扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
文/每周电脑报 周雪
今天,万兆以太网交换机的崛起已是不争的事实,这与五年前千兆交换机取代百兆交换机的局面如出一辙。
令人不得不正视的是,在交换机从千兆到万兆的演进过程中,网络安全威胁也在以与万兆以太网交换机相匹配的速度增长。最新调查数据表明,现在的网络攻击手段已由单一的黑客、病毒攻击演变为以红色代码、冲击波、SQL Slammer为代表的混合式攻击,这些因素都使得万兆交换机的安全性问题备受业界瞩目,来不得半点疏忽,记者通过采访得知,万兆交换机的安全保障目前,主要通过入网认证、安全模块安装、实时网络数据监控分析与加强设备稳定性这四方面来实现。
保障安全从认证开始
神州数码网络公司产品总监杨燕群就万兆技术安全问题接受记者采访时表示,目前各大网络设备厂商纷纷把更多安全特性加入到万兆交换机产品中来,力图使万兆交换机本身成为一道保障网络安全的可靠屏障。加入安全防范功能,可有效降低入侵者从SNMP封包中取得企业信息的可能性。限制广播域和内部网段的组内流量,阻断恶意的大容量数据或者病毒的泛滥,实现对用户身份的认证管理,这些手段都可为用户创建一个安全可靠的网络环境,同时也有助于用户提高带宽利用率。
诺盛咨询资深分析师夏昀与杨燕群的观点不谋而合,他告诉记者,目前远程教学、呼叫中心、视频会议、VoIP语音服务、VOD视频点播等对带宽和时延敏感的应用,都要求万兆交换机在保障带宽的同时,还要提供智能化的QoS策略,并以此来保证关键业务的快速、及时转发。而要具备流量访问控制、速度限制、远程管理等智能管理特性的前提就是对使用者身份进行确认,首先要实现智能识别用户的合法性,才能做到最终的合理分配带宽,这也是以太网交换机帮助用户提升网络运行效率的关键所在。
用安全模块灵活组网
据IT实验室相关负责人介绍,今天的核心交换机交换容量已经达到了几百Gbps的水平,可以满足十几个万兆端口和几百个千兆端口的线速转发,所以性能不再是瓶颈,如何很好地在网络融合的趋势下承载业务则是各个网络设备供应商在产品设计初期就要深入思考的问题。
现阶段国内市场的网络融合已经是大势所趋,这种融合不仅是路由和交换技术的融合,还是广域和局域的融合,甚至还包括安全、IDS等技术和交换机技术的融合,它主要体现在核心交换机上直接可以扩展防火墙模块、IDS模块、2.5G/155M POS、ATM、2M等路由器的接口模块,这种融合给在网络中部署各种策略提供了更好的灵活性。比如单独的防火墙只能部署在网络的边缘,在网络出口位置保护内部网络的安全,但70%以上的安全问题往往来源于内部,它无法对内部网络进行有效控制。
而防火墙作为一个模块插到交换机内部之后,就可以灵活地部署在任意两个VLAN之间,极大地提高了部署的灵活性。通过扩展路由器接口,可以更加节省用户的投资,满足更加灵活的组网需求,也能提升整个网络的安全性。
须加强监控分析能力
随着万兆设备在网络核心的大规模部署,在推动以太网应用不断向前迈进的同时,一个新课题不期而至,那就是如何解决网络安全管理的瓶颈。由于以太网原来主要用于小型局域网环境,所以其网络管理工具不足以支持公用电信网所需的网络范围管理和视野,自然也就谈不上对网络的监控和安全管理。另外,尽管万兆核心具备强大的数据处理能力,但由于目前汇聚层的交换机多为千兆带宽,因此接入层与核心层之间无法形成一条快速通道,使得核心层的万兆性能优势难以充分发挥。
IT实验室相关负责人表示,更强更丰富的网络监控和管理能力是保障以太网设备有效转发的基础,但在现有的网络环境下仅仅这些设备还是远远不够的,还需要对交换机上运行的业务和所接入的用户进行分析管理,比如针对具体的端口或者IP地址的流量进行统计,来实现用户帐号、密码、IP地址、MAC地址、VLAN等多种元素的绑定,以确保具有资格的用户才能具有网络访问权,从而彻底杜绝各种地址仿冒威胁。
