萬(wàn)兆交換機中的新一代技術(shù)

    作為兼容于以往的最新以太網(wǎng)技術(shù)，萬(wàn)兆以太網(wǎng)不僅僅是以太網(wǎng)的“高速翻版”，萬(wàn)兆以太網(wǎng)第一次提出了萬(wàn)兆廣域以太網(wǎng)技術(shù)，第一次實(shí)現了私有網(wǎng)絡(luò )到公眾網(wǎng)絡(luò )的融合。同樣，作為網(wǎng)絡(luò )的核心設備，萬(wàn)兆以太網(wǎng)交換機也不僅僅是在已有的千兆以太網(wǎng)交換機上支持萬(wàn)兆的接入模塊，它需要新一代的系統設計，包括從交換機體系結構、二/三層技術(shù)的更新，到下一代 IPv6 的缺省支持和有效的帶寬管理。本文將探討這些新一代的技術(shù)。
     
     　　近年來(lái)，從局域網(wǎng)到城域網(wǎng)，從城域網(wǎng)到廣域網(wǎng)，以太網(wǎng)技術(shù)以驚人的速度正占據著(zhù)越來(lái)越多的市場(chǎng)，尤其在企業(yè)網(wǎng)絡(luò )和運營(yíng)商網(wǎng)絡(luò )中，以太網(wǎng)技術(shù)越來(lái)越多地成為毫無(wú)爭議的選擇。從快速以太網(wǎng)到千兆以太網(wǎng)，再到萬(wàn)兆以太網(wǎng)，技術(shù)上的更新滿(mǎn)足了新一代互聯(lián)網(wǎng)技術(shù)所帶來(lái)的高速帶寬增長(cháng)和新一代應用的需求。
     
     　　以下我們來(lái)看一下萬(wàn)兆以太網(wǎng)交換機中的新一代技術(shù)。
     
     　　分布式的交換體系
     
     　　用戶(hù)投資購買(mǎi)萬(wàn)兆以太網(wǎng)交換機，是因為需要能夠在任何情況下線(xiàn)速處理數據包的轉發(fā)，需要能夠處理新一代的互聯(lián)網(wǎng)應用，如組播應用、流媒體應用、IP語(yǔ)音、下一代互聯(lián)網(wǎng)IPv6應用；同時(shí)也需要交換機能夠提供最好的投資保護、能夠占用最少的機架空間、能夠盡量地節省電量、能夠看得見(jiàn)用戶(hù)的流量等。
     
     　　顯然，千兆交換機不能容納大容量萬(wàn)兆端口的線(xiàn)速轉發(fā)，目前的千兆交換機只能夠提供幾十到幾百個(gè)G的吞吐量，而新一代的萬(wàn)兆交換機能夠提供每秒處理一千個(gè)G以上的吞吐。由于如此大的數據吞吐用最高的CPU也不能實(shí)現線(xiàn)速轉發(fā)，所以我們需要專(zhuān)用的網(wǎng)絡(luò )集成電路芯片（ASIC），同時(shí)需要將數據轉發(fā)的任務(wù)分布到各個(gè)模塊上實(shí)現。
     
     　　分布式系統有不同的實(shí)現方式，一種是在傳統的交換機技術(shù)上將常用的任務(wù)轉移到本地模塊上實(shí)現，它可以利用本地的交換矩陣，也可以利用整個(gè)交換機的交換矩陣，但是這樣的做法顯然不是最佳的；另一種做法是徹底地將所有數據轉發(fā)的任務(wù)分布到各個(gè)模塊并利用本地的大容量交換矩陣實(shí)現。
     
     　　所以說(shuō)，大容量的分布式交換結構最為有效，萬(wàn)兆交換機不僅應該提供大容量的背板交換矩陣，還應該提供大容量的本地交換矩陣，無(wú)阻塞的并行交換矩陣是目前最為先進(jìn)的技術(shù)。
     
     　　ASIC與FPGA芯片
     
     　　同時(shí)， ASIC提供的是在轉發(fā)數據時(shí)利用專(zhuān)用芯片而不是由CPU來(lái)處理。ASIC的衡量標準就是盡可能在芯片級上處理所有的流量轉發(fā)，但是問(wèn)題在于 ASIC一旦設計之后交換機就不能進(jìn)行修改。所以我們會(huì )選擇處理盡可能多的數據轉發(fā)設計產(chǎn)品，我們會(huì )考慮到 IPv4 的數據包交換和路由、IP組播的數據包，是否能夠實(shí)現芯片級的數據分流和服務(wù)質(zhì)量保證（QoS），是否能夠實(shí)現芯片級的數據限速，數據限速是否可以實(shí)現多種方式以及采用信用制而非門(mén)票制的方式，是否可以實(shí)現策略路由，是否可以實(shí)現訪(fǎng)問(wèn)列表控制（ACL），是否可以實(shí)現新一代 IPv6 的交換和路由，甚至是否可以芯片級采集數據流量等一系列問(wèn)題。優(yōu)秀的ASIC設計體現了交換機設計的最高技術(shù)。
     
