《云计算数据中心网络建设项目方案的新技术特点.doc》由会员分享,可在线阅读,更多相关《云计算数据中心网络建设项目方案的新技术特点.doc(41页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、云计算数据中心网络建设项目方案的新技术特点1.1量身定制的数据中心网络平台1.1.1最先进的万兆以太网技术Extreme公司作为以太网技术的先驱,一直致力于生产严格遵循业界标准的以及可与其他厂商兼容的产品,Extreme Networks是由100家国际知名网络公司组成的千兆以太网联盟和万兆以太网联盟的领导者。Extreme交换机的10GB以太网模块在世界上第一个实现单跳网络传输1 TB数据流量。Extreme公司一直走在10GB以太网交换技术开发的前沿,公司的发起人及首席技术官Steve Haddock现任IEEE 802.3ae任务小组副主席,该小组已经为10-GB以太网开发了行业标准。E
2、xtreme Networks的Tony Lee自2000年3月起,在两年任期内担任万兆以太网联盟主席,另一名Extreme Networks技术专家Ameet Dhillon目前则担任万兆以太网联盟理事。Extreme交换机的扩充能力和高端交换性能标志着基于标准的高性能以太网技术的重大进步。万兆以太网市场的全球市场占有率:Extreme在万兆网络应用从初期就一直保持着市场领先地位1.1.2硬件全线速处理技术网络业务的不断增多,各种应用的流行,对网络也提出了新的要求,传统的以太网交换机由于基于共享的设计理念,对于音频、视频以及数据的各种业务的传输是无法识别区分的,对于多媒体业务的开展需要更智能
3、的设备来支撑。高速的网络数据传输应用已经不是一个高级网络唯一的重要指标。网络的发展方向是支持线速无阻塞地传输各种多媒体等高级应用,在开启各种网络应用和功能的情况下,保证网络畅通。这也是Extreme公司的强大技术优势所在。Extreme的智能网方案采用先进的组播技术和Qos保证机制,实现全线速的高质量的业务运行。核心设备的大密度的高速端口使得网络设备具有大容量的交换处理能力,以避免拥塞和延迟。Extreme采用无阻塞交换结构,基于先进路由交换机制,能够提供线速处理能力。以此为基础,通过合理的网络设计实现高性能的网络。Extreme的全线三层产品交换产品均可实现满载情况下的二层线速帧交换和三层线
4、速包转发。应该强调的是,实际运行的网络需要配置很多控制功能,如 QoS处理、ACL、策略路由等,此时需要交换机耗费更多的资源以实现相应的网络控制处理功能。Extreme产品能够保证性能和功能的一致实现,即在打开诸多控制处理功能的前提下,依然保证数据包的真正线速处理和转发。Extreme的共享内存式的交换背板结构大大提高了组播转发的效率,节省了交换矩阵的带宽。其他网络厂家的交换机支持的组播、ACL、Qos等都是基于软件技术和CPU运算的,由于占用大量处理器和内存资源,经常会导致丢失数据包,在性能上能上都达不到无丢包的限速传输,不得不以添加昂贵的内存条为代价。 Extreme主推的真正的线速网络是
5、性能和功能的全面线速,包括线速路由、线速ACL、线速Qos、线速组播,Extreme的网络设备的Qos、组播、ACL都是通过专门的集成芯片来完成,不占运行用系统资源,这也是目前业界唯一能够同时实现四种线速的全线速核心交换设备。国防大学在新网络未来要承载各种多媒体为基础的新应用,影像方面需要应用到组播、Qos技术都会在本方案的设计中得到卓越的性能表现,优异的全线速网络设计能够为科研和业务的效率提高作出巨大的贡献。组播结构传统的组播结构可以看到在传统组播结构上,要实现组播组的发送需要组播发送端通过传统的交换矩阵多次发送,这样造成了组播数据在整个转发过程中速度慢,同时对端口带宽占用资源过大、占用时间
6、过长,容易造成端口拥塞。1.1.3 Extreme Direct Attach技术今天的虚拟机管理程序利用一个内部的“虚拟交换机”为在一个服务器内部的虚拟机(VM)之间以及它们与外部网路之间提供网络连接。这个虚拟交换机给数据中心网络增加了第四个层级。今天的许多刀片服务器利用一个内部的“刀片交换机”来汇聚刀片服务器机箱内的每个物理服务器的数据流量。这些交换机给网络增加了第五个层级。虚拟交换机和刀片交换机的组合把交换层级从3层提高到5五层,显著提高了网络延迟并增加了数据中心内的网络元素,这也增加了数据中心管理的复杂性。Extreme Networks的Direct Attached技术消除了虚拟交
