科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道“双枪”护驾Juniper圆梦智能以太网交换机

“双枪”护驾Juniper圆梦智能以太网交换机

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

人们对二层交换机的熟知可以说只要有以太网的存在就一定有交换机的存在,尤其是二层交换机,但如今,作为信息交换和传输枢纽的二层交换机在功能上明显出现不足,随即,三层/四层交换机、甚至智能交换机粉墨登场了……

作者:颜君 来源:IT专家网 2008年11月4日

关键字: 以太网交换机 Juniper

  • 评论
  • 分享微博
  • 分享邮件

  人物:瞻博网络公司(Juniper)大中国区企业市场经理 张东伟

  IT专家网(www.ctocio.com.cn)网络子站主管 张琰珺

  时间:2008年7月10日 下午3点~4点

  地点:北京

  或许从得名开始,以太网交换机就一直默默履行着交换信息的职责。这是因为,在Web 2.0出现之前,网络信息的交互就是以分发为主,集中管理、节点管控的模式是最好的信息疏导方案,人们所熟悉的二层交换机因此而得到广泛应用。但随着互联网的疾速发展,点到点(P2P)的信息访问和资源共享模式成为Web 2.0时代主流的信息交互方式,不仅如此,信息源也更加丰富,形式和内容都各有不同,如音视频信息、即时消息以及统一通信等的出现促使人们对交换机的诉求出现了转变。

  人们会发现,在一个承载着VoIP、视频会议以及日常Web访问的信息网络中,传统的以数据交换和传输为主导功能的二层交换机突然变得有些驽钝,而且时不时出现超负荷运转以至于罢工。要知道,这些情况的发生并非因为网络出了故障,其根本问题还是出在离终端最近的交换机身上,如果交换机能够识别出语音或视频信息并由此而调配出相应的带宽以保证通信质量,而非传统意义上纯数据信息的端口资源的竞争,那么网络就会顺畅很多。

  如今,夹杂着语音、视频等的信息数据已经成为企业网络中越来越常见的信息流,交互模式也从以往的自上而下增加了很多即时与点到点交互的新特点,互联网丰富的应用正在从根本上刺激着作为网络基础设施的交换机的变革,面向应用、保障服务质量已经成为交换机转型的关键词,也即业界所谓的三层交换机及四层交换机等。

  正如瞻博网络公司(Juniper)大中国区企业市场经理张东伟所说,以太网交换机正从专注于数据传输和交换职能的二层交换机逐步向智能交换机衍变,所谓的智能将包含QoS、安全性以及对VoIP和视频信息的支持。在与张东伟的交谈中,记者则感受到了Juniper在智能以太网交换机领域所持有的“双枪”:Junos操作系统和UAC的智能解决方案。

  面向应用的交换机市场空间巨大

  不容回避的是,相对于网络规模和所处位置而言,交换机在传统意义上总被认为是低于路由器定位的一个产品。换句话讲,交换机是人们最容易看到的网络设备。当然,之所以有这样的认识,其主要原因是,人们对交换机的认识大多仅止于七层OSI参考模型中的第二层功能,即数据传输和交换。然而近两年来,基于网络的应用层出不穷,人们对交换机的功能和定义也都赋予了新的内涵,诸如保障安全性和QoS的需求成为主流需求,同时还有对音视频信息流的支持。

  张琰珺:在我的印象中,应该是2007年下半年的时候,业内有厂商陆陆续续开始提及以太网交换机的新面孔,也有人认为是交换机向高端的转型,但也有人认为只是加入新功能的交换机。那么,究竟以太网交换机的市场容量有多大?为什么人们对它的新需求仿佛突然一下爆发出来了,用户需求的迫切程度怎样?作为业界主流厂商,Juniper看到的是什么样的市场愿景?

  张东伟:对于以太网交换机,我个人认为其总体容量是在增长的。现在,人们对以太网交换机的需求已经不再满足于简单的传输功能了,而是提出了更多性能方面的要求。无论人们是在谈论以太网交换机更加智能化,还是说不同的厂商附加了不同的功能,但是大家都认可一点,那就是,随着以太网十几年的发展,它已经进入另外一个转换期,由纯粹的连接在向智能网的方向发展。

  从技术层面或者是交换机本身来说,人们所熟知的是二层和三层,当然也有人提到四层或七层,但是大家认可的还是三层交换机越来越普及。三层交换机比二层交换机更智能、更安全,有其他方面智能的应用和功能拓展。

  根据IDC的最新数据,2006年~2010年,中国三层交换机的市场将从751,000,000增长到1,301,000,000,而二层交换机则将从350,000,000下降到270,000,000。

