【文章內(nèi)容簡介】 徑式主機流工作方式，而是最新的 LPM最長匹配的轉發(fā)方式。一般的捷徑式三層主機流轉發(fā)模式的工作機制是為每一個目的地址建立轉發(fā)表項，這些表項安裝在 CAM 中。這種工作機制在目標地址不多的情況下是合理的。比如同時訪問的目標地址不大于 256K，盡管在大多數(shù)情況下，目的地址少于256K。但是在最近一二年，這個情況已經(jīng)變了。其原因是網(wǎng)絡病毒的大量出現(xiàn)。網(wǎng)絡病毒的一個特點是使用地址掃描方式查找宿主機。目的是隨可變的。由于合法的 IPv4 地址共有 40 億個。因此 256K 被輕易突破。這就導致這類三層交換機在受到病毒攻擊情況下不堪一。而 Extreme 的交換機采用最長匹配工作機制，其 TCAM 硬件交換內(nèi)存 足以容納下所有的 FIB 轉發(fā)表項，任何數(shù)據(jù)包的轉發(fā)均可由 ASIC 在一個時鐘內(nèi)找到轉發(fā)下一跳，而無需 CPU 的干預。 這項技術帶來的好處為： ? 新一代的轉發(fā)技 術使交換機不受病毒或攻擊的影響。確保無中斷運行 ? 具備天然預防新一類攻擊的能力 Extreme 公司的 BlackDiamond 8810 全新一代萬兆路由交換機采用新一代模塊化多線程操作系統(tǒng) ExtremeWare XOS。 ExtremeWare XOS 支持動態(tài)內(nèi)核加載（ KLM），采用獨立進程內(nèi)存保護運行模式，支持對稱多處理（ SMP）和標準POSIX API 及 XML 技術。通過使用模塊化多線程操作系統(tǒng) ExtremeWare XOS，BlackDiamond 8810 設備可以提供更多的可靠性、拓展性和安全性能力，如： ? 無中斷切換（ Hitless Failover）。設備 主從管理模塊之間的切換不會導致已有數(shù)據(jù)流傳輸?shù)闹袛唷? ? 無中斷軟件升級（ Hitless Software Upgarde）。無須重新啟動設備 及實現(xiàn)軟件版本的升級與新版本軟件啟用。 ? 動態(tài)停止 /重啟模塊。在某個模塊出現(xiàn)的故障的情況下， 設備將自動進行故障模塊的單獨重新啟動。 ? 進程和線程的自動重啟動。系統(tǒng)中某個進程或線程出現(xiàn)故障時不會影響到其他進程和線程的運行。在無須整臺設備重新啟動的前提下，設備能夠自實現(xiàn)對故障進程的重啟動。 ? DoS 攻擊的自動檢測和預防 ? 支持 軟件模塊下載，無中斷在線功能擴充。無須中斷設備的運行，即能完成系統(tǒng)軟件中某個功能模塊的升級。 ? POSIX API 和 XML 技術保證了用戶的個性化功能擴展 網(wǎng)絡交換設備選型 接入交換機 傳統(tǒng)的網(wǎng)絡設計方案中，接入層設備一般都采用二層交換機，隨著企業(yè)網(wǎng)上應用的多樣化和復雜化，使用二層交換機作為接入設備已經(jīng)不能很好地滿足現(xiàn)代企業(yè)對網(wǎng)絡的要求： 1) 首先，網(wǎng)絡安全方面，二層交換機因為不識別 IP 層次的信息，所以無法根據(jù) IP 地址或應用進行訪問控制列表的控制。尤其是目前網(wǎng)絡病毒日益泛濫，可以說訪問控制列表的功能是必 不可少的。二層交換機對網(wǎng)絡病毒的擴散和攻擊無能為力。此外，在二層交換機上無法阻止某 VLAN 中的非法 DHCP server 為其它主機分配非法 IP 地址。 2) 網(wǎng)絡 QoS 方面，支持 IP 語音和 IP 視頻等協(xié)作應用必需三層交換。二層交換機因為不識別 IP 層次的信息，所以也無法根據(jù) IP 地址或應用進行 QoS 方面的保護。