邊緣交換機(jī)作為當(dāng)今主流的QoS的入站點(diǎn)或出站點(diǎn)��,在其中占據(jù)著非常重要的作用�,特別是在中小型企業(yè)中,如果網(wǎng)絡(luò)的邊緣設(shè)備將QoS���、速率限制����、ACL、PBR及sFlow集成到硬件芯片上���。
使得這些智能不致影響到基本二層����、三層的線(xiàn)速轉(zhuǎn)發(fā)性能����,那么端到端的智能網(wǎng)絡(luò)才得以大規(guī)模開(kāi)展,從而使得整個(gè)網(wǎng)絡(luò)不僅擁有全局的連接能力���,也同時(shí)擁有全局的網(wǎng)絡(luò)智能�����。
從過(guò)去到現(xiàn)在����,網(wǎng)絡(luò)的設(shè)計(jì)理念一直存在著幾種不同的思路����。就透通與智能這兩個(gè)重點(diǎn)來(lái)看��,側(cè)重程度的不同就影響到網(wǎng)絡(luò)的設(shè)計(jì):透通強(qiáng)調(diào)連接能力���、簡(jiǎn)單管理、價(jià)格低廉;智能強(qiáng)調(diào)控管和增值能力����,因此多數(shù)復(fù)雜程度較高��,成本也相對(duì)較高����。其實(shí)設(shè)計(jì)并無(wú)高下,只取決于用戶(hù)的實(shí)際需求與經(jīng)費(fèi)預(yù)算而已���。
因此���,網(wǎng)絡(luò)架構(gòu)可以是全二層的架構(gòu),不過(guò)擴(kuò)展度較差;也可以是全三層的架構(gòu)�����,不過(guò)價(jià)格較高;而大多的規(guī)劃會(huì)在兩者之間取得一定的平衡��,這就產(chǎn)生了兩種不同的架構(gòu)——折疊式骨干網(wǎng)絡(luò)架構(gòu)與分散式骨干網(wǎng)絡(luò)架構(gòu)。其中��,折疊式骨干將智能收縮到上層的匯聚設(shè)備上���,而在下層的接入設(shè)備則只強(qiáng)調(diào)透通與線(xiàn)速����。單從智能控管的角度來(lái)看�,這是一種集中式的設(shè)計(jì)。
這兩種架構(gòu)在網(wǎng)絡(luò)邊緣上存在著重大差異�����。折疊式骨干多以二層交換作為邊緣����,而分散式骨干多以三層交換作為邊緣。如果簡(jiǎn)單地以交換或路由來(lái)判定網(wǎng)絡(luò)的智能��,當(dāng)然三層交換優(yōu)于二層交換��。
但是由于愈來(lái)愈多的業(yè)務(wù)在同一張網(wǎng)上開(kāi)通����,網(wǎng)絡(luò)的智能問(wèn)題不再單純地以二層/三層來(lái)判定��,更多時(shí)候����,執(zhí)行QoS的能力�����、提供指定接入速率的能力�、ACL(訪(fǎng)問(wèn)控制列表)的安全屏蔽能力��、網(wǎng)絡(luò)流量統(tǒng)計(jì)與監(jiān)控能力以及策略路由(PBR)的支持能力�。
都可以更有效地來(lái)判定網(wǎng)絡(luò)的智能。因此����,有了這樣一個(gè)概念,不管是折疊式骨干中的邊緣二層交換設(shè)備�, 是分散式骨干中的邊緣三層交換設(shè)備,在眾多廠(chǎng)家的二層��、三層交換設(shè)備中��,用戶(hù)可以依據(jù)自己業(yè)務(wù)上的實(shí)際需要做出更為明確的選擇。
執(zhí)行QoS的能力
