原則一:
對網絡及設備的監控和管理
可管理是智能交換的基礎,通常意義上的網絡管理系統包括性能、配置、故障、計費和安全等5個功能域,這是最基本、也是最常用到的功能。隨著用戶網絡規模的擴大、網絡應用的增多,對網絡運行狀況的實時監控和維護就變得非常必要,需要網管系統與智能交換設備相互密切配合。
目前常見的網管系統有兩類,一類是通用的網管平臺,如HP OpenView,可以提供一個第三方的網管平臺,支持對所有SNMP設備的發現和簡單監控。但由于各廠商設備都具有大量自行開發的私有MIB(Management Information Base)庫,通用網管平臺無法對其進行識別和管理。因此,如果要實現對各種設備進行詳盡監控、管理和配置時,必須進行二次開發。近年來,各廠商設備更新很快,而與第三方通用網管平臺的配合則非常有限,使得通用網管平臺難以細致地對多廠商的設備進行管理。
另一類是由網絡設備廠商自行開發的網管平臺,如Cisco WORKS、神州數碼LinkManager等,可以對本廠商的設備進行深入細致的監控、配置和管理,實用性較強且價格也較便宜。但問題是,無法用這類網管系統實現對全網設備的統一管理,因此用戶往往采用多臺網管工作站分別安裝不同的系統,進行分別管理。
隨著用戶對不同設備進行統一網管的需求日益迫切,各廠商也在考慮采用更加開放的方式實現設備對網管的支持,例如開放私有MIB庫,乃至完全依照RFC來編寫MIB庫,以實現不同廠商間設備與網管系統的互操作性。
目前,在大中型企業網中,應用網管系統的比例較以前已大幅度提高。因此,用戶在選擇時不能滿足于拓撲發現、流量監控、狀態監控等通用的網管功能,還要對于設備遠程配置、用戶管理、訪問控制乃至QoS監控等提出更高的要求。
另外,為節省IP地址,簡化管理層次,不同的廠商采用堆疊或集群網管等技術,將多臺設備作為一臺邏輯上的設備進行統一管理。用戶也可以關注這類產品。
原則二:
對不同應用類型數據的分類和處理
智能交換的另外一個重要體現是,對網絡中不同類型的數據自動進行分類,并提供不同的傳輸策略,確保關鍵應用的順暢運行,也就是通常所說的服務質量(QoS)。
目前常見的QoS技術有IntServ(RSVP)和DiffServ兩種方式。
前者采用資源預留的方式,即針對每種不同的應用,都在網絡上預留“端到端”的專用通道,確保關鍵應用獨享固定的帶寬資源。資源預留的方式屬于虛擬專線的解決方案,能夠確保關鍵應用的傳輸質量,卻無法實現帶寬的共享,易造成線路資源的浪費;另外,資源預留只適合于較為簡單的網絡拓撲,如路由器間點對點的專線連接,對于復雜而龐大的企業網而言,很難實施,更不要說城域網了。
因此,用戶最好采用DiffServ的交換機,以實現“端到端”的QoS。需要指出的是,為實現DiffServ QoS,要求用戶的網絡上所有相關的交換機都支持802.1p優先級功能。
原則三:
對多媒體傳輸的支持
交換機對專用于多媒體傳輸的功能和協議的支持越來越多,其中最為典型的是組播技術。
組管理協議IGMP已經成為智能交換機必備的基本功能。而對于三層交換機,除了RIP、OSPF等單播路由協議外,也開始支持DVMRP、PIM SM/DM等組播路由協議。
在進行組播應用時(如視頻會議等),各交換機均可通過IGMP協議在整個網絡范圍內傳遞分組信息,使各交換機確定每組的成員,而組播路由協議則可對組播數據包進行路由,使得組播包在網絡上順暢傳輸。其中,DVMRP相當于單播時的RIP協議,適合于小規模的網絡應用;而PIM則是與協議無關的組播路由協議,分為密集模式(DM)和稀疏模式(SM)兩種。密集模式主要適用于網絡帶寬較大、用戶分布較集中的場合,如公司的局域網; 而稀疏模式主要適用于網絡帶寬較小、用戶分布較稀疏的場合,如廣域網或Internet。
