原則一:
對網(wǎng)絡(luò)及設(shè)備的監(jiān)控和管理
可管理是智能交換的基礎(chǔ),通常意義上的網(wǎng)絡(luò)管理系統(tǒng)包括性能、配置、故障、計費(fèi)和安全等5個功能域,這是最基本、也是最常用到的功能。隨著用戶網(wǎng)絡(luò)規(guī)模的擴(kuò)大、網(wǎng)絡(luò)應(yīng)用的增多,對網(wǎng)絡(luò)運(yùn)行狀況的實時監(jiān)控和維護(hù)就變得非常必要,需要網(wǎng)管系統(tǒng)與智能交換設(shè)備相互密切配合。
目前常見的網(wǎng)管系統(tǒng)有兩類,一類是通用的網(wǎng)管平臺,如HP OpenView,可以提供一個第三方的網(wǎng)管平臺,支持對所有SNMP設(shè)備的發(fā)現(xiàn)和簡單監(jiān)控。但由于各廠商設(shè)備都具有大量自行開發(fā)的私有MIB(Management Information Base)庫,通用網(wǎng)管平臺無法對其進(jìn)行識別和管理。因此,如果要實現(xiàn)對各種設(shè)備進(jìn)行詳盡監(jiān)控、管理和配置時,必須進(jìn)行二次開發(fā)。近年來,各廠商設(shè)備更新很快,而與第三方通用網(wǎng)管平臺的配合則非常有限,使得通用網(wǎng)管平臺難以細(xì)致地對多廠商的設(shè)備進(jìn)行管理。
另一類是由網(wǎng)絡(luò)設(shè)備廠商自行開發(fā)的網(wǎng)管平臺,如Cisco WORKS、神州數(shù)碼LinkManager等,可以對本廠商的設(shè)備進(jìn)行深入細(xì)致的監(jiān)控、配置和管理,實用性較強(qiáng)且價格也較便宜。但問題是,無法用這類網(wǎng)管系統(tǒng)實現(xiàn)對全網(wǎng)設(shè)備的統(tǒng)一管理,因此用戶往往采用多臺網(wǎng)管工作站分別安裝不同的系統(tǒng),進(jìn)行分別管理。
隨著用戶對不同設(shè)備進(jìn)行統(tǒng)一網(wǎng)管的需求日益迫切,各廠商也在考慮采用更加開放的方式實現(xiàn)設(shè)備對網(wǎng)管的支持,例如開放私有MIB庫,乃至完全依照RFC來編寫MIB庫,以實現(xiàn)不同廠商間設(shè)備與網(wǎng)管系統(tǒng)的互操作性。
目前,在大中型企業(yè)網(wǎng)中,應(yīng)用網(wǎng)管系統(tǒng)的比例較以前已大幅度提高。因此,用戶在選擇時不能滿足于拓?fù)浒l(fā)現(xiàn)、流量監(jiān)控、狀態(tài)監(jiān)控等通用的網(wǎng)管功能,還要對于設(shè)備遠(yuǎn)程配置、用戶管理、訪問控制乃至QoS監(jiān)控等提出更高的要求。
另外,為節(jié)省IP地址,簡化管理層次,不同的廠商采用堆疊或集群網(wǎng)管等技術(shù),將多臺設(shè)備作為一臺邏輯上的設(shè)備進(jìn)行統(tǒng)一管理。用戶也可以關(guān)注這類產(chǎn)品。
原則二:
對不同應(yīng)用類型數(shù)據(jù)的分類和處理
智能交換的另外一個重要體現(xiàn)是,對網(wǎng)絡(luò)中不同類型的數(shù)據(jù)自動進(jìn)行分類,并提供不同的傳輸策略,確保關(guān)鍵應(yīng)用的順暢運(yùn)行,也就是通常所說的服務(wù)質(zhì)量(QoS)。
目前常見的QoS技術(shù)有IntServ(RSVP)和DiffServ兩種方式。
前者采用資源預(yù)留的方式,即針對每種不同的應(yīng)用,都在網(wǎng)絡(luò)上預(yù)留“端到端”的專用通道,確保關(guān)鍵應(yīng)用獨(dú)享固定的帶寬資源。資源預(yù)留的方式屬于虛擬專線的解決方案,能夠確保關(guān)鍵應(yīng)用的傳輸質(zhì)量,卻無法實現(xiàn)帶寬的共享,易造成線路資源的浪費(fèi);另外,資源預(yù)留只適合于較為簡單的網(wǎng)絡(luò)拓?fù)洌缏酚善鏖g點對點的專線連接,對于復(fù)雜而龐大的企業(yè)網(wǎng)而言,很難實施,更不要說城域網(wǎng)了。
因此,用戶最好采用DiffServ的交換機(jī),以實現(xiàn)“端到端”的QoS。需要指出的是,為實現(xiàn)DiffServ QoS,要求用戶的網(wǎng)絡(luò)上所有相關(guān)的交換機(jī)都支持802.1p優(yōu)先級功能。
原則三:
對多媒體傳輸?shù)闹С?
