通过将大带宽、高性能、高可用性和业务集成到一个平台中,Catalyst 6500系列给各种服务提供商应用提供了具有丰富特色的解决方案,如千兆汇聚、Web和应用托管以及WAN边缘服务等。本白皮书描述了一些要害特性,他们最适用于某一服务提供商环境,尤其是Cisco 快速转发(CEF)、FlexWAN 模块等,它们具有高可用性、控制、入侵检测和专用VLAN等。
Catalyst 6500家族概况
Catalyst 6500系列是一种设计用于各种网络环境的解决方案,它可以是6插槽和9插槽水平机箱,还有用于NEBS环境的9插槽垂直机箱,可以配置有冗余电源、交换机构架和监控引擎等。监控引擎提供系统的中心处理和智能。政策特性卡(PFC)增加了其硬件加速服务质量(QoS)和访问控制清单(ACL)特性。PFC是Supervisor 1A上的选件、Supervisor 2上标准配备有PFC2。一块可选多层交换机特性卡(MSFC)提供了Cisco IOS 软件L3业务。线路卡产品包括标准10/100(RJ-45和RJ-21)和千兆连接(GBIC、MT-RJ)、网络分析模块、入侵检测模块和WAN接口支持。软件特性提供了智能网络服务,其中包括边界网关巡逻(BGP4)、中间系统到中间系统(IS-IS)和Cisco IOS服务器负载均衡(IOS-SLB)等。
本白皮书侧重专门为服务提供商设计的软件和硬件。
新的监控引擎2使用了最新的专用集成电路(ASIC)技术来提供下一代特性和服务,它以监控引擎1A为基础。新的监控员引擎2是新的基于Cisco快速转发 (VEF)的结构的一个重要组成部件,这种结构使得能实现分布式转发。监控引擎2还用作新的Catalyst 6500系列结构的控制模块,这种结构是以带宽提高到256 Gbps的网络交换构架为基础。为了实现一个Catalyst 6500系列实现交换机构架模型的256 Gbps网络交换结构,需要监控引擎2。监控引擎2答应连接到总线或交换机构架,使它成为了适合于整个Catalyst 6500系列的产品。它答应客户在这种机箱中安装经典(非构架支撑的卡)和新的构架支撑的卡,这使得预备过渡到新结构的客户能获得全面的投资保护。
监控引擎2和1A都提供了业界能获得的最先进的智能交换,提供了各端口应用识别、答应控制、优先等级、控制多个硬件队列来尽量减小网络拥挤和数据包延迟。这一先进的服务质量支持对与在全网络实现要害任务应用和企业语音服务和解决方案等具有重要作用。
通过提供硬件中的视频流应用等所需的很多其他特性,如组播复制等,监控引擎2进一步提高了性能。这使得企业和服务提供商都能使用多业务应用而不牺牲性能。
新的监控引擎2和交换机构架模块(SFM)使L2和L3的集中转发的性能提高了2倍,到达30 Mbps。新的具有构架能力的千兆以太网卡有一个到网络交换构架的连接,用于电路卡之间的高速交换。他们能用来实现通过一个分布式转发引擎进行的分布式CEF。这种结构使得本地交换性能高达每块板24 Mbps,答应交换机提高到100 Mbps以上的转发速度。监控引擎2连接到网络交换卡和总线上,当网络交换卡有故障时能切换到总线上,从而提供了更大的冗余。
通过MSFC可以获得Cisco IOS软件L3服务和特性。它是监控员引擎的一个子板,它提供了系统的控制板功能。MSFC与L3交换PFC配合使用。最近发布的用于Catalyst 6500家族的MSFC2使的控制板的性能比原来的MSFC提高了3倍。使用MSFC2进行交换的所有通信业务将获得直接性能增强。结果,诸如IOS-SLB和Web高速缓存通信协议2(WCCP2)等特性的性能也改善了3倍。MSFC2提供了最多512 MB的纠错码(ECC)DRAM,用于全面的互联网路由选择表支持以及提供BGP4、IS-IS和全面的多协议路由选择。
