用好核心交換機

——多業(yè)務企業(yè)網方案測試

　　隨著交換機功能的不斷增加，不少用戶開始在其實施和配置的復雜性面前駐足不前。事實上，這些新的功能不但能夠解決用戶面臨的諸多問題，而且還是未來智能企業(yè)網的必要基礎。為了幫助企業(yè)用戶更有效地運用企業(yè)網多業(yè)務核心交換機，我們組織了這次方案評測，思路是從一些典型的需求示例出發(fā)，拉近產品與應用的距離。

　　幾年來，企業(yè)網的環(huán)境發(fā)生了顯著的變化，在融合等因素的推動下，以太網承載的業(yè)務更加多樣化，對于帶寬、實時性和業(yè)務連續(xù)性的要求也更高。千兆以太網的迅速普及迎合了這一趨勢，而DDoS等新型攻擊，以及BT等新型P2P應用的出現(xiàn)可以短時間內占滿網絡帶寬，使千兆網絡帶來的效率提高大打折扣，這也使得用戶對于帶寬控制的需求和流量識別的需求也空前高漲。

　　為了適應環(huán)境的變化，企業(yè)網交換機在邁入千兆時代的同時不斷加入新的功能，滿足用戶對于安全、融合等多方面的需要。

　　在主流網絡廠商的規(guī)劃中，未來的交換機將能夠智能地區(qū)分網絡流量，提供對業(yè)務透明的虛擬化網絡，在保障安全的前提下達到網絡效率的最大化。

　　雖然這種全網智能的圖景看起來還有些遙遠，但現(xiàn)有的主流企業(yè)級核心交換機中的確已經包含了未來智能化企業(yè)網的一些特征和基本元素，只要有效利用這些新的功能，用戶完全可以解決多數(shù)現(xiàn)有的問題。

　　為了幫助用戶更有效地使用交換機的新特性，解決企業(yè)網絡中普遍存在的問題，我們特地組織了這次企業(yè)網方案評測。

　　該方案的背景及需求是我們在進行了大量用戶調查的基礎上提煉概括而來的，能夠較好地代表當前主流企業(yè)用戶的實際情況。

　　評測在《計算機世界》評測實驗室進行，所用測試設備為思博倫通信公司的SmartBits 6000C，以及Avalanche 2500/Reflector 2500測試儀。

背景及需求分析

用戶背景及規(guī)模

　　某國際保險公司北京主營業(yè)處遷址，在某知名寫字樓租用兩層，使用面積約2100平米，共有員工100人。此外，有約800名保險代理人在該營業(yè)處辦公，正常情況下，同時辦公的人數(shù)約300人。為此，該營業(yè)處將設350個辦公位。

主要業(yè)務

　　語音 該公司規(guī)定，所有辦公位使用以太網電話，除了營業(yè)處內部通話之外，與全球其他分公司、營業(yè)處之間的電話聯(lián)系使用基于公網的VPN實現(xiàn)。

　　視頻 該保險公司設有連接全球各分公司和營業(yè)處的視頻會議系統(tǒng)，同樣使用基于Internet的VPN實現(xiàn)。

　　數(shù)據(jù) 常規(guī)的數(shù)據(jù)業(yè)務包括該營業(yè)處員工的E-Mail、Web瀏覽等。此外，該營業(yè)處將建立一個該公司的全國數(shù)據(jù)中心，運行CRM系統(tǒng)、保單設計系統(tǒng)、保單管理、知識管理系統(tǒng)以及相應的數(shù)據(jù)庫系統(tǒng)，加上郵件服務器、NAS等輔助系統(tǒng)，共有服務器40余臺，全部配備千兆以太網卡。

Internet接入

　　該營業(yè)處通過光纖連接運營商網絡，帶寬為100Mbps，此外，還使用一條2Mbps DDN專線作為備份。

需求歸納與分析

　　路由、交換與NAT 數(shù)據(jù)中心的服務器要對外提供服務，因此需要使用路由功能。各辦公位及數(shù)據(jù)中心所需交換機端口數(shù)約800個，此外，營業(yè)處的用戶訪問Internet需要NAT功能，進行網絡連接。

