分析千兆網(wǎng)絡(luò)交換機(jī)內(nèi)置的安全防火墻，千兆網(wǎng)絡(luò)交換機(jī)應(yīng)用服務(wù)代理插件使得千兆線速交換得以實(shí)現(xiàn)。內(nèi)置安全防火墻也將是千兆網(wǎng)絡(luò)交換機(jī)的一個(gè)亮點(diǎn)。希望大家在閱讀完下面文章后能夠有一個(gè)清晰明了的認(rèn)識(shí)。

應(yīng)用/服務(wù)代理插件

網(wǎng)絡(luò)應(yīng)用與服務(wù)的基本結(jié)構(gòu)集成是通過(guò)應(yīng)用代理和服務(wù)代理插件來(lái)支持的。這些插件屬網(wǎng)絡(luò)中間件，如目錄服務(wù)、認(rèn)證服務(wù)、防火墻服務(wù)、地址分配服務(wù)和定位服務(wù)。這些服務(wù)直接集成到線速實(shí)施可編程千兆網(wǎng)絡(luò)交換機(jī)硬件上。

服務(wù)代理插件的一個(gè)例證是防火墻交換技術(shù)代理，當(dāng)防火墻交換代理與防火墻軟件結(jié)合時(shí)可以提高性能，可使防火墻的吞吐量提高1000倍。隨著交換技術(shù)的發(fā)展，千兆網(wǎng)絡(luò)交換機(jī)還將集成更多的應(yīng)用代理，如視頻會(huì)議、IP語(yǔ)音電話和ERP的應(yīng)用等。

千兆線速交換

一般來(lái)說(shuō)，數(shù)據(jù)在傳輸線上的傳輸速度是很快的。數(shù)據(jù)到達(dá)千兆網(wǎng)絡(luò)交換機(jī)后，由于受到千兆網(wǎng)絡(luò)交換機(jī)交換速度的限制，傳輸速率慢下來(lái)。千兆網(wǎng)絡(luò)交換機(jī)問(wèn)世后，千兆網(wǎng)絡(luò)交換機(jī)的數(shù)據(jù)交換速度大大提高，基本上達(dá)到了線速交換的能力。

線速交換就是使千兆網(wǎng)絡(luò)交換機(jī)的交換速度達(dá)到傳輸線上的數(shù)據(jù)傳輸速度，消除交換瓶頸。實(shí)現(xiàn)線速交換的核心是專用集成電路ASIC技術(shù)，即用硬件實(shí)現(xiàn)協(xié)議解析和包轉(zhuǎn)發(fā)，而不是傳統(tǒng)的軟件處理方式。目前的ASIC技術(shù)都是各個(gè)公司專有的，沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)。

但基本上線速交換的實(shí)現(xiàn)都依賴于分布式處理技術(shù)，即多個(gè)端口同時(shí)進(jìn)行數(shù)據(jù)流的處理。例如Fore系統(tǒng)公司今年新推出的ESX系列千兆網(wǎng)絡(luò)交換機(jī)，其4800型號(hào)的交換機(jī)擁有48個(gè)千兆位以太網(wǎng)全雙工端口、384個(gè)10/100以太端口、16個(gè)負(fù)載均衡的ATMOC-12上行鏈路。

因此在第2、3、4層總的數(shù)據(jù)交換量達(dá)到38Mpps的處理速度，這也是業(yè)界目前最高性能、最高密度的以太網(wǎng)路由千兆網(wǎng)絡(luò)交換機(jī)平臺(tái)之一，而其2400型號(hào)的千兆網(wǎng)絡(luò)交換機(jī)則擁有24個(gè)千兆以太網(wǎng)端口，各項(xiàng)性能指標(biāo)減半。

內(nèi)置安全防火墻

網(wǎng)絡(luò)安全對(duì)企業(yè)十分重要，但是往往加載網(wǎng)絡(luò)安全防火墻產(chǎn)品后，網(wǎng)絡(luò)的數(shù)據(jù)交換速度又受到明顯影響。對(duì)此，F(xiàn)ore公司與CheckPoint軟件技術(shù)公司合作，開(kāi)發(fā)出高速的防火墻交換代理（FSA），通過(guò)使用防火墻專用集成電路，將防火墻的數(shù)據(jù)吞吐速度提高到20Gbps。

這樣的速度大大高于傳統(tǒng)的獨(dú)立防火墻50Mbps～80Mbps的速度。Fore將此技術(shù)融入到其ESX系列千兆網(wǎng)絡(luò)交換機(jī)中，由于防火墻芯片內(nèi)置在千兆網(wǎng)絡(luò)交換機(jī)中，網(wǎng)絡(luò)管理員就不需要再為每一個(gè)外連到互聯(lián)網(wǎng)上的千兆網(wǎng)絡(luò)交換機(jī)單獨(dú)安裝獨(dú)立防火墻了。

FSA模塊實(shí)際上是運(yùn)行在ESX系列千兆網(wǎng)絡(luò)交換機(jī)專用集成電路上的微代碼。網(wǎng)絡(luò)管理員可以通過(guò)運(yùn)行在一臺(tái)獨(dú)立計(jì)算機(jī)上的CheckPointFirewall-1軟件配置FSA的過(guò)濾策略，例如允許或禁止電視會(huì)議數(shù)據(jù)通過(guò)防火墻。當(dāng)設(shè)置好過(guò)濾策略后，通過(guò)運(yùn)行在千兆網(wǎng)絡(luò)交換機(jī)上的WindowsNT系統(tǒng)。

Firewall-1將策略數(shù)據(jù)傳送給運(yùn)行FSA的專用集成電路。在高速防火墻市場(chǎng)上，還有一些公司也有捆綁Firewall-1軟件的路由器或多協(xié)議千兆網(wǎng)絡(luò)交換機(jī)，但是它們都沒(méi)有在專用集成電路中運(yùn)行防火墻代碼。