随着新业务类型和新安全威胁的不断出现,企业局域网面临着越来越多的挑战,而应对的方法往往只有提高复杂性。但是,与以往简单地驱动数据业务不同,现在的企业网需要满足多业务融合、移动和安全性方面的基本要求,因此,智能网络成为必然趋势。网络智能化正在影响着几乎所有的网络设备,从最近看,部署在网络边缘的第三层交换机发展变化较为明显。
在这次测试中,我们首次使用了思博伦通信公司(Spirent)最新的Test Center测试仪,对市场上几款典型的三层交换机进行了深入测试。测试结果可为企业用户选择、部署三层交换机提供参考。作为Spirent最新一代测试设备,Test Center体现了整体测试的概念,以往要由多种不同类型的测试设备联合进行的多业务场景测试,如今使用同一设备和同一操作界面就可以实现了,这个特性对运营商进行新一代网络部署和测试至关重要。
技术篇
认识第三层交换
"交换"这个术语最早出现在模拟电话系统中,指的是由电话交换机进行的电话间语音的信号交换,属于"电路交换"范畴,即在通信双方节点之间建立一个电路,在通信结束后释放电路。而以太网交换机则基于分组交换技术,是一种高效的带宽复用技术,它将数据流量按长度分割成为若干分组,每个分组标识后,在一条物理线路上采用动态复用的技术,同时传送多个数据分组。需要指出的是,分组交换本质上是面向无连接的,这也造成了在实现话音等实时业务时,当前的以太网交换机在服务质量保障(QoS)机制方面的高度复杂性。
"第三层"的概念来自ISO的OSI(开放系统连接)七层网络参考模型。自下而上,第一层为物理层,定义通过网络设备发送数据的物理方式,以及光学、电气和机械特性。物理层的典型网络设备是中继器(Repeater),也就是信号放大器,用来解决信号随传输距离增加而衰减的问题。第二层是数据链路层,定义操作通信连接的过程,负责数据帧的封装,以及数据包传输错误的监测和纠正。二层交换机的典型网络设备是网桥和二层交换机。传统的以网交换机由网桥发展而来,它是一个可以将通信双方的物理地址进行匹配的网络设备,该设备可以根据数据单元中的头信息,将来自一个或多个输入端口的信元或帧移动到一个或多个输出端口,完成信息发送过程的交换。第二层交换机的最大好处是数据传输快,因为它仅需要识别数据帧中的MAC地址(即网络接口的物理地址),而直接根据MAC地址产生选择转发端口的算法又十分简单,适合用ASIC芯片实现。二层交换机只能基于数据包的最外围信息(主要是MAC地址)进行处理,虽然也能支持子网划分和广播限制等基本功能,但在对流量处理和控制方面的能力非常有限。
最先出现的第三层设备是路由器,它根据路由协议来实现路由功能--即IP网络间的数据转发功能。在主干网上,路由器的主要作用是路由选择。在城域网中,路由器的主要作用是网络连接和路由选择,负责下级网络之间的连接和数据转发。而在园区网中,路由器的主要作用是隔离子网间的广播风暴,简化网络管理,并阻止未授权子网的接入。路由器功能较复杂,所以只能利用软件来完成,因此性能有限。
事实上,性能和功能通常是一对矛盾,而二层交换机和路由器可以说是这个矛盾的一种典型体现。交换机交换速度快,但控制功能弱;路由器控制性能强,但报文转发性能差。而三层交换机的出现使这对矛盾在一定程度上达到了平衡。
第三层交换机实际结合了二层交换机与路由器的功能,它既可以完成端口交换功能,又可完成部分路由器的路由功能。两个处于不同子网的节点通过三层交换机通信时,首个数据包必须经过三层交换机中的路由处理器进行路由才能到达目的节点,但是此后这两个节点通信的数据包,就不必再经过路由处理器处理了,这是由于三层交换机有记忆路由的功能。三层交换机的路由记忆功能是由路由缓存来实现的。当一个数据包发往三层交换机时,三层交换机首先在它的缓存列表里进行检查,看看路由缓存里有没有记录,如果有记录就直接调取缓存的记录进行路由,而不再经过路由处理器进行处理,这种数据包的路由速度就大大提高了。如果三层交换机在路由缓存中没有发现记录,再将数据包发往路由处理器进行处理,处理之后再转发数据包。当然,三层交换机在路由协议支持和广域网连接方面都无法和路由器相比,因此不会完全替代路由器。但在局域网中,随着第三层交换技术的不断发展与创新,三层交换机已经逐渐取代了企业路由器的地位。
