云計算數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)項目方案的新技術(shù)特點

云計算數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)項目方案的新技術(shù)特點1.1量身定制的數(shù)據(jù)中心網(wǎng)絡(luò)平臺1.1.1最先進的萬兆以太網(wǎng)技術(shù)Extreme公司作為以太網(wǎng)技術(shù)的先驅(qū)，一直致力于生產(chǎn)嚴格遵循業(yè)界標準的以及可與其他廠商兼容的產(chǎn)品，ExtremeNetworks是由100家國際知名網(wǎng)絡(luò)公司組成的千兆以太網(wǎng)聯(lián)盟和萬兆以太網(wǎng)聯(lián)盟的領(lǐng)導(dǎo)者。Extreme交換機的10GB以太網(wǎng)模塊在世界上第一個實現(xiàn)單跳網(wǎng)絡(luò)傳輸1TB數(shù)據(jù)流量。Extreme公司一直走在10GB以太網(wǎng)交換技術(shù)開發(fā)的前沿，公司的發(fā)起人及首席技術(shù)官SteveHaddock現(xiàn)任IEEE802.3ae任務(wù)小組副主席，該小組已經(jīng)為10-GB以太網(wǎng)開發(fā)了行業(yè)標準。ExtremeNetworks的TonyLee自2000年3月起，在兩年任期內(nèi)擔(dān)任萬兆以太網(wǎng)聯(lián)盟主席，另一名ExtremeNetworks技術(shù)專家AmeetDhillon目前則擔(dān)任萬兆以太網(wǎng)聯(lián)盟理事。Extreme交換機的擴充能力和高端交換性能標志著基于標準的高性能以太網(wǎng)技術(shù)的重大進步。萬兆以太網(wǎng)市場的全球市場占有率：Extreme在萬兆網(wǎng)絡(luò)應(yīng)用從初期就一直保持著市場領(lǐng)先地位1.1.2硬件全線速處理技術(shù)網(wǎng)絡(luò)業(yè)務(wù)的不斷增多，各種應(yīng)用的流行，對網(wǎng)絡(luò)也提出了新的要求，傳統(tǒng)的以太網(wǎng)交換機由于基于共享的設(shè)計理念，對于音頻、視頻以及數(shù)據(jù)的各種業(yè)務(wù)的傳輸是無法識別區(qū)分的，對于多媒體業(yè)務(wù)的開展需要更智能的設(shè)備來支撐。高速的網(wǎng)絡(luò)數(shù)據(jù)傳輸應(yīng)用已經(jīng)不是一個高級網(wǎng)絡(luò)唯一的重要指標。網(wǎng)絡(luò)的發(fā)展方向是支持線速無阻塞地傳輸各種多媒體等高級應(yīng)用，在開啟各種網(wǎng)絡(luò)應(yīng)用和功能的情況下，保證網(wǎng)絡(luò)暢通。這也是Extreme公司的強大技術(shù)優(yōu)勢所在。Extreme的智能網(wǎng)方案采用先進的組播技術(shù)和Qos保證機制，實現(xiàn)全線速的高質(zhì)量的業(yè)務(wù)運行。核心設(shè)備的大密度的高速端口使得網(wǎng)絡(luò)設(shè)備具有大容量的交換處理能力，以避免擁塞和延遲。Extreme采用無阻塞交換結(jié)構(gòu)，基于先進路由交換機制，能夠提供線速處理能力。以此為基礎(chǔ)，通過合理的網(wǎng)絡(luò)設(shè)計實現(xiàn)高性能的網(wǎng)絡(luò)。Extreme的全線三層產(chǎn)品交換產(chǎn)品均可實現(xiàn)滿載情況下的二層線速幀交換和三層線速包轉(zhuǎn)發(fā)。應(yīng)該強調(diào)的是，實際運行的網(wǎng)絡(luò)需要配置很多控制功能，如QoS處理、ACL、策略路由等，此時需要交換機耗費更多的資源以實現(xiàn)相應(yīng)的網(wǎng)絡(luò)控制處理功能。Extreme產(chǎn)品能夠保證性能和功能的一致實現(xiàn)，即在打開諸多控制處理功能的前提下，依然保證數(shù)據(jù)包的真正線速處理和轉(zhuǎn)發(fā)。Extreme的共享內(nèi)存式的交換背板結(jié)構(gòu)大大提高了組播轉(zhuǎn)發(fā)的效率，節(jié)省了交換矩陣的帶寬。其他網(wǎng)絡(luò)廠家的交換機支持的組播、ACL、Qos等都是基于軟件技術(shù)和CPU運算的，由于占用大量處理器和內(nèi)存資源，經(jīng)常會導(dǎo)致丟失數(shù)據(jù)包，在性能上能上都達不到無丟包的限速傳輸，不得不以添加昂貴的內(nèi)存條為代價。Extreme主推的真正的線速網(wǎng)絡(luò)是性能和功能的全面線速，包括線速路由、線速ACL、線速Q(mào)os、線速組播，Extreme的網(wǎng)絡(luò)設(shè)備的Qos、組播、ACL都是通過專門的集成芯片來完成，不占運行用系統(tǒng)資源，這也是目前業(yè)界唯一能夠同時實現(xiàn)四種線速的全線速核心交換設(shè)備。國防大學(xué)在新網(wǎng)絡(luò)未來要承載各種多媒體為基礎(chǔ)的新應(yīng)用，影像方面需要應(yīng)用到組播、Qos技術(shù)都會在本方案的設(shè)計中得到卓越的性能表現(xiàn)，優(yōu)異的全線速網(wǎng)絡(luò)設(shè)計能夠為科研和業(yè)務(wù)的效率提高作出巨大的貢獻。組播結(jié)構(gòu)傳統(tǒng)的組播結(jié)構(gòu)可以看到在傳統(tǒng)組播結(jié)構(gòu)上，要實現(xiàn)組播組的發(fā)送需要組播發(fā)送端通過傳統(tǒng)的交換矩陣多次發(fā)送，這樣造成了組播數(shù)據(jù)在整個轉(zhuǎn)發(fā)過程中速度慢，同時對端口帶寬占用資源過大、占用時間過長，容易造成端口擁塞。1.1.3ExtremeDirectAttach技術(shù)今天的虛擬機管理程序利用一個內(nèi)部的“虛擬交換機”為在一個服務(wù)器內(nèi)部的虛擬機（VM）之間以及它們與外部網(wǎng)路之間提供網(wǎng)絡(luò)連接。這個虛擬交換機給數(shù)據(jù)中心網(wǎng)絡(luò)增加了第四個層級。今天的許多刀片服務(wù)器利用一個內(nèi)部的“刀片交換機”來匯聚刀片服務(wù)器機箱內(nèi)的每個物理服務(wù)器的數(shù)據(jù)流量。這些交換機給網(wǎng)絡(luò)增加了第五個層級。虛擬交換機和刀片交換機的組合把交換層級從3層提高到5五層，顯著提高了網(wǎng)絡(luò)延遲并增加了數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)元素，這也增加了數(shù)據(jù)中心管理的復(fù)雜性。ExtremeNetworks的DirectAttached技術(shù)消除了虛擬交換機層，簡化網(wǎng)絡(luò)并提高網(wǎng)絡(luò)性能。ExtremeNetworks的BlackDiamond?8800交換機中的8900系列交換模塊通過利用高密度板卡和布線系統(tǒng)，消除刀片交換機并使數(shù)據(jù)中心得到簡化，從而使數(shù)據(jù)中心的層級數(shù)量從5層簡化為3層。