万兆交换机有很多值得学习的地方,这里我们主要介绍万兆交换机引领新一代技术快速发展。作为兼容于以往的最新以太网技术,万兆以太网不仅仅是以太网的“高速翻版”,万兆以太网第一次提出了万兆广域以太网技术,第一次实现了私有网络到公众网络的融合。
同样,作为网络的核心设备,万兆以太网交换机也不仅仅是在已有的千兆以太网交换机上支持万兆的接入模块,它需要新一代的系统设计,包括从交换机体系结构、二/三层技术的更新,到下一代 IPv6 的缺省支持和有效的带宽管理。本文将探讨这些新一代的技术。
近年来,从局域网到城域网,从城域网到广域网,以太网技术以惊人的速度正占据着越来越多的市场,尤其在企业网络和运营商网络中,以太网技术越来越多地成为毫无争议的选择。从快速以太网到千兆以太网,再到万兆以太网,技术上的更新满足了新一代互联网技术所带来的高速带宽增长和新一代应用的需求。以下我们来看一下万兆以太网交换机中的新一代技术。
分布式的交换体系
用户投资购买万兆以太网交换机,是因为需要能够在任何情况下线速处理数据包的转发,需要能够处理新一代的互联网应用,如组播应用、流媒体应用、IP语音、下一代互联网IPv6应用;同时也需要交换机能够提供最好的投资保护、能够占用最少的机架空间、能够尽量地节省电量、能够看得见用户的流量等。显然,千兆交换机不能容纳大容量万兆端口的线速转发,目前的千兆交换机只能够提供几十到几百个G的吞吐量,而新一代的万兆交换机能够提供每秒处理一千个G以上的吞吐。由于如此大的数据吞吐用最高的CPU也不能实现线速转发,所以我们需要专用的网络集成电路芯片(ASIC),同时需要将数据转发的任务分布到各个模块上实现。
分布式系统有不同的实现方式,一种是在传统的交换机技术上将常用的任务转移到本地模块上实现,它可以利用本地的交换矩阵,也可以利用整个交换机的交换矩阵,但是这样的做法显然不是最佳的;另一种做法是彻底地将所有数据转发的任务分布到各个模块并利用本地的大容量交换矩阵实现。所以说,大容量的分布式交换结构最为有效,万兆交换机不仅应该提供大容量的背板交换矩阵,还应该提供大容量的本地交换矩阵,无阻塞的并行交换矩阵是目前最为先进的技术。
ASIC与FPGA芯片
同时, ASIC提供的是在转发数据时利用专用芯片而不是由CPU来处理。ASIC的衡量标准就是尽可能在芯片级上处理所有的流量转发,但是问题在于 ASIC一旦设计之后交换机就不能进行修改。所以我们会选择处理尽可能多的数据转发设计产品,我们会考虑到 IPv4 的数据包交换和路由、IP组播的数据包,是否能够实现芯片级的数据分流和服务质量保证(QoS),是否能够实现芯片级的数据限速,数据限速是否可以实现多种方式以及采用信用制而非门票制的方式,是否可以实现策略路由,是否可以实现访问列表控制(ACL),是否可以实现新一代 IPv6 的交换和路由,甚至是否可以芯片级采集数据流量等一系列问题。优秀的ASIC设计体现了交换机设计的最高技术。
但是,有了分布式的交换体系和优异的ASIC技术还远远不够,由于ASIC 的技术一旦实现则不能更改,那么新的技术标准、新的应用模式将完全利用 CPU来处理,而这样往往给用户带来性能上的损失和业务上的痛苦。解决的办法可以是购买新一代ASIC设计的模块,但是硬件升级可能带来的是昂贵的追加投资。最新的万兆交换机会利用现场可编程门阵列芯片(FPGA)来解决这一缺陷,将新的标准通过软件升级由硬件处理,提供了用户投资的最好保护。
解决冲突
这样一来,似乎所有的问题都解决了,其实不然。由于交换机的各个模块之间以及它们与中央管理模块之间是一个有机的整体,Internet路由信息的分发、维护需要各个模块的参与,并且总会存在这样的问题: 由于本地硬件芯片寻址不到而需要中央管理模块的参与,所以交换机的性能会有所损失。
