万兆企业网
2009-02-24朱杰
朱 杰
日益扩张的带宽需求,使企业用户对万兆产品的需求不断增长,而万兆交换机端口成本的下降,也加快了其在企业网络上的应用步伐。
从以太网面世开始,如何提高接口带宽,就成为了以太网发展的主旋律。依据网络领域的摩尔定律——吉尔德定律,我们可以了解以太网络技术发展速度和市场增长的规模:在未来20年,主干网的带宽每6个月将增长一倍。作为未来网络的核心设备,万兆交换机以其高密度、高带宽、全线速的特性,已经成为追求更高应用能力用户的首选。
选择万兆成为必然
随着万兆交换技术的普及与信息技术的发展,网络开始承载更多与生活相关的互动应用(如财经信息、电子证券、电子贸易、人与人的沟通等),构建一个宁静纯洁的万兆网络世界是每一位网络构建者都需要考虑的问题。
从2008年企业以太网交换机市场情况看,千兆交换机在接入乃至汇聚市场依旧占据着主流地位,而万兆交换技术已经成为企业网核心层的第一选择,并逐步向汇聚层延伸。从一些主流网络厂商的产品销售来看,万兆交换技术与设备已经在政府、高校、医疗等行业获得了广泛应用。赛迪顾问数据显示,近年来,万兆交换产品年增长率保持在50%以上,这主要是因为企业网络承载的各种业务,包括语音、视频、数据等,对于网络带宽的应用需求越来越高。以往的企业网络结构过于复杂,通过百兆、千兆设备构建的传统网络容量小,网络节点众多。而万兆交换的发展可以有效解决这些问题,简化网络结构,所以,基于万兆以太网的应用越来越广泛。
此外,下一代无线网络的发展、远程办公的普及以及日益复杂的业务产生的大量数据,都决定了未来企业信息化的发展方向是云计算和云存储,而“云”技术的基础就是一个高速、可靠的网络。千兆到桌面是目前的发展目标,与之相配套的是千兆以太网口已经成为了商用PC的标准配置。目前PC系统的瓶颈已经从过去的硬盘、内存转向了网络,百兆网络实际每秒只能传输10Mb左右的数据,而数据量已经进入以G乃至T为单位进行计算的年代,如果企业依然使用百兆的网络就无法真正发挥云计算、云存储的作用。而千兆接入网络正是解决这一问题的最佳途径,一旦接入的网络速率选择了千兆,在汇聚层面或核心层面选择万兆就会是必然的选择。
过去阻碍企业部署万兆网络的一个主要因素是成本问题,随着万兆交换机的芯片解决方案与周边配套模块成本的降低,万兆核心交换机的购买成本已经进入企业可接受的范围。另一个影响万兆部署的传输介质问题,也随着光纤部署成本的降低迎刃而解。以光纤为主要承载介质的万兆以太网,不但在线路的可靠性和带宽扩展性方面得到大幅的提高,同时光纤线路的高安全性也是铜缆无法比拟的。
正确认识万兆
不过对于企业用户来说,如果需要将自己的网络升级到万兆,目前还存在很多误区。首先,出现了很多形式上的万兆网络。H3C公司认为,万兆交换需要贯穿到网络的每个层面,如果只是某个节点或者某台设备应用万兆技术,在带宽或者网络结构上都是不合理的。
同时,很多企业用户对于万兆交换的性能和稳定性都存在一定的认识误区,用户一般只关注万兆端口的数量,而不关心万兆交换的质量,业界有很多交换机万兆口虽然很多,但是达不到线速转发,所以除了关注端口数量,我们更应该关注所有的端口性能是否能达到万兆。
此外,对于万兆网络稳定性的要求,也是企业用户容易忽视的问题,比如有的交换机产品虽然万兆端口很多,但采用的电源却是单电源,而万兆交换机汇聚的流量通常比较大,承载的业务比较多,如果单电源出现问题,将会导致整个网络节点的业务中断。
对于企业用户来说,要从技术、产品和应用等方面综合了解万兆交换产品,绝对不是一件简单的事。目前万兆的技术标准已趋于成熟,各大厂商的万兆交换产品也都是基于通用的技术标准来设计和生产的,技术上的差别并不大。不过在万兆产品的功能和应用上,目前有了许多新的发展与应用,如安全、融合、多业务、高性能、智能化等方面。
