用好核心交換機(jī)

——多業(yè)務(wù)企業(yè)網(wǎng)方案測(cè)試

　　隨著交換機(jī)功能的不斷增加，不少用戶開(kāi)始在其實(shí)施和配置的復(fù)雜性面前駐足不前。事實(shí)上，這些新的功能不但能夠解決用戶面臨的諸多問(wèn)題，而且還是未來(lái)智能企業(yè)網(wǎng)的必要基礎(chǔ)。為了幫助企業(yè)用戶更有效地運(yùn)用企業(yè)網(wǎng)多業(yè)務(wù)核心交換機(jī)，我們組織了這次方案評(píng)測(cè)，思路是從一些典型的需求示例出發(fā)，拉近產(chǎn)品與應(yīng)用的距離。

　　幾年來(lái)，企業(yè)網(wǎng)的環(huán)境發(fā)生了顯著的變化，在融合等因素的推動(dòng)下，以太網(wǎng)承載的業(yè)務(wù)更加多樣化，對(duì)于帶寬、實(shí)時(shí)性和業(yè)務(wù)連續(xù)性的要求也更高。千兆以太網(wǎng)的迅速普及迎合了這一趨勢(shì)，而DDoS等新型攻擊，以及BT等新型P2P應(yīng)用的出現(xiàn)可以短時(shí)間內(nèi)占滿網(wǎng)絡(luò)帶寬，使千兆網(wǎng)絡(luò)帶來(lái)的效率提高大打折扣，這也使得用戶對(duì)于帶寬控制的需求和流量識(shí)別的需求也空前高漲。

　　為了適應(yīng)環(huán)境的變化，企業(yè)網(wǎng)交換機(jī)在邁入千兆時(shí)代的同時(shí)不斷加入新的功能，滿足用戶對(duì)于安全、融合等多方面的需要。

　　在主流網(wǎng)絡(luò)廠商的規(guī)劃中，未來(lái)的交換機(jī)將能夠智能地區(qū)分網(wǎng)絡(luò)流量，提供對(duì)業(yè)務(wù)透明的虛擬化網(wǎng)絡(luò)，在保障安全的前提下達(dá)到網(wǎng)絡(luò)效率的最大化。

　　雖然這種全網(wǎng)智能的圖景看起來(lái)還有些遙遠(yuǎn)，但現(xiàn)有的主流企業(yè)級(jí)核心交換機(jī)中的確已經(jīng)包含了未來(lái)智能化企業(yè)網(wǎng)的一些特征和基本元素，只要有效利用這些新的功能，用戶完全可以解決多數(shù)現(xiàn)有的問(wèn)題。

　　為了幫助用戶更有效地使用交換機(jī)的新特性，解決企業(yè)網(wǎng)絡(luò)中普遍存在的問(wèn)題，我們特地組織了這次企業(yè)網(wǎng)方案評(píng)測(cè)。

　　該方案的背景及需求是我們?cè)谶M(jìn)行了大量用戶調(diào)查的基礎(chǔ)上提煉概括而來(lái)的，能夠較好地代表當(dāng)前主流企業(yè)用戶的實(shí)際情況。

　　評(píng)測(cè)在《計(jì)算機(jī)世界》評(píng)測(cè)實(shí)驗(yàn)室進(jìn)行，所用測(cè)試設(shè)備為思博倫通信公司的SmartBits 6000C，以及Avalanche 2500/Reflector 2500測(cè)試儀。

背景及需求分析

用戶背景及規(guī)模

　　某國(guó)際保險(xiǎn)公司北京主營(yíng)業(yè)處遷址，在某知名寫(xiě)字樓租用兩層，使用面積約2100平米，共有員工100人。此外，有約800名保險(xiǎn)代理人在該營(yíng)業(yè)處辦公，正常情況下，同時(shí)辦公的人數(shù)約300人。為此，該營(yíng)業(yè)處將設(shè)350個(gè)辦公位。

主要業(yè)務(wù)

　　語(yǔ)音 該公司規(guī)定，所有辦公位使用以太網(wǎng)電話，除了營(yíng)業(yè)處內(nèi)部通話之外，與全球其他分公司、營(yíng)業(yè)處之間的電話聯(lián)系使用基于公網(wǎng)的VPN實(shí)現(xiàn)。