7、换机层,简化网络并提高网络性能。Extreme Networks的BlackDiamond8800交换机中的8900系列交换模块通过利用高密度板卡和布线系统,消除刀片交换机并使数据中心得到简化,从而使数据中心的层级数量从5层简化为3层。今天的数据中心网络可以通过结构化分“层”定义。通常情况下,有一个“网络核心”,它是所有数据中心设备的中心连接点。这是数据中心网络的“第一层级”。这个核心可能是一个交换机,或者更通常是由冗余交换机组成的集群来连接所有设备:网络设备、安全设备和服务器。而网络的“第二层级”是汇聚交换机,它连接接入交换机和核心。这层常用于大型数据中心,一般没有必要用在中型数据中心。“第
8、三层级”的交换机,通常被称为接入层交换机,它直接连接服务器。这些接入交换机通常被称为“架顶式交换机”或“行末式交换机”。这种无论是两个或三个层级的模式是已经被多年使用,且广为熟悉的。目前数据中心有两个重要的趋势,它们正在改变数据中心网络的实现方式,一个在物理方面,而另一个在虚拟化方面。这些趋势给数据中心网络增加了额外的层级。趋势一:虚拟化在过去几年的数据中心最重要的发展趋势是虚拟化的应用。虚拟化是一种技术,使一台物理服务器允许安装多个虚拟服务器/虚拟机。这样可以提高服务器利用率和有助于服务器的整合,对于灾难恢复和容量管理等有诸多好处。虚拟化在企业数据中心和主机托管数据中心中非常流行。而由于高性
9、能计算集群或大型互联网消费网站的自身性质,虚拟化不太可能应用在这些领域。虚拟交换机虚拟化引入了“虚拟交换机”的概念。在非虚拟化数据中心,每个服务器运行一个操作系统,该操作系统管理的物理网络连接到与其它用户和服务器。在虚拟化环境中,有多个虚拟机运行在物理服务器上。这些虚拟机必须共享一个物理网络连接,并且需要互相通信。这给虚拟交换机或“vSwitch的”概念带来了用武之地。虚拟交换机是一个运行在服务器上的模拟2层网络设备的软件。虚拟交换机的功能是使一个服务器内的虚拟机可以互相通讯并且可以与外界通讯。虚拟交换机仿造了二/三层交换机的一部分功能以实现上述通讯功能。虚拟机运行在虚拟化管理软件中,所以它不
10、是通用的。目前VMware、Microsoft和Citrix在自己的虚拟化管理软件中都含有虚拟交换机。另外其它一些网络厂商也推出了额外收费的虚拟交换机,例如Cisco的Nexus 1000。一个需要注意的关键点是每个物理服务器都需要一个虚拟交换机。例如一个有40台服务器的机柜需要40个虚拟交换机,一个有16个刀片的刀片服务器需要16个虚拟交换机。网络中虚拟交换机的数量与网络中运行虚拟化的服务器的数量是一一对应的。这些虚拟机每一台都需要管理和配置。虚拟交换机的优点:虚拟交换机是由虚拟化管理软件厂商发明的,用于虚拟机与网络间进行通讯。直到现在,虚拟交换机还是虚拟机之间,虚拟机与其它服务器和用户之间
11、通讯的唯一手段。虚拟交换机带来的问题:安全性:虚拟交换机的主要功能是满足同一服务器内部的虚拟机之间的通讯。因为虚拟交换机存在于服务器内部,虚拟机和虚拟机之间的数据流量对于外界网络是不可见的。这样一些由非法虚拟机引发的安全问题很难被发现。网络与系统管理软件的可见性:同样由于虚拟机和虚拟机之间的数据流量对于外界网络是不可见的,对于虚拟机和虚拟机之间的流量的管理和监控非常困难。传统的基于端口镜像的网络工具无法在这样的环境中使用。性能的不可预见性:虚拟交换机使用软件而非线速的交换机硬件来进行数据的转发。虚拟交换机的转发性能,以至于服务器的网络性能都取决于CPU的可用资源,而该资源又取决于虚拟机上的应用
12、程序。这与服务器的优化是矛盾的:当服务器通过虚拟化增加利用率时,服务器的网络性能实际会下降,这与使用虚拟化优化服务器的设想是相违背的。额外的网络层级:虚拟交换机为传统的网络增加了第四个层级。这样增加了网络的跳数从而增加了端到端的网络延迟。虚拟交换机与服务器一一对应引起的扩展性问题:每个服务器都需要一个虚拟交换机,整个数据中心的网络设备数量大大增加。一个有40个服务器的机柜需要40个虚拟交换机,而只要一台网络交换机。这样大大增加了数据中心内需要管理和配置的网络元素,增加了数据中心的运维成本。管理的复杂性:每一个虚拟化管理软件厂家都有一个和自己软件配合的虚拟交换机。在一个使用多种虚拟化软件的数据中