需要指出的是,如今的"三层"交换机往往具有网络层之上更高层次的控制功能,例如基于第四层的基于协议类型和端口号的流量处理,甚至能对基于应用层(第七层)的内容进行过滤。但这些更高层的功能往往仅起到辅助性作用,其本质功能仍然集中在第三层和第二层,因此,我们仍称其为三层交换机。
透视交换机主流技术
由于三层以太网交换机的复杂性日益提高,如今企业用户在选购时经常会对设备所支持的各种协议和特性感到迷惑。的确,从实际应用的情况看,往往有相当一部分特性在设备的整个生命周期都没有机会发挥作用,在一定的需求背景下,这些特性又成为解决问题的必要手段。适当了解这些特性对于合理地应用三层交换机有很大的帮助。为此,我们列表对三层交换机的主流特性进行了简单的介绍。如下表所示。
在表1所列的各项特性中,如今被广为使用的是虚拟局域网(VLAN)技术。VLAN可以在二层或者三层交换机上实现有限的广播域,它可以把网络分成多个独立的区域,可以控制这些区域是否可以通信。VLAN可能跨越一个或多个交换机,与它们的物理位置无关,设备之间好像在同一个网络间通信一样。VLAN可基于端口、MAC地址、IP地址等各种条件来建立,可以用来限制各个不同VLAN之间的非授权访问,可抑制广播风暴。此外,三层交换机日益受到重视的是安全特性和融合特性。
产品篇
本次测试征集了三款市场上典型的三层交换机产品进行测试,分别是ProCurve 5406zl、NETGEAR GSM7352S和D-Link DGS 3324SRi。
ProCurve 5406zl
"ProCurve Networking by HP"多年来一直在积极倡导适应性边缘构架(Adaptive Edge Architecture,AEA),AEA以旗帜鲜明地强调智能边缘著称,提倡以一个统一的途径处理安全性、移动性和集成性之间的相互关系的构架,以来自中心的命令控制边缘,也就是将第2~4 层网络流量的处理功能置于边缘交换机中,实现接入访问和流量的控制。在AEA中,这次送测的ProCurve 5400正是网络边缘智能的执行者。ProCurve 5400基于ProCurve实验室的ProVision ASIC技术,均可提供线速千兆和万兆性能,且标配有集成千兆 PoE。ProCurve 5406zl是5400 机箱系列的6 插槽型号,于今年年初上市,可提供包含多达 48个千兆 PoE 端口。它配备冗余电源,配合使用 ProCurve Manager ,可实现自动控制和性能改进。ProVision ASIC 技术是由ProCurve实验室自主开发的,专为 ProCurve 5400 和 3500 系列设计的,可以实现为网络边缘提供智能及控制。ProVision ASIC 提供当前需要的全部性能和功能,并可根据未来应用的需要进行升级。通过ProVision ASIC客户可以实现线速策略执行功能,凭借策略执行引擎,网络管理员可基于硬件严格控制访问及流量,从而保护、检测并响应网络威胁,同时不影响网络性能;通过内置的可编程网络处理器,能够实现线速深入包分析并实现基于硬件的新功能,从而更好地保护用户投资。
ProCurve 5406zl是当前市场上功能比较丰富的主流三层交换机产品之一。它支持几乎所有主流技术和协议,具有良好的标准兼容性,与其他产品相比,它所具有的 ProVision ASIC技术,能够更好地对流量内容进行检测和控制,提供更高级别的策略执行能力以及更好的安全性。此外,配合ProCurve Identity Driven Manager(IDM)软件,能够在企业网环境中无缝实现安全、自动的基于用户身份的访问控制。
作为一款机箱式三层交换机,ProCurve 5406zl提供了6个插槽,这次送测的配置中包括两个J8705A模块,J8705A提供了20个千兆铜线接口以及4个mini-GBIC千兆光纤接口,所有的铜线接口不仅支持MDI/MDI-X极性自适应,还提供以太网供电(PoE)的支持,为企业用户部署IP话机等设备提供了极大的便利。在管理方面,除了命令行界面之外,ProCurve 5406zl还提供了基于文本界面的菜单系统,使交换机的维护和配置工作得到简化。当然,对于需要管理多台设备的用户来说,ProCurve Manager Plus是更加有效的管理工具。在该设备送测时发生了一个小插曲,由于J8705A模块较新,而机箱固件(Firmware)版本较早,因此无法通过初始化,初步的电话沟通后,ProCurve的支持人员很快确定了问题所在并提供了解决方法。由于ProCurve 5406zl没有管理模块或接口,因此我们通过XModem协议顺利升级了Firmware,解决了初始化问题。