今天的數(shù)據(jù)中心網(wǎng)絡(luò)可以通過結(jié)構(gòu)化分“層”定義。通常情況下，有一個“網(wǎng)絡(luò)核心”，它是所有數(shù)據(jù)中心設(shè)備的中心連接點。這是數(shù)據(jù)中心網(wǎng)絡(luò)的“第一層級”。這個核心可能是一個交換機，或者更通常是由冗余交換機組成的集群來連接所有設(shè)備：網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器。而網(wǎng)絡(luò)的“第二層級”是匯聚交換機，它連接接入交換機和核心。這層常用于大型數(shù)據(jù)中心，一般沒有必要用在中型數(shù)據(jù)中心?！暗谌龑蛹墶钡慕粨Q機，通常被稱為接入層交換機，它直接連接服務(wù)器。這些接入交換機通常被稱為“架頂式交換機”或“行末式交換機”。這種無論是兩個或三個層級的模式是已經(jīng)被多年使用，且廣為熟悉的。目前數(shù)據(jù)中心有兩個重要的趨勢，它們正在改變數(shù)據(jù)中心網(wǎng)絡(luò)的實現(xiàn)方式，一個在物理方面，而另一個在虛擬化方面。這些趨勢給數(shù)據(jù)中心網(wǎng)絡(luò)增加了額外的層級。趨勢一：虛擬化在過去幾年的數(shù)據(jù)中心最重要的發(fā)展趨勢是虛擬化的應(yīng)用。虛擬化是一種技術(shù)，使一臺物理服務(wù)器允許安裝多個虛擬服務(wù)器/虛擬機。這樣可以提高服務(wù)器利用率和有助于服務(wù)器的整合，對于災(zāi)難恢復(fù)和容量管理等有諸多好處。虛擬化在企業(yè)數(shù)據(jù)中心和主機托管數(shù)據(jù)中心中非常流行。而由于高性能計算集群或大型互聯(lián)網(wǎng)消費網(wǎng)站的自身性質(zhì)，虛擬化不太可能應(yīng)用在這些領(lǐng)域。虛擬交換機虛擬化引入了“虛擬交換機”的概念。在非虛擬化數(shù)據(jù)中心，每個服務(wù)器運行一個操作系統(tǒng)，該操作系統(tǒng)管理的物理網(wǎng)絡(luò)連接到與其它用戶和服務(wù)器。在虛擬化環(huán)境中，有多個虛擬機運行在物理服務(wù)器上。這些虛擬機必須共享一個物理網(wǎng)絡(luò)連接，并且需要互相通信。這給虛擬交換機或“vSwitch的”概念帶來了用武之地。虛擬交換機是一個運行在服務(wù)器上的模擬2層網(wǎng)絡(luò)設(shè)備的軟件。虛擬交換機的功能是使一個服務(wù)器內(nèi)的虛擬機可以互相通訊并且可以與外界通訊。虛擬交換機仿造了二/三層交換機的一部分功能以實現(xiàn)上述通訊功能。虛擬機運行在虛擬化管理軟件中，所以它不是通用的。目前VMware、Microsoft和Citrix在自己的虛擬化管理軟件中都含有虛擬交換機。另外其它一些網(wǎng)絡(luò)廠商也推出了額外收費的虛擬交換機，例如Cisco的Nexus1000。一個需要注意的關(guān)鍵點是每個物理服務(wù)器都需要一個虛擬交換機。例如一個有40臺服務(wù)器的機柜需要40個虛擬交換機，一個有16個刀片的刀片服務(wù)器需要16個虛擬交換機。網(wǎng)絡(luò)中虛擬交換機的數(shù)量與網(wǎng)絡(luò)中運行虛擬化的服務(wù)器的數(shù)量是一一對應(yīng)的。這些虛擬機每一臺都需要管理和配置。虛擬交換機的優(yōu)點：虛擬交換機是由虛擬化管理軟件廠商發(fā)明的，用于虛擬機與網(wǎng)絡(luò)間進行通訊。直到現(xiàn)在，虛擬交換機還是虛擬機之間，虛擬機與其它服務(wù)器和用戶之間通訊的唯一手段。虛擬交換機帶來的問題：安全性：虛擬交換機的主要功能是滿足同一服務(wù)器內(nèi)部的虛擬機之間的通訊。因為虛擬交換機存在于服務(wù)器內(nèi)部，虛擬機和虛擬機之間的數(shù)據(jù)流量對于外界網(wǎng)絡(luò)是不可見的。這樣一些由非法虛擬機引發(fā)的安全問題很難被發(fā)現(xiàn)。網(wǎng)絡(luò)與系統(tǒng)管理軟件的可見性：同樣由于虛擬機和虛擬機之間的數(shù)據(jù)流量對于外界網(wǎng)絡(luò)是不可見的，對于虛擬機和虛擬機之間的流量的管理和監(jiān)控非常困難。傳統(tǒng)的基于端口鏡像的網(wǎng)絡(luò)工具無法在這樣的環(huán)境中使用。 性能的不可預(yù)見性：虛擬交換機使用軟件而非線速的交換機硬件來進行數(shù)據(jù)的轉(zhuǎn)發(fā)。虛擬交換機的轉(zhuǎn)發(fā)性能，以至于服務(wù)器的網(wǎng)絡(luò)性能都取決于CPU的可用資源，而該資源又取決于虛擬機上的應(yīng)用程序。這與服務(wù)器的優(yōu)化是矛盾的：當(dāng)服務(wù)器通過虛擬化增加利用率時，服務(wù)器的網(wǎng)絡(luò)性能實際會下降，這與使用虛擬化優(yōu)化服務(wù)器的設(shè)想是相違背的。額外的網(wǎng)絡(luò)層級：虛擬交換機為傳統(tǒng)的網(wǎng)絡(luò)增加了第四個層級。這樣增加了網(wǎng)絡(luò)的跳數(shù)從而增加了端到端的網(wǎng)絡(luò)延遲。虛擬交換機與服務(wù)器一一對應(yīng)引起的擴展性問題：每個服務(wù)器都需要一個虛擬交換機，整個數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)備數(shù)量大大增加。一個有40個服務(wù)器的機柜需要40個虛擬交換機，而只要一臺網(wǎng)絡(luò)交換機。這樣大大增加了數(shù)據(jù)中心內(nèi)需要管理和配置的網(wǎng)絡(luò)元素，增加了數(shù)據(jù)中心的運維成本。管理的復(fù)雜性：每一個虛擬化管理軟件廠家都有一個和自己軟件配合的虛擬交換機。在一個使用多種虛擬化軟件的數(shù)據(jù)中心，需要對多種虛擬機管理進行人員培訓(xùn)和制定管理流程，增加了數(shù)據(jù)中心管理成本。問責(zé)的沖突：到底由哪個部門來管理虛擬交換機呢？是因為虛擬交換機運行在服務(wù)器內(nèi)部而由服務(wù)器部門負責(zé)呢？還是因為它是網(wǎng)絡(luò)元素而由網(wǎng)絡(luò)部門負責(zé)呢？這些問題會帶來潛在的沖突，增加管理和實施解決方案的復(fù)雜度。趨勢二：刀片服務(wù)器刀片服務(wù)器為機架內(nèi)容納高密度服務(wù)器提供了解決方案。一個刀片服務(wù)器機箱可以容納16個服務(wù)器，一個標準機柜可以容納3個或4個刀片服務(wù)器機箱。這樣一個機柜可以容納48或64個高密度服務(wù)器，并且可以簡化管理。刀片服務(wù)器帶來的挑戰(zhàn)是它在一個機柜內(nèi)制造了很高的布線密度，使為每臺服務(wù)器提供布線成為挑戰(zhàn)。正是這個原因，各個刀片服務(wù)器的廠商都制造一種插入刀片服務(wù)器機箱的“刀片交換機”。刀片交換機的優(yōu)點：刀片交換機的主要優(yōu)點是簡化了布線。刀片交換機連接所有的服務(wù)器，并上連到網(wǎng)絡(luò)的第三個層級。如果沒有刀片交換機，每個服務(wù)器需要一個以太網(wǎng)連接到第三級網(wǎng)絡(luò)，這樣每個刀片服務(wù)器機箱就需要16根跳線。有了刀片交換機跳線數(shù)量減少為1到8根。