路由器交换机中被人冷落的功能

发布:admin | 发布时间: 2010年6月11日

有人戏言，微软Word和诺基亚手机，用户用到的功能不足10%。有网络供应商发现，这种情形也正在各个单位的路由器交换机身上发生，一些非常有用的功能却被冷落。这里仅列举其中的几项。
一、用于用户认证和鉴别的IEEE 802.1x
    IEEE所制定的802.1x标准用于端口访问控制NAC (network access control)，可以对LAN访问中的用户和设备进行认证，目前还被广泛用于无线访问端点。但是在线缆网络中却未被重用。
    802.1x认证体系通常由提请认证的客户端系统(Supplicant System)、认证系统(Authenticator System)及认证服务器系统(Authentication Server System)等三部分组成。其中，客户端系统一般为安装有客户端软件的用户终端系统，用户通过客户端软件发起802.1x协议认证过程，认证通过后可以发起IP地址请求。
    认证系统通常为支持802.1x协议的网络设备，该设备对应于不同用户的受控与不受控两个逻辑端口。不受控端口始终处于双向连通状态，主要用来传递 EAPOL协议帧，可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。如果用户未通过认证，则受控端口处于未认证状态，用户无法访问认证系统提供的服务。
    认证服务器通常为RADIUS服务器，该服务器可以存储诸如用户所属的VLAN、CAR参数、优先级、用户访问控制列表等用户的相关信息。通过认证后，认证服务器把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表。
二、NetFlow, sFlow的跟踪功能
    NetFlow是Cisco开发的一种可以收集IP流量信息的方法，它有助于指定网络改进建设计划，让我们了解网络中来自用户、应用对网络资源的使用状况，对于交换机的安全设置和调度策略也有指导意义。在有些交换机如Enterasys S系列中NetFlow是最具代表性的网络性能指标。
    Netflow提供网络流量的会话级视图，记录下每个TCP/IP事务的信息。也许它不能象tcpdump那样提供网络流量的完整记录，但是当汇集起来，更易于管理和解读。一个Netflow系统包括三个主要部分：探测器，采集器，报告系统。探测器是用来监听网络数据的。采集器是用来收集探测器传来的数据的。报告系统是用来从采集器收集到的数据产生易读的报告的。
    sFlow也是一项网流监测功能，由互联网工程任务组IETF(The Internet Engineering Task Force)指定，它可以采样交换机和路由器的网流数据，它有些潜能一直未被充分认识和发挥。在有些交换机中将此列为“王牌”功能，却被用户“雪藏”至今。
    sFlow，这项基于标准的最新网络导出协议（RFC 3176），能解决当前网络管理人员面临的很多问题。比如通过将sFlow技术嵌入到网络路由器和交换机ASIC芯片中，sFlow可成为一项线速运行的 “一直在线”技术。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比，sFlow能够大大降低实施费用。
三、IPv6未被启用
    很多新型交换机路由器内置的IPv6协议，对于安全和管理善莫大焉，却被很多机构忽略，他们往往采用其它方式处理，比如将网址进行转换。与IPV4相比，IPV6具有这样几个优势：
（1）IPv6具有更大的地址空间，IPv4中规定IP地址长度为32，即有2^32-1个地址；而IPv6中IP地址的长度为128，即有2^128-1个地址；
（2）IPv6使用更小的路由表，IPv6的地址分配一开始就遵循聚类（Aggregation）的原则，这使得路由器能在路由表中用一条记录（Entry）表示一片子网，大大减小了路由器中路由表的长度，提高了路由器转发数据包的速度；
（3）IPv6增加了增强的组播（Multicast）支持以及对流的支持（Flow Control），这使得网络上的多媒体应用有了长足发展的机会，为服务质量（QoS，Quality of Service）控制提供了良好的网络平台；
（4）IPv6加入了对自动配置（Auto Configuration）的支持。这是对DHCP协议的改进和扩展，使得网络（尤其是局域网）的管理更加方便和快捷；
（5）IPv6具有更高的安全性。在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验，极大的增强了网络的安全性。
四、可动态调整设备能耗的LLDP-MED以及诊断Layer 2 Ethernet的Ethernet OA&M
    ANSI/TIA于2005年提出的LLDP-MED和IEEE's 802.3ah发布的Ethernet OA&M，对于很多网络应用机构而言尚显生蔬。LLDP-MED （ Link Layer Discovery Protocol-Media Endpoint Discovery），可发现和调节Ethernet设备（如IP电话）中的能耗分配，使得端点与网络基础设施之间的信息共享变得更加容易。这些数据可以简化端点的部署并允许进行高级设备固件管理同时推动企业网络对E911的支持。
　　LLDP-MED以IEEE的802.1AB LLDP为基础。LLDP是IEEE的邻居发现协议其它组织可以对其进行扩展。从网络设备查明的信息，如交换机和无线接入点可以帮助进行故障分析并允许管理系统准确地了解网络拓扑结构。而用于管理Ethernet “开始一英里”的Ethernet OA&M，则用于远程冗余探测和反馈检测，对于网络的健康营运提供了深入而细微的保障机制。如因不知而未用，那么设备的费用就浪费了。