萬兆交換機中的新一代技術(shù)

    作為兼容于以往的最新以太網(wǎng)技術(shù)，萬兆以太網(wǎng)不僅僅是以太網(wǎng)的“高速翻版”，萬兆以太網(wǎng)第一次提出了萬兆廣域以太網(wǎng)技術(shù)，第一次實現(xiàn)了私有網(wǎng)絡(luò)到公眾網(wǎng)絡(luò)的融合。同樣，作為網(wǎng)絡(luò)的核心設(shè)備，萬兆以太網(wǎng)交換機也不僅僅是在已有的千兆以太網(wǎng)交換機上支持萬兆的接入模塊，它需要新一代的系統(tǒng)設(shè)計，包括從交換機體系結(jié)構(gòu)、二/三層技術(shù)的更新，到下一代 IPv6 的缺省支持和有效的帶寬管理。本文將探討這些新一代的技術(shù)。
     
     　　近年來，從局域網(wǎng)到城域網(wǎng)，從城域網(wǎng)到廣域網(wǎng)，以太網(wǎng)技術(shù)以驚人的速度正占據(jù)著越來越多的市場，尤其在企業(yè)網(wǎng)絡(luò)和運營商網(wǎng)絡(luò)中，以太網(wǎng)技術(shù)越來越多地成為毫無爭議的選擇。從快速以太網(wǎng)到千兆以太網(wǎng)，再到萬兆以太網(wǎng)，技術(shù)上的更新滿足了新一代互聯(lián)網(wǎng)技術(shù)所帶來的高速帶寬增長和新一代應(yīng)用的需求。
     
     　　以下我們來看一下萬兆以太網(wǎng)交換機中的新一代技術(shù)。
     
     　　分布式的交換體系
     
     　　用戶投資購買萬兆以太網(wǎng)交換機，是因為需要能夠在任何情況下線速處理數(shù)據(jù)包的轉(zhuǎn)發(fā)，需要能夠處理新一代的互聯(lián)網(wǎng)應(yīng)用，如組播應(yīng)用、流媒體應(yīng)用、IP語音、下一代互聯(lián)網(wǎng)IPv6應(yīng)用；同時也需要交換機能夠提供最好的投資保護、能夠占用最少的機架空間、能夠盡量地節(jié)省電量、能夠看得見用戶的流量等。
     
     　　顯然，千兆交換機不能容納大容量萬兆端口的線速轉(zhuǎn)發(fā)，目前的千兆交換機只能夠提供幾十到幾百個G的吞吐量，而新一代的萬兆交換機能夠提供每秒處理一千個G以上的吞吐。由于如此大的數(shù)據(jù)吞吐用最高的CPU也不能實現(xiàn)線速轉(zhuǎn)發(fā)，所以我們需要專用的網(wǎng)絡(luò)集成電路芯片（ASIC），同時需要將數(shù)據(jù)轉(zhuǎn)發(fā)的任務(wù)分布到各個模塊上實現(xiàn)。
     
     　　分布式系統(tǒng)有不同的實現(xiàn)方式，一種是在傳統(tǒng)的交換機技術(shù)上將常用的任務(wù)轉(zhuǎn)移到本地模塊上實現(xiàn)，它可以利用本地的交換矩陣，也可以利用整個交換機的交換矩陣，但是這樣的做法顯然不是最佳的；另一種做法是徹底地將所有數(shù)據(jù)轉(zhuǎn)發(fā)的任務(wù)分布到各個模塊并利用本地的大容量交換矩陣實現(xiàn)。
     
     　　所以說，大容量的分布式交換結(jié)構(gòu)最為有效，萬兆交換機不僅應(yīng)該提供大容量的背板交換矩陣，還應(yīng)該提供大容量的本地交換矩陣，無阻塞的并行交換矩陣是目前最為先進的技術(shù)。
     
     　　ASIC與FPGA芯片
     
     　　同時， ASIC提供的是在轉(zhuǎn)發(fā)數(shù)據(jù)時利用專用芯片而不是由CPU來處理。ASIC的衡量標(biāo)準(zhǔn)就是盡可能在芯片級上處理所有的流量轉(zhuǎn)發(fā)，但是問題在于 ASIC一旦設(shè)計之后交換機就不能進行修改。所以我們會選擇處理盡可能多的數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)計產(chǎn)品，我們會考慮到 IPv4 的數(shù)據(jù)包交換和路由、IP組播的數(shù)據(jù)包，是否能夠?qū)崿F(xiàn)芯片級的數(shù)據(jù)分流和服務(wù)質(zhì)量保證（QoS），是否能夠?qū)崿F(xiàn)芯片級的數(shù)據(jù)限速，數(shù)據(jù)限速是否可以實現(xiàn)多種方式以及采用信用制而非門票制的方式，是否可以實現(xiàn)策略路由，是否可以實現(xiàn)訪問列表控制（ACL），是否可以實現(xiàn)新一代 IPv6 的交換和路由，甚至是否可以芯片級采集數(shù)據(jù)流量等一系列問題。優(yōu)秀的ASIC設(shè)計體現(xiàn)了交換機設(shè)計的最高技術(shù)。
     