刀片交換機的問題：刀片交換機給網(wǎng)絡(luò)帶來高復(fù)用比，這樣可能造成網(wǎng)絡(luò)擁塞并限制服務(wù)器的性能。一個典型的刀片交換機包含24個以上的端口或連接。其中16個端口用來連接服務(wù)器，另外8個端口用來連接接入層網(wǎng)絡(luò)設(shè)備。這樣造成2:1復(fù)用，使網(wǎng)絡(luò)最高性能減少50％。從物理網(wǎng)絡(luò)的角度看，刀片交換機給網(wǎng)絡(luò)增加了“第五層級”。如我們前面討論的，每個網(wǎng)絡(luò)層級都因為轉(zhuǎn)發(fā)時延帶來端到端的延遲。這個額外的層級增加了網(wǎng)絡(luò)元素的數(shù)量，從而增加了成本，包括刀片交換機本身的成本和配置管理刀片交換機的時間成本。因為刀片交換機是一個根據(jù)刀片服務(wù)器機箱定做的產(chǎn)品，它與數(shù)據(jù)中心匯聚和接入層級的獨立交換機相比通常具有不同的功能和管理結(jié)構(gòu)。這帶來的管理的復(fù)雜性，因為網(wǎng)絡(luò)管理員需要學(xué)習(xí)和管理不同的交換機系統(tǒng)和管理軟件。刀片交換機同樣帶來組織管理上的問題。它是應(yīng)該由管理核心/匯聚/接入交換機的網(wǎng)絡(luò)部門管理？還是因為它在服務(wù)器內(nèi)部而由服務(wù)器部門管理？這個職責(zé)的混淆會在配置不兼容以及涉及多個部門在數(shù)據(jù)中心排錯時帶來問題。虛擬化和刀片服務(wù)器趨勢的疊加效果是把網(wǎng)絡(luò)層級從3層增加到5層。當(dāng)虛擬交換機引入時增加了1層，刀片交換機引入時又增加了1層。由于顯著地增加了網(wǎng)絡(luò)復(fù)用比以及端到端的延時，5層網(wǎng)絡(luò)的性能低于3層網(wǎng)絡(luò)。另外這樣還需要更多電力和冷卻能力并大大增加管理成本。DirectAttach減少網(wǎng)絡(luò)層級 什么是ExtremeNetworks的DirectAttach？DirectAttach是ExtremeNetworks實現(xiàn)虛擬機在網(wǎng)絡(luò)中進行交換的技術(shù)。一些廠家通過在服務(wù)器中的虛擬交換機實現(xiàn)虛擬機數(shù)據(jù)交換。而ExtremeNetworks的DirectAttach技術(shù)把虛擬機之間的數(shù)據(jù)交換功能從服務(wù)器中遷移回網(wǎng)絡(luò)設(shè)備中。這樣使管理員可以在享受服務(wù)器虛擬化帶來的好處的同時利用成熟的、線速的網(wǎng)絡(luò)交換機處理虛擬機數(shù)據(jù)交換。從本質(zhì)上講，DirectAttach允許虛擬機無需通過服務(wù)器內(nèi)的軟交換機直接連接到網(wǎng)絡(luò)。DirectAttach通過去掉虛擬交換機減少了網(wǎng)絡(luò)層級，從而節(jié)約成本，降低延時，減少網(wǎng)絡(luò)復(fù)用并且簡化了管理。最后它使管理員在無需考慮虛擬機管理軟件的情況下實施一致的網(wǎng)絡(luò)策略，保證網(wǎng)絡(luò)的安全且符合規(guī)定。另外，高扇出的交換機模塊以及專用的布線方案可以使刀片服務(wù)器機箱中的服務(wù)器直接連接到數(shù)據(jù)中心網(wǎng)絡(luò)，從而使數(shù)據(jù)中心網(wǎng)絡(luò)簡化。DirectAttach如何工作 DirectAttach軟件包是ExtremeXOS的一個可加載模塊。它可以被安裝在基于ExtremeXOS的ExtremeNetworks的Summit系列堆疊交換機（包括SummitX450、SummitX480、SummitX650）和帶有8900系列模塊的BlackDiamond8800交換機。DirectAttach軟件把端口上的數(shù)據(jù)根據(jù)虛擬機進行分類，然后根據(jù)交換機中二/三層轉(zhuǎn)發(fā)協(xié)議進行轉(zhuǎn)發(fā)。雖然所有的數(shù)據(jù)包都從一臺物理服務(wù)器發(fā)送和接收，所有交換機策略仍然會針對每個虛擬機的數(shù)據(jù)流發(fā)生作用。 使用DirectAttach技術(shù)去掉虛擬交換機的好處更高的可預(yù)見的性能：使用DirectAttach技術(shù)不需要服務(wù)器內(nèi)的軟件轉(zhuǎn)發(fā)數(shù)據(jù)包，所有的數(shù)據(jù)包都通過以太網(wǎng)交換機線速轉(zhuǎn)發(fā)。這樣無論服務(wù)器的負載如何，都可以保證可預(yù)見的性能。更廣泛的網(wǎng)絡(luò)功能：當(dāng)今的以太網(wǎng)支持非常廣泛的功能，包括服務(wù)質(zhì)量、ACL安全等多年來開發(fā)的功能。使用DirectAttach技術(shù)，這些功能可以針對數(shù)據(jù)中心內(nèi)的所有虛擬機生效。管理更少的網(wǎng)絡(luò)元素：在一個有10個機柜，每個機柜有40個1U服務(wù)器的數(shù)據(jù)中心，使用DirectAttach技術(shù)只需要第三級的10個網(wǎng)絡(luò)元素而不需要第四級的網(wǎng)絡(luò)元素。如果不使用DirectAttach技術(shù)，需要管理410個網(wǎng)絡(luò)元素，除了第三級的10的10個還有第四級的400個網(wǎng)絡(luò)元素！在這個實例中，減少了98％的需要管理、配置和維護的網(wǎng)絡(luò)元素。增強的安全性：在使用虛擬交換機的情況下，虛擬機之間的數(shù)據(jù)流量永遠不會流出服務(wù)器。這樣很難部署交換機的安全功能，例如ACL和在線的安全檢測設(shè)備。使用DirectAttach技術(shù)，所有虛擬機和虛擬機之間的通信對交換機而言都是可見的，可以被安全策略如ACL、端口鏡像等進行處理。易于管理：DirectAttach技術(shù)使數(shù)據(jù)中心內(nèi)的所有數(shù)據(jù)交換機的管理回歸到網(wǎng)絡(luò)管理員手中，消除了與服務(wù)器團隊的潛在沖突。不同虛擬化管理軟件環(huán)境下的輕松管理：DirectAttach技術(shù)不依賴于虛擬化管理軟件，可以兼容絕大多數(shù)虛擬化管理軟件。這樣它可以在混合有多廠家虛擬化系統(tǒng)的數(shù)據(jù)中心良好工作。交換機與布線系統(tǒng)設(shè)計除了可以通過DirectAttach技術(shù)去掉虛擬交換機，這個ExtremeNetworks的解決方案還有另外的好處。BlackDiamond8800交換機通過MRJ21技術(shù)提供高密度千兆接口解決方案。MRJ21技術(shù)把6個全帶寬的千兆接口集成到1根線纜中。使用這種技術(shù)制造的96口千兆模塊使1個機箱可以容納768個千兆接口，使刀片服務(wù)器可以輕松接入8800交換機。DirectAttach布線系統(tǒng)可以把刀片服務(wù)器機箱內(nèi)的所有服務(wù)器直接連接到模塊化交換機的端口，而無需使用刀片交換機。一個有4個刀片服務(wù)器機箱，每個刀片服務(wù)器機箱有16個服務(wù)器的機柜內(nèi)的所有服務(wù)器都可以直接連接到1個BlackDiamond8800交換機的8900系列模塊上。