|
高性能的安全网络交换设备
——TCL-3S 8000A
刘兴龙 周 江 侯春海
内容简介:TCL-3S8000A高速智能交换机具有强大的智能安全网络管理功能和适应未来发
展的平滑网络升级特性,能提供ATM Oc3和Gigabit上行链路,同时具有高端口密度、多端
口类型、容错、兼容和背板监视等诸多优势,是高速网络安全交换设备的理想选择。本文
将给出该产品的软硬件详细介绍
如果要说计算机的诞生是人类在科学技术上的一大创举,那么网络技术的发展则使这一创
举得到充分的发挥。计算机网络技术发展之快,是人们始料不及的。从局域网到广域网,
从ARPANET到Internet,网络以闪电的速度发展壮大。从目前的状况来看,计算机网络正
面临以下两类问题:在现有的网络设备情况下,如何做到适应未来网络发展的平滑升级?
如何对复杂网络进行有效的智能安全管理?在现有的网络设备中,同时很好解决这两个问
题的网络产品并不多见,TCL-3S 8000A高速智能交换机的推出无疑会为这两个问题的解决
提供很好的方案。
目前,网络的容量、速度、管理和安全性越来越受到人们的重视,而这一切都是与组成网
络的硬件设备和软件配置离不开的。数据交换网络中一个关键的设备就是交换机,它的功
能决定着网络所能提供的服务,它的工作性能直接影响着网络的通信质量。本文将对以太
网交换机的重要性及深圳TCL通信技术有限公司研制的高速智能交换机作较为详细的介绍,
内容安排如下:
第一部分介绍以太网技术的发展现状。
第二部分给出以太网交换机和集线器(HUB)的不同功能区分以及以太网交换机的分类和应
用领域。
第三部分从硬件和软件两个方面,介绍深圳TCL通信技术有限公司开发的高速智能交换机
的功能特点。
第四部分对以太网交换机的发展趋势作一个简要的预测。
Ⅰ. 现状分析
当今社会,由于图形工作站、多媒体、Internet接入以及客户机/服务器数据库等的广泛
应用,对网络带宽的要求越来越高,原有的标准以太网和Token Ring网络技术已经没有
能力应付用户人数不断增加、软件日益复杂而且服务种类不断增加的新局面。由于资金
的问题,很多人还在使用着八十年代初开发的10Mbit/s以太网技术和16Mbit/s Token
Ring技术,极为勉强地用来支持功能强大的新型工作站的应用。尽管也有一些地方在使
用ATM这样的前沿网络来提供骨干连接器,但这些高速的解决方案费用也很高,不易扩展
到工作区的每个桌面,所以并不能完全解决问题。用户所需要的是高速而且廉价的网络
连接。
快速以太网的出现使问题变得简单起来。它既是一个开放系统又具有越来越高的性价比。
第一,与原先的10Mbit/s以太网一样,快速以太网相对简单(特别是与令牌环相比)并
具有根本可靠性。第二,也是最重要的一点,快速以太网标准(IEEE 802.3)是一个真
正的国际开放标准,以太网产品竞争更具灵活性。它可以为桌面提供高速连通性、发挥
骨干功能并为超级服务器提供高速、高容量的链路连接。如果能够很好地实现,快速以
太网能以相对低的价格在很大程度上增加局域网的能力和可用性,它可以在铜缆和光纤
上以100Mbit/s的速率运行。如果利用得当,快速以太网或许能够在许多网络构造层次
上成为主要的技术。
基于快速以太网技术的应用潜力,人们开发出了实现相应功能的以太网交换机。
Ⅱ. 以太网交换机
以太网交换机与接入HUB一样,可以连接包括10/100M以太网、FDDI和令牌环在内的各种
用户,为其提供接入功能。但是以太网交换机还有一个HUB所没有的功能,就是实现内部
的交换,接在同一个以太网交换机上的用户之间可以直接通过交换机实现相互通信,而
不必再经过共享总线,这样既缩减了数据传输时间,同时也分散了交换功能,减轻了总