　　視頻 該保險(xiǎn)公司設(shè)有連接全球各分公司和營(yíng)業(yè)處的視頻會(huì)議系統(tǒng)，同樣使用基于Internet的VPN實(shí)現(xiàn)。

　　數(shù)據(jù) 常規(guī)的數(shù)據(jù)業(yè)務(wù)包括該營(yíng)業(yè)處員工的E-Mail、Web瀏覽等。此外，該營(yíng)業(yè)處將建立一個(gè)該公司的全國(guó)數(shù)據(jù)中心，運(yùn)行CRM系統(tǒng)、保單設(shè)計(jì)系統(tǒng)、保單管理、知識(shí)管理系統(tǒng)以及相應(yīng)的數(shù)據(jù)庫(kù)系統(tǒng)，加上郵件服務(wù)器、NAS等輔助系統(tǒng)，共有服務(wù)器40余臺(tái)，全部配備千兆以太網(wǎng)卡。

Internet接入

　　該營(yíng)業(yè)處通過(guò)光纖連接運(yùn)營(yíng)商網(wǎng)絡(luò)，帶寬為100Mbps，此外，還使用一條2Mbps DDN專線作為備份。

需求歸納與分析

　　路由、交換與NAT 數(shù)據(jù)中心的服務(wù)器要對(duì)外提供服務(wù)，因此需要使用路由功能。各辦公位及數(shù)據(jù)中心所需交換機(jī)端口數(shù)約800個(gè)，此外，營(yíng)業(yè)處的用戶訪問(wèn)Internet需要NAT功能，進(jìn)行網(wǎng)絡(luò)連接。

　　業(yè)務(wù)區(qū)分 該企業(yè)網(wǎng)需要承載多種業(yè)務(wù)，其中，音頻、視頻對(duì)于實(shí)時(shí)性的要求較高，因此，在網(wǎng)絡(luò)發(fā)生擁塞的情況下，需要優(yōu)先保障它們的帶寬，其中，又以音頻流量的優(yōu)先級(jí)更高；在業(yè)務(wù)數(shù)據(jù)中，流向保單生成系統(tǒng)等業(yè)務(wù)系統(tǒng)的訪問(wèn)流量最為重要，前端系統(tǒng)訪問(wèn)數(shù)據(jù)庫(kù)的帶寬也需要得到保障，但非指定服務(wù)器IP訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器的流量將被阻斷�？蛻魴C(jī)運(yùn)行非授權(quán)網(wǎng)絡(luò)應(yīng)用的流量也應(yīng)被阻斷。

　　網(wǎng)絡(luò)容錯(cuò) 此外，數(shù)據(jù)中心里運(yùn)行了該公司全國(guó)性的服務(wù)，保存了大量的用戶信息和業(yè)務(wù)數(shù)據(jù)，必須保證7×24的運(yùn)作。一旦主Internet接入鏈路失效，應(yīng)迅速切換到備份鏈路，從而保持業(yè)務(wù)的連續(xù)性。為此，通�？梢栽诟鲗�(duì)外服務(wù)器的網(wǎng)絡(luò)接口綁定兩套IP地址，通過(guò)DNS來(lái)實(shí)現(xiàn)出錯(cuò)接管。但是在網(wǎng)絡(luò)層面，還需要交換機(jī)能夠自動(dòng)鑒別鏈路實(shí)效，并切換到備份鏈路。

　　實(shí)時(shí)流量監(jiān)控 為了隨時(shí)了解網(wǎng)絡(luò)的使用情況，在最短的時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)異常情況做出響應(yīng)，用戶需要一種流量監(jiān)控的機(jī)制，舉例來(lái)說(shuō)，如果網(wǎng)絡(luò)出現(xiàn)異常的網(wǎng)絡(luò)攻擊流量或BT下載流量，用戶的網(wǎng)絡(luò)管理員應(yīng)該能夠迅速隔離問(wèn)題，找到異常的應(yīng)用和協(xié)議端口，以便采取相應(yīng)的處理措施。

　　安全性考慮 在實(shí)現(xiàn)內(nèi)網(wǎng)、外網(wǎng)隔離的同時(shí)，要能夠有效保障數(shù)據(jù)中心服務(wù)器的安全性，例如，需要阻止非授權(quán)IP地址訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器，而得到授權(quán)訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)的IP地址也不能訪問(wèn)除數(shù)據(jù)庫(kù)服務(wù)之外的其他端口。對(duì)于內(nèi)網(wǎng)用戶，除了要防止非授權(quán)的PC機(jī)或以太網(wǎng)電話機(jī)接入外，還需要有一種有效的手段阻止內(nèi)網(wǎng)用戶過(guò)度耗用網(wǎng)絡(luò)帶寬。

