談智能交換機產品及其選購要點
2023-07-18 15:42:56 admin 685
智能交換機和傳統的交換機的區別在于,智能交換機支持
專門的具有應用功能的“刀片”服務器,它們包括協議會話、遠
程鏡像、磁帶仿真以及內網文件和數據共享。從具有對每個端口
的額外處理能力以及刀片服務器間巨大帶寬高度集成的體系結
構,到相對簡單的每個服務器都配備專用的處理器,內存和用于
各個端口之間通信的輸入輸出功能的體系結構,智能交換有很多
不同的體系結構。
不同的商家使用不同的名字,例如“智能交換”、“應用交
換”、“組織交換”等等,用于在競爭中使自己鶴立雞群。以思
科公司的MDS9000系列為例,有例如支持Veritas卷管理器和IBM S
AN卷控制器(SVC)等應用的刀片。這些刀片可以和其他刀片共存,這些服務器包括光纖通道端口和IP服務
器。
智能交換機的五個基本采購原則:
原則一:對網絡及設備的監控和管理
可管理是智能交換的基礎,通常意義上的網絡管理系統包括性能、配置、故障、計費和安全等5個功能域,
這是最基本、也是最常用到的功能。隨著用戶網絡規模的擴大、網絡應用的增多,對網絡運行狀況的實時
監控和維護就變得非常必要,需要網管系統與智能交換設備相互密切配合。
目前常見的網管系統有兩類,一類是通用的網管平臺,如HP OpenView,可以提供一個第三方的網管平臺,
支持對所有SNMP設備的發現和簡單監控。但由于各廠商設備都具有大量自行開發的私有MIB (Management I
nformation Base)庫,通用網管平臺無法對其進行識別和管理。因此,如果要實現對各種設備進行詳盡監
控、管理和配置時,必須進行二次開發。近年來,各廠商設備更新很快,而與第三方通用網管平臺的配合
則非常有限,使得通用網管平臺難以細致地對多廠商的設備進行管理。
另一類是由網絡設備廠商自行開發的網管平臺,如Cisco WORKS、神州數碼LinkManager等,可以對本廠商
的設備進行深入細致的監控、配置和管理,實用性較強且價格也較便宜。但問題是,無法用這類網管系統
實現對全網設備的統一管理,因此用戶往往采用多臺網管工作站分別安裝不同的系統,進行分別管理。
隨著用戶對不同設備進行統一網管的需求日益迫切,各廠商也在考慮采用更加開放的方式實現設備對網管
的支持,例如開放私有MIB庫,乃至完全依照RFC來編寫MIB庫,以實現不同廠商間設備與網管系統的互操作
性。
目前,在大中型企業網中,應用網管系統的比例較以前已大幅度提高。因此,用戶在選擇時不能滿足于拓
撲發現、流量監控、狀態監控等通用的網管功能,還要對于設備遠程配置、用戶管理、訪問控制乃至QoS監
控等提出更高的要求。
另外,為節省IP地址,簡化管理層次,不同的廠商采用堆疊或集群網管等技術,將多臺設備作為一臺邏輯
上的設備進行統一管理。用戶也可以關注這類產品。
原則二:對不同應用類型數據的分類和處理
智能交換的另外一個重要體現是,對網絡中不同類型的數據自動進行分類,并提供不同的傳輸策略,確保
關鍵應用的順暢運行,也就是通常所說的服務質量(QoS)。
目前常見的QoS技術有IntServ(RSVP)和DiffServ兩種方式。
前者采用資源預留的方式,即針對每種不同的應用,都在網絡上預留“端到端”的專用通道,確保關鍵應
用獨享固定的帶寬資源。資源預留的方式屬于虛擬專線的解決方案,能夠確保關鍵應用的傳輸質量,卻無
法實現帶寬的共享,易造成線路資源的浪費;另外,資源預留只適合于較為簡單的網絡拓撲,如路由器間點
對點的專線連接,對于復雜而龐大的企業網而言,很難實施,更不要說城域網了。
因此,用戶最好采用DiffServ的交換機,以實現“端到端”的QoS。需要指出的是,為實現DiffServ QoS,
要求用戶的網絡上所有相關的交換機都支持802.1p優先級功能。
原則三:對多媒體傳輸的支持
交換機對專用于多媒體傳輸的功能和協議的支持越來越多,其中最為典型的是組播技術。
組管理協議IGMP已經成為智能交換機必備的基本功能。而對于三層交換機,除了RIP、OSPF等單播路由協議
