传统的局域网交换机正准备进行重大改进,改进的重点显然是集中在智能而不是在美观上。 下一代交换机将不仅具有嵌入式智能安全功能,如防火墙、IDS、IPS和SSL VPN等,而且还能执行各种应用优化任务,如Web应用、服务器负载均衡/缓存和WAN优化等。对于IT经理来说,真正的问题是如何集成这些功能?什么时间能够获得这样的产品?并且代价不能太大。
Current Analysis的企业基础设施首席分析师Joel Conover说,“真正的下一代交换机不会在明年面世。你可以把它视为一个模块,但它不会在所有交换机中出现。这类交换机太昂贵、处理器太敏感、用途又太单一。”他同时表示,在今后2~3年,一些真正的改变将开始进入下一代交换机平台。很可能会出现一种新一代线路卡,许多安全处理技术(如深度包检测)将直接迁移到这些线路卡上。
随数据流而为
对下一代设备中具有的“更深度理解”特性,很多厂商都有各自的叫法,如3Com称之为控制刀片、Cisco将其叫应用感知网络、Juniper叫它为应用流畅、Enterasys命名为内容网络。不管起什么名字,它的真正含义都是一致的,即厂商们正努力使交换机具有更佳的能力,使它不仅能够检查并适当地传送数据包,而且还能检查所有的应用流或数据包流,并对这些流采取适当地操作,同时可充分利用这种能力获得更佳的安全和应用性能。
“未来的交换机和路由器可感知会话流,而非仅感知单个数据包,”Enterasys的首席技术官John Roese说,“它们所关注的将不仅仅是这种数据包的好坏与否,它更为关心的是这种数据包的序列是否适合总的会话,如果出现异常情况,能够据此采取纠正行动。”
设备集成很有意义
这一系列新的特性分属两个不同的范畴:安全和应用优化,二者现在都是由各自领域的相关设备类解决。问题是这些设备往往是由用户的不同部门来购买的,例如,服务器部门购买负载均衡或Web加速器、安全部门购买防火墙和入侵监测系统、网络部门购买虚拟专用网络。
“有人可能会给Web服务器装上一个压缩驱动器,但是如果交换机上运行一个相似的服务会怎么样呢?”IDC的企业网络项目经理Abner Germanow说,“这两个设备最终会出现相互冲突。”这种情况可能会导致与技术无关的“政治”冲突。
设备过多也可能造成管理上的可怕问题,在远程分支办公室中尤其如此。在分支办公室中,可能会有太多的设备存在,从管理和技术的观点来看,将这些设备合并到一个交换机或较少数的设备中是很有意义的。
性能上的忧虑
但是把所有这些功能全集成到交换机上也会对性能产生影响。
Cisco的营销总监 Doug Gourley说,“这样绝对会影响性能。事实上,这需要面对下面的问题:是想创建世界上性能最低、服务最凌乱的线路卡吗? 还是想创建某种只具原始速度和密度并且不提供任何服务的东西呢? 或者是想要在这两者中间取得平衡,但从何处下手又是一个问题。”
Cisco为用户提供了灵活的选择余地,用户可以在网络核心保持网络高性能,不添加更多的网络服务,而在网络边缘,应用程序、服务、防火墙和其他功能都可以在此实现,这样就解决了在保持相当令人满意的性能的同时具有丰富的服务能力。由于Cisco交换机使用相同的基础平台和服务模块,所以不管是在核心层、分布层还是在配线间,用户都能按其所需的变化进行配置,实现功能。
该方法是基于适合于交换机底层的刀片,而不是基于现行的嵌入式技术。将来,Cisco希望将一些技术(如IDS/IPS和深度包检测技术等)引入该线路卡。
“这就是我们前进的目标,”Gourley说,“如果考虑数据中心的安全,人们会部署防火墙、服务器负载均衡设备和SSL终端设备。而在过去,可能会有一系列相关模块,用户则必须按照可使它们互操作的方式和它们所适合的顺序来配置它们,这样变得更像一个为被充分利用能够提供多服务能力的线路卡。”
Cisco还认为这些服务会变得通用并被集成在设备中。像深度包检测之类的东西可能是很好的例子,它能使交换机检查HTTP报头和XML模式以便适当地路由它们。这正是Cisco利用其面向应用的网络(AON)技术所要迈向的目标。Current Analysis的Conover说,“但是面向应用的网络是一种比我们在即将出现的下一代交换机中所看到的安全要素大更多数量级的耦合。”
方法多样化
其他厂商则采取不同的方法来解决性价比这个难题。例如,Enterasys正把其Dragon IDS/IPS和基于网络的异常检测技术直接集成到其N系列交换机上,这些性能今年初就可供使用。该交换机首先是确定流量是否可疑,并且仅发送那些需要进行深度检测的包,而不是通过嵌入式设备发送所有的网络流量。在下一代硅技术使对所有流量进行深度包检测变得更有成本效益和更实用之前,这只是个临时措施。
Enterasys在N系列产品中包含有这种加速卡的概念,该卡本质上允许该系统将符合特定上限的特定流量重定向到深度包检测引擎上,以及某种能够运行IDS和IPS及基于网络的异常检测的设备上。这项工作通过一些策略来实现,这些策略考虑了各种因素,包括身份、机构中的角色和位置。如果通信流量中的某个东西超出了策略上限,只是在此时它才被重定向给IDS/IPS。