更完善的业务支撑
当前业内通用的模块化交换机及模块化操作系统,使得网络上的多业务融合成为可能。融合了各种体系和功能的硬件设计系统,保证了多业务承载的顺利进行。
H3C公司认为,不同的企业用户对万兆交换机功能有着不同的要求。比如说拥有众多分公司的企业用户可能要求万兆交换机拥有强大组播能力、QoS能力,确保其视频电话会议的应用;而政府机关对MPLS VPN要求比较高,以确保政府各个部门的隔离;学校则可以看作是一个准运营商,用户认证和管理是重中之重。基于这样的需求,新一代万兆以太网交换机需要整合丰富的业务支撑能力,成为一个综合网络业务中心。
万兆交换设备可以提供更高的处理能力和整机性能,在一定程度上可以实现扁平化的网络结构,思科公司一直将扁平化网络结构定位为万兆网络交换产品的关键功能之一,为企业提升网络整体效率和节约网络建设成本提供帮助。
此外,在拥有传统骨干交换机的高密度百兆、千兆、万兆以太网端口的基础上,实现E1、ATM等广域网多业务接口与交换的融合,同时支持传统上由路由设备支持的MPLS、MPLS-VPN、NAT等业务功能,也是万兆交换设备的典型应用。这种路由技术与以太网交换内核的融合,能够实现企业的局域网和广域网对接、宽窄带链路一体化和路由交换一体化,支持企业网络应用的整体融合。
标配的网络安全保障
大行业对网络安全的关注更加强调从基础设施做起。他们认为网络威胁更多来自于网络内部,安全网络本身是实现网络整体安全的必由之路。对万兆交换机,用户要求内置防火墙安全模块,通过增加一个防火墙扩展模块,将内网划分为多个安全等级的区域,融合交换机本身的基本安全访问控制功能与防火墙的智能访问控制、深层报文分析以及基于状态的资源控制等安全控制功能,实现对企业内网的分等级安全防护。
神州数码网络认为,企业用户如果要想在万兆网络环境中实现与万兆相匹配的安全控制能力和安全响应速率,就意味着核心设备在安全控制能力方面也要达到万兆的要求。万兆接口相对千兆接口,数据流量提高了10倍,带来的可能的数据攻击包的数量也会呈现出线性增长,因此在部署安全功能时,对于万兆数据智能安全过滤、ms级的链路保护都有了新的要求。
企业网络的安全防护已成为人们关注的焦点,基于服务器、网关等设备的防毒及防护技术也层出不穷,但病毒和黑客的进步速度似乎更快,并且已经呈现出智能化渗透和网络化部署的情况,变种病毒会通过网络进行自我复制,向整个网络蔓延。
在千兆交换中,各厂商都通过内嵌千兆性能的NP业务引擎对通过核心交换机的数据进行内容的安全检测,而在万兆交换的情况下,如果依然延续这样的处理思想,则需要大量增加NP来实现对数据包的过滤方式,从而大幅提升用户的成本,同时性能的提升空间也是有限的。
以神州数码网络为例,其在万兆核心交换机上采用了全新的内嵌安全处理引擎的ASIC芯片,该ASIC芯片可以对目前常见的上百种非法数据进行安全检查,而对不在内置检测范围的非法数据及未来的安全攻击则通过NP业务引擎进行安全检测,从而实现了万兆速率的安全检测控制能力。目前常用的安全技术实现思路是,核心交换机在收到数据后,首先由芯片对数据进行安全过滤,将数据分为合法、怀疑、非法三类,其中合法数据直接通过芯片进行转发,非法数据直接丢弃,而怀疑数据将交由NP进行分析。NP对其中真正的非法数据进行过滤,合法的数据继续转发。这种实现模式既发挥了ASIC芯片的高速特性,又可以通过NP对数据包进行深度的安全检测。
值得关注的特性
目前万兆交换机技术已经非常成熟,100G的以太网标准也即将推出。在万兆交换网络发展的基础上,越来越多的应用也在网络设备性能提高的帮助下,变得更加丰富多彩。
