曾创造票房记录的《蜘蛛侠》,主人公彼特因被一个转基因蜘蛛咬了一口,从而变成了一只力量超凡、身手敏捷的蜘蛛,更重要的是具有了一种敏锐的“超感知的蜘蛛感官”。事实上,蜘蛛织网也一样具有超强的魅力。
蜘蛛织网时,先以无弹性的丝织成网架,再以有弹性的丝织成同心的螺旋网;蛛丝的强度超过与它同直径的钢丝;蛛丝还可用来形成卵茧以保护卵;蜘蛛网并不是杂乱无章的,每对相邻的辐所交成的角都是相等的;某些蜘蛛在编织自己的丝网中结有独特的花纹,来警告鸟类躲避开它,从而使网免遭破坏;蜘蛛只用粘丝织网的纬线,自己走经线,但如果逼着它走纬线,它就会往足上涂上油一样的液体,保证自己行动自由;……
有弹性也有韧性、看似杂乱实则极具章法、具有自我保护功能,所有这些也应该是广大用户建设信息网络追求的目标。
期盼
“随着应用需求的不断增加,用户对网络不仅仅只要求性能,同时要求网络具有一定的弹性和智能,在网络的可扩展性、运行的可靠性以及应用的适应性方面为用户的业务提供支持。例如:网络设备采用模块化设计可以允许企业根据按需求灵活配置,同时为今后的发展预留了扩展空间;良好的容灾能力可以在网络设备、端口以及传输链路失效的情况下自动启用冗余设备和链路保证网络的正常传输;丰富的网络协议可以允许用户根据实际需求来选择网络的工作方式,同时也可以满足不同应用的需求;强大的QoS策略设置可以让用户根据应用的重要性为关键应用保留所需要的资源;……”这是沧州供电公司(国家大型企业)从事多年网络规划和管理工作的孟海江先生对未来网络的一种期盼。
我们再来听听北京工商大学的网络管理专家陈永生生老师希望用什么样的网络来服务高校业务?“随着目前网络应用和管理趋向于应用多样化和智能化,我们更加青睐能够灵活高效完成多种网络应用和管理维护轻松的网络产品。我们认为网络产品应该能够具有智能性和感知性,对于网络中每时每刻变化的数据流和用户行为进行分析管理,能够主动判别明显具有攻击性的异常数据并进行拦截。对于敏感和关键业务(例如核心数据、语音、视频等)能够按照预定策略进行管理。能够在风险发生之前调整安全策略和行为,避免网络阻塞和瘫痪,例如目前很多局域网管理者对于大量占用网络带宽的行为深恶痛决,如P2P下载。”
事实上,正如陈老师所讲,高校面临的一个普遍问题是,网络用户较多,无法简单通过行政规章等管理手段约束他们的各种行为。而没有及时安装系统安全更新、不正确设置使用防病毒软件和无限制的下载,经常造成局域网通信故障和设备负荷过重。虽然802.1x认证可以提高信息安全水平,但对于蠕虫攻击和病毒防范还是有些被动和滞后。与其知道了病毒和攻击行为倚赖的端口和协议进行拦截,不如能够让交换设备分析限制异常的数据流。
通过以上二位对网络的期盼,概括起来,网络不但要具有弹性、智能、自愈特性,更重要的是能够更好地满足业务应用的需求,能够对数据流进行精致分析,从而完成进一步处理,在这里将之概括为网络的深度感知能力。那么,如何全面理解这种深度感知?目前网络距离这种自适应的深度感知有多大差距?要达到深度感知,整个网络需要做些什么调整?网络设备又需要在哪些方面进行改进?为了保护投资,用户在选型方面需要注意什么?
