從上個世紀(jì)90年代至今,運營商提供給企業(yè)用戶的主流專線線路發(fā)生了巨變。從早期廣泛采用X25,DDN,PSTN電話線等,到后來的2M的E1線路,再到現(xiàn)在的MSTP、裸光纖等線路,帶寬越來越大,以太接口接入成為趨勢。
金融網(wǎng)點的業(yè)務(wù)終端設(shè)備也發(fā)生了變化,早期普遍是UNIX前置機放在網(wǎng)點,采用異步啞終端做業(yè)務(wù);為了降低網(wǎng)點維護成本,后期普遍將前置機上收到地市支行或者省分行級別上,終端型號也由異步口啞終端逐步改為網(wǎng)絡(luò)終端或者PC機。另外,網(wǎng)點辦公、排隊機、跑馬屏等,都普遍采用以太接入,網(wǎng)點設(shè)備以太接入成為趨勢。
在這樣的趨勢下,網(wǎng)點廣域接入采用路由器,局域網(wǎng)接入采用交換機是很常見的接入模式。但是“路由器+交換機”模式需要兩臺設(shè)備,購置成本較高,管理維護麻煩。路由交換一體機由此應(yīng)運而生。
在路由交換一體機上同時集成了路由和交換功能。由于其易于部署,配置簡單,集成多種業(yè)務(wù)于單一平臺上 ,路由交換一體機降低了網(wǎng)絡(luò)的復(fù)雜性、IT人員的學(xué)習(xí)成本及設(shè)備采購和維護成本。隨著金融網(wǎng)點采用IP接入成為趨勢,路由交換一體機成為金融網(wǎng)點接入的主流產(chǎn)品。
為了抓住這種變化而帶來的生意機會,各數(shù)據(jù)設(shè)備廠家紛紛推出各自的路由交換一體機。這些琳瑯滿目的路由交換一體機,在技術(shù)實現(xiàn)上有什么不同嗎?
從其實現(xiàn)原理和實現(xiàn)機制來看,有兩種不同的交換架構(gòu)。
兩種不同的交換架構(gòu)
路由交換一體機從交換功能實現(xiàn)原理來看,存在兩種架構(gòu):集成式交換架構(gòu),分布式交換架構(gòu)。
集成式交換機架構(gòu):路由交換一體機的交換功能部分和路由功能部分共用CPU,交換芯片直接集成到路由器上,提供統(tǒng)一的啟動文件和配置文件。
分布式交換架構(gòu):路由交換機一體機的交換功能具有獨立的CPU和啟動文件。交換部分采用獨立成熟的交換機平臺來實現(xiàn)。
兩種交換架構(gòu)的硬件原理圖如下。本質(zhì)都是采用交換芯片來實現(xiàn)其交換功能部分,交換芯片通過數(shù)據(jù)通道和路由器的主CPU進行連接。只是集成式交換架構(gòu)的交換部分的管理控制是由路由器的OS來統(tǒng)一完成的;而分布式交換架構(gòu)的交換部分多了一個CPU,有獨立的OS和CPU。
集成式交換架構(gòu) 分布式交換架構(gòu)
這兩種架構(gòu)到底有什么區(qū)別呢?到底哪種交換架構(gòu)更適合金融網(wǎng)點用戶的業(yè)務(wù)需求呢?
業(yè)界最早推出路由交換一體機的是思科公司,早在2001-2003年,思科就推出了16端口和36端口的交換模塊,采用的是集成式交換架構(gòu)。而在2005年推出的16、24和48端口的交換模塊,采用的則是分布式交換架構(gòu)。
思科對于集成式和分布式交換架構(gòu)的區(qū)別的官方說法是這樣的:集成式交換模塊直接把交換芯片集成到路由器上,提供統(tǒng)一啟動文件和統(tǒng)一的配置,但是這樣的方式,會使得交換模塊功能落后于實際的版本,不易擴展,并且提供的功能有限。
從原理上分析,集成式交換架構(gòu)由于交換和路由是采用統(tǒng)一的OS和CPU,在管理和維護上比較方便,并且節(jié)省了交換部分的CPU,可以降低硬件的設(shè)計成本。不過這種架構(gòu)功能難以擴展且功能有限。
分布式交換架構(gòu)由于自帶OS和CPU,路由和交換都有獨立的OS,硬件設(shè)計成本比較高,在管理和配置上也是對路由和交換進行獨立的配置,軟件成熟度高,易于功能擴展,可以提供完整的路由器和交換機的所有功能。
在金融網(wǎng)點采用路由交換一體機是一種新的嘗試。在此類產(chǎn)品出現(xiàn)的初期,往往只要用到交換端口和VLAN等一些簡單的功能就夠了。隨著業(yè)務(wù)的發(fā)展,交換功能的需求進一步擴展,一些金融用戶提出要802.1X,BPDU Guard,Trunk,生成樹,AAA,RADIUS等功能。而未來還很有可能需要用到其他功能。
交換和路由是兩套相對獨立的網(wǎng)絡(luò)體系,路由交換一體機是一種創(chuàng)新,集成化交換架構(gòu)設(shè)計模式更是一種全新的探索。在集成化交換架構(gòu)下,任何功能的添加都是創(chuàng)新,都是在原來路由平臺上增加全新的功能。路由和交換都是一套龐大的軟件體系,這樣的創(chuàng)新必然把需要用到的交換功能揉到路由平臺上,帶來的結(jié)果就是軟件系統(tǒng)更加龐大,給客戶業(yè)務(wù)帶來風(fēng)險。同時也由于這樣的架構(gòu),決定了它的交換功能一定是有限的,不能提供完整的交換功能。
單獨的路由器和交換機都是非常成熟的產(chǎn)品形態(tài)。路由器下掛交換機更是一種成熟應(yīng)用模型,分布式設(shè)計,在交換模塊有獨立的操作系統(tǒng),軟件成熟度極高,同時便于功能擴展,功能豐富,可以提供交換機加上路由器所有的完整的功能。
進一步分析,分布式交換架構(gòu)對于所有由交換協(xié)議報文都本地處理,比如所有的二層攻擊報文、802.1X的EAP驗證報文、生成樹協(xié)議的BPDU報文、ARP報文、組播報文等,都可以由交換部分的CPU獨立處理,不需要上傳到路由器的主CPU部分。極大地降低主CPU的負(fù)擔(dān)。
出于對成本的考慮,廠家都愿意向用戶推廣集成式交換架構(gòu)的路由交換一體機。
如何選擇路由交換一體機
在重要場合選擇分布式路由交換一體機,而對于一些相對不重要的網(wǎng)絡(luò)區(qū)域,它們對交換功能要求比較低,則可以選擇集中式架構(gòu)路由交換一體機。因為集中式路由交換一體機成本比較低,價格也相對便宜。從幾個層面來分析:
1、 從軟件功能豐富層面來看:路由交換一體機是一種全新的產(chǎn)品創(chuàng)新,在此類產(chǎn)品出現(xiàn)的初期,往往只要用到交換端口和VLAN等一些簡單的功能就夠了。隨著業(yè)務(wù)的發(fā)展,交換功能的需求進一步擴展,未來還很有可能需要用到其他功能。集中式架構(gòu)提供的功能有限,而分布式交換架構(gòu)可以提供完整的路由器和交換機的所有功能,且易于擴展。
2、 從穩(wěn)定性和軟件成熟度角度看:交換和路由是兩套相對獨立的網(wǎng)絡(luò)體系,各有側(cè)重。在集成化交換架構(gòu)下,任何新功能的增加都是創(chuàng)新,都需要在路由平臺上增加全新的交換功能。路由和交換本都是一套龐大的軟件體系,這樣的創(chuàng)新需要把交換功能揉到路由平臺上,帶來的結(jié)果就是軟件系統(tǒng)更加龐大,軟件成熟度和穩(wěn)定可靠性將受到影響。同時也由于這樣的架構(gòu),決定了它的交換功能一定是有限的,不能提供完整的交換功能。而分布式設(shè)計,在路由和交換都有獨立的CPU和操作系統(tǒng),軟件成熟度極高,同時便于功能擴展,功能豐富,可以提供交換機加上路由器所有的完整的功能。
3、 從設(shè)備性能和抗網(wǎng)絡(luò)攻擊角度看:集成式架構(gòu)只有一個路由的CPU,CPU需要同時處理交換和路由功能,對性能有影響。如在福建某銀行,某廠家提供的集成式架構(gòu)的路由交換一體機,啟用了子接口和QOS后,性能下降了70%。性能的不足,對于未來帶寬的擴展也埋下了隱患。而分布式架構(gòu),路由和交換由各自獨立的CPU完成相應(yīng)的功能,交換CPU可以處理所有的交換報文,大大降低了路由主CPU的負(fù)擔(dān),提升設(shè)備的整體性能。對于二層的交換報文的攻擊,也由交換CPU直接處理,不會上送給路由CPU,大大提升設(shè)備的抗網(wǎng)絡(luò)攻擊能力。
4、 從維護角度分析:由于分布式架構(gòu)的軟件功能豐富,缺省就提供了完整的交換功能,對于未來可能需要的功能預(yù)先提供好。即使未來需要做功能擴展,也不需要頻繁通過軟件升級或者更換設(shè)備來解決,降低維護成本。
5、 從擴展性角度分析:分布式架構(gòu)的路由交換一體機都是采用模塊化設(shè)計,可以很靈活地進行升級和功能擴展。同時由于交換和路由都是獨立的OS,功能方便擴充;而集成架構(gòu)設(shè)備往往采用固化提供交換端口的方式,交換芯片確定后就無法更換,如果要升級只有整機更換,不便擴展升級。另外增加任何的功能可能都需要大量的開發(fā)和測試資源,對于廠家來說難度更大,相對來說分布式架構(gòu)具有更好的擴展性。
在管理上,集成式交換架構(gòu)可以在統(tǒng)一的CLI下進行管理配置,比較方便;而分布式架構(gòu)由于交換和路由有獨立的CPU和OS,往往在配置上也是要獨立完成的。對于需要頻繁配置設(shè)備的用戶來說,可能會感覺不便。不過國內(nèi)有廠家已經(jīng)解決了這個問題,如銳捷網(wǎng)絡(luò)提供的RSR20系列路由交換一體機采用分布式交換架構(gòu)設(shè)計,也可以實現(xiàn)統(tǒng)一管理和維護。在具備分布式架構(gòu)的所有優(yōu)勢的同時,兼?zhèn)浣y(tǒng)一管理和維護的優(yōu)勢,這應(yīng)該是比較好的一種選擇。
據(jù)了解,目前還有廠家為了進一步降低成本,采用集成式交換架構(gòu)的同時,還進一步采用固化方式提供交換端口。這樣做使用戶在未來的業(yè)務(wù)擴展方面存在隱患,交換功能是交換芯片決定的,固化方式直接把交換芯片固定提供,未來如果要擴展,那只有整機更換了。
綜合考慮,分布式架構(gòu)的路由交換一體機功能豐富、軟件成熟度高、穩(wěn)定性好、性能更高、抗攻擊能力強、擴展性強。從長遠(yuǎn)看,選擇分布式路由交換一體機會降低維護成本,建議在重要場合選擇;而對于一些相對不重要的網(wǎng)絡(luò)區(qū)域,它們對交換功能的要求比較低,則可以選擇集中式架構(gòu)路由交換一體機,因為集中式路由交換一體機成本比較低,價格也相對便宜。