方案設(shè)計(jì)與設(shè)備選型

設(shè)備選型

　　經(jīng)過(guò)考察，我們發(fā)現(xiàn)上述所需的主要功能，使用華為3Com的Quidway S6506多業(yè)務(wù)交換機(jī)都能夠滿足。

　　Quidway S6506（如圖1所示）曾經(jīng)獲得2004《計(jì)算機(jī)世界》年度產(chǎn)品獎(jiǎng)。它是一款機(jī)柜式結(jié)構(gòu)的路由交換機(jī)，尺寸規(guī)格為436mm×477mm×486.2mm（寬×高×深），共支持7個(gè)插槽，其中，除一個(gè)指定為路由交換引擎模塊（并帶有用于配置的Console 口及監(jiān)控網(wǎng)口）外，其余6個(gè)都可以作為業(yè)務(wù)接口板插槽，可根據(jù)組網(wǎng)環(huán)境需要選配各種業(yè)務(wù)接口板，并支持混插。Quidway S6506的標(biāo)稱背板帶寬為128Gbps，滿配時(shí)可以支持288個(gè)千兆端口，并可支持萬(wàn)兆模塊（LS81TGX1B），系統(tǒng)采用分布式結(jié)構(gòu)，所有單板支持熱插拔，電源系統(tǒng)采用N+1冗余熱備份，支持STP/RSTP協(xié)議和VRRP協(xié)議，能夠滿足數(shù)據(jù)中心的可靠性要求。

　　在QoS/帶寬管理方面，Quidway S6506能支持基于端口MAC地址、IP地址、TCP/UDP端口號(hào)、ToS/Diffserv值、CAR流控，控制粒度可為64Kbps。它還支持優(yōu)先級(jí)基于VLAN、端口、IEEE 801.1P、ToS/Diffserv以及根據(jù)流分類設(shè)置優(yōu)先級(jí)的CoS，每端口8 個(gè)發(fā)送隊(duì)列，并支持FIFO 隊(duì)列和PQ優(yōu)先級(jí)隊(duì)列等隊(duì)列調(diào)度算法。

　　在路由功能方面，Quidway S6506支持RIP、OSPF、Integrated IS-IS及BGP4，在這種應(yīng)用場(chǎng)合下完全能夠滿足用戶需要。

　　在安全性能方面，Quidway S6506提供了對(duì)L2/3/4 流規(guī)則過(guò)濾、用戶分級(jí)管理和口令保護(hù)，包括集成用戶/Radius/802.1x 認(rèn)證在內(nèi)的多種用戶認(rèn)證方式，以及OSPF、RIP v2和BGP v4 的報(bào)文明文及MD5摘要認(rèn)證的支持。這使用戶能夠?qū)崿F(xiàn)對(duì)于網(wǎng)絡(luò)流量的精確控制，并可以有效阻止非授權(quán)的網(wǎng)絡(luò)接入。

　　在網(wǎng)絡(luò)管理/流量檢測(cè)方面，Quidway S6506不僅支持SNMP/RMON，能夠與Open View等通用網(wǎng)管平臺(tái)，以及Quidview、iManager 等網(wǎng)管系統(tǒng)協(xié)作;還支持NetStream功能，提供了對(duì)Netflow V5/V8監(jiān)控報(bào)文格式的支持，從而實(shí)現(xiàn)更加精確的流量監(jiān)控。

方案設(shè)計(jì)

　　方案設(shè)計(jì)拓?fù)淙鐖D2所示。我們使用S6506配置4個(gè)業(yè)務(wù)接口板來(lái)滿足用戶的需求，包括2個(gè)LS81GT48 48端口千兆以太網(wǎng)模塊(如圖3所示)、1個(gè)8端口千兆以太網(wǎng)模塊，以及一個(gè)LS81VSNP模塊，剩余兩個(gè)插槽用于日后的擴(kuò)展。