Cisco快速转发
Cisco快速转发(CEF)是一种技术,它答应提高可扩展性和性能来满足大型企业网络和互联网核心的未来要求。CEF比较通用的业界名称是转发信息库(FIB)。CEF已经经历了不断发展来满足当今网络日益变化的通信业务样式。这些网络的特点是短持续时间的信息流的数据越来越多。1 短信息流在基于Web的和大量使用交互通信类型的环境中是非常普遍的。因为这类应用将继续扩散,需要性能更好和扩展性更强的转发技术来最大程度地满足这些环境的需求。
1 一个流是从一个给定源+TCP/UDP端口号到一个给定目的地+TCP/UDP端口号的一个全向流。采用一种基于CEF的机制,流高速缓存模型提出的难题已经大大减少了,可扩展性有了很大提高。利用流高速缓存模型,必须维持一个完整的转发表,以便使CPU能适当处理第一个数据包,或者处理因为某些其他原因不能在硬件中处理的数据包。在CPU做出转发决策以后(部分工作涉及查找路由表),进入到流高速缓存表中。利用基于CEF的转发模型,所有数据包(其中包括给定流中的第一个数据包)都在硬件中进行处理。路由器CPU仍然保持一个路由选择表,但在基于CEF的模型中还将另外创建2个表。在网络中存在实际用户通信存在以前先传输这些表,就像高速缓存的模型中的情况一样。这些表中的第一个表实际上是路由选择表中有关转发数据点的一份拷贝,路由选择表叫做FIB表。
第二表叫做相邻表。相邻表维持节点相邻数据库(在开放系统互联[OSI]模型的链路层,假如2个节点通过一个路段就能达到对方,那么就称这两个节点相邻。),并且他们的L2媒体访问控制(MAC)重写下一路段信息。通过对这两个表进行高速查找,可以以非常高效和一致的方式来访问转发表以及适当的写信息,同时还提供一种能提供很高的可扩展性的机制。
性能
在Catalyst的一个纯构架实现方案中,Catalyst 6500家族机箱配备有监控员引擎2、交换机构架模块和靠构架实现的线路卡,在中心交换引擎中可以得到高达30 Mpps的原始转发性能。通过比较,监控员引擎1A能达到高达15 Mpps 的吞吐率。通过添加即将推出的Cisco分布式转发卡(DFC),可以实现更高的吞吐率。这种分布式转发卡是一种可以现场升级的子板。DFC在各端口基础上提供了更多的基于CEF的转发能力,答应性能提高到100 Mpps以上。这种模型从概念上说与Cisco 7500路由器家族的分布式CEF模型非常类似。在Catalyst 6500系列上,对CEF功能的重要考虑是ACL和服务质量机制是在硬件中实现的,因此不会对系统性能有负面影响。
可扩展性
通过增加可用FIB入口的原始数量以及在每个插槽上的复制基于CEF的转发技术,基于CEF的转发提高了可扩展性,。这种分布式CEF能力Catalyst 6500家族提供足够的转发能力用于最大的网络。当配有监控引擎2时,Catalyst 6500家族能在FIB表中提供最多128000个入口、在相邻表中提供128000个入口。注重:与NetFlow表中一样,这些入口不是通过散列算法存储的。FIB和相邻表使用Ternary CAM(TCAM)技术进行高速查找。
可用性
尽管Catalyst 6500提供了广泛的特性来支持高可用性,添加CEF进一步加深了当今互联网基础设施中的可用性和稳定性。随着网络规模的扩大,其自然的副作用就是增加了不稳定和变化的机会。网络稳定性,不论是由故障、配置变化、还是由猝发通信样式引起的,都能对路由选择的实施方案产生巨大影响,路由选择依靠大量CPU计算进行路由选择表维护。因为CEF利用了一种机制,利用这种机制根据网络拓扑重组信息,而不是在网络中重现通信业务,CPU不再有被迫设置大量入口的负担。这也意味着随之产生的网络可用性与网络的实际规模没有直接联系。
