• 目的
• 簡介
• 可供選擇的Supervisor
• 交換規(guī)格
• 內(nèi)存規(guī)格
• 軟件需求
• 第2層功能
• 第3層交換
• ip交換功能
• 總結(jié)

Cisco Catalyst 4006 Supervisor Engine III可以增強對于語音、視頻和數(shù)據(jù)流量的控制，有助于實現(xiàn)融合網(wǎng)絡(luò)。新推出的Engine III能夠?qū)⒕€速的第2/3/4層交換與增強的控制結(jié)合在一起，從而讓企業(yè)和城域以太網(wǎng)用戶在部署基于互聯(lián)網(wǎng)的應(yīng)用時具有業(yè)務(wù)靈活性。Supervisor Engine III可以在Cisco Catalyst 4006的各個端口上，加快實現(xiàn)Cisco IOS的豐富功能，其中包括線速的復(fù)制，完整的第2/3/4層功能集，增強的QoS，ACL，以及在無須更換現(xiàn)有線路卡的情況下在硬件上實現(xiàn)多播。

目的

本文將概述用于Cisco Catalyst 4006的Supervisor Engine III的架構(gòu)（產(chǎn)品號：WS-X4014）。

簡介

Supervisor Engine III為Cisco Catalyst 4006提供了與Cisco IOS軟件緊密集成的第2/3/4層功能。該解決方案提供了一種先進的、高性能的10/100/1000Mbps集中式交換解決方案，并且專門針對企業(yè)的布線柜進行了優(yōu)化。Supervisor III支持全面普及的Catalyst 4006機箱，多達240個10/100/1000全雙工以太網(wǎng)端口，以及兩個上行鏈路千兆以太網(wǎng)端口。Supervisor可以在第3/4層上為IP和IP多播提供高達48Mpps（64字節(jié)數(shù)據(jù)包）的數(shù)據(jù)包轉(zhuǎn)發(fā)率，并能夠?qū)⒔粨Q容量提高到64Gbps。服務(wù)質(zhì)量（QoS）功能包括對于每個端口的四個傳輸隊列的支持，以及根據(jù)IP優(yōu)先級設(shè)置、DSCP和第四層流量信息，進行流量分類的功能。第2/3層交換也能夠以全線速獲得支持。

可供選擇的Supervisor

Cisco Catalyst 4000系列交換機可以選用三種功能強大的Supervisor Engine產(chǎn)品。每種產(chǎn)品都可以提供高性能、集中式、共享內(nèi)存的交換架構(gòu)。Catalyst 4003可以采用Supervisor I，Catalyst 4006可以使用Supervisor II或者Supervisor III。另外，針對Supervisor III的Cisco IOS軟件還提供下列三種軟件影像：

1. 基本的第3層軟件影像
2. 增強的第3層軟件影像，包括OSPF、IGRP或者EIGRP
3. 具有BGP的域內(nèi)路由功能

Catalyst 4006 Supervisor Engine III

注重：Supervisor Engine I和II運行Cisco Catalyst OS，而Supervisor Engine III運行Cisco IOS Supervisor。

用于Cisco Catalyst 4006的Supervisor Engine 運行的是Cisco IOS Supervisor，它的主要功能包括：

• 基于ASIC的轉(zhuǎn)發(fā)引擎，在第2/3/4層上都可達到線速，并在所有端口上都支持ACL和QoS。總轉(zhuǎn)發(fā)速率可達48Mpps。
• 64Gbps非阻塞交換結(jié)構(gòu)。
• Cisco IOS支持路由和橋接VLAN流量、熱備用路由協(xié)議、入口和出口SPAN，以及所有標(biāo)準(zhǔn)路由協(xié)議。
• 在線路卡中集成Cisco以太通道、快速以太通道、千兆位以太網(wǎng)技術(shù)。
• 范圍廣泛的服務(wù)質(zhì)量功能――對IP數(shù)據(jù)包進行分類、整理、標(biāo)記、排序和排程；分別設(shè)置1024個輸入和輸出策略；每個端口四個傳輸隊列，可以區(qū)分語音、視頻、其他數(shù)據(jù)，以及路由橋接控制數(shù)據(jù)包。

下圖顯示了一塊裝有主要ASIC的Supervisor III電路板。

圖1 WS-X4014，Cisco Catalyst 4006 Supervisor Engine III

交換規(guī)格

下表列出了Supervisor III的主要特性。

內(nèi)存規(guī)格

下表列出了Supervisor III的內(nèi)存的主要規(guī)格。

軟件需求

Supervisor Engine III只支持Cisco IOS軟件影像。它需要軟件版本在12.1（8a）EW以上。

系統(tǒng)架構(gòu)

