分析千兆网络交换机内置的安全防火墙,千兆网络交换机应用服务代理插件使得千兆线速交换得以实现。内置安全防火墙也将是千兆网络交换机的一个亮点。希望大家在阅读完下面文章后能够有一个清晰明了的认识。
应用/服务代理插件
网络应用与服务的基本结构集成是通过应用代理和服务代理插件来支持的。这些插件属网络中间件,如目录服务、认证服务、防火墙服务、地址分配服务和定位服务。这些服务直接集成到线速实施可编程千兆网络交换机硬件上。
服务代理插件的一个例证是防火墙交换技术代理,当防火墙交换代理与防火墙软件结合时可以提高性能,可使防火墙的吞吐量提高1000倍。随着交换技术的发展,千兆网络交换机还将集成更多的应用代理,如视频会议、IP语音电话和ERP的应用等。
千兆线速交换
一般来说,数据在传输线上的传输速度是很快的。数据到达千兆网络交换机后,由于受到千兆网络交换机交换速度的限制,传输速率慢下来。千兆网络交换机问世后,千兆网络交换机的数据交换速度大大提高,基本上达到了线速交换的能力。
线速交换就是使千兆网络交换机的交换速度达到传输线上的数据传输速度,消除交换瓶颈。实现线速交换的核心是专用集成电路ASIC技术,即用硬件实现协议解析和包转发,而不是传统的软件处理方式。目前的ASIC技术都是各个公司专有的,没有统一的标准。
但基本上线速交换的实现都依赖于分布式处理技术,即多个端口同时进行数据流的处理。例如Fore系统公司今年新推出的ESX系列千兆网络交换机,其4800型号的交换机拥有48个千兆位以太网全双工端口、384个10/100以太端口、16个负载均衡的ATMOC-12上行链路。
因此在第2、3、4层总的数据交换量达到38Mpps的处理速度,这也是业界目前最高性能、最高密度的以太网路由千兆网络交换机平台之一,而其2400型号的千兆网络交换机则拥有24个千兆以太网端口,各项性能指标减半。
内置安全防火墙
网络安全对企业十分重要,但是往往加载网络安全防火墙产品后,网络的数据交换速度又受到明显影响。对此,Fore公司与CheckPoint软件技术公司合作,开发出高速的防火墙交换代理(FSA),通过使用防火墙专用集成电路,将防火墙的数据吞吐速度提高到20Gbps。
这样的速度大大高于传统的独立防火墙50Mbps~80Mbps的速度。Fore将此技术融入到其ESX系列千兆网络交换机中,由于防火墙芯片内置在千兆网络交换机中,网络管理员就不需要再为每一个外连到互联网上的千兆网络交换机单独安装独立防火墙了。
FSA模块实际上是运行在ESX系列千兆网络交换机专用集成电路上的微代码。网络管理员可以通过运行在一台独立计算机上的CheckPointFirewall-1软件配置FSA的过滤策略,例如允许或禁止电视会议数据通过防火墙。当设置好过滤策略后,通过运行在千兆网络交换机上的WindowsNT系统。
Firewall-1将策略数据传送给运行FSA的专用集成电路。在高速防火墙市场上,还有一些公司也有捆绑Firewall-1软件的路由器或多协议千兆网络交换机,但是它们都没有在专用集成电路中运行防火墙代码。
