变革中的网络
伴随网络的不断发展,当前的网络正发生着深刻的变化。可以说网络正处于一个变革时期。
首先是网络流量不断增长,一方面是伴随IP一统互联网之后,网络业务层出不穷,网络应用模式不断增加,基数庞大的用户对网络的依赖越来越重,互联网成为人们的主要通讯手段之一,从而导致的网络流量全球性增长。另一方面是宽带互联网开始普及,使得视频、PtoP等大流量业务的用户数量大幅增加,从而引发流量的爆炸性增长。同时中国互联网用户数量已经超过日本和欧洲,成为世界互联网用户数的第二大国,国内互联网流量增长速度超过全球的平均增长速度。在这种流量的高速增长下,网络设备的性能日益收到关注,核心设备的交换能力不断翻升以满足流量增长对网络设备的需求。
另外互联网的新业务不断出现,例如前些年还是“只听楼梯响不见人下来”的视频业务已经迅速普及到普通用户,IP电话/MSN/QQ等即时通讯系统等新业务也不断涌现,同时网络基础平台也开始发生变化MPLS开始在运营商和部分行业用户中大规模部署,网络也开始从IPV4开始向IPV6迁移。可以说网络中的业务在不断增加,网络建设模式在不断改变,这些均对网络基础设施的业务提供能力提出了一定要求,同时也开始要求网络设备可以通过软件的升级不断提供新的业务处理能力。例如原有的简单的NAT功能不能满足MSN/QQ的一些扩展功能,这时更换网络中的NAT设备将导致投资不能得到保护,而如果网络设备可以通过升级支持这些功能将有效的保护网络投资。另外例如原有的网络设备不能支持IPV6,当我们将网络升级到IPV6时就必须更换设备。如果设备可以通过增加一个模块或通过简单的网络编程即可提供IPV6的能力,那么同样将有效的保护网络投资。只有提供强大可编程能力的网络设备,我们所采用的网络设备才能在业务和建网模式不断改变的情况下具有强大的生命力。
在互联网的流量和业务飞速发展的同时网络也出现了很大的负面问题,也就是网络安全问题日益突出。一方面网络病毒成为网络安全的祸首,严重的病毒爆发将直接导致网络的瘫痪,而网络病毒的温床——系统漏洞也由于网络系统代码量不断增加而增加,这导致了网络病毒的数量和破坏力将不断增强;另一方面网络攻击也在呈明显的上升趋势,由于黑客软件的破坏力不断增加而操作难易程度在不断降低,必然将导致网络攻击的密度和强度不断增加。因此如何保护网络自身和网络上的关键业务成为网络建设过程中必然考虑的问题,这样也就对网络设备提出了更高的要求,一方面要求网络安全设备从原有的业务保护层面演变成为整体网络保护层面,这对网络安全设备的性能和工作模式提出了新的需求;另一方面也要求网络整体必须提供一个完整的安全机制以便保证网络的整体安全;同时也要求网络变被动的安全模式为主动的安全模式,从传统的发现攻击/病毒发布告警导致人工干预,改变成为发现攻击/病毒后通过网络设备之间的联动实施主动防御,保证网络安全。
网络设备现状
在当前的网络设备设计过程中,往往采用单一的模式进行设备设计。也就是单独采用ASIC或NP进行设备的设计。但ASIC的性能和接口密度提供能力较高而可变成能力不足,NP则是可编程能力较强而性能和接口密度提供能力较差。因此无论是单独采用ASIC还是NP均难以满足目前网络发展的需求。FPGA的出现似乎是提供了一个完善的解决方案,也就是在提供强大的性能和接口密度提供能力的同时满足可编程的需要,但是FPGA的成本是一个现阶段难以逾越的障碍,单独采用FPGA来设计一个高性能、多业务的核心设备将势必导致用户由于设备单价过高而放弃采购。同时由于目前网络必须通过ACL访问控制列表来抑制网络病毒,并部分意义上保证网络安全,但是无论是ASIC、NP还是FPGA在对大容量的ACL提供方面均存在一定的不足。因此可以说没有一款硬件可以在性能、接口密度、功能、可编程和ACL提供能力上满足网络发展的需求。因此网络设备的设计思想必须有所改变,才能更好的适应网络的发展,保护用户的投资。