Supervisor Engine III建立在一個低延時、集中式、共享內(nèi)存的交換架構(gòu)的基礎(chǔ)之上，這種架構(gòu)可以提供先進的功能，消除任何發(fā)生線頭阻塞的可能性。這種架構(gòu)可以在所有端口上提供線速的第2/3/4層交換。對于每個輸入的數(shù)據(jù)包來說，數(shù)據(jù)包數(shù)據(jù)都會被寫入到共享內(nèi)存中，并產(chǎn)生一個數(shù)據(jù)包描述符。只有數(shù)據(jù)包描述符會通過一系列中間處理和更改點，而原始數(shù)據(jù)包數(shù)據(jù)則停留在數(shù)據(jù)包緩存中。

架構(gòu)

Supervisor III具有一個集成化的交換引擎，該引擎主要由兩個ASIC組成，分別是數(shù)據(jù)包處理引擎（PPE）和快速轉(zhuǎn)發(fā)引擎（FFE）。

圖2 Supervisor Engine III的集成化交換引擎

下面是對這兩個ASCI的具體介紹：

PPE（數(shù)據(jù)包處理引擎）――這種ASIC可以治理交換機的共享數(shù)據(jù)包緩存。它可以分解數(shù)據(jù)包報頭，同步改寫MAC報頭，添加和去除VLAN標(biāo)簽。它還可以對需要輸出的數(shù)據(jù)包進行排序。PPE只將數(shù)據(jù)包放在緩存中一次――Supervisor III從不復(fù)制數(shù)據(jù)包中的數(shù)據(jù)部分。PPE擁有32個非阻塞千兆位端口，并分別與五個插槽都建立了6Gbps的連接。這種6Gbps的線路卡連接可以進一步分為阻塞式10/100或者10/100/1000端口。

FFE（快速轉(zhuǎn)發(fā)引擎）――這種ASIC可以在處理ACL和QoS的同時，制定第2/3/4層轉(zhuǎn)發(fā)決策。FFE只著眼于數(shù)據(jù)包的描述符，它還可以提供一個連接CPU的接口。

PPE和FFE ASIC通過共同協(xié)作，為32個千兆位端口或者240個10/100/1000端口提供非阻塞、線速第2/3/4層交換。這兩種ASIC都具有單片內(nèi)存和外部內(nèi)存，這些內(nèi)存可以用于保存數(shù)據(jù)包交換所需的狀態(tài)信息。下列章節(jié)將更加具體地介紹這些重要的芯片。

數(shù)據(jù)包處理引擎

Supervisor Engine III是一種共享內(nèi)存處理引擎。PPE可以處理交換架構(gòu)、數(shù)據(jù)包內(nèi)存和隊列內(nèi)存中的32個千兆位以太網(wǎng)（GE）端口之間的數(shù)據(jù)通道。如下圖所示，PPE通過四個串行/解串多路復(fù)用 (SERDES)芯片與GE端口相連接，這些芯片可以連接實際的千兆位串行線路設(shè)備。SERDES位于Supervisor III引擎中，每個SERDES芯片支持8個GE端口，從而共可提供32個非阻塞GE端口。每個線路卡槽具有六條連接Supervisor Engine III的全雙工Gbps鏈路（在背板中總共有30Gbps輸入和30Gbps輸出）和兩條GE治理上行鏈路，總共達到64Gbps。

圖3 數(shù)據(jù)包處理引擎

PPE分別用外部數(shù)據(jù)包內(nèi)存和隊列內(nèi)存來存儲數(shù)據(jù)包數(shù)據(jù)和傳輸隊列。另外，PPE具有下列單片內(nèi)存：

• 傳輸計數(shù)內(nèi)存――存儲所有數(shù)據(jù)包的傳輸計數(shù)和字節(jié)計數(shù)器。
• 下一跳內(nèi)存――存儲用于IP轉(zhuǎn)發(fā)的下一跳MAC地址。
• 空閑列表內(nèi)存――存儲用于跟蹤數(shù)據(jù)包內(nèi)存中的空閑單元的信息。
• 端口統(tǒng)計存儲――保存用于支持RMON的端口統(tǒng)計信息。

