交換機和路由器的發(fā)展需要新的網(wǎng)絡(luò)設(shè)計和管理模式的誕生,但是目前很多高端交換機和路由器每秒鐘都可以轉(zhuǎn)發(fā)4.8億個數(shù)據(jù)包。從長遠看,帶寬本身總是不夠用的。網(wǎng)絡(luò)基礎(chǔ)設(shè)施背后的智能“設(shè)備”——交換機和路由器必須承擔起以智能化的方式跟上帶寬需求腳步的艱難任務(wù)。象視頻和數(shù)字X-射線這樣的應(yīng)用總是要求更大、更智能化的“管道”,而VoIP應(yīng)用要求低延遲和一致的傳送速率。
上世紀90年代中期,隨著傳統(tǒng)交換機的沒落,人們開始競相發(fā)展速度更快、智能化程度更高的交換機和路由器。硅谷一群天才式的人物看到了這一市場機會,在一種被稱為"多層交換路由"新概念的基礎(chǔ)上發(fā)明了組網(wǎng)硬件和相容的軟件。與當時僅基于軟件的路由器相比,這些新的“智能”交換機/路由器能夠提供更快的速度和更短的延遲,同時能夠?qū)⒍鄠€網(wǎng)絡(luò)設(shè)備的功能結(jié)合起來。
歷史上,當對網(wǎng)絡(luò)帶寬的需求增加時,網(wǎng)絡(luò)管理員通過對網(wǎng)絡(luò)進行重新設(shè)計來避免路由器瓶頸。服務(wù)器經(jīng)常繞過路由器,重新安裝在離用戶更近的地方。例如,一組股票交易工作站可能遠離公司的其他設(shè)備,并與為其提供實時數(shù)據(jù)輸入的服務(wù)器放在一起。這是因為共享網(wǎng)絡(luò)資源(如路由器)的設(shè)備數(shù)量越少,每一設(shè)備能夠得到的帶寬就越多。傳統(tǒng)上,用戶與數(shù)據(jù)之間的距離越近,他們獲得數(shù)據(jù)的速度就越快,因為這樣可以避免產(chǎn)生路由器瓶頸。
在大型企業(yè)中,用戶被劃分為通過路由器實現(xiàn)互連的較小的網(wǎng)絡(luò)(子網(wǎng))。用戶劃分的基礎(chǔ)通常是地域、運行的應(yīng)用類型、需要的數(shù)據(jù)量和安全方面的原因。例如,會計部門經(jīng)常被放置在自己的群組中,這樣就可以保護公司的財務(wù)記錄, 而不是因為它們所使用的帶寬。VoIP電話經(jīng)常被放置在自己的網(wǎng)絡(luò)之中,這樣它們就可以繞過傳統(tǒng)路由器的瓶頸。
當計算機需要與不在自己所在的本地網(wǎng)絡(luò)中的其他計算機進行通信時,為將數(shù)據(jù)包發(fā)送到自己所在的群組之外,它們將數(shù)據(jù)包發(fā)送到距離自己最近的路由器。路由器提供公司與互聯(lián)網(wǎng)之間的連接和安全邊界,以及公司內(nèi)部群組之間的連接(內(nèi)部網(wǎng))。傳統(tǒng)的路由器只有在絕對必要時才使用,如通過廣域網(wǎng)連接遠程辦公室、連接到互聯(lián)網(wǎng)以及隔離公司中有關(guān)鍵的、高帶寬要求的群組。傳統(tǒng)路由器當時很貴(現(xiàn)在仍是如此),而且與最初的設(shè)計相比并沒有重大的進展,使用的組件與一臺標準PC類似,并使用多個接口卡運行專用的軟件。
與之相比,多層交換路由器將所有這些功能集中在一個專用的特殊應(yīng)用集成電路或ASIC上。ASIC比傳統(tǒng)路由器的CPU便宜,而且通常分布在網(wǎng)絡(luò)端口上。今天,典型的交換機和路由器可能在單一設(shè)備中包括了50個ASIC,可以支持數(shù)以百計的接口。新的ASIC允許智能交換機和路由器在所有的端口上以極快的速度轉(zhuǎn)發(fā)數(shù)據(jù)——無論網(wǎng)絡(luò)流量是什么類型。它們以實際接口速度(經(jīng)常被稱為線速)轉(zhuǎn)發(fā)流量?,F(xiàn)在,市場上為企業(yè)局域網(wǎng)(LAN)提供的新交換機和路由器,可在單一接口以每秒鐘萬兆位的帶寬(OC-192)轉(zhuǎn)發(fā)流量。
因為使用中央架構(gòu),傳統(tǒng)路由器經(jīng)常缺乏可擴展性。到達路由器的所有數(shù)據(jù)包必須被送到一個單一的處理區(qū)。您擁有的接口數(shù)量越多,系統(tǒng)的負載越重,從而導(dǎo)致資源的過度占用。這會限制可以在網(wǎng)絡(luò)上運行的服務(wù),如VoIP。
當一個使用中央阻塞架構(gòu)的路由器需要處理的流量超出自己的容量時,它就會開始丟棄數(shù)據(jù)包。當網(wǎng)絡(luò)應(yīng)用或計算機不能收到響應(yīng)時,它們會為恢復(fù)會話而發(fā)送更多的數(shù)據(jù)包。這只會使情況更糟——因為很容易導(dǎo)致交叉會話過載。這種情況下,過載的路由器會發(fā)展出自己的非邏輯性思維,根據(jù)應(yīng)用、用戶的優(yōu)先級或網(wǎng)絡(luò)目的地/來源有選擇性地丟棄數(shù)據(jù)包。很明顯,需要一種新的處理流量增長的方法。
