因此,用户最好采用DiffServ的交换机,以实现“端到端”的QoS 。需要指出的是,为实现DiffServ QoS,要求用户的网络上所有相关的交换机都支持802.1p优先级功能 。
原则三:对多媒体传输的支持
交换机对专用于多媒体传输的功能和协议的支持越来越多,其中最为典型的是组播技术 。
组治理协议IGMP已经成为智能交换机必备的基本功能 。而对于三层交换机,除了RIP、OSPF等单播路由协议外,也开始支持DVMRP、PIM SM/DM等组播路由协议 。
在进行组播应用时(如视频会议等),各交换机均可通过IGMP协议在整个网络范围内传递分组信息,使各交换机确定每组的成员,而组播路由协议则可对组播数据包进行路由,使得组播包在网络上顺畅传输 。其中,DVMRP相当于单播时的RIP协议,适合于小规模的网络应用;而PIM则是与协议无关的组播路由协议,分为密集模式(DM)和稀疏模式(SM)两种 。密集模式主要适用于网络带宽较大、用户分布较集中的场合,如公司的局域网; 而稀疏模式主要适用于网络带宽较小、用户分布较稀疏的场合,如广域网或Internet 。
有的交换机还配置了语音网关模块,使得以太网交换机直接具备VoIP功能,但这样的应用还需要在客户端分别布网线和电话线;若采用客户端的VoIP网关,则可通过一条网线实现语音、数据的传输 。这两种方案孰优孰劣,还要根据实际情况来判定 。
原则四:用户分类和访问控制
用户分类、权限设置和访问控制,也是智能网络的重要功能 。由于企业治理的细化,对于不同的网络资源,要针对不同用户设置不同的访问权限 。
访问权限的设置有工作组级和用户级两种方式 。
基于VLAN和三层交换的访问控制就属于工作组级的访问控制 。VLAN除了具备隔离广播、提高网络性能的作用之外,其重要的作用就在于将不同的工作组隔离开来,便于实现可控的相互访问 。三层交换机可以实现跨VLAN的访问,而通过访问控制列表ACL,则可设置不同VLAN间乃至不同IP地址的设备对于不同网络服务的访问权限 。
对于智能小区宽带接入应用,将每个用户都划分在单独的VLAN中,也能够实现用户级的认证和访问控制,但这种方式只适用于固定接入的用户,且无法实现计费 。
目前在宽带接入网和企业网中,以往用于电信运营网络中的AAA技术(授权、认证、计费),如传统的RADIUS、PPPoE,以及新兴的802.1x等用户认证功能等,开始被集成到智能交换机中,与认证服务器配合,从而实现基于用户的认证和访问控制 。
对于企业网来说,通常要实现在用户访问不同的网络服务资源时,进行认证、访问控制及服务认证,而不是针对用户接入端口进行接入认证 。因此,常用的方式是以访问控制列表或RADIUS认证服务器,对相关应用服务资源设置不同的访问权限,并针对用户实现认证和授权 。
对于宽带接入网来说,则需要通过用户认证实现对端口联通状态的控制,通常要采用“PPPoE RADIUS”或“802.1x RADIUS”的方式来实现接入认证 。
PPPoE是一种较为成熟的认证方式,通过PPP协议封装以太网帧,在无连接的以太网上提供了点对点的连接 。PPPoE类似传统的拨号接入方式,用户端采用一个拨号软件,发起PPP连接请求,穿过以太网交换机或者DSL设备,终结在集中控制治理层的接入网关设备上 。接入网关设备负责终结PPP连接,并与RADIUS配合实现用户治理和策略控制 。
802.1x起源于802.11协议的EAPOL,是最近出现的一种以太网认证技术 。802.1x是IEEE为了解决基于端口的接入控制而定义的一个标准 。
802.1x认证方式主要通过认证前后打开/关闭用户接入端口来实现对用户接入的控制 。基于端口的网络接入控制是在 LAN 设备的物理接入级对接入设备进行认证和控制 。连接在物理端口上的用户设备假如能通过认证,就可以访问 LAN 内的资源;假如不能通过认证,则无法访问 LAN 内的资源,相当于物理上断开连接 。认证通过时,从远端认证服务器可以传递来自用户的信息,如VLAN、CAR参数、优先级、用户的访问控制列表等; 认证通过后,用户的流量就将接受上述参数的监管 。
推荐阅读
- 全面图解,实战破解交换机密码
- 思科 MDS 9100 系列矩阵交换机
- 实战破解交换机密码
- 高手支招,网络交换机硬件升级指南
- 核心交换机的TRUNK配置
- 核心交换机的TRUNK配置详细讲解
- 交换机集群技术在企业网的应用
- Cisco交换机4506密码恢复过程
- 配3550交换机
- Cisco交换机畸形SSL证书DoS漏洞