——多业务企业网方案测试
随着交换机功能的不断增加,不少用户开始在其实施和配置的复杂性面前驻足不前。事实上,这些新的功能不但能够解决用户面临的诸多问题,而且还是未来智能企业网的必要基础。为了帮助企业用户更有效地运用企业网多业务核心交换机,我们组织了这次方案评测,思路是从一些典型的需求示例出发,拉近产品与应用的距离。
几年来,企业网的环境发生了显著的变化,在融合等因素的推动下,以太网承载的业务更加多样化,对于带宽、实时性和业务连续性的要求也更高。千兆以太网的迅速普及迎合了这一趋势,而DDoS等新型攻击,以及BT等新型P2P应用的出现可以短时间内占满网络带宽,使千兆网络带来的效率提高大打折扣,这也使得用户对于带宽控制的需求和流量识别的需求也空前高涨。
为了适应环境的变化,企业网交换机在迈入千兆时代的同时不断加入新的功能,满足用户对于安全、融合等多方面的需要。
在主流网络厂商的规划中,未来的交换机将能够智能地区分网络流量,提供对业务透明的虚拟化网络,在保障安全的前提下达到网络效率的最大化。
虽然这种全网智能的图景看起来还有些遥远,但现有的主流企业级核心交换机中的确已经包含了未来智能化企业网的一些特征和基本元素,只要有效利用这些新的功能,用户完全可以解决多数现有的问题。
为了帮助用户更有效地使用交换机的新特性,解决企业网络中普遍存在的问题,我们特地组织了这次企业网方案评测。
该方案的背景及需求是我们在进行了大量用户调查的基础上提炼概括而来的,能够较好地代表当前主流企业用户的实际情况。
评测在《计算机世界》评测实验室进行,所用测试设备为思博伦通信公司的SmartBits 6000C,以及Avalanche 2500/Reflector 2500测试仪。
背景及需求分析
用户背景及规模
某国际保险公司北京主营业处迁址,在某知名写字楼租用两层,使用面积约2100平米,共有员工100人。此外,有约800名保险代理人在该营业处办公,正常情况下,同时办公的人数约300人。为此,该营业处将设350个办公位。
主要业务
语音 该公司规定,所有办公位使用以太网电话,除了营业处内部通话之外,与全球其他分公司、营业处之间的电话联系使用基于公网的VPN实现。
视频 该保险公司设有连接全球各分公司和营业处的视频会议系统,同样使用基于Internet的VPN实现。
数据 常规的数据业务包括该营业处员工的E-Mail、Web浏览等。此外,该营业处将建立一个该公司的全国数据中心,运行CRM系统、保单设计系统、保单管理、知识管理系统以及相应的数据库系统,加上邮件服务器、NAS等辅助系统,共有服务器40余台,全部配备千兆以太网卡。
Internet接入
该营业处通过光纤连接运营商网络,带宽为100Mbps,此外,还使用一条2Mbps DDN专线作为备份。
需求归纳与分析
路由、交换与NAT 数据中心的服务器要对外提供服务,因此需要使用路由功能。各办公位及数据中心所需交换机端口数约800个,此外,营业处的用户访问Internet需要NAT功能,进行网络连接。
业务区分 该企业网需要承载多种业务,其中,音频、视频对于实时性的要求较高,因此,在网络发生拥塞的情况下,需要优先保障它们的带宽,其中,又以音频流量的优先级更高;在业务数据中,流向保单生成系统等业务系统的访问流量最为重要,前端系统访问数据库的带宽也需要得到保障,但非指定服务器IP访问数据库服务器的流量将被阻断。客户机运行非授权网络应用的流量也应被阻断。
网络容错 此外,数据中心里运行了该公司全国性的服务,保存了大量的用户信息和业务数据,必须保证7×24的运作。一旦主Internet接入链路失效,应迅速切换到备份链路,从而保持业务的连续性。为此,通常可以在各对外服务器的网络接口绑定两套IP地址,通过DNS来实现出错接管。但是在网络层面,还需要交换机能够自动鉴别链路实效,并切换到备份链路。
实时流量监控 为了随时了解网络的使用情况,在最短的时间内对网络异常情况做出响应,用户需要一种流量监控的机制,举例来说,如果网络出现异常的网络攻击流量或BT下载流量,用户的网络管理员应该能够迅速隔离问题,找到异常的应用和协议端口,以便采取相应的处理措施。