外,也開始支持DVMRP、PIM SM/DM等組播路由協議。
在進行組播應用時(如視頻會議等),各交換機均可通過IGMP協議在整個網絡范圍內傳遞分組信息,使各交
換機確定每組的成員,而組播路由協議則可對組播數據包進行路由,使得組播包在網絡上順暢傳輸。其
中,DVMRP相當于單播時的RIP協議,適合于小規模的網絡應用;而PIM則是與協議無關的組播路由協議,分
為密集模式(DM)和稀疏模式(SM)兩種。密集模式主要適用于網絡帶寬較大、用戶分布較集中的場合,如公
司的局域網; 而稀疏模式主要適用于網絡帶寬較小、用戶分布較稀疏的場合,如廣域網或Internet。
有的交換機還配置了語音網關模塊,使得以太網交換機直接具備VoIP功能,但這樣的應用還需要在客戶端
分別布網線和電話線;若采用客戶端的VoIP網關,則可通過一條網線實現語音、數據的傳輸。這兩種方案孰
優孰劣,還要根據實際情況來判斷。
原則四:用戶分類和訪問控制
用戶分類、權限設置和訪問控制,也是智能網絡的重要功能。由于企業管理的細化,對于不同的網絡資
源,要針對不同用戶設置不同的訪問權限。
訪問權限的設置有工作組級和用戶級兩種方式。
基于VLAN和三層交換的訪問控制就屬于工作組級的訪問控制。VLAN除了具備隔離廣播、提高網絡性能的作
用之外,其重要的作用就在于將不同的工作組隔離開來,便于實現可控的相互訪問。三層交換機可以實現
跨VLAN的訪問,而通過訪問控制列表ACL,則可設置不同VLAN間乃至不同IP地址的設備對于不同網絡服務的
訪問權限。
對于智能小區寬帶接入應用,將每個用戶都劃分在單獨的VLAN中,也能夠實現用戶級的認證和訪問控制,
但這種方式只適用于固定接入的用戶,且無法實現計費。
目前在寬帶接入網和企業網中,以往用于電信運營網絡中的AAA技術(授權、認證、計費),如傳統的RADIU
S、PPPoE,以及新興的802.1x等用戶認證功能等,開始被集成到智能交換機中,與認證服務器配合,從而
實現基于用戶的認證和訪問控制。
對于企業網來說,通常要實現在用戶訪問不同的網絡服務資源時,進行認證、訪問控制及服務認證,而不
是針對用戶接入端口進行接入認證。因此,常用的方式是以訪問控制列表或RADIUS認證服務器,對相關應
用服務資源設置不同的訪問權限,并針對用戶實現認證和授權。
對于寬帶接入網來說,則需要通過用戶認證實現對端口聯通狀態的控制,通常要采用“PPPoE+RADIUS”或
“802.1x+RADIUS”的方式來實現接入認證。
PPPoE是一種較為成熟的認證方式,通過PPP協議封裝以太網幀,在無連接的以太網上提供了點對點的連
接。PPPoE類似傳統的撥號接入方式,用戶端采用一個撥號軟件,發起PPP連接請求,穿過以太網交換機或
者DSL設備,終結在集中控制管理層的接入網關設備上。接入網關設備負責終結PPP 連接,并與 RADIUS配
合實現用戶管理和策略控制。
802.1x起源于802.11協議的EAPOL,是最近出現的一種以太網認證技術。 802.1x是IEEE為了解決基于端口
的接入控制而定義的一個標準。
802.1x認證方式主要通過認證前后打開/關閉用戶接入端口來實現對用戶接入的控制。基于端口的網絡接入
控制是在 LAN 設備的物理接入級對接入設備進行認證和控制。連接在物理端口上的用戶設備如果能通過認
證,就可以訪問 LAN 內的資源;如果不能通過認證,則無法訪問 LAN 內的資源,相當于物理上斷開連接。
認證通過時,從遠端認證服務器可以傳遞來自用戶的信息,如VLAN、CAR參數、優先級、用戶的訪問控制列
表等; 認證通過后,用戶的流量就將接受上述參數的監管。
802.1x要求接入交換機支持EAPOL協議,至少支持該報文的透傳,但現有通常的網絡設備多數不支持。雖然
越來越多的廠商開始提供支持802.1x的智能交換機產品,但由于該協議標準尚未成熟,各廠商實現的方式
不盡相同,它的發展受到了一定程度的制約。
原則五:防止網絡攻擊
為確保核心交換機不受類似拒絕服務(DoS)攻擊而導致全網癱瘓,有的廠商在核心路由交換機中采用了防火
