从容面对网络新挑战
开篇:润墨网以专业的文秘视角,为您筛选了一篇从容面对网络新挑战范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
IT技术正在深刻影响企业的发展。新的商务应用、网络互联和解决方案不断涌现,使得信息系统既是企业最为重要的部分,也是企业变化最快的一部分。企业的IT部门责任重大。他们需要管理好各种设备,包括硬件和软件,把各种资源有效地整合起来。IT部门面临非常严峻的挑战。
交换网络力不从心
在技术方面,出现了无线网络、即时通信、实时视频/语音通信,以及存储和安全等新技术得到采用。在应用方面,出现了ERP、CRM和SCM等大型关键应用,Web服务和门户正在兴起。在管理方面,企业越来越重视信息系统的安全和投资回报(ROI)。而利用现有的网络很难对应这些挑战。
现代企业的信息系统必须依靠网络来实现。交换机是网络的核心。为了解决企业交换机的“不堪重负”,美国凯创系统公司(Enterasys)最近推出了作为该公司旗舰交换机产品线的新一代产品Matrix N系列交换机。这一全新的Matrix N7和Matrix N3交换机带来了突破性的性能指标、先进的功能和很低的建设成本,这使企业级客户可以从容面对挑战,利用网络提高生产力和工作效率,并有效控制运行成本,见附表。
有效的应对之策
企业网的目的是提供各种服务,因此也可以称为基于服务的网络。它要求网络的基础架构具有高度的灵活性,并且在网络的边缘支持各类复杂和细致的规则,还要保证网络数据传输和存储的安全性。Matrix N系列交换机从架构上具备了这些特点。在Matrix N系列交换机中,除了提高背板的交换速度和端口密度外,主要采用了多层流量分类技术来提高交换机的性能。
1.多层流量分类
为了实现这些智能化网络的功能,该系列交换机的架构通过采用先进的数据包分类规则,数据包一进入交换机,就被进行分类处理。在执行分类规则时,对于不同层次(第二~四层)的数据,进行不同的处理。主要过程如下。
1.定义规则
在定义数据包的类别时,既可以根据端口定义,也可以根据应用定义。一般是根据是否执行认证功能选择定义标准。在基于端口进行多层流量的分类时,可以选择对一个或多个,甚至所有交换机的端口应用某个规则。在使用基于网络的认证(如基于IEEE 802.1X协议、基于MAC或基于Web协议)时,可以对某一个用户或某一组用户应用某个规则。Matrix N系列交换机通过先进的用户个性化网络(User Personalized Networking,UPN)架构技术,提供了这些基于策略的管理方法。
2.检查数据帧
其目的是识别数据帧,分析数据分别属于开放系统互联参考模型的哪一层。虽然分布交换引擎是根据第二到第四层决定分类的,但是其交换机制依然是根据第二层的存储转发(网桥或交换机)和第三层路由的原理实现的。在检查数据帧时,既可以基于端口,也可以基于用户检查,见图1。
在第二层,可以根据数据帧的MAC地址(即物理地址)或Ethertype域(它定义第三层协议,如IP、IPX和AppleTalk等)对数据帧进行分类,
在第三层,可以根据IP或IPX帧中第三层的头里面所包含的特殊信息进行分类。对于IP帧,需要检查IP服务的类型信息。IP协议类型定义了所采用的第四层协议(如TCP、UDP和ICMP等协议)。同时,也可以根据IP地址和子网来分类。
在第四层,则根据特殊的第四层TCP或UDP端口号定义IP帧。第四层端口号给出了有关应用的信息,如Web网页、电子邮件和SNMP协议等。
3.处理数据包
一旦根据分类规则对数据包进行分类后,网络管理员可以创建由一个分布交换引擎执行的行动集合。DEF识别到经过分类的数据帧后,就根据该动作集合对其进行处理。
在安全方面,可以创建一个动作的访问控制类型。网络管理员可以通过交换机允许一些数据帧通过,或者丢弃一些数据帧。在处理时,具有过滤掉不希望进入网络的流量的能力,其中包括来自特定服务器的流量,或某些特殊应用的流量,如Web流量(HTTP)和网络管理流量(SNMP)。只有关键业务应用和经过授权的应用才能通过网络。