交換機(jī)對專用于多媒體傳輸?shù)墓δ芎蛥f(xié)議的支持越來越多,其中最為典型的是組播技術(shù)。
組管理協(xié)議IGMP已經(jīng)成為智能交換機(jī)必備的基本功能。而對于三層交換機(jī),除了RIP、OSPF等單播路由協(xié)議外,也開始支持DVMRP、PIM SM/DM等組播路由協(xié)議。
在進(jìn)行組播應(yīng)用時(如視頻會議等),各交換機(jī)均可通過IGMP協(xié)議在整個網(wǎng)絡(luò)范圍內(nèi)傳遞分組信息,使各交換機(jī)確定每組的成員,而組播路由協(xié)議則可對組播數(shù)據(jù)包進(jìn)行路由,使得組播包在網(wǎng)絡(luò)上順暢傳輸。其中,DVMRP相當(dāng)于單播時的RIP協(xié)議,適合于小規(guī)模的網(wǎng)絡(luò)應(yīng)用;而PIM則是與協(xié)議無關(guān)的組播路由協(xié)議,分為密集模式(DM)和稀疏模式(SM)兩種。密集模式主要適用于網(wǎng)絡(luò)帶寬較大、用戶分布較集中的場合,如公司的局域網(wǎng); 而稀疏模式主要適用于網(wǎng)絡(luò)帶寬較小、用戶分布較稀疏的場合,如廣域網(wǎng)或Internet。
有的交換機(jī)還配置了語音網(wǎng)關(guān)模塊,使得以太網(wǎng)交換機(jī)直接具備VoIP功能,但這樣的應(yīng)用還需要在客戶端分別布網(wǎng)線和電話線;若采用客戶端的VoIP網(wǎng)關(guān),則可通過一條網(wǎng)線實現(xiàn)語音、數(shù)據(jù)的傳輸。這兩種方案孰優(yōu)孰劣,還要根據(jù)實際情況來判斷。
原則四:
用戶分類和訪問控制
用戶分類、權(quán)限設(shè)置和訪問控制,也是智能網(wǎng)絡(luò)的重要功能。由于企業(yè)管理的細(xì)化,對于不同的網(wǎng)絡(luò)資源,要針對不同用戶設(shè)置不同的訪問權(quán)限。
訪問權(quán)限的設(shè)置有工作組級和用戶級兩種方式。
基于VLAN和三層交換的訪問控制就屬于工作組級的訪問控制。VLAN除了具備隔離廣播、提高網(wǎng)絡(luò)性能的作用之外,其重要的作用就在于將不同的工作組隔離開來,便于實現(xiàn)可控的相互訪問。三層交換機(jī)可以實現(xiàn)跨VLAN的訪問,而通過訪問控制列表ACL,則可設(shè)置不同VLAN間乃至不同IP地址的設(shè)備對于不同網(wǎng)絡(luò)服務(wù)的訪問權(quán)限。
對于智能小區(qū)寬帶接入應(yīng)用,將每個用戶都劃分在單獨(dú)的VLAN中,也能夠?qū)崿F(xiàn)用戶級的認(rèn)證和訪問控制,但這種方式只適用于固定接入的用戶,且無法實現(xiàn)計費(fèi)。
目前在寬帶接入網(wǎng)和企業(yè)網(wǎng)中,以往用于電信運(yùn)營網(wǎng)絡(luò)中的AAA技術(shù)(授權(quán)、認(rèn)證、計費(fèi)),如傳統(tǒng)的RADIUS、PPPoE,以及新興的802.1x等用戶認(rèn)證功能等,開始被集成到智能交換機(jī)中,與認(rèn)證服務(wù)器配合,從而實現(xiàn)基于用戶的認(rèn)證和訪問控制。
