【文章內(nèi)容簡(jiǎn)介】 徑式主機(jī)流工作方式，而是最新的 LPM最長(zhǎng)匹配的轉(zhuǎn)發(fā)方式。一般的捷徑式三層主機(jī)流轉(zhuǎn)發(fā)模式的工作機(jī)制是為每一個(gè)目的地址建立轉(zhuǎn)發(fā)表項(xiàng)，這些表項(xiàng)安裝在 CAM 中。這種工作機(jī)制在目標(biāo)地址不多的情況下是合理的。比如同時(shí)訪問(wèn)的目標(biāo)地址不大于 256K，盡管在大多數(shù)情況下，目的地址少于256K。但是在最近一二年，這個(gè)情況已經(jīng)變了。其原因是網(wǎng)絡(luò)病毒的大量出現(xiàn)。網(wǎng)絡(luò)病毒的一個(gè)特點(diǎn)是使用地址掃描方式查找宿主機(jī)。目的是隨可變的。由于合法的 IPv4 地址共有 40 億個(gè)。因此 256K 被輕易突破。這就導(dǎo)致這類三層交換機(jī)在受到病毒攻擊情況下不堪一。而 Extreme 的交換機(jī)采用最長(zhǎng)匹配工作機(jī)制，其 TCAM 硬件交換內(nèi)存 足以容納下所有的 FIB 轉(zhuǎn)發(fā)表項(xiàng)，任何數(shù)據(jù)包的轉(zhuǎn)發(fā)均可由 ASIC 在一個(gè)時(shí)鐘內(nèi)找到轉(zhuǎn)發(fā)下一跳，而無(wú)需 CPU 的干預(yù)。 這項(xiàng)技術(shù)帶來(lái)的好處為： ? 新一代的轉(zhuǎn)發(fā)技 術(shù)使交換機(jī)不受病毒或攻擊的影響。確保無(wú)中斷運(yùn)行 ? 具備天然預(yù)防新一類攻擊的能力 Extreme 公司的 BlackDiamond 8810 全新一代萬(wàn)兆路由交換機(jī)采用新一代模塊化多線程操作系統(tǒng) ExtremeWare XOS。 ExtremeWare XOS 支持動(dòng)態(tài)內(nèi)核加載（ KLM），采用獨(dú)立進(jìn)程內(nèi)存保護(hù)運(yùn)行模式，支持對(duì)稱多處理（ SMP）和標(biāo)準(zhǔn)POSIX API 及 XML 技術(shù)。通過(guò)使用模塊化多線程操作系統(tǒng) ExtremeWare XOS，BlackDiamond 8810 設(shè)備可以提供更多的可靠性、拓展性和安全性能力，如： ? 無(wú)中斷切換（ Hitless Failover）。設(shè)備 主從管理模塊之間的切換不會(huì)導(dǎo)致已有數(shù)據(jù)流傳輸?shù)闹袛唷? ? 無(wú)中斷軟件升級(jí)（ Hitless Software Upgarde）。無(wú)須重新啟動(dòng)設(shè)備 及實(shí)現(xiàn)軟件版本的升級(jí)與新版本軟件啟用。 ? 動(dòng)態(tài)停止 /重啟模塊。在某個(gè)模塊出現(xiàn)的故障的情況下， 設(shè)備將自動(dòng)進(jìn)行故障模塊的單獨(dú)重新啟動(dòng)。 ? 進(jìn)程和線程的自動(dòng)重啟動(dòng)。系統(tǒng)中某個(gè)進(jìn)程或線程出現(xiàn)故障時(shí)不會(huì)影響到其他進(jìn)程和線程的運(yùn)行。在無(wú)須整臺(tái)設(shè)備重新啟動(dòng)的前提下，設(shè)備能夠自實(shí)現(xiàn)對(duì)故障進(jìn)程的重啟動(dòng)。 ? DoS 攻擊的自動(dòng)檢測(cè)和預(yù)防 ? 支持 軟件模塊下載，無(wú)中斷在線功能擴(kuò)充。無(wú)須中斷設(shè)備的運(yùn)行，即能完成系統(tǒng)軟件中某個(gè)功能模塊的升級(jí)。 ? POSIX API 和 XML 技術(shù)保證了用戶的個(gè)性化功能擴(kuò)展 網(wǎng)絡(luò)交換設(shè)備選型 接入交換機(jī) 傳統(tǒng)的網(wǎng)絡(luò)設(shè)計(jì)方案中，接入層設(shè)備一般都采用二層交換機(jī)，隨著企業(yè)網(wǎng)上應(yīng)用的多樣化和復(fù)雜化，使用二層交換機(jī)作為接入設(shè)備已經(jīng)不能很好地滿足現(xiàn)代企業(yè)對(duì)網(wǎng)絡(luò)的要求： 1) 首先，網(wǎng)絡(luò)安全方面，二層交換機(jī)因?yàn)椴蛔R(shí)別 IP 層次的信息，所以無(wú)法根據(jù) IP 地址或應(yīng)用進(jìn)行訪問(wèn)控制列表的控制。尤其是目前網(wǎng)絡(luò)病毒日益泛濫，可以說(shuō)訪問(wèn)控制列表的功能是必 不可少的。二層交換機(jī)對(duì)網(wǎng)絡(luò)病毒的擴(kuò)散和攻擊無(wú)能為力。此外，在二層交換機(jī)上無(wú)法阻止某 VLAN 中的非法 DHCP server 為其它主機(jī)分配非法 IP 地址。 2) 網(wǎng)絡(luò) QoS 方面，支持 IP 語(yǔ)音和 IP 視頻等協(xié)作應(yīng)用必需三層交換。二層交換機(jī)因?yàn)椴蛔R(shí)別 IP 層次的信息，所以也無(wú)法根據(jù) IP 地址或應(yīng)用進(jìn)行 QoS 方面的保護(hù)。尤其是如果一個(gè)網(wǎng)絡(luò)中既有 Inter 瀏覽、 FTP 等傳統(tǒng)應(yīng)用，又運(yùn)行VOIP、視頻等對(duì) QoS 要求比較高的應(yīng)用，二層交換機(jī)無(wú)法去保證 QoS。另為，二層交換機(jī)僅支持二層的 優(yōu)先級(jí)，無(wú)法識(shí)別三層 IP 包中 的 QoS（ ToS 或IP DiffServ）信息，不能將二層和三層的 QoS 進(jìn)行銜接，因此無(wú)法做到端到端的 QoS。 3) 在做組播業(yè)務(wù)時(shí)，由于二層交換機(jī)上的每個(gè)用戶都是通過(guò) VLAN 上聯(lián)到上一級(jí)的設(shè)備，因此在做復(fù)制時(shí)要每個(gè) VLAN 復(fù)制一次極有可能造成端口的緩存分配溢出或端口阻塞。 4) 如果使用二層設(shè)備，一些本來(lái)可以在本地路由的數(shù)據(jù)流量占據(jù)了寶貴的主干帶寬。像一些 IP 電話的流量本來(lái)可以由本地完成的路由非要繞一圈到上一級(jí)再兜回來(lái)，占用了兩級(jí)設(shè)備之間的寶貴帶寬，還造成數(shù)據(jù)的延遲。 這無(wú)疑給網(wǎng)絡(luò)的穩(wěn)定、可靠帶來(lái)一定的 隱患。 基于以上考慮，以及三層交換機(jī)成本的下降，在 XXXXX 計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)方案中，我們推薦采用極進(jìn)網(wǎng)絡(luò)公司的 48 口千兆 SummitX450a48t 作為樓層桌面接入交換機(jī)，以滿足現(xiàn)代企業(yè)網(wǎng)建設(shè)對(duì)可靠性、安全以及網(wǎng)絡(luò)的整體傳輸能的要求。 Extreme 公司的 summit X450 系列三層交換機(jī)是為了滿足高安全、多業(yè)務(wù)承載、高性能的網(wǎng)絡(luò)環(huán)境所開(kāi)發(fā)的新一代三層智能交換機(jī)，具備傳統(tǒng)二大容量、高性能等優(yōu)點(diǎn)，同時(shí)還具有領(lǐng)先的安全特性，進(jìn)一步加強(qiáng)了企業(yè)網(wǎng)絡(luò)對(duì)邊緣接入層面的安全控制能力。 用戶可以根據(jù)需要來(lái)訂 制自身的安全策略并部署在此交換機(jī)上。 Summit 系列交換機(jī)支持基于硬件的 ACL 處理方式，這樣可以在提供細(xì)致的安全控制的同時(shí)保證線速數(shù)據(jù)包的傳輸能力。 summit 系列交換機(jī)上還已預(yù)先設(shè)定了很多安全功能，如 CPU 防攻擊能力、防流量攻擊病毒的能力、防組播、廣攻擊的能力；使交換機(jī)夠智自動(dòng)阻 斷 或 隔 離 內(nèi) 外 部 的 攻 擊 和 網(wǎng) 絡(luò) 病 毒 。 