有的交換機還配置了語音網關模塊,使得以太網交換機直接具備VoIP功能,但這樣的應用還需要在客戶端分別布網線和電話線;若采用客戶端的VoIP網關,則可通過一條網線實現語音、數據的傳輸。這兩種方案孰優孰劣,還要根據實際情況來判斷。
原則四:
用戶分類和訪問控制
用戶分類、權限設置和訪問控制,也是智能網絡的重要功能。由于企業管理的細化,對于不同的網絡資源,要針對不同用戶設置不同的訪問權限。
訪問權限的設置有工作組級和用戶級兩種方式。
基于VLAN和三層交換的訪問控制就屬于工作組級的訪問控制。VLAN除了具備隔離廣播、提高網絡性能的作用之外,其重要的作用就在于將不同的工作組隔離開來,便于實現可控的相互訪問。三層交換機可以實現跨VLAN的訪問,而通過訪問控制列表ACL,則可設置不同VLAN間乃至不同IP地址的設備對于不同網絡服務的訪問權限。
對于智能小區寬帶接入應用,將每個用戶都劃分在單獨的VLAN中,也能夠實現用戶級的認證和訪問控制,但這種方式只適用于固定接入的用戶,且無法實現計費。
目前在寬帶接入網和企業網中,以往用于電信運營網絡中的AAA技術(授權、認證、計費),如傳統的RADIUS、PPPoE,以及新興的802.1x等用戶認證功能等,開始被集成到智能交換機中,與認證服務器配合,從而實現基于用戶的認證和訪問控制。
對于企業網來說,通常要實現在用戶訪問不同的網絡服務資源時,進行認證、訪問控制及服務認證,而不是針對用戶接入端口進行接入認證。因此,常用的方式是以訪問控制列表或RADIUS認證服務器,對相關應用服務資源設置不同的訪問權限,并針對用戶實現認證和授權。
對于寬帶接入網來說,則需要通過用戶認證實現對端口聯通狀態的控制,通常要采用“PPPoE+RADIUS”或“802.1x+RADIUS”的方式來實現接入認證。
PPPoE是一種較為成熟的認證方式,通過PPP協議封裝以太網幀,在無連接的以太網上提供了點對點的連接。PPPoE類似傳統的撥號接入方式,用戶端采用一個撥號軟件,發起PPP連接請求,穿過以太網交換機或者DSL設備,終結在集中控制管理層的接入網關設備上。接入網關設備負責終結PPP連接,并與RADIUS配合實現用戶管理和策略控制。
802.1x起源于802.11協議的EAPOL,是最近出現的一種以太網認證技術。 802.1x是IEEE為了解決基于端口的接入控制而定義的一個標準。
802.1x認證方式主要通過認證前后打開/關閉用戶接入端口來實現對用戶接入的控制。基于端口的網絡接入控制是在 LAN 設備的物理接入級對接入設備進行認證和控制。連接在物理端口上的用戶設備如果能通過認證,就可以訪問 LAN 內的資源;如果不能通過認證,則無法訪問 LAN 內的資源,相當于物理上斷開連接。認證通過時,從遠端認證服務器可以傳遞來自用戶的信息,如VLAN、CAR參數、優先級、用戶的訪問控制列表等; 認證通過后,用戶的流量就將接受上述參數的監管。
802.1x要求接入交換機支持EAPOL協議,至少支持該報文的透傳,但現有通常的網絡設備多數不支持。雖然越來越多的廠商開始提供支持802.1x的智能交換機產品,但由于該協議標準尚未成熟,各廠商實現的方式不盡相同,它的發展受到了一定程度的制約。
原則五:
防止網絡攻擊
為確保核心交換機不受類似拒絕服務(DoS)攻擊而導致全網癱瘓,有的廠商在核心路由交換機中采用了防火墻和IDS系統中的防攻擊技術,以確保核心交換機更加穩固和強壯。此舉尤其可以抵御來自網絡內部的攻擊,提高系統的安全性。但是目前,該技術在邊緣交換機中仍較少采用。
