當(dāng)智能交換機在逐漸走向網(wǎng)絡(luò)邊緣的過程中,一直面對著用戶的種種疑問:智能交換機用于邊緣是否大材小用,是否可以全部解決網(wǎng)絡(luò)擁塞問題,是否支持VoIP,能否替代防火墻。
其實,智能交換機有所能,也有所不能。
智能交換機這個概念一出現(xiàn),就被賦予了很多神話般的色彩,仿佛一切網(wǎng)絡(luò)問題都會迎刃而解。而很多用戶在經(jīng)歷了.com時代的大起大落之后,已對廠商推出的各種概念失去了興趣。針對各種各樣對于智能交換機的疑問,下面將一一作答。
智能交換機有必要部署在網(wǎng)絡(luò)邊緣嗎?是否屬于大材小用?
隨著企業(yè)網(wǎng)絡(luò)應(yīng)用的深入,網(wǎng)絡(luò)中各種流量占據(jù)了大量的帶寬,給骨干帶來了很大的負擔(dān),而這些各種各樣的流量并不都是關(guān)鍵的業(yè)務(wù)流量。例如企業(yè)網(wǎng)中常見的FTP下載流量就不屬于關(guān)鍵流量,下載文件或程序在時間上延遲幾分鐘,并不會對使用者造成多大的影響,而如果是VoIP流量或者IP視頻流量延遲哪怕幾秒鐘,使用者都會感到非常難受;另外的一些流量如Email,其重要性介于以上兩者之間。面對如此豐富的應(yīng)用,如果在網(wǎng)絡(luò)的邊緣不加以區(qū)分,分重要級別來進行傳送,在骨干上將造成流量的堵塞。
而且,在網(wǎng)絡(luò)邊緣還需要限制廣播流量,不能讓所有用戶端的廣播流量全部擴散到骨干,否則將形成嚴重的廣播風(fēng)暴。
這就是需要在網(wǎng)絡(luò)邊緣部署智能交換機的必要性,隨著智能交換機價格的下降,智能交換機已經(jīng)不屬于奢侈品,價格上僅僅比傳統(tǒng)二層交換機貴30%-40%左右,從提高性能的角度上來說,這個投資是值得的。
部署智能交換機之后,以前困擾網(wǎng)絡(luò)的擁塞問題就全部解決了?
智能交換機雖然能夠在網(wǎng)絡(luò)的邊緣對流量進行分類處理,加以不同的優(yōu)先級別,而且可以限制廣播流量,但是智能交換機不是包治百病的藥方,對于不同的網(wǎng)絡(luò)擁塞情況,要仔細分析,得出正確的解決方案。例如對于HTTP服務(wù)器來說,如果它所在的網(wǎng)段內(nèi)出現(xiàn)了擁塞,就需要分析這個流量是由于廣播風(fēng)暴造成的還是訪問量過大造成的。如果是廣播風(fēng)暴或者其他級別流量造成的,當(dāng)然可以通過正確配置智能交換機來解決這個問題;如果是由于單純的HTTP訪問者過多造成的,就不能簡單地通過流量優(yōu)先級別來處理問題了,需要升級服務(wù)器來應(yīng)付更多的訪問請求。
智能交換機支持VoIP應(yīng)用嗎?
智能交換機支持QoS對于VoIP應(yīng)用來說是一個很好的消息,因為VoIP應(yīng)用對于數(shù)據(jù)延遲很敏感,而在以前的傳統(tǒng)以太網(wǎng)中,這樣的應(yīng)用經(jīng)常會發(fā)生丟包、延遲的現(xiàn)象,包丟失或包延遲將嚴重影響基于局域網(wǎng)電話的會話質(zhì)量。智能交換機能基于IP地址、物理端口、協(xié)議來識別VoIP流量,然后利用802.1p協(xié)議,給所有的VoIP流量分派優(yōu)先級別。這確保了即使在高負荷的網(wǎng)絡(luò)使用狀態(tài)下,VoIP流量也可以不中斷地通過局域網(wǎng)體系結(jié)構(gòu)。
智能交換機支持什么樣的網(wǎng)絡(luò)安全?它能代替防火墻嗎?
網(wǎng)絡(luò)安全問題在當(dāng)今的網(wǎng)絡(luò)中,成為最受人關(guān)注的焦點之一。智能交換機具備很多的安全性增強,遠遠超過了傳統(tǒng)的二層普通交換機,在網(wǎng)絡(luò)的邊緣啟用智能交換機,有利于在網(wǎng)絡(luò)的邊緣就開始網(wǎng)絡(luò)安全的部署和防范,把不穩(wěn)定因素排除在萌芽階段。
首先,智能交換機采用了ACL(訪問控制列表)來增強安全能力,訪問控制列表原先只在核心路由器才獲使用,現(xiàn)已經(jīng)擴展到智能交換機了。在網(wǎng)絡(luò)中,ACL不但可以讓網(wǎng)絡(luò)管理者用來制定網(wǎng)絡(luò)策略,對個別用戶或特定的數(shù)據(jù)流進行允許或者拒絕的控制,也可以用來加強網(wǎng)絡(luò)的安全屏蔽。
另外,安全方面的增強還包括虛擬專用網(wǎng)VLAN,可以限制各個不同VLAN之間的非常授權(quán)訪問;IP/MAC地址綁定功能可以限制非法用戶的訪問,終端訪問控制器訪問控制系統(tǒng)(TACACS+)驗證可集中協(xié)調(diào)大量網(wǎng)絡(luò)設(shè)備的訪問控制,802.1x接入驗證機制、擴展樹增強保護、端口隔離都屬于安全增強功能。
雖然智能交換機具備了一定的安全功能,但它畢竟不是專用的安全設(shè)備,而且交換機的芯片不能被占用大量的處理時間來做安全增強,其主要目的還是傳輸數(shù)據(jù),所以在網(wǎng)絡(luò)中它屬于安全增強設(shè)備,并不能完全代替專用的防火墻。在一些小企業(yè)中,暫時沒有預(yù)算購買防火墻的,也可以暫時用它來做一定的安全防范工作。