SummitX450 系列交換機(jī)與BlackDiamond8800 核心交換一致，采用模塊化操作系統(tǒng)和 LPM 最長(zhǎng)匹配包轉(zhuǎn)發(fā)機(jī)制 ，從而大大提高了設(shè)備抗擊掃描攻的能力，解決了由于流表溢出導(dǎo)致CPU 使用率升高所帶來(lái)的問(wèn)題。 Summit 系列交換機(jī)上還支持全面用戶接入控制技術(shù)： ? 支持 web based Network Login 和 IEEE 用戶接入認(rèn)證功能， 支持單端口多用戶的接入認(rèn)證。在避免了 IP 地址盜用出現(xiàn)的不 可管理性的同 時(shí)，還保證了只有合法用戶才能接入到網(wǎng)絡(luò)。通過(guò)將用戶動(dòng)態(tài)分配到不同的 VLAN 的方式，最終可以實(shí)現(xiàn)對(duì)用戶可以使用的網(wǎng)絡(luò)資源的分配與控制。 ? 支持 MAC 鎖定和 MAC 限制功能。通過(guò)使用該功能，可以保證只有合法的終端設(shè)備才可以接入到網(wǎng)絡(luò)。 ? 支持 ARP Disable Learning 功能。通過(guò)在接入層交換機(jī)上使用該功能，可以強(qiáng)制終端用戶必須使用 DHCP 動(dòng)態(tài)獲得地址才能接入網(wǎng)絡(luò)，任何非 DHCP 方式配置地址的設(shè)備 無(wú) 法通過(guò)交換機(jī)接入網(wǎng)絡(luò)，這樣就可以在利用 DHCP 便宜性的同時(shí)避免了因部分用戶靜態(tài)配置 IP 地址所帶來(lái)的網(wǎng)絡(luò)誤用問(wèn)題。 通過(guò) Extreme 公司的安全解決方案，可以為用戶提供一個(gè)比較全面的接入層控制解決方案。 SummitX450 交換機(jī)具備多層堆疊能力，實(shí)際方案設(shè)計(jì)中我們根據(jù)每個(gè)樓層信息點(diǎn)需求配置相應(yīng)的交換堆疊單元數(shù)。每個(gè)配備一兩口萬(wàn)兆接口模塊，分別上聯(lián)至 兩個(gè)核心交換機(jī)，提供冗余的中繼連接。具體情況參考設(shè)備配置清單。 網(wǎng)絡(luò)冗余設(shè)計(jì) 電子應(yīng)用需求的高漲，要求網(wǎng)絡(luò)像公共交換電話一樣高度可靠。容錯(cuò)能力和冗余性已經(jīng)成為區(qū)分網(wǎng)絡(luò)設(shè)備的關(guān)鍵因素。即使在網(wǎng)絡(luò)組件發(fā)生意外故障，以及進(jìn)行計(jì)劃內(nèi)網(wǎng)絡(luò)升級(jí)和變動(dòng)時(shí)，高可用性網(wǎng)絡(luò)都必須能夠保持正常運(yùn)行。冗余性在這兩種情況下為網(wǎng)絡(luò)提供了保護(hù)能力。通過(guò)消除單一故障點(diǎn)，絡(luò)設(shè)計(jì)人員可以為關(guān)鍵事務(wù)型應(yīng)用構(gòu)建高度容錯(cuò)的網(wǎng)絡(luò)。 但是，高可用性不僅僅要求冗余的硬件。網(wǎng)絡(luò)還必須擁有智能，可以實(shí)現(xiàn)最優(yōu)的冗余組件利用率。網(wǎng)絡(luò)軟件必須考慮網(wǎng)元故障對(duì)第二 層和第三層協(xié)議的影響，因?yàn)檎堑诙雍偷谌龑訁f(xié)議實(shí)現(xiàn)了網(wǎng)絡(luò)內(nèi)部的通信。 在此設(shè)計(jì)方案中，極進(jìn)網(wǎng)絡(luò)針對(duì)物理層、第二和三協(xié)議綜合設(shè)計(jì)，為關(guān)鍵事務(wù)型應(yīng)用同時(shí)提供了高度容錯(cuò)的網(wǎng)絡(luò)所要求的硬件冗余和軟件智能。 物理冗余 方案中配備的 機(jī)箱式核心交換機(jī)的所有關(guān)鍵組件都進(jìn)行了冗余設(shè)計(jì)。這種冗余性包括電源冗余和交換陣列冗余。 ? 