     　　但是，有了分布式的交換體系和優(yōu)異的ASIC技術(shù)還遠遠不夠，由于ASIC 的技術(shù)一旦實現(xiàn)則不能更改，那么新的技術(shù)標(biāo)準(zhǔn)、新的應(yīng)用模式將完全利用 CPU來處理，而這樣往往給用戶帶來性能上的損失和業(yè)務(wù)上的痛苦。解決的辦法可以是購買新一代ASIC設(shè)計的模塊，但是硬件升級可能帶來的是昂貴的追加投資。最新的萬兆交換機會利用現(xiàn)場可編程門陣列芯片（FPGA）來解決這一缺陷，將新的標(biāo)準(zhǔn)通過軟件升級由硬件處理，提供了用戶投資的最好保護。
     
     　　解決沖突
     
     　　這樣一來，似乎所有的問題都解決了，其實不然。由于交換機的各個模塊之間以及它們與中央管理模塊之間是一個有機的整體，Internet路由信息的分發(fā)、維護需要各個模塊的參與，并且總會存在這樣的問題: 由于本地硬件芯片尋址不到而需要中央管理模塊的參與，所以交換機的性能會有所損失。
     
     　　最新的萬兆交換機是如何解決這一問題的？主要是通過兩個途徑：一是將控制通道和數(shù)據(jù)轉(zhuǎn)發(fā)通道進行分離，二是在各個接口模塊上使用高性能的CPU參與。控制通道和數(shù)據(jù)轉(zhuǎn)發(fā)通道的分離就是在交換機上實現(xiàn)兩個不同的并行交叉矩陣。這樣，我們所說的背板容量將完全用于數(shù)據(jù)通道的使用，同時也保障了萬兆交換機硬件的安全性，而本地高性能的CPU參與使得中央管理模塊永遠不會處理涉及各個接口數(shù)據(jù)的轉(zhuǎn)發(fā)，實現(xiàn)真正意義上的分布式體系結(jié)構(gòu)。
     
     　　當(dāng)然，萬兆以太網(wǎng)的體系結(jié)構(gòu)還有很多因素參與，比如大容量的SDRAM 和TCAM（能夠在一秒鐘實現(xiàn)10億次以上搜索），比如本地路由方式是否采用基于拓撲結(jié)構(gòu)驅(qū)動。
     
     　　更重要的是，萬兆交換機的軟件是否采用多線程方式，軟件是否提供最新一代的二/三層技術(shù)標(biāo)準(zhǔn)。這些二/三層技術(shù)包含了新一代網(wǎng)絡(luò)的最新需求，比如基于萬兆以太網(wǎng)端口的鏈路捆綁，是否提供快速鏈路冗余的各種技術(shù)、是否提供從端口安全性到各種用戶認(rèn)證的安全技術(shù)、是否提供完整的IPv4和IPv6的各項規(guī)范、是否提供快速BGP路由技術(shù)、是否提供冗余路由協(xié)議、是否提供各項二/三層安全特性、是否提供交換機的防攻擊特性、是否提供交換機本身CPU智能保護、是否所有這些特性都由硬件實現(xiàn)等。
     
     　　完整的IPv6規(guī)范
     
     　　IPv6 提供了各種設(shè)備上網(wǎng)而非僅僅是PC和服務(wù)器，同時克服了目前 IPv4 的一些缺陷，萬兆以太網(wǎng)加上 IPv6 的組合，是構(gòu)建未來高性能新一代網(wǎng)絡(luò)的必由之路。通常 IPv6 有三種實現(xiàn)方法:在目前的交換機上用軟件方式實現(xiàn)；或者采用新的硬件模塊，插入現(xiàn)有的系統(tǒng)之中，從而增強IPv4/IPv6的轉(zhuǎn)發(fā)性能; 或者是全新設(shè)計的IPv6萬兆交換機。
     
