當今世界,網絡化程度越來越高,人與設備之間的通信方式日新月異、種類繁多。其中的一些通信類型已經為大家所熟知,如IP語音(VoIP)、數字圖像、組播、視頻點播、對等文件共享、遠程視頻會議等等。不過,所有這些應用都有一個共同的特點,即對網絡帶寬的需求可以用“貪得無厭”一詞來形容。
從長遠來看,帶寬本身總是不夠用的。因此,網絡基礎設施背后的智能“設備”,即交換機和路由器必須承擔起以智能化的方式跟上帶寬需求腳步的艱難任務。像視頻和數字X-光這樣的應用總是要求更大、更智能化的“傳輸管道”,而VoIP應用則要求低延遲或響應時間以及一致的傳送速率。上世紀90年代中期,隨著傳統交換機的沒落,人們開始競相發展速度更快、智能化程度更高的交換機和路由器。硅谷的一群天才們看到了這一市場機會,由此,在一種稱為“多層交換路由”新概念的基礎上發明了網絡硬件及其相關的軟件。與當時僅基于軟件的路由器相比,這些新的“智能”交換機/路由器能夠提供更快的速度和更短的延遲,同時能夠將多種網絡設備的功能結合在一起。
原來,當需要增加網絡帶寬時,網絡管理員往往通過對網絡進行重新設計來避免路由器發生瓶頸。服務器經常不通過路由器,重新安裝在離用戶更近的地方。在大型企業中,用戶通常被劃分為通過路由器實現互連的一些較小的網絡(子網)。這種劃分通常是按照地域、運行的應用類型、需要的數據量和安全方面的因素來進行。例如,財務部門經常被全部布置在自己的群組中,這樣做的原因在于為了有效地保護公司的財務記錄,而不是考慮到所使用的帶寬。而VoIP電話也經常被放置在自己的網絡之中,其原因在于這樣可以繞過傳統路由器的瓶頸。
當計算機需要與自己本地網絡之外的其他計算機進行通信時,為了將數據包發送到群組外面,它們必須先將數據包發送到離自己最近的路由器。路由器提供公司與互聯網之間的連接和安全邊界,以及公司內部群組之間的連接(內部網)。
傳統的路由器只有在絕對必要時才使用,如通過廣域網連接遠程辦公室、連接到互聯網或隔離公司中具有高帶寬要求的群組。傳統的路由器很貴,現在仍是如此,而且與最初的設計相比并沒有重大的進展,使用的組件與一臺標準PC的類似,并使用多個接口卡運行專用的軟件。
與之相比,多層交換路由器將傳統路由器的所有功能集中在一個專用集成電路(ASIC)上。ASIC比傳統路由器的CPU便宜,而且通常分布在多個網絡端口上。現在,典型的交換機/路由器可能在一臺設備中包括50個ASIC,可以支持數以百計的接口。另外,新的ASIC允許智能交換機/路由器在所有的端口上以最快的速度轉發數據,而不管網絡流量是什么類型,可以說,它們是以實際接口速度(經常稱為線速)轉發數據。目前,市場上針對企業局域網(LAN)的新型交換機/路由器中可在單一個接口上以每秒鐘萬兆位的帶寬(OC-192)轉發數據。
走出舊時代,邁進交換新天地
由于使用一種集中式的架構,所以傳統路由器一般缺乏可擴展能力。對于傳統路由器,到達路由器的所有數據包必須被送到一個區域進行處理,這樣,您擁有的接口數量越多,系統的負載越重,從而造成資源的過度占用。這大大限制了網絡所提供的服務,如VoIP.