在QoS方面,可以指定任何应用的服务级别。在划分应用的优先级时,首先根据业务的需求决定,还可以限制应用的传输速率。DEF模块可以限制所有交换机端口的速率。可以根据第三层或第四层协议,或者它们的组合,制定优先级策略,对数据的速率进行限制,并建立保障信息速率(Committed Information Rate,CIR)机制,保证关键业务的顺利执行。
总之,先进的多层交换机通过其QoS机制,保证企业关键应用数据的最佳传输,从而确保这些应用的执行;通过其安全功能,暂缓、限制,甚至禁止非关键应用的传输,以保护关键应用通过网络。流量分类为企业的网络基础架构带来很高的控制能力。网络可以识别和处理任何类型的应用。
2.实施效果
实现多层流量分类等新技术,再加上采用NetSight Atlas策略管理器软件,可以带来以下好处。
(1)关键应用的通畅
IEEE 802.1p协议定义了划分数据包的优先级方法,这就是利用交换机或路由器插入第二层标记。该标准定义了8个不同的优先级,每个优先级对应交换机或路由器传输的一个队列。DEF根据插入的标记指定转发决策。
对于各交换机的百兆和千兆以太网端口,DEF支持4个传输队列。高优先级队列的流量将比低优先级队列的流量先行转发。
(2)网络安全
网络安全主要包括:(Ⅰ)应用保护,允许网络管理员根据协议或应用把用户分组,对需要保密的流量(如财务)和其他流量分隔开;(Ⅱ)应用过滤,阻止无关的流量进入网络,从而使网络更安全;(Ⅲ)严防黑客和病毒攻击。
(3)方便语音和数据的融合
DEF可以根据802.1p协议或早期流行的DSCD(Differv Code Point)信息识别网络中的VoIP流量,并通过适当的QoS机制进行处理包括对于语音流量设置高优先级,以及保证语音流量的带宽。
应用在各个层面
多层流量分类技术可以实现最优化关键业务的应用。但是,在网络的不同部分,侧重点有所不同,如图2所示,例如,在网络的边缘和分布层,安全非常重要,在边缘和分布层之间,上联能力是关键(防止出现拥塞)。Matrix N系列交换机可以用在网络的各个层面,包括网络边缘、网络骨干和交换机聚合等。
1.网络边缘
企业网络的边缘对智能交换的需求越来越高。在选择网络边缘的交换机时,端口的密度和性能是关键。同时,先进的QoS、用户安全和冗余传输能力也日益重要。Matrix N系列交换机提供了先进的互联解决方案,可以确保网络边缘的可伸缩性和高端口密度。通过Enterasys的先进分布架构,采用该系列交换机的网络就能够提供性能的可伸缩性、端口的高密度和强大的交换能力。
Matrix N系列交换机能够提供48~504个端口和高达126Gbps的交换能力。通过用户认证的功能,在第一个数据包一进入网络就对其进行检查,尽量消除安全隐患。该系列交换机提供了多种用户认证的方式,如IEEE 802.1x、Web认证和基于MAC地址的认证,提供了网络和操作系统的灵活性。
对于网络边缘,可用性和可靠性也是极其重要的。Matrix N系列交换机通过其先进的分布式架构和集成服务设计,提供了很高的可用性,同时还提供了容错能力和自愈能力。
2.网络骨干
企业骨干面临的挑战首先是交换能力,在企业核心,需要高密度的10/100Mbps、10/100/1000Mbps和10Gbps的交换能力。其次,也需要用户认证能力,支持多个用户的接入。而Matrix N系列交换机在这方面的功能很强。
此外,Matrix N系列交换机提供广泛的控制能力,包括不同的用户认证方式和复杂的QoS能力,可以采取各种策略,拒绝各种攻击和不支持的协议。
3.服务器聚合
Matrix N系列交换机支持高密度的10/100/1000Mbps交换,因此,对于服务器群应用的场合,采用该系列交换机是比较理想的选择。由于Matrix N系列交换机有良好的安全功能,如支持各种安全协议和可以预防DoS进攻,所以为服务器群提供了良好的保护。
Matrix N系列交换机还通过复杂的QoS提供广泛的流量管理功能,并且还能够对流量的速率进行限制。它还通过支持基于策略转发的第二层交换和支持VRRP与OSPF协议的第三层路由,保证数据传输的灵活性。
4.分布层
Matrix N系列交换机具备高密度的千兆和万兆以太网端口,因此非常适合用于分布层。在安全性方面的特性对于分布层也很重要。它还通过在第二层支持基于策略的转发和在第三层支持VRRP和OSPF协议,提供了灵活的交换功能。