从容面对网络新挑战.docVIP

从容面对网络新挑战 　　IT技术正在深刻影响企业的发展。新的商务应用、网络互联和解决方案不断涌现，使得信息系统既是企业最为重要的部分，也是企业变化最快的一部分。企业的IT部门责任重大。他们需要管理好各种设备，包括硬件和软件，把各种资源有效地整合起来。IT部门面临非常严峻的挑战。 　　交换网络力不从心 　　在技术方面，出现了无线网络、即时通信、实时视频/语音通信，以及存储和安全等新技术得到采用。在应用方面，出现了ERP、CRM和SCM等大型关键应用，Web服务和门户正在兴起。在管理方面，企业越来越重视信息系统的安全和投资回报（ROI）。而利用现有的网络很难对应这些挑战。 　　现代企业的信息系统必须依靠网络来实现。交换机是网络的核心。为了解决企业交换机的“不堪重负”，美国凯创系统公司（Enterasys）最近推出了作为该公司旗舰交换机产品线的新一代产品Matrix N系列交换机。这一全新的Matrix N7和Matrix N3交换机带来了突破性的性能指标、先进的功能和很低的建设成本，这使企业级客户可以从容面对挑战，利用网络提高生产力和工作效率，并有效控制运行成本，见附表。 　　有效的应对之策 　　企业网的目的是提供各种服务，因此也可以称为基于服务的网络。它要求网络的基础架构具有高度的灵活性，并且在网络的边缘支持各类复杂和细致的规则，还要保证网络数据传输和存储的安全性。Matrix N系列交换机从架构上具备了这些特点。在Matrix N系列交换机中，除了提高背板的交换速度和端口密度外，主要采用了多层流量分类技术来提高交换机的性能。 　　1．多层流量分类 　　为了实现这些智能化网络的功能，该系列交换机的架构通过采用先进的数据包分类规则，数据包一进入交换机，就被进行分类处理。在执行分类规则时，对于不同层次（第二～四层）的数据，进行不同的处理。主要过程如下。 　　1．定义规则 　　在定义数据包的类别时，既可以根据端口定义，也可以根据应用定义。一般是根据是否执行认证功能选择定义标准。在基于端口进行多层流量的分类时，可以选择对一个或多个，甚至所有交换机的端口应用某个规则。在使用基于网络的认证（如基于IEEE 802.1X协议、基于MAC或基于Web协议）时，可以对某一个用户或某一组用户应用某个规则。Matrix N系列交换机通过先进的用户个性化网络（User Personalized Networking，UPN）架构技术，提供了这些基于策略的管理方法。 　　2．检查数据帧 　　其目的是识别数据帧，分析数据分别属于开放系统互联参考模型的哪一层。虽然分布交换引擎是根据第二到第四层决定分类的，但是其交换机制依然是根据第二层的存储转发（网桥或交换机）和第三层路由的原理实现的。在检查数据帧时，既可以基于端口，也可以基于用户检查，见图1。 　　在第二层，可以根据数据帧的MAC地址（即物理地址）或Ethertype域（它定义第三层协议，如IP、IPX和AppleTalk等）对数据帧进行分类， 　　在第三层，可以根据IP或IPX帧中第三层的头里面所包含的特殊信息进行分类。对于IP帧，需要检查IP服务的类型信息。IP协议类型定义了所采用的第四层协议（如TCP、UDP和ICMP等协议）。同时，也可以根据IP地址和子网来分类。 　　在第四层，则根据特殊的第四层TCP或UDP端口号定义IP帧。第四层端口号给出了有关应用的信息，如Web网页、电子邮件和SNMP协议等。 　　3．处理数据包 　　一旦根据分类规则对数据包进行分类后，网络管理员可以创建由一个分布交换引擎执行的行动集合。DEF识别到经过分类的数据帧后，就根据该动作集合对其进行处理。 　　在安全方面，可以创建一个动作的访问控制类型。网络管理员可以通过交换机允许一些数据帧通过，或者丢弃一些数据帧。在处理时，具有过滤掉不希望进入网络的流量的能力，其中包括来自特定服务器的流量，或某些特殊应用的流量，如Web流量（HTTP）和网络管理流量（SNMP）。只有关键业务应用和经过授权的应用才能通过网络。 　　 　　在QoS方面，可以指定任何应用的服务级别。在划分应用的优先级时，首先根据业务的需求决定，还可以限制应用的传输速率。DEF模块可以限制所有交换机端口的速率。可以根据第三层或第四层协议，或者它们的组合，制定优先级策略，对数据的速率进行限制，并建立保障信息速率（Committed Information Rate，CIR）机制，保证关键业务的顺利执行。 　　总之，先进的多层交换机通过其QoS机制，保证企业关键应用数据的最佳传输，从而确保这些应用的执行；通过其安全功能，暂缓、限制，甚至禁止非关键应用的传输，以保护关键应用通过网络。流量分类为企业的网络基础架构带来很高的控制能力