     　　QoS
     
     　　全面的服務(wù)質(zhì)量QoS保障特性是融入硬件和軟件中的一個重要特性，萬兆交換機通過提供高容量的端口緩存和每個端口的多級硬件隊列來提供QoS的硬件場所，同時通過軟件實現(xiàn)基于數(shù)據(jù)流的優(yōu)先級分類，高端的特性還可以通過軟硬件實現(xiàn)數(shù)據(jù)流的‘上色’和‘著色’，例如可以在硬件上重寫ToS/DSCP或 802.1p位。
     
     　　這種特性可以應(yīng)用于流媒體和IP語音的應(yīng)用上，用戶可以把具有特定流媒體或IP語音的數(shù)據(jù)分揀出來提高（或降低）其優(yōu)先級或特定的數(shù)位值，然后自動映射到QoS隊列，保障應(yīng)用服務(wù)或者是根據(jù)不同的服務(wù)等級提供相應(yīng)的服務(wù)質(zhì)量。
     
     　　MPLS是重要的
     
     　　用戶特征
     
     　　MPLS是另一個重要的用戶特性，因為MPLS能夠解決IP網(wǎng)絡(luò)從無序到有序的轉(zhuǎn)變，提供了端到端的流量工程和服務(wù)質(zhì)量保障，同時也提供了二層或者三層的VPN占有網(wǎng)絡(luò)，實現(xiàn)了網(wǎng)絡(luò)的安全性。但是，MPLS的實現(xiàn)受制于系統(tǒng)的資源，選擇萬兆以太網(wǎng)交換機就會考慮 MPLS的實現(xiàn)方式以及MPLS的性能，比如MPLS的VPN數(shù)量二層MPLS是否支持多點到多點的VPN方式。
     
     　　安全與流量管理
     
     　　安全性和網(wǎng)絡(luò)流量管理是目前用戶最為關(guān)注的重點。作為骨干設(shè)備，不僅僅需要考慮設(shè)備本身的安全防范，同時還要提供用戶的防范，就是說既要本身免疫能力強，又要提供強有力的阻擊手段來保護網(wǎng)絡(luò)的用戶，并且所有的防范都應(yīng)該是基于硬件來實現(xiàn)。但是所有的安全防范都是基于我們已知的攻擊手段和安全漏洞上，如果我們不能監(jiān)控整個網(wǎng)絡(luò)，安全性就不會是完整特性。
     
     　　考慮到萬兆交換和路由的高速轉(zhuǎn)發(fā)，以往通過CPU采集流量的方法將不可行，而融入ASIC之中的分布式流量采集系統(tǒng)帶來了萬兆交換機的一個創(chuàng)新。sFlow是目前較為先進的流量管理規(guī)范，它既能提供IPv4的數(shù)據(jù)，也能提供IPv6 的數(shù)據(jù)。如果我們能在不影響性能的前提下提供所有設(shè)備的所有流量，那么就可以非常容易地觀察網(wǎng)絡(luò)的流量，可以是某一個端口下一個特定用戶的活動，也可以是當(dāng)前網(wǎng)絡(luò)上的異常流量。分布式的流量監(jiān)控系統(tǒng)好比是黑夜里的道路監(jiān)控系統(tǒng)，難以想像一臺核心的骨干設(shè)備缺乏這樣的流量管理系統(tǒng)將會出現(xiàn)什么樣的后果。
     
     　　測試
     
     　　衡量一臺萬兆交換機，首先是測試它是否能夠達到線速轉(zhuǎn)發(fā)的吞吐量，同時觀察端到端的傳輸延遲，一臺優(yōu)秀的萬兆交換機應(yīng)該能夠在加載關(guān)鍵應(yīng)用的前提下（如組播應(yīng)用、IPv6 應(yīng)用、大容量訪問列表控制），線速無阻塞地轉(zhuǎn)發(fā)數(shù)據(jù)包，并且保證端到端的數(shù)據(jù)延遲盡可能地小。其次，衡量萬兆交換機還需通過測試關(guān)鍵協(xié)議，如BGP4的容量、路由收斂和路由震蕩來檢驗，測試針對攻擊的防范特性、測試流量管理的關(guān)鍵特性。冗余性的測試也非常重要，冗余性包含硬件系統(tǒng)的冗余性和軟件特性的冗余性。
     
     　　可以說，選擇萬兆以太網(wǎng)交換機不僅僅是幾個單項功能的選擇，更是一項全面評估的系統(tǒng)選擇。

交換機相關(guān)文章:交換機工作原理