13、心,需要对多种虚拟机管理进行人员培训和制定管理流程,增加了数据中心管理成本。问责的冲突:到底由哪个部门来管理虚拟交换机呢?是因为虚拟交换机运行在服务器内部而由服务器部门负责呢?还是因为它是网络元素而由网络部门负责呢?这些问题会带来潜在的冲突,增加管理和实施解决方案的复杂度。趋势二:刀片服务器刀片服务器为机架内容纳高密度服务器提供了解决方案。一个刀片服务器机箱可以容纳16个服务器,一个标准机柜可以容纳3个或4个刀片服务器机箱。这样一个机柜可以容纳48或64个高密度服务器,并且可以简化管理。刀片服务器带来的挑战是它在一个机柜内制造了很高的布线密度,使为每台服务器提供布线成为挑战。正是这个原因,各个
14、刀片服务器的厂商都制造一种插入刀片服务器机箱的“刀片交换机”。刀片交换机的优点:刀片交换机的主要优点是简化了布线。刀片交换机连接所有的服务器,并上连到网络的第三个层级。如果没有刀片交换机,每个服务器需要一个以太网连接到第三级网络,这样每个刀片服务器机箱就需要16根跳线。有了刀片交换机跳线数量减少为1到8根。刀片交换机的问题:刀片交换机给网络带来高复用比,这样可能造成网络拥塞并限制服务器的性能。一个典型的刀片交换机包含24个以上的端口或连接。其中16个端口用来连接服务器,另外8个端口用来连接接入层网络设备。这样造成2:1复用,使网络最高性能减少50。从物理网络的角度看,刀片交换机给网络增加了“第
15、五层级”。如我们前面讨论的,每个网络层级都因为转发时延带来端到端的延迟。这个额外的层级增加了网络元素的数量,从而增加了成本,包括刀片交换机本身的成本和配置管理刀片交换机的时间成本。因为刀片交换机是一个根据刀片服务器机箱定做的产品,它与数据中心汇聚和接入层级的独立交换机相比通常具有不同的功能和管理结构。这带来的管理的复杂性,因为网络管理员需要学习和管理不同的交换机系统和管理软件。刀片交换机同样带来组织管理上的问题。它是应该由管理核心/汇聚/接入交换机的网络部门管理?还是因为它在服务器内部而由服务器部门管理?这个职责的混淆会在配置不兼容以及涉及多个部门在数据中心排错时带来问题。虚拟化和刀片服务器趋
16、势的叠加效果是把网络层级从3层增加到5层。当虚拟交换机引入时增加了1层,刀片交换机引入时又增加了1层。由于显著地增加了网络复用比以及端到端的延时,5层网络的性能低于3层网络。另外这样还需要更多电力和冷却能力并大大增加管理成本。Direct Attach减少网络层级什么是Extreme Networks的Direct Attach?Direct Attach是Extreme Networks实现虚拟机在网络中进行交换的技术。一些厂家通过在服务器中的虚拟交换机实现虚拟机数据交换。而Extreme Networks的Direct Attach技术把虚拟机之间的数据交换功能从服务器中迁移回网络设备中。
17、这样使管理员可以在享受服务器虚拟化带来的好处的同时利用成熟的、线速的网络交换机处理虚拟机数据交换。从本质上讲,Direct Attach允许虚拟机无需通过服务器内的软交换机直接连接到网络。Direct Attach通过去掉虚拟交换机减少了网络层级,从而节约成本,降低延时,减少网络复用并且简化了管理。最后它使管理员在无需考虑虚拟机管理软件的情况下实施一致的网络策略,保证网络的安全且符合规定。另外,高扇出的交换机模块以及专用的布线方案可以使刀片服务器机箱中的服务器直接连接到数据中心网络,从而使数据中心网络简化。Direct Attach如何工作Direct Attach软件包是ExtremeXOS
18、的一个可加载模块。它可以被安装在基于ExtremeXOS的Extreme Networks的Summit系列堆叠交换机(包括Summit X450、Summit X480、Summit X650)和带有8900系列模块的BlackDiamond 8800交换机。Direct Attach软件把端口上的数据根据虚拟机进行分类,然后根据交换机中二/三层转发协议进行转发。虽然所有的数据包都从一台物理服务器发送和接收,所有交换机策略仍然会针对每个虚拟机的数据流发生作用。使用Direct Attach技术去掉虚拟交换机的好处更高的可预见的性能:使用Direct Attach技术不需要服务器内的软件转发数
