分类: 系统运维
2008-03-20 14:51:38
从长远来看,带宽本身总是不够用的。因此,网络基础设施背后的智能“设备”,即交换机和路由器必须承担起以智能 化的方式跟上带宽需求脚步的艰难任务。像视频和数字X-光这样的应用总是要求更大、更智能化的“传输管道”,而VoIP应用则要求低延迟或响应时间以及一致的传送速率。上世纪90年代中期,随着传统交换机的没落,人们开始竞相发展速度更快、智能化程度更高的交换机和路由器。硅谷的一群天才们看到了这一市场机会,由此,在一种称为“多层交换路由”新概念的基础上发明了网络硬件及其相关的软件。与当时仅基于软件的路由器相比,这些新的“智能”交换机/路由器能够提供更快的速度和更短的延迟,同时能够将多种网络设备的功能结合在一起。
原来,当需要增加网络带宽时,网络管理员往往通过对网络进行重新设计来避免路由器发生瓶颈。服务器经常不通过路由器,重新安装在离用户更近的地方。在大型企业中,用户通常被划分为通过路由器实现互连的一些较小的网络(子网)。这种划分通常是按照地域、运行的应用类型、需要的数据量和安全方面的因素来进行。例如,财务部门经常被全部布置在自己的群组中,这样做的原因在于为了有效地保护公司的财务记录,而不是考虑到所使用的带宽。而VoIP电话也经常被放置在自己的网络之中,其原因在于这样可以绕过传统路由器的瓶颈。
当计算机需要与自己本地网络之外的其他计算机进行通信时,为了将数据包发送到群组外面,它们必须先将数据包发送到离自己最近的路由器。路由器提供公司与互联网之间的连接和安全边界,以及公司内部群组之间的连接(内部网)。
传统的路由器只有在绝对必要时才使用,如通过广域网连接远程办公室、连接到互联网或隔离公司中具有高带宽要求的群组。传统的路由器很贵,现在仍是如此,而且与最初的设计相比并没有重大的进展,使用的组件与一台标准PC的类似,并使用多个接口卡运行专用的软件。
与之相比,多层交换路由器将传统路由器的所有功能集中在一个专用集成电路(ASIC)上。ASIC比传统路由器的CPU便宜,而且通常分布在多个网络端口上。现在,典型的交换机/路由器可能在一台设备中包括50个ASIC,可以支持数以百计的接口。另外,新的ASIC允许智能交换机/路由器在所有的端口上以最快的速度转发数据,而不管网络流量是什么类型,可以说,它们是以实际接口速度(经常称为线速)转发数据。目前,市场上针对企业局域网(LAN)的新型交换机/路由器中可在单一个接口上以每秒钟万兆位的带宽(OC-192)转发数据。
走出旧时代,迈进交换新天地
由于使用一种集中式的架构,所以传统路由器一般缺乏可扩展能力。对于传统路由器,到达路由器的所有数据包必须被送到一个区域进行处理,这样,您拥有的接口数量越多,系统的负载越重,从而造成资源的过度占用。这大大限制了网络所提供的服务,如VoIP.
当一个使用集中式架构的路由器需要处理的流量超出自己的处理能力时,它就会开始丢弃数据包。而当网络应用或计算机收不到响应信息时,它们会发送更多的数据包,试图恢复会话。这样,情况变得更糟,因为很容易导致交叉会话过载。这种情况下,过载的路由器会根据应用、用户的优先级或网络目的/源地址有选择性地丢弃数据包。很明显,我们需要一种新的方法来满足流量增长的要求。
多年以来,传统路由器的处理速度已经出现了很大的增长,但仍不足以跟上强大应用的脚步。例如,它们现在每秒钟可以转发将近100万个数据包。但考虑一个每秒钟能够发送1,488,000个数据包(pps),同时以1,488,000 pps的速度接收数据包的千兆以太网接口, 2千兆以太网端口就能够轻易使系统过载。与此形成对比的是,多层交换机/路由器以线速转发数据包,并且,交换ASIC以分布式的方式存在,允许整个系统高效地输送流量。
这些新交换机/路由器使用一种新的网络设计和管理模式。在实现线速转发的今天,阻塞点可以被有效地消除,用户距数据的距离可以更远,而且不必担心性能的下降。我们前面例子中提到的股票交易商现在可以连接到与自己相距数个楼层或数百英里远的服务器或网络数据,具体距离取决于交换机/路由器所支持的接口类型以及所使用的铜缆或光纤类型。此外,新的IP和优化的以太网路由器更易于管理,管理人员仅需花费很少的时间来使网络与新的应用保持同步。像网捷网络的BigIron机箱式系列产品,它们能够简单地传输所有来自应用的流量,同时,可以添加更多的模块来满足容量和速度增加的要求。
为确定网络流量的类型和容量,当今的ASIC中内置了新的数据包采样技术,以提供对整个系统流量的监控。RFC 3176或sFlow现在已经成为日益普及的方法,为企业和服务供应商提供对网络中所有应用流量的实时监视——说明流量所需的带宽、流量的去向等等。可以说,sFlow允许大型企业更好地监控跨多个部门的网络资源的使用状况;在大学中可以识别网络中非法的无线和有线应用,并在网络性能受到影响之前发现和制止拒绝服务(DoS)攻击。现在,对于那些对安全性非常重视的企业来说,RFC 3176正快速成为必备的要求。
多层交换机/路由器的功能与传统的路由器和交换机毫无差别,它们只是将分散的局域网(LAN)和城域网(WAN)功能集中在一个单一设备中。它们可在同组的用户之间实现本地交换(即第2层交换),于不同组的用户间实现路由(即第3层交换或路由),同时为应用提供安全特性和特殊服务(即第4层交换)。
采用路由器来保护网络
在路由器中使用安全过滤通常非常必要——甚至全世界的政府都建议这样做。路由器之所以成为理想的安全“检查点”,是因为它们是网络的入口和出口。在路由器上创建被称为访问控制列表(ACL)的复杂规则以后,路由器将根据这套规则来检查每一数据包。例如,这些规则可以只允许特殊的授权用户访问公司的数据。
对于传统路由器,根据安全规则检查数据包是一个费时的过程。当路由器找到每一数据包中的第3层和第4层信息以后,它必须将这些信息与规则进行比较。而启用安全过滤功能一直都是一场“恶梦”,它会使路由器的速度变慢。因此,当对性能的影响太大时,就需要使用特殊的设备来分担工作负载。
即使是多层交换路由器,它们在执行这一功能(同时保持线速性能)时也会面临挑战。当启用安全功能时,部分新型交换机/路由器的速度也会慢下来。不过,大多数新型的交换机/路由器已经将这些安全策略集成到硬件上,因而,即使在启用ACL的情况下,也能够提供线速转发性能。
使用多层交换机/路由器进行安全和流量分析正在变得日益流行,主要是因为设备厂商将这种技术内置于多层交换机/路由器中。越来越多的网络设备被整合到同一设备中。您不再需要独立的硬件来监视流量或安全的某些方面,这可以为我们的网络用户带来极大的好处。