這個高密度端口和高密度布線解決方案消除了使用刀片交換機的需求，從而消除了這個層級的網(wǎng)絡(luò)設(shè)備。結(jié)論：ExtremeNetworks的DirectAttach技術(shù)和高扇出的服務(wù)器模塊可以被一起使用，也可以被單獨使用。如果一起使用您可以去掉虛擬交換機和刀片交換機，從而使網(wǎng)絡(luò)層級從5層減少到3層，進而建立一個更易于擴展、易于管理和降低成本的網(wǎng)絡(luò)架構(gòu)。 減少網(wǎng)絡(luò)層級的好處 更低的復(fù)用提高網(wǎng)絡(luò)性能使之更可預(yù)測更少層級意味著更低延遲更少的擁塞點意味著更可預(yù)測的性能更少的網(wǎng)絡(luò)元素意味著更少的故障點更少的網(wǎng)絡(luò)元素意味著更少的電力消耗更少的交換機意味著更低的總體擁有成本DirectAttach技術(shù)如何減少網(wǎng)絡(luò)層級去掉虛擬交換機去掉刀片交換器1.1.5幫助虛機無縫遷移的XNV技術(shù)數(shù)據(jù)中心里服務(wù)器虛擬化的廣泛采用推動了整合，降低了能耗，并提高了可用性和靈活性。然而，服務(wù)器虛擬化也帶來了一系列網(wǎng)絡(luò)運行的挑戰(zhàn)：從進行虛機交換的配置，到管理虛機在網(wǎng)絡(luò)中的遷移，到提供虛機在網(wǎng)絡(luò)上的位置及可見性信息。今天，網(wǎng)絡(luò)管理員幾乎沒有合適的工具為他們提供虛機環(huán)境下的可視性、控制和更深層次的信息。極進網(wǎng)絡(luò)的XNV提供了服務(wù)器虛擬環(huán)境在網(wǎng)絡(luò)層面的可見性和控制，并且與具體采用的虛擬平臺無關(guān)，也無需對服務(wù)器的操作維護環(huán)境做任何改動。這允許網(wǎng)絡(luò)管理員可以有效的對高度虛擬化的數(shù)據(jù)中心環(huán)境進行監(jiān)視、實施、故障診斷，同時又能避免錯誤、降低應(yīng)用的宕機時間、改進業(yè)務(wù)質(zhì)量和響應(yīng)時間。服務(wù)器虛擬化允許一個操作系統(tǒng)和其上所有的應(yīng)用可以完全從底層硬件上抽取出來。這不僅僅可以讓多個虛擬主機運行在一個物理服務(wù)器上，而且允許虛擬主機從一臺服務(wù)器遷移到另一臺服務(wù)器——用于業(yè)務(wù)負載均衡或容錯。虛擬主機的移動可以由服務(wù)器管理員手工完成，或由管理工具（如：管理業(yè)務(wù)負載均衡）自動完成。進一步說，在一臺服務(wù)器上的兩個虛擬主機之間的流量由基于軟件的二層交換機（稱為虛擬交換機）在本地完成交換。這些服務(wù)器環(huán)境的變化給網(wǎng)絡(luò)管理員帶來了一系列挑戰(zhàn)：1.傳統(tǒng)上，網(wǎng)絡(luò)策略，如訪問控制列表（ACL），服務(wù)質(zhì)量（QoS）和流量控制的策略都是在交換機的物理端口上實施，并映射到相連的服務(wù)器及其應(yīng)用特征。然而，由于有了虛擬化，多個虛擬主機會和同一個物理網(wǎng)絡(luò)端口相連。這樣，這些策略必須和一個物理端口下的多個虛擬端口和虛擬主機相匹配。而且，傳統(tǒng)的故障診斷工具，如：物理網(wǎng)絡(luò)端口上的包計數(shù)器和統(tǒng)計，也需要工作于虛擬的端口。如果沒有這些能力，就很難進行故障診斷和達到相應(yīng)的服務(wù)等級要求（SLA）。2.虛擬化給數(shù)據(jù)中心增加了動態(tài)的元素。虛擬主機可以從一臺服務(wù)器移動到另一臺服務(wù)器——操作卻非常簡單，點擊一下鼠標，或由自動化管理工具自動完成（如負載均衡工具）。但是，網(wǎng)絡(luò)的配置——例如網(wǎng)絡(luò)端口上對應(yīng)某個安裝了多個虛擬主機的服務(wù)器——卻不能移動，跟蹤和跟隨虛擬主機在服務(wù)器間的移動。這會導(dǎo)致業(yè)務(wù)性能不能始終如一，降低或中斷業(yè)務(wù)的可達性，以及一些安全和合規(guī)性的挑戰(zhàn)。這反過來導(dǎo)致SLA不能得到滿足，增加了人力的介入（服務(wù)器管理和網(wǎng)絡(luò)管理員之間的協(xié)調(diào)），和數(shù)據(jù)中心的管理效率下降。3.虛擬主機的創(chuàng)建、配置、激活、遷移和禁止等操作通常由服務(wù)器管理員通過工具來完成。而網(wǎng)絡(luò)管理員并不了解虛擬主機的生命周期情況。這意味著，在任何時候，網(wǎng)絡(luò)管理員都不知道哪臺交換機上連接了一個新的虛機，哪個虛機在數(shù)據(jù)中心里被創(chuàng)建了，某個虛機的網(wǎng)絡(luò)特性等。但是，即使在在高度虛擬化的數(shù)據(jù)中心里，網(wǎng)絡(luò)管理員也一樣經(jīng)常會需要進行虛機層面的某個應(yīng)用的網(wǎng)絡(luò)診斷。如果不了解虛機的生命周期信息，這樣的診斷將既痛苦又漫長。也導(dǎo)致更長的應(yīng)用宕機時間，也無法滿足SLA。演進網(wǎng)絡(luò)，以適應(yīng)服務(wù)器虛擬化上述挑戰(zhàn)的解決之道就在于演進網(wǎng)絡(luò)，使之能高效的應(yīng)對服務(wù)器的虛擬化。有幾個重要的方面與之相關(guān)：1.將網(wǎng)絡(luò)層面的可視性引入虛機的生命周期：從服務(wù)器管理員創(chuàng)建一個虛機開始，到它被激活，遷移及最后被禁止，需要給網(wǎng)絡(luò)管理員提供完整的可見性（當(dāng)前的和歷史的）。能夠準確定位虛機在網(wǎng)絡(luò)中的位置——在哪一臺交換機的哪一個端口，以及虛機的屬性和位置歷史信息，及整個網(wǎng)絡(luò)中的所有虛機的網(wǎng)絡(luò)信息清單，這些可以極大的簡化故障診斷、減少服務(wù)器和網(wǎng)絡(luò)管理員的協(xié)調(diào)工作量，最終降低應(yīng)用的宕機時間提供更好的SLA響應(yīng)。2.在虛機層面配置網(wǎng)絡(luò)策略：網(wǎng)絡(luò)的業(yè)務(wù)能力如ACL、QoS、流量限制、計數(shù)器和統(tǒng)計不僅需要在網(wǎng)絡(luò)和交換機端口層面能夠配置，還需要在每一個單獨的虛機層面（或虛擬端口）層面可配置。這樣可以允許更精確的配置虛機及其應(yīng)用和服務(wù)，同時幫助在整個網(wǎng)絡(luò)提供強健的安全性和合規(guī)性的計量。實際上，這還能幫助其他的網(wǎng)絡(luò)技術(shù)能更快的應(yīng)用于虛擬環(huán)境。并且，也有助于卸載服務(wù)器的CPU（進行網(wǎng)絡(luò)流量處理的部分），以將CPU資源釋放來用于應(yīng)用和更多的虛機。3.自動的動態(tài)跟蹤和執(zhí)行虛機網(wǎng)絡(luò)策略：這對于支持虛擬化的網(wǎng)絡(luò)的有效性非常關(guān)鍵。由于虛機可以在服務(wù)器間動態(tài)的遷移，網(wǎng)絡(luò)需要能夠跟蹤虛機的遷移，并實時自動的遷移網(wǎng)絡(luò)上針對虛機的屬性和策略到虛機遷移的目標交換機上。這些要求必須是自動化的，才能降低配置的錯誤，減少服務(wù)的中斷時間。提供這個級別的自動化可以極大的降低網(wǎng)絡(luò)和服務(wù)器管理員的相互依賴性，極大的簡化和理順數(shù)據(jù)中心的維護工作。1.Hypervisor無關(guān)的運行：許多數(shù)據(jù)中心開始部署多種不同的虛擬化技術(shù)。將網(wǎng)絡(luò)功能從服務(wù)器轉(zhuǎn)移到網(wǎng)絡(luò)中的一個好處是，可以方便的支持混合的虛擬化環(huán)境。一旦網(wǎng)絡(luò)上提供某種了網(wǎng)絡(luò)功能，就相當(dāng)于在多個虛擬平臺上都具備了，而且無需修改服務(wù)器操作環(huán)境。5.投資保護：虛擬化可以在已有的服務(wù)器基礎(chǔ)設(shè)施上開展。同樣的，在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上虛擬化相關(guān)的業(yè)務(wù)能力的支持也很重要，這可以降低硬件設(shè)備升級的需要，提供更好的投資保護。這也讓管理員可以逐步實施他們的虛擬化計劃，而不是一次性整體替換。今天的網(wǎng)絡(luò)缺乏上述相應(yīng)的工具和能力，因此對數(shù)據(jù)中心快速引入虛擬化形成了障礙。在數(shù)據(jù)中心進行上述的網(wǎng)絡(luò)演進可以提高支持虛擬化的有效性。進一步說，數(shù)據(jù)中心管理員可以將各種規(guī)模的數(shù)據(jù)中心逐步的從物理的到虛擬的模型按照他們自己的步調(diào)進行遷移，不需要大規(guī)模替換設(shè)備也不需要徹底的修改操作維護流程。XNV：將虛機生命周期管理引入網(wǎng)絡(luò)XNV是基于ExtremeXOS的交換機產(chǎn)品和EPICenter管理軟件中的一套需要授權(quán)使用的軟件功能。包括極進網(wǎng)絡(luò)的網(wǎng)絡(luò)實施和管理工具。XNV將高度虛擬化的數(shù)據(jù)中心的可視化、控制和自動化引入網(wǎng)絡(luò)。XNV帶來如下功能：1.XNV提供了集中化的基于網(wǎng)絡(luò)的虛機清單、虛機位置歷史信息和虛機網(wǎng)絡(luò)策略配置功能。XNV通過EPICenter來實現(xiàn)這一點——EPICenter通過標準API接口與虛機管理平臺，如VMWarevCenter或其他，進行通信。2.XNV提供集中化的網(wǎng)絡(luò)配置和針對于各個虛機的分布式的網(wǎng)絡(luò)策略。XNV通過在EPICenter集中管理的虛擬端口策略（VirtualPortProfile，與各個虛機關(guān)聯(lián)）的框架來實現(xiàn)這一點。VPP用于為每一個單獨的虛機配置ACL，QoS，流量限制和其他策略。VPP的執(zhí)行則是在運行ExtremeOS、并使用了XNV的網(wǎng)絡(luò)交換機上。3.XNV可以在虛機從一臺服務(wù)器遷移到另一臺服務(wù)器時自動跟蹤它，并實時自動遷移相應(yīng)這個虛機的VPP到目標交換機上去——VPP將在這臺交換機上自動強制執(zhí)行。XNV不需要對服務(wù)器的運行環(huán)境做任何更改，并可以同時與多種hypervisor技術(shù)兼容。 總結(jié)服務(wù)器虛擬化帶來一系列網(wǎng)絡(luò)的挑戰(zhàn)。為了應(yīng)對這些挑戰(zhàn)，落實虛擬化的好處，網(wǎng)絡(luò)必須做一些根本性的改變。從為虛機運行環(huán)境提供網(wǎng)絡(luò)級的可見性和可視性，到將網(wǎng)絡(luò)功能移植到虛機層面，到自動跟蹤虛機的遷移和調(diào)整、執(zhí)行虛機的網(wǎng)絡(luò)策略，網(wǎng)絡(luò)需要重新定義，需要主動參與虛擬化。XNV為極進網(wǎng)絡(luò)的數(shù)據(jù)中心產(chǎn)品提供了一個軟件的升級包，使得網(wǎng)絡(luò)可以有效的應(yīng)對虛擬化，無論采取的是何種hypervisor方案都無需改變服務(wù)器的操作環(huán)境。XNV為虛擬主機的生命周期提供了基于網(wǎng)絡(luò)的可視性，控制和自動化。XNV還為網(wǎng)絡(luò)管理員提供了一條從現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施升級到虛擬化的道路，而無需徹底替換設(shè)備。這種升級途徑能夠保護現(xiàn)有投資，簡便易行。1.1.5環(huán)保節(jié)能的網(wǎng)絡(luò)建設(shè)構(gòu)建數(shù)據(jù)中心網(wǎng)絡(luò)，不僅僅考慮初期的采購成本，后續(xù)的操作和使用成本也是必不可少的，一個好的產(chǎn)品方案，無論初期采購還是后續(xù)維護使用，都要為客戶著想，如何以最低的成本進行信息化應(yīng)用，從而提高整體運營效率，提高經(jīng)濟效益。在能源日益緊張的今天，節(jié)能環(huán)保也納入了網(wǎng)絡(luò)設(shè)計當(dāng)中，成為一個優(yōu)秀方案的必備要素。對于國防大學(xué)，作為IT基礎(chǔ)設(shè)施的網(wǎng)絡(luò)建設(shè)，Extreme為用戶尋求低耗電、高性能網(wǎng)絡(luò)解決方案。所提供以太網(wǎng)局域網(wǎng)交換機的節(jié)能表現(xiàn)比其他品牌產(chǎn)品更勝一籌，相應(yīng)為用戶減輕中心機房用于散熱所需空調(diào)壓力。（以下圖表數(shù)據(jù)來源于全球?qū)I(yè)的第三方評測機構(gòu)TollyGroup2008年的測試報告）以上的圖標數(shù)據(jù)分別顯示，Extreme的核心設(shè)備在同等模塊數(shù)據(jù)流壓力測試的情況下，能耗和其他品牌產(chǎn)品的對比。（包括空載、千兆交換、萬兆交換情況下，）可以明顯的看出，該產(chǎn)品的能耗只是同類產(chǎn)品的1/4~1/3，這樣的產(chǎn)品方案，為用戶節(jié)省了大量的電力費用投入(包括設(shè)備本身耗費的以及由于散熱需要配置空調(diào)設(shè)備采購成本和使用成本)，從而提升了整體的運營效率。1.2最穩(wěn)定可靠的網(wǎng)絡(luò)平臺1.2.1獨有的模塊化操作系統(tǒng)設(shè)計本方案中的所有的交換機均采用新一代模塊化多線程操作系統(tǒng)XOS。XOS支持動態(tài)內(nèi)核加載（KLM），采用獨立進程內(nèi)存保護運行模式，支持對稱多處理（SMP）和標準POSIXAPI及XML技術(shù)。通過使用模塊化多線程操作系統(tǒng)XOS，核心網(wǎng)絡(luò)設(shè)備可以提供更多的可靠性、拓展性和安全性能力，如：無中斷切換（HitlessFailover）。設(shè)備主從管理模塊之間的切換不會導(dǎo)致已有數(shù)據(jù)流傳輸?shù)闹袛唷＃ㄆ渌麖S商設(shè)備在冗余交換管理引擎間故障切換需要1～3秒的時間）無中斷軟件升級（HitlessSoftwareUpgarde）。無須重新啟動設(shè)備及實現(xiàn)軟件版本的升級與新版本軟件啟用。（其他廠商設(shè)備升級軟件后需要重啟整個設(shè)備）動態(tài)停止/重啟模塊。在某個模塊出現(xiàn)的故障的情況下，設(shè)備將自動進行故障模塊的單獨重新啟動。