友讯网络(D-Link)产品管理部副总经理 留哲夫
企业业务的网络化、企业业务应用的多样化和网络管理的简单化,都需要网络的高度智能化。在当前,网络的整体智能不仅体现在网络管理和网络核心,更是推到贴近用户的应用层面和边缘层,从而形成一个端到端的智能网络。
智能网络端到端
网络应用水平的提高,使用户在关注网络性能的同时,开始更多地留意网络的智能化。目前的网络技术已经很好地解决了网络整体的互联、功能和总体性能问题,而针对不同用户和应用级别的业务、性能和安全性的统一协调实现要复杂得多,必须借助智能化手段进行统一控制,以达到实际应用的需求。
目前大多数企业正以更高的创收、经济高效性、网络可靠性以及易用性等为着眼点,开发融合话音、视频和数据业务的网络解决方案。向融合方案成功过渡的关键在于端到端的QoS保障,即为关键任务应用、用户和设备提供一致、可靠和可预测的性能。但是智能网络不仅仅是支持QoS保证,而且要求网络设备具备识别用户、应用的能力,从而更加高效地利用带宽,优化现有的网络资源和功能。大多数厂商的高端网络设备基本上都具备二层、三层、四层甚至七层的数据分类识别能力,因此桌面交换是否具备多层智能的识别能力成为企业网络智能化的关键。
网络智能化的涵义
就智能化定义而言,各设备厂家说法不一。目前对于网络智能化的探讨,主要集中在网络边缘层的智能化,因为大多数网络核心骨干基本上都已实现了“智能化”。在越来越注重网络应用的今天,对于网络智能化的看重,是网络发展的必然方向。
网络智能化的实现,是通过智能的手段对业务、性能、安全等进行统一的优化、协调、配置和管理。网络智能化可以具体表现在以下几个方面。对网络总体性能的要求提高,表现在端口密度大幅提高,对核心设备的性能提出了更高要求,用户接入速率由共享10Mbps发展到100Mbps到桌面;应用趋于复杂化和多样化,多媒体数据量增加,要求网络能应付突发的数据流,具备QoS策略机制,保障关键业务或关键部门不发生拥塞;用户策略和管理复杂性提高;统一的智能网管平台实施远距离集中管理,确保网络管理简单、易维护,需要尽可能少的专业人员,降低TCO;实时监控网络状态,确保网络运行稳定,快速故障恢复;由单一平面交换网络发展为层次化路由交换网络;网络可以随着企业的发展而发展,无论是整体规模的扩大,还是分支机构的设立,网络都可以轻松扩展;跟随网络应用的发展趋势,建好的网络不过时,可以扩展语音、无线、视频等最新的应用;网络对来自于外部和内部的各种不安全因素都有防范措施,确保网络安全运行。
下面,我们就网络智能化的几个重要特性做进一步探讨。
QoS担纲智能服务
QoS是一组网络服务的要求集合,网络必须达到这些要求,才能确保业务传输达到适当的服务质量。采用QoS可以让实时程序有效的利用网络带宽,由于QoS能保证网络拥有足够的资源,因此所提供的服务质量可媲美传统TCP与RTP/UDP流量所共享的网络。由于QoS提供的调控机制在网络结构中承担如此重要的责任,因此网络设备在QoS支持性上愈加显得重要。
QoS对于融合网络和关键应用是非常重要的,目前蓬勃发展的宽带应用对QoS提出了更为深入的需求。QoS并不是一个新的技术标准,目前以太网交换世界里的QoS体系,很多是借鉴了ATM网络中基于QoS的思想。由早期简单的排队、802.1p优先级发展到今天包含必要的流控、监管策略,已逐渐发展成为一个完整的体系。为此,实现完整的QoS体系,需要整合硬件技术和软件技术,还要加上ASIC赋予的强大功能。
为解决QoS问题,常见的做法是对关键的信息产生的分组增加优先级信息标签,两种主要优先级标准,一种是IEEE 801.p,另一种是IETF IP ToS/DiffServ。这些标准工作在OSI模型的不同层次对分组提供优先级,802.1p是第二层的优先级方案,适合于以太网局域网业务;IP ToS/DiffServ工作在第三层,适合于跨越广域网的IP业务。