雙負(fù)載電源 ：極進(jìn)網(wǎng)絡(luò) 的 BlackDiamond 機(jī)箱交換機(jī)配有負(fù)載分擔(dān)的多個(gè)電源。每個(gè)電源都擁有足夠的容量，可以為整個(gè)機(jī)箱供電，但在正常運(yùn)行過(guò)程中，每臺(tái)電源都分別提供一半的所需電流。作為一個(gè)選項(xiàng)， Extreme 的Summit 可堆疊交換機(jī)可以連接到 SummitRPS 冗余電源上，冗余電源提供了類似于 BlackDiamond 機(jī)箱交換機(jī)電源的備份功能。每臺(tái) SummitRPS 可以為最多兩臺(tái) Summit 交換機(jī)提供冗余電源支持。 ? 冗余交換引擎 ： 交換引擎是交換機(jī)運(yùn)行的基本單元，因?yàn)樗幚矶丝谥g的報(bào)文流量。由于交換引擎對(duì)交換機(jī)的運(yùn)行非常關(guān)鍵，因此 BlackDiamond交換機(jī)設(shè)計(jì)了完全冗余的交換引擎。 Extreme 冗余交換引擎的一個(gè)獨(dú)特功能是，在正常運(yùn)行過(guò)程中，兩個(gè)交換引擎都是完全活動(dòng)的，交換機(jī)同時(shí)使用主引擎和備用引 擎處理數(shù)據(jù)流量。這種方法的優(yōu)點(diǎn)是，交換機(jī)一直使用備用交換引擎。如果主引擎發(fā)生故障，備用可以立即接管任務(wù) ,其導(dǎo)致的中斷時(shí)間為零。 ? 熱插拔： BlackDiamond 中的所有模塊，包括交換陣列，都可以帶電熱插拔。因此用戶不需重新引導(dǎo)或重新設(shè)置交換機(jī)，就可以更模塊而且換一個(gè)模塊不會(huì)影響任何其它模塊的操作。在交換機(jī)組件發(fā)生故障或換機(jī)配置變化時(shí)，可帶電熱插拔的組件使得網(wǎng)絡(luò)仍能繼續(xù)運(yùn)行。 第二層冗余 物理和機(jī)械冗余對(duì)構(gòu)建可靠的網(wǎng)絡(luò)非常關(guān)鍵，但硬件組的可靠性只是一個(gè)開(kāi)端。 極進(jìn)網(wǎng)絡(luò) 交換機(jī)還包括多種增強(qiáng)了第二層 容錯(cuò)能力的特性。 ? 鏈路聚合 :鏈路聚合 (或負(fù)載分擔(dān) )是另一種提高了可靠性和性能的第二層冗余特性。 Extreme 的鏈路聚合基于的 標(biāo)準(zhǔn)。這種功能允許把多達(dá) 8 條物理鏈路合成一條邏輯鏈路。鏈路聚合的主要優(yōu)點(diǎn)是，如果物理鏈路發(fā)生故障或從服務(wù)中移出，它可以提供不到一秒的超快速故障切換能力。鏈路聚合還具有另外一個(gè)好處，可以全面利用最多八條鏈路的帶寬，因?yàn)榱髁糠植嫉剿墟溌分?。這一特點(diǎn)同時(shí)提高了網(wǎng)絡(luò)的性能和可靠。您還可以在各種算法中進(jìn)行選擇，把流量分布到多條鏈路中?？梢曰诙丝?、第二層到第四層會(huì)話地址 信息或循環(huán)標(biāo)準(zhǔn)分布流量。 ? 生成樹(shù)和快速生成樹(shù) ： 生成樹(shù)是業(yè)內(nèi)標(biāo)準(zhǔn)第二層協(xié)議，它可用于不同品牌交換機(jī)之間的互聯(lián)互通。在交換機(jī)啟動(dòng)生成樹(shù)協(xié)議時(shí)，每個(gè)端口都處在下述兩種模式中的一種模式下，即轉(zhuǎn)發(fā)模式和阻塞模式。在生成樹(shù)中的鏈路斷開(kāi)時(shí)，將計(jì)算新的生成樹(shù)，交換機(jī)端口將按需改變狀態(tài)，創(chuàng)建恢復(fù)全部連接的新的生成樹(shù)。生成樹(shù)的主要局限性是收斂慢。在鏈路故障之后，網(wǎng)絡(luò)可能需要 30 秒收斂， Extreme 的基于 標(biāo)準(zhǔn)的快速生成樹(shù)技術(shù)可以將收斂時(shí)間縮短為 13 秒。此外，它沒(méi)有有效地利用帶寬，因?yàn)樽枞逆溌凡荒苡脕?lái)承載流量。相 比之后，作為真正路由技術(shù)的第三層交換則全面利用了網(wǎng)絡(luò)帶寬?