尤其是如果一個網(wǎng)絡中既有 Inter 瀏覽、 FTP 等傳統(tǒng)應用，又運行VOIP、視頻等對 QoS 要求比較高的應用，二層交換機無法去保證 QoS。另為，二層交換機僅支持二層的 優(yōu)先級，無法識別三層 IP 包中 的 QoS（ ToS 或IP DiffServ）信息，不能將二層和三層的 QoS 進行銜接，因此無法做到端到端的 QoS。 3) 在做組播業(yè)務時，由于二層交換機上的每個用戶都是通過 VLAN 上聯(lián)到上一級的設備，因此在做復制時要每個 VLAN 復制一次極有可能造成端口的緩存分配溢出或端口阻塞。 4) 如果使用二層設備，一些本來可以在本地路由的數(shù)據(jù)流量占據(jù)了寶貴的主干帶寬。像一些 IP 電話的流量本來可以由本地完成的路由非要繞一圈到上一級再兜回來，占用了兩級設備之間的寶貴帶寬，還造成數(shù)據(jù)的延遲。 這無疑給網(wǎng)絡的穩(wěn)定、可靠帶來一定的 隱患。 基于以上考慮，以及三層交換機成本的下降，在 XXXXX 計算機網(wǎng)絡設計方案中，我們推薦采用極進網(wǎng)絡公司的 48 口千兆 SummitX450a48t 作為樓層桌面接入交換機，以滿足現(xiàn)代企業(yè)網(wǎng)建設對可靠性、安全以及網(wǎng)絡的整體傳輸能的要求。 Extreme 公司的 summit X450 系列三層交換機是為了滿足高安全、多業(yè)務承載、高性能的網(wǎng)絡環(huán)境所開發(fā)的新一代三層智能交換機，具備傳統(tǒng)二大容量、高性能等優(yōu)點，同時還具有領先的安全特性，進一步加強了企業(yè)網(wǎng)絡對邊緣接入層面的安全控制能力。 用戶可以根據(jù)需要來訂 制自身的安全策略并部署在此交換機上。 Summit 系列交換機支持基于硬件的 ACL 處理方式，這樣可以在提供細致的安全控制的同時保證線速數(shù)據(jù)包的傳輸能力。 summit 系列交換機上還已預先設定了很多安全功能，如 CPU 防攻擊能力、防流量攻擊病毒的能力、防組播、廣攻擊的能力；使交換機夠智自動阻 斷 或 隔 離 內(nèi) 外 部 的 攻 擊 和 網(wǎng) 絡 病 毒 。 SummitX450 系列交換機與BlackDiamond8800 核心交換一致，采用模塊化操作系統(tǒng)和 LPM 最長匹配包轉發(fā)機制 ，從而大大提高了設備抗擊掃描攻的能力，解決了由于流表溢出導致CPU 使用率升高所帶來的問題。 Summit 系列交換機上還支持全面用戶接入控制技術： ? 支持 web based Network Login 和 IEEE 用戶接入認證功能， 支持單端口多用戶的接入認證。在避免了 IP 地址盜用出現(xiàn)的不 可管理性的同 時，還保證了只有合法用戶才能接入到網(wǎng)絡。通過將用戶動態(tài)分配到不同的 VLAN 的方式，最終可以實現(xiàn)對用戶可以使用的網(wǎng)絡資源的分配與控制。 ? 支持 MAC 鎖定和 MAC 限制功能。通過使用該功能，可以保證只有合法的終端設備才可以接入到網(wǎng)絡。 ? 支持 ARP Disable Learning 功能。通過在接入層交換機上使用該功能，可以強制終端用戶必須使用 DHCP 動態(tài)獲得地址才能接入網(wǎng)絡，任何非 DHCP 方式配置地址的設備 無 法通過交換機接入網(wǎng)絡，這樣就可以在利用 DHCP 便宜性的同時避免了因部分用戶靜態(tài)配置 IP 地址所帶來的網(wǎng)絡誤用問題。 通過 Extreme 公司的安全解決方案，可以為用戶提供一個比較全面的接入層控制解決方案。 SummitX450 交換機具備多層堆疊能力，實際方案設計中我們根據(jù)每個樓層信息點需求配置相應的交換堆疊單元數(shù)。每個配備一兩口萬兆接口模塊，分別上聯(lián)至 兩個核心交換機，提供冗余的中繼連接。具體情況參考設備配置清單。 網(wǎng)絡冗余設計 電子應用需求的高漲，要求網(wǎng)絡像公共交換電話一樣高度可靠。容錯能力和冗余性已經(jīng)成為區(qū)分網(wǎng)絡設備的關鍵因素。即使在網(wǎng)絡組件發(fā)生意外故障，以及進行計劃內(nèi)網(wǎng)絡升級和變動時，高可用性網(wǎng)絡都必須能夠保持正常運行。冗余性在這兩種情況下為網(wǎng)絡提供了保護能力。通過消除單一故障點，絡設計人員可以為關鍵事務型應用構建高度容錯的網(wǎng)絡。 但是，高可用性不僅僅要求冗余的硬件。網(wǎng)絡還必須擁有智能，可以實現(xiàn)最優(yōu)的冗余組件利用率。網(wǎng)絡軟件必須考慮網(wǎng)元故障對第二 層和第三層協(xié)議的影響，因為正是第二層和第三層協(xié)議實現(xiàn)了網(wǎng)絡內(nèi)部的通信。 在此設計方案中，極進網(wǎng)絡針對物理層、第二和三協(xié)議綜合設計，為關鍵事務型應用同時提供了高度容錯的網(wǎng)絡所要求的硬件冗余和軟件智能。 物理冗余 方案中配備的 機箱式核心交換機的所有關鍵組件都進行了冗余設計。這種冗余性包括電源冗余和交換陣列冗余。 ? 雙負載電源 ：極進網(wǎng)絡 的 BlackDiamond 機箱交換機配有負載分擔的多個電源。每個電源都擁有足夠的容量，可以為整個機箱供電，但在正常運行過程中，每臺電源都分別提供一半的所需電流。作為一個選項， Extreme 的Summit 可堆疊交換機可以連接到 SummitRPS 冗余電源上，冗余電源提供了類似于 BlackDiamond 機箱交換機電源的備份功能。每臺 SummitRPS 可以為最多兩臺 Summit 交換機提供冗余電源支持。 ? 冗余交換引擎 ： 交換引擎是交換機運行的基本單元，因為它處理端口之間的報文流量。由于交換引擎對交換機的運行非常關鍵，因此 BlackDiamond交換機設計了完全冗余的交換引擎。 Extreme 冗余交換引擎的一個獨特功能是，在正常運行過程中，兩個交換引擎都是完全活動的，交換機同時使用主引擎和備用引 擎處理數(shù)據(jù)流量。這種方法的優(yōu)點是，交換機一直使用備用交換引擎。如果主引擎發(fā)生故障，備用可以立即接管任務 ,其導致的中斷時間為零。 ? 熱插拔： BlackDiamond 中的所有模塊，包括交換陣列，都可以帶電熱插拔。因此用戶不需重新引導或重新設置交換機，就可以更模塊而且換一個模塊不會影響任何其它模塊的操作。在交換機組件發(fā)生故障或換機配置變化時，可帶電熱插拔的組件使得網(wǎng)絡仍能繼續(xù)運行。 第二層冗余 物理和機械冗余對構建可靠的網(wǎng)絡非常關鍵，但硬件組的可靠性只是一個開端。 極進網(wǎng)絡 交換機還包括多種增強了第二層 容錯能力的特性。 ? 鏈路聚合 :鏈路聚合 (或負載分擔 )是另一種提高了可靠性和性能的第二層冗余特性。 Extreme 的鏈路聚合基于的 標準。這種功能允許把多達 8 條物理鏈路合成一條邏輯鏈路。鏈路聚合的主要優(yōu)點是，如果物理鏈路發(fā)生故障或從服務中移出，它可以提供不到一秒的超快速故障切換能力。鏈路聚合還具有另外一個好處，可以全面利用最多八條鏈路的帶寬，因為流量分布到所有鏈路中。這一特點同時提高了網(wǎng)絡的性能和可靠。您還可以在各種算法中進行選擇，把流量分布到多條鏈路中?？梢曰诙丝凇⒌诙拥降谒膶訒挼刂?信息或循環(huán)標準分布流量。 ? 生成樹和快速生成樹 ： 生成樹是業(yè)內(nèi)標準第二層協(xié)議，它可用于不同品牌交換機之間的互聯(lián)互通。