  一方面,我们可以看到,随着网络应用越来越多,以及诸如SaaS等面向应用和服务的理念的出现,人们对网络传输的要求越来越高,不仅开始需要交换机,还不止是需要简单的功能拓展,而是需要更多QoS和安全性等。除了基础的安全机制外,人们发现还需要在交换机中增加许多的功能,而这些功能以前是二层交换机所做不了的,但是现在三层交换机是可以做到的。甚至包括把安全级别提升和VoIP及视频的大量应用。例如,许多地方都有摄像头,但是模拟摄像的方式正越来越被数字方式所取代,包括摄像头能够被以太网供电,放在任何位置,可以做基于IP方面的监控和采集,等等这些都是人们对以太网交换机所提出的新需求。

  另一方面,随着技术不断更新,应用不断增强,网络带宽已经不再受限于百兆,而且可以到达千兆。像笔记本,一般都是1G的网口,这显然就对交换机的性能提出了更高的要求。从目前来看,用户市场最认可的交换机基本上属于三层交换机,而且越来越被大家所看重,诸如传统的传输能力、带宽管理、可扩展性及稳定性等都是用户必不可少的需求,也是最基本的需求,但是需求总是在不断提高的,趋势就是智能化。

  张琰珺:那么是否可以认为是人们将以太网交换机赋予了新的定义?

  张东伟:准确地说,交换机不应该被重新定义,而是更高层次的要求。

  总的来看,交换机曾经发生过几次变革。从基本的集线器方式,后来变成二层以太网交换机。二层以太网交换机具体分为可管理和不可管理的:可管理的适用于大型企业,可以管理上百个,或是上千个;不可管理的则适用于家庭用户或者小公司。

  之后,人们发现,随着网络规模的增大,三层交换机成为首要的需求。对于三层交换机而言,用户开始只是部署在网络核心,接入层边缘用的是二层交换机,但随着应用的加强和商业模式的不断改变,用户发现网络的核心和边缘不断模糊,二层交换机已经难以单纯作为数据的转发枢纽,于是人们开始把三层交换机的架构往接入层推,包括QoS、带宽管理等。正如现在人们所看到的网络访问速度一样,随着网络部署方式的改变,以及像VoIP等新信息流的出现,用户对交换机的要求就是一种螺旋式的上升,对它的定义也在不断提升。

  我想,在未来几年中,大家对以太网交换机的要求会越来越明晰。

  双枪压阵Juniper智能以太网交换机

  张琰珺:显然,是用户的信息交互需求刺激了以太网交换机的变革或提升。然而对于上述提到的用户对以太网交换机所提出的带宽和QoS的管理需求以及安全性需求而言,用户网络现有的系统设备或解决方案很可能已经部署,那么如何与功能加强后的以太网交换机形成联动呢?用户如何实现网络的协同与和谐?

  张东伟:这个问题其实涉及到两个点,也就是Juniper在推动以太网交换机的过程中所看重和突出的优势。

  第一个是我们自主产权的操作系统——JUNOS。算起来,今年正好是JUNOS操作系统设计开发的十周年。它是一个什么样的操作系统呢,其实它就相当于我们的一个模块化架构,用户或者合作伙伴可以在其上添加其他功能模块或模块架构而不互相影响,有点像搭积木一样,只是这个积木是智能的而且是安全的。当把这些积木搭建好以后,拼凑起来,就成为一个操作系统。如果某个地方需要增加新的功能,那么只要把模块单独拿出来做一些修改就可以了。对于用户网络来说,这是一个基于系统层面,也即最底层、最核心的一种结合,而且是基于相互交换、路由、智能等的非常紧密的融合。毫无疑问,JUNOS对我们来说,是最核心的竞争力。

  第二个融合则是不同部件之间的融合。用户网络种的路由器、防火墙以及交换机在被发现出现异常情况时,能够通过通知到交换机完成威胁的发现。这可以说是我们另外一个比较大的专长。相应地,这个解决方案叫UAC。简单来说,UAC就是一个端点控制的解决方案。例如,一台笔记本接入公司网络的工作中,UAC通过交换机、防火墙和终端互动,发现终端不是公司员工使用的,那么就会将该终端限定为一个访客的权限,如只能访问互联网和不能访问公司内部网。这样做的好处就在于,不会泄漏公司的机密。这些操作涉及到认证和授权,同时还有对行为的监察,包括对合法员工也可以监察是否处于非正常的操作状态,这些都是可以通过交换机、防火墙、IDP(IDS/IPS)等产品采用联动方式实现的,这都是用户对交换机智能化的要求,而当真正实现智能化的时候是不需要人为干预的。

  张琰珺:为什么能说成是对交换机的功能需求,而不是对网络整体的功能需求?

