编者按:在企业的广域网网络架构中,有得汇聚路由者,得天下的说法。在网络流量不断升高的今天,汇聚路由将如何发展?
在广域网设计中,一般采用分层设计理念, 网络设计分成核心、汇聚和接入三个层次。核心层采用核心路由器,主要是完成骨干流量的高性能稳定转发。接入层完成用户各种业务的接入。汇聚层承上启下,汇聚来自接入层的流量。
大致说来,汇聚层路由器的基本功能为:
1、用户端口的会聚:提供高密度接入端口,完成大量接入层设备的接入,将所有汇聚的业务数据复用在有限的端口带宽上传送给核心路由器设备,对所有用户的逻辑连接进行终结,向核心层彻底屏蔽用户概念和接入信息等细节。
2、用户管理:用户接入管理、用户认证管理、用户地址分配和管理、用户计费管理、安全性保障管理。
3、路由转发功能等。
在传统网络中,汇聚更多的只是网络层的汇聚,是流量和链路端口的汇聚。端口的汇聚能力是考察汇聚路由器最重要的指标之一,所以我们看以前各厂家汇聚层产品特性与指标宣传,首先是各种端口的汇聚能力,尤其是各种窄带接口的汇聚能力,宣传支持的各种接口种类,从低速到高速,各种复杂协议的支持等等。大力宣传能够支持多少个槽位,宣传报文的转发能力等等。
汇聚路由面临新的挑战
随着网络技术发展和应用的日益深入,我们说,现在网络应用实际和未来发展趋势发生了很大的变化。网络在潜移默化地改变我们的日常生活,在影响着我们这个社会,同时也对网络设备带来越来越深刻的变化。
我们可以从几个侧面分析一下当前网络应用趋势:应用诉求变化、业务流量变化、网络构件变化、组网思路变化、网络管理。
网络技术应用的深入,新的应用诉求与应用模型,如P2P、流媒体、B/S等等更加普及。
P2P:
P2P是互联网应用发展的必然趋势,P2P应用已经成为互联网的主要应用之一,也是网络上最主要的流量。P2P的模式也成为许多新型业务的首选模式。P2P技术可以被广泛应用于文件共享、IM、网络视频、网络电话等领域,以分布式资源共享和并行传输的特点,为用户提供了更多的资源、更高的可用带宽以及更好的服务质量。可以预见,随着使用P2P实时流媒体用户数目的迅速增加,在未来(ISP主干链路的流量中,P2P实时流媒体应用将占有更大比例。
P2P的流量呈现出与传统流量很多不同的特性,P2P应用所产生的流量具有分布非均衡的特性、上下行流量的对称特性、流量的隐蔽性、数据集中性等。对P2P流量的承载和控制是当前网络设备面临的全新课题。
流媒体:
从文字、图表到语音和视讯的完美互动是人类通信和信息交流的最终诉求。互联网的迅猛发展和普及为流媒体业务发展提供了强大的网络应用基础设施,流媒体业务正变得日益流行。 我们看到,当前流媒体技术已经开始广泛用于多媒体新闻发布、在线直播、网络广告、电子商务、视频点播、远程教育、远程医疗、网络电台、 实时视频会议等互联网信息服务的方方面面。流媒体技术的应用将为网络信息交流带来革命性的变化,对人们的工作和生活将产生深远的影响。
流媒体是人类通信科技的又一次革新,也是人类传播力量的又一次突破,在网络媒介发展中具有重要的意义和价值,它不仅为网络媒介带来了全新的媒介景观,流媒体的承载和传输、管理给汇聚层设备带来新的需求和挑战。
B/S:
无须置疑,即使还有这样那样的不如意或者蹩脚的地方,借助无需安装、部署方便、界面WEB化、操作简单、跨平台、业界巨头支持等等因素,B/S架构开始超越C/S架构,成为企业新兴应用的典型应用架构,B/S事实上成为了主要的应用软件开发模型。
但是,对B/S的支持就是象支持上网那么简单吗?现在的网络设备已经天然支持了吗?B/S应用的流行意味着大量的用户界面流量在网络上传送,而不是C/S模型下的短短一些指令字节流量的交换,由此带来的变化是什么呢?根据权威咨询机构的报告,一个人如果不能在几秒钟之内点开一个网页,往往会变得烦躁,丧失浏览网页的兴趣。看网页犹是如此,如果是在上面完成一个业务应用操作呢?
数据大集中影响着广域网流量
数据大集中的发展趋势,使得本地流量与广域网流量构成发生变化。
数据大集中
数据开始在各部门各单位的重要性日益显著。数据保护对于各级各类企业业务的正常开展和连续起着非常重要的作用。以前的数据分散管理需要大量的人力、物力、财力作为支撑,从总体拥有成本(TCO)角度考虑分散管理的后期维护成本非常高。相对来说,数据集中后,数据不但能受到良好的管理和维护,所需要的成本也下降了很多。因此,数据中心的建设已经成为各大企业和单位信息化发展的大趋势和应用潮流。
数据大集中不仅仅是一种单纯的技术或业务过程。也是实现行业和部门与时俱进的战略性、全局性的布局和与国际接轨的新起点,更是走向管理现代化的必由之路。非常典型的例子是金融行业。
数据大集中,对网络流量构成的影响就是,广域网流量明显增加了,再考虑B/S应用明显增加的下行流量,广域网流量与本地网流量构成大致满足80:20原则。
网络业务构件越来越多种多样,为了提供网络出口带宽利用效率、保证用户数据安全、在IP上提供各种增值通信服务,典型的网络组网应用往往需要部署各种各样的应用控制与优化设备、安全设备和媒体网关设备。
应用控制与加速
随着信息公路的高速发展,网络流量也急剧增加,网络技术得到了飞速发展。网络应用的深入,使得网络应用流量类型越来越复杂,新型网络应用层出不穷。典型地,P2P已经成为网络最主要的流量来源,IM成为与上网浏览同样普及的主要网络应用。网络应用的多样化和流量构成的复杂化,对正常的、核心的业务产生越来越大的冲击。一方面,核心的生产业务占网络流量构成越来越低,越来越得不到保障。另一方面,B/S等新兴应用模型的用户体验效果越来越不堪忍受。对网络流量的控制和应用业务的优化自然成为必然的选择。网络带宽如何合理、高效、充分地利用是今天人们谈论得越来越多的话题。现在我们对网络的管理不仅应只局限于考虑整体带宽资源方面,更多地应该关心具体的网络应用流量的控制问题。
应用识别与控制,应用优化与加速等各种新兴网络设备开始显示威力,逐渐出现在各种用户网络中。其中深度L4-L7应用识别、TCP的优化和加速是关键技术基础。
安全
安全是永恒的话题。安全已经成为网络建设中必不可少的基础设施,在现在的社会,没有安全的网络是不可想象的,就象不装防病毒软件就在网上冲浪一样,往往意味着不可预测的灾难。互联网的存在,使得信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。一方面,用户需要从流量报文过滤到入侵攻击检测、防范,FW、IPS/IDS等等往往成为网络建设中的标准应用设备。另一方面,为了进行链路保护,用户往往需要对链路进行加密保护,如采用IPSec、SSL等安全隧道技术。
安全部署方面,端点准入应用成为市场新的热点,业界厂商也纷纷在这一领域展开日趋激烈的争夺。业界主流的端点准入防御解决方案凭借在终端安全、身份认证、资源访问权限管理等方面的特性,从控制用户终端安全接入网络入手,对接入用户终端强制实施用户安全策略,严格控制终端网络使用行为,为网络安全提供了有效保障,帮助用户实现更加主动的安全防护,实现高效、便捷地网络管理目标,全面推动网络整体安全体系建设的进程。
媒体网关
借助统一通信的概念,利用IP完成人们各种通信手段的融合正在逐渐成为现实。媒体网关部署成为用户网络提供各种增值业务的必然步骤,包括各种IP PBX、Call Center、MCU等等设备。
虚拟化、扁平化:企业组网结构面临新挑战
组网思路出现新变化,主要表现在VPN与虚拟化、扁平化与大容量汇聚等方面。
VPN与虚拟化
VPN是对企业内部网的扩展,穿过混乱的公用网络(通常是因特网)建立一个临时的、安全的通信隧道,帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN技术,因为节省了专线租用费用,又在一定程度上具有很高的安全保证,受到广大用户和欢迎,应用越来越普及。
另一方面,在企业内部专网上,采用VPN技术,利用同一个物理网络平台上部署多个互相隔离的业务系统,可以极大地节省带宽租用费用,降低用户的运行应用成本,由原来维护多个物理网络到面向一个物理网络网络,也大大简化了日常维护工作量。其实际就是相当于在企业内部构造了多个并行、隔离的虚拟网。
网络虚拟化,行业的分布格局较为单一,属于典型“纵横”结构。行业网解决方案的组网结构与行业网结构相对应,也分为“纵、横”两部分。纵向网指的是连接行业总部网络与各省、市、县等区域网络的骨干网,横向网指的是连接各区域内业务点的城域网。行业网内存在多种业务,业务与业务之间需要互不干扰,才能保证各种业务的独立管理和服务质量。因此,在统一的行业网络上,需要将不同的业务进行逻辑隔离,达到“网络业务虚拟化”的目的,而BGP/MPLS VPN就是实现业务虚拟化的一种非常好的方式。
扁平化与大容量汇聚
部分行业组网应用开始出现网络扁平化趋势,目的是减少中间层设备数量,以简化网络管理和维护,汇聚设备需要完成更大容量的接入线路和流量汇聚。
网络扁平化有利于快速开展、调度业务,对用户需求响应更及时;网络扩展方便,在此组网形态下,用户以后也能根据业务发展状况进行向经典分层网络的平滑过渡。
网络扁平化不是完全取消了汇聚层设备,而是对汇聚设备提出了更高的要求。要求能够现在一台设备汇聚的端口密度和容量、转发性能相当于以前几台设备的能力。
网络扁平化使得一台汇聚设备能够接入的用户数量也大大增加了,需要在用户管理和认证能力方面有一个大的提升。
网络管理:网络可视化
网络可视化
IT是企业核心业务流程的关键支撑设施。网络管理已经逐渐由传统的链路管理、设备管理发展为可视化的业务管理与应用管理,网络安全管理,由设备管理变成对业务管理和对人的管理。
网络上跑的什么应用,传统的网络管理难以给出答案。可视化的网络管理,用户需要了解实际网络流量构成是什么,从哪来,去哪里,分别对应什么应用和用户,从而为下一步采取相应策略提供依据。
一方面,识别网络流量构成是为了更好地保障关键用户和关键业务的质量,需要设备能够提供简单清晰、可视化的技术。另一方面,如何迅速发现网络中出现的通信流量异常,并及时确定异常通信的准确技术参数(如攻击的来源,异常通信的具体流向和流量信息,占用的网络端口,持续的时间等)是管理员能否在短时间内对网络安全攻击做出正确响应,减少其对网络和用户业务影响的一个关键因素。
多业务融合与开放平台:汇聚路由的新发展
业务是方向,应用是大势,满足用户的需求是产品的最高目标。新一代汇聚层路由器理应跟随网络应用发展潮流,针对用户业务和网络应用的几个发展变化,有针对性在各方面进行加强和改进,打造新一代网络汇聚路由器。
新一代汇聚层路由器不应该再只是传统意义上的汇聚,它应该能够适应新一代网络应用发展潮流和趋势,满足用户当前最迫切应用需求,又能够很好满足未来新业务发展,使用户网络具有更大的弹性和适应能力。
综合接入与汇聚平台,宽带、窄带、VPN
新一代汇聚层路由器应该是一个综合性的接入和汇聚平台。从接入和汇聚角度,那就是,新一代汇聚层路由器在实现大容量窄带端口汇聚的基础上,必然要实现大容量的宽带汇聚和各种VPN隧道的汇聚。大容量的窄带汇聚是传统网络汇聚方式的继承和发展,相对以前的传统汇聚路由器,可以满足新形势下用户扁平化组网的需求。宽带汇聚是适应当前运营商宽带网络基础设施的大力发展和推动,为用户组网提供一种更经济、更简单的网络组网手段。VPN汇聚是满足当前用户利用公网快速地、经济地组建大范围的广域网络的应用需求,同时VPN也是实现网络虚拟化的一种基础技术。
多业务融合与开放平台,是多业务的汇聚和终结,是开放性平台,应用集成和应用融合,计算融入网络。
新一代网络汇聚设备应该是多业务的汇聚和终结点,业务的生成和触发都应该发生在汇聚层面,不会是在接入和核心层面。这意味着,汇聚设备必然是各种业务的汇聚和终结平台,包括路由、安全、媒体流业务的集成与融合。
无论是采用ASIC、NP还是多核技术,依赖单一的技术实现各种业务的触发、生成、终结与汇聚,不太现实,这些业务和应用必然需要一些更专业的技术来实现。采用外部单一设备逐个叠加方式是一种传统做法,能解决一定的问题,但是更有效的做法是,要求新一代汇聚设备成为一个开放的、兼收并蓄的多业务融合平台,在这个平台上面可以和轻松地融合多种实现技术和多种业务模块,从来完成各种业务的终结与融合。
比如,安全融合。在开放式平台上可以直接插入专门的IPS/IDS或者Firewall业务模块,此时,汇聚路由器成为专业的IPS/IDS或FW与传统路由真正融合的平台。
又比如,在这个平台上插入统一通信业务组件模块,汇聚路由器即可实现各种统一通信业务的接入终结处理和各种通信业务的生成与适配,此时,汇聚路由器成为专业的统一通信与传统路由真正融合的平台。
开放式架构在实际组网应用中具有明显的优势,特别是在VPN或网络虚拟化应用中,统一的平台可以对外有效屏蔽VPN细节,VPN的隔离有效地了消除端口业务数据对外裸露开放的安全隐患。
开放性架构可以很好实现了计算融于网络,为将来网络提供各种未知业务的支持提供了无限广阔的空间。
新一代汇聚路由器将汇集高性能计算、数据通讯、语音通讯等功能于一体,成为支撑企业未来业务发展的基础平台。
关键业务连续性:网络架构的新使命
业务质量保证与优化,应用感知、控制、优化(围绕P2P等新应用,QoS等)
传统的路由器及包过滤防火墙仅实现基于接口/IP的扁平化带宽控制、单一流量分析与管理,对应用层协议管理非常困难。新一代网络汇聚器必然要对业务提供更好的应用保障,包括对各种网络应用的深度感知、控制、优化,从来能够实现对关键业务的更好保障,对非法应用的更好控制。涉及到的主要技术是深度业务识别和应用控制、优化与加速。
深度业务识别主要是从以前简单的L4层以下协议识别发展到L4-L7的应用层识别,是实现各种应用控制的关键。要能对网络中的VoIP、P2P带宽滥用、IM、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制;同时,根据对网络流量、用户行为进行深入分析,可以帮助用户全面了解网络应用模型和流量趋势,为开展和保障各项业务提供数据支撑。
应用加速和优化成为是在局域网或广域网上利用各种技术,加快服务器应用传递到客户端的速度,使客户体验到比原先快得多(也稳定得多)的服务器应用的一个过程。
显然,因为网络基础协议的不完善,仅靠不断增加带宽是不能满足上述需求的,想提高服务器应用的用户满意度,就需要在现有网络组网中对特定应用业务流量进行优化和加速。
当前的典型的企业应用模型是B/S架构,对WEB应用的优化是当前应用优化主要考虑的内容。提高用户访问Web服务的速度,是众多企业迫切需要解决的问题。优化技术主要包括HTTP加速、数据压缩、负载均衡等技术。
业务流量安全(VPN、MSTP与IPSec)
受运营商宽带城域网建设和MSTP业务的推动,企业采用宽带接入成为越来越普遍的趋势,以太网天然的安全缺陷使得流量安全问题变得日益突出。对链路进行加密是一种可行的安全保障手段。因此,新一代的汇聚路由器需要能够提供足够强大的端口加密能力,以满足用户数据高度保密的需求。这方面主要是需要支持最主流的IPSec协议,支持各种标准加密协议。
IPSec在IP层上对数据包进行高强度的安全处理,提供数据源地验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少密钥协商的开销,也降低了产生安全漏洞的可能性。IPSec可连续或递归应用,在路由器、防火墙、主机和通信链路上配置,实现端到端安全、VPN和安全隧道技术。
此外,结合前面B/S应用发展趋势,WEB的应用安全,也是企业面临的越来越突出的问题。相对IPSec技术,SSL VPN具有其他一些明显的优点,免客户端、网络适应性好、容易穿越防火墙、无需配置等,SSL VPN非常适合WEB应用和移动接入,尤其是那种远程安全接入方面。两种技术各有不同的使用场合。新一代网络汇聚路由器应该能够支持SSL VPN技术,以便在WEB应用的安全性方面提供足够的保障,为网络提供安全的远程接入能力。
总之,大容量、高性能的IPSec支持能力成为新一代汇聚路由器的典型标志,鉴于安全对数据的重要性,并且应该是缺省支持。同时,对SSL VPN的支持也是数据安全的重要一方面。