在交換機啟動生成樹協(xié)議時，每個端口都處在下述兩種模式中的一種模式下，即轉發(fā)模式和阻塞模式。在生成樹中的鏈路斷開時，將計算新的生成樹，交換機端口將按需改變狀態(tài)，創(chuàng)建恢復全部連接的新的生成樹。生成樹的主要局限性是收斂慢。在鏈路故障之后，網(wǎng)絡可能需要 30 秒收斂， Extreme 的基于 標準的快速生成樹技術可以將收斂時間縮短為 13 秒。此外，它沒有有效地利用帶寬，因為阻塞的鏈路不能用來承載流量。相 比之后，作為真正路由技術的第三層交換則全面利用了網(wǎng)絡帶寬。基于這些原因， Extreme Networks 建議客戶采用其它技術提供容錯能力，如在相應的地方采用第三層路由協(xié)議、鏈路聚合或 Extreme 備用路由器協(xié)議 (ESRP)。 ? Extreme 備份路由器協(xié)議（ ESRP） ： ESRP 是 Extreme 獨有的一種功能，它提供了第二層和第三層冗余的統(tǒng)一實現(xiàn)。這消除了冗余交換機 /路由器實現(xiàn)技術最常見的問題，即通常要求單獨的第二層和第三解決方案，如生成樹和 VRRP?？梢栽跊]有起路由的情況下使用 ESRP 的第二層冗余，作為生成 樹的有效替代方案，因為其故障切換時間在 26 秒之間，要遠遠快于生成樹。本文后面更加詳細地介紹了 ESRP，可以在純第二層環(huán)境中使用ESRP，或者與第三層交換一起使用 ESRP。 ? EAPS 50ms 鏈路收斂時間（業(yè)界最快） ： Extreme 公司作為以太網(wǎng)技術的先行者，提出了基于以太網(wǎng)的小于 50ms 的鏈路保護技術 EAPS。 EAPS 技術是一種將以太網(wǎng)高效地運行在環(huán)形物理拓撲的解決方案。 EAPS 支持快速的失效恢復 (約 50 毫秒 )，提供多個 VLAN 的保護，并支持多個環(huán)的互連擴展。 EAPS 實現(xiàn)基于 已有的硬件實現(xiàn)，能夠同二層交換機集成。在實際網(wǎng)絡環(huán)境中，常見的星形拓樸可分解成多個 EAPS 環(huán)。 EAPS 與目前的其它以太網(wǎng)的保護技術比有以下的明顯優(yōu)勢： ? 基于標準的以太技術，不需專有的硬件； ? 支持高帶寬連接（ 1G~10Gbps） ? 50ms 切換時間，滿足嚴格的實時業(yè)務通信要求； ? 實現(xiàn)成本低 綜合考慮， EAPS 并非所有廠家支持，在實際方案實施中，在全極進網(wǎng)絡設備環(huán)境下優(yōu)先選用 EAPS 技術，同時通過 STP/FSTP 與其它品牌交換機互聯(lián)互通，提供二層冗余中繼連接。 第三層冗余 主機直接連接到核心交換機， 無論是連接一臺還是同時連接兩臺核心交換機，其默認網(wǎng)關都將設置為核心交換機之一（假定為核 1）。然而，如果該核心交換機失敗，服務器就會因為默認網(wǎng)關不可用而不能與其它 IP 子網(wǎng)的 PC 通信。因此，需要一種機制，使得當當前的默認網(wǎng)關（核心交換機 1）失50ms 保護 敗時，另一臺核心交換機（核心交換機 2）能自動充當默認網(wǎng)關，服務器不需要改變默認網(wǎng)關設置就可進行跨子網(wǎng)的絡通信。這種第三層容錯也稱為虛擬冗余路由器或備用路由器。 目前有多種解決方案來協(xié)調路由器故障切換，包括 Extreme 備用路由器協(xié)議(ESRP)、虛擬路由器冗余協(xié)議 (VRRP)和熱備份路由協(xié)議 (HSRP)。 Extreme 支持VRRP 和 ESRP。這些方法是把兩臺或多臺路由器作為單一的虛擬路由器操作，并采用單一的 IP 和