墻和IDS系統中的防攻擊技術,以確保核心交換機更加穩固和強壯。此舉尤其可以抵御來自網絡內部的攻
擊,提高系統的安全性。但是目前,該技術在邊緣交換機中仍較少采用。
智能交換機代表產品:
3Com SuperStack 3 Switch 4400簡單易用
3Com公司的SuperStack 3 Switch 4400智能交換機簡單易用、功能豐富。該產品具備更高的端口密度,并
且具有在數據穿越網絡進行傳輸時為重要業務應用分配較高優先服務級別的能力。除此之外,該產品的性
能價格比是最高的。具備兩倍于原有解決方案的端口密度,為客戶降低了產品的總成本。通過SuperStack
3 Switch 4400交換機與其他各類千兆以太網交換產品之間的結合,3Com公司為用戶提供了整套先進的企業
級局域網絡解決方案。
Cisco Catalyst 3550功能豐富
Cisco Catalyst 3550智能以太網交換機是一個可堆疊的多層交換機產品,可通過高可用性、服務質量(Qo
S)和安全性來改進網絡運行狀況。憑借一系列快速以太網和千兆以太網配置,Cisco Catalyst 3550適用于
企業和城域接入應用,使用戶能利用傳統LAN交換的簡潔性來部署網絡智能服務。憑借內置Cisco集群管理
套件簡化了接入層和小型骨干網的部署,用全套千兆接口轉換器(GBIC)設備提供了強大的千兆以太網連
接。
D-Link DES-6300高速交換和路由
D-Link公司的DES-6300是一款適用于高速交換和路由的三層交換機。該產品采用了機箱式設計,集和了線
速數據包路由、包交換、多端口聚合以及提供多級數據服務質量(QoS)等功能于一身,特別適合于高速率、
高端口密度,以及多端口類型的部門級、主干級、企業級大型主干網絡。該產品端口豐富,滿足了業務擴
展需求。同時,完全模塊化的設計使產品支持以太網/快速以太網、銅纜雙絞線/光纖等豐富的端口選擇,
并提供了7個擴展插槽,可以將傳統的以太網平滑移植到快速以太網或千兆以太網。此外,模塊熱插拔的特
性使得網絡在運行時可以同時安裝、卸載端口模塊,而不影響交換機的性能。
專門的具有應用功能的“刀片”服務器,它們包括協議會話、遠
程鏡像、磁帶仿真以及內網文件和數據共享。從具有對每個端口
的額外處理能力以及刀片服務器間巨大帶寬高度集成的體系結
構,到相對簡單的每個服務器都配備專用的處理器,內存和用于
各個端口之間通信的輸入輸出功能的體系結構,智能交換有很多
不同的體系結構。
不同的商家使用不同的名字,例如“智能交換”、“應用交
換”、“組織交換”等等,用于在競爭中使自己鶴立雞群。以思
科公司的MDS9000系列為例,有例如支持Veritas卷管理器和IBM S
AN卷控制器(SVC)等應用的刀片。這些刀片可以和其他刀片共存,這些服務器包括光纖通道端口和IP服務
器。
智能交換機的五個基本采購原則:
原則一:對網絡及設備的監控和管理
可管理是智能交換的基礎,通常意義上的網絡管理系統包括性能、配置、故障、計費和安全等5個功能域,
這是最基本、也是最常用到的功能。隨著用戶網絡規模的擴大、網絡應用的增多,對網絡運行狀況的實時
監控和維護就變得非常必要,需要網管系統與智能交換設備相互密切配合。
目前常見的網管系統有兩類,一類是通用的網管平臺,如HP OpenView,可以提供一個第三方的網管平臺,
支持對所有SNMP設備的發現和簡單監控。但由于各廠商設備都具有大量自行開發的私有MIB (Management I
nformation Base)庫,通用網管平臺無法對其進行識別和管理。因此,如果要實現對各種設備進行詳盡監
控、管理和配置時,必須進行二次開發。近年來,各廠商設備更新很快,而與第三方通用網管平臺的配合
則非常有限,使得通用網管平臺難以細致地對多廠商的設備進行管理。
另一類是由網絡設備廠商自行開發的網管平臺,如Cisco WORKS、神州數碼LinkManager等,可以對本廠商
的設備進行深入細致的監控、配置和管理,實用性較強且價格也較便宜。但問題是,無法用這類網管系統