快速轉(zhuǎn)發(fā)引擎

FFE可以為IP單播和多播數(shù)據(jù)包制定轉(zhuǎn)發(fā)決策，并進行ACL和QoS處理。它還可以為多播、SPA等進行數(shù)據(jù)包復(fù)制。FFE用外部TCAM來存儲被轉(zhuǎn)發(fā)的數(shù)據(jù)包的狀態(tài)信息。

Supervisor III硬件中的所有IP轉(zhuǎn)發(fā)工作都是利用能夠以很快的速度提供高質(zhì)量數(shù)據(jù)包處理服務(wù)的三重CAM（TACM）完成的。TCAM采用了0.18um的COMS技術(shù)，因而可以在一片電路上擁有超過1MB的內(nèi)存，足以存儲訪問列表和QoS分類符。Supervisor III 的TCAM具有18MB的存儲密度，硬件容量足以存儲多達512K的IPv4目的地地址。

ACL、QoS或者IP轉(zhuǎn)發(fā)規(guī)則都被放入"TCAM編譯器"中，該編譯器可以將ACL映射到TCAM位。在TCAM中，一個記錄項的任何一位都可以被隱藏。TCAM可以返回第一個符合的記錄項的編號。這種能夠匹配任何一組數(shù)據(jù)包描述符位的能力可以有效地提供一組豐富的IP功能，例如單播路由、多播路由、訪問列表或者流量治理等。Supervisor III TCAM最高速度可達200MHz，搜索速度可以超過每秒五千萬次。

下圖顯示了具有TCAM的快速轉(zhuǎn)發(fā)引擎的結(jié)構(gòu)框圖。

圖4 快速轉(zhuǎn)發(fā)引擎（FFE）

FFE在工作過程中還用到了多種外部內(nèi)存，它們是：

• 生成樹內(nèi)存――存儲每個端口/VLAN生成樹的狀態(tài)。
• 多播擴展表（MET）――存儲每個記錄項中的VLAN和端口組，用于第2/3層的多播。該表格最多可存儲64K記錄項。
• 轉(zhuǎn)發(fā)內(nèi)存――存儲用于第3層轉(zhuǎn)發(fā)的鄰接表。
• 轉(zhuǎn)發(fā)CAM（TCAM）――存儲IP轉(zhuǎn)發(fā)規(guī)則、CEF表。
• 輸入/輸出TCAM――存儲輸入和輸出的ACL和QoS規(guī)則。

另外，F(xiàn)FE還具有下列片上內(nèi)存：

• 第2層搜索內(nèi)存――存儲用于第2層搜索的MAC地址信息。
• 鄰接內(nèi)存――存儲用于IP單播轉(zhuǎn)發(fā)的對外接口的ID。
• 分類內(nèi)存――存儲分類CAM記錄項的操作。
• 統(tǒng)計內(nèi)存――有多個統(tǒng)計內(nèi)存，用于記錄鄰接、分類和IP輸入/輸出接口的統(tǒng)計信息。

CPU接口

Supervisor III 配有一個300MHz的PowerPC MPC8245 CPU，該CPU可以與FFE ASIC互傳信息。例外情況：在硬件中無法處理的數(shù)據(jù)包，或者由軟件產(chǎn)生的數(shù)據(jù)包通過這個接口。該CPU還負責(zé)執(zhí)行其他的控制面板功能，例如ARP、生成樹協(xié)議和系統(tǒng)治理。

Supervisor III還可以為發(fā)送給CPU的數(shù)據(jù)包提供QoS功能。這些數(shù)據(jù)包不會直接發(fā)送給CPU，而是首先被放到一個隊列中。總共有32個隊列，每個用于一個特定的事件。通過對CPU編程，可以用軟件控制每個外部事件所對應(yīng)的隊列。這些事件包括控制流量（BPDU，路由協(xié)議數(shù)據(jù)包），RPF錯誤，SPAN，MTU檢查錯誤，ACL記錄等等。該軟件可以靈活地將這些事件分配到不同的隊列中。這樣，具有較高的優(yōu)先級的路由數(shù)據(jù)包會被分配到優(yōu)先級較高的隊列中，而其他數(shù)據(jù)數(shù)據(jù)包（例如ACL記錄）則被分配到優(yōu)先級較低的隊列中。CPU能夠以一種循環(huán)的方式處理每個隊列中的信息。這種功能讓Supervisor III可以保護重要的流量，并更加有效地治理它們。

