数据中心网络应用层部署技术
以太网网络协议分为七层,四~七层属于高层协议,是应用层。应用层的网络功能包括:数据包过滤、服务质量、负载均衡、统计与报告、充分利用带宽资源,对互联网上的应用、内容进行管理等等。应用层应用是典型的高端市场,只有海量访问需求的用户才需要进行负载均衡和流量管理。市场需求集中在电信、金融、大型ICP、ISP和政府等行业的大型数据中心。对于这些数据中心,有些应用层的功能是必不可缺的,需要部署的。通过部署应用层技术来提高网络服务水平,使数据中心管理者能够以更低的成本,更好地分配网络资源。那么如何部署,采用哪种方式部署,本文接下来将进行详细探讨。
数据中心网络部署应用技术,总共可以分为三种方式。
第一种方式:部署应用层交换机
交换机是数据中心不可缺少的重要部分,是实现设备互联的唯一手段。一般的交换机指的是可以完成二p三层设备。实际网络协议上总共包含有七层,四~七层统称为应用层,具有四~七层转发功能的交换机简称为应用层交换机。现在,在数据中心中部署应用层交换机的情况越来越多了。
应用层交换机就是通过逐层解开每一个数据包的每层封装,并识别出应用层的信息,从而实现对内容的识别,这要求内容识别设备窥视到每个会话的每个数据包的内部。如果是采用基于软件的架构,就会造成严重的延迟和性能恶化,拥塞在所难免。于是全部用硬件实现的应用层交换技术取得了技术优势。通过应用层交换机实现了所有高层网络的功能,最大限度地利用网络资源,应用层交换把应用交换机放置在核心层或者汇聚层,而不是紧靠下层的接入层,使网络管理者能够以更低的成本更好地分配网络资源成为可能。
在结构上,应用层交换机将所有功能集中在一个专用的特殊应用集成电路或ASIC上。ASIC比传统路由器的CPU便宜,而且通常分布在网络端口上,在单一设备中包括了50个ASIC,可以支持数以百计的接口。新的ASIC允许智能交换机/路由器在所有的端口上以极快的速度转发数据----无论网络流量是什么类型,称为线速转发应用层流量。并不是所有的应用层交换机都能采用全硬件线速转发,有些采用软硬件结合的方式,三层以下通过硬件处理,应用层通过软件进行处理,这种方式主要是硬件芯片不支持应用层功能,只能通过使用功能强大一点的CPU来处理应用层协议。
由于应用层交换机是技术性要求很高的产品,需要厂商具备雄厚的技术实力,因此能够提供应用层交换机的只有Cisco、F5、RadWare和Foundry,清一色的国外厂商。即便如此,也只有F5和RadWare两家是纯粹的4-7层产品提供商,其他厂商仍然是以2-3层交换机产品线为主,同时提供4-7层产品。
第二种方式:部署三层框式交换机+应用网络插卡
可提供应用层交换机的厂商较少,能够提供应用层转发的ASIC芯片技术仍不够完善,因此实际在数据中心部署的并不多,采用三层框式交换机外加应用网络插卡的方式得到较为普遍的应用。
这种方式就是在框式交换机上增加若干块可以处理应用层流量的插卡。通过ACL或者策略路由等技术将交换机的流量发到应用插卡上,应用插卡处理完后再将流量转发回给交换机。交换机完成二三层转发功能,应用插卡完成应用层的功能。根据应用功能的不同,可以分为:负载均衡插卡、防火墙插卡、入侵检测插卡、Natstream插卡等。显然这种方式应用层的功能要比单独的应用层交换机强大,现在很多网络厂商都推出了支持应用插卡的交换机,比如:Cisco N7000、Huawei S9300、H3C S10500等交换机。遗憾的是这些应用插卡只能插入到指定的交换设备上,不能在不同的设备上使用,当然不同厂商的插卡就更不能互用了。
第三种方式:部署三层交换机+应用网络设备
最后这种是最为传统的部署方式,数据中心也普遍采用这种方式,交换机和应用设备完全独立。数据中心采用专门处理应用层的网络设备,这样可以根据数据中心的网络实际情况在合适的位置部署应用网络设备。经过多年的发展,根据应用功能的不同市场上有多种不同的设备,比如有防火墙设备,负载均衡设备,入侵检测设备等。每一种应用都有不少的技术厂商,防火墙设备的典型代表厂商是天融信,负载均衡设备的典型代表厂商是F5。由于每种应用设备都有很多厂商在不断研发,技术得到了不断进步,因此这些应用设备的功能和稳定性要比应用层交换机、应用插卡要强大的多。另外,不同应用在数据中心部署的位置是不同的,防火墙一般部署在核心网络的流量入口,负载均衡一般部署在汇聚网络层,这样插卡式的就无法满足,除非在两个位置都部署带插卡的框式交换机,这反而会加大部署的成本。
表1:数据中心网络应用层部署技术对比