线负担。由于有了这样的功能,以太网交换机成为了现代数据交换网络中的关键一环。
根据以太网交换机的容量、端口性能、价格和应用范围,大致可以分为四个种类:
第一类是工作组交换机。这类交换机每端口成本较低,但是,为了实现价格上的低廉,往
往也牺牲一些特征,比如全双工端口、光纤接口和上行链路等,一些工作组交换机甚至没
有管理功能。工作组交换机通常也被称为网段交换机,因为它们在网段间交换数据。
第二类是部门交换机。这类交换机的端口数量和性能级别都与工作组交换机有所差异,它
们有一个等于或超过所有端口带宽的半双工汇集带宽,提供比工作组交换机更多的管理功
能,还支持半双工和全双工的光纤接口。
第三类是骨干交换机。这类交换机与前两类交换机相比具有很高的性能,价格也很昂贵。
它通常支持最少一个FDDI和ATM的上行链路,而且管理功能强大。除了在所有端口上支持
RMON功能外,骨干交换机还通常具有复杂的专用管理特征。一些骨干交换机为了达到最大
的可靠性而采用了冗余电源配置。
第四类是企业交换机。它非常类似于骨干交换机,但最大的不同是企业交换机还可以接入
一个大底盘,这个底盘通常支持许多不同类型的组件,比如快速以太网和以太网中继器、
FDDI集中器、令牌环MAU和路由器等。企业交换机在建设企业级别的网络时非常有用。
以太网交换机通常采用两种交换方式,即直通方式和存储转发方式。
采用直通方式时,交换机检测接收帧头中的目的地址,查询内部的“端口-站”地址表,如
果与某站地址相符,则将该帧传送到相应的端口,交换机不对帧做任何处理。直通方式的
优点是速度快,延时小。缺点是可靠性不高和存在传输冲突与差错,适用于工作组网络。
采用存储转发方式时,交换机先将接收帧保存在高速缓冲存储器内,再进行差错检测,读
取帧头中的目的地址,然后查询“端口-站”地址表确定输出端口,最后将帧发送到该端
口。存储转发方式的优点是避免了传输差错和可靠性高,支持高速端口。缺点是时延增加。
直通方式虽然速度快,但由于实际中错误帧比较多,所以现在大都采用存储转发方式。所
以实际上还是存储转发方式更具可用性,实际使用的经验也证明了这点。因此,直通方式
已渐渐被淘汰,现在的以太网交换机大都采用存储转发方式。附带要说明的是,TCL-3S
8000A系列高速智能交换机在存储转发机制基础上,还具有自己独特的一点,这就是它两
层寻址功能,除了统一的地址表,它还在每个端口上带有可存放4个MAC地址的存储器,这
样做有效地节省了总线资源,提高交换速度。
下面是管理模块通过总线与用户模块连接的示意图,可以看出,TCL-3S 8000A系列高速智
能交换机具有独特的双数据总线和内部/外部总线相结合的硬件设计。
Ⅲ. TCL-3S 8000系列高速智能交换机
TCL-3S 8000系列高速智能交换机是深圳TCL通信技术有限公司最新推出的适合当今计算机
网络发展的新一代网络交换设备。该系列包括A、B和C三种类型产品,能分别应用于局域网、
骨干网和交换中心。值得一提的是,这个系列的产品均具有强大的管理功能。TCL-3S 8000
系列产品不仅能以优良的性能实现同类产品所能实现的所有交换功能,还在网络安全方面
有着不同凡响的突出优势,其细致完善的智能网管平台和先进精密的安全管理软件使系统
安全性得到大大提高,可靠性进一步增强,这些优点也必将成为TCL-3S 8000系列产品傲立
于同类产品之林的雄厚资本。
本文仅以该系列中的TCL-3S 8000A高速智能交换机为例对产品的特点及配套软件作相关介
绍,若需获得更为详尽的产品资料,请直接与深圳TCL通信技术有限公司联系。
Ⅲ.Ⅰ 硬件方面,TCL-3S 8000A设备在硬件上设计灵活:
