为了能对用户的关键业务进行保证,对不同等级的用户进行区别对待,就需要宽带IP网络能够对用户提供端到端的服务质量,也要求从边缘接入层设备到核心层设备都能够提供统一的QoS特性,除此之外,对用户的管理及计费也是宽带设备,尤其是对以太网交换机智能化的一个要求。
需要端到端的QoS
对QoS的需求,为了满足三网合一的应用,在交换设备上必须能够对不同的业务流进行区别对待,比如对于某些关键业务可以提供较高带宽,而对于优先级比较低的业务可以分配较小的带宽,以此保证同一个网络对不同的业务提供不同的服务,实现区别服务。首先就要能够对业务流进行合理全面的流分类,要求设备至少可以支持2到4层的流分类(OSI分层标准),更好的设备可以真正实现按用户需要自定义、实现2~7层的流分类。交换机必须能够支持802.1p(强制优先级)、diffserv(区别服务)、CAR(流量监管)等服务策略、WRR以及RED、HOLB、flow control等前期后期拥塞控制。
完善ACL功能
第二个需求就是ACL(访问控制)功能的完善,能够对经过本设备的数据流按照一定的原则进行一定的访问过滤,最常用的策略就是基于流分类来进行访问控制。常见的应用就是对某些非法网站的IP地址在本地出口设备上配置ACL规则,禁止本地用户对非法网站的访问。ACL访问控制具体能控制到哪一个层面完全取决于流分类的能力,流分类能力越强能够控制的层面就越大,当然也不是说能流分类就能访问控制,而是说流分类是实现访问控制的一个必要条件,有了这个必要条件还要看访问控制的实现到底能达到哪个层面。这就要求交换机能够基于用户的源MAC、目的MAC、源物理端口号、目的物理端口号、源IP地址、目的IP地址、源网段地址、目的网段地址、按四层协议类型(socket)、按用户自定义规则等来对数据业务进行分类,同时按照这些的分类对不同的业务流提供不同的服务质量或进行ACL控制,即禁止或允许特定流的转发。
适应多业务应用
第三个需求是对多业务应用的需求。这里所谓的多业务包含几个方面:一是对组播业务的支持,二层交换机上应该实现IGMP Snooping功能,三层交换机上应该实现PIM-SM、PIM-DM、DVMRP等三层组播协议至少一种以上,目前业界比较认可、应用比较广泛的主要是PIM协议;二是用户的安全策略问题,包括对用户身份的认证、用户的计费、基本的防攻击策略等。目前在以太网交换机上采用的用户身份的认证方式简单的主要有mac+port绑定、mac+IP绑定、IP+mac+port绑定,复杂点认证方式主要是802.1x、portal认证、强制portal等。802.1x实现可以有本地认证和远端认证两种方式,本地认证意味着交换机内置了RADIUS Server,用户可以直接在本地交换机上进行认证而不需要在交换机上外挂RADIUS Server,远端认证就需要在交换机之外提供外挂的RADIUS Server,交换机本身只完成认证报文的中继。Portal认证是独立的认证协议,经过交换设备对认证报文进行终结,同时转换为标准的RADIUS认证报文去远端RADIUS服务器上进行RADIUS认证,分为Portal认证和强制Portal两种方式。
为了能对用户的关键业务进行保证,对不同等级的用户进行区别对待,就需要宽带IP网络能够对用户提供端到端的服务质量,也要求从边缘接入层设备到核心层设备都能够提供统一的QoS特性,除此之外,对用户的管理及计费也是宽带设备,尤其是对以太网交换机智能化的一个要求。
需要端到端的QoS
对QoS的需求,为了满足三网合一的应用,在交换设备上必须能够对不同的业务流进行区别对待,比如对于某些关键业务可以提供较高带宽,而对于优先级比较低的业务可以分配较小的带宽,以此保证同一个网络对不同的业务提供不同的服务,实现区别服务。首先就要能够对业务流进行合理全面的流分类,要求设备至少可以支持2到4层的流分类(OSI分层标准),更好的设备可以真正实现按用户需要自定义、实现2~7层的流分类。交换机必须能够支持802.1p(强制优先级)、diffserv(区别服务)、CAR(流量监管)等服务策略、WRR以及RED、HOLB、flow control等前期后期拥塞控制。
完善ACL功能
第二个需求就是ACL(访问控制)功能的完善,能够对经过本设备的数据流按照一定的原则进行一定的访问过滤,最常用的策略就是基于流分类来进行访问控制。常见的应用就是对某些非法网站的IP地址在本地出口设备上配置ACL规则,禁止本地用户对非法网站的访问。ACL访问控制具体能控制到哪一个层面完全取决于流分类的能力,流分类能力越强能够控制的层面就越大,当然也不是说能流分类就能访问控制,而是说流分类是实现访问控制的一个必要条件,有了这个必要条件还要看访问控制的实现到底能达到哪个层面。这就要求交换机能够基于用户的源MAC、目的MAC、源物理端口号、目的物理端口号、源IP地址、目的IP地址、源网段地址、目的网段地址、按四层协议类型(socket)、按用户自定义规则等来对数据业务进行分类,同时按照这些的分类对不同的业务流提供不同的服务质量或进行ACL控制,即禁止或允许特定流的转发。
适应多业务应用
第三个需求是对多业务应用的需求。这里所谓的多业务包含几个方面:一是对组播业务的支持,二层交换机上应该实现IGMP Snooping功能,三层交换机上应该实现PIM-SM、PIM-DM、DVMRP等三层组播协议至少一种以上,目前业界比较认可、应用比较广泛的主要是PIM协议;二是用户的安全策略问题,包括对用户身份的认证、用户的计费、基本的防攻击策略等。目前在以太网交换机上采用的用户身份的认证方式简单的主要有mac+port绑定、mac+IP绑定、IP+mac+port绑定,复杂点认证方式主要是802.1x、portal认证、强制portal等。802.1x实现可以有本地认证和远端认证两种方式,本地认证意味着交换机内置了RADIUS Server,用户可以直接在本地交换机上进行认证而不需要在交换机上外挂RADIUS Server,远端认证就需要在交换机之外提供外挂的RADIUS Server,交换机本身只完成认证报文的中继。Portal认证是独立的认证协议,经过交换设备对认证报文进行终结,同时转换为标准的RADIUS认证报文去远端RADIUS服务器上进行RADIUS认证,分为Portal认证和强制Portal两种方式。
|
智能交换机满足用户的三大需求
评测专题