记帐
Catalyst 6500系列所成功依靠的流高速缓存模型提供了很多必需的网络使用情况记帐数据。这些数据一直用NetFlow记帐的格式。使用了NetFlow数据出口来从Catalyst 6500机箱提取这一流记帐数据,并提供非常具体的记帐数据,它将提供各个流的使用情况信息。
当配有一个监控引擎2时,Catalyst 6500系列机箱不再作出基于流的转发决策,但仍能提供NetFlow记帐数据。尽管监控引擎上使用了基于CEF的转发机制用于实际L3转发,将继续同时维持一份NetFlow转发表,以便提供必要的记帐数据。
负载均衡
Csico EXPRess Forwarding 还提供了多个相同成本的路径之间通信业务的负载均衡功能。通常,路由选择协议,如OSPF和增强内部网关路由选择协议(EIGRP)等,都将相同成本负载均衡路径的数量限制为4个。采用CEF,相同成本平行路径的数量可以增加到6个,可以存在4个以上的平行,但是在一个实际路由选择表中可以安装最多4个路径。诸如EIGRP和OSPEF等路由选择协议支持路由选择信息库(RIB)的概念。假如某一路由不能安装到路由选择表中,可以将它保留在RIB中。因为CEF依靠一个FIB和相邻表进行转发决策,它并不是仅限于路由选择表中所实际存在的路由,事实上,它也能参考RIB,RIB使CEF能安装更多的平行路径(从RIB中寻找其入口)。注重:Catalyst 6500家族只提供了每个流的并行路径之间的负载均衡能力。这意味着当使用基于CEF的转发时,Catalyst 6500家族交换机不支持按数据包进行负载均衡。
访问控制清单
在支持ACL方面,这也是各种CEF实施方案相互区别的另一种方式。在Catalyst 6500家族中,ACL能在硬件中处理最普通的配置。基于CEF的转发对这一功能没有任何影响。抑制谋ACL的硬件处理的最常用的ACL选项是使用log口令或在给定的接口上启动ip-不可实现。注重,这些ALC选项与Catalyst 6500系列交换机上的CEF相互独立。
CEF支持IP组播
Catalyst 6500家族上的CEF实施方案也包括支持IP组播。FIB能有多达16000个IP组播入口,其中包括(S、G)和(*、G)入口(总数为16000)。
小结
CEF提供了高性能和很强的可扩展性,可以用于最大和要求最苛刻的网络。通过采用监控引擎2,Cisco使得Catalyst 6500家族交换机实现嵌入在硬件中的CEF转发。监控引擎2提供了大型企业和服务提供商环境所需的可扩展性和性能要求。在引入基于CEF的转发的同时,Cisco还设法保留了对多层交换转发模型的计费支持。
FlexWAN模块
FlexWAN模块给Catalyst 6500家族交换机增加了广域网(WAN)和城区网(MAN)能力,这些交换机可以是部分T1/E1到155 Mbps。这一模块使得能在Catalyst 6500家族中使用Cisco 7200和7500系列单个宽端口适配器。
FlexWAN答应将WAN和MAN访问与局域网(LAN)交换进行集成、简化网络设计和整合网络基础设施。这使得在一个全面解决方案中需要治理的网络元素数量较少。FlexWAN设计用于提供WAN访问和先进的服务质量特性,如:基于类别的加权平均队列。通过使用现有Cisco 7200和7500系列端口适配器,它提供了各种WAN媒体选择。这一模块答应Catalyst 6500家族用于通常由外部WAN路由器执行的功能。