理解
如何全面理解深度感知?我们听听来自几家一线厂商的看法。
港湾网络有限公司产品管理部总经理助理陈胜权表示,现有的交换机、路由器等网络设备主要工作在OSI参考模型的链路层、网络层和传输层,依靠MAC地址、IP地址、TCP/UDP端口来控制数据流,随着网络规模的扩大和业务复杂程度的加深,网络建设者对网络设备提出了更高的控制要求。简单而言,要求网络设备对数据流进行更加精细化的控制,达到这个目的首先要做到对数据流/数据包的“深度识别与感知”。可以从两个方面理解深度感知:第一,对应用层的业务数据感知,例如识别FTP、HTTP、SMTP等应用数据流,这种深度感知明显超越了网络设备原来对数据流的识别方式,需要网络设备对数据流进行更深入地分析识别;第二,在现有对数据流识别感知的基础上,进行更加精细、更加综合性的提炼,例如,“在某段时间内针对某个主机的某个端口发起的连接数目”的感知,这种感知需要网络设备具有更强的统计能力。
华为3Com公司认为,深度感知要求网络设备不光是IP报文的承载平台,而要智能感知IP所承载的业务(如关键数据、语音和视频业务等)。对于感知到的不同业务,采取资源动态调整(将智能管理系统与网络协议体系配合),实现对业务进行全面管理和控制,动态部署QoS、路由及安全策略。这需要资源调度中心和网络设备实现联动。而作为能深度感知的网络设备,应该是用具有先进的XRS(eXpandable Resilient Switch)设计理念来开发的产品,X指的是设备的可扩展性,R指的是使用容量的弹性,S指的是以太网的安全性。
上海贝尔阿尔卡特业务通信系统有限公司高级系统工程师徐向东认为,深度感知来源于对数据流深层次,尤其是应用层的识别、分类,通过分类,以不同的处理方式保障不同应用的可靠性、安全性需求。感知的主体可以是网络设备、专有安全设备、后台服务器等,将来网络感知的发展和对应用的支持应以网络系统为实体而不是以单一网络设备为单元的感知。另外,对于融合网络的支持,不应只着眼于“感知”,还要关注如何简便、统一地基于全网的策略实施。
通过以上几位的看法,可以看出,对应用层更加精细的控制和处理,包括能够根据不同应用(如语音、视频等)采取不同的策略成为深度感知最基本的功能,在此基础上,实现全网资源的统一调配和优化,并具有如人体的自愈能力一样的“自我调节、自我实现”的理想状态。正如陈老师所期盼的那样,“今后的网络能够像生命体一般通过神经传导和头脑分析,对各类数据信息主动进行有效控制管理,并且能够对故障造成的影响自愈。换句话说,一套可以称之为深度感知的网络系统,应该能够不需要人工干预就可以抵御各种常见攻击和压力,并且能够守护最基本的线程和指令,确保设备不会宕机,同时在异常数据流消失后有能够恢复正常状态的能力。”
进展
深度感知的网络进展如何呢?正如任何事物的发展都有一个从量变到质变的过程一样,深度感知也已经从概念阶段逐渐进入产品和方案阶段。我们具体来看一下业界对此的推进过程。
早在Cisco 2003年度全球分析师大会上,该公司CEO钱伯斯便提出了未来三到五年内的技术发展战略,即构建安全的智能信息网络。钱伯斯将智能信息网络战略分为三个阶段:首先,将数据、语音、视频集成在统一网络上,并使其智能流动;第二是实现信息在网络上的按需、智能、动态分配;最后则是应用和服务的虚拟化。按照钱伯斯的说法,Cisco正致力于提供一个集成化、富有弹性和自适应的智能信息网络。集成化是将所有组件(如交换机、路由器、管理和协议)都集成在一起,能加快网络建设速度,改进设计,降低维护成本;富有弹性使用户能够根据业务需要,增加网络功能模块;自适应性是网络具有应用感知能力,如能自行感知和监控网络流量、过滤网络病毒攻击等。事实上,这三个阶段并不是孤立的,会以交互的形式出现。在目前非常时髦的无线领域,Cisco也早早就表示会向无线感知网络发展。无线感知网络的核心是将有线网络的VLAN、VPN等技术拓展到无线网络。为此,除了在终端电脑、AP处进行设置外,还需要在网络后端的交换机上进行设置。可见,无线感知网络是一个整体概念,是有线无线的有机结合。
事实上,目前网络距离完全自适应的深度感知差距还是蛮大的,造成这种差距的原因是多方面的。有历史的原因,因为网络建设本身就是一个渐进的漫长过程;也有资金的原因,国内用户在网络交换设备方面的投入阶段性行为非常明显,类似于打补丁,缺乏系统性和整体性的部署及安排。相信,随着下一代网络技术应用的开展,这种被动的局面会逐步得到改观。目前,随着一些技术领先厂商具有感知能力的产品推出,深度感知已经成功走出了从理论到实践的第一步。