線路卡接口

Cisco Catalyst 4006的機箱具有六個插槽，一個用于supervisor，五個用于線路卡。每個線路卡都與背板間有一條12Gbps的全雙工連接。在Supervisor Engine III上，PPE通過串行/解串多路復(fù)用 (SERDES)芯片連接到千兆以太網(wǎng)端口。共有四個SERDES芯片，每個支持8個GE端口。PPE上的每個千兆端口都可以單獨地進行配置，通過連接一個"短線"芯片，支持多達4個或者8個物理端口（10/100或者10/100/1000）。"短線"芯片是指簡單的多路復(fù)用/信號分離芯片，可以從交換架構(gòu)中引出一根千兆位鏈路，以不同的速度將數(shù)據(jù)分散到多條物理鏈路中。這使得具有Supervisor Engine III的Catalyst 4006可以擴展到240個10/100/1000端口。

圖5 Cisco Catalyst 4006背板，Supervisor III和線路卡接口

數(shù)據(jù)包流量

Supervisor Engine III在硬件上可以提供線速的第2/3/4層交換性能，總速率可達48Mpps。數(shù)據(jù)包處理引擎（PPE）和快速引擎（FFE）互相協(xié)作，共同轉(zhuǎn)發(fā)數(shù)據(jù)包。線路卡中沒有本地轉(zhuǎn)發(fā)邏輯；所有數(shù)據(jù)包都到Supervisor進行中心轉(zhuǎn)發(fā)。從硬件的角度來說，通過Supervisor Engine III交換引擎的數(shù)據(jù)包的交換操作可以分解為三個主要的部分：接收，轉(zhuǎn)發(fā)決策，傳輸。

接收操作的主要步驟如下圖所示：

1. 數(shù)據(jù)包數(shù)據(jù)緩存――從線路卡接收到的數(shù)據(jù)包被保存在數(shù)據(jù)包內(nèi)存（PM）中。數(shù)據(jù)包在PM中時始終都沒有標(biāo)簽；假如數(shù)據(jù)包在接收到時具有標(biāo)簽，那么將會被除去ISL或者802.1q標(biāo)簽。數(shù)據(jù)包只能在內(nèi)存中寫入一次。網(wǎng)絡(luò)中數(shù)據(jù)包的平均大小是256字節(jié)，因此數(shù)據(jù)包內(nèi)存會以256字節(jié)為單位，按照數(shù)據(jù)包的大小劃分空間。這種有效的技術(shù)還讓硬件可以將這些單元鏈接，形成9kb的大型數(shù)據(jù)包。大型數(shù)據(jù)包功能將在以后的軟件版本中得到支持。PPE還將升級端口統(tǒng)計信息，抑制廣播信息。
2. 第2/3/4層流量標(biāo)簽生成――數(shù)據(jù)包的報頭需要被分解，以提取出第2/3/4層的標(biāo)簽。這些標(biāo)簽和其他數(shù)據(jù)包信息（例如長度、輸入端口、標(biāo)簽?zāi)Ｊ健LAN ID、CoS和TCP/IP報頭）都會經(jīng)過處理放入一個數(shù)據(jù)包搜索描述符（PLD），再發(fā)送給FFE。