在新的网络部署中,FlexWAN可以用来合并来自LAN、MAN和WAN连接。在MAN和WAN中,Catalyst 6500家族交换机用作核心或分配要素,而FlexWAN模块可以终接来自其他园区网的连接。在同步光网络(SONET)上,中心Catalyst 6500家族交换机使用DS3和ATM来终接远程场地和OC-3数据包。
高可用性
Catalyst 6500系列多层交换机已经成为了当今服务服务提供商环境中健全的网络设计的一个要害部件。Catalyst 6500所起的作用这样重要,它必须提供可靠的交换平台,并同时提供高性能和智能网络服务。Catalyst 6500系列具有多个特性和选项来提高系统的可用性。这些包括可选冗余交换构架、高可用性特性的全面的协议冗余、以及图像变型支持(用于免点击软件升级)。本白皮书以下各节将更具体地描述这些高可用性特性。
冗余交换构架
自从Catalyst 6500推出以来,它一直建立在单总线交换结构上,这给系统中的所有数据包提供了数据路径。下一代Catalyst 6500系列包括了网络交换构架(交换机构架模块即SFM)作为高带宽要求的另一种交换结构。SFM也给系统提供了另一层硬件冗余。依靠构架实现的第一代线路卡(如WS-X6516-GBIC)将提供到交换构架和现有系统总线背板的连接。这使得Catalyst 6500系统能使用这一交换构架作为构架实现的线路卡进行数据传输的主要手段。假如交换构架故障,系统总线背板将接管,以保证数据交换将能继续进行(速度为15 Mpps)并维持网络在线。注重交换性能的这一变化只适用于系统原来的传输速度高于15 Mpps的场合。假如系统原来的速度是15 Mpps或以下,那么从构架到系统总线的故障切换不影响性能。另外,Catalyst 6500系列可以配置为双交换构架模块(在插槽5和6中)。这提供了第三级构架冗余。在这种配置中,在主构架模块上的故障将导致切换到辅助构架模块上,以保证以30 Mpps的速度连续工作。假如还有更多的构架模块故障(这种情况不太可能发生),还仍继续切换到系统总线上。
冗余监控引擎
双路监控引擎为Catalyst 6500系列的转发智能提供了硬件冗余。Catalyst 6500系列能支持最多2个监控(插槽1和2)。其中一个监控作为工作或当前活动的监控,而另一个用作待机监控。当前活动的监控是首先在线的监控,可以用监控外部的“Active”LED(发光二极管)或者通过从显控台上键入“show module”(显示模块)命令进行确认。两个监控引擎必须是同一个硬件型号(也就是说,假如插槽1中的监控1A上是一个PFC和MSFC,那么,在插槽2中的监控1A上也必须有一个PFC和MSFC;或者,假如插槽 1中是一个监控2,那么在插槽2中也必须是一个监控2)。监控引擎1A和2可以用在Catalyst 6500和6500系列中。假如当前活动监控引擎故障或离线,待机监控将接管系统控制。
冗余监控配置中的2个监控各有不同的职责。当前活动的监控控制系统总线和所有线路卡。所有协议都在当前活动的监控上运行,这一监控完成所有的数据包转发。待机监控不与线路卡通信。它从网络接收数据包并将根据此信息放到转发表中,但并不参与任何数据包转发。在待机监控上,将初始化但不会激活系统上的有关协议。Catalyst 6500系列监控引擎是热切换的、并且待机监控引擎可以安装到当前活动系统中而不影响网络操作。注重冗余监控不进行负载共享。当前活动监控给系统提供了整个数据包转发智能(N+1冗余)。假如当前活动的监控发生故障,待机监控仍然能继续维持相同的系统负载。
