网络通信 频道

从以太网的发展看企业网络智能化

     【IT168 专稿】企业网智能化,是一个必然的趋势。你可能会慢慢发现,在你们的企业网络中,网络管理系统正在智能化,交换机也正在智能化。现在,我们从以太网出发,从以太网的发展,来看企业网的智能化发展。

     "交换"这个术语最早出现在模拟电话系统中,指的是由电话交换机进行的电话间语音的信号交换,属于"电路交换"范畴,即在通信双方节点之间建立一个 电路,在通信结束后释放电路。而以太网交换机则基于分组交换技术,是一种高效的带宽复用技术,它将数据流量按长度分割成为若干分组,每个分组标识后,在一条物理线路上采用动态复用的技术,同时传送多个数据分组。
    
     需要指出的是,分组交换本质上是面向无连接的,这也造成了在实现话音等实时业务时,当前的以太网交换机在服务质量保障(QoS)机制方面的高度复杂性。

   第三层交换,网络智能化的开始

   "第三层"的概念来自ISO的OSI(开放系统连接)七层网络参考模型。自下而上,第一层为物理层,定义通过网络设备发送数据的物理方式,以及光学、电气和机械特性。物理层的典型网络设备是中继器(Repeater),也就是信号放大器,用来解决信号随传输距离增加而衰减的问题。第二层是数据链路层,定义操作通信连接的过程,负责数据帧的封装,以及数据包传输错误的监测和纠正。
  
   二层交换机的典型网络设备是网桥和二层交换机。传统的以网交换机由网 桥发展而来,它是一个可以将通信双方的物理地址进行匹配的网络设备,该设备可以根据数据单元中的头信息,将来自一个或多个输入端口的信元或帧移动到一个或 多个输出端口,完成信息发送过程的交换。第二层交换机的最大好处是数据传输快,因为它仅需要识别数据帧中的MAC地址(即网络接口的物理地址),而直接根 据MAC地址产生选择转发端口的算法又十分简单,适合用ASIC芯片实现。二层交换机只能基于数据包的最外围信息(主要是MAC地址)进行处理,虽然也能支持子网划分和广播限制等基本功能,但在对流量处理和控制方面的能力非常有限。
  
  最先出现的第三层设备是路由器,它根据路由协议来实现路由功能――即IP网络间的数据转发功能。在主干网上,路由器的主要作用是路由选择。在城域网中,路由器的主要作用是网络连接和路由选择,负责下级网络之间的连接和数据转发。而在园区网中,路由器的主要作用是隔离子网间的广播风暴,简化网络管理,并阻止未授权子网的接入。路由器功能较复杂,所以只能利用软件来完成,因此性能有限。
  
  事实上,性能和功能通常是一对矛盾,而二层交换机和路由器可以说是这个矛盾的一种典型体现。交换机交换速度快,但控制功能弱,路由器控制性能强,但报文转发性能差。而三层交换机的出现使这对矛盾在一定程度上达到了平衡。

  第三层交换机实际结合了二层交换机与路由器的功能,它既可以完成端口交换功能,又可完成部分路由器的路由功能。两个处于不同子网的节点通过三层交换机通信时,首个数据包必须经过三层交换机中的路由处理器进行路由才能到达目的节点,但是此后这两个节点通信的数据包,就不必再经过路由处理器处理了,这是由于三层交换机有记忆路由的功能。三层交换机的路由记忆功能是由路由缓存来实现的。当一个数据包发往三层交换机时,三层交换机首先在它的缓存列表里进行检查,看看路由缓存里有没有记录,如果有记录就直接调取缓存的记录进行路由,而不再经过路由处理器进行处理,这种数据包的路由速度就大大提高了。
  
  如果三层交换机在路由缓存中没有发现记录,再将数据包发往路由处理器进行处理,处理之后再转发数据包。当然,三层交换机在路由协议支持和广域网连接方面都无法和路由器相比,因此不会完全替代路由器。但在局域网中,随着第三层交换技术的不断发展与创新,三层交换机已经逐渐取代了企业路由器的地位。

  需要指出的是,如今的"三层"交换机往往具有网络层之上更高层次的控制功能,例如基于第四层的基于协议类型和端口号的流量处理,甚至能对基于应用层(第七层)的内容进行过滤。但这些更高层的功能往往仅起到辅助性作用,其本质功能仍然集中在第三层和第二层,因此,我们仍称其为三层交换机。

