网络的演进与发展之可靠性与安全性

日期: 2008-09-15 作者:David Greenfield翻译:曾少宁 来源:TechTarget中国 英文

可靠性 可靠性是一个企业网络的根本。在运行VoIP的网络中,由于要保护逻辑设备和物理设备,可用性和可靠性会被复杂化。良好的设计建议在自己独立的VLAN中传输语音,以保护语音传输不被其他部分的网络上的数据应用影响。然而,这样做虽然也考虑到在交换结构或路由内核上创建冗余的网络架构,但仍无法完成语音呼叫。

保证网络可靠性需要从物理网络做起。经典的分层交换设计提供了一个固有故障转移方法。当连接网络内部一个工作组访问交换机的分布式交换机停止工作后,一般情况下会有另一个分布式交换机接管访问交换机的负载。但是这种方法会需要额外的交换端口,这些成本花费都是需要考虑的。

路由器的可用性是一个类似的问题。有很多方……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

可靠性

可靠性是一个企业网络的根本。在运行VoIP的网络中,由于要保护逻辑设备和物理设备,可用性和可靠性会被复杂化。良好的设计建议在自己独立的VLAN中传输语音,以保护语音传输不被其他部分的网络上的数据应用影响。然而,这样做虽然也考虑到在交换结构或路由内核上创建冗余的网络架构,但仍无法完成语音呼叫。

保证网络可靠性需要从物理网络做起。经典的分层交换设计提供了一个固有故障转移方法。当连接网络内部一个工作组访问交换机的分布式交换机停止工作后,一般情况下会有另一个分布式交换机接管访问交换机的负载。但是这种方法会需要额外的交换端口,这些成本花费都是需要考虑的。

路由器的可用性是一个类似的问题。有很多方法可用于保证路由器的耐久性和故障处理能力。此外,网管们也可以考虑设计冗余路由器这种更高效的方法。

电源供应和布线环境因素也必须认真考虑。所有的设备都必须在停电的情况下有足够的备用电源支持,以便继续工作。同样,备用电源支持时间的长短取决于具体公司的要求,但2~4小时是工业界的标准配置。如果交换机也提供内部电源,比如Power over Ethernet (PoE),电源的需求会更高一些的。这些反过来也意味着要保证为配线箱提供足够的电源供应和制冷需求,以及考虑如何在停电时给终端节点供电。

对于逻辑故障转移,VLAN分配必须按节点进行,而不是按应用分配。电话可能通常会分配给一个语音VLAN,而软件电话和统一通讯(UC)客户端则是另一种情况,一般情况下他们会被分配给一个数据VLAN。这样如果将电话、软件电话和UC用于互相通信时,企业内就需要在VLAN之间进行路由跳换。

安全性

VLAN提供了一个保证安全性的简单方法,但只是简单地分隔语音流量是无法保护一个语音系统,也不能实现一个能够保护网络不受外部攻击的防火墙。现代网 络分布式的性质,以及对应用程序和业务数据的不断关注,使网络安全越来越少侧重于锁定网络边界,而更多地关注于控制用户访问权限和行为,以及保证在动态的和移动的环境里的数据安全。

今天,更多的攻击来自于网络内部,而不是外部。去年一项由Deloitte进行的调查表明,科技、媒体及电信公司 中83 %的IT主管都比较关注“员工在信息系统中不当行为”。

为了防止这些用户不当行为,我们需要反思目前的安全架构。IT必须设想桌面系统已经失密。这种保护架构的中心是利用一些安全工具,如网络接入控制( NAC )和端点安全产品。通过这些工具,集中式的安全系统可以确保只有经过授权的个人才能被授权使用指定的设备访问网络,而这些设备正在使用的企业定义的协议、应用和流程。

IT也可以用数字版权管理( DRM )的方式实现数据保护 。通过结合端点安全和数字版权管理DRM这2种技术,企业可以限制对一个用户机器可编辑数据的访问和限制该数据在整个网络上的发布方式。

这些措施的实现补充了大多数企业中已经存在的安全措施和系统。举例来说,入侵检测和防护功能对于后授权控制(Post-admission Control)是必须的,因为其中利用了存取控制清单( ACL )和内部防火墙来限制进入敏感业务。许多公司都已经为远程办公和移动终端的安全远程访问实施了安全套接字层( SSL ) VPN。

同时必须考虑呼叫是如何到达PSTN和从PSTN发出的。目前一般是通过购置本地网关来实现的,但是越来越多的公司正在考虑使用外部服务供应商维护的基于IP的Trunks来实现。这样不仅降低了网关成本,而且能够将端对端(End-to-End)的呼叫保持在IP网络中,通话质量也因而得到改善。不过,同时它也将网络暴露给外部IP会话,因此需要附加额外的VoIP安全性。

作者简介

David Greenfield是全球技术营销顾问公司STAnalytics 的负责人,他为企业客户提供新技术咨询服务。他从事网络通信分析工作近20年。近期,他担当了Network Computing的编辑。他的作品也已经出现在其他的主流技术出版物上,如PC Magazine, IT Architect, Data Communications and Red Herring。同时,他也曾为财富500强企业的技术收购提供咨询和协助。

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。

相关推荐