吞吐量测试结果图
本次测试中,我们首次使用TestCenter 2000A来进行三层性能测试,我们分别测试了全网状条件下,128字节、512字节和1518字节包长线速处理能力。ProCurve 5406zl的表现出色,在所有包长下通过了100%的端口线速测试,如吞吐量测试结果图所示,并自始至终表现得非常稳定。
NETGEAR GSM7352S ProSafe
随着千兆桌面技术的发展,用户对于千兆交换机端口密度的要求在不断提高,而GSM7352S ProSafe就是一款高密度的全千兆网管三层交换机,它在1U尺寸内提供了48个全千兆网络接口,其中8个为与SFP插槽复用的Combo口。此外,在后面板上还提供了4个可扩展的I/O模块插槽位置,可用于连接4个AX742 24千兆堆叠模块,最多支持8台交换机使用统一地址管理。或用于连接AX741 XFP万兆以太网光纤模块。
GSM7352S尺寸为440mm×385mm×43mm,地址表容量为8000,标称背板带宽为196Gbps,在二层特性方面,GSM7352S支持IEEE 802.1Q 静态VLAN、IEEE 802.1p CoS、IEEE 802.1D 生成树协议、IEEE 802.1w快速生成树协议(RSTP)、IEEE 802.1s MSTP、IEEE802.3ad链路聚合(LACP)。在三层特性方面,它支持VLAN间路由、RIP v1/v2、OSPF v2、VRRP、ACL、DiffServ QOS以及DHCP/Bootp中继。在管理和安全特性方面,GSM7352S支持端口镜像、SNMP v1/v2/v3、RMON、MIB/MIB II、RADIUS client、Syslog和广播风暴抑制。
值得一提的是在管理界面方面,除了命令行管理、SSH(v1/v2)管理之外,GSM7352S还继承了NETGEAR在易用性方面的一贯优势,提供了基于Web的管理界面,作为一款ProSafe交换机,在Web管理方面,它提供了SSLv3/TLSv1.0的体层加密支持,从而确保了管理流量的安全性。
这款设备突出的优势是文档清晰,易用性强,将随带文档光盘放入光驱,即可以看到弹出引导选单,如图1所示,选择其中的Quick Install Guide,阅读两页文档,连接串口终端配置IP,然后通过浏览器连接交换机的Web管理界面,如图2所示。所有这些,在5分钟之内就可以轻松完成,不需要任何其他的专用管理软件,就可以在Web界面中完成几乎所有功能的配置,这几乎使得配置三层交换机就像配置家用网络设备一样简单。当然,在网络管理员群体中,一定会有不少人仍会坚持选择命令行界面(CLI),因为对于熟练用户来说,结合命令历史、命令行编辑等功能,CLI仍然会是最有效率的手段。
图1 引导选单
图2 Web管理界面
在性能测试中,NETGEAR GSM 7352S顺利通过了基于Spirent TestCenter的线速三层转发能力测试,如吞吐量测试结果图所示。
D-Link S-3324SRi
D-Link的"虚拟机箱"应用模式为用户提供了一种在端口密度、连接性能、灵活性和价格上较为均衡的解决方案。而DGS-3324Sri正是这一模式的主交换机,使用了具有40Gbps 交换带宽的xStack技术,而且既可采用菊花链堆叠,也可采用星形堆叠。当然,DGS-3324Sri本身还是一台具有24口铜缆及光纤连接的高端口密度千兆交换机。这款交换机可以作为高性能的扩展交换构架和D-Link的DGS-3324SR堆叠交换机一起工作,并且把堆叠互连带宽从20Gbps提高到120Gbps。