在多媒體業(yè)務(wù)中�����,數(shù)據(jù)��、語(yǔ)音����、圖像對(duì)時(shí)延、抖動(dòng)����、掉包的要求不盡相同。為了更好地執(zhí)行多媒體業(yè)務(wù)����,用戶(hù)最好在數(shù)據(jù)包中加入相應(yīng)的QoS標(biāo)記,邊緣交換機(jī)或者讀取QoS并加以執(zhí)行�����,或者對(duì)于不可信任的來(lái)源����,采取重行分類(lèi)、重行標(biāo)記QoS并加以執(zhí)行的方式。
QoS在過(guò)去有二層的CoS(服務(wù)等級(jí))或三層的IP Precedence(IP優(yōu)先等級(jí))的做法���,而現(xiàn)在則強(qiáng)調(diào)差分服務(wù)(DiffSew)的支持能力��。因此���,邊緣交換機(jī)在端到端的QoS支持上,作為QoS的入站點(diǎn)或出站點(diǎn)���,扮演著極為關(guān)鍵的角色�����。對(duì)DiffSew提供硬件支持能力是邊緣交換機(jī)關(guān)鍵功能之一。
指定接入速率的能力
固然千兆以太網(wǎng)的普及使得骨干有較為充裕的帶寬�����,但這種資源不是取之不盡����、用之不竭的。而且采取使用者付費(fèi)以管制邊緣帶寬的有效使用是最為可行的手段����,因此�,在邊緣交換機(jī)的接口上����。
不但要提供十兆、百兆的設(shè)定能力��,更要提供基于端口�����、優(yōu)先等級(jí)���、VLAN�、ACL分類(lèi)的速率限制能力�,而且最好是入站或出站均能執(zhí)行速率限制,范圍由256k一直到千兆���,粒度則以硬件芯片能以硬件處理的范圍為宜�����,一般而言在256k左右�。
應(yīng)用邊緣交換機(jī)情況調(diào)查
這里必須特別強(qiáng)調(diào),硬件處理是希望邊緣設(shè)備不會(huì)因?yàn)閱?dòng)速率限制而影響其線(xiàn)速轉(zhuǎn)發(fā)數(shù)據(jù)包的能力��,這一點(diǎn)對(duì)邊緣設(shè)備來(lái)講是很重要的性能指標(biāo)�。有了完整的速率限制功能,而又不影響網(wǎng)絡(luò)的性能指標(biāo)����,才能有效地管理網(wǎng)絡(luò)的帶寬資源。
ACL的安全屏蔽能力
在網(wǎng)絡(luò)中���,ACL不但可以讓網(wǎng)絡(luò)管理者用來(lái)制定網(wǎng)絡(luò)策略�����,對(duì)個(gè)別用戶(hù)或特定的數(shù)據(jù)流進(jìn)行允許或者拒絕的控制�����,也可以用來(lái)加強(qiáng)網(wǎng)絡(luò)的安全屏蔽。從簡(jiǎn)單的Ping to Death攻擊���、TCP Sync攻擊�,一直到更多樣化更復(fù)雜的黑客攻擊�����。
ACL都可以起到一定的屏蔽作用。ACL有標(biāo)準(zhǔn)ACL及擴(kuò)展ACL(Extended ACL)兩種�,不論邊緣是二層交換機(jī)還是三層交換機(jī),最好都具備支持標(biāo)準(zhǔn)ACL及擴(kuò)展ACL的能力����,才能將網(wǎng)絡(luò)的安全屏蔽及策略執(zhí)行能力分散到網(wǎng)絡(luò)的邊緣。
跟速率限制一樣�,網(wǎng)絡(luò)設(shè)備不但應(yīng)該能執(zhí)行完整的ACL功能,包括進(jìn)站及出站��,同時(shí)也必須強(qiáng)調(diào)由硬件處理的能力���。如此����,才能在啟動(dòng)ACL的同時(shí)�,不會(huì)影響到二層或三層交換設(shè)備線(xiàn)速轉(zhuǎn)發(fā)數(shù)據(jù)包的能力。
返回首頁(yè) 
網(wǎng)站客服
粵公網(wǎng)安備 44030402000946號(hào)