進程和線程的自動重啟動。系統(tǒng)中某個進程或線程出現(xiàn)故障時不會影響到其他進程和線程的運行。在無須整臺設(shè)備重新啟動的前提下，設(shè)備能夠自動實現(xiàn)對故障進程的重啟動。（其他廠家設(shè)備各個模塊和進程之間互相影響，某一個模塊出問題整個系統(tǒng)要重啟，所有功能被迫停機一次）DoS攻擊的自動檢測和預(yù)防交互式威脅阻斷掛鉤(hook)支持軟件模塊下載，無中斷在線功能擴充。無須中斷設(shè)備的運行，即能完成系統(tǒng)軟件中某個功能模塊的升級。POSIXAPI和XML技術(shù)保證了用戶的個性化功能擴展可由用戶配置的CLI命令接口(TCL)。用戶可以根據(jù)自己的習(xí)慣定制命令行界面。多平臺的運行能力。用戶可以將XOS運行在任何其他的Linux設(shè)備平臺上（PC、服務(wù)器），并能提供全部的網(wǎng)絡(luò)設(shè)備功能。對SMP（對稱多處理）的支持，為高優(yōu)先級應(yīng)用（如：視頻會議、實時監(jiān)控、IP電話）的開展提供了更好的保障。1.2.2超強的QOS服務(wù)質(zhì)量保證針對國防大學(xué)信息網(wǎng)絡(luò)今后還要開展多種影像應(yīng)用（尤其在演習(xí)網(wǎng)當(dāng)中），端到端的Qos保證必不可少。Extreme的方案具有 強大的Qos保證技術(shù)：多媒體應(yīng)用在未來網(wǎng)絡(luò)應(yīng)用中將占主要地位，新一代數(shù)據(jù)網(wǎng)絡(luò)上實施的重要基礎(chǔ)為帶寬的大幅擴展和采用硬件包處理技術(shù)的設(shè)備性能的提高。由于多媒體應(yīng)用對延遲和抖動的敏感性以及IP網(wǎng)絡(luò)本身的盡力而為的特點，在保證帶寬和性能的基礎(chǔ)上，網(wǎng)絡(luò)平臺好要具有良好的QoS保證能力。本方案中網(wǎng)絡(luò)產(chǎn)品提供多種帶寬管理方式和策略，不管是核心層、匯聚層還是接入層接入交換機均具有基于物理端口、MAC地址、IP地址、TCP端口等實施帶寬控制策略和流量分類管理的能力。Extreme產(chǎn)品設(shè)計的追求目標之一就是為在以太網(wǎng)和IP技術(shù)上提供穩(wěn)定的QoS能力，其核心層和匯聚層產(chǎn)品的每端口控制隊列最少也達到8個，便管理人員對各種網(wǎng)絡(luò)服務(wù)方式進行更加細致的優(yōu)先級分類，同時設(shè)備采用了基于16個粒度的帶寬管理方式，可以將帶寬細分成總帶寬的1/16，從而提供了出色的網(wǎng)絡(luò)傳輸控制解決方案。通過Extreme公司的IP-TDM技術(shù)，可以在網(wǎng)絡(luò)中定義類似專線的數(shù)據(jù)通道，保證應(yīng)用的延遲可控制在固定的數(shù)值之內(nèi)，從而為IP電話、視頻會議、視頻監(jiān)控和實時控制等應(yīng)用的順利開展提供良好的保證能力。非常高的物理QOS隊列。交換機支持每端口8個隊列。更多的隊列意味著更細的業(yè)務(wù)類別區(qū)別。8個隊列意味著8個不同優(yōu)先級帶寬保證的業(yè)務(wù)類別。8個硬件端口優(yōu)先級：業(yè)務(wù)最強的分組分類能力。Extreme8810能夠根據(jù)IP數(shù)據(jù)包前80字節(jié)的任一位或組合進行分類，因此可以實現(xiàn)最細的業(yè)務(wù)分類能力，輕易區(qū)分不同類型的流量。全Diff-Serv標準的分組分類能力。交換機均能支持全64個級別的Diffserv分類、重寫(remark)標準及8個802.1p分類重寫(remark)標準。保證QOS的全網(wǎng)實施且與其它廠家兼容。業(yè)界唯一的最小帶寬保證，最高帶寬限速能力。每個QOS隊列均能保證最小的保證帶寬，及最高的允許帶寬，及最高的突發(fā)帶寬。最小帶寬保證低優(yōu)先級的流量不被“餓死”，最高帶寬保證該類流量不超量使用，最高突發(fā)帶寬允許在網(wǎng)絡(luò)沒有瓶頸時可以以最高帶寬使用，達到最高的性能。基于雙向速率協(xié)商機制的區(qū)分服務(wù)以及雙向帶寬管理和分配方式確保了用戶的投資和帶寬需要；同時利用流量鑒別技術(shù)和隊列技術(shù)對用戶的數(shù)據(jù)傳輸質(zhì)量和服務(wù)級別進行定義，根據(jù)用戶的投資提供區(qū)別服務(wù)。自動QOS映射能力，簡化QOS的全網(wǎng)部署。QOS部署要求全網(wǎng)內(nèi)實施，也就是說QOS起自客戶PC，終于服務(wù)器，因此接入層交換機還需識別來自PC的QOS標識，然后自動映射到相應(yīng)的隊列，Extreme8810具備QOS自動映射能力。這樣，所有的QOS配置僅需在網(wǎng)絡(luò)邊緣通過網(wǎng)管實施QOS策略。Extreme的QOS處理，包括識別，分類，標記，重寫，隊列，調(diào)度，限速在內(nèi)，均為ASIC處理，保證不引入額外的時延。通過組合QOS及web/802.1x認證技術(shù)，根據(jù)不同的用戶名指定不同的QOS及帶寬等級。下圖是8810和同類產(chǎn)品在不同數(shù)據(jù)吞吐量情況下高優(yōu)先級業(yè)務(wù)的優(yōu)先級保證，無論流量大小，Extreme的產(chǎn)品高優(yōu)先級的業(yè)務(wù)不受影響。1.3先進的網(wǎng)絡(luò)安全設(shè)計一般來說，網(wǎng)絡(luò)安全體現(xiàn)在以下幾個主要方面：網(wǎng)絡(luò)設(shè)備的安全網(wǎng)絡(luò)管理系統(tǒng)的安全網(wǎng)絡(luò)業(yè)務(wù)的安全數(shù)據(jù)傳輸?shù)陌踩脩艟W(wǎng)絡(luò)的安全以上幾個方面又是在網(wǎng)絡(luò)的不同層面來實現(xiàn)的，即骨干層面、管理層面、業(yè)務(wù)層面、用戶接入層面來分別實現(xiàn)。Extreme從如下幾個方面著手來保證網(wǎng)絡(luò)的安全：1.3.1設(shè)備安全特性方案中的網(wǎng)絡(luò)設(shè)備本身也采用了多項先進的安全特性來確保對病毒和攻擊的免疫能力。本方案中采用的Extreme網(wǎng)絡(luò)設(shè)備，使用LPM轉(zhuǎn)發(fā)技術(shù)。區(qū)別于和其他廠家的傳統(tǒng)三層交換機使用基于流表的方式（IPHostForwarding）來完成數(shù)據(jù)包的快速轉(zhuǎn)發(fā)?；诹鞅淼目焖俎D(zhuǎn)發(fā)機制要求為每個目的地建立一個轉(zhuǎn)發(fā)表項，而流表的建立方式，使得每個新數(shù)據(jù)流的第一個數(shù)據(jù)包必須經(jīng)過CPU進行處理，當(dāng)網(wǎng)絡(luò)上出現(xiàn)掃描攻擊的時候，會導(dǎo)致流表的快速溢出，引起CPU負載快速上升，并最終導(dǎo)致網(wǎng)絡(luò)設(shè)備性能下降，使得整個網(wǎng)絡(luò)不能進行正常的數(shù)據(jù)包傳輸。通過使用LPM轉(zhuǎn)發(fā)技術(shù)，可以大大縮減快速轉(zhuǎn)發(fā)表的大小，提高每條快速轉(zhuǎn)發(fā)表表項覆蓋的范圍，從而很好地解決了流表溢出所帶來的問題，大大提高了網(wǎng)絡(luò)系統(tǒng)抗擊病毒攻擊的能力，提高了網(wǎng)絡(luò)系統(tǒng)的可靠性，并最終保證了網(wǎng)絡(luò)的高性能和高擴展性。此外，訪問控制列表是網(wǎng)絡(luò)設(shè)備數(shù)據(jù)流量主要過濾的手段，是網(wǎng)絡(luò)設(shè)備的安全防范的重要功能之一。ACL可以根據(jù)數(shù)據(jù)流的MAC地址、IP地址、端口號、ICMP信息、TCP/UDP端口號進行判別，并進行相應(yīng)數(shù)據(jù)丟棄、過濾、轉(zhuǎn)發(fā)策略（QOS）的實施。有效增強了網(wǎng)絡(luò)傳輸?shù)目煽匦?，是網(wǎng)絡(luò)安全規(guī)劃的一項主要手段。然而訪問控制列表對數(shù)據(jù)包的過濾如果通過交換機的CPU來實現(xiàn)，則會造成數(shù)據(jù)包轉(zhuǎn)發(fā)較大的延遲，有再大的背板帶寬和很多廠商宣稱的線速性能也沒有實際意義，轉(zhuǎn)發(fā)根本無法達到線速的數(shù)據(jù)包轉(zhuǎn)發(fā)。只有采用基于硬件的ASCI芯片技術(shù)實現(xiàn)的數(shù)據(jù)包過濾才可以滿足線速轉(zhuǎn)發(fā)的要求。在當(dāng)前網(wǎng)絡(luò)安全日益惡化、網(wǎng)絡(luò)攻擊及網(wǎng)絡(luò)病毒日益泛濫的今天，訪問控制列表的作用尤為重要。在網(wǎng)絡(luò)設(shè)備的選擇中，有些廠商甚至連基本的VLAN間訪問控制都無法實現(xiàn)，而宣傳功能齊全的情況屢見不鮮。所以，能夠提供真正權(quán)威的第三方測試報告將為我校的設(shè)備選擇提供一份可靠的依據(jù)。1.3.2用戶的安全接入網(wǎng)絡(luò)的安全防范，除了設(shè)備本身的安全性外，系統(tǒng)的安全準入是網(wǎng)絡(luò)安全的第一道關(guān)口。如果一個局域網(wǎng)內(nèi)裝有無法保證網(wǎng)絡(luò)安全的端點設(shè)備，會造成網(wǎng)絡(luò)安全受到威脅，因而帶來許多痛苦以及財務(wù)影響。要避免發(fā)生這些威脅網(wǎng)絡(luò)安全的事件，只是把網(wǎng)絡(luò)端口關(guān)閉或是不讓人們在辦公大樓里連接上網(wǎng)絡(luò)是不夠的。真正有效的訪問控制必須要采取主動，在任何威脅進入到內(nèi)部的網(wǎng)絡(luò)資源前，就必須要能很好地確保所有端點設(shè)備的安全，不用擔(dān)心任何威脅的侵入。Extreme的最新內(nèi)網(wǎng)安全設(shè)備SentriantAG200能夠滿足這個需求。它能提供完整的網(wǎng)絡(luò)訪問控制平臺(NetworkAccessControlplatform,NAC)。這個平臺使用在多種不同的網(wǎng)絡(luò)基礎(chǔ)建設(shè)上，不分任何訪問方式（有線、無線、虛擬專用網(wǎng)–VPN），并與多種端點設(shè)備兼容。SentriantAG200會自動測試每個端點，并在允許訪問網(wǎng)絡(luò)之前，確定終端設(shè)備是否滿足組織的安全要求。任一不合標準的設(shè)備會被隔離，并限制訪問，直到使用多個解決方法修復(fù)后，才能給與完全的訪問權(quán)利。有了上述專用的安全接入設(shè)備，配合交換機的安全功能，Extreme能夠提供完善的安全方案。網(wǎng)絡(luò)用戶的接入在某些情況下是需要監(jiān)督和控制的。為了防止未授權(quán)用戶私自接入網(wǎng)絡(luò)，我們可以通過在交換機上實施諸如MAC、IP、VLAN、用戶名等多種組合的綁定，來確保阻止非法用戶的接入。當(dāng)前，網(wǎng)絡(luò)用戶采用代理服務(wù)器或地址轉(zhuǎn)換技術(shù)共享上條線路接入網(wǎng)絡(luò)的情況也很普遍，而未有很好的解決方案。本方案中安全接入采用如下的技術(shù)手段來實現(xiàn)：。本方案支持基于WEB的用戶認證技術(shù)和IEEE802.1X+EAP標準。通過該功能，網(wǎng)絡(luò)系統(tǒng)可以控制用戶是否能夠接入網(wǎng)絡(luò)和如何使用網(wǎng)絡(luò)資源，無論用戶的終端設(shè)備設(shè)備是否配置了正確的IP地址，只有使用設(shè)備的用戶擁有合法的用戶帳號才能接入網(wǎng)絡(luò)，否則，用戶是無法接入網(wǎng)絡(luò)系統(tǒng)的。這樣就可以將非法用戶屏蔽在網(wǎng)絡(luò)之外，減少網(wǎng)絡(luò)收到黑客攻擊的可能性。用戶接入認證技術(shù)可以將通過認證的用戶動態(tài)分配到特定的VLAN中，通過對VLAN的控制，最終實現(xiàn)對用戶可使用網(wǎng)絡(luò)資源的控制。提供的基于WEB的用戶認證方式，大大降低了實施用戶接入技術(shù)的復(fù)雜性，用戶的終端設(shè)備上無需安裝特定的客戶端軟件即可完成用戶的接入認證。通過單端口上多用戶接入認證技術(shù)，可以保證用戶接入認證技術(shù)的廣泛應(yīng)用以及在異構(gòu)網(wǎng)絡(luò)上的實施。支持終端設(shè)備的接入控制。通過Extreme網(wǎng)絡(luò)設(shè)備上的MAC地址鎖定和MAC地址限制功能，網(wǎng)絡(luò)系統(tǒng)可以控制非法設(shè)備的接入，進一步提高網(wǎng)絡(luò)的安全性。強制使用DHCP的能力。在現(xiàn)代企業(yè)網(wǎng)絡(luò)覆蓋范圍日益擴大和網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜的今天，越來越多的企業(yè)網(wǎng)絡(luò)通過DHCP方式來實現(xiàn)企業(yè)內(nèi)部IP地址的分配，通過DHCP的使用，系統(tǒng)管理員可以更好的實現(xiàn)網(wǎng)絡(luò)的優(yōu)化與管理，降低網(wǎng)絡(luò)管理的復(fù)雜度。但企業(yè)內(nèi)部可能出現(xiàn)的無管理下的靜態(tài)配置IP地址，將導(dǎo)致IP地址的不可管理性，并會導(dǎo)致因IP地址沖突而帶來的網(wǎng)絡(luò)不可用的問題。利用設(shè)備獨有的的ARPLearningDisable功能，系統(tǒng)管理員可以針對性地強制網(wǎng)絡(luò)設(shè)備上的某些端口連接的終端設(shè)備必須使用DHCP獲得的IP地址，否則終端設(shè)備不能夠接入網(wǎng)絡(luò)，進而保證網(wǎng)絡(luò)的安全性。1.3.3智能化的安全防御措施網(wǎng)絡(luò)系統(tǒng)的高速、可靠運行是非常重要的。但隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，新興的網(wǎng)絡(luò)病毒與攻擊軟件與日俱增，對網(wǎng)絡(luò)造成的危害是前所未有的。最早如SQL蠕蟲病毒產(chǎn)生，造成了無法大型網(wǎng)絡(luò)癱瘓，寬帶互聯(lián)網(wǎng)發(fā)生前所未有的阻塞。