DGS-3324SRi有6个工作在全双工模式的堆叠端口,允许6台DGS-3324SR通过失效保护的星型架构堆叠在一起。用户可以通过增加堆叠单元使每个堆叠最大端口数达到168个千兆端口。交换机通过提供多条千兆连接的高速堆叠线缆堆叠在一起,允许整个堆叠被当做一个IP实体来操作。用户能很容易地在每个交换机的前面板上看到由7段显示组成的交换机在堆叠组中的ID号。
送测的这台机器除了24个10/100/1000BASE-T千兆口用于千兆连接之外,还提供了8个SFP(mini GBIC)端口用于光纤连接。
DGS-3324SRi支持802.3ad链路聚合标准,允许8个千兆端口结合在一起,形成一个多链路、负载均衡的聚合带宽。每台DGS-3324SRi最多提供32个端口干路。
在QoS方面,这款交换机不仅支持802.1p优先队列控制,而且有多种手段来为数据包设置优先级。从第二层到第四层的多层信息都能被用来为数据包设置优先级。DGS-3324SRi支持两种数据包传输时序:严格的优先级排队和加权圆桌排队(WRR)。用户可以选择使用严格的优先级排队技术来严格地执行你的优先级队列,或者使用 WRR来解决高峰时期的带宽局限性。WRR允许给每个队列标识不同的占用端口带宽的百分比,这样,低优先级队列不会被拒绝访问缓冲区和端口带宽。
在安全和访问控制方面,DGS-3324Sri支持802.1x,并提供了强大的访问控制列表(ACL)功能,允许网络管理员定制一个关于网络流量控制的策略。
图1 RS-232接口
作为一款企业级产品,DGS3324SRi在细节上也做得非常人性化,和NETGEAR GSM 7352S一样,它在RS-232接口下方注明了参数,如图1所示。用户即使丢失说明书,也不必费尽周折在超级终端中试验各种参数组合。值得一提的是,这款设备还提供了一本简体中文的快速安装手册。
在使用界面方面,DGS 3324SRi同样提供了基于Web的管理界面,如图2所示,并且在响应速度方面非常出色。需要指出的是,用户在Web界面中能够实现恢复出厂设置的功能,从而弥补了这款设备没有提供重置按钮的不足。
图2 D-Link界面
同样,这款设备顺利通过了基于Spirent TestCenter的线速三层转发能力测试。如吞吐量测试结果图所示。
测试手记:体验整合测试
这次测试中,我们首次使用了Spirent新一代的整合测试设备TestCenter 2000A,以及相应的测试软件Spirent TestCenter 1.20,如右图所示。在以往使用SmartBits系列测试仪所进行的测试中,不同类型的测试需要使相应的软件来完成,例如,吞吐量性能测试主要使用 SmartFlow,而路由性能测试则主要使用TeraRouting,二层相关的测试多会用到AST II。这种方式虽然简单,但也给用户造成了不少麻烦。因为各个软件的界面和风格不同,用户往往在掌握多个软件的使用方面耗费了不少时间,此外,当需要同时进行多个不同方面的测试时,用户缺乏必要的统一调度和同步手段。而新一代的Spirent TestCenter则解决了这些问题,它把以往需要多种应用完成的功能整合到了一个统一的界面中,用户只需要掌握一个软件,就可以完成以上提及的多种测试。例如,在TestCenter中,三层交换相关的测试被整合到了RFC2544测试集中,而二层相关的测试被整合到了RFC2889相关的测试集中,在测试方案生成方面,各种类型的测试被纳入到同一框架中,从而使对同一部设备进行全面测试的时间极大缩短,提高了测试人员的工作效率。令我们兴奋的是,据 Spirent的技术人员称,下一个版本的TestCenter将整合应用层测试仪Avalanche的功能。一旦能够在同一界面中同时操作数据链路层、网络层和应用层的测试,我们将有条件创造出更加接近真实使用环境的模拟环境,更重要的是,我们将能够完成网络设备融合业务承载能力的分析与测试。举例来说,我们将能够构建话音、数据和视频流在统一网络介质中传输时的流量环境,分析网络设备对于多业务的处理能力,以及QoS机制的有效性。
当然,在测试中我们也发现了TestCenter的若干不足,新的应用程序或许是由于整合了过多的功能,在运行上需要更多的系统资源,在配备了1GB内存的PC机上运行仍略显吃力。此外,在测试结果的报表生成能力方面,以及随机文档的完整性方面,TestCenter仍没有达到原有相关应用的水平。