高可用性特性将从当前活动到待机监控的切换时间降低到了不到3秒就能恢复正常工作。通过同步当前活动和待机监控引擎中的很多L2、3、4协议,实现了最短的停机时间。这叫做维持协议状态,如图1所示。
图1. 冗余监控状态协议冗余
图1字:
协议数据库
当前活动监控
待机监控
数据包
数据层
对于双监控引擎之间的状态协议冗余,对于要求高可用性支持的所有协议和特性,在每个监控引擎上都有一个协议状态数据库。这些协议中的大多数只在当前活动的监控上运行。在高可用性切换时,新的当前活动监控能从更新的数据库状态而不是从初始化状态来启动协议。这样,当当前活动监控离线时,冗余监控系统能维持状态协议冗余和最小的网络停机时间。
图像变型(versioning)
图像变型是高可用性特性的第二个要素。这一特性依靠于需要有双监控配置中所答应的高可用性。这样,它答应在当前活动和待机监控上运行不同但兼容的图像,从而抑制缺省监控图像同步过程。通过使用高可用性特性的状态监控切换,这一特性使得能“快速”进行监控软件版本升级。这一过程被叫做“免点击软件升级”,但是,在实际使用中,需要少量点击(在3秒以下)。这不仅能升级软件而不需要进行重新自举引导,还能在待机监控上保持以前使用过的和经过测试的版本,万一软件升级发生什么问题,可以用保留的版本恢复。
MSFC冗余
多层交换机特性卡2(MSFC 2)路由选择引擎是监控引擎上的一个可选子板。冗余监控硬件配置也能包括冗余MSFC 2路由选择引擎。这样,适当操作监控引擎是适当操作监控引擎的基础。监控复位或故障切换也使MSFC路由选择引擎复位。
尽管CatOS高可用性特性维持了冗余监控之间的协议状态,热待机路由选择协议(HSRP)需要配置为冗余MSFC之间的故障切换。HSRP被用来提供第一段、组播冗余。需要在两个MSFC上为要求第一段冗余的每个虚拟LAN(VLAN)配置HSRP。在双路监控引擎和MSFC配置中,两个MSFC都是当前活动的路由器。因此,通过使用路由选择引擎之间的轮询机制,MSFC之间的HSRP的工作过程与物理上隔离的HSRP中的工作过程相同。有关HSRP的更具体的情况,可以在Cisco.com上的《Catalyst 6500家族软件用户指南》中获得。
在MSFC IOS 软件发布12.1 (3a) E4以前,每个MSFC必须分别配置。更具体地说,诸如访问清单、服务质量特性等配置参数必须在两个MSFC上用完全相同的方式单独配置。不能复制的那些参数(如IP地址和HSRP设置等)仍然必须在每个MSFC上不同配置。
另外,在本软件发布以前,FlexWAN模块的接口只属于指定的MSFC,这意味着这些接口不能出现在非指定的MSFC配置中,因此不能在非指定的MSFC上进行配置。在监控/MSFC故障切换时,成为新的指定MSFC的那个MSFC将没有适当配置的FlexWAN接口。鉴于此原因,在安装了FlexWAN模块后,不支持冗余监控/MSFC配置。MSFC配置-同步特性消除了这一限制。因此,在激活了配置-同步特性后,冗余监控配置现在可以支持FlexWAN。
从MSFC IOS R12.1(3a)E4中,具有一种叫做配置-同步的MSFC冗余特性,来实现MSFC和MSFC 2的冗余MSFC配置过程。这一特性使得指定(主)和非指定(辅助)MSFC的启动和工作配置实现同步。具体地说,无论什么时候当在指定MSFC上发出一个“写内存”或“拷贝源启动-配置”命令时,两个MSFC中的NVRAM中的启动配置都将更新。这使得在指定和非指定MSFC上的配置保持相同的配置而不需要人工键入每个命令两次。指定和非指定MSFC中的所有配置都是通过指定MSFC中的命令行接口(CLI)完成的。