當一個使用集中式架構的路由器需要處理的流量超出自己的處理能力時,它就會開始丟棄數據包。而當網絡應用或計算機收不到響應信息時,它們會發送更多的數據包,試圖恢復會話。這樣,情況變得更糟,因為很容易導致交叉會話過載。這種情況下,過載的路由器會根據應用、用戶的優先級或網絡目的/源地址有選擇性地丟棄數據包。很明顯,我們需要一種新的方法來滿足流量增長的要求。
多年以來,傳統路由器的處理速度已經出現了很大的增長,但仍不足以跟上強大應用的腳步。例如,它們現在每秒鐘可以轉發將近100萬個數據包。但考慮一個每秒鐘能夠發送1,488,000個數據包(pps),同時以1,488,000 pps的速度接收數據包的千兆以太網接口, 2千兆以太網端口就能夠輕易使系統過載。與此形成對比的是,多層交換機/路由器以線速轉發數據包,并且,交換ASIC以分布式的方式存在,允許整個系統高效地輸送流量。
這些新交換機/路由器使用一種新的網絡設計和管理模式。在實現線速轉發的今天,阻塞點可以被有效地消除,用戶距數據的距離可以更遠,而且不必擔心性能的下降。我們前面例子中提到的股票交易商現在可以連接到與自己相距數個樓層或數百英里遠的服務器或網絡數據,具體距離取決于交換機/路由器所支持的接口類型以及所使用的銅纜或光纖類型。此外,新的IP和優化的以太網路由器更易于管理,管理人員僅需花費很少的時間來使網絡與新的應用保持同步。像網捷網絡的BigIron機箱式系列產品,它們能夠簡單地傳輸所有來自應用的流量,同時,可以添加更多的模塊來滿足容量和速度增加的要求。
為確定網絡流量的類型和容量,當今的ASIC中內置了新的數據包采樣技術,以提供對整個系統流量的監控。RFC 3176或sFlow現在已經成為日益普及的方法,為企業和服務供應商提供對網絡中所有應用流量的實時監視——說明流量所需的帶寬、流量的去向等等。可以說,sFlow允許大型企業更好地監控跨多個部門的網絡資源的使用狀況;在大學中可以識別網絡中非法的無線和有線應用,并在網絡性能受到影響之前發現和制止拒絕服務(DoS)攻擊。現在,對于那些對安全性非常重視的企業來說,RFC 3176正快速成為必備的要求。
多層交換機/路由器的功能與傳統的路由器和交換機毫無差別,它們只是將分散的局域網(LAN)和城域網(WAN)功能集中在一個單一設備中。它們可在同組的用戶之間實現本地交換(即第2層交換),于不同組的用戶間實現路由(即第3層交換或路由),同時為應用提供安全特性和特殊服務(即第4層交換)。
采用路由器來保護網絡
在路由器中使用安全過濾通常非常必要——甚至全世界的政府都建議這樣做。路由器之所以成為理想的安全“檢查點”,是因為它們是網絡的入口和出口。在路由器上創建被稱為訪問控制列表(ACL)的復雜規則以后,路由器將根據這套規則來檢查每一數據包。例如,這些規則可以只允許特殊的授權用戶訪問公司的數據。
對于傳統路由器,根據安全規則檢查數據包是一個費時的過程。當路由器找到每一數據包中的第3層和第4層信息以后,它必須將這些信息與規則進行比較。而啟用安全過濾功能一直都是一場“惡夢”,它會使路由器的速度變慢。因此,當對性能的影響太大時,就需要使用特殊的設備來分擔工作負載。
即使是多層交換路由器,它們在執行這一功能(同時保持線速性能)時也會面臨挑戰。當啟用安全功能時,部分新型交換機/路由器的速度也會慢下來。不過,大多數新型的交換機/路由器已經將這些安全策略集成到硬件上,因而,即使在啟用ACL的情況下,也能夠提供線速轉發性能。
使用多層交換機/路由器進行安全和流量分析正在變得日益流行,主要是因為設備廠商將這種技術內置于多層交換機/路由器中。越來越多的網絡設備被整合到同一設備中。您不再需要獨立的硬件來監視流量或安全的某些方面,這可以為我們的網絡用戶帶來極大的好處。