|
用户接入带宽从百兆升级到千兆,会引起企业网的一系列“化学反应”,为了保证网络的健康运转,我们需要仔细考虑它会给网络带来的种种变数。
近日,记者有机会和华为3Com的同事又讨论了一番千兆到桌面的问题。此话题早在2003年就被业内人士广泛谈及,直至今天,它才逐渐步入普及阶段。这个看似理所当然、水到渠成的事情也并非没有波澜,其中有些事情颇值得仔细琢磨。
三个问题
首先是升级到“千兆桌面”的成本问题。
现在的千兆网卡便宜的也就一百多元,交换机千兆端口比百兆端口也没贵多少。但是,接入交换机“全千兆”之后,其上联端口一般会由以前的多个千兆升级为多个万兆。显然,万兆端口的成本也应计算在内。同时,接入层的调整会导致汇聚与核心层的变化,势必发生人力、财力的新投入。虽然部署“千兆桌面”造价已不昂贵,但用户简单地以“网卡”、“端口”的价格来衡量升级到“桌面千兆”显然并不恰当。
其次,高带宽用户接入引发的一系列问题。
比如安全性问题。当用户大面积采用千兆接入时,不管合法流量还是非法流量,供它们驰骋的“公路”都比以前拓宽了至少10倍。当发生DoS攻击,由于攻击源带宽的增加,对网络中的路由器、交换机的攻击强度要大于以往。对于网络中的IDS/IPS等设备,同样是深度检测,但在一个千兆到桌面且带宽得到充分利用的环境中,每秒钟要处理的报文可能是以前的十倍甚至更多。据笔者所知,有的厂商的一体化安全网关,当增加DoS攻击的强度时,过滤病毒的成功率会有所下降。换一个角度说,用户在向“千兆桌面”迈进时,要注意评估现有或即将部署的安全产品的能力。一位具有研发经验的华为3Com同事告诉记者,千兆到桌面迫使安全设备必须提高自己的性能。他说,华为3Com坚持致力于这方面的研究,不断进行新的尝试,现在的产品已经可以保证做到及时地跟进。
另一个问题由来已久,只不过随着“千兆到桌面”变得更加“显眼”,即P2P软件吞噬带宽的问题。
拿BT来说,一个使用千兆接入局域网并有着高出口带宽的PC是Internet上其他BT用户的“优良种子”,但在企业网内部如果许多PC同时使用BT,那对于交换机链路来说无异于“洪泛”。那位华为3Com同事解释说,BT对网络承载是个挑战,它是免费的,但必须限制它的使用,否则将难以保证企业网上语音等业务的开展,比如可以限制每个千兆接入用户的BT带宽不超过100Mbps。他还说,由于目前BT等P2P软件一般都是通过企业网出口上联到Internet,所以完全可以通过核心交换机实现控制。以华为3Com为例,其Quidway S8500系列交换机具备感知BT等P2P应用的能力,当其发现有BT客户时,会启动策略对BT占用的带宽进行限制。
应对方略
华为3Com 产品行销部总监闫夏卿表示,随着千兆到桌面的部署,一方面,网络厂商要使网路变得更宽,使万兆向边缘发展。另一方面,要实现对应用的控制,实现业务的精细管理。当然,高带宽与网络应用很好的融合也是华为3Com提出的NGeN(下一代企业网)中的重要组成部分。闫夏卿还提到,P2P颠覆了传统的C/S结构,随着将来一些企业网内部基于P2P应用的部署变化,也会引起组网模型的变化。
随着“千兆到桌面”的广泛实施,除了接入带宽增加以外,网络能否像以往那样正常运转迫使我们去思考一些很具体的问题。比如收敛比,即千兆桌面接入用户数与上联万兆端口数的比值。有些交换机,支持较高密度的千兆端口,但最多只能提供2个万兆接口用于上联。在有的场合,当千兆桌面用户同时访问某些资源时,难免会发生拥塞。华为3Com的同事告诉记者,华为3Com的三层交换机Quidway S5648P在配备48个千兆端口的同时,为用户提供最多4个万兆端口用于上联,收敛比已经很接近10:1的极限,应该说基本上不会发生拥塞。当然,用户可以根据自己的流量特点,选配万兆端口的数目,以避免造成不必要的浪费。
另外,“千兆到桌面”后,流量激增。有的安全厂商提出了一些担心的问题,即交换机是否可以在不丢包的前提下仍能把级联端口的流量交给他们的网络监测设备,这对于部署了协议分析仪和流量监控系统的企业网尤为重要。当然,换个角度说,流量检测设备也必须提高自己的性能以适应流量的增长。华为3Com的同事解释说,实际上这就是所谓的万兆线速检测问题。他说,就网络设备这一方,目前有若干种技术可以解决它。比如,最容易想到的是链路捆绑,即可以把一个万兆分成10个千兆,数据根据地址的不同,分流到每个千兆端口供流量监控设备使用。还有其他的方法,如可以通过ASIC实现按应用的不同来进行分流。
“千兆到桌面”的另一种说法就是“千兆到接入”,它直接导致了“万兆到汇聚”,在“接入-汇聚-核心”经典的三层模型中,“核心万兆”就会是将来企业网中的瓶颈。去年,40G以太网草案已经被IEEE 802.3提上日程,如今100G以太网也被纳入讨论范围。局域网或城域网的骨干必将随着接入层带宽的提升而“水涨船高”。 | 
