QoS方面上的进展
智能边缘交换机可以在转发流量之前对其进行分类,再分类和标记操作 。网络治理员可以对不同的网络应用或设备生成的流量进行分类,如:VoIP 电话机、行政治理应用或带宽要害应用,以便区分各种流量,并根据第二及第三层 QoS 字段实施带宽策略 。同时,现在的边缘智能交换机,开始强调基于IP层的差分服务(DiffServ)的支持能力 。发展到现在交换机能提供更多更丰富更全面的QoS技术,如802.1p、DiffServ、WRR以及RED等拥塞控制功能 。
智能交换机可与安全设备联动
智能交换机与安全设备的协同工作从而可以实现联动,即智能交换机可以自动地将“可疑”的流量交给安全设备做分析,安全设备分析后将结果返回给交换机,然后交换机再执行相关的操作,比如丢弃相关的数据或者关闭相应的端口 。例如:锐捷的S21系列和港湾的智能交换机可与其他安全设备实现联动,实现了接入层的安全 。
部署时应注重什么
在部署边缘智能交换机时,由于边缘产品具有量多而分散的特点,所以我们需要考虑在整体与分散策略方面上,取得一个最佳的平衡点 。一个连续、智能的安全策略与用户接入策略对整体网络的性能和维护至关重要 。用户既要实施智能化特性、又要在治理上简单化,同时对所有用户的监控是实现预防式网络安全和流量治理的要害,一个实现了全网监控的网络同样应该简单易行而不损伤性能 。
潘粤宁认为边缘智能交换机处于网络的边缘,接入用户数量大,扮演的角色相对于骨干交换机也很重要 。所以她认为用户部署边缘智能交换机应该注重三点 。首先,应该注重产品的可靠性 。假如边缘交换机出现故障,将会影响到很多边缘层用户 。所以在部署智能交换机时应尽量支持冗余配置 。对于固定配置的边缘交换机,建议购置外置或者内置的冗余电源系统 。同时为了提供链路方面的冗余性 。配置交换机的802.3ad链路聚合、STP/RSTP/MSTP生成树和三层VRRP协议 。其次,假如网络可以实现分布式的安全部署,除了在网络核心部署传统的防火墙、IDS等安全产品之外,在边缘通常应该部署以下安全策略:带宽控制、ACL技术、安全套接层(SSL)、802.1X端口认证和RADIUS 认证、MAC地址绑定和过滤、以及Secure Shell (SSHv1/SSHv2) 加密等等 。第三,尽量选择同一系列的交换机以保证所有模块和电源等部件能够通用,以便进行故障诊断和应急替换,同时减轻用户保留备品配件的压力 。选择可堆叠的交换机,以部署高密度和可以集群治理的边缘网络 。
此外,锐捷网络(原实达网络)产品经理罗自灵在QoS应用方面也给我们提出了有益的建议 。她认为针对每个具体应用的不同,优先级队列的应用存在很大的不同 。在配置智能交换机时应该加以具体的规划,以免造成资金上的浪费 。
边缘智能交换机的出现无疑从源头控制了网络数据流量,减轻整个网络的压力 。同时,我们也应注重到在边缘采用智能交换机并不会影响性能,这是因为大多的智能交换机都是将一些重要智能功能如QoS、速率限制、ACL集成到高速的ASIC芯片上,所以这些智能不致影响到基本二层、三层的线速转发性能 。在这一点上,用户大可放心 。
推荐阅读
- CiscoCatalyst交换机密码恢复策略
- CISCOCatalyst系列交换机的数据监控
- WireSpeed 浅析LAN交换机的线速
- 交换机专题[必读]
- 基础篇 下一代网络面面观
- 思科系统网络Catalyst 6503集成服务高端交换机
- 思科力推集成服务高端交换机—Catalyst 6503
- 机箱式交换机
- 思科交换机产品发展策略
- Catalyst3550系列交换机:适用于企业和城域接入应用