；谶@些原因， Extreme Networks 建議客戶采用其它技術(shù)提供容錯(cuò)能力，如在相應(yīng)的地方采用第三層路由協(xié)議、鏈路聚合或 Extreme 備用路由器協(xié)議 (ESRP)。 ? Extreme 備份路由器協(xié)議（ ESRP） ： ESRP 是 Extreme 獨(dú)有的一種功能，它提供了第二層和第三層冗余的統(tǒng)一實(shí)現(xiàn)。這消除了冗余交換機(jī) /路由器實(shí)現(xiàn)技術(shù)最常見(jiàn)的問(wèn)題，即通常要求單獨(dú)的第二層和第三解決方案，如生成樹(shù)和 VRRP。可以在沒(méi)有起路由的情況下使用 ESRP 的第二層冗余，作為生成 樹(shù)的有效替代方案，因?yàn)槠涔收锨袚Q時(shí)間在 26 秒之間，要遠(yuǎn)遠(yuǎn)快于生成樹(shù)。本文后面更加詳細(xì)地介紹了 ESRP，可以在純第二層環(huán)境中使用ESRP，或者與第三層交換一起使用 ESRP。 ? EAPS 50ms 鏈路收斂時(shí)間（業(yè)界最快） ： Extreme 公司作為以太網(wǎng)技術(shù)的先行者，提出了基于以太網(wǎng)的小于 50ms 的鏈路保護(hù)技術(shù) EAPS。 EAPS 技術(shù)是一種將以太網(wǎng)高效地運(yùn)行在環(huán)形物理拓?fù)涞慕鉀Q方案。 EAPS 支持快速的失效恢復(fù) (約 50 毫秒 )，提供多個(gè) VLAN 的保護(hù)，并支持多個(gè)環(huán)的互連擴(kuò)展。 EAPS 實(shí)現(xiàn)基于 已有的硬件實(shí)現(xiàn)，能夠同二層交換機(jī)集成。在實(shí)際網(wǎng)絡(luò)環(huán)境中，常見(jiàn)的星形拓樸可分解成多個(gè) EAPS 環(huán)。 EAPS 與目前的其它以太網(wǎng)的保護(hù)技術(shù)比有以下的明顯優(yōu)勢(shì)： ? 基于標(biāo)準(zhǔn)的以太技術(shù)，不需專有的硬件； ? 支持高帶寬連接（ 1G~10Gbps） ? 50ms 切換時(shí)間，滿足嚴(yán)格的實(shí)時(shí)業(yè)務(wù)通信要求； ? 實(shí)現(xiàn)成本低 綜合考慮， EAPS 并非所有廠家支持，在實(shí)際方案實(shí)施中，在全極進(jìn)網(wǎng)絡(luò)設(shè)備環(huán)境下優(yōu)先選用 EAPS 技術(shù)，同時(shí)通過(guò) STP/FSTP 與其它品牌交換機(jī)互聯(lián)互通，提供二層冗余中繼連接。 第三層冗余 主機(jī)直接連接到核心交換機(jī)， 無(wú)論是連接一臺(tái)還是同時(shí)連接兩臺(tái)核心交換機(jī)，其默認(rèn)網(wǎng)關(guān)都將設(shè)置為核心交換機(jī)之一（假定為核 1）。然而，如果該核心交換機(jī)失敗，服務(wù)器就會(huì)因?yàn)槟J(rèn)網(wǎng)關(guān)不可用而不能與其它 IP 子網(wǎng)的 PC 通信。因此，需要一種機(jī)制，使得當(dāng)當(dāng)前的默認(rèn)網(wǎng)關(guān)（核心交換機(jī) 1）失50ms 保護(hù) 敗時(shí)，另一臺(tái)核心交換機(jī)（核心交換機(jī) 2）能自動(dòng)充當(dāng)默認(rèn)網(wǎng)關(guān)，服務(wù)器不需要改變默認(rèn)網(wǎng)關(guān)設(shè)置就可進(jìn)行跨子網(wǎng)的絡(luò)通信。這種第三層容錯(cuò)也稱為虛擬冗余路由器或備用路由器。 目前有多種解決方案來(lái)協(xié)調(diào)路由器故障切換，包括 Extreme 備用路由器協(xié)議(ESRP)、虛擬路由器冗余協(xié)議 (VRRP)和熱備份路由協(xié)議 (HSRP)。 Extreme 支持VRRP 和 ESRP。這些方法是把兩臺(tái)或多臺(tái)路由器作為單一的虛擬路由器操作，并采用單一的 IP 和