用好核心交換機

——多業(yè)務(wù)企業(yè)網(wǎng)方案測試

　　隨著交換機功能的不斷增加，不少用戶開始在其實施和配置的復(fù)雜性面前駐足不前。事實上，這些新的功能不但能夠解決用戶面臨的諸多問題，而且還是未來智能企業(yè)網(wǎng)的必要基礎(chǔ)。為了幫助企業(yè)用戶更有效地運用企業(yè)網(wǎng)多業(yè)務(wù)核心交換機，我們組織了這次方案評測，思路是從一些典型的需求示例出發(fā)，拉近產(chǎn)品與應(yīng)用的距離。

　　幾年來，企業(yè)網(wǎng)的環(huán)境發(fā)生了顯著的變化，在融合等因素的推動下，以太網(wǎng)承載的業(yè)務(wù)更加多樣化，對于帶寬、實時性和業(yè)務(wù)連續(xù)性的要求也更高。千兆以太網(wǎng)的迅速普及迎合了這一趨勢，而DDoS等新型攻擊，以及BT等新型P2P應(yīng)用的出現(xiàn)可以短時間內(nèi)占滿網(wǎng)絡(luò)帶寬，使千兆網(wǎng)絡(luò)帶來的效率提高大打折扣，這也使得用戶對于帶寬控制的需求和流量識別的需求也空前高漲。

　　為了適應(yīng)環(huán)境的變化，企業(yè)網(wǎng)交換機在邁入千兆時代的同時不斷加入新的功能，滿足用戶對于安全、融合等多方面的需要。

　　在主流網(wǎng)絡(luò)廠商的規(guī)劃中，未來的交換機將能夠智能地區(qū)分網(wǎng)絡(luò)流量，提供對業(yè)務(wù)透明的虛擬化網(wǎng)絡(luò)，在保障安全的前提下達到網(wǎng)絡(luò)效率的最大化。

　　雖然這種全網(wǎng)智能的圖景看起來還有些遙遠，但現(xiàn)有的主流企業(yè)級核心交換機中的確已經(jīng)包含了未來智能化企業(yè)網(wǎng)的一些特征和基本元素，只要有效利用這些新的功能，用戶完全可以解決多數(shù)現(xiàn)有的問題。

　　為了幫助用戶更有效地使用交換機的新特性，解決企業(yè)網(wǎng)絡(luò)中普遍存在的問題，我們特地組織了這次企業(yè)網(wǎng)方案評測。

　　該方案的背景及需求是我們在進行了大量用戶調(diào)查的基礎(chǔ)上提煉概括而來的，能夠較好地代表當(dāng)前主流企業(yè)用戶的實際情況。

　　評測在《計算機世界》評測實驗室進行，所用測試設(shè)備為思博倫通信公司的SmartBits 6000C，以及Avalanche 2500/Reflector 2500測試儀。

背景及需求分析

用戶背景及規(guī)模

　　某國際保險公司北京主營業(yè)處遷址，在某知名寫字樓租用兩層，使用面積約2100平米，共有員工100人。此外，有約800名保險代理人在該營業(yè)處辦公，正常情況下，同時辦公的人數(shù)約300人。為此，該營業(yè)處將設(shè)350個辦公位。

主要業(yè)務(wù)

　　語音 該公司規(guī)定，所有辦公位使用以太網(wǎng)電話，除了營業(yè)處內(nèi)部通話之外，與全球其他分公司、營業(yè)處之間的電話聯(lián)系使用基于公網(wǎng)的VPN實現(xiàn)。

　　視頻 該保險公司設(shè)有連接全球各分公司和營業(yè)處的視頻會議系統(tǒng)，同樣使用基于Internet的VPN實現(xiàn)。

　　數(shù)據(jù) 常規(guī)的數(shù)據(jù)業(yè)務(wù)包括該營業(yè)處員工的E-Mail、Web瀏覽等。此外，該營業(yè)處將建立一個該公司的全國數(shù)據(jù)中心，運行CRM系統(tǒng)、保單設(shè)計系統(tǒng)、保單管理、知識管理系統(tǒng)以及相應(yīng)的數(shù)據(jù)庫系統(tǒng)，加上郵件服務(wù)器、NAS等輔助系統(tǒng)，共有服務(wù)器40余臺，全部配備千兆以太網(wǎng)卡。

Internet接入

　　該營業(yè)處通過光纖連接運營商網(wǎng)絡(luò)，帶寬為100Mbps，此外，還使用一條2Mbps DDN專線作為備份。

需求歸納與分析

　　路由、交換與NAT 數(shù)據(jù)中心的服務(wù)器要對外提供服務(wù)，因此需要使用路由功能。各辦公位及數(shù)據(jù)中心所需交換機端口數(shù)約800個，此外，營業(yè)處的用戶訪問Internet需要NAT功能，進行網(wǎng)絡(luò)連接。

