AdminInternet的发展瞬息万变,为应付不断增加的负载和新的应用需求,Web交换机应运而生,为数据中心设备(包括Internet服务器、防火墙、高速缓冲服务器和网关等)提供管理、路由和负载均衡传输。不同于传统网络设备的是,传统网络设备注重高速完成单个帧和数据包的交换,而Web交换侧重于跟踪和处理Web会话。除了由传统第二/三层交换机所提供的连接和封包路由外,Web交换机还可提供传统局域网交换机和路由器所缺乏的完备策略,将局部和全球服务器负载均衡、存取控制、服务质量保证(QoS)以及带宽管理等管理能力结合起来。目前,Web交换机已由纯粹的传输层(第四层)设备发展到具有基于内容(第七层)的交换的智能。利用内容或用户分类进行Web请求重定向是Web服务器的一项功能。不过,Internet传输和商业的发展远远超过计算机处理能力的提高。把内容分类卸到Web交换机可平衡整个网站的基础设施,下表以Alteon公司的产品为例介绍Web交换机产品。
交换机应用分析
1.大型企业(500节点以上):大型企业具有跨地域、跨行业、多层次和全方位等特点, 业务内容覆盖面广,网络数据传输量大,数据交换能力强,首先要满足企业内部通信的 需要, 建立网络平台。并且要求网络系统不宕机,稳定可靠,不间断运行。要在注重考虑高性能、可管理性、高可靠性、适用性和性能价格比的基础上选择产品。
2.邮电行业:电信系统由于其经营特点和为公众服务的目的,决定了电信系统机构在地理位置上分布范围广,提供业务多而且不断更新。网络设备要求更是严格,一般网络设备选型为广域网产品。
3.铁路系统:铁路系统一般对广域网通信要求较高,各个站点的节点数不是特别多,所以各站点在建设局域网进行设备选型时可考虑选择部门级交换机或工作组级交换机。
4.银行业:该行业支行分布范围广,业务活动频繁,业务品种变化多,业务量增长快,因此对稳定性和响应时间要求比较高。由于该行业对数据敏感性特别高,因此要求有链路冗余,传输链路应具有备份功能,一旦主线路发生故障,备份线路可立即替换。所以要求网络设备处理能力强、容错性能好,并考虑好扩展性、可用性及可靠性。
5.证券业:该行业具有迅速、及时响应和稳定、安全、可靠、不间断运行的特点。设备选型要求背板速度快、冗余性能好、可管理及可堆叠,并充分考虑好设备的可开放性、可扩展性、可用性和可靠性。
6.教育行业:该行业对数据的关键性要求不是很高,涉及到多媒体教学、视频点播等主要应用,设备选型时要考虑到高带宽、高可用性及高扩展性。
7.中小型企业:对于企业的网络节点数少于500点的中小型企业,在创建企业Intranet时,由于企业内部数据流量不大,实时响应性不高,同时考虑到企业的可持续性发展,应注重网络设备的通用性、可靠性、可管理性、可扩充性及性能价格比。
总之,网络已经改变,用户却希望网络总是可以工作并且总是透明的。适应这种需求需要有弹性、速度和安全的控制。Internet 及Intranet已经使企业将注意力集中到最重要的东西——信息上,而不是基础结构上。通过策略控制网络是新的网络技术范例。控制方式使网络变得透明并保持配置 Intranet的灵活性。通过交换技术,能满足用户今天及未来的商业需求。而灵活的组网、线速性能以及完全的扩展性能使设备配置长期有效。
Web交换机为防火墙分忧解愁
Web交换技术的进步不仅仅优化了Web服务器,同时它还可以用来解决当前防火墙引起的一些问题。 尽管防火墙在防止网络入侵方面具有很高的效率,并已成为提交安全Web站点和服务的关键因素,但是,所有这些安全性都是以很高代价取得的。简言之,防火墙会限制性能和可伸缩性。由于防火墙是会造成单故障点的在线设备,因此它会降低网络的可用性。
将防火墙技术与新出现的Web交换技术相结合可以使防火墙的性能、可用性和可伸缩性得到极大的改善。 最常用的防火墙由安装在一台服务器上的软件构成。这台服务器上安装了两块网卡,并被插入到数据路径上。其中的一块网卡连接到网络的公共端,公共端通常为与Internet相连的路由器(即所谓防火墙的“不洁”端)。另一块网卡与必须保护的资源相连(即所谓防火墙的“清洁”端)。
防火墙安装在数据路径上,因此限制了网络的性能和可伸缩性,原因是所有通过不洁端和清洁端的数据流都必须流过防火墙。防火墙使用过滤技术和其它由网络管理人员预先设定的策略,对每个数据包进行检查。 问题是最适于防火墙的处理结构并不适于检查高容量的数据包。扩展防火墙的性能十分困难,因为它通常涉及到成本的高昂升级:使用更高性能的配置及目前功能最强大处理器的服务器。 新出现的Web交换技术被人们普遍认为是扩展防火墙容量、提高防火墙设备总体可用性的解决方案。在实现防火墙负载平衡时,需要使用两台Web 交换机:一台安装在防火墙的清洁端,另一台安装在不洁端。每台Web交换机都将输入的IP流通过防火墙发向另一端的对应Web交换机。这样就实现了在几个防火墙上的负载平衡,因此,使防火墙可以并行运行,扩展了防火墙的性能,并且消除了防火墙成为单故障点的可能。
与传统的包交换机不同,Web交换机具有保持以太网和千兆以太网速率传输的不同TCP会话的能力。由于防火墙是一种状态性(stateful)的设备,因此,所有与建立会话相关的数据包都要流过相同的防火墙。Web交换机智能地保持流经防火墙的数据流的状态信息,因而保证了所有在特定IP源/目的地址对之间传输的数据流都流过同一个防火墙。反过来,这也保证了防火墙建立的会话持续性。
防火墙负载平衡技术也可以被用来减少防火墙需要完成的数据流过滤功能的工作量,这正是实施“非军事区”(DMZ)技术的主要优点。在DMZ中保存象Internet这类Web服务器要求公共访问的资源。Web交换机需要具有数据流过滤功能来确定哪些数据包应当被传送到DMZ,哪些应当穿过防火墙。从防火墙上去除掉过滤功能大大提高了防火墙性能,加快了用户数据流的速度。
Web交换机被配置为允许或拒绝对DMZ服务器访问的过滤器,以这种方式实现了两级水平的安全性:一级利用配置在Web交换机上的过滤器对访问进行限制,另一级通过由防火墙进行的状态检查限制访问。 为保持防火墙的高可用性,Web交换机利用连续地向防火墙另一端的对应Web交换机上的每个端口发送强制回应命令(ping)来监控防火墙的“健康”情况。如果防火墙或Web交换机端口出现故障,数据流就被分配到其余的“健康”Web交换机端口和相关的防火墙上。
防火墙负载平衡利用新型Web交换技术解决了由防火墙引起的许多性能问题和可伸缩性问题。这项技术使防火墙可以并行地运行,在不用进行重大升级的条件下,大大提高了效率,扩展了性能,并消除了防火墙成为单故障点的可能。
免责声明:本站文字信息和图片素材来源于互联网,仅用于学习参考,如内容侵权与违规,请联系我们进行删除,我们将在三个工作日内处理。联系邮箱:chuangshanghai#qq.com(把#换成@)