管理可视化与精细化
网络技术的高速发展,为用户提供了更高的带宽和可预测的QoS,同时用户也需要对网络进行更细致、可视化的管理和计费,为此就需要新一代网络汇聚设备支持这种需求的相应技术,能够实现网络流信息的统计与发布技术:
对网络中的通信量和资源使用情况进行分类和统计,基于各种业务和不同的QoS进行管理和计费。基于资源(如线路、带宽、时段等)占用情况的计费提供了精细的数据。
为先进的网络管理工具提供关键信息,以便优化网络设计和规划,实现以最小的网络运营成本达到非常好的的网络性能和可靠性。
实现近于实时的网络监控功能。基于信息流的分析技术可以用来形象化地表示单个路由器和全网范围内的流量模式,并提供预先故障检测、高效故障排除和快速问题解决功能。
可以获得详细的网络应用信息,可以根据这些信息来规划和分配网络和应用资源以满足用户需求。
这种网络流量特征采样、关键信息提取和测量技术,可以使得网络管理者可以获得用户利用网络和应用资源的详细情况,进而用于高效地规划和分配资源,并保障网络的安全运营。是当前网络应用和设备发展必然的趋势和要求。
全业务内置
新一代网络汇聚路由器必然是全业务内置实现,对应当前网络的一些缺省以及普遍必备应用的特性,不需要增加额外的板卡模块不需要再增加用户配置成本,即可实现高性能IPSec处理、ASPF、P2P管理、NAT、各种VPN隧道、网络流量采样特征分析和测量等等功能。从而大大降低用户应用和配置成本,也简化了网络设计。
当然其他一些增值业务特性,需要借助开放式架构,采用专门的业务模块来完成,以降低基础用户的应用成本,实现设备功能、性能与价格的平衡。
多核技术在汇聚路由的应用
为适应运营商网络和各行业IT建设的应用现状与未来业务发展趋势,SR6600基于业界领先的多核处理器技术软硬件平台进行开发,适合复杂业务流程处理,使SR6600具有极其灵活、全面、高效的多业务处理能力。对于未来新业务、新需求的扩展和适应,更具有其他硬件平台无法比拟的灵活性和快速响应能力。同时,多核多线程处理器的大规模创新应用,实现了不同业务流与报文的全并行高速处理,突破传统单核CPU性能瓶颈限制,开创了业务与性能并重的全新天地。
SR6600首次创新地在高端路由器上实现了各种增值业务的全分布式处理。不需要配置任何集中式的业务处理或加速模块,在业务引擎(FIP-100/FIP-200)上内嵌了高性能的Netstream、ASPF、IPSec、NAT等各类增值业务。多业务的全分布式处理,优化了报文数据处理流程,规避了业务集中式处理的性能瓶颈,简化了产品配置,同时也大大节省了用户投资,提高了系统资源利用率,为高端路由器面向新型多业务网络应用和未来业务扩展的多元化应用需求迈出了关键一步。
SR6600作为新一代网络汇聚设备,契合了当前网络组网和应用发展潮流。
基于分布式全业务设计理念,SR6600缺省即可支持高性能IPSec、NAT、Netstream、ASPF、P2P管理等网络必备的基础特性(相对于传统汇聚路由器的高级特性)。强大的IPSec能力,保证了SR6600用作汇聚层设备时的链路绝对安全。Netstream为网络可视化管理提供了强大必要的技术支持。ASPF为用户提供了基本的安全保障能力。P2P管理能力可以帮助用户有效控制非法流量,保障了核心关键业务的有效运作。
借助灵活的开放式设计理念,SR6600完美地融合各种安全业务模块(如IPS/IDS/FW、SSL VPN等)、应用控制与加速业务模块、IP PBX及未来的UC业务模块,可以为用户提供各种完善专业的一体化融合集成。
依靠多核CPU的高性能与灵活性,SR6600实现了高密度、大容量的宽窄带与VPN汇聚,实现了高性能的报文流量转发,同时也支持了极大数量的用户管理能力,可以满足用户大规模的组网应用,适应数据大集中和扁平化组网需求。
基于先进的硬件平台和面向业务处理的设计理念,SR6600系列开放式多核路由器完美地诠释了数据通信业务汇聚/接入和企业网关的新型解决方案。