最新的万兆交换机是如何解决这一问题的?主要是通过两个途径:一是将控制通道和数据转发通道进行分离,二是在各个接口模块上使用高性能的CPU参与。控制通道和数据转发通道的分离就是在交换机上实现两个不同的并行交叉矩阵。这样,我们所说的背板容量将完全用于数据通道的使用,同时也保障了万兆交换机硬件的安全性,而本地高性能的CPU参与使得中央管理模块永远不会处理涉及各个接口数据的转发,实现真正意义上的分布式体系结构。当然,万兆以太网的体系结构还有很多因素参与,比如大容量的SDRAM 和TCAM(能够在一秒钟实现10亿次以上搜索),比如本地路由方式是否采用基于拓扑结构驱动。
更重要的是,万兆交换机的软件是否采用多线程方式,软件是否提供最新一代的二/三层技术标准。这些二/三层技术包含了新一代网络的最新需求,比如基于万兆以太网端口的链路捆绑,是否提供快速链路冗余的各种技术、是否提供从端口安全性到各种用户认证的安全技术、是否提供完整的IPv4和IPv6的各项规范、是否提供快速BGP路由技术、是否提供冗余路由协议、是否提供各项二/三层安全特性、是否提供交换机的防攻击特性、是否提供交换机本身CPU智能保护、是否所有这些特性都由硬件实现等。
完整的IPv6规范
IPv6 提供了各种设备上网而非仅仅是PC和服务器,同时克服了目前 IPv4 的一些缺陷,万兆以太网加上 IPv6 的组合,是构建未来高性能新一代网络的必由之路。通常 IPv6 有三种实现方法:在目前的交换机上用软件方式实现;或者采用新的硬件模块,插入现有的系统之中,从而增强IPv4/IPv6的转发性能; 或者是全新设计的IPv6万兆交换机。
QoS
全面的服务质量QoS保障特性是融入硬件和软件中的一个重要特性,万兆交换机通过提供高容量的端口缓存和每个端口的多级硬件队列来提供QoS的硬件场所,同时通过软件实现基于数据流的优先级分类,高端的特性还可以通过软硬件实现数据流的‘上色’和‘着色’,例如可以在硬件上重写ToS/DSCP或 802.1p位。这种特性可以应用于流媒体和IP语音的应用上,用户可以把具有特定流媒体或IP语音的数据分拣出来提高(或降低)其优先级或特定的数位值,然后自动映射到QoS队列,保障应用服务或者是根据不同的服务等级提供相应的服务质量。
用户特征
MPLS是另一个重要的用户特性,因为MPLS能够解决IP网络从无序到有序的转变,提供了端到端的流量工程和服务质量保障,同时也提供了二层或者三层的VPN占有网络,实现了网络的安全性。但是,MPLS的实现受制于系统的资源,选择万兆以太网交换机就会考虑 MPLS的实现方式以及MPLS的性能,比如MPLS的VPN数量二层MPLS是否支持多点到多点的VPN方式。
安全与流量管理
安全性和网络流量管理是目前用户最为关注的重点。作为骨干设备,不仅仅需要考虑设备本身的安全防范,同时还要提供用户的防范,就是说既要本身免疫能力强,又要提供强有力的阻击手段来保护网络的用户,并且所有的防范都应该是基于硬件来实现。但是所有的安全防范都是基于我们已知的攻击手段和安全漏洞上,如果我们不能监控整个网络,安全性就不会是完整特性。
考虑到万兆交换和路由的高速转发,以往通过CPU采集流量的方法将不可行,而融入ASIC之中的分布式流量采集系统带来了万兆交换机的一个创新。sFlow是目前较为先进的流量管理规范,它既能提供IPv4的数据,也能提供IPv6 的数据。如果我们能在不影响性能的前提下提供所有设备的所有流量,那么就可以非常容易地观察网络的流量,可以是某一个端口下一个特定用户的活动,也可以是当前网络上的异常流量。分布式的流量监控系统好比是黑夜里的道路监控系统,难以想像一台核心的骨干设备缺乏这样的流量管理系统将会出现什么样的后果。