     　　但是，有了分布式的交換體系和優(yōu)異的ASIC技術(shù)還遠遠不夠，由于A(yíng)SIC 的技術(shù)一旦實(shí)現則不能更改，那么新的技術(shù)標準、新的應用模式將完全利用 CPU來(lái)處理，而這樣往往給用戶(hù)帶來(lái)性能上的損失和業(yè)務(wù)上的痛苦。解決的辦法可以是購買(mǎi)新一代ASIC設計的模塊，但是硬件升級可能帶來(lái)的是昂貴的追加投資。最新的萬(wàn)兆交換機會(huì )利用現場(chǎng)可編程門(mén)陣列芯片（FPGA）來(lái)解決這一缺陷，將新的標準通過(guò)軟件升級由硬件處理，提供了用戶(hù)投資的最好保護。
     
     　　解決沖突
     
     　　這樣一來(lái)，似乎所有的問(wèn)題都解決了，其實(shí)不然。由于交換機的各個(gè)模塊之間以及它們與中央管理模塊之間是一個(gè)有機的整體，Internet路由信息的分發(fā)、維護需要各個(gè)模塊的參與，并且總會(huì )存在這樣的問(wèn)題: 由于本地硬件芯片尋址不到而需要中央管理模塊的參與，所以交換機的性能會(huì )有所損失。
     
     　　最新的萬(wàn)兆交換機是如何解決這一問(wèn)題的？主要是通過(guò)兩個(gè)途徑：一是將控制通道和數據轉發(fā)通道進(jìn)行分離，二是在各個(gè)接口模塊上使用高性能的CPU參與?？刂仆ǖ篮蛿祿D發(fā)通道的分離就是在交換機上實(shí)現兩個(gè)不同的并行交叉矩陣。這樣，我們所說(shuō)的背板容量將完全用于數據通道的使用，同時(shí)也保障了萬(wàn)兆交換機硬件的安全性，而本地高性能的CPU參與使得中央管理模塊永遠不會(huì )處理涉及各個(gè)接口數據的轉發(fā)，實(shí)現真正意義上的分布式體系結構。
     
     　　當然，萬(wàn)兆以太網(wǎng)的體系結構還有很多因素參與，比如大容量的SDRAM 和TCAM（能夠在一秒鐘實(shí)現10億次以上搜索），比如本地路由方式是否采用基于拓撲結構驅動(dòng)。
     
     　　更重要的是，萬(wàn)兆交換機的軟件是否采用多線(xiàn)程方式，軟件是否提供最新一代的二/三層技術(shù)標準。這些二/三層技術(shù)包含了新一代網(wǎng)絡(luò )的最新需求，比如基于萬(wàn)兆以太網(wǎng)端口的鏈路捆綁，是否提供快速鏈路冗余的各種技術(shù)、是否提供從端口安全性到各種用戶(hù)認證的安全技術(shù)、是否提供完整的IPv4和IPv6的各項規范、是否提供快速BGP路由技術(shù)、是否提供冗余路由協(xié)議、是否提供各項二/三層安全特性、是否提供交換機的防攻擊特性、是否提供交換機本身CPU智能保護、是否所有這些特性都由硬件實(shí)現等。
     
     　　完整的IPv6規范
     
     　　IPv6 提供了各種設備上網(wǎng)而非僅僅是PC和服務(wù)器，同時(shí)克服了目前 IPv4 的一些缺陷，萬(wàn)兆以太網(wǎng)加上 IPv6 的組合，是構建未來(lái)高性能新一代網(wǎng)絡(luò )的必由之路。通常 IPv6 有三種實(shí)現方法:在目前的交換機上用軟件方式實(shí)現；或者采用新的硬件模塊，插入現有的系統之中，從而增強IPv4/IPv6的轉發(fā)性能; 或者是全新設計的IPv6萬(wàn)兆交換機。
     