H3C公司认为,现在万兆交换技术除了关注传统的分布式转发架构、交换容量、包转发率以外,更需要关注一下一些特性:
万兆网络的可靠性保障。随着网络带宽的增加,网络承载的信息量更是成倍地增加,此时,万兆网络的可靠性就显得更为重要,在提高速率的同时,可靠性的需求也时刻伴随。如BFD在万兆网络上支持高速转发的同时,可以给网络提供毫秒级的保护。
随着业务应用整合需求的增加,对于基础网络资源进行虚拟化是当前的主要趋势。多种应用承载在一张物理网络上,通过网络虚拟化分割(称为纵向分割)功能使得不同企业机构相互隔离,但可在同一网络上访问自身应用,从而实现了将物理网络进行逻辑纵向分割,虚拟化为多个网络;多个网络节点承载上层应用,基于冗余的网络设计会带来复杂性,而将多个网络节点进行整合(称为横向整合),虚拟化成一台逻辑设备,在提升数据网络可用性、节点性能的同时将极大简化网络架构。
瞻博网络认为,未来核心万兆交换机将向整机线速方向发展,支持更高带宽的扩展能力,增加万兆端口的密度,增强板卡转发性能,在做各种复杂多业务处理的同时,能够实现真正的万兆线速转发。而以往的核心万兆交换机,虽然单个端口是线速的,但是满配时,总体转发却是非线速的,是阻塞的。
此外,万兆核心交换机在具备了万兆线速转发能力的同时,还需要能够支持全线速的MPLS VPN、IPv6等强大复杂的业务,通过这些智能的业务承载能力来推动万兆技术的规模应用。以太网不仅在园区网成为主流,在城域网也成为越来越重要的承载技术,这对高性能(高带宽)、高可靠性、高冗余、多业务承载等方面的要求很苛刻。所以,核心万兆交换机不能只冠以“万兆”二字,更需要冠以“多能”二字,主要表现在MPLS、安全融合、QoS等几个方面。
同时,锐捷网络表示,万兆交换的应用也将引发网络管理的变化,就是从网络设备管理转变为网络流量管理。企业已经不满足于采购万兆产品与万兆技术,而是希望清楚地了解自己的万兆网络中有哪些应用、哪些协议、哪些用户,然后分析应用、协议、端口的带宽情况和变化趋势,从而提供网络流量透视图,为自己的流量管理和下一步带宽改造提供依据。这是一种思维方式的变化,帮助技术更加紧密地结合应用,这一变化需要万兆产品提供流量监控技术,例如国际标准的IPFIX或Netflow以及Jflow等等。
万兆网络的全面发展
万兆IT摆脱了单纯的网络传输概念。随着以太网快速扩张到其它技术领域,要保证用户应用效果,还需要计算、安全、存储等各个系统都具备足够的高性能,才是真正意义上实现了整体性能提升,所以在实现万兆以太网信息高速公路之后,万兆计算、万兆存储、万兆安全也要同步进行。
万兆交换产品的成熟奠定了高速网络的基础,就像只有修通了高速公路才能促进其它发展一样。
网络的虚拟化、智能化都需要以万兆网络为桥梁,目前业界最新的虚拟化技术都必须通过万兆端口进行设备之间的协议互通、数据互连。
网络的融合也是在万兆普及的基础上发展起来的,网络速率的提高为多业务融合提供了真正的带宽通道。目前H3C公司在万兆交换机95/75E上推出了各种多业务单板,如无线控制单板、万兆防火墙单板、IPS单板、应用控制网关ACG单板、Netstream单板等等,而这些多业务单板都是通过后端的万兆通道和交换机的数据进行通信。
目前网络设备本身要绿色节能可以通过技术工艺等来降低功耗,提高利用率。而网络带宽的提高、多业务的融合可以从整体网络架构上提高设备集成度、简化网络架构,从而达到节省电耗、空间及冷却等IT成本。可以说,融合成就绿色未来。
随着企业信息化建设越来越受到重视,企业内部对网络带宽的需求也在持续增加,千兆桌面、万兆核心已经是现在的发展趋势。而且目前千兆、万兆的建设成本和之前相比也有了很大的下降,构建一套高速率的万兆交换网络可以提高企业的办公效率,为企业带来更多的价值。