19、据包,所有的数据包都通过以太网交换机线速转发。这样无论服务器的负载如何,都可以保证可预见的性能。更广泛的网络功能:当今的以太网支持非常广泛的功能,包括服务质量、ACL安全等多年来开发的功能。使用Direct Attach技术,这些功能可以针对数据中心内的所有虚拟机生效。管理更少的网络元素:在一个有10个机柜,每个机柜有40个1U服务器的数据中心,使用Direct Attach技术只需要第三级的10个网络元素而不需要第四级的网络元素。如果不使用Direct Attach技术,需要管理410个网络元素,除了第三级的10的10个还有第四级的400个网络元素!在这个实例中,减少了98的需要管理、配置和
20、维护的网络元素。增强的安全性:在使用虚拟交换机的情况下,虚拟机之间的数据流量永远不会流出服务器。这样很难部署交换机的安全功能,例如ACL和在线的安全检测设备。使用Direct Attach技术,所有虚拟机和虚拟机之间的通信对交换机而言都是可见的,可以被安全策略如ACL、端口镜像等进行处理。易于管理:Direct Attach技术使数据中心内的所有数据交换机的管理回归到网络管理员手中,消除了与服务器团队的潜在冲突。不同虚拟化管理软件环境下的轻松管理:Direct Attach技术不依赖于虚拟化管理软件,可以兼容绝大多数虚拟化管理软件。这样它可以在混合有多厂家虚拟化系统的数据中心良好工作。交换机与
21、布线系统设计除了可以通过Direct Attach技术去掉虚拟交换机,这个Extreme Networks的解决方案还有另外的好处。BlackDiamond 8800交换机通过MRJ21技术提供高密度千兆接口解决方案。MRJ21技术把6个全带宽的千兆接口集成到1根线缆中。使用这种技术制造的96口千兆模块使1个机箱可以容纳768个千兆接口,使刀片服务器可以轻松接入8800交换机。Direct Attach布线系统可以把刀片服务器机箱内的所有服务器直接连接到模块化交换机的端口,而无需使用刀片交换机。一个有4个刀片服务器机箱,每个刀片服务器机箱有16个服务器的机柜内的所有服务器都可以直接连接到1个B
22、lackDiamond 8800交换机的8900系列模块上。这个高密度端口和高密度布线解决方案消除了使用刀片交换机的需求,从而消除了这个层级的网络设备。结论:Extreme Networks的Direct Attach技术和高扇出的服务器模块可以被一起使用,也可以被单独使用。如果一起使用您可以去掉虚拟交换机和刀片交换机,从而使网络层级从5层减少到3层,进而建立一个更易于扩展、易于管理和降低成本的网络架构。减少网络层级的好处l 更低的复用提高网络性能使之更可预测l 更少层级意味着更低延迟l 更少的拥塞点意味着更可预测的性能l 更少的网络元素意味着更少的故障点l 更少的网络元素意味着更少的电力消耗
23、l 更少的交换机意味着更低的总体拥有成本Direct Attach技术如何减少网络层级l 去掉虚拟交换机l 去掉刀片交换器1.1.5 帮助虚机无缝迁移的XNV技术数据中心里服务器虚拟化的广泛采用推动了整合,降低了能耗,并提高了可用性和灵活性。然而,服务器虚拟化也带来了一系列网络运行的挑战:从进行虚机交换的配置,到管理虚机在网络中的迁移,到提供虚机在网络上的位置及可见性信息。今天,网络管理员几乎没有合适的工具为他们提供虚机环境下的可视性、控制和更深层次的信息。极进网络的XNV提供了服务器虚拟环境在网络层面的可见性和控制,并且与具体采用的虚拟平台无关,也无需对服务器的操作维护环境做任何改动。这允许
24、网络管理员可以有效的对高度虚拟化的数据中心环境进行监视、实施、故障诊断,同时又能避免错误、降低应用的宕机时间、改进业务质量和响应时间。服务器虚拟化允许一个操作系统和其上所有的应用可以完全从底层硬件上抽取出来。这不仅仅可以让多个虚拟主机运行在一个物理服务器上,而且允许虚拟主机从一台服务器迁移到另一台服务器用于业务负载均衡或容错。虚拟主机的移动可以由服务器管理员手工完成,或由管理工具(如:管理业务负载均衡)自动完成。进一步说,在一台服务器上的两个虚拟主机之间的流量由基于软件的二层交换机(称为虚拟交换机)在本地完成交换。这些服务器环境的变化给网络管理员带来了一系列挑战:1. 传统上,网络策略,如访问