　　業(yè)務(wù)區(qū)分 該企業(yè)網(wǎng)需要承載多種業(yè)務(wù)，其中，音頻、視頻對于實時性的要求較高，因此，在網(wǎng)絡(luò)發(fā)生擁塞的情況下，需要優(yōu)先保障它們的帶寬，其中，又以音頻流量的優(yōu)先級更高；在業(yè)務(wù)數(shù)據(jù)中，流向保單生成系統(tǒng)等業(yè)務(wù)系統(tǒng)的訪問流量最為重要，前端系統(tǒng)訪問數(shù)據(jù)庫的帶寬也需要得到保障，但非指定服務(wù)器IP訪問數(shù)據(jù)庫服務(wù)器的流量將被阻斷�？蛻魴C運行非授權(quán)網(wǎng)絡(luò)應(yīng)用的流量也應(yīng)被阻斷。

　　網(wǎng)絡(luò)容錯 此外，數(shù)據(jù)中心里運行了該公司全國性的服務(wù)，保存了大量的用戶信息和業(yè)務(wù)數(shù)據(jù)，必須保證7×24的運作。一旦主Internet接入鏈路失效，應(yīng)迅速切換到備份鏈路，從而保持業(yè)務(wù)的連續(xù)性。為此，通�？梢栽诟鲗ν夥�務(wù)器的網(wǎng)絡(luò)接口綁定兩套IP地址，通過DNS來實現(xiàn)出錯接管。但是在網(wǎng)絡(luò)層面，還需要交換機能夠自動鑒別鏈路實效，并切換到備份鏈路。

　　實時流量監(jiān)控 為了隨時了解網(wǎng)絡(luò)的使用情況，在最短的時間內(nèi)對網(wǎng)絡(luò)異常情況做出響應(yīng)，用戶需要一種流量監(jiān)控的機制，舉例來說，如果網(wǎng)絡(luò)出現(xiàn)異常的網(wǎng)絡(luò)攻擊流量或BT下載流量，用戶的網(wǎng)絡(luò)管理員應(yīng)該能夠迅速隔離問題，找到異常的應(yīng)用和協(xié)議端口，以便采取相應(yīng)的處理措施。

　　安全性考慮 在實現(xiàn)內(nèi)網(wǎng)、外網(wǎng)隔離的同時，要能夠有效保障數(shù)據(jù)中心服務(wù)器的安全性，例如，需要阻止非授權(quán)IP地址訪問數(shù)據(jù)庫服務(wù)器，而得到授權(quán)訪問數(shù)據(jù)庫服務(wù)的IP地址也不能訪問除數(shù)據(jù)庫服務(wù)之外的其他端口。對于內(nèi)網(wǎng)用戶，除了要防止非授權(quán)的PC機或以太網(wǎng)電話機接入外，還需要有一種有效的手段阻止內(nèi)網(wǎng)用戶過度耗用網(wǎng)絡(luò)帶寬。

方案設(shè)計與設(shè)備選型

設(shè)備選型

　　經(jīng)過考察，我們發(fā)現(xiàn)上述所需的主要功能，使用華為3Com的Quidway S6506多業(yè)務(wù)交換機都能夠滿足。

　　Quidway S6506（如圖1所示）曾經(jīng)獲得2004《計算機世界》年度產(chǎn)品獎。它是一款機柜式結(jié)構(gòu)的路由交換機，尺寸規(guī)格為436mm×477mm×486.2mm（寬×高×深），共支持7個插槽，其中，除一個指定為路由交換引擎模塊（并帶有用于配置的Console 口及監(jiān)控網(wǎng)口）外，其余6個都可以作為業(yè)務(wù)接口板插槽，可根據(jù)組網(wǎng)環(huán)境需要選配各種業(yè)務(wù)接口板，并支持混插。Quidway S6506的標(biāo)稱背板帶寬為128Gbps，滿配時可以支持288個千兆端口，并可支持萬兆模塊（LS81TGX1B），系統(tǒng)采用分布式結(jié)構(gòu)，所有單板支持熱插拔，電源系統(tǒng)采用N+1冗余熱備份，支持STP/RSTP協(xié)議和VRRP協(xié)議，能夠滿足數(shù)據(jù)中心的可靠性要求。