首先,它有四种不同数目槽位的机箱,分别配有2个、4个、7个和12个用于安装模块的插
槽,能在只插入一到两个模块的情况下正常工作,同时具有多端口类型的特点,各模块也
可在没有管理模块的情况下工作,用户可以按自己的实际需要选用相应产品,节省开支,
机动安排。交换机内使用的各电路模块都可以带电热拔插,即插即用,方便了用户操作。
同时,TCL-3S 8000A高速智能交换机背部可以配备一到两个电源,电源采用先进的接触式
冗余设计,能够保证交换机的不间断正常运行。
其次,TCL-3S 8000A高速智能交换机配有支持RMON2远端监控功能的控制管理模块,用户能
够通过此模块对设备进行实时的远程监控,及时了解设备状态,并加以适当的配置和修改。
RMON2功能的实现使该系列交换机在管理功能上迈出了大大的一步,从而极大地提高了网络
的可管理性和安全可靠性能。这一特点也是广大用户选择产品时必定要重点考虑的。
再次,TCL-3S 8000A高速智能交换机所配备的交换模块提供高密度的自适应以太网端口
(10/100Mbps),使系统具有良好的可升级性,让用户可以节约不必要的升级开销。以太
网端口采用存储转发方式,提供线速输出,具有256K缓存(快速以太网端口是1MB)和容
纳4个地址的数据库,支持链路集成、VLAN划分和端口对设置。每个端口可最多归属16个
VLANs,默认时所有端口属于同一VLAN。端口对有两种配置方式:
1. 冗余方式
当主端口失去链路时,辅端口会变为有效,接替主端口的工作。
2. 自主方式
主端口失效时由辅端口接替,当主端口链路正常时,重新由主端口负责链路。
以太网端口可设置四种传送模式:标准模式、限制模式、镜像模式和上行链路模式。此外,
100BT和100FX端口还有三种附加的传送模式:上行链路标示模式、VLAN上行链路模式和VLAN
上行链路标示模式。任何一个以太网端口都可设置成上行链路。
另外,TCL-3S 8000A高速智能交换机的灵活性还在于它能够同时配置Ethernet,FDDI和Token
Ring背板。这种模块式设计使它可以接受以下模块类型:
* 以太网(Ethernet)
* 交换以太网(Switched Ethernet)
* FDDI或ATM
* 令牌环(Token Ring)
* 网络管理(Network Management)
* 路由器(Router),网桥(Bridges)
* 终端服务器(Terminal Servers)
并且各种功能模块可以在机箱中混插。
最后,TCL-3S 8000A还在硬件设计中采用先进的容错设计,比如双数据总线、数据传送的
对偶端口设置方式等,使系统可靠性大大提高。
Ⅲ.Ⅱ 软件方面,TCL-3S 8000A高速智能交换机最具竞争性的还是它的管理模块所配备的
的智能网管平台和安全管理软件:
★ 综合安全侦测系统(TSDS)
该软件能接收来自主机、服务器、防火墙、侵入检测系统、基础设施路由器及范围广泛
的应用系统的大量数据,从中分析和检测侵入或攻击性信息。它包括四部分:
1. TSDS管理员
它利用一个强大的模仿引擎,能自动学习和记忆网络用户的一系列行为模式,比如登
录/注销时间、运行的应用软件、使用的服务器、访问的目录和文件以及管理权限的使用
等等。当用户改变他们的使用习惯时,系统便会察觉到并发送警告给安全管理员。TSDS管
理员安装在标准的正在使用的Windows NT系统内,完成主要的数据分析,警告处理和帐目
管理功能。
2. TSDS代理
TSDS代理安装在主机或代理登录器上,完成对操作系统、应用软件、路由器代理、侵
入检测系统和防火墙APIs等资源的数据收集,并将这些数据送给TSDS管理员控制台。