安全性考虑 在实现内网、外网隔离的同时,要能够有效保障数据中心服务器的安全性,例如,需要阻止非授权IP地址访问数据库服务器,而得到授权访问数据库服务的IP地址也不能访问除数据库服务之外的其他端口。对于内网用户,除了要防止非授权的PC机或以太网电话机接入外,还需要有一种有效的手段阻止内网用户过度耗用网络带宽。
方案设计与设备选型
设备选型
经过考察,我们发现上述所需的主要功能,使用华为3Com的Quidway S6506多业务交换机都能够满足。
Quidway S6506(如图1所示)曾经获得2004《计算机世界》年度产品奖。它是一款机柜式结构的路由交换机,尺寸规格为436mm×477mm×486.2mm(宽×高×深),共支持7个插槽,其中,除一个指定为路由交换引擎模块(并带有用于配置的Console 口及监控网口)外,其余6个都可以作为业务接口板插槽,可根据组网环境需要选配各种业务接口板,并支持混插。Quidway S6506的标称背板带宽为128Gbps,满配时可以支持288个千兆端口,并可支持万兆模块(LS81TGX1B),系统采用分布式结构,所有单板支持热插拔,电源系统采用N+1冗余热备份,支持STP/RSTP协议和VRRP协议,能够满足数据中心的可靠性要求。
在QoS/带宽管理方面,Quidway S6506能支持基于端口MAC地址、IP地址、TCP/UDP端口号、ToS/Diffserv值、CAR流控,控制粒度可为64Kbps。它还支持优先级基于VLAN、端口、IEEE 801.1P、ToS/Diffserv以及根据流分类设置优先级的CoS,每端口8 个发送队列,并支持FIFO 队列和PQ优先级队列等队列调度算法。
在路由功能方面,Quidway S6506支持RIP、OSPF、Integrated IS-IS及BGP4,在这种应用场合下完全能够满足用户需要。
在安全性能方面,Quidway S6506提供了对L2/3/4 流规则过滤、用户分级管理和口令保护,包括集成用户/Radius/802.1x 认证在内的多种用户认证方式,以及OSPF、RIP v2和BGP v4 的报文明文及MD5摘要认证的支持。这使用户能够实现对于网络流量的精确控制,并可以有效阻止非授权的网络接入。
在网络管理/流量检测方面,Quidway S6506不仅支持SNMP/RMON,能够与Open View等通用网管平台,以及Quidview、iManager 等网管系统协作;还支持NetStream功能,提供了对Netflow V5/V8监控报文格式的支持,从而实现更加精确的流量监控。
方案设计
方案设计拓扑如图2所示。我们使用S6506配置4个业务接口板来满足用户的需求,包括2个LS81GT48 48端口千兆以太网模块(如图3所示)、1个8端口千兆以太网模块,以及一个LS81VSNP模块,剩余两个插槽用于日后的扩展。
其中,8端口千兆以太网模块用于Internet连接及服务器连接;2个48端口千兆模块用于数据中心的服务器连接,以及通过连接Quidway S3026系列交换机提供内部网络所需的端口数量,除了实现桌面百兆连接之外,Quidway S3026还能在QoS、802.1x等方面与Quidway S6506无缝整合,使全网策略得到顺利实施。
LS81VSNP多业务智能化处理模块基于NP架构,具有强大的处理能力,能够以模块化的方式提供NAT/PAT、Netstream流量检测以及策略路由等功能。
方案测试与分析
整体配置
根据方案设计,我们对Quidway S6506进行了如下配置。
启用NAT功能,设置外部地址池为5个,内网逻辑地址为750个;先后启用了静态路由和BGP功能,并通过设置策略路由,使主接入线路失效时Internet访问流量自动切换到备份线路;根据源/目的IP地址以及协议类型特征设置QoS优先级依次为关键实时业务、语音业务、视讯业务、主要数据业务、次要数据业务及其他数据业务;为了实现流量的实时监控,我们配置一台Linux服务器为NetStream的收集、分析器,并设置Quidway S6506将Netstream报文发送到该服务器;并进行了ACL等基本的安全特性设置。
主要功能测试
经过这一系列配置,S6506已经达到了方案的需求。随后,我们分别对各功能以及相关功能的整合进行了测试。
在NAT和BGP等基本测试中,Quidway S6506表现出了强大的处理能力,与其定位完全相符。不过,在一个方案测试中,这只算是热身。我们随即把重点放在了QoS、流量监控和策略路由等功能的测试上,因为这些功能才真正体现了企业网智能化的发展思路。
在QoS测试中,我们使用SmartBits 6000C连接S6506的20个端口,模拟多种业务通过同一出口访问网络的情况,我们按照相同的比例发送不同业务类型的测试报文,在流量增加的过程中,QoS的作用很快就体现出来。如图4所示,在各业务流量以10%的步长递增过程中,优先级越低的业务越早达到100%的丢包率,而优先级最高的关键实时业务在吞吐量为600Mbps时仍然能够得到全速转发。在测试中我们发现,如果把Quidway S6506的QoS功能与带宽限制功能结合使用,可以有效保障关键业务的运行。
用好QoS的前提是对于企业的业务和相应的业务流量有全面的了解。而使用传统的手段很难帮助网络管理员了解业务流量的统计数据,而基于估算得出的QoS或带宽限制策略往往会与实际情况脱节。为此,网络厂商最近开始陆续提供了一些业务流量观察的手段。L3+模块的NetStream功能兼容Cisco的NetFlow V5/V8格式,能够提供对业务流量数据的精确统计。
我们使用基于Linux平台的ntop作为收集和分析NetStream数据的工具。在使用SmartBits持续发送模拟流量的条件下,通过ntop的Web界面观察业务流量的变化,并根据观察的结果调整Quidway S6506的设置,实现网络的优化。
经过一段时间的测试,我们发现NetSream的确能够提供网络管理员需要的流量信息。与常用的协议分析设备/软件不同,NetFlow/NetStream只报告/收集报文的信息,而不需要捕捉整个流量,因此在使用专用处理设备或模块的情况下,不会影响到网络设备的处理性能。另外,与常见MRTG工具相比,MRTG基于SNMP协议获取信息,对于端口的流量,MRTG能提供精确统计,但对于3层以上的信息则无从得知了。而这正是NetSteam/Netflow的强项。
ntop不但能够显示基于IP地址的带宽占用情况(如图4所示),帮助网络管理员迅速定位恶意抢占网络带宽的用户和应用,还能基于协议的类型进行统计并生成直观的图表(如图5所示),帮助网络管理员了解业务流量的组成和比例,进而以此为依据来优化网络。
在策略路由测试中,我们将一台具有三个网络接口的服务器配置成方案中的Internet接入路由器。其中两个网络接口模拟主Internet连接和备份连接,第三个端口连接一台服务器用来验证Internet访问的可用性。我们的测试证明,在配置主链路超时即使用备份链路的策略路由后,一旦主Internet链路失效(关闭Quidway S6500的相关端口,或者拔掉相应的网线),从内网访问外网Internet验证服务器的请求立即转到了备份链路上。这对于用户的业务连续性是非常好的保障。
认知业务流量——用好交换机的前提
未来的智能企业网无法单靠以太网交换机来实现,而需要交换机与各种应用和设备进行联动,来实现网络流量控制分配的自动化。从控制功能的角度看,现有的企业网交换机产品已经相当强大,只是还没有普遍地与外界配合,形成有效的联动。我们发现有不少用户认为交换机的功能过于复杂,难以配置。但我们这次方案测试证明,只要是能够分析清楚自身的业务需求,在对业务流量有一定认知的情况下,用好企业网交换机其实并不困难。事实上,即使企业网真的智能化了,用户对于业务流量的认知也是非常重要的,而且一定比现在还重要。