  张东伟:当然,这是一个联动的需求,不是直接的需求。真正的需求是来源于用户上网行为的改变,以前是PC,没有笔记本,现在都是笔记本,以前没有移动办公,现在大家都是抱着笔记本跑来跑去,可能在网吧或者酒店上网……这些情况下,PC很容易成为攻击点。这样一来,就需要考虑怎么定位到对网络进行干扰的人或者是设备。等到外界的PC与内部以太网连接的时候,用户可以对该PC的端口进行限制。

  在这种情况下,简单在网络内部部署防火墙是没有用的。这是因为,即便是部署了防火墙,流量还是要正常穿越网络,只是到防火墙层才可以把流量截断,而在防火墙之前,这个网络已经被大量的垃圾信息所挤占,已经对其他人形成了影响。因此,把截止非法访问流量的环节挪到最前端才是最好的方法。

  Juniper的交换机的特点就是智能,它可以与防火墙、IDS/IPS联动,以保证网络的正常使用,同时阻断一些非法的访问,包括合法员工的非法操作和访客对公司网络资源的非法浏览,这些都是可以帮用户完成的。

  张琰珺:安全性已经成为用户最关注的性能了,这就要求网络是可管理的,也就是说网络需要有可控制的中心。那么,通过交换机控制最边缘的安全隐患的时候,中心控制的大脑也是在交换机这层吗?

  张东伟:应该这么说,交换机相当于手脚,控制还不是在交换机这层,但是手脚必须明白控制中心给他的命令,只是二层交换机是没有办法明白这个东西的。如同,中心的人说中文,底下交换机理解的也是中文,这样才能翻译成与自己匹配的行为措施。

  但你说的一点很对,对这个网络的智能要求,不仅仅是对于交换机的,网络智能已经遍布到网络的每个环节,从交换机到路由器再到防火墙,以及到一切安全产品,用户都希望能在各个点都具有智能性,就像人的肌体一样工作,正如一些业内专家所说的智能网的概念。

  在我们UAC解决方案中有一个小盒子,作为控制交换机的大脑。如果按做项目来说,卖价占的百分比很小,但是在整个智能网络中却是属于决策层,做各种策略,继而推送到不同的层面,不同的层面再完成相应的动作指令。举例来说,在UAC解决方案中,如果流量在穿越过程中被IDS发现是一个非正常流量,那么IDS就会将这个信息报道给UAC的大脑——IC,IC接收到有一个非正常流量的信息后会推送阻止的策略到底层交换机上,说在哪个端口有非正常流量,让交换机可以采取以下措施,或者关闭、或者让他访问互联网。这样一来,交换机就可以通过接受IC推送的信息从而保护用户网络。对于智能交换机来说,可能更应该匹配的是智能网络,而不是限制于交换机这个点,只是现在还没有统一的概念和认识。但是对于三层交换机而言,人们对其智能化的理解和定义已经是很明晰的。

  对于三层交换机来说,在整体定义方面,大家认为交换机能做到什么功能、可以实现哪些保护措施,这些都是二层交换机无法做到的。从智能化的层面来说,也许人们距离路由器总是有十万八千里,但是交换机是最接近用户端的,所以对于交换机的关注和努力是对用户应用需求最直接的满足。

  在二层交换机向三层交换机过渡期的坚持

  张琰珺:也许有一些高端用户已经在使用三层交换机了,但是对于从二层交换机向三层交换机过渡的用户是否可以直接把二层交换机撤掉,把三层交换机加上去?

  张东伟:考虑到对用户应用效果的保障,我们当然建议用户全部替换掉,但是我们也知道这是一个渐进的过程。所以在这个过程中,我们基本上采取几种方式。正如我们与香港同事沟通的那样,他们说香港非电信类的企业客户在部署网络过程中,如果是新网络,肯定是千兆到桌面,选择的三层交换机可能会有POE以太网供电的功能;而在新建的网络中,用户开始考虑选择三层交换机到桌面的部署方式。

  当然也有用户希望分批上,那么这种情况下,我们就会采取渐进方式完成。

  张琰珺:随着网络服务提供方式的不断改变,也许Web 2.0也会很快过时。如今,SaaS、SOA、云计算等,大家仿佛都在对网络形成种种理想状态的憧憬,对于Juniper而言,又如何理解未来的网络趋势呢?

  张东伟:这是一个很宏大的问题,但是从我个人来说,我觉得在未来的两三年过程中,大家对网络的想法会要求从二层和三层混合的交换网络提升到以三层为主、千兆到桌面、万兆做骨干的状态。

  对于未来网络的发展情况,像SaaS、SOA、Web 2.0等,最根本的目的就是应用这些架构以后能为用户带来应用体验的提升。无论如何,网络正在点点滴滴地发生着变化,但我相信在近几年中,大家对网络的要求,已经从简单的互联层面上升为比较智能的层面,从性能上则要求更安全、更可靠、更快速以及更加稳定等。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章