另外当前在网络安全的解决方面,往往依赖防火墙等设备进行网络安全的防护工作,而且由于防火墙的性能问题,往往只是采用防火墙进行关键业务服务器进行保护和内外网隔离的保护。但在网络病毒多发的情况下,网内和网外同等重要,关键业务(例如高校的视频实时教育系统、企业的ERP系统)分布在整个网络上,传统防火墙对此难以提供有效的防护。另外在网络的安全预警方面,IDS的功能仅仅可以提供一个警告功能,如果没有人工干预仍然不能对已经发现的网络安全事件进行处理。
创新中的技术
由于当前的网络设备在设计过程中往往顾此失彼,或者提供高性能而忽略可编程能力,或者强调可编程能力而失之于性能。同时在网络的整体安全策略方面考虑不足,因此必须对现有的技术进行创新才能满足网络发展的需要。当前网络设备设计方面开始向几个方向发展:同时强调性能和可编程能力,采用更高性能的硬件,软件功能硬件化,以及网络的整体安全提供能力和网络安全的主动防御能力。
转发与控制分离化:同时关注性能和可编程能力。采用转发与控制相分离的思想来自于传统电信网络变革过程中带来的好处,通过将网络的转发与控制进行分离可以使传统的电信网络在不损失性能的前提下提供丰富的业务,甚至可以提供原来不能支持的业务。在网络设备的设计过程中,采用非常简单的ASIC芯片即可保证最基本的转发功能、转发性能和接口密度。而采用当前比较常见的ASIC就可以在提供较高性能的同时支持目前的现有业务。在设备的设计过程中通过采用ASIC作为转发单元,但其不能识别新的业务数据时即可将包头交给可编程的控制器件如FPGA或者NP来进行处理,从而可以同时保证网络设备的性能和可编程能力,从而降低用户的投资风险,有效保护用户投资。
■ 软件功能硬件化:传统的网络在ACL表查找方面主要通过软件或软硬件配合的方式完成,从而导致效率较低。伴随网络病毒和网络攻击密度的提高,服务质量策略部署的增加,网络设备部署ACL的数量增加很快,因此提高ACL表查找的能力至关重要。目前可以通过TCAM等硬件完成ACL表、路由表等表查找工作,从而显著的提高设备在部署大量ACL时的效率,避免网络设备因为进行网络安全以及服务质量设定而产生性能降低的负面问题。
■ 安全网络化、主动化、部署策略化:那么在网络安全方面必须将安全网络化,也就是在整个网络范围内提供安全保护,在这个层面上主要需要提供两个个方面的工作,一个方面是外网的防护,在这个方面与传统模式相似,采用防火墙对内外网进行隔离,但更主要的导致网络瘫痪的往往是网络病毒或者网络攻击在内部爆发,要防止这个问题需要在整个网络上进行考虑,对于内网的防护主要在以下几个层面进行:
第一网络性能的冗余,由于网络病毒的攻击源自于网络中的PC系统,而且对于网络病毒的防护往往难以做到未雨绸缪,因此要最大限度的保障网络安全就需要对网络的性能进行从新评估,例如假定正常情况下峰值时网络中每台PC的平均流量为20M,此时网络中需要提供2G的带宽即可满足需求,那么最坏的情况下,当所有的PC均遭受网络病毒的攻击时产生的流量达到PC的峰值也就是在80-100M之间,因此将网络骨干的设计定位10G将有效的保证网络的正常工作。第二、网络关键业务的防护,由于传统防火墙对覆盖整个网络的业务难以提供有效的保护,因此必须考虑在网络的核心提供类似防火墙的功能,以便对网络中的关键业务(通常情况下为一个或多个VLAN)。当网络中心设备可以提供防火墙模块时,可以将关键业务的安全级别调高,从而保证低安全级的用户不能对高安全级用户产生影响,并且通过对低安全级别限速等手段确保网络中的高安全级用户有足够的网络带宽以保证其业务的正常使用。第三、采用入网即认证配合地址绑定方式,有效避免大规模病毒攻击和网络攻击的产生,并为网络的主动防护打下基础。第四、在有条件的情况下采用网络主动防护系统,当网络发现严重的异常攻击或流量变化时,配合第三点主动寻找攻击源并进行隔离。第五、采用统一安全策略配置方式,利用统一的网管软件或网络安全控制软件对整个网络的设备进行统一的策略下发,确保安全策略的可执行性。
通过以上的几点技术创新,可以有效的保证网络的可用性,易用性。同时保证网络的投资得到有效保护。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。