第三层IP QoS结构可分为IntServ和DiffServ。IntServ 一般应用在企业网络的边沿,它在发送端和接收端之间用RSVP作为每个数据流的信令。通过RSVP所提供的网络能支持单点广播和多点传送路由协议,但在实施端到端QoS服务时比较困难,而且价格不菲。DiffServ比IntServ更具可扩展性,它可用于企业广域网中,并在运营商网络中发挥重要的作用,因为它可以根据应用或业务类型排列出不同的优先级别。有了QoS保障,各种智能服务得以顺畅地运行,QoS是网络智能的一个重要体现。
数据流控制
在IP数据网络上承载语音、数据和视频的融合通信成为一种趋势。智能网络需要具备对不同应用类型数据的分类和处理能力。除了通过QoS确保语音、视频、数据的传输优先级外,交换机对专用于多媒体传输的功能和协议的支持也越来越多,最为典型的是组播技术。组管理协议IGMP已经成为智能交换机必备的基本功能,而对于3层交换机,除了RIP、OSPF等单播路由协议外,也开始支持DVMRP、PIM等组播路由协议。这一切都源于用户对于多媒体应用趋势的看好。
对于交换机而言,一般可对复杂的数据流制定不同的约束与动作:基于MAC地址的过滤; 基于源或目的IP地址或地址段的过滤;基于各种协议报文和四层端口号的过滤;对于广播带宽的限制;流量的控制;包过滤及复位标记。
安全管理
安全管理是智能交换的基础。随着用户网络规模的扩大、网络应用的增多,以及对网络依赖程度的提高,对网络性能和可靠性的要求越来越高,因此对网络运行状况的实时监控和维护就变得非常必要。安全的网络管理,即通过特定技术对网络管理信息进行加密、控制。网络管理信息其实包含有最丰富、最完整的整体网络信息,如果网管信息在传输途中被有意无意窃听、破坏、篡改,那会对整体网络乃至企业运营带来不可预计的损失。通过适当的技术对网络全程的网管信息进行改进、加密,就可建立起非常牢固的安全网络系统。
访问控制和用户认证
人们对网络安全越来越重视,在智能化的网络中增加的安全设计也越来越多。大家都知道“家贼难防”,安全问题的最大难点是80%的安全隐患来自企业网络内部。因此,作为“把门”的交换机,其底层安全显得非常关键。由于企业管理系统与网络信息系统的结合日趋紧密,原来多应用于电信运营网络中的AAA技术(授权、认证、计费)开始进入企业网络,并且与交换机的结合日益紧密。
目前,企业网通常在核心层或汇聚层通过三层交换机的访问控制列表功能实现基于IP、TCP端口、MAC等信息的访问控制。随着管理细化到个人,RADIUS、PPPoE等用户认证功能也集成到核心交换机中,与认证服务器配合实现基于用户的认证和访问控制,以实现全方位的安全保护。
身份认证泛指各类型终端接入交换系统时的安全接入机制,主要包括802.1x接入验证、RADIUS认证、MAC地址检验以及各类型VLAN技术,如端口隔离专用虚网、802.1Q、动态虚网等。
另外,为确保核心交换机不受类似拒绝服务(DoS)的攻击而导致全网瘫痪,有的厂商在核心路由交换机中采用了防火墙和IDS系统中的防攻击智能技术,以确保核心交换机更加稳固和强壮,甚至可以抵御来自网络内部的攻击,以提高整体系统的安全性。
端到端的策略驱动
端到端策略驱动的网络,可提供高级别的可靠性、可用性和可预测性,这是因为其整个网络及内部的每个组件都支持高QoS功能及特性。每个网元都能够翻译策略服务器中的所有企业策略,并有策略地管理每个业务流和每个节点中的IP业务,从而使网络管理能够最大限度地实现网络的一致性和可预测性。企业可以在其整个网络中合理部署端到端策略,从而支持新型融合式应用,进而赢得竞争优势。
摘自 通信市场
|