此外,对于因系统安全设置不健全而不能通过认证的用户,交换机可使得这些不安全用户只能访问Free Resource网段,可以从这些网段上下载防病毒软件、系统补丁以及安装安全客户端软件,待其系统符合安全要求,且在用户认证系统中申请开通账号后,方可正常访问其它网络资源,这一举措可以在系统安全性和用户使用便利性之间取得完美的平衡。
设备稳定性不可忽视
据杨燕群介绍,与速度、管理等环节相比,用户对网络设备稳定性的关注相对较少。在实际应用环境,尤其是对网络稳定性比较敏感的行业用户来说,网络常常需要长时间无间断地运行,其堆叠交换机组中任何一台失效都可能影响到网络的整体运行,都将造成极其严重的后果。因此,用户在择购网络设备的过程中需要充分了解产品在速度、安全、稳定、管理等多个方面的表现,以保证网络在超长时间内依然能够正常运行。
事实上,除了网络安全因素外,影响企业网络正常运行的另一个因素就是系统的稳定性,它涵盖了硬件的可靠性设计、链路和协议的冗余备份等。在硬件体系架构方面,高端的机箱式交换机可以实现所有模块的热插拔,管理模块、电源模块等主要部件的热备份和不间断切换。汇聚交换机则也多采用冗余电源设计。
据记者了解,目前国内大多数网络设备厂商的核心和汇聚交换机都可以支持VRRP、STP、MSTP、链路聚合等链路和协议冗余特性,部分厂商还支持MRPP多重环网保护协议,可以确保企业园区网和城域网的链路能够在50ms的时间内实现链路的切换,达到运营商级别的不间断链路冗余水平。
总的来说,万兆以太网的兴盛带来的是万兆交换机的加速发展,有研究报告称:在2010年前,万兆以太网交换机将仍处在强劲的增长轨道上,各类厂商及专家都对这块市场持乐观态度。
小结
万兆以太网已开始真正走进人们的实际生活应用,“狼来了”也不再是空谈的口号,万兆以太网正以势不可挡的劲头在通信领域大规模部署。端到端的服务质量QoS、可靠性、网络安全性、扩展性以及网络管理能力等是目前用户,尤其是电信和教育行业用户对万兆以太网的主要要求,对万兆交换机来说,这些要求将为它带来难得的机遇和挑战。
链接:万兆以太网的5大优势市场
由于万兆以太网技术是过去以太网技术的延伸,因此它在既有的网络市场上,尤其是宽带需求较为迫切的几个市场上将有较大的发挥空间,其中包括:
宽带交换机与宽带交换机互连
过去必需采用数个千兆捆绑来满足交换机互连所需的高带宽,因而浪费了很多的光纤资源,现在可以采用万兆互连,甚至4个万兆捆绑互连,达到40G的宽带水平。
数据中心或服务器群组网络中作为宽带汇聚
在越来越多的服务器改用千兆以太网作为上连技术后,数据中心或群组网络的骨干带宽相形增加,以千兆或千兆捆绑作为平台已不能完全满足使用需求,升级到万兆以太网在服务质量及成本上都将占有相对的优势。
城域网宽带汇聚与骨干更新
在宽带城域网的大量建设中,接入层会有愈来愈多的万兆或千兆以太网上连到城域网的汇聚层,而汇聚层也会有愈来愈多的千兆以太网上连到城域网的骨干层,这使得像万兆或万兆捆绑这样的宽带需求在城域网中的汇聚层及骨干层有相当多的市场需求,也是万兆以太网非常大的一个市场空间。
新兴的宽带广域网
由于以太网与SONET/SDH(PoS)在长期的发展中有相当的价格优势,而万兆以太网又支持与SONET/SDH基础架构的无缝连接能力,这使得过去一直是SONET/SDH垄断的广域网市场出现了新的竞争者。
SoIP或SAN(存储网络)
在以太网技术作为存储网络平台时,时延与高带宽都是关键性的部件,因此千兆位以太网及万兆位以太网都可以用来架构一个以太网平台的存储网络,这是一个新兴的应用,不仅可以满足存储设备的高速互连,也可以实现存储设备的备份(Backup)及灾难恢复,在成本的考虑下,千兆以太网与万兆以太网的优势都可以在这个新兴应用上得到发挥。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
去集群 更超群——大容量网络演进之路
2019 IBM 中国论坛
H3C 2019 Navigate 领航者峰会
助推数据中心网络现代化转型 打造灵活可靠基础架构平台