　　業(yè)務區(qū)分 該企業(yè)網需要承載多種業(yè)務，其中，音頻、視頻對于實時性的要求較高，因此，在網絡發(fā)生擁塞的情況下，需要優(yōu)先保障它們的帶寬，其中，又以音頻流量的優(yōu)先級更高；在業(yè)務數(shù)據(jù)中，流向保單生成系統(tǒng)等業(yè)務系統(tǒng)的訪問流量最為重要，前端系統(tǒng)訪問數(shù)據(jù)庫的帶寬也需要得到保障，但非指定服務器IP訪問數(shù)據(jù)庫服務器的流量將被阻斷。客戶機運行非授權網絡應用的流量也應被阻斷。

　　網絡容錯 此外，數(shù)據(jù)中心里運行了該公司全國性的服務，保存了大量的用戶信息和業(yè)務數(shù)據(jù)，必須保證7×24的運作。一旦主Internet接入鏈路失效，應迅速切換到備份鏈路，從而保持業(yè)務的連續(xù)性。為此，通�？梢栽诟鲗ν夥�務器的網絡接口綁定兩套IP地址，通過DNS來實現(xiàn)出錯接管。但是在網絡層面，還需要交換機能夠自動鑒別鏈路實效，并切換到備份鏈路。

　　實時流量監(jiān)控 為了隨時了解網絡的使用情況，在最短的時間內對網絡異常情況做出響應，用戶需要一種流量監(jiān)控的機制，舉例來說，如果網絡出現(xiàn)異常的網絡攻擊流量或BT下載流量，用戶的網絡管理員應該能夠迅速隔離問題，找到異常的應用和協(xié)議端口，以便采取相應的處理措施。

　　安全性考慮 在實現(xiàn)內網、外網隔離的同時，要能夠有效保障數(shù)據(jù)中心服務器的安全性，例如，需要阻止非授權IP地址訪問數(shù)據(jù)庫服務器，而得到授權訪問數(shù)據(jù)庫服務的IP地址也不能訪問除數(shù)據(jù)庫服務之外的其他端口。對于內網用戶，除了要防止非授權的PC機或以太網電話機接入外，還需要有一種有效的手段阻止內網用戶過度耗用網絡帶寬。

方案設計與設備選型

設備選型

　　經過考察，我們發(fā)現(xiàn)上述所需的主要功能，使用華為3Com的Quidway S6506多業(yè)務交換機都能夠滿足。

　　Quidway S6506（如圖1所示）曾經獲得2004《計算機世界》年度產品獎。它是一款機柜式結構的路由交換機，尺寸規(guī)格為436mm×477mm×486.2mm（寬×高×深），共支持7個插槽，其中，除一個指定為路由交換引擎模塊（并帶有用于配置的Console 口及監(jiān)控網口）外，其余6個都可以作為業(yè)務接口板插槽，可根據(jù)組網環(huán)境需要選配各種業(yè)務接口板，并支持混插。Quidway S6506的標稱背板帶寬為128Gbps，滿配時可以支持288個千兆端口，并可支持萬兆模塊（LS81TGX1B），系統(tǒng)采用分布式結構，所有單板支持熱插拔，電源系統(tǒng)采用N+1冗余熱備份，支持STP/RSTP協(xié)議和VRRP協(xié)議，能夠滿足數(shù)據(jù)中心的可靠性要求。

　　在QoS/帶寬管理方面，Quidway S6506能支持基于端口MAC地址、IP地址、TCP/UDP端口號、ToS/Diffserv值、CAR流控，控制粒度可為64Kbps。它還支持優(yōu)先級基于VLAN、端口、IEEE 801.1P、ToS/Diffserv以及根據(jù)流分類設置優(yōu)先級的CoS，每端口8 個發(fā)送隊列，并支持FIFO 隊列和PQ優(yōu)先級隊列等隊列調度算法。