多年以來,傳統(tǒng)路由器的速度已經(jīng)實現(xiàn)了很大的增長,但仍不足以跟上很多強大應(yīng)用的腳步。例如,它們每秒鐘可以轉(zhuǎn)發(fā)將近100萬個數(shù)據(jù)包??紤]一個每秒鐘能夠發(fā)送1,488,000個數(shù)據(jù)包(pps)、但同時以1,488,000 pps的速度接收數(shù)據(jù)包的單一千兆以太網(wǎng)接口,這意味著2千兆以太網(wǎng)端口能夠輕易使系統(tǒng)過載。與此形成對比的是,多層交換機和路由器以線速轉(zhuǎn)發(fā)數(shù)據(jù)包。交換ASIC以分布式的方式存在,允許整個系統(tǒng)高效地輸送流量。當您添加更多的接口卡時,系統(tǒng)的處理能力也增加了——因為相關(guān)的邏輯和轉(zhuǎn)發(fā)決策分布在整個設(shè)備上。今天的一些高端交換機和路由器每秒鐘可以轉(zhuǎn)發(fā)4.8億個數(shù)據(jù)包。
這些新交換機和路由器使用一種新的網(wǎng)絡(luò)設(shè)計和管理模式。在實現(xiàn)線速轉(zhuǎn)發(fā)的今天,阻塞點可以被消除,用戶距數(shù)據(jù)的距離可以更遠,而且不必擔心性能的下降。我們前面例子中提到的股票交易商現(xiàn)在可以連接到與自己相距數(shù)個樓層或數(shù)百英里遠的服務(wù)器或網(wǎng)絡(luò)數(shù)據(jù),具體距離取決于交換機和路由器所支持的接口類型以及所使用的電纜或光纖類型。此外,新的IP和優(yōu)化的以太網(wǎng)路由器更易于管理,管理人員僅需花費很少的時間來保持網(wǎng)絡(luò)與新的應(yīng)用同步。象網(wǎng)捷網(wǎng)絡(luò)BigIron機箱式系列產(chǎn)品,簡單地傳輸所有來自應(yīng)用的流量,同時可隨著容量和速度的增加而增添更多的模塊即可。
為確定網(wǎng)絡(luò)流量的類型和數(shù)量,ASIC現(xiàn)在內(nèi)置了新的數(shù)據(jù)包取樣技術(shù),以提供整個系統(tǒng)流量監(jiān)控的控制平臺。RFC 3176或sFlow現(xiàn)在已成為日益普及的方法,可以為企業(yè)和服務(wù)供應(yīng)商提供網(wǎng)絡(luò)中應(yīng)用流量的實時視圖,流量所需的帶寬,流量的去向。sFlow允許大型企業(yè)更好地監(jiān)控跨多個部門的網(wǎng)絡(luò)資源的使用狀況。大學(xué)可以識別網(wǎng)絡(luò)中的非法的無線和有線的應(yīng)用,并在網(wǎng)絡(luò)性能受到影響之前及時發(fā)現(xiàn)和制止對于拒絕服務(wù)(DoS)的攻擊。現(xiàn)在對于意識到安全性的重要的企業(yè)來說,RFC 3176正迅速成為必備的要求。
多層交換機和路由器的功能與傳統(tǒng)的路由器和交換機無異,它們將局域網(wǎng)(LAN)和城域網(wǎng)(WAN)的功能集成于單一的設(shè)備中。它們可在同組的用戶之間實現(xiàn)本地交換(即第2層交換),與不同組的用戶間實現(xiàn)路由(即第3層交換或路由),同時為應(yīng)用提供安全性和特別服務(wù)(即第4層交換)。
在路由器中使用安全過濾經(jīng)常是必要的——甚至全世界的政府都建議這樣做。路由器之所以成為理想的安全“檢查點”,是因為它們是網(wǎng)絡(luò)的入口和出口。在路由器上創(chuàng)建被稱為訪問控制列表(ACL)的復(fù)雜規(guī)則以后,路由器將根據(jù)這套規(guī)則來檢查每一個數(shù)據(jù)包。例如,這些規(guī)則可以只允許特殊的授權(quán)用戶訪問公司的數(shù)據(jù)。對于傳統(tǒng)路由器,根據(jù)安全規(guī)則檢查數(shù)據(jù)包是一個費時的過程。當路由器找到每一數(shù)據(jù)包中的第3層和第4層信息以后,它必須將這些信息與規(guī)則進行比較。啟用安全過濾一直都是一場“惡夢”,它會使路由器的速度更慢。當對性能的影響太大時,就需要使用特殊設(shè)備來分擔。
即使是多層交換路由器,它們在執(zhí)行這一功能(同時保持線速性能)時也會面臨挑戰(zhàn)。當啟用安全性功能時,部分新交換機和路由器速度也會慢下來。不過,大多新型的交換機和路由器已經(jīng)將這些安全策略集成到硬件上,因而,即使在啟用ACL的情況下,也能夠提供線速轉(zhuǎn)發(fā)性能。使用多層交換機和路由器進行安全和流量分析正在變得日益流行,這主要是因為網(wǎng)絡(luò)設(shè)備廠商將這種技術(shù)內(nèi)置于多層交換機和路由器中。越來越多的網(wǎng)絡(luò)設(shè)備被整合到單一的設(shè)備中。您不再需要獨立的硬件來監(jiān)視流量或安全性的某些方面,這可以為我們的網(wǎng)絡(luò)用戶帶來極大的好處。