网络智能由核心向边缘扩散动向浅析
发布时间:2006-10-14 3:54:38   收集提供:gaoqian
李鹏


  今天的网络需要更多的智能应用以支持用户的多种需要,例如音、视频及点播等服务。同时,边缘接入也对交换机的安全性和可管理性提出了更高的要求,要求的带宽也越来越宽,所以网络智能的需要开始由核心向边缘扩散。

  分布式的智能

  早先需要完全由核心引擎完成的智能处理功能,如QoS、ACL、三/四层交换、策略路由等,均被分布到每片业务模块上实现,这样的设计大大减少了背板的带宽消耗,大大减低核心引擎上的负荷量,每片业务模块都会分担核心交换引擎的处理工作,大大增加了整网的效能。对于用户来说,则可以根据自身的需求选购适宜的业务接口模块,交换机的总体交换能力可以随着加入业务模块而同步提升,有别于采用集中式处理结构的交换机——核心交换引擎在加入新的业务模块之后,会导致整体的交换效能持续降低。

  边缘智能化的交换机主要为二层智能型和三层交换机,要求交换机具有第二层甚至第三层的交换能力,另外,还可能提供面向四到七层应用的处理能力。

  分布式交换矩阵

  相比于传统的方式,分布式交换矩阵具有带宽高、全冗余、低延时等特点,同时,它还对更多短时数据流(如HTTP、DNS的要求报文)有更好的处理能力,对本地交换模块有更快更敏感的拓朴转变能力,每分每秒都可保持在线。把智能交换能力从核心交换引擎分布到每个本地交换模块上,可以提供更快的包过滤、更细致的QoS、本地路由决策,并且交换机整体的交换能力可以在增加新的业务模块之后同步提升。

  目前,用于构建交换矩阵的技术大体可分为两种:共享总线和Crossbar,每种都有它的优点和缺点:采用Crossbar技术实现的矩阵可以提供很高的带宽吞吐能力,但在实现广播/组播功能方面,性能较低;而采用总线方式实现的交换矩阵,广播/组播性能表现较好,但是可提供带宽吞吐能力较差,而且在扩展性上会有较大的约束。

  在这两种方式之外,还有一种创新的交换矩阵技术,它针对Crossbar技术在广播和组播方面存在的缺点进行了改进,它的双交换引擎距阵以网状方式相连(如图)。该矩阵技术结合了Crossbar技术和共享总线技术的优点 ,在高带宽吞吐和良好的广播/组播效能之间取得了平衡,既可拥有高带宽又具备极高的组播/广播效能,有别于单纯采用总线或Crossbar技术设计所带来的问题。

  实现按需部署

  在部署分布式智能网络时,一个连续、智能的安全策略与用户接入策略对整体网络的性能和维护至关重要。用户既要实施智能化特性,又要在管理上简单化,同时对所有用户的监控是实现预防式网络安全和流量管理的关键。一个实现了全网监控的网络同样应该简单易行而不损伤性能。换句话说,部署一个智能网络,意味着用户要对每个交换机基于性能和能力的网络体系结构和最合适的布置进行仔细考虑。具体来说,应该注意产品的可靠性。如果边缘交换机出现故障,将会影响到很多边缘层用户。所以在部署智能交换机时,应尽量支持冗余配置。对于固定配置的边缘交换机,建议购置外置或者内置的冗余电源系统。同时,为了提供链路方面的冗余性,应配置交换机的802.3ad链路聚合、STP/RSTP/MSTP生成树和三层VRRP协议。其次,如果网络可以实现分布式的安全部署,除了在网络核心部署传统的防火墙、IDS等安全产品之外,在边缘通常应该部署以下安全策略:带宽控制、ACL技术、安全套接层(SSL)、802.1x端口认证和RADIUS 认证、MAC地址绑定和过滤以及Secure Shell(SSHv1/SSHv2)加密等。而且,还应当尽量选择同一系列的交换机,以保证所有模块和电源等部件能够通用,以便进行故障诊断和应急替换,同时减轻用户保留备品配件的压力。选择可堆叠的交换机,以部署高密度和可以集群管理的边缘网络。



  构建交换矩阵的两种方式


  网络面临协议升级

  未来两年,IETF是对核心Internet协议负责的标准体系,将有一系列新的以太网协议出台。

  传输协议:在IETF范围内的所有主要技术领域中最为关注的就是传输协议。这类协议的发展方向是:对现有的传输协议进行一些根本改造。除了现有协议之外,IETF还推出了其他协议。DCCP(Datagram Congestion Control Protocol)就是用于取代UDP的,它增加了拥塞识别和控制机制。当检测到拥塞的发生时,它就会降低数据传输速率。

  Internet安全:目前 ,一些IPSec技术仍然处于开发当中。IKE(Internet Key Exchange)协议主要用于公共密钥数据的交换,现在正在进行简化和方便性的改进。大部分加密市场都使用基于TLS(Transport Layer Security)或SSH(Secure Shell)的动态VPN。由于它们从一个传输层端口而无须从节点的每个端口进行加密,因此它们比IPSec更易建立也更易于操作。

  Internet命名服务:DNSSEC(DNS Security)协议提供了一系列密钥来校验DNS记录的真实性。这种技术非常关键,因为DNS的缺陷常常被利用来收集主机和网络信息,之后则便于攻击者的攻击。不过,DNSSEC自20世纪90年代初就开始发展了。一种新的技术RFC可能将在2005年推出,但不能确定它是否可以满足用户和域注册体系的需要。不过即使这种技术推出了,OS和应用对RFC的完全支持也还需要5年时间。

  协作工具:IM(Instant Messaging)可能是其中最不起眼的领域了。IM的多数实施仍然是专用的,IETF已经批准了两个不同技术作为可能的标准。SIMPLE(SIP for Instant Messaging and Presence Leveraging Extensions)可与基于SIP的VoIP系统互用,这要求它支持所有的VoIP厂商,包括IBM和微软等,这使其成为许多内部网的首选。Internet上XMPP(Extensible Messaging and Presence Protocol)具有广泛的应用基础,它基于开放源的Jabber软件,主要是用于IM的。从这一点看来,评判两者的高下仍然为时过早。


摘自 赛迪网-中国计算机报
 
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50