   不过,在更高的层次对流量进行规划和控制已经成为一种趋势,近年来,企业网智能化的趋势得到了越来越多用户的认同。从实现目标看,各主流厂商的理念比较一致,其实质都是允许用户描述、规划和控制业务流量,使业务优先级保障、网络安全性、业务灵活性以及网络资源的利用率最大化。

     网络智能化的动力:对网络的有效控制
  
  企业网智能化的推动因素来源于用户对网络进行更有效的控制这一需求,而这一需求的产生是因为用户一直缺乏在企业网内对2-4层流量进行控制和规划的手段。举例来说,现在用户大都清楚,企业网面临的安全威胁主要来自内部网络,而在内部网络中无法像在网关处那样设置和实施安全策略。如果在网关处设立防火墙,用户可以根据流量的来源、目的地址、协议类型、时间、内容等多种元素对流量进行控制,在防火墙和企业的用户目录数据库能够同步的情况下,甚至可以根据用户的身份来控制相关流量。但是在企业网内部,因为不存在惟一的接入点,以往一直缺少对流量进行充分控制手段和机制。

  除了流量控制之外,出于安全性的考虑,智能网企业网还应该能够网络接入的准入控制,因为在WLAN大行其道的环境下,外界恶意用户接入企业内部网的案例时有发生。所以近年来,以802.1X为代表的网络端口准入技术近年来开始受到企业网设备制造商和用户的重视,在这种场景下,只有经过验证的用户才能接入到网络进行正常通讯。如今,对802.1X标准的支持已经成为网络设备的基本功能,802.1X还是当前所有主流厂商智能企业网战略构想的核心组件。
  
  但是,在绝大多数情况下,802.1X并没有在应用场合中发挥应有作用,用户和集成商通常把这归咎于802.1X技术实施的复杂性。因为802.1X需要知道用户的身份,这往往意味着需要一套额外的用户账号,这较高提升了它在用户端实施的难度和成本。

   网络智能的高级需求:有效的网络准入制度和流量控制

  另一方面,回到前面一个问题,如何对流量进行充分控制,也需要知道产生流量的用户身份。如何在实现基于用户身份进行网络准入和流量控制规划,正是摆在当前所有网络厂商面前的一道难题。这也是实现端到端的企业网智能化解决方案的一个门槛。对任何厂商来说,无论在网络设备层面提供了多高的性能,多强的功能,如果不能解决这个软件层面的问题,企业网智能化就无从谈起。

  当前,解决这个问题最好的方法是将作为网络基础设施的智能企业网需要和作为IT基础设施的计算机系统进行整合,实现全网范围内的统一用户身份管理。主流网络设备制造商中已经出现了这类解决方案。最近,ProCurve网络对其IDM软件进行了升级,发布了IDM 2.1版本,新版本在功能方面进一步完善,提供了和微软AD以及其他LDAP目录的集成,为其智能网络的实施提供了软件基础。

  由于IDM 2.1能够与微软的AD目录体系无缝整合,用户在进行域登录时,不同组别的身份会被划分到不同的VLAN进而接受管理,在IDM中对不同的组别的用户设置不同的访问权限即可。例如,开发部门的用户登录后被划分至开发部门VLAN,只能访问企业内部网中开发部门的网页,而无法访问财务和人事的网页资源,至于访客,则只能访问企业的欢迎页面,或者访问Internet。在IDM 2.1的管理界面中,管理员可以将AD中的用户账号信息同步过来,然后根据用户的身份、时间、地点等元素制定策略,实现对企业内网中流量的全面规划。由于无缝整合到了微软的AD目录体系中,IDM 2.1实现了用一套用户账户体系来实现智能企业网,使企业网智能化的过程对用户完全透明。

  事实上,IDM 2.1只是提供了智能网络的基本功能,今后的智能网络会更深的介入到应用层业务中去,根据业务需求动态实现优化的资源调度。当然,我们也必须清醒地认识到,企业网智能化已经进入了实施阶段,通过与软件的互动,交换机中的复杂功能将越来越多地发挥作用。

0
相关文章