　　其中，8端口千兆以太網(wǎng)模塊用于Internet連接及服務(wù)器連接；2個(gè)48端口千兆模塊用于數(shù)據(jù)中心的服務(wù)器連接，以及通過(guò)連接Quidway S3026系列交換機(jī)提供內(nèi)部網(wǎng)絡(luò)所需的端口數(shù)量，除了實(shí)現(xiàn)桌面百兆連接之外，Quidway S3026還能在QoS、802.1x等方面與Quidway S6506無(wú)縫整合，使全網(wǎng)策略得到順利實(shí)施。

　　LS81VSNP多業(yè)務(wù)智能化處理模塊基于NP架構(gòu)，具有強(qiáng)大的處理能力，能夠以模塊化的方式提供NAT/PAT、Netstream流量檢測(cè)以及策略路由等功能。

方案測(cè)試與分析

整體配置

根據(jù)方案設(shè)計(jì)，我們對(duì)Quidway S6506進(jìn)行了如下配置。

　　啟用NAT功能，設(shè)置外部地址池為5個(gè)，內(nèi)網(wǎng)邏輯地址為750個(gè)；先后啟用了靜態(tài)路由和BGP功能，并通過(guò)設(shè)置策略路由，使主接入線路失效時(shí)Internet訪問(wèn)流量自動(dòng)切換到備份線路；根據(jù)源/目的IP地址以及協(xié)議類型特征設(shè)置QoS優(yōu)先級(jí)依次為關(guān)鍵實(shí)時(shí)業(yè)務(wù)、語(yǔ)音業(yè)務(wù)、視訊業(yè)務(wù)、主要數(shù)據(jù)業(yè)務(wù)、次要數(shù)據(jù)業(yè)務(wù)及其他數(shù)據(jù)業(yè)務(wù)；為了實(shí)現(xiàn)流量的實(shí)時(shí)監(jiān)控，我們配置一臺(tái)Linux服務(wù)器為NetStream的收集、分析器，并設(shè)置Quidway S6506將Netstream報(bào)文發(fā)送到該服務(wù)器；并進(jìn)行了ACL等基本的安全特性設(shè)置。

主要功能測(cè)試

　　經(jīng)過(guò)這一系列配置，S6506已經(jīng)達(dá)到了方案的需求。隨后，我們分別對(duì)各功能以及相關(guān)功能的整合進(jìn)行了測(cè)試。

　　在NAT和BGP等基本測(cè)試中，Quidway S6506表現(xiàn)出了強(qiáng)大的處理能力，與其定位完全相符。不過(guò)，在一個(gè)方案測(cè)試中，這只算是熱身。我們隨即把重點(diǎn)放在了QoS、流量監(jiān)控和策略路由等功能的測(cè)試上，因?yàn)檫@些功能才真正體現(xiàn)了企業(yè)網(wǎng)智能化的發(fā)展思路。

　　在QoS測(cè)試中，我們使用SmartBits 6000C連接S6506的20個(gè)端口，模擬多種業(yè)務(wù)通過(guò)同一出口訪問(wèn)網(wǎng)絡(luò)的情況，我們按照相同的比例發(fā)送不同業(yè)務(wù)類型的測(cè)試報(bào)文，在流量增加的過(guò)程中，QoS的作用很快就體現(xiàn)出來(lái)。如圖4所示，在各業(yè)務(wù)流量以10%的步長(zhǎng)遞增過(guò)程中，優(yōu)先級(jí)越低的業(yè)務(wù)越早達(dá)到100%的丟包率，而優(yōu)先級(jí)最高的關(guān)鍵實(shí)時(shí)業(yè)務(wù)在吞吐量為600Mbps時(shí)仍然能夠得到全速轉(zhuǎn)發(fā)。在測(cè)試中我們發(fā)現(xiàn)，如果把Quidway S6506的QoS功能與帶寬限制功能結(jié)合使用，可以有效保障關(guān)鍵業(yè)務(wù)的運(yùn)行。

　　用好QoS的前提是對(duì)于企業(yè)的業(yè)務(wù)和相應(yīng)的業(yè)務(wù)流量有全面的了解。而使用傳統(tǒng)的手段很難幫助網(wǎng)絡(luò)管理員了解業(yè)務(wù)流量的統(tǒng)計(jì)數(shù)據(jù)，而基于估算得出的QoS或帶寬限制策略往往會(huì)與實(shí)際情況脫節(jié)。為此，網(wǎng)絡(luò)廠商最近開(kāi)始陸續(xù)提供了一些業(yè)務(wù)流量觀察的手段。L3+模塊的NetStream功能兼容Cisco的NetFlow V5/V8格式，能夠提供對(duì)業(yè)務(wù)流量數(shù)據(jù)的精確統(tǒng)計(jì)。

