广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 3671 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[] 如何规划二十一世纪校园网路骨干
如何规划二十一世纪校园网路骨干

二十世纪人类最伟大的发明可能就是网际网路,不论你同不同意,网际网路已经深深的影响我们的生活。网际网路本来就是学术单位在自由分享环境下的产物,就算目前大量应用于商业用途上,然而很多重要的协定发展及研究工作都还是在学术单位继续发展。回顾网际网路三十年来的发展,可以预见网际网路发展的速度并未曾慢下来。那我们如何在三十年后的今天,规划一个可以跟的上时代需求的校园网路呢?!

二十一世纪网路设备发展重点在于提供高效能、高可靠度、多种介面及多网路协定支援方面发展了很长的一段时间。但时至今日,这些虽仍是发展上的重点,但由于技术上日渐成熟,已退居次要的角色,甚至退化成不重要功能。在二十一世纪的今日,设备不仅是高效能,更要服务品质保证,不仅是高可靠度,更要服务不中断,多种介面会转化为单一介面,由多种协定会被 IPv4/v6协定统一,最重要的是大量的安全机制支援。显而异见的,网路设备的发展需求已大大的不同于以往的网路世界。



维护一个校园网路最基本的需求
面临所有网路介面都走向不断攀升更高速的乙太网路介面,从 10M、 100M、 1G到 10G,而其它上个世纪群雄争霸的各种介面将不太容易再现,单一化介面可以简化管理上的负担,且乙太网路发展至今的成熟技术,不论未来往 40G甚至 100G发展,相信都不是问题,这好比电脑 CPU在还没有发生散热问题之前,每 18个月速度便增加一倍。短期来看,这几年 10G一定会变成乙太网路介面的主流,而 Cost呢?目前 10G介面己经便宜到足够大量建置的程度,以核心端 Layer 3功能 10G介面来看,建置成本约等于 5到 7个 Gigabit埠。但效能的重要性确比不上 QoS,新一代网路不可避免的走向「多网合一」,最典型的就是电信业者喊出的 Triple Player( Data、 Voice、 Video),在多种应用混合的网路上,最重要的就是要能保证有稳定的服务品质。稳定的服务品质有赖良好硬体设计支援,而以往使用 4个 Queue搭配 L2/L3/L4等 QoS协定支援将不敷使用,未来不但会有支援 8个 Queue甚至更多的 Queue以支援更多的 Service,甚至会有多层次 Queue以区分多个用户使用多种服务支援,而 L2/L3/L4等对应的 QoS机制也会陆续扩充到保证服务品质的程度。

影响整个校园网路应用发展的 IPv6
IPv6 的重要性不只是因为 IP位址的短缺,另外也解决许多 IPv6协定先天上的弱点问题。但不幸的是,我们不可能重头来一次,直接将现有 IPv4网路直接换成 IPv6网路,旧有 IPv4设备大部份也不可能透过 Upgrade Firmware支援 IPv6。所以 IPv4和 IPv6必然的必需并存很长一段时间,有关 IPv4和 IPv6互通已可以写成专文讨论,在此不多缀述。重要的是,现阶段网路建置的核心设备必需考虑到 IPv6的支援,而目前核心设备所提供的支援可分为下列几个层面来看:

1. IPv6 L2 VLAN 机制 (Protocol VLAN)
2. IPv6 路由机制 (含 RIPng、 OSPFv3等 )
3. IPv6 硬体晶片 (IPv6 wirespeed routing)
4. IPv6 安全机制 (IPv6 ACL、 IPv6 DoS Protect)
5. IPv4/IPv6 互通机制 (Dual Stack、 6to4等 )
6. Virtual Switch

我们可以发现,业界并没有完整支援 IPv6机制的厂商,使用者只能就网路环境选择最适合使用的设备来建置,例如 Extreme的 BD10K支援 Virtual Switch及 IPv4/IPv6 dual stack机制,就很适合各校在 IPv4及 IPv6并存的环境中使用,直接将 Internet及 Internet 2介接作切割并同时支援。

在 IPv6相关协定快速发展的这段时间,持续提供新功能及无服务中断的支援也是很重要, Extreme同时在硬体及软体同时提供良好的支援;硬体部份, Extreme以 Programmable ASIC (注 -1)取代 ASIC,可以完整支援未来新协定,不论是 IPv6甚至未来的 IPv7皆有支援的可能;软体部份, Extreme更是领先 Switch业界,提供模组化作业系统 Extreme XOS (注 -2)。模组化作业系统可直接 Upgrade部份软体功能,且完全不影响线上服务,举例来说:当 IPv6路由机制 OSPFv3多了一项新功能支援时, Extreme XOS只需 Upgrade OSPFv3模组,并重新启动 OSPFv3功能即可,使用者服务完全不受影响。

新一代校园网路核心多 10G埠整合防御机制
最后让我们来看看有那些安全机制是必需的,以往我们可以想到的,网路受到攻击的同时,网管人员几乎是事后很久以后才了解发生了什么事,第一时间往往束手无策。不论你已分析了 Netflow、 sFlow还是 port mirror加上除错机制,似乎总是不足。相对于传统以软体方式提供 flow机制分析效能不足的问题, Extreme采用 Programmable ASIC的同时将 CLEARflow (注 -3)机制内建于交换核心内,使新一代校园网路核心可以在多个 10G埠上支援分析机制。 CLEARflow除分析流量外,更进一步提供异常流量反制机制,可以选用 Selective port-mirroring、 SNMP Trap、 CLI等反应方式,这是下一代核心网路以强大功能提供内部网路防御机制。 Extreme已将此部份机制实作配合 Sentriant (注 -4) 防御设备,成为市面上唯一实作多个 10G介面防御机制的解决方案提供厂商。

除异常流量防御机制外,另一个重要性不相上下的安全机制就是使用者认证机制。未来的使用者认证机制会更安全、结合更多的使用者控管功能,不但是使用者 Mobile机制、 QoS设定、存取资源等甚至时间、地点也可能结合在一起,另外亦可能结合 Host Integrated机制,以确保网路环境安全。

总而言之,未来校园网路将面临更多的挑战更多的应用,相对的需要功能更强大更有弹性的软硬体。极进网路 (Extreme Networks)领先业界不断精益求精,在 2003年率先发表模组化作业系统及 Programmable ASIC应用,当其它厂商在苦苦追赶的同时,又在 2005年整合内网安全机制及交换设备提供业界唯一多 10G埠整合防御机制。极进网路 (Extreme Networks)并不以此满足,今年更提出阶层式 Queue实作电信服务需求。极进网路 (Extreme Networks)永远站在网路最前线,提供你所需的网路技术及服务支援。

注 -1: Extreme Programmable ASIC应用于 BlackDiamond 10808及 12804
注 -2: Extreme XOS应用于 BlackDiamond 12804/10808/8810及 Summit X450-24t/x等设备
注 -3: CLEARflow需搭配 Extreme Programmable ASIC应用于 BlackDiamond 10808及 12804
注 -4: Sentriant为内部安全防御设备,搭配 CLEARflow可在多个 10G埠上提供防御机制



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾 | Posted:2006-10-31 17:18 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.015693 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言