陈胜权表示可以从方法和效果两个方面来看深度感知的实现。从方法上看,深度感知所需要的技术手段已经比较成熟,无非是对数据报文进行更加深层次的解析、支持更多的协议识别、进行更加周详的统计和更加细致的分析。从效果上看,深度感知业务在很大程度上依赖于网络设备的性能和对业务发展的跟进速度。事实正是这样,深度感知由于要对数据流进行深入解析,需要占用CPU或NP的资源,固化的ASIC芯片是无法完成这个工作的,这会严重影响到网络设备的整体性能和稳定性,对网络设备是一个绝对的挑战。由于业务不断发展,新业务不断涌现,需要网络设备不断地改进深度感知功能,以适应业务的发展,这对设备厂商的研发跟进速度与开发能力是很大的挑战。
因此,深度感知的发展步骤为两步:第一,在网络设备上增加深度感知的功能与方法;第二,提高网络设备性能并跟进业务发展,深度感知的发展是没有止境的,因为业务发展无止境。
港湾网络在深度感知方面也迈出了坚实的一步,其BigHammer6800系列骨干交换机上内置了防火墙模块,采用深层报文解析(DPI)技术,可以实时检测出600多类、1000余种攻击行为。为了保障BigHammer6800的资源,防火墙模块设置了独立的NP,专门用于深度感知及相应处理,这样能确保原有设备性能和稳定性不受影响,同时支持多模块间的负载均衡,解决一个模块性能不足的问题。
徐向东则表示出这样的看法,就单个网络设备而言,由于深度感知往往是以牺牲数据转发能力为代价的。Alcatel对感知的认识是基于网络系统的角度,最大化地感知、发挥系统中各设备的基本职能。例如Alcatel的AQE(自动隔离引擎)技术就是通过后台的IDS对病毒和异常数据的感知,自动下载策略由边缘交换机执行的一个基于网络系统感知的一个很好的例子。
事实上,还有很多厂商也推出了这种深度感知的产品和方案,如去年底,锐捷网络发布的集自动防御、自动修复与自动学习的三大自“YU”功能于一体的GSN全局安全网络解决方案,就是将网络安全防御体系从被动防御转向主动防御、自动修复、自动学习的安全防御体系。神州数码网络也发布了3DSMP的策略,就是在以前分布安全域的基础上加上了主动防御。据该公司表示,首先是实现了本品牌之内的交换机、防火墙、IDS产品的整合、联动,这样可以通过IDS探测到某一部分网络受到病毒攻击,然后向3DSP的核心(接入用户管理系统)发布报警,经过定位后就会针对端口所在的交换机发出一个指令把端口关闭。
对美好事情追求的进展速度永远比想像来得快,深度感知网络进展的同样不慢,但正如陈胜权所说的那样,因为业务发展无止境,所以深度感知的发展也是没有止境的。
调整
由无感知到有感知,再到深度感知,整个网络需要进行一定的调整,同时,网络设备也需要在某些方面进行改进。总的来看,如陈胜权所说,网络设备需要做的改进就是增加深度感知的方法和提高设备对业务深层解析的性能。我们以校园网为例来具体说明一下。正如前面所说,校园网存在的普遍现象是数据流量很大,而出口带宽又有限,经常出现用户无休止占用出口带宽资源,主要表现在使用各种下载软件和P2P(如BT)软件占用带宽很严重,使流量突然增大从而导致出口瘫痪。有了深度感知能力的网络,问题就得到了解决,因为具有深度感知的网络核心交换机具有强大的流分类能力,基于流分类信息依据网络需求进行精细的带宽限制。这样校园网资源调度中心可以通过网络设备来控制用户的连接数和带宽,既能对单个用户进行连接数和带宽的限制,又能对某一特定的应用(如FTP和BT)进行总带宽的限制,并且通过对用户进行实时监控,基于统计信息来发现异常行为(如连接数突增等),还可以采取相应的保护措施,如产生告警、加入黑名单、根据用户的源地址限定用户的连接数和带宽等。这样,校园网中经常出现的个别用户过度占用带宽问题就得到了解决。事实上,深度感知不是某部分局域网或数据中心边缘设备对业务的感知,而是整个教育信息化平台整体业务的感知。在这个环节中,校园网需要统一规划出智能管理中心(即相当于业务感知的大脑),并要发挥资源调度中心服务器的作用,即将网络资源统一管理,实时探测网络资源的分配状况,结合业务优先级和服务质量设定,动态分配网络资源。资源调度中心不仅可以管理物理资源(如设备、端口、带宽等),也可以管理逻辑资源(如VLAN、VPN、用户等)。
陈老师则从用户的角度讲出了这样的一段话,“以往的网络结构对于可网管和配置的设备主要集中在核心和汇聚层,随着网络产品的发展,在接入层大量采用支持策略路由和基于端口管理的网络交换设备成为趋势。这样以来,通过合理配置设备,各类对网络造成影响的因素不会只有到达核心层才能进行控制,在每个用户的端口就可以有效管理了。这也就是网络边缘产品调整的方向,即智能化,这样,不仅提高了网络和应用的可靠性,也为各类重要应用和服务提高了效能,减少了防病毒网关、IDS等设备对网络造成的瓶颈影响。”
选型
既然深度感知是发展方向,但又无止境,为了保护用户投资,目前用户在选型方面需要注意什么?