3. TSDS数据库服务器
负责对网络中所有数据的存储。由于TSDS采用客户/服务器结构,故可兼容任何ODBC
数据库。
4. TSDS管理员控制台
简单的点击操作界面,让网络安全人员可以方便地对数据库中的数据进行分类和过滤,
适合非技术性管理和安全管理。
TSDS的使用节省了时间和费用,简化了多用户环境的管理和安全事件的评估。
★ 安全通信软件包
它是一种灵活的基于机箱的系统,是一个集路由、防火墙、VPN、侵入检测、主机
服务器和LAN端口为一体的容错平台。经过适当的配置,可以用来满足你的局域网的任何
可管理功能要求。安全通信软件包与各种类型TCL-3S 8000A智能交换模块的搭配可以满足
不同客户的需求,能提供RMON的超强控制,无单点错误。该系统包括两类软件:
■ 安全管理员
该软件主要有以下监控功能:
▼ 监视网络基础设施中的物理或逻辑变动
▼ 主动监视异常的TCP/IP端口活动和工作站错误配置
▼ 监视外来会话
▼ 监视modem后门
▼ 监视内部会话
▼ 监视可能具有攻击性的瓶颈和过载的段和服务器
安全管理员软件可以滤去一般流量而集中监视有问题的流量,缩减了实施安全检测
所需的时间。
■ 实时安全监视
该软件提供对指定段流量进行超过600种攻击模式的监控功能,并针对所发现的攻
击发出警报,它检测的主要攻击类型如下:
▼ 对特定主机没有操作权限的设备对主机的操作
▼ 以获得根权限或超级权限对服务器或工作站实施的攻击
▼ 对主机定位或操作系统错误配置定位的攻击
▼ 通过E-mail方式获取对不同E-mail平台的存取权限和阻截信息的攻击
▼ 为达到对网络实施攻击而获取远端机器的存取权限的远端攻击
实时安全监视软件还可以选择性地对特定网络或段实施监视。
★ 安全网管平台
这是一个独特的网络管理工具,它可以兼容任何支持SNMP MIBII、RMON、RMON2 和
第三方管理信息库(MIB)的网管接口。在分析、过滤和检查网络管理数据时提供预动作
功能,能够有效防止侵入和攻击。它主要负责以下功能:
▼ 防火墙内外的安全泄漏检测
▼ 定位防火墙周围的modem后门
▼ 记录和监视互连网的所有对话
▼ 鉴别系统黑客
▼ 跟踪外来地址
▼ 记录和监视内部异常流量
▼ 定位网络/服务器的不足
▼ 显示由于瓶颈和服务器速度慢造成的资金耗费
▼ 跟踪使用水平并为用户返回网络花销
▼ 管理不符合服务水平协议的用户
▼ 自动产生系统清单
▼ 提供所有用户设备软件的版本号,系列号和位置
★ 交换管理
交换管理软件提供管理和控制交换模块配置的主要机制。它具有基于OSF/Motif的友好
的图形式操作界面,只需简单的点击便可管理和控制网络中的智能交换模块和其它网络单
元。交换管理让你不用再考虑网络单元的物理位置。该软件主要有以下特点:
▼ 简化并集中了你对交换模块的控制
▼ 可以对模块进行各种配置
▼ 设置用户的有效和无效
▼ 实时监控所有以太网交换端口的状态和链路状态
▼ 对机箱内所有代理的统观
▼ 其扩展的结构使网络管理工具的安装变得容易
▼ 支持多种设备
▼ 通过图形界面描述所有设备
★ 安全监视
安全监视软件不仅仅是一个多客户远程监控系统,它监视段、环、交换模块,及时地
将问题隔离到特定的地址和端口,让你可以有效地评估网络的安全性能。其主要特点和功
能如下:
▼ 缩小桌面以隔离发生的问题
▼ 运用特殊技术快速有效地把问题隔离到特定的地址和端口
▼ 获取出错的详细资料
▼ 按MAC地址或端口查看VLAN中流量
▼ 给用户发送警告
▼ 简单友好的界面
▼ 提供高水准的流量检查
▼ 提供一个完整交换单元的高水准网络统计数据
▼ 可工作在多种设备环境中
★ 域管理