25、控制列表(ACL),服务质量(QoS)和流量控制的策略都是在交换机的物理端口上实施,并映射到相连的服务器及其应用特征。然而,由于有了虚拟化,多个虚拟主机会和同一个物理网络端口相连。这样,这些策略必须和一个物理端口下的多个虚拟端口和虚拟主机相匹配。而且,传统的故障诊断工具,如:物理网络端口上的包计数器和统计,也需要工作于虚拟的端口。如果没有这些能力,就很难进行故障诊断和达到相应的服务等级要求(SLA)。2. 虚拟化给数据中心增加了动态的元素。虚拟主机可以从一台服务器移动到另一台服务器操作却非常简单,点击一下鼠标,或由自动化管理工具自动完成(如负载均衡工具)。但是,网络的配置例如网络端口上对应某个
26、安装了多个虚拟主机的服务器却不能移动,跟踪和跟随虚拟主机在服务器间的移动。这会导致业务性能不能始终如一,降低或中断业务的可达性,以及一些安全和合规性的挑战。这反过来导致SLA不能得到满足,增加了人力的介入(服务器管理和网络管理员之间的协调),和数据中心的管理效率下降。3. 虚拟主机的创建、配置、激活、迁移和禁止等操作通常由服务器管理员通过工具来完成。而网络管理员并不了解虚拟主机的生命周期情况。这意味着,在任何时候,网络管理员都不知道哪台交换机上连接了一个新的虚机,哪个虚机在数据中心里被创建了,某个虚机的网络特性等。但是,即使在在高度虚拟化的数据中心里,网络管理员也一样经常会需要进行虚机层面的某
27、个应用的网络诊断。如果不了解虚机的生命周期信息,这样的诊断将既痛苦又漫长。也导致更长的应用宕机时间,也无法满足SLA。演进网络,以适应服务器虚拟化上述挑战的解决之道就在于演进网络,使之能高效的应对服务器的虚拟化。有几个重要的方面与之相关:1. 将网络层面的可视性引入虚机的生命周期:从服务器管理员创建一个虚机开始,到它被激活,迁移及最后被禁止,需要给网络管理员提供完整的可见性(当前的和历史的)。能够准确定位虚机在网络中的位置在哪一台交换机的哪一个端口,以及虚机的属性和位置历史信息,及整个网络中的所有虚机的网络信息清单,这些可以极大的简化故障诊断、减少服务器和网络管理员的协调工作量,最终降低应用的
28、宕机时间提供更好的SLA响应。2. 在虚机层面配置网络策略:网络的业务能力如ACL、QoS、流量限制、计数器和统计不仅需要在网络和交换机端口层面能够配置,还需要在每一个单独的虚机层面(或虚拟端口)层面可配置。这样可以允许更精确的配置虚机及其应用和服务,同时帮助在整个网络提供强健的安全性和合规性的计量。实际上,这还能帮助其他的网络技术能更快的应用于虚拟环境。并且,也有助于卸载服务器的CPU(进行网络流量处理的部分),以将CPU资源释放来用于应用和更多的虚机。3. 自动的动态跟踪和执行虚机网络策略:这对于支持虚拟化的网络的有效性非常关键。由于虚机可以在服务器间动态的迁移,网络需要能够跟踪虚机的迁移
29、,并实时自动的迁移网络上针对虚机的属性和策略到虚机迁移的目标交换机上。这些要求必须是自动化的,才能降低配置的错误,减少服务的中断时间。提供这个级别的自动化可以极大的降低网络和服务器管理员的相互依赖性,极大的简化和理顺数据中心的维护工作。1. Hypervisor无关的运行:许多数据中心开始部署多种不同的虚拟化技术。将网络功能从服务器转移到网络中的一个好处是,可以方便的支持混合的虚拟化环境。一旦网络上提供某种了网络功能,就相当于在多个虚拟平台上都具备了,而且无需修改服务器操作环境。5. 投资保护:虚拟化可以在已有的服务器基础设施上开展。同样的,在现有的网络基础设施上虚拟化相关的业务能力的支持也很
30、重要,这可以降低硬件设备升级的需要,提供更好的投资保护。这也让管理员可以逐步实施他们的虚拟化计划,而不是一次性整体替换。今天的网络缺乏上述相应的工具和能力,因此对数据中心快速引入虚拟化形成了障碍。在数据中心进行上述的网络演进可以提高支持虚拟化的有效性。进一步说,数据中心管理员可以将各种规模的数据中心逐步的从物理的到虚拟的模型按照他们自己的步调进行迁移,不需要大规模替换设备也不需要彻底的修改操作维护流程。XNV:将虚机生命周期管理引入网络XNV是基于ExtremeXOS的交换机产品和EPICenter管理软件中的一套需要授权使用的软件功能。包括极进网络的网络实施和管理工具。XNV将高度虚拟化的数
