传统的企业网业务主要是非实时数据业务,其典型应用包括电子邮件、数据库等。然而,随着用户需求的变化,实时数据等新业务在企业网业务中所占的比例正越来越大。如果把这些新业务比作鼎的话,IP QoS技术、VLAN动态配置、用户接入管理这三大技术就是支撑它的鼎足。
企业网新业务
目前,企业网新业务应用主要有以下两个方面。
(1) 多媒体应用―LAN带宽的不断增加使其具备承载大量实时数据的能力。而L2/L3层以太网交换机QoS功能的不断完善则为高速以太网的实时应用提供了保障。同时,更快的处理器、增强的指令设置和强大的多媒体加速芯片使个人计算机正在成为更强大的多媒体平台;再加上相关语音、视频软件的迅速发展,使得多媒体业务逐渐成为企业网的重要应用。
分组语音(例如:ePhone)的迅速发展,使企业网甚至能够替代专用的企业电话网。同时,由于分组语音、分组传真应用与目录服务、呼叫中心等软件的结合,使得语音、传真可以与Email等数据应用有机地结合起来,并且功能更丰富,使用更灵活。此外,可视会议、视频教育、职业培训等等应用促进了企业高效率地运作,同时也降低了企业的运作成本。
目前,随着语音、数据和视频业务的成熟和相互融合,多媒体通信业务将成为全球各大电信运营商竞争的焦点。
(2) 企业网移动办公应用―目前,移动办公的需求日益增多,无线局域网(WLAN)应运而生。尤其是在临时组建的局域网(如临时项目组的封闭开发应用)或网络环境需要经常变化的场合(如销售成员组的应用),更能体现出WLAN产品及方案的优越性。
在开放式办公环境下,企业员工根据工作需要自由选择标准化的工作间,当员工的便携计算机接入到公司企业网时,需要先通过身份认证,企业员工认证信息数据库根据用户的属性和权限进行动态的网络配置和授权,比如,用户所属的VLAN ID、缺省优先级、访问控制列表等网络配置。
新业务的支撑技术
(1) IP QoS技术―其目的是向用户的业务提供端到端的服务质量保证。它有一套度量指标,包括业务可用性、延迟、可变延迟、吞吐量和丢包率。尽管IP QoS的研究工作已经进行了一段时间,但业界普遍认为目前还未出现一个成熟的体系架构、支持硬件以及相应的操作技术。但无论如何,在IP网络中保证QoS将会是一个重要的发展方向。
IP QoS主要有以下两种体系结构:Int-Serv(集成业务体系结构)和Diff-Serv(区分业务体系结构)。Int-Serv在RFC1633中进行了定义。RFC1633将RSVP(资源预留协议)作为Int-Serv结构中的主要信令协议。
Int-Serv定义了三种级别的业务:有保证的业务(Guaranteed)―保证带宽,限制延迟,无丢包;控制负载的业务(Controlled Load)―在一个负载较轻的网络中实现类似于尽力而为的业务;尽力而为的业务(Best Effort)。
为了解决IntServ的一些缺点,IETF在RFC2475中提出Diff-Serv(Differentiated Services Architecture)体系结构,旨在定义一种实施IP QoS且更容易扩展的方式,以解决IntServ扩展性差的缺点。与Int-Serv相仿, Diff-Serv也定义了与Int-Serv类似的三种业务类型:尽力而为的业务;最优的业务(Premium)―类似于传统运营商网络的专线业务;分等级的业务(Tiered)―这一类别的业务严格讲不仅仅是一种业务,而是一个大的类别,可以根据发展的需要定制不同的业务等级。
虽然Diff-Serv为IP QoS奠定了宝贵的基础,但还没有办法完全依靠自己来提供端到端的QoS结构。Diff-Serv需要大量网络单元的协同运作,才能向用户提供端到端的服务质量。鉴于这些组件高度分散的特点和对它们进行集中管理的需要,必须有一个全局的带宽管理对全局资源进行动态管理。解决这一问题的方法有两个:一是用功能强大的全局策略管理器来完成这一任务;另外一种是将第三层的QoS转换为第二层的QoS,通过运营网中第二层的交换机来实现端到端的服务质量保证。尽管这可能不是一个真正意义上的IP QoS,但却是目前可以实现的方法中最切实可行的一个。企业网的QoS实现通常是将IP QoS映射到低层CoS实现的,这也是目前最可行的方案。一系列最新的以太网交换芯片已经开始支持802.1p、DiffServ、MPLS。
(2) VLAN动态配置―在由L2/L3层以太网交换机构成的企业LAN中,VLAN的配置管理是繁重的工作任务,配置错误往往会带来安全和业务中断问题。动态VLAN协议可以解决企业网中VLAN的动态配置问题,典型的协议有IEEE GVRP应用协议以及Cisco提出的VTP协议。通过动态VLAN协议,一台交换机的VLAN配置按照一定的管理规则能够自动而迅速地扩散到整个企业网中去。动态VLAN协议在不同交换机间还提供了安全机制。要言之,VLAN动态配置技术有效地提高了企业LAN网对VLAN群组的配置管理能力,对于保障众多业务的运行具有重要意义。
(3) 用户接入管理―用户接入管理是实现移动办公的技术基础。IEEE 802 LAN协议定义的局域网不提供接入认证,只要用户能接入局域网控制设备,如传统的LAN交换机,用户就可以访问局域网中的设备或资源。这是一个安全隐患。对于移动办公,驻地网运营等应用,设备提供者希望能对用户的接入进行控制和配置,此外还存在计费的需求。
移动办公为企业网用户带来了灵活方便的使用环境。但同时也带来了相应的安全和管理问题。IEEE去年通过的基于端口访问控制的接入管理协议802.1x协议的出现有效地解决了上述问题。
802.1x是一种基于端口的网络接入控制技术,在LAN设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是LAN交换设备的端口。连接在该类端口上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认证,则无法访问 LAN 内的资源,相当于物理上断开连接。IEEE 802.1x定义了基于端口的网络接入控制协议,需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。IEEE 802.1X的体系结构包括三个部分:Supplicant System(用户接入设备);Authenticator System(接入控制单元);Authentication Sever System(认证服务器)。
新兴业务的需要,促进了其支撑技术的不断发展和应用。各网络厂商也纷纷拿出产品面世。例如,华为公司推出的LAN交换机产品系列都预留了基于802.1x端口认证方式的移动办公应用功能支持。思科为Cisco Aironet系列WLAN产品更新了安全软件代码,使之符合802.1x标准。另外,长城网络、神州数码网络、3Com、Avaya、Enterasys等众多厂商,也纷纷力推各自的WLAN解决方案。