     　　QoS
     
     　　全面的服務(wù)質(zhì)量QoS保障特性是融入硬件和軟件中的一個(gè)重要特性，萬(wàn)兆交換機通過(guò)提供高容量的端口緩存和每個(gè)端口的多級硬件隊列來(lái)提供QoS的硬件場(chǎng)所，同時(shí)通過(guò)軟件實(shí)現基于數據流的優(yōu)先級分類(lèi)，高端的特性還可以通過(guò)軟硬件實(shí)現數據流的‘上色’和‘著(zhù)色’，例如可以在硬件上重寫(xiě)ToS/DSCP或 802.1p位。
     
     　　這種特性可以應用于流媒體和IP語(yǔ)音的應用上，用戶(hù)可以把具有特定流媒體或IP語(yǔ)音的數據分揀出來(lái)提高（或降低）其優(yōu)先級或特定的數位值，然后自動(dòng)映射到QoS隊列，保障應用服務(wù)或者是根據不同的服務(wù)等級提供相應的服務(wù)質(zhì)量。
     
     　　MPLS是重要的
     
     　　用戶(hù)特征
     
     　　MPLS是另一個(gè)重要的用戶(hù)特性，因為MPLS能夠解決IP網(wǎng)絡(luò )從無(wú)序到有序的轉變，提供了端到端的流量工程和服務(wù)質(zhì)量保障，同時(shí)也提供了二層或者三層的VPN占有網(wǎng)絡(luò )，實(shí)現了網(wǎng)絡(luò )的安全性。但是，MPLS的實(shí)現受制于系統的資源，選擇萬(wàn)兆以太網(wǎng)交換機就會(huì )考慮 MPLS的實(shí)現方式以及MPLS的性能，比如MPLS的VPN數量二層MPLS是否支持多點(diǎn)到多點(diǎn)的VPN方式。
     
     　　安全與流量管理
     
     　　安全性和網(wǎng)絡(luò )流量管理是目前用戶(hù)最為關(guān)注的重點(diǎn)。作為骨干設備，不僅僅需要考慮設備本身的安全防范，同時(shí)還要提供用戶(hù)的防范，就是說(shuō)既要本身免疫能力強，又要提供強有力的阻擊手段來(lái)保護網(wǎng)絡(luò )的用戶(hù)，并且所有的防范都應該是基于硬件來(lái)實(shí)現。但是所有的安全防范都是基于我們已知的攻擊手段和安全漏洞上，如果我們不能監控整個(gè)網(wǎng)絡(luò )，安全性就不會(huì )是完整特性。
     
     　　考慮到萬(wàn)兆交換和路由的高速轉發(fā)，以往通過(guò)CPU采集流量的方法將不可行，而融入ASIC之中的分布式流量采集系統帶來(lái)了萬(wàn)兆交換機的一個(gè)創(chuàng )新。sFlow是目前較為先進(jìn)的流量管理規范，它既能提供IPv4的數據，也能提供IPv6 的數據。如果我們能在不影響性能的前提下提供所有設備的所有流量，那么就可以非常容易地觀(guān)察網(wǎng)絡(luò )的流量，可以是某一個(gè)端口下一個(gè)特定用戶(hù)的活動(dòng)，也可以是當前網(wǎng)絡(luò )上的異常流量。分布式的流量監控系統好比是黑夜里的道路監控系統，難以想像一臺核心的骨干設備缺乏這樣的流量管理系統將會(huì )出現什么樣的后果。
     
     　　測試
     
     　　衡量一臺萬(wàn)兆交換機，首先是測試它是否能夠達到線(xiàn)速轉發(fā)的吞吐量，同時(shí)觀(guān)察端到端的傳輸延遲，一臺優(yōu)秀的萬(wàn)兆交換機應該能夠在加載關(guān)鍵應用的前提下（如組播應用、IPv6 應用、大容量訪(fǎng)問(wèn)列表控制），線(xiàn)速無(wú)阻塞地轉發(fā)數據包，并且保證端到端的數據延遲盡可能地小。其次，衡量萬(wàn)兆交換機還需通過(guò)測試關(guān)鍵協(xié)議，如BGP4的容量、路由收斂和路由震蕩來(lái)檢驗，測試針對攻擊的防范特性、測試流量管理的關(guān)鍵特性。冗余性的測試也非常重要，冗余性包含硬件系統的冗余性和軟件特性的冗余性。
     
     　　可以說(shuō)，選擇萬(wàn)兆以太網(wǎng)交換機不僅僅是幾個(gè)單項功能的選擇，更是一項全面評估的系統選擇。

交換機相關(guān)文章:交換機工作原理