电脑技术学习

企业骨干网路由器走向多功能化

dn001

  随着技术的不断发展,以及客户应用的日趋多样化,企业骨干网路由器的功能在未来几年中将不断演化,其功能改进将不仅针对CPE(客户前端设备)进行,而且能够支持集群网络业务传输。
  
  企业骨干网路由器在现代商务活动中一直扮演着十分重要的角色,然而无论是何种网络应用,从本质上讲,它在其中起到的作用无非是传输比特流,路由器的功能显得相当“单一”。
  
  随着技术的不断发展,以及客户应用的日趋多样化,企业骨干网路由器的功能在未来几年中将不断演化,其功能改进将不仅针对CPE(客户前端设备)进行,而且能够支持集群网络业务传输。
  
  成本优势明显
  
  过去人们只笼统地以吞吐量来衡量路由器的功能性,将来的骨干网路由器将集各种分离平台(或应用工具)于一身,包括:安全业务,如IP VPN、防火墙以及IDS;通信治理功能,如网络地址转换(NAT)、QoS、内容传输、通信缓冲以及同类路由器间的应用交换。相对于多分离设备来说,这类集成路由平台在总拥有成本(TCO)方面具备很大优势:需治理的设备少,故障发生点就少,实现同样功能比采用多样设备维护成本就要低得多。
  
  概括来说,这类路由器具备以下五方面功能优势:
  
  性能 全线速第2层交换,先进的路由特性如BGP4、OSPF、IS-IS、RIP以及组播协议功能。
  
  可靠性 具备极高的正常运行时间,有完善的交换架构,具备冗余治理接口、底板和电源,具备故障修复软件、冗余中继以及热插拨线路卡。
  
  可扩展性 具备高密度10M/100M/1G/10G以太接口,并预留有扩展空间。
  
  灵活性 支持多业务交换,包括以太、ATM以及POS(Packet Over SDH/SONET),并具备其它传统接口。
  
  软件功能 集成软件功能是要害,它涵盖了传统的安全性、第2层功能性和可靠性这些方面,如接入控制列表(ACL)、安全治理(认证)、防范DoS攻击、加密配置以及影像传输控制等,都离不开软件实现。
  
  平衡性能/功能需求是要害
  
  从本质上讲,路由平台集成多功能后,主要是平衡解决好性能和功能集成问题:增加功能越多,运行负荷就越大,因为对路由器资源不再是集中式治理,分散作业必然增加处理器负荷。一些业界人士认为,对大型企业中心站点,人们对性能的关注要远远超过对功能集成的需求,因而一些辅助功能的实现,尤其是跟计算机处理息息相关的加密和路由控制,将以分离工具来实现。只有构建于下一代硬/软件体系结构的企业路由器规范出台,完全功能集成才有可能实现。
  
  业界领头羊Cisco在这方面做得比较好,它的6500系列路由交换机新增有IP VPN、防火墙和IDS功能模块,相对于多设备,做到了低成本、高性能。通过集成Alteon WSM负载均衡和内容交换功能,Nortel推出的Passport 8600能实现4至7层路由交换。Foundry也在其路由体系结构中增加有内容处理模块。Enterasys的X-Pedition能提供一定程度的负载均衡,并计划在其交换机中集成VPN和IDS功能模块。
  
  为降低路由器主CPU的处理负荷,这类产品新增的功能模块一般都具备专用处理资源,这对企业应用环境意义重大,因为这类环境通信需求量高,资源占用密集。
  网络治理要改变
  
  路由器的功能集成会引发一些问题,其一便是治理控制。
  
  一份独立的商业调查显示,在全球“100强”企业当中,都建立有完善的网络治理机制,可见网络治理对企业的重要性。网络治理一般是基于第3/4或更高层进行,由不同的IT部门来完成;对于这类企业路由器,谁拥有治理和配置变更权限成为一个头疼问题。功能的集成打破了传统的网络治理界限,有可能造成混乱。譬如,为路由器增加防火墙功能后,治理人员需要实时对防火墙、IDS和VPN策略进行更新,而基于安全操作考虑,路由器主管又会反对这么做。由一班人共同承担治理职责也不现实,因为一类策略的实现极有可能影响到路由器其它方面性能发挥。因而谁有决定权来分派各类功能治理,以使路由器高效运行成为不可忽视的问题。
  
  另一个问题是经费。治理人员总是希望自己负责的那部分路由器功能是最强大的,如此共同决定的“综合体”在价格上不可能降下来。而且不同厂商侧重点各不相同,多数开发商专注于QoS治理,有的则主要集中于防火墙、VPN服务器和通信治理,这样在购买时得多方面权衡,费时又费力。
  
  当然,网络治理即可统一进行;也可分多个组,但分工协作,做到权责分明。一些开发商如Cisco认为,分工协作治理完全是可行的,而且已有公司在这么做,只是这类网络环境不应太复杂。例如,为路由器或交换机增加防火墙模块后,原来负责防火墙治理的组对路由器中防火墙进行完全控制,而不是交由独立的安全治理员工来负责。还有一种办法就是对相关功能模块进行远程治理,只不过这存在一个协作问题,而且操作互不透明。
  
  多功能路由器初露端倪
  
  多功能路由器市场开发已初露端倪,如Cisco的6500系列交换机和7600系列路由器;北电的Passport 8600系列及附加的Contivity安全IP业务网关(Secure IP Services Gateway);Extreme Networks的Black Diamond系列;Foundry的FastIron和EdgeIron产品线;Enterasys的X-Pedition;另外Avaya和Alcatel也将加入这一行列。这些路由器都能在一定程度上提供IP VPN和防火墙功能,且主要是以软件方式实现(以硬件ASIC或其它方式也能达到同样性能要求)。
  
  Current Analysis的分析师认为,路由平台最终将向集成IP业务方向发展,将来的路由器应能处理各类通信(数据/语音/视频)。企业路由器应用将朝多功能/多业务方向发展:既要求路由器性能稳定、高效,又需要具备附加安全功能和QoS特性。但时至今日,将所有功能集成并高效实现还有困难。
  
  目前来说,用户主要是关注产品的全线速功能,具备与其它附加设备如分离防火墙或缓冲引擎互联的开放标准接口;企业用户一般希望在路由器中内建VPN、VLAN、MPLS和防火墙功能。总之,路由器朝多功能方向发展已是大势所趋。