　　我們使用基于Linux平臺(tái)的ntop作為收集和分析NetStream數(shù)據(jù)的工具。在使用SmartBits持續(xù)發(fā)送模擬流量的條件下，通過(guò)ntop的Web界面觀察業(yè)務(wù)流量的變化，并根據(jù)觀察的結(jié)果調(diào)整Quidway S6506的設(shè)置，實(shí)現(xiàn)網(wǎng)絡(luò)的優(yōu)化。

　　經(jīng)過(guò)一段時(shí)間的測(cè)試，我們發(fā)現(xiàn)NetSream的確能夠提供網(wǎng)絡(luò)管理員需要的流量信息。與常用的協(xié)議分析設(shè)備/軟件不同，NetFlow/NetStream只報(bào)告/收集報(bào)文的信息，而不需要捕捉整個(gè)流量，因此在使用專用處理設(shè)備或模塊的情況下，不會(huì)影響到網(wǎng)絡(luò)設(shè)備的處理性能。另外，與常見(jiàn)MRTG工具相比，MRTG基于SNMP協(xié)議獲取信息，對(duì)于端口的流量，MRTG能提供精確統(tǒng)計(jì)，但對(duì)于3層以上的信息則無(wú)從得知了。而這正是NetSteam/Netflow的強(qiáng)項(xiàng)。



　　ntop不但能夠顯示基于IP地址的帶寬占用情況（如圖4所示），幫助網(wǎng)絡(luò)管理員迅速定位惡意搶占網(wǎng)絡(luò)帶寬的用戶和應(yīng)用，還能基于協(xié)議的類型進(jìn)行統(tǒng)計(jì)并生成直觀的圖表（如圖5所示），幫助網(wǎng)絡(luò)管理員了解業(yè)務(wù)流量的組成和比例，進(jìn)而以此為依據(jù)來(lái)優(yōu)化網(wǎng)絡(luò)。





　　在策略路由測(cè)試中，我們將一臺(tái)具有三個(gè)網(wǎng)絡(luò)接口的服務(wù)器配置成方案中的Internet接入路由器。其中兩個(gè)網(wǎng)絡(luò)接口模擬主Internet連接和備份連接，第三個(gè)端口連接一臺(tái)服務(wù)器用來(lái)驗(yàn)證Internet訪問(wèn)的可用性。我們的測(cè)試證明，在配置主鏈路超時(shí)即使用備份鏈路的策略路由后，一旦主Internet鏈路失效（關(guān)閉Quidway S6500的相關(guān)端口，或者拔掉相應(yīng)的網(wǎng)線），從內(nèi)網(wǎng)訪問(wèn)外網(wǎng)Internet驗(yàn)證服務(wù)器的請(qǐng)求立即轉(zhuǎn)到了備份鏈路上。這對(duì)于用戶的業(yè)務(wù)連續(xù)性是非常好的保障。

認(rèn)知業(yè)務(wù)流量——用好交換機(jī)的前提

　　未來(lái)的智能企業(yè)網(wǎng)無(wú)法單靠以太網(wǎng)交換機(jī)來(lái)實(shí)現(xiàn)，而需要交換機(jī)與各種應(yīng)用和設(shè)備進(jìn)行聯(lián)動(dòng)，來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)流量控制分配的自動(dòng)化。從控制功能的角度看，現(xiàn)有的企業(yè)網(wǎng)交換機(jī)產(chǎn)品已經(jīng)相當(dāng)強(qiáng)大，只是還沒(méi)有普遍地與外界配合，形成有效的聯(lián)動(dòng)。我們發(fā)現(xiàn)有不少用戶認(rèn)為交換機(jī)的功能過(guò)于復(fù)雜，難以配置。但我們這次方案測(cè)試證明，只要是能夠分析清楚自身的業(yè)務(wù)需求，在對(duì)業(yè)務(wù)流量有一定認(rèn)知的情況下，用好企業(yè)網(wǎng)交換機(jī)其實(shí)并不困難。事實(shí)上，即使企業(yè)網(wǎng)真的智能化了，用戶對(duì)于業(yè)務(wù)流量的認(rèn)知也是非常重要的，而且一定比現(xiàn)在還重要。