使用双路监控与双路MSFC配置和高可用性特性更为网络设计添加了冗余水平。
通过以太通道提供的高可用性
以太通道 技术从标准单链路连接上提供了更大的带宽和冗余。一个以太通道包是一个最多有8个快速以太网或千兆以太网链路组成的小组,这一包就像交换机和路由器之间的一个逻辑连接一样。以太通道使用非常方便,因为它扩展了带宽而没有增加设计复杂性。生成树协议将以太通道包作为一个单一链路处理,因此没有引入生成树环路。路由选择协议也将以太通道包当作一个具有一个公共IP地址的单一路由接口处理,因此不需要额外的IP子网、在需要再建立额外的路由器对等关系。负载均衡由接口硬件处理。可以在监控或线路卡端口上建立一个以太通道链路,从而降低单一线路卡故障的影响。
监督
在Web托管数据中心和MAN中,现在,服务提供商有很大的爱好通过给其客户提供10、100、1000 Mbps的以太网连接来销售增量带宽。原来在WAN和MAN中提供增量带宽的唯一方法是通过帧中继、异步传输模式(ATM)或串行连接。通过使用到数据中心托管的以太网连接,没有任何手段来以这种方式销售增量带宽,因而数据中心或Web托管“放弃”了带宽。今天,对这一问题已经有了解决方案。Catalyst 6500家族给10/00/1000 Mbps以太网连接提供了坚固的监督特性。监督是一个过程,通过这一过程,Catalyst 6500家族多层交换机限制了每一个通信业务流所消耗的带宽。监督可以加快或减慢通信业务,或者直接丢弃通信业务。
Catalyst 6500家族上以太网接口上的配置监督功能答应服务提供商根据这些连接上的不同数量来销售带宽。这一特性给服务提供商提供了一种方法向他们的客户销售带宽,并能通过交换机上的软件配置来逐步提供或升级服务。
在Catalyst 6500家族的PFC硬件上进行监督而对性能没有什么影响。Catalyst 6500家族交换机能监督以太网接口,从最低速率参数32 Kbps到最高速率8 Gbps。
监督政策配置为丢弃所有超出分布的数据包或使所有超出分布的数据包具有较低的IP优先级或非凡服务控制点(DSCP)价值等。
另外,PFC2提供了各监督程序的统计,统计现实以下内容:
图2 解释了在数据中心或Web托管设施中如何使用监督的例子,这使得服务提供商能增量“销售”和控制到数据中心中的客户或服务器的带宽。
图2. 数据中心入侵检测中的监督例子
图2字:
客户
互联网
服务器链路的监督
服务器链路答应对每个端口、每个客户的带宽进行单独配置。超过配置带宽的通信业务将被丢弃。例如:尽管可以用一个监督程序政策语句来定义每个服务器连接,但将以5 Mpps的速度监督服务器连接。因为他们购买了10 Mbps,因此不对服务器连接进行监督。尽管可以用一个监督程序政策语句来定义每个服务器连接,但将以2 Mpps的速度监督服务器连接。内容和知识产权是大多数公司所拥有的最大财产,保护这些资产已经成为一个最大的难题。安全已经不再被主要作为一种保险政策。在电子商务环境中,安全被认为使业务得以进行的基础设施。客户将越来越多地使用保密产品和服务来帮助他们极大地增加收益、交易,并且大2位数速率的客户在将成本的增加限制为1位数或较小的2位数速率。假如能成功地实现,这一策略将确保利润的增长。
Catalyst 6500入侵检测系统(IDS)模块提供了昼夜网络警戒,并分析网络中的数据包数据流、搜索未经授权的活动,如黑客攻击、使用户能在系统性能变差以前响应安全违规。当检测到未经授权的活动后,系统将向治理显控台发出报警,提供具体的活动情况,并且能动态地调整政策来切断未经授权的会话。
图3 Catalyst 6500家族IDS模块