實現對全網設備的統一管理,因此用戶往往采用多臺網管工作站分別安裝不同的系統,進行分別管理。
隨著用戶對不同設備進行統一網管的需求日益迫切,各廠商也在考慮采用更加開放的方式實現設備對網管
的支持,例如開放私有MIB庫,乃至完全依照RFC來編寫MIB庫,以實現不同廠商間設備與網管系統的互操作
性。
目前,在大中型企業網中,應用網管系統的比例較以前已大幅度提高。因此,用戶在選擇時不能滿足于拓
撲發現、流量監控、狀態監控等通用的網管功能,還要對于設備遠程配置、用戶管理、訪問控制乃至QoS監
控等提出更高的要求。
另外,為節省IP地址,簡化管理層次,不同的廠商采用堆疊或集群網管等技術,將多臺設備作為一臺邏輯
上的設備進行統一管理。用戶也可以關注這類產品。
原則二:對不同應用類型數據的分類和處理
智能交換的另外一個重要體現是,對網絡中不同類型的數據自動進行分類,并提供不同的傳輸策略,確保
關鍵應用的順暢運行,也就是通常所說的服務質量(QoS)。
前者采用資源預留的方式,即針對每種不同的應用,都在網絡上預留“端到端”的專用通道,確保關鍵應
用獨享固定的帶寬資源。資源預留的方式屬于虛擬專線的解決方案,能夠確保關鍵應用的傳輸質量,卻無
法實現帶寬的共享,易造成線路資源的浪費;另外,資源預留只適合于較為簡單的網絡拓撲,如路由器間點
對點的專線連接,對于復雜而龐大的企業網而言,很難實施,更不要說城域網了。
因此,用戶最好采用DiffServ的交換機,以實現“端到端”的QoS。需要指出的是,為實現DiffServ QoS,
要求用戶的網絡上所有相關的交換機都支持802.1p優先級功能。
原則三:對多媒體傳輸的支持
交換機對專用于多媒體傳輸的功能和協議的支持越來越多,其中最為典型的是組播技術。
組管理協議IGMP已經成為智能交換機必備的基本功能。而對于三層交換機,除了RIP、OSPF等單播路由協議
外,也開始支持DVMRP、PIM SM/DM等組播路由協議。
在進行組播應用時(如視頻會議等),各交換機均可通過IGMP協議在整個網絡范圍內傳遞分組信息,使各交
換機確定每組的成員,而組播路由協議則可對組播數據包進行路由,使得組播包在網絡上順暢傳輸。其
中,DVMRP相當于單播時的RIP協議,適合于小規模的網絡應用;而PIM則是與協議無關的組播路由協議,分
為密集模式(DM)和稀疏模式(SM)兩種。密集模式主要適用于網絡帶寬較大、用戶分布較集中的場合,如公
司的局域網; 而稀疏模式主要適用于網絡帶寬較小、用戶分布較稀疏的場合,如廣域網或Internet。
有的交換機還配置了語音網關模塊,使得以太網交換機直接具備VoIP功能,但這樣的應用還需要在客戶端
分別布網線和電話線;若采用客戶端的VoIP網關,則可通過一條網線實現語音、數據的傳輸。這兩種方案孰
優孰劣,還要根據實際情況來判斷。
原則四:用戶分類和訪問控制
用戶分類、權限設置和訪問控制,也是智能網絡的重要功能。由于企業管理的細化,對于不同的網絡資
源,要針對不同用戶設置不同的訪問權限。
訪問權限的設置有工作組級和用戶級兩種方式。
基于VLAN和三層交換的訪問控制就屬于工作組級的訪問控制。VLAN除了具備隔離廣播、提高網絡性能的作
用之外,其重要的作用就在于將不同的工作組隔離開來,便于實現可控的相互訪問。三層交換機可以實現
跨VLAN的訪問,而通過訪問控制列表ACL,則可設置不同VLAN間乃至不同IP地址的設備對于不同網絡服務的
訪問權限。
對于智能小區寬帶接入應用,將每個用戶都劃分在單獨的VLAN中,也能夠實現用戶級的認證和訪問控制,
但這種方式只適用于固定接入的用戶,且無法實現計費。
目前在寬帶接入網和企業網中,以往用于電信運營網絡中的AAA技術(授權、認證、計費),如傳統的RADIU
S、PPPoE,以及新興的802.1x等用戶認證功能等,開始被集成到智能交換機中,與認證服務器配合,從而
實現基于用戶的認證和訪問控制。
對于企業網來說,通常要實現在用戶訪問不同的網絡服務資源時,進行認證、訪問控制及服務認證,而不