　　在QoS/帶寬管理方面，Quidway S6506能支持基于端口MAC地址、IP地址、TCP/UDP端口號、ToS/Diffserv值、CAR流控，控制粒度可為64Kbps。它還支持優(yōu)先級基于VLAN、端口、IEEE 801.1P、ToS/Diffserv以及根據(jù)流分類設(shè)置優(yōu)先級的CoS，每端口8 個發(fā)送隊列，并支持FIFO 隊列和PQ優(yōu)先級隊列等隊列調(diào)度算法。

　　在路由功能方面，Quidway S6506支持RIP、OSPF、Integrated IS-IS及BGP4，在這種應(yīng)用場合下完全能夠滿足用戶需要。

　　在安全性能方面，Quidway S6506提供了對L2/3/4 流規(guī)則過濾、用戶分級管理和口令保護，包括集成用戶/Radius/802.1x 認證在內(nèi)的多種用戶認證方式，以及OSPF、RIP v2和BGP v4 的報文明文及MD5摘要認證的支持。這使用戶能夠?qū)崿F(xiàn)對于網(wǎng)絡(luò)流量的精確控制，并可以有效阻止非授權(quán)的網(wǎng)絡(luò)接入。

　　在網(wǎng)絡(luò)管理/流量檢測方面，Quidway S6506不僅支持SNMP/RMON，能夠與Open View等通用網(wǎng)管平臺，以及Quidview、iManager 等網(wǎng)管系統(tǒng)協(xié)作;還支持NetStream功能，提供了對Netflow V5/V8監(jiān)控報文格式的支持，從而實現(xiàn)更加精確的流量監(jiān)控。

方案設(shè)計

　　方案設(shè)計拓撲如圖2所示。我們使用S6506配置4個業(yè)務(wù)接口板來滿足用戶的需求，包括2個LS81GT48 48端口千兆以太網(wǎng)模塊(如圖3所示)、1個8端口千兆以太網(wǎng)模塊，以及一個LS81VSNP模塊，剩余兩個插槽用于日后的擴展。


　　其中，8端口千兆以太網(wǎng)模塊用于Internet連接及服務(wù)器連接；2個48端口千兆模塊用于數(shù)據(jù)中心的服務(wù)器連接，以及通過連接Quidway S3026系列交換機提供內(nèi)部網(wǎng)絡(luò)所需的端口數(shù)量，除了實現(xiàn)桌面百兆連接之外，Quidway S3026還能在QoS、802.1x等方面與Quidway S6506無縫整合，使全網(wǎng)策略得到順利實施。

　　LS81VSNP多業(yè)務(wù)智能化處理模塊基于NP架構(gòu)，具有強大的處理能力，能夠以模塊化的方式提供NAT/PAT、Netstream流量檢測以及策略路由等功能。

方案測試與分析

整體配置

根據(jù)方案設(shè)計，我們對Quidway S6506進行了如下配置。

　　啟用NAT功能，設(shè)置外部地址池為5個，內(nèi)網(wǎng)邏輯地址為750個；先后啟用了靜態(tài)路由和BGP功能，并通過設(shè)置策略路由，使主接入線路失效時Internet訪問流量自動切換到備份線路；根據(jù)源/目的IP地址以及協(xié)議類型特征設(shè)置QoS優(yōu)先級依次為關(guān)鍵實時業(yè)務(wù)、語音業(yè)務(wù)、視訊業(yè)務(wù)、主要數(shù)據(jù)業(yè)務(wù)、次要數(shù)據(jù)業(yè)務(wù)及其他數(shù)據(jù)業(yè)務(wù)；為了實現(xiàn)流量的實時監(jiān)控，我們配置一臺Linux服務(wù)器為NetStream的收集、分析器，并設(shè)置Quidway S6506將Netstream報文發(fā)送到該服務(wù)器；并進行了ACL等基本的安全特性設(shè)置。

主要功能測試

　　經(jīng)過這一系列配置，S6506已經(jīng)達到了方案的需求。隨后，我們分別對各功能以及相關(guān)功能的整合進行了測試。

　　在NAT和BGP等基本測試中，Quidway S6506表現(xiàn)出了強大的處理能力，與其定位完全相符。不過，在一個方案測試中，這只算是熱身。我們隨即把重點放在了QoS、流量監(jiān)控和策略路由等功能的測試上，因為這些功能才真正體現(xiàn)了企業(yè)網(wǎng)智能化的發(fā)展思路。

　　在QoS測試中，我們使用SmartBits 6000C連接S6506的20個端口，模擬多種業(yè)務(wù)通過同一出口訪問網(wǎng)絡(luò)的情況，我們按照相同的比例發(fā)送不同業(yè)務(wù)類型的測試報文，在流量增加的過程中，QoS的作用很快就體現(xiàn)出來。如圖4所示，在各業(yè)務(wù)流量以10%的步長遞增過程中，優(yōu)先級越低的業(yè)務(wù)越早達到100%的丟包率，而優(yōu)先級最高的關(guān)鍵實時業(yè)務(wù)在吞吐量為600Mbps時仍然能夠得到全速轉(zhuǎn)發(fā)。在測試中我們發(fā)現(xiàn)，如果把Quidway S6506的QoS功能與帶寬限制功能結(jié)合使用，可以有效保障關(guān)鍵業(yè)務(wù)的運行。