31、据中心的可视化、控制和自动化引入网络。XNV带来如下功能:1. XNV提供了集中化的基于网络的虚机清单、虚机位置历史信息和虚机网络策略配置功能。XNV通过EPICenter来实现这一点EPICenter通过标准API接口与虚机管理平台,如VMWare vCenter或其他,进行通信。2. XNV提供集中化的网络配置和针对于各个虚机的分布式的网络策略。XNV通过在EPICenter集中管理的虚拟端口策略(Virtual Port Profile,与各个虚机关联)的框架来实现这一点。VPP用于为每一个单独的虚机配置ACL,QoS,流量限制和其他策略。VPP的执行则是在运行ExtremeOS、并使用
32、了XNV的网络交换机上。3. XNV可以在虚机从一台服务器迁移到另一台服务器时自动跟踪它,并实时自动迁移相应这个虚机的VPP到目标交换机上去VPP将在这台交换机上自动强制执行。XNV不需要对服务器的运行环境做任何更改,并可以同时与多种hypervisor技术兼容。总结服务器虚拟化带来一系列网络的挑战。为了应对这些挑战,落实虚拟化的好处,网络必须做一些根本性的改变。从为虚机运行环境提供网络级的可见性和可视性,到将网络功能移植到虚机层面,到自动跟踪虚机的迁移和调整、执行虚机的网络策略,网络需要重新定义,需要主动参与虚拟化。XNV为极进网络的数据中心产品提供了一个软件的升级包,使得网络可以有效的应对
33、虚拟化,无论采取的是何种hypervisor方案都无需改变服务器的操作环境。XNV为虚拟主机的生命周期提供了基于网络的可视性,控制和自动化。XNV还为网络管理员提供了一条从现有的网络基础设施升级到虚拟化的道路,而无需彻底替换设备。这种升级途径能够保护现有投资,简便易行。1.1.5环保节能的网络建设构建数据中心网络,不仅仅考虑初期的采购成本,后续的操作和使用成本也是必不可少的,一个好的产品方案,无论初期采购还是后续维护使用,都要为客户着想,如何以最低的成本进行信息化应用,从而提高整体运营效率,提高经济效益。在能源日益紧张的今天,节能环保也纳入了网络设计当中,成为一个优秀方案的必备要素。对于国防大
34、学,作为IT基础设施的网络建设,Extreme为用户寻求低耗电、高性能网络解决方案。所提供以太网局域网交换机的节能表现比其他品牌产品更胜一筹,相应为用户减轻中心机房用于散热所需空调压力。(以下图表数据来源于全球专业的第三方评测机构TollyGroup 2008年的测试报告)以上的图标数据分别显示,Extreme的核心设备在同等模块数据流压力测试的情况下,能耗和其他品牌产品的对比。(包括空载、千兆交换、万兆交换情况下,)可以明显的看出,该产品的能耗只是同类产品的1/41/3,这样的产品方案,为用户节省了大量的电力费用投入(包括设备本身耗费的以及由于散热需要配置空调设备采购成本和使用成本),从而提
35、升了整体的运营效率。1.2 最稳定可靠的网络平台1.2.1 独有的模块化操作系统设计本方案中的所有的交换机均采用新一代模块化多线程操作系统XOS。XOS支持动态内核加载(KLM),采用独立进程内存保护运行模式,支持对称多处理(SMP)和标准POSIX API 及XML技术。通过使用模块化多线程操作系统XOS,核心网络设备可以提供更多的可靠性、拓展性和安全性能力,如: 无中断切换(Hitless Failover)。设备主从管理模块之间的切换不会导致已有数据流传输的中断。(其他厂商设备在冗余交换管理引擎间故障切换需要13秒的时间) 无中断软件升级(Hitless Software Upgarde
36、)。无须重新启动设备及实现软件版本的升级与新版本软件启用。(其他厂商设备升级软件后需要重启整个设备) 动态停止/重启模块。在某个模块出现的故障的情况下,设备将自动进行故障模块的单独重新启动。进程和线程的自动重启动。系统中某个进程或线程出现故障时不会影响到其他进程和线程的运行。在无须整台设备重新启动的前提下,设备能够自动实现对故障进程的重启动。(其他厂家设备各个模块和进程之间互相影响,某一个模块出问题整个系统要重启,所有功能被迫停机一次) DoS攻击的自动检测和预防 交互式威胁阻断挂钩(hook) 支持软件模块下载,无中断在线功能扩充。无须中断设备的运行,即能完成系统软件中某个功能模块的升级。
