服务质量的控制,将意味着数据包的丢失和延迟的增加。
网络的融合趋势需要网络能够依据不同的应用,以及不同应用所需要的服务质量特性,提供服务。
企业网另一个需求是安全性,特别是针对来自内部的安全威胁。有数据表明,80%的安全攻击来自于企业的内部。企业网需要加强对访问者的控制,限制非授权用户的通信。
你用过IEEE802.1P吗?这是李剑先生问我的一句话。想必大多数网络管理人员,对IEEE802.1P仰慕已久,而实际上真正在网络上部署的人凤毛麟角。记者在采访中,几位被采访者都谈到以往交换机的IEEE802.1P实际上并没有什么意义。市场上仅有很少的网卡支持IEEE802.1P,而桌面的应用软件也不支持IEEE802.1P。而在配置的角度上看,上次测试的交换机都停留在打开或者关闭的水平,而不是做到能够为某一类应用提供相应的服务质量策略。如果想在全网实施QoS,需要到每一台PC机上设置应用与IEEE802.1P的映射关系(比如3Com网卡的附带软件)。而李剑认为如果QoS的定义在桌面实现,将会导致网络的混乱,就如同每个人可以自己定义电话号码一样。
在网络中实施QoS,依赖这样的接入交换机,除非我们的网络管理员有一台智能多层的核心骨干交换机否则无法做到。而核心骨干交换机价格不菲。
我们测试的千兆接入交换机也有安全的设置,比如说静态的MAC地址表,能实现MAC地址的过滤,能够划分VLAN。但是对于网络管理人员来说,手段还不够多也不够灵活。
我们此次关注的这些部署在网络边缘的四层交换机正在力图解决这些问题。让我们来结合后面的功能列表来认识一下新一代的网络交换机。
此四层非彼四层
虽然我们此次的专题名称叫做“四层交换到桌面”,但是在我们功能列表中的网络交换机与以前我们常提到的四层或者四至七层交换机并不一样。
首先从交换机在网络中的位置来看,过去的四到七层交换机,一般放置在企业或者运营商的数据中心,专门用来连接Web服务器或者其他相关的服务器群组。它们的出现是为了提高互联网站点的服务性能。
我们收集在表格中的交换机则明显不同。在这8款交换机中,一类是具备第二层和第四层交换能力,如3Com公司的SuperStack 3 Switch 4400、Avaya公司的P134G2和Cisco公司的Catalyst 2950、华为公司的Quidway S3026E。它们工作在网络的接入层,直接连接到用户的桌面终端,比如PC机、以太网电话机,并用高速的千兆链路上联到分布层交换机。剩下的交换机为2/3/4层交换机,比如港湾公司的FlexHammer 5010/5020、华为公司的Quidway S3526、Cisco公司的Catalyst 3550和Extreme公司Summit48si。这些交换机一般位于网络的分布层边缘,下连接入交换机,或者直接连接桌面的终端,上联核心骨干交换机。这也是我们将此次专题命名为四层交换到桌面的原因。
从对数据包的操作来看,二者也有很大的不同。以前的四到七层交换机,根据数据包的第四层乃至更高层的信息,决定不同数据包发往交换机的不同端口,比如端口的重定向、负载均衡等等操作。
四层交换到桌面的交换机,并没有根据四层的信息进行交换,而是对四层的信息进行识别,更深层次的讲是对应用进行识别,然后按照网络设备预设的服务策略,提供服务质量保证,根据已定策略保证企业网络的安全性。
按照陶欣的说法,实现四层交换到桌面的交换机实际上是二层和三层交换的扩展,提供更多的服务。#p#
端到端的服务质量
翻看我们的表格,我们会发现这一类交换机在服务质量控制方面,比较原先的二层交换机有了很大的提升。
在优先级队列方面,原来的千兆接入交换机,每个百兆端口仅仅支持2个队列,新一代的智能边缘交换机可以支持4个。
在QoS所要做的分类与识别工作中,第二层都能够识别IEEE802.1P的信息,有一点表上没有反应的是,一般这类交换机在识别应用之后可以根据QoS策略改写以太网帧的IEEE802.1P的标记字段。另外,它们也可以通过识别端口、MAC地址、VID确定数据的优先级。第三层,他们可以通过识别IP地址的信息,确定交换机的优先级设置,同时也可以识别IP DiffServ字段,并重写这一字段的信息。第四层,他们可以识别第四层的端口号码,结合优先级策略提供相应的服务。
唐勇先生说,对于边缘交换机来说,24个百兆口或者48个百兆口,通过一个千兆链路上联,一般不会发生拥塞。他认为从现在到未来几年内的桌面应用看,只要不超过100个百兆口,在接入交换机的千兆上联端口处,一般不会出现拥塞的情况。所以说,四层交换到桌面不是为了解决边缘交换机的拥塞问题,而是为了能够在网络中实现端到端的服务质量,能够在网络边缘识别应用,为数据包打上优先级的标记,比如IEEE802.1Q或者是IP DiffServ。