　　在路由功能方面，Quidway S6506支持RIP、OSPF、Integrated IS-IS及BGP4，在這種應用場合下完全能夠滿足用戶需要。

　　在安全性能方面，Quidway S6506提供了對L2/3/4 流規(guī)則過濾、用戶分級管理和口令保護，包括集成用戶/Radius/802.1x 認證在內的多種用戶認證方式，以及OSPF、RIP v2和BGP v4 的報文明文及MD5摘要認證的支持。這使用戶能夠實現(xiàn)對于網絡流量的精確控制，并可以有效阻止非授權的網絡接入。

　　在網絡管理/流量檢測方面，Quidway S6506不僅支持SNMP/RMON，能夠與Open View等通用網管平臺，以及Quidview、iManager 等網管系統(tǒng)協(xié)作;還支持NetStream功能，提供了對Netflow V5/V8監(jiān)控報文格式的支持，從而實現(xiàn)更加精確的流量監(jiān)控。

方案設計

　　方案設計拓撲如圖2所示。我們使用S6506配置4個業(yè)務接口板來滿足用戶的需求，包括2個LS81GT48 48端口千兆以太網模塊(如圖3所示)、1個8端口千兆以太網模塊，以及一個LS81VSNP模塊，剩余兩個插槽用于日后的擴展。


　　其中，8端口千兆以太網模塊用于Internet連接及服務器連接；2個48端口千兆模塊用于數(shù)據(jù)中心的服務器連接，以及通過連接Quidway S3026系列交換機提供內部網絡所需的端口數(shù)量，除了實現(xiàn)桌面百兆連接之外，Quidway S3026還能在QoS、802.1x等方面與Quidway S6506無縫整合，使全網策略得到順利實施。

　　LS81VSNP多業(yè)務智能化處理模塊基于NP架構，具有強大的處理能力，能夠以模塊化的方式提供NAT/PAT、Netstream流量檢測以及策略路由等功能。

方案測試與分析

整體配置

根據(jù)方案設計，我們對Quidway S6506進行了如下配置。

　　啟用NAT功能，設置外部地址池為5個，內網邏輯地址為750個；先后啟用了靜態(tài)路由和BGP功能，并通過設置策略路由，使主接入線路失效時Internet訪問流量自動切換到備份線路；根據(jù)源/目的IP地址以及協(xié)議類型特征設置QoS優(yōu)先級依次為關鍵實時業(yè)務、語音業(yè)務、視訊業(yè)務、主要數(shù)據(jù)業(yè)務、次要數(shù)據(jù)業(yè)務及其他數(shù)據(jù)業(yè)務；為了實現(xiàn)流量的實時監(jiān)控，我們配置一臺Linux服務器為NetStream的收集、分析器，并設置Quidway S6506將Netstream報文發(fā)送到該服務器；并進行了ACL等基本的安全特性設置。

主要功能測試

　　經過這一系列配置，S6506已經達到了方案的需求。隨后，我們分別對各功能以及相關功能的整合進行了測試。

　　在NAT和BGP等基本測試中，Quidway S6506表現(xiàn)出了強大的處理能力，與其定位完全相符。不過，在一個方案測試中，這只算是熱身。我們隨即把重點放在了QoS、流量監(jiān)控和策略路由等功能的測試上，因為這些功能才真正體現(xiàn)了企業(yè)網智能化的發(fā)展思路。