叠加的方法
有观点说增添新的智能和功能的明智方式是把它们叠加和附加到现有的交换网络上。例如,3Com计划将其称之为控制平面的东西添加到交换网络上,该控制平面将在底层连接性平面和叠加应用层面之间发挥作用。它既可以以部件的形式用于非3Com网络设备,又可以做3Com交换机的单独的刀片模块。该控制平面利用其TippingPoint IPS技术,能以经深度包检测来检查流量和对如何最佳地处理流量提供接入控制、攻击控制和应用控制。
“关键是在无需改变应用和连接性平面的情况下,在这二者之间无缝地实现该控制平面。”3Com首席技术官Marc Willebeek-LeMair表示。 它也许仍会产生交换瓶颈,3Com了解并正在解决这一问题。“有些连接点的速率大大高于通常的1Mbps~10Mbps的 WAN 连接点。现在,我们已有了运用我们的入侵保护技术的5Gbps模块,并且正在努力研制更高速模块,而且这种技术也将用于前面提到的控制平面之中。”Willebeek-LeMair如此说。
Juniper将采用类似的策略,使用叠加的方法提供大量的技术。它专注于在网络内但又在设备外提供安全和应用优化这两种技术。然而,它将使用将新功能添加到传统安全设备上的方法。例如,Juniper的DX装置(通常安装在数据中心)将其通过并购Redline Technologies公司而获得的Web加速功能添加到现在的SSL VPN装置中。
策略执行的改进
除了价格和性能以外,这种附加的智能需要健全的策略管理和执行方案,这些是所有厂商都要面对并解决的问题。
这是因为一旦识别了流量和应用流,就可以制定策略,使交换机处理安全异常或不同应用要求的方法自动化。可疑的流量可能被减速,并给以较低的带宽,或者在某些情况下被完全丢弃。同样,也可以制定策略,给诸如VoIP或金融应用之类的关键应用以优先权和确保它们能得到最佳带宽,而把不怎么关键的应用归于延后处理的范围。
厂商们说,这些策略如果与智能交换机结合,就会比旧QoS时代的策略更加友好和更易于实现。Enterasys的Roese表示,“该想法换句话就是,我能为销售员描述一系列行为,一旦我这么做了,该想法就能够帮助用户实现很多功能,诸如获得什么服务模式、什么质量、什么带宽和安全参数等。但是对于销售员来说,该想法被抽象为一种策略,因而它可以应用于任何技术。策略当今的确是本行业的一个薄弱环节,因为不幸的是,许多策略定义缺乏任何一种抽象。人们混淆了一些概念,像‘配置 VLAN来发挥隔离作用’之类的事情,事实上,这不是策略,而是VLAN的配置。”
Germanow承认,“策略是很难解决的一个难题。考虑这些方法时,必须知道在谈论的是什么策略、可以获得怎样的力度和那实际上意味着什么?谈论的只是构建许多VLAN吗?或者它是超出于此的东西吗? 这两种情况不一样。”
谨慎对待升级
由于这种新的智能暂时还不可能完全嵌入到局域网交换机中,用户必须谨慎地对待升级交换机的期望。Germanow说,“如果我们设想网络上的应用分发、安全、移动和语音流量方面的技术将继续非常快速地发展,你就必须退后一步思考,上面提到的每一领域,用户都有自己的组织机构,而且它可能在网络预算之外还有其自己的预算。但无论如何,网络要从尽力而为的基础架构迁移到关键任务基础架构。这是一个相当大的突变,如果你要购买新的交换设备,技巧就是考虑把它用于至关重要的任务,而不是考虑如何获得低廉的端口或仅仅使网络能够维持下去。(美国《Network World》供本报专稿)
编看编想
认清本质
○ 本报记者 张旭军
下一代交换机(或者新一代交换机、第二代交换机等)这个词语我们已经不再陌生,但其本质在哪里,恐怕没有多少人熟悉了。记者尝试对此说明一下,供大家探讨。
下一代交换机已经超越了传输速度这个层面,追求的是“看人下菜碟”这种“不厚道”的作法。什么意思?就是交换机能够识别每一个传输的“应用流”是什么,属于哪种应用。仅有这些还不够,还要能够对不同的应用进行不同“款待”,如果是关键应用,就视为VIP,优先对待,多分配些带宽,反之,就不多说了。这也可理解为我们平时最经常说的“策略”。
安全特性也要过硬。关于安全方面,也许有的人会说,具备了“看人下菜碟”的本领,也就具备了一定程度的安全能力。但更要强调的是,仅仅依靠软件对待安全并不明智,单独的硬件来处理安全才能更好地保证性能。
概括来讲,记者认为,如果在板卡、结构等方面都没有本质变化的交换机很难让人信服就是下一代交换机。
另外,正如正文中所说,不同的公司将下一代交换机给出了不同名字,事实上,这没有什么关系,因为当下一代交换机普遍存在的时候,下一代交换机的概念自然就消失了。正如几年前,IP网上还只传输数据之时,融合网络、一体化网络、多业务网络等同样都成为网络巨头们宣传的口号,但本质就是追求数据、语音和视频同时共存于IP网络,说大点,就是所谓的Everyting Over IP。
1730
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