37、POSIX API和XML技术保证了用户的个性化功能扩展 可由用户配置的 CLI 命令接口 (TCL)。用户可以根据自己的习惯定制命令行界面。 多平台的运行能力。用户可以将XOS运行在任何其他的Linux设备平台上(PC、服务器),并能提供全部的网络设备功能。 对SMP(对称多处理)的支持,为高优先级应用(如:视频会议、实时监控、IP电话)的开展提供了更好的保障。1.2.2超强的QOS服务质量保证针对国防大学信息网络今后还要开展多种影像应用(尤其在演习网当中),端到端的Qos保证必不可少。Extreme的方案具有强大的Qos保证技术: 多媒体应用在未来网络应用中将占主要地位,新一代数据网络上实
38、施的重要基础为带宽的大幅扩展和采用硬件包处理技术的设备性能的提高。由于多媒体应用对延迟和抖动的敏感性以及IP网络本身的尽力而为的特点,在保证带宽和性能的基础上,网络平台好要具有良好的QoS保证能力。 本方案中网络产品提供多种带宽管理方式和策略,不管是核心层、汇聚层还是接入层接入交换机均具有基于物理端口、MAC地址、IP地址、TCP端口等实施带宽控制策略和流量分类管理的能力。 Extreme产品设计的追求目标之一就是为在以太网和IP技术上提供稳定的QoS能力,其核心层和汇聚层产品的每端口控制队列最少也达到8个,便管理人员对各种网络服务方式进行更加细致的优先级分类,同时设备采用了基于16个粒度的带
39、宽管理方式,可以将带宽细分成总带宽的1/16,从而提供了出色的网络传输控制解决方案。 通过Extreme公司的IP-TDM技术,可以在网络中定义类似专线的数据通道,保证应用的延迟可控制在固定的数值之内,从而为IP电话、视频会议、视频监控和实时控制等应用的顺利开展提供良好的保证能力。 非常高的物理QOS队列。交换机支持每端口8个队列。更多的队列意味着更细的业务类别区别。8个队列意味着8个不同优先级带宽保证的业务类别。8个硬件端口优先级: 业务最强的分组分类能力。Extreme8810能够根据IP数据包前80字节的任一位或组合进行分类,因此可以实现最细的业务分类能力,轻易区分不同类型的流量。 全D
40、iff-Serv标准的分组分类能力。交换机均能支持全64个级别的Diffserv分类、重写(remark)标准及8个802.1p分类重写(remark)标准。保证QOS的全网实施且与其它厂家兼容。 业界唯一的最小带宽保证,最高带宽限速能力。每个QOS队列均能保证最小的保证带宽,及最高的允许带宽,及最高的突发带宽。最小带宽保证低优先级的流量不被“饿死”,最高带宽保证该类流量不超量使用,最高突发带宽允许在网络没有瓶颈时可以以最高带宽使用,达到最高的性能。 基于双向速率协商机制的区分服务以及双向带宽管理和分配方式确保了用户的投资和带宽需要;同时利用流量鉴别技术和队列技术对用户的数据传输质量和服务级别
41、进行定义,根据用户的投资提供区别服务。 自动QOS映射能力,简化QOS的全网部署。QOS部署要求全网内实施,也就是说QOS起自客户PC,终于服务器,因此接入层交换机还需识别来自PC的QOS标识,然后自动映射到相应的队列,Extreme8810具备QOS自动映射能力。这样,所有的QOS配置仅需在网络边缘通过网管实施QOS策略。 Extreme的QOS处理,包括识别,分类,标记,重写,队列,调度,限速在内,均为ASIC处理,保证不引入额外的时延。 通过组合QOS及web/802.1x认证技术,根据不同的用户名指定不同的QOS及带宽等级。 下图是8810和同类产品在不同数据吞吐量情况下高优先级业务的
42、优先级保证,无论流量大小,Extreme的产品高优先级的业务不受影响。1.3先进的网络安全设计一般来说,网络安全体现在以下几个主要方面: 网络设备的安全 网络管理系统的安全 网络业务的安全 数据传输的安全 用户网络的安全以上几个方面又是在网络的不同层面来实现的,即骨干层面、管理层面、业务层面、用户接入层面来分别实现。Extreme从如下几个方面着手来保证网络的安全:1.3.1 设备安全特性方案中的网络设备本身也采用了多项先进的安全特性来确保对病毒和攻击的免疫能力。本方案中采用的Extreme网络设备,使用LPM转发技术。区别于和其他厂家的传统三层交换机使用基于流表的方式(IP Host For