在拥塞控制、拥塞避免和数据整形方面,除了一些2层交换机会支持的队头阻塞控制、IEEE802.3X以外,实现四层交换到桌面的产品还支持了WRR、WRED、RED、CAR这样的协议,这些协议过去更多的应用在路由器产品上,在边缘交换机中很少见到。
丰富的安全设置
在安全方面,新一代的交换机有更丰富的设置选项,对于网管员来说有更多的手段。
在二层,一般的交换机都会支持基于MAC地址过滤的访问控制,也会支持IEEE 802.1Q的VLAN。而新一代的交换机有一个特征是,大多准备或者已经支持IEEE802.1X协议。
在第三层,绝大部分的交换机支持基于IP地址信息的访问控制。在第四层支持基于四层端口号的访问控制,也有厂商称之为数据流的过滤,限制一些用户的操作,比如说非法的下载。这样网络管理员可以基于应用来部署网络内的安全策略,方式更为灵活。比如说在同一个交换机连接的用户中,有些人不能访问Web站点,有些人不能下载MP3和视频等等,而过去的交换机是无法做到的。
按照李剑的说法,新一代的交换机让企业网变成了业务型的网络,从而能够实现业务型的安全。而昨天的网络是职能型的网络,VLAN则是职能型的安全。
还要提到的一点是,新一代的交换机在实现三层和四层的访问控制时,都是利用硬件完成的。这意味着交换机从四层信息的识别,到进行控制、提供服务,所进行的操作对交换机的性能应该没有太多的影响。
在安全方面,新一代交换机大都支持与RADIUS服务器的连接,并结合了IEEE 802.1X技术,实现安全认证。
对于网络管理人员来说,新一代的交换机可以将多种安全手段捆绑在一起,更有效的防止非法用户的侵入,对网络造成危害,实现端到端的安全控制。
基于策略的网管
基于对业务的智能识别,使用新一代的交换机,网络管理人员可以基于统一的服务质量策略和安全控制策略,在整个网络中进行部署。而且对于网络管理人员来说,部署的工作更为简单。
在网络的边缘实现四层交换之后,企业网络将变得更可运营。对于网络管理人员来说,对不同的业务、应用制定服务和安全策略,在网络中集中部署。我们看到大多数的交换机都支持配置的分发。李剑认为未来在网络中,可以通过后台的策略服务器,更方便的在全网中实施服务质量控制策略,就像ATM网络那样。
新一代的交换机也提供了非常友善的配置页面。陶欣认为增加了对业务的识别,服务质量的控制和更多的安全策略,就增加了边缘交换机的配置难度,但是Cisco为新一代的交换机提供了更为方便的图形化的配置软件减轻难度。这样的情况在其他公司提交的信息上也有体现。
低廉的价格和高性能
我们走访的几家公司都谈到,新一代的交换机与过去网络中处于同样位置的二层接入交换机的价格相差不多。陶欣告诉记者Catalyst 3550和2950交换机与原来的35系列和29系列交换机价格相当。
我们在媒体广告上可以看到,3Com公司新推出了一款名为Super Stack 3 4400SE的交换机,唐勇告诉记者这款交换机与二层交换机的价格相差无几,花一点钱用软件升级的方式使交换机具备四层交换功能。陶欣告诉记者,Catalyst 2950系列交换机中也有类似可以通过软件升级为四层的产品。
新一代的交换机性能指标都非常高,这从我们表格中配置那一栏就可以看得出来,交换机的交换能力都非常强。
智能新纪元
新一代的交换机带来了企业网络的革新,网络以应用为核心。交换机能够智能的识别桌面应用,根据应用提供服务质量。它使网络管理人员能够根据应用在全网实施端到端的服务质量控制策略,以及依据业务应用的安全策略。
四层交换到桌面也改变着网络的模型。唐勇先生谈到,四层交换到桌面,将减轻核心交换机的通信压力,减轻用户对核心交换机的依赖。核心交换机不用对应用进行识别,只要支持IP DiffServ和IEEE802.1P识别,并提供服务质量就可以。另外,骨干交换机对每一个数据包识别到第四层,并且要保证全线速,成本要比边缘高很多。四层交换到达桌面后,骨干交换机的功能将非常简单。
李剑先生认为,现在的网络技术在吸收ATM的精髓,变成一个可以运营的网络。另外,他反复提到企业网的通信模型在从职能型的网络向业务型的网络转变。这一方面要求在边缘实现智能,同时要求在网络的分布层提供高性能的第三层交换。过去第三层交换是为了VLAN之间的通信,因为职能型企业网的通信流量集中在VLAN内部。今天,业务型的企业网,用户有大量通信是访问整个企业的业务服务器,是跨VLAN的通信,需要在分布层提供第三层的交换。另外,三层网络更稳定,在发生网络连接故障之后,三层的收敛速度超过2层的生成树的收敛速度。
【编辑推荐】