该网管软件通过对网络中所有可管理设备的检测和逻辑分组,实现对网络维护工作的简
化。主要有以下特点和功能:
▼ 通过友好的图形界面描述网络设备
▼ 把多代理/接口设备视为单个设备的扩展
▼ 支持客户域的建立,且操作简单
▼ 进一步完善网管功能
▼ 允许建立逻辑分组
▼ 能便捷地对网络进行配置和操作
▼ 扩展的设计提供了运行其它任何网管工具和第三方应用软件的功能
▼ 简化了错误的消除
▼ 通过友好的图形界面显示由IP子网组织的域内所有设备
▼ 查看时可以过滤特定网络以外的设备
▼ 提供各设备的实时状态
简单来说,TCL-3S 8000A高速智能交换机的网管工具从根本上改变了对网络管理数据的收
集、搜寻、显示和存储的方式,让你可以随心所欲地选择如何对ISO规定的五大管理功能要
求的关键数据进行归类、总结和显示。
Ⅳ. 以太网交换机发展趋势
以计算机通信和信息技术支撑的通信网络正在成为联接信息社会的纽带,从国际金融、商
业贸易、旅游观光、政治交流到文化娱乐活动都愈来愈多地在网络上进行。由于计算机系
统本身就存在种种安全性问题,互联后的计算机网络系统的安全问题就更为复杂和不可预
知,也使不法分子更加有机可乘。
目前有不少通信公司都在发展以太网交换机,随着网络的大规模使用,越来越多的专家和
研发人员都意识到提高网络的可管理性和安全性是未来网络发展迫在眉睫的重要课题,所
以未来的交换机设备的更新必将是在管理和安全上下工夫。用户所需要的不再仅仅是数据
和多媒体交换业务,还要求有良好的防侵入功能,以保证信息保密和通信安全。
正是考虑到这些因素,TCL-3S 8000A高速智能交换机在设计上作好充分的准备,在具有前
面所述硬件和软件优势的基础上,还能够随意划分VLAN以方便网络管理,并支持第三层
(Layer3)交换功能,再配以先进的RMON2功能和高度的安全性能,可以说,该系列高速
智能交换机在网络安全方面迈出领先的一步,它代表着新世纪交换机的发展方向,是当代
交换机中不可多得的佼佼者。
参考文献及资料
1. Liam B.Quinn,Richard G.Russell著, 邝 坚,龚向阳,刘晓梅译,《快速以太网》,
人民邮电出版社,1999年
2. 舒华英,赖平漳等编著,《IP电话技术及其应用》,人民邮电出版社,1999年
3. ANSI/IEEE.Std 802.1D,ISO 10038:1993.Information Technology-
Telecommunications
and Information Exchange between Systems-Local Area Networks-Media Access
Control(MAC)Bridges.
4. ANSI/IEEE.Std 802.2-1989,ISO 802-2:1989.Information Processing Systems-Local
Area Networks.Part 2:Logical Link Control.
5. RFC 1757. “Remote Network Monitoring Management Information Base.”S.Waldb
usser,February 1995.
6. ITU-T(1991).Recommendation I.321.‘B-ISDN Protocol Reference Model and its
Application’.Geneva
作者简述:
刘兴龙:武汉交通科技大学毕业,现为TCL通信技术有限公司副总经理
周 江:电子科技大学毕业,现为TCL通信技术有限公司工程师
侯春海:香港科技大学博士后,现为TCL通信技术有限公司3S项目经理
|