使用权的签名数据库和客户签名,IDS模块能检测基于上下文(只有数据包的报头)和基于内容(载荷)的攻击。例如:smurf、land、同步攻击、端口睡眠、ping没有反应等,不一一枚举。IDS模块分析捕捉的数据包,将他们与签名数据库进行比较,来检测典型的入侵活动。假如捕捉的数据包与规则集中规定的入侵样式匹配,则该模块向治理显控台发出一个告警并将自动响应(假如这样配置的话)。在不同的接口上发出告警,以避免暂停监视接口的连续数据包捕捉。
专用VLAN
背景在交换以太网环境中,有一个VLAN被用于给NALN中的所有主机提供任意到任意的连接。因为交换以太网环境中的托管要求分开,因此建立了更多的VLAN。L3设备提供了VLAN之间的内部连接,即路由器或多层交换机之间的内部连接。因为每个VLAN终接在一个L3设备上,从IP的角度看,每个VLAN也被分配了它自己的网络子网。不管一个交换机中是存在一个还是多个VLAN,L3设备都是用来连接VLAN的。
VLAN的一种常见应用是用于安全用途。例如:假如一个共享网络环境中有不同的客户,要求将哪些属于单一客户的哪些站分类到他们自己的VLAN和IP子网上。图4 给出了这种配置中的VLAN和IP子网。因为每个客户的网络用户可能分散在大楼内,各VLAN可能会在不同楼层上。
图4. 常见VLAN布局
图4字:
子网A
客户A
这一移动模型会产生很多复杂性。随着给网络增加更多的客户和用户,这些复杂性将继续提高。随着时间的推移而增加更多的客户,属于公共客户的用户能相互离开很近的可能性就越小。
从L2的角度看,添加到这一网络的每个客户都需要一个新的VLAN以便进行配置和治理。随着给这一拓扑增加更多的VLAN,生成树将变得更复杂。除了优先地治理这一环境中的带宽外,你还必须一致地跟踪每一个VLAN中继,来确保它只传输必需的VLAN。随着给这种拓扑增加新客户、或者现有客户扩展到新的交换机上,生成树也变得稍微更复杂一点。
从L3的角度看,情况更加复杂。因为每个客户有其自己的VLAN,它必须有其自己的IP子网。在这种方案中,可能存在两个不同的出口点,即L3交换机。因此,对于增加到网络上的每个客户,必须给它分配一个单独的IP子网。在每个分配的子网中,广播地址要使用2个地址。与HSRP有关的地址要使用3个地址。因为需要精确地估计未来地址空间要求,以便使得能够分配某一初始IP子网来满足预期发展,因此其复杂性更大。因为客户的大小可变,这种设计方案中的路由选择表可以用大量可变长度的子网组成集群。
这类网络要求最常见的例子是在Web托管服务中。Web托管服务包括大量LAN基础设施,这些基础设施能够容纳很多客户以及与他们有关的Web服务器。图5给出了一个具有4个客户的普通Web托管网络。为了确保Web托管服务客户之间的安全,给每个客户分配了其自己的VLAN和IP子网。每个客户可以有不等数量的服务器,并可能需要不同规模的子网。
图5 典型的Web托管环境
图5字:
客户机A
子网A
缺省网关用于所有VLAN
这种部署的一个明显的限制是生成树的可扩展性。在一个能提供Web托管服务的现代数据中心中,10000台服务器也是很常见的。然而,在典型模型中,每个客户不论其大小只给它分配了它自己的VLAN。大型交换机环境中,这种做法导致了生成树可扩展性和性能会提出一些限制。
典型托管环境还导致过渡浪费IP地址空间。
Web托管设计等环境的共同特点是:从主机自身通过缺省网关到互联网的接续要求比较非凡。在很多情况下,服务器之间的接续并不是一个要求。为属于同一客户的服务器之间的通信提供便利条件的一种常用方法是建立一个单独的“后端”网络,因此,给某一客户分配单独的VLAN的唯一目的是防止属于不同客户的服务器之间发生通信,并答应所有服务器和到互联网路径上的所有缺省网关进行通信。