“网络设备生命周期和厂商的服务关系密切,对于用户的需求和技术的发展及时更新设备的软件,提供更多更实用的管理功能,及时对危害广泛的漏洞和蠕虫进行防范,是设备生产厂商的义务,也是用户需要的服务。对于可持续升级和提供可扩展应用模块的网络设备,是网络投资建设的首选。”刚刚完成网络改造的陈老师如是讲。
深度感知既然是服务业务需求,按照业务需求来建设网络,那么明确组网的需求是首先要解决的问题。如用户要清楚交换机在组网中所处的位置、需要的上行与下行处理能力、扩展能力、组网中传输距离等。明确了这些需求,接下来就是要选择合适的产品。需要提醒的是,目前号称具有深度感知的网络设备很多,这需要用户仔细分辨。并要提醒用户的是,要注意接口模块的选购。因为一些用户由于受整体费用预算的限制,往往容易忽略在接口模块方面的需要。常言说得好,好马要配好鞍。只有网络产品端的匹配到位,设备才能发挥出应有的技术优势。陈胜权说的更具体,对于主要的网络设备均要选用可扩展性强的设备,在满足现有要求的前提下至少留有2~3个扩展插槽。徐向东表示,抛开“深度感知”,单从对融合应用的支持角度,在当前以千兆、万兆为骨干核心的网络,设备软、硬件的可靠性设计、无缝的冗余切换以及高安全性的保障和策略的统一加载都是重要方面。
编看编想
规则
○ 张旭军
蜘蛛织网是把网分成若干等份,当它安置辐时,只见它向各个方向乱跳,似乎毫无规则,但是这种无规则工作的结果是织成一个极具规则的网,即在同一个扇形里,所有的弦都是平行的,越靠近中心,弦之间的距离就越远。每一根弦和支持它的两根辐交成四个角(两个锐角和两个钝角,所有的钝角和锐角正好各自相等)。这种特性就是数学家们所称的“对数螺线”。对数螺线是一根无止尽的螺线,它永远向着极绕,越绕越靠近极,但又永远不能到达极。据说,使用最精密的仪器也看不到一根完全的对数螺线,这种图形只存在科学家的假想中,可蜘蛛就是依照这种法则来织出自己赖以生存的网。这就是蜘蛛织网的规则。为了更好地实现深度感知,网络是否也需要规则?
陈胜权认为,由于深度感知是建立在其他标准协议之上的系统工程,未来3~5年内难以形成统一的标准。而通常情况是,网络设备行业的标准制订往往滞后于新技术的出现,从某种意义上说深度感知的标准往往也就成了市场法则,即只要能贴近用户需要、满足用户需要,这样的产品就是好产品。
这样一来,统一标准和规则就变得非常不容易。但来自用户方的需求却非常强烈,正如陈老师所言,“对于目前网络管理出现的一些弊端,例如不同功能、不同品牌设备的互动性差,说明需要对深度感知网络设备制定一系列标准。具体来讲,目前在一个局域网内如果设备品牌不同,就意味着需要不同的网络管理软件和不同的管理配置方法;对于防火墙、IDS、防病毒网关、交换机和路由器,往往由于标准不统一而无法联动,或是协同工作效果不尽如人意。在存在统一标准和协议以后,各类设备厂商就能够实现网络设备智能管理和协同运行,共同提高网络可靠性和效率。”
蜘蛛凭借“对数螺线”规则在看似无章的跳动中编织出极具规则的网,我们正以建设“弹性、深度感知”网络为目标,但缺乏的是需要业界共同努力才能实现的可见的通用规则。
《网络世界》报记者 张旭军 2005-6-14
[文章来源: