在前段时间的Interop大会上,来自Cisco、Juniper和Vyatta的高管们针对路由技术的选择进行了一次辩论。作为传统路由技术和开源路由解决方案的典型代表,几家公司的讨论具有一定价值,以帮助用户重新考虑路由技术的选择。
关于路由技术选择的辩论
Vyatta公司的战略副总裁Dave Roberts大胆挑战了当前考虑路由技术和路由器设备的思路。他认为,就定制硬件而言,今天的网络技术市场就像是60年代的大型机市场,由一家厂商统治当前的网络技术市场,传统路由技术厂商避免使用开源解决方案。他承认Cisco拥有“很好的技术”,并且这些技术在市场上存在一席之地。但是,他坚信路由功能是一种商品,可以通过开源解决方案提供,价格仅仅是传统路由器的几分之一。
Cisco公司营销主管Jonathan Davidson提到,Cisco的设备拥有开源解决方案所不具备的高可用特性,借此回答了Roberts的置疑。虽然Roberts在这一点上没有明确表示反对Davidson的观点,但他向Davidson询问了支持此类高可用特性的最低成本Cisco路由器的价格。Davidson回答说价格至少为35000美元。
Juniper公司产品线管理高级主管Amir Khan站到了Davidson一边。他说,IT机构必须更加关注复杂和高级的路由功能,比如路由器自我监测和支持无中断路由的能力等。
这场辩论带给我们一些思考,如果你关注路由技术的话,就会发现正在发生很多事情,比如放弃专用设备的趋势。这有点像是“回到未来”,因为第一批路由器就是运行在小型机上的基于软件的路由器。你可能会问一些问题,现在出现的向开源方向发展的运动是合理的吗?我们真的需要这些路由器吗?另一方面,你将遇到相反的问题。我们需要更可靠的路由器,或者更大的可伸缩性吗?
重新考虑路由技术的需要
在与金融服务业交流时,他们经常会说:“我们正在向零时延的方向发展,现在已经出现了一些微秒级的应用。”比如,你是个经纪人,下单购买某支股票。那么下单的过程最好立即完成,否则可能会由于1亿股股票的价格上涨1个点或半个点,而付出重大的代价。
因此,我们对于具有令人难以置信的低时延的路由技术,的确有着真正高端的需求。与之相反。也存在一些对开源、更低成本和基本功能性的需求,以及对难以置信的可伸缩性的需求。如果我们谈到数据中心里的成千上万台服务器,每一台服务器上都运行着10个虚拟机,必须能够在数万个不同设备中完成交换和路由,那就必须重新考虑这种基础构件。
当IT机构部署新路由器和交换机时,他们通常希望这些设备具有非常长的生命期。但是,面临的挑战是确保这些设备不仅能支持今天的需求和近期可能出现的需求,而且还能支持许多年之后才会出现的需求。
当前一个影响路由技术的趋势是,多数IT机构将服务器从分支办事处中转移到集中式的数据中心。这些IT机构还在减少所支持的数据中心数量,并在可能的地方部署服务器虚拟化。这造成了“把鸡蛋放在一只篮子里”的现象,企业数据对于业务运营变得更加重要,因此必须提供最高水平的可用性,以及更高水平的传输流汇聚和可伸缩性。
一家大型金融服务机构的架构副总裁表示,该机构部署了多种形式的虚拟化技术,而推动这些项目的根本因素是优化成本。他补充说,作为虚拟化的附加结果,从前数据中心达到5个9的可用性目标变得不再被接受,新的目标是100%的可用性。
目前有许多可用来提高路由器可用性的技术,包括可在发生组件故障时无中断运行的冗余硬件子系统,以及高可用性网络操作系统。后者支持像使用中的软件升级、冗余路由处理器间无冲击故障切换,以及无冲击进程和协议重新启动等特性。
在讨论路由器的可伸缩性时,必须检验当启动多种特性时性能不会受到负面影响。例如,在整合的数据中心中,最好启动多种安全特性(如访问控制列表、防火墙特性集合和传输流事件日志等)。经常要用到的其他路由器特性和服务还包括应用识别和QoS策略执行。
Vyatta开源路由的MPLS实践
遵照Linux发行商惯例,Vyatta分发免费版路由软件,销售最新更新版本的软件并提供支持。在今年3月份的时候,Vyatta在其最新版本的开源路由平台Vyatta Community Edition 5(VC5)中增加些安全工具,包括SSL VPN、入侵检测、Web缓存、URL过滤和其他特性。作为免费软件,VC5可从Vyatta网站上下载。但这种免费版本不经常更新,而且不包括支持服务。商用版本的价格为747美元,安装这种软件的设备价格为797美元。
其中,Vyatta在VC5中支持开源版本SSL VPN软件OpenVPN。SSL加入到IPSec、点到点隧道协议和2层隧道协议的行列中,成为这种路由平台中的VPN选择。SSL经常用于保护基于Web的交易的安全,是一种比IPSec等其他选择更容易与NAT配合使用的相对轻型的加密系统。
Vyatta还添加了一种基于开源入侵检测系统Snort Inline的入侵和防御系统。这种系统可利用基于Snort的特征和基于网络的检测机制检测入侵企图。然后,VC5可以抛弃与检测到的攻击相关的数据包来防御入侵。网络管理员现在可以利用URL过滤防止用户访问某些网站,在Vyatta上执行安全策略。VC5发挥Web代理服务器的作用,检测URL,阻止网站,向用户发送错误消息。VC5还可以作为用于Web缓存的代理服务器,保存数据,使多台客户端不必分别通过Internet下载数据。新以太网绑定功能使用户可以将多条以太网链路聚集为更大的虚拟链路。
此外,其他增强特性包括用于管理基于VC5系统的新的基于Web的图形界面、用于小型企业和分支办事处的DNS转发和动态DNS、提高运行VC5的VMware和Xen虚拟机性能的更好的驱动程序以及对更多硬件(包括3G移动数据调制解调器)的支持。
环境工程公司SCS Engineers在迁移总部与弗吉尼亚Reston办事处之间的MPLS网络时计划采用VC5。SCS高级系统分析师Jerry Keene说,作为典型工程承包商的SCS利润微薄,因此想方设法降低成本。不过,公司采用Vyatta产品的意图不仅仅是省钱,而是尽可能使用普通商用硬件,避免使用专有平台。Keene的观点是“各种主要计算资源都将成为普通商品。”
Keene认为,不管SCS未来采用什么系统,Vyatta都应当与他们合作。他说,这种软件还在所有Vyatta路由平台上都是一致的,因此对于大多数网络工程师的使用比较容易,即使他们以前没有使用过开源软件。
Keene说:“你肯定要使你的IT部门的生活变得更容易。你不想将自己锁定在某一家厂商上。那会是一件可怕的事情。”他说,SCS已经在乔治亚州Alpharetta市的一个小办事处中部署了Vyatta,并取得了很好的结果。
Keene认为,VC5中的SSL VPN功能将在MPLS网络中派上用场。SCS 8年来一直使用IPSec VPN。但是他说,在MPLS网络上利用IPSec完成同样的事情可能十分复杂,有时需要完成一些花费大量人力的任务,如创建静态IPSec隧道。但由于SSL更为灵活,因此实现起来也容易一些。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国