廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 3665 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[] 如何規劃二十一世紀校園網路骨幹
如何規劃二十一世紀校園網路骨幹

二十世紀人類最偉大的發明可能就是網際網路,不論你同不同意,網際網路已經深深的影響我們的生活。網際網路本來就是學術單位在自由分享環境下的產物,就算目前大量應用於商業用途上,然而很多重要的協定發展及研究工作都還是在學術單位繼續發展。回顧網際網路三十年來的發展,可以預見網際網路發展的速度並未曾慢下來。那我們如何在三十年後的今天,規劃一個可以跟的上時代需求的校園網路呢?!

二十一世紀網路設備發展重點在於提供高效能、高可靠度、多種介面及多網路協定支援方面發展了很長的一段時間。但時至今日,這些雖仍是發展上的重點,但由於技術上日漸成熟,已退居次要的角色,甚至退化成不重要功能。在二十一世紀的今日,設備不僅是高效能,更要服務品質保證,不僅是高可靠度,更要服務不中斷,多種介面會轉化為單一介面,由多種協定會被 IPv4/v6協定統一,最重要的是大量的安全機制支援。顯而異見的,網路設備的發展需求已大大的不同於以往的網路世界。



維護一個校園網路最基本的需求
面臨所有網路介面都走向不斷攀升更高速的乙太網路介面,從 10M、 100M、 1G到 10G,而其它上個世紀群雄爭霸的各種介面將不太容易再現,單一化介面可以簡化管理上的負擔,且乙太網路發展至今的成熟技術,不論未來往 40G甚至 100G發展,相信都不是問題,這好比電腦 CPU在還沒有發生散熱問題之前,每 18個月速度便增加一倍。短期來看,這幾年 10G一定會變成乙太網路介面的主流,而 Cost呢?目前 10G介面己經便宜到足夠大量建置的程度,以核心端 Layer 3功能 10G介面來看,建置成本約等於 5到 7個 Gigabit埠。但效能的重要性確比不上 QoS,新一代網路不可避免的走向「多網合一」,最典型的就是電信業者喊出的 Triple Player( Data、 Voice、 Video),在多種應用混合的網路上,最重要的就是要能保證有穩定的服務品質。穩定的服務品質有賴良好硬體設計支援,而以往使用 4個 Queue搭配 L2/L3/L4等 QoS協定支援將不敷使用,未來不但會有支援 8個 Queue甚至更多的 Queue以支援更多的 Service,甚至會有多層次 Queue以區分多個用戶使用多種服務支援,而 L2/L3/L4等對應的 QoS機制也會陸續擴充到保證服務品質的程度。

影響整個校園網路應用發展的 IPv6
IPv6 的重要性不只是因為 IP位址的短缺,另外也解決許多 IPv6協定先天上的弱點問題。但不幸的是,我們不可能重頭來一次,直接將現有 IPv4網路直接換成 IPv6網路,舊有 IPv4設備大部份也不可能透過 Upgrade Firmware支援 IPv6。所以 IPv4和 IPv6必然的必需並存很長一段時間,有關 IPv4和 IPv6互通已可以寫成專文討論,在此不多綴述。重要的是,現階段網路建置的核心設備必需考慮到 IPv6的支援,而目前核心設備所提供的支援可分為下列幾個層面來看:

1. IPv6 L2 VLAN 機制 (Protocol VLAN)
2. IPv6 路由機制 (含 RIPng、 OSPFv3等 )
3. IPv6 硬體晶片 (IPv6 wirespeed routing)
4. IPv6 安全機制 (IPv6 ACL、 IPv6 DoS Protect)
5. IPv4/IPv6 互通機制 (Dual Stack、 6to4等 )
6. Virtual Switch

我們可以發現,業界並沒有完整支援 IPv6機制的廠商,使用者只能就網路環境選擇最適合使用的設備來建置,例如 Extreme的 BD10K支援 Virtual Switch及 IPv4/IPv6 dual stack機制,就很適合各校在 IPv4及 IPv6並存的環境中使用,直接將 Internet及 Internet 2介接作切割並同時支援。

在 IPv6相關協定快速發展的這段時間,持續提供新功能及無服務中斷的支援也是很重要, Extreme同時在硬體及軟體同時提供良好的支援;硬體部份, Extreme以 Programmable ASIC (註 -1)取代 ASIC,可以完整支援未來新協定,不論是 IPv6甚至未來的 IPv7皆有支援的可能;軟體部份, Extreme更是領先 Switch業界,提供模組化作業系統 Extreme XOS (註 -2)。模組化作業系統可直接 Upgrade部份軟體功能,且完全不影響線上服務,舉例來說:當 IPv6路由機制 OSPFv3多了一項新功能支援時, Extreme XOS只需 Upgrade OSPFv3模組,並重新啟動 OSPFv3功能即可,使用者服務完全不受影響。

新一代校園網路核心多 10G埠整合防禦機制
最後讓我們來看看有那些安全機制是必需的,以往我們可以想到的,網路受到攻擊的同時,網管人員幾乎是事後很久以後才了解發生了什麼事,第一時間往往束手無策。不論你已分析了 Netflow、 sFlow還是 port mirror加上除錯機制,似乎總是不足。相對於傳統以軟體方式提供 flow機制分析效能不足的問題, Extreme採用 Programmable ASIC的同時將 CLEARflow (註 -3)機制內建於交換核心內,使新一代校園網路核心可以在多個 10G埠上支援分析機制。 CLEARflow除分析流量外,更進一步提供異常流量反制機制,可以選用 Selective port-mirroring、 SNMP Trap、 CLI等反應方式,這是下一代核心網路以強大功能提供內部網路防禦機制。 Extreme已將此部份機制實作配合 Sentriant (註 -4) 防禦設備,成為市面上唯一實作多個 10G介面防禦機制的解決方案提供廠商。

除異常流量防禦機制外,另一個重要性不相上下的安全機制就是使用者認證機制。未來的使用者認證機制會更安全、結合更多的使用者控管功能,不但是使用者 Mobile機制、 QoS設定、存取資源等甚至時間、地點也可能結合在一起,另外亦可能結合 Host Integrated機制,以確保網路環境安全。

總而言之,未來校園網路將面臨更多的挑戰更多的應用,相對的需要功能更強大更有彈性的軟硬體。極進網路 (Extreme Networks)領先業界不斷精益求精,在 2003年率先發表模組化作業系統及 Programmable ASIC應用,當其它廠商在苦苦追趕的同時,又在 2005年整合內網安全機制及交換設備提供業界唯一多 10G埠整合防禦機制。極進網路 (Extreme Networks)並不以此滿足,今年更提出階層式 Queue實作電信服務需求。極進網路 (Extreme Networks)永遠站在網路最前線,提供你所需的網路技術及服務支援。

註 -1: Extreme Programmable ASIC應用於 BlackDiamond 10808及 12804
註 -2: Extreme XOS應用於 BlackDiamond 12804/10808/8810及 Summit X450-24t/x等設備
註 -3: CLEARflow需搭配 Extreme Programmable ASIC應用於 BlackDiamond 10808及 12804
註 -4: Sentriant為內部安全防禦設備,搭配 CLEARflow可在多個 10G埠上提供防禦機制



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:台灣 | Posted:2006-10-31 17:18 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.085091 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言