　　用好QoS的前提是對于企業(yè)的業(yè)務(wù)和相應(yīng)的業(yè)務(wù)流量有全面的了解。而使用傳統(tǒng)的手段很難幫助網(wǎng)絡(luò)管理員了解業(yè)務(wù)流量的統(tǒng)計數(shù)據(jù)，而基于估算得出的QoS或帶寬限制策略往往會與實際情況脫節(jié)。為此，網(wǎng)絡(luò)廠商最近開始陸續(xù)提供了一些業(yè)務(wù)流量觀察的手段。L3+模塊的NetStream功能兼容Cisco的NetFlow V5/V8格式，能夠提供對業(yè)務(wù)流量數(shù)據(jù)的精確統(tǒng)計。

　　我們使用基于Linux平臺的ntop作為收集和分析NetStream數(shù)據(jù)的工具。在使用SmartBits持續(xù)發(fā)送模擬流量的條件下，通過ntop的Web界面觀察業(yè)務(wù)流量的變化，并根據(jù)觀察的結(jié)果調(diào)整Quidway S6506的設(shè)置，實現(xiàn)網(wǎng)絡(luò)的優(yōu)化。

　　經(jīng)過一段時間的測試，我們發(fā)現(xiàn)NetSream的確能夠提供網(wǎng)絡(luò)管理員需要的流量信息。與常用的協(xié)議分析設(shè)備/軟件不同，NetFlow/NetStream只報告/收集報文的信息，而不需要捕捉整個流量，因此在使用專用處理設(shè)備或模塊的情況下，不會影響到網(wǎng)絡(luò)設(shè)備的處理性能。另外，與常見MRTG工具相比，MRTG基于SNMP協(xié)議獲取信息，對于端口的流量，MRTG能提供精確統(tǒng)計，但對于3層以上的信息則無從得知了。而這正是NetSteam/Netflow的強項。



　　ntop不但能夠顯示基于IP地址的帶寬占用情況（如圖4所示），幫助網(wǎng)絡(luò)管理員迅速定位惡意搶占網(wǎng)絡(luò)帶寬的用戶和應(yīng)用，還能基于協(xié)議的類型進行統(tǒng)計并生成直觀的圖表（如圖5所示），幫助網(wǎng)絡(luò)管理員了解業(yè)務(wù)流量的組成和比例，進而以此為依據(jù)來優(yōu)化網(wǎng)絡(luò)。





　　在策略路由測試中，我們將一臺具有三個網(wǎng)絡(luò)接口的服務(wù)器配置成方案中的Internet接入路由器。其中兩個網(wǎng)絡(luò)接口模擬主Internet連接和備份連接，第三個端口連接一臺服務(wù)器用來驗證Internet訪問的可用性。我們的測試證明，在配置主鏈路超時即使用備份鏈路的策略路由后，一旦主Internet鏈路失效（關(guān)閉Quidway S6500的相關(guān)端口，或者拔掉相應(yīng)的網(wǎng)線），從內(nèi)網(wǎng)訪問外網(wǎng)Internet驗證服務(wù)器的請求立即轉(zhuǎn)到了備份鏈路上。這對于用戶的業(yè)務(wù)連續(xù)性是非常好的保障。

認知業(yè)務(wù)流量——用好交換機的前提

　　未來的智能企業(yè)網(wǎng)無法單靠以太網(wǎng)交換機來實現(xiàn)，而需要交換機與各種應(yīng)用和設(shè)備進行聯(lián)動，來實現(xiàn)網(wǎng)絡(luò)流量控制分配的自動化。從控制功能的角度看，現(xiàn)有的企業(yè)網(wǎng)交換機產(chǎn)品已經(jīng)相當(dāng)強大，只是還沒有普遍地與外界配合，形成有效的聯(lián)動。我們發(fā)現(xiàn)有不少用戶認為交換機的功能過于復(fù)雜，難以配置。但我們這次方案測試證明，只要是能夠分析清楚自身的業(yè)務(wù)需求，在對業(yè)務(wù)流量有一定認知的情況下，用好企業(yè)網(wǎng)交換機其實并不困難。事實上，即使企業(yè)網(wǎng)真的智能化了，用戶對于業(yè)務(wù)流量的認知也是非常重要的，而且一定比現(xiàn)在還重要。