是針對用戶接入端口進行接入認證。因此,常用的方式是以訪問控制列表或RADIUS認證服務器,對相關應
用服務資源設置不同的訪問權限,并針對用戶實現認證和授權。
對于寬帶接入網來說,則需要通過用戶認證實現對端口聯通狀態的控制,通常要采用“PPPoE+RADIUS”或
“802.1x+RADIUS”的方式來實現接入認證。
PPPoE是一種較為成熟的認證方式,通過PPP協議封裝以太網幀,在無連接的以太網上提供了點對點的連
接。PPPoE類似傳統的撥號接入方式,用戶端采用一個撥號軟件,發起PPP連接請求,穿過以太網交換機或
者DSL設備,終結在集中控制管理層的接入網關設備上。接入網關設備負責終結PPP 連接,并與 RADIUS配
合實現用戶管理和策略控制。
802.1x起源于802.11協議的EAPOL,是最近出現的一種以太網認證技術。 802.1x是IEEE為了解決基于端口
的接入控制而定義的一個標準。
802.1x認證方式主要通過認證前后打開/關閉用戶接入端口來實現對用戶接入的控制。基于端口的網絡接入
控制是在 LAN 設備的物理接入級對接入設備進行認證和控制。連接在物理端口上的用戶設備如果能通過認
證,就可以訪問 LAN 內的資源;如果不能通過認證,則無法訪問 LAN 內的資源,相當于物理上斷開連接。
認證通過時,從遠端認證服務器可以傳遞來自用戶的信息,如VLAN、CAR參數、優先級、用戶的訪問控制列
表等; 認證通過后,用戶的流量就將接受上述參數的監管。
越來越多的廠商開始提供支持802.1x的智能交換機產品,但由于該協議標準尚未成熟,各廠商實現的方式
不盡相同,它的發展受到了一定程度的制約。
原則五:防止網絡攻擊
為確保核心交換機不受類似拒絕服務(DoS)攻擊而導致全網癱瘓,有的廠商在核心路由交換機中采用了防火
墻和IDS系統中的防攻擊技術,以確保核心交換機更加穩固和強壯。此舉尤其可以抵御來自網絡內部的攻
擊,提高系統的安全性。但是目前,該技術在邊緣交換機中仍較少采用。
智能交換機代表產品:
3Com SuperStack 3 Switch 4400簡單易用
3Com公司的SuperStack 3 Switch 4400智能交換機簡單易用、功能豐富。該產品具備更高的端口密度,并
且具有在數據穿越網絡進行傳輸時為重要業務應用分配較高優先服務級別的能力。除此之外,該產品的性
能價格比是最高的。具備兩倍于原有解決方案的端口密度,為客戶降低了產品的總成本。通過SuperStack
3 Switch 4400交換機與其他各類千兆以太網交換產品之間的結合,3Com公司為用戶提供了整套先進的企業
級局域網絡解決方案。
Cisco Catalyst 3550功能豐富
Cisco Catalyst 3550智能以太網交換機是一個可堆疊的多層交換機產品,可通過高可用性、服務質量(Qo
S)和安全性來改進網絡運行狀況。憑借一系列快速以太網和千兆以太網配置,Cisco Catalyst 3550適用于
企業和城域接入應用,使用戶能利用傳統LAN交換的簡潔性來部署網絡智能服務。憑借內置Cisco集群管理
套件簡化了接入層和小型骨干網的部署,用全套千兆接口轉換器(GBIC)設備提供了強大的千兆以太網連
接。
D-Link DES-6300高速交換和路由
D-Link公司的DES-6300是一款適用于高速交換和路由的三層交換機。該產品采用了機箱式設計,集和了線
速數據包路由、包交換、多端口聚合以及提供多級數據服務質量(QoS)等功能于一身,特別適合于高速率、
高端口密度,以及多端口類型的部門級、主干級、企業級大型主干網絡。該產品端口豐富,滿足了業務擴
展需求。同時,完全模塊化的設計使產品支持以太網/快速以太網、銅纜雙絞線/光纖等豐富的端口選擇,
并提供了7個擴展插槽,可以將傳統的以太網平滑移植到快速以太網或千兆以太網。此外,模塊熱插拔的特
性使得網絡在運行時可以同時安裝、卸載端口模塊,而不影響交換機的性能。
底部圖文
聯系我們
- 13714001599
- sales@lancom.net.cn
- 深圳福田彩田南路彩虹大廈1棟16G