为了减轻与部署和治理环境(诸如典型托管环境等)有关的很多困难,Cisco开发一种叫做专用VLAN的特性。
专用VLAN介绍
专用VLAN是一个并不生疏的L2网络基础设施,它是普通VLAN的一种扩展。在一个专用VLAN中有3个单独的端口指配,每个端口有其自己唯一的规则集,这些规则管辖所连接的端点与连接到专用VLAN内的端口上的其他端点进行通信的能力。3个端口指配是混合(Promiscuous)、隔离和团体。
一个连接到混合端口的端点能与专用VLAN中的任何端点通信。可以在一个专用VLAN中定义多个混合端口。在前面提到的托管环境中,L3交换机缺省网关通常连接到混合端口上。
隔离端口通常用于只需要接入到有限数量端点的那些端点。连接到一个隔离端口的端点只能与连接到混合端口的那些端点通信。连接到相邻隔离端口的端点不能通信。在一个Web托管环境中,隔离端口保留用于只需要访问缺省网关的主机。
在某些情况下,需要在属于同一客户的端点之间进行通信。“前端内容”复制、高混合性NIC、服务器集群等都要求某些形式的前端复制。在这种情况下,专用VLAN的团体特性是非常有用的。专用VLAN团体是属于一个客户的一组隔离的端口。在团体以内,端点能相互通信,并能与定义的混合端口通信。属于一个团体的端点不能与不同团体的端点通信。
不管在一个专用VLAN中如何组合使用隔离、团体和混合端口,它仍然是一个L2结构,因此只需要一个IP子网。现在,寻址模型发生了变化,不是给每个客户分配一个自己的子网,而是从1个~2个公共大型IP网络分配一段地址。通过从一个或2个公共大型IP网络分配地址,有效减少了地址浪费。
专用VLAN的所有限制功能都在硬件中实现,因此不需要依靠软件学习机制进行设置。硬件实现确保了最高的端口安全性,并且使得专用VLAN的特性不会受到可能的软件缺陷的影响。另外,专用VLAN和普通VLAN能同时共存在一个机箱中。假如需要的话,您也可以在一个交换机中定义多个专用VLAN。
专用VLAN的应用
专用VLAN提供了两个主要好处:即优化IP地址治理和减少多客户机环境里的VLAN的消耗。因为整个专用VLAN结构被认为是一个L2域,它可以用一个大地址范围来寻址。从而不需要为多客户机环境中的每个客户机估算未来地址要求和相应地给每个客户机分配可变长度的子网。利用专用VLAN,当给服务增加属于现有客户将新的客户机或新的服务器时,他们从公共连续网络分配得到响应的地址。尽管给某一客户机的总的地址范围可以分段,但所有地址都象是属于一个网络一样地传输。在专用VLAN系统中,地址空间片段可以忽略。其主要目标是在相邻服务器之间提供L2隔离和访问公共服务,如:缺省网关、备份服务器等。在每个客户机有一个VLAN的老型号中,当一个客户的服务器数量超过了分配的子网所能寻址的范围以后,地址空间片段也是很常见的。
在图4的情况中,没有使用团体端口,因为它包括了单独的后端网络用于服务器到服务器通信。因此,在服务器前端,部署了一个专用VLAN。每个服务器连接到选用VLAN的一个隔离端口上。整个基础设施只使用了一个IP网络和2个VLAN(一个主VALN和一个辅助VLAN)或隔离VLAN。
图6. 专用VLAN的应用
Catalyst 6500系列多层交换机上的专用VLAN特性大大减少了部署大型多客户机交换环境的复杂性。因为给新的服务器分配了公共地址池中的四周的连续地址,IP寻址治理更简单了。客户机不是有一个专门的IP子网,而是能有一段连续或不连续的IP地址。前端L3交换机只需要传输到一个IP网络
新闻热点
疑难解答