43、warding)来完成数据包的快速转发。基于流表的快速转发机制要求为每个目的地建立一个转发表项,而流表的建立方式,使得每个新数据流的第一个数据包必须经过CPU进行处理,当网络上出现扫描攻击的时候,会导致流表的快速溢出,引起CPU负载快速上升,并最终导致网络设备性能下降,使得整个网络不能进行正常的数据包传输。通过使用LPM转发技术,可以大大缩减快速转发表的大小,提高每条快速转发表表项覆盖的范围,从而很好地解决了流表溢出所带来的问题,大大提高了网络系统抗击病毒攻击的能力,提高了网络系统的可靠性,并最终保证了网络的高性能和高扩展性。此外,访问控制列表是网络设备数据流量主要过滤的手段,是网络设备的安全
44、防范的重要功能之一。ACL可以根据数据流的MAC地址、IP地址、端口号、ICMP信息、TCP/UDP端口号进行判别,并进行相应数据丢弃、过滤、转发策略(QOS)的实施。有效增强了网络传输的可控性,是网络安全规划的一项主要手段。然而访问控制列表对数据包的过滤如果通过交换机的CPU来实现,则会造成数据包转发较大的延迟,有再大的背板带宽和很多厂商宣称的线速性能也没有实际意义,转发根本无法达到线速的数据包转发。只有采用基于硬件的ASCI芯片技术实现的数据包过滤才可以满足线速转发的要求。在当前网络安全日益恶化、网络攻击及网络病毒日益泛滥的今天,访问控制列表的作用尤为重要。在网络设备的选择中,有些厂商甚至
45、连基本的VLAN间访问控制都无法实现,而宣传功能齐全的情况屡见不鲜。所以,能够提供真正权威的第三方测试报告将为我校的设备选择提供一份可靠的依据。1.3.2用户的安全接入网络的安全防范,除了设备本身的安全性外,系统的安全准入是网络安全的第一道关口。如果一个局域网内装有无法保证网络安全的端点设备,会造成网络安全受到威胁,因而带来许多痛苦以及财务影响。要避免发生这些威胁网络安全的事件,只是把网络端口关闭或是不让人们在办公大楼里连接上网络是不够的。真正有效的访问控制必须要采取主动,在任何威胁进入到内部的网络资源前,就必须要能很好地确保所有端点设备的安全,不用担心任何威胁的侵入。Extreme的最新内网
46、安全设备Sentriant AG200 能够满足这个需求。它能提供完整的网络访问控制平台 (Network Access Control platform, NAC)。这个平台使用在多种不同的网络基础建设上,不分任何访问方式(有线、无线、虚拟专用网 VPN),并与多种端点设备兼容。Sentriant AG200 会自动测试每个端点,并在允许访问网络之前,确定终端设备是否满足组织的安全要求。任一不合标准的设备会被隔离,并限制访问,直到使用多个解决方法修复后,才能给与完全的访问权利。有了上述专用的安全接入设备,配合交换机的安全功能,Extreme能够提供完善的安全方案。网络用户的接入在某些情况下是
47、需要监督和控制的。为了防止未授权用户私自接入网络,我们可以通过在交换机上实施诸如MAC、IP、VLAN、用户名等多种组合的绑定,来确保阻止非法用户的接入。当前,网络用户采用代理服务器或地址转换技术共享上条线路接入网络的情况也很普遍,而未有很好的解决方案。本方案中安全接入采用如下的技术手段来实现:。 本方案支持基于WEB的用户认证技术和IEEE802.1X+EAP标准。通过该功能,网络系统可以控制用户是否能够接入网络和如何使用网络资源,无论用户的终端设备设备是否配置了正确的IP地址,只有使用设备的用户拥有合法的用户帐号才能接入网络,否则,用户是无法接入网络系统的。这样就可以将非法用户屏蔽在网络之
48、外,减少网络收到黑客攻击的可能性。 用户接入认证技术可以将通过认证的用户动态分配到特定的VLAN中,通过对VLAN的控制,最终实现对用户可使用网络资源的控制。 提供的基于WEB的用户认证方式,大大降低了实施用户接入技术的复杂性,用户的终端设备上无需安装特定的客户端软件即可完成用户的接入认证。通过单端口上多用户接入认证技术,可以保证用户接入认证技术的广泛应用以及在异构网络上的实施。 支持终端设备的接入控制。通过Extreme网络设备上的MAC地址锁定和MAC地址限制功能,网络系统可以控制非法设备的接入,进一步提高网络的安全性。 强制使用DHCP的能力。在现代企业网络覆盖范围日益扩大和网络结构日益复杂的今天,越来越多的企业网络通过DHCP方式来实现企业内部IP地址的分配,通过DHCP的使用,系统管理员可以更好的实现网络的优化与管理,降低网络管理的复杂度。但企业内部可能出现的无管理下的静态配置IP地址,将导致IP地址的不可管理性,并会导致因IP地址冲突而带来的网络不可用的问题。利用设备独有的的ARP Learnin