再到?jīng)_擊波、振蕩波等網(wǎng)絡(luò)病毒，使得網(wǎng)絡(luò)管理疲于奔命解救瀕臨癱瘓的網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)攻擊軟件如典型的DOS（拒絕服務(wù)攻擊）和DDOS（分布式DOS攻擊）攻擊類型，會造成包括如服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端機器在內(nèi)的各種具有網(wǎng)絡(luò)接口的設(shè)備資源耗盡、系統(tǒng)宕機、網(wǎng)絡(luò)阻塞。種種情況均使得當(dāng)前網(wǎng)絡(luò)系統(tǒng)的安全成為主要攻關(guān)課題。Extreme具備完善的智能化安全防御解決方案，不但可以從用戶的安全接入方面降低安全風(fēng)險，同時在合法用戶接入后的網(wǎng)絡(luò)使用當(dāng)中，實時的監(jiān)控網(wǎng)絡(luò)流量，發(fā)現(xiàn)流量異常的苗頭，直接進行相關(guān)動作進行防范，達到了事前預(yù)警的效果，防患于未然。核心交換機采用獨特的CLEAR-Flow技術(shù)，CLEAR-Flow不僅具備當(dāng)前RMON，sFlow，NetFlow的所有優(yōu)點，而且提供了擴展性、動態(tài)性、適應(yīng)實時性更高的流量測量和分析工具。這提供了網(wǎng)絡(luò)的優(yōu)化、統(tǒng)計計費、以及網(wǎng)絡(luò)安全防范的手段。從圖中的安全防御過程可以看出，該方案具備了智能主動的安全特性，改變了以往網(wǎng)絡(luò)流量監(jiān)控技術(shù)不加選擇鏡像數(shù)據(jù)流的低效方法，當(dāng)只有異常流量發(fā)生的時候才會把相關(guān)的流量鏡像到專業(yè)的安全設(shè)備中進行分析，既不影響網(wǎng)絡(luò)的性能，分析結(jié)果確認是攻擊后，通知相關(guān)的設(shè)備進行聯(lián)動，從而在病毒和攻擊沒有完全爆發(fā)之前消除安全隱患。在不影響網(wǎng)絡(luò)運作的情況下防御威脅使用網(wǎng)絡(luò)虛擬誘惑裝置快速檢測，從而創(chuàng)建早期預(yù)警系統(tǒng)，當(dāng)發(fā)現(xiàn)虛擬目標時報警隔離攻擊者，并阻止他們與網(wǎng)絡(luò)上的其它設(shè)備進行通訊，但允許重要的數(shù)據(jù)繼續(xù)正常傳輸補充現(xiàn)有的周邊安全和基于主機的安全解決方案在所有供應(yīng)商的交換機上都可以高效操作，但是與支持ExtremeXOS?CLEAR-Flow的交換機結(jié)合，就可以處理您的多路千兆級流量，并減少安全保證所需的成本。1.3.4常用安全策略建議同時，為了在本次網(wǎng)絡(luò)系統(tǒng)建設(shè)中，盡最大可能杜絕安全隱患，建設(shè)一套強健的網(wǎng)絡(luò)系統(tǒng)，我們提出以下安全策略建議供參考：1、AccessControlLists(ACLs)ACL是每個安全策略的組成部份，控制和監(jiān)視什么數(shù)據(jù)包進入和離開網(wǎng)絡(luò)幾乎是網(wǎng)絡(luò)安全的定義。盡管交換機的工作是進行數(shù)據(jù)包的轉(zhuǎn)發(fā)而不是阻止它。但是有些數(shù)據(jù)包我們必須阻止它。今天的internet上有一些眾所周知并且被接受的安全過濾策略。包括：?IngressFiltering(RFC2827/BCP38)?PrivateAddressSpaceFiltering(RFC1918)?BogonandMartianFiltering(draft-manning-dsua-07.txt)IngressFiltering最近頻繁出現(xiàn)的各種DoS攻擊，使用偽裝的源IP地址給內(nèi)網(wǎng)帶來了很多的麻煩，全面影響了內(nèi)網(wǎng)的通訊。RFC2827/BCP38建議的入口地址過濾（IngressFiltering）提供了一個簡便有效且直觀的方法來解決這個問題。入口過濾在RFC2827/BCP38(BestCurrentPractice)中指定。它高度建議使用入口過濾，不僅可以使你的網(wǎng)絡(luò)安全，而且可以使其它的網(wǎng)絡(luò)不會被來自你的網(wǎng)絡(luò)的偽裝的源IP給攻擊。許多的網(wǎng)絡(luò)攻擊者使用偽裝的源IP地址來隱藏它們的身份。在網(wǎng)絡(luò)使用了入口過濾功能后，也更加容易定位網(wǎng)絡(luò)攻擊者，因為攻擊者必須使用真實的子網(wǎng)源IP地址。過濾未分配的地址空間IP的地址空間由InternetAssignedNumbersAuthority機構(gòu)指派給各個地區(qū)的internet注冊者（RIRs）.頂級的RIRs總共有3個ARIN.AmericanRegistryforInternetNumbers()RIPE.Re.seauxIPEurope.ens()APNIC.亞太網(wǎng)絡(luò)信息中心()當(dāng)一個prefix(通常是/8)被指派給RIR,然后RIR將這些地址分配給各個地區(qū)分配者。如果一個prefix還沒有被分配給RIR，那實際上在這個prefix是不應(yīng)該有流量的?；谶@個考慮。我們應(yīng)該將這些未分配的地址通過ACL來過濾掉。這個列表可以從下面的地址取得。/assignments/ipv4-address-space.通過實現(xiàn)這個ACL，也可以使IPFDB的空間得到更有效的利用。2、打開CPUDOSPROTECT一個拒絕服務(wù)攻擊（Denial-of-Service:DOS）攻擊發(fā)生于一個危急的網(wǎng)絡(luò)或計算資源被淹沒并且合法的服務(wù)請求無法響應(yīng)。在這種情況下，拒絕服務(wù)攻擊將很難與合法的高流量數(shù)據(jù)流有效區(qū)分?；谟布臄?shù)據(jù)包線速轉(zhuǎn)發(fā)可以對該攻擊產(chǎn)生一定的抵抗能力。然而，網(wǎng)絡(luò)中有些操作對于任何交換機和交換機都是相同的，這就是有一類型的數(shù)據(jù)流必須要由CPU經(jīng)過軟件來處理：這類數(shù)據(jù)包（由CPU軟件處理）包括：一個新發(fā)起的數(shù)據(jù)流（TCPSYN）路由和控制協(xié)議包括：ICMP,BGP,OSPF交換機管理流量（交換機訪問通過Telnet,SSH,HTTP,SNMP…）其他一些直接發(fā)往交換機并且必須由CPU丟棄如果任何一種類型流量被范洪，CPU都有可能變得非常繁忙并且交換機的性能將極劇下降。即便使用更快的CPU，也同樣會被無盡的洪流數(shù)據(jù)包所淹沒。某些先進的網(wǎng)絡(luò)核心設(shè)備所具有DOS保護的設(shè)計就是幫助交換機將這類攻擊數(shù)據(jù)流特征化以阻止交換機的性能下降，并且過濾非法流量以保證正常的交換服務(wù)功能。當(dāng)一個泛洪數(shù)數(shù)據(jù)被交換機收到時，DOS保護將通計這類數(shù)據(jù)包。當(dāng)這類數(shù)據(jù)接近報擎閥值時（4000包每秒），包頭信息將會被記尋。如果閥值被達到，這種類型數(shù)據(jù)包頭將會被分析，并且一個自動基于硬