　　在QoS測試中，我們使用SmartBits 6000C連接S6506的20個端口，模擬多種業(yè)務通過同一出口訪問網絡的情況，我們按照相同的比例發(fā)送不同業(yè)務類型的測試報文，在流量增加的過程中，QoS的作用很快就體現(xiàn)出來。如圖4所示，在各業(yè)務流量以10%的步長遞增過程中，優(yōu)先級越低的業(yè)務越早達到100%的丟包率，而優(yōu)先級最高的關鍵實時業(yè)務在吞吐量為600Mbps時仍然能夠得到全速轉發(fā)。在測試中我們發(fā)現(xiàn)，如果把Quidway S6506的QoS功能與帶寬限制功能結合使用，可以有效保障關鍵業(yè)務的運行。

　　用好QoS的前提是對于企業(yè)的業(yè)務和相應的業(yè)務流量有全面的了解。而使用傳統(tǒng)的手段很難幫助網絡管理員了解業(yè)務流量的統(tǒng)計數(shù)據(jù)，而基于估算得出的QoS或帶寬限制策略往往會與實際情況脫節(jié)。為此，網絡廠商最近開始陸續(xù)提供了一些業(yè)務流量觀察的手段。L3+模塊的NetStream功能兼容Cisco的NetFlow V5/V8格式，能夠提供對業(yè)務流量數(shù)據(jù)的精確統(tǒng)計。

　　我們使用基于Linux平臺的ntop作為收集和分析NetStream數(shù)據(jù)的工具。在使用SmartBits持續(xù)發(fā)送模擬流量的條件下，通過ntop的Web界面觀察業(yè)務流量的變化，并根據(jù)觀察的結果調整Quidway S6506的設置，實現(xiàn)網絡的優(yōu)化。

　　經過一段時間的測試，我們發(fā)現(xiàn)NetSream的確能夠提供網絡管理員需要的流量信息。與常用的協(xié)議分析設備/軟件不同，NetFlow/NetStream只報告/收集報文的信息，而不需要捕捉整個流量，因此在使用專用處理設備或模塊的情況下，不會影響到網絡設備的處理性能。另外，與常見MRTG工具相比，MRTG基于SNMP協(xié)議獲取信息，對于端口的流量，MRTG能提供精確統(tǒng)計，但對于3層以上的信息則無從得知了。而這正是NetSteam/Netflow的強項。



　　ntop不但能夠顯示基于IP地址的帶寬占用情況（如圖4所示），幫助網絡管理員迅速定位惡意搶占網絡帶寬的用戶和應用，還能基于協(xié)議的類型進行統(tǒng)計并生成直觀的圖表（如圖5所示），幫助網絡管理員了解業(yè)務流量的組成和比例，進而以此為依據(jù)來優(yōu)化網絡。





　　在策略路由測試中，我們將一臺具有三個網絡接口的服務器配置成方案中的Internet接入路由器。其中兩個網絡接口模擬主Internet連接和備份連接，第三個端口連接一臺服務器用來驗證Internet訪問的可用性。我們的測試證明，在配置主鏈路超時即使用備份鏈路的策略路由后，一旦主Internet鏈路失效（關閉Quidway S6500的相關端口，或者拔掉相應的網線），從內網訪問外網Internet驗證服務器的請求立即轉到了備份鏈路上。這對于用戶的業(yè)務連續(xù)性是非常好的保障。

認知業(yè)務流量——用好交換機的前提

　　未來的智能企業(yè)網無法單靠以太網交換機來實現(xiàn)，而需要交換機與各種應用和設備進行聯(lián)動，來實現(xiàn)網絡流量控制分配的自動化。從控制功能的角度看，現(xiàn)有的企業(yè)網交換機產品已經相當強大，只是還沒有普遍地與外界配合，形成有效的聯(lián)動。我們發(fā)現(xiàn)有不少用戶認為交換機的功能過于復雜，難以配置。但我們這次方案測試證明，只要是能夠分析清楚自身的業(yè)務需求，在對業(yè)務流量有一定認知的情況下，用好企業(yè)網交換機其實并不困難。事實上，即使企業(yè)網真的智能化了，用戶對于業(yè)務流量的認知也是非常重要的，而且一定比現(xiàn)在還重要。