對于企業(yè)網(wǎng)來說,通常要實現(xiàn)在用戶訪問不同的網(wǎng)絡(luò)服務(wù)資源時,進(jìn)行認(rèn)證、訪問控制及服務(wù)認(rèn)證,而不是針對用戶接入端口進(jìn)行接入認(rèn)證。因此,常用的方式是以訪問控制列表或RADIUS認(rèn)證服務(wù)器,對相關(guān)應(yīng)用服務(wù)資源設(shè)置不同的訪問權(quán)限,并針對用戶實現(xiàn)認(rèn)證和授權(quán)。
對于寬帶接入網(wǎng)來說,則需要通過用戶認(rèn)證實現(xiàn)對端口聯(lián)通狀態(tài)的控制,通常要采用“PPPoE+RADIUS”或“802.1x+RADIUS”的方式來實現(xiàn)接入認(rèn)證。
PPPoE是一種較為成熟的認(rèn)證方式,通過PPP協(xié)議封裝以太網(wǎng)幀,在無連接的以太網(wǎng)上提供了點對點的連接。PPPoE類似傳統(tǒng)的撥號接入方式,用戶端采用一個撥號軟件,發(fā)起PPP連接請求,穿過以太網(wǎng)交換機(jī)或者DSL設(shè)備,終結(jié)在集中控制管理層的接入網(wǎng)關(guān)設(shè)備上。接入網(wǎng)關(guān)設(shè)備負(fù)責(zé)終結(jié)PPP連接,并與RADIUS配合實現(xiàn)用戶管理和策略控制。
802.1x起源于802.11協(xié)議的EAPOL,是最近出現(xiàn)的一種以太網(wǎng)認(rèn)證技術(shù)。 802.1x是IEEE為了解決基于端口的接入控制而定義的一個標(biāo)準(zhǔn)。
802.1x認(rèn)證方式主要通過認(rèn)證前后打開/關(guān)閉用戶接入端口來實現(xiàn)對用戶接入的控制。基于端口的網(wǎng)絡(luò)接入控制是在 LAN 設(shè)備的物理接入級對接入設(shè)備進(jìn)行認(rèn)證和控制。連接在物理端口上的用戶設(shè)備如果能通過認(rèn)證,就可以訪問 LAN 內(nèi)的資源;如果不能通過認(rèn)證,則無法訪問 LAN 內(nèi)的資源,相當(dāng)于物理上斷開連接。認(rèn)證通過時,從遠(yuǎn)端認(rèn)證服務(wù)器可以傳遞來自用戶的信息,如VLAN、CAR參數(shù)、優(yōu)先級、用戶的訪問控制列表等; 認(rèn)證通過后,用戶的流量就將接受上述參數(shù)的監(jiān)管。
802.1x要求接入交換機(jī)支持EAPOL協(xié)議,至少支持該報文的透傳,但現(xiàn)有通常的網(wǎng)絡(luò)設(shè)備多數(shù)不支持。雖然越來越多的廠商開始提供支持802.1x的智能交換機(jī)產(chǎn)品,但由于該協(xié)議標(biāo)準(zhǔn)尚未成熟,各廠商實現(xiàn)的方式不盡相同,它的發(fā)展受到了一定程度的制約。
原則五:
防止網(wǎng)絡(luò)攻擊
為確保核心交換機(jī)不受類似拒絕服務(wù)(DoS)攻擊而導(dǎo)致全網(wǎng)癱瘓,有的廠商在核心路由交換機(jī)中采用了防火墻和IDS系統(tǒng)中的防攻擊技術(shù),以確保核心交換機(jī)更加穩(wěn)固和強(qiáng)壯。此舉尤其可以抵御來自網(wǎng)絡(luò)內(nèi)部的攻擊,提高系統(tǒng)的安全性。但是目前,該技術(shù)在邊緣交換機(jī)中仍較少采用。