轉(zhuǎn)發(fā)操作的主要步驟如下圖所示：

1. 轉(zhuǎn)發(fā)搜索――FFE可以利用搜索內(nèi)存，通過考慮生成樹狀態(tài)（存儲于生成樹內(nèi)存中）進行一次第2層搜索。在硬件上可以支持32K個MAC地址。假如第2層搜索可以獲得路由器的MAC地址，那么就會進行第3層搜索。為了進行第3層轉(zhuǎn)發(fā)，硬件支持高達128個基于目的地的轉(zhuǎn)發(fā)入口。用于IP單播路由的Cisco快速轉(zhuǎn)發(fā)數(shù)據(jù)庫存儲在轉(zhuǎn)發(fā)CAM和轉(zhuǎn)發(fā)內(nèi)存中。鄰接數(shù)據(jù)庫包括鄰接節(jié)點的列表，這些節(jié)點的MAC地址被存儲在Supervisor III系統(tǒng)的兩個部分中：FFE中的單片鄰接內(nèi)存和PPE中的單片下一跳內(nèi)存。FFE只能傳輸IPv4數(shù)據(jù)包。
2. 分類――對于IPv4數(shù)據(jù)包來說，第3/4層標(biāo)簽可以與用于ACL或者QoS規(guī)則的分類CAM相符。FFE決定是否通過將分類搜索的結(jié)果與第2/3層搜索的結(jié)果結(jié)合在一起來轉(zhuǎn)發(fā)數(shù)據(jù)包。對于非IP的數(shù)據(jù)包來說，第2層標(biāo)簽被用于搜索分類CAM。Supervisor III中豐富的QoS模型由FFE和PPE共享。FFE負責(zé)進行分類、制定輸入/輸出策略和標(biāo)記。PPE負責(zé)進行輸出帶寬的共享和設(shè)計，以及進行嚴格優(yōu)先級排序。
3. 復(fù)制――第2層或者IP多播數(shù)據(jù)包，以及需要復(fù)制到兩個或者更多的端口的單播數(shù)據(jù)包，會被復(fù)制。這種復(fù)制由FFE完成，即將數(shù)據(jù)包分配給多播復(fù)制隊列（MRQ）。復(fù)制的數(shù)據(jù)包會被復(fù)制到多播擴展表（MET）記錄項指定的每個端口/VLAN。MET資源由第3層多播路由和第2層多播記錄項共享。第3層搜索時間與前綴長度無關(guān)；擁有特定的/32路由不會對性能造成任何影響。
4. 輸出隊列――假如數(shù)據(jù)包被路由，F(xiàn)FE將會進行MTU檢查。假如數(shù)據(jù)包不能進行MTU檢查，它將會被發(fā)送到CPU進行分解。FFE會產(chǎn)生一個數(shù)據(jù)包傳輸描述符（PTD），并將它發(fā)送給PPE。PTD會指定傳輸數(shù)據(jù)包所需要的所有信息。當(dāng)PPE接收到一個PTD時，它會將它放入指定的傳輸隊列，或者隊列內(nèi)存中的丟棄隊列中。

轉(zhuǎn)發(fā)操作的主要步驟如下圖所示：

1. QoS排程――FFE負責(zé)進行輸出帶寬的共享和設(shè)計。由PPE進行的QoS排程技術(shù)包括：流量設(shè)計（每個隊列的最高流量速率），共享（每個隊列的最低流量速率），用于傳輸隊列映射的DSCP，以及在數(shù)據(jù)包被改寫之前將數(shù)據(jù)放置到嚴格優(yōu)先級（隊列3）中。
2. 讀取數(shù)據(jù)包描述符――在端口預(yù)備好傳輸下一個數(shù)據(jù)包時，該端口的下一個PTD被從隊列內(nèi)存中相應(yīng)的傳輸隊列中讀取出來。
3. 改寫數(shù)據(jù)包――假如數(shù)據(jù)包需要IP改寫（例如改寫MAC報頭、IP TTL、ToS）和重新生成IP報頭檢查和，就需要進行改寫。所有改寫功能都有PPE完成。
4. 傳輸數(shù)據(jù)包――假如數(shù)據(jù)包需要按照數(shù)據(jù)包描述符所指定的方式添加標(biāo)簽（802.1q或者ISL），那么該操作將會在傳輸數(shù)據(jù)的同時，在PPE中完成。

第2層交換

本節(jié)將介紹Supervisor Engine III進行第2層幀交換的邏輯數(shù)據(jù)包流程。

圖6 Supervisor Engine III進行第2層交換的邏輯流程

當(dāng)在一個輸入端口上接收到一個數(shù)據(jù)包時，將執(zhí)行一次輸入端口處理，以檢查是否有錯誤，并更新統(tǒng)計信息。該數(shù)據(jù)包隨后會被分解，并映射到一個協(xié)議存儲段中。同時還會從輸入數(shù)據(jù)包中搜集VLAN ID和CoS信息。第2/3/4層標(biāo)簽或者搜索密鑰從數(shù)據(jù)包報頭中產(chǎn)生。

所有ACL處理和QoS分類都是通過將數(shù)據(jù)包搜索密鑰與規(guī)則相匹配，利用三重CAM實現(xiàn)。通過這種匹配，數(shù)據(jù)包可以被舍棄，復(fù)制到CPU，或者轉(zhuǎn)發(fā)到相應(yīng)軟件進行處理（例如ACL記錄），并最終以硬件方式發(fā)送。

進行第2層搜索時，首先要檢查生成樹內(nèi)存中的生成樹狀態(tài)，然后搜索第2層搜索內(nèi)存中的源和目的地的MAC地址。端口的VLAN生成樹的狀態(tài)決定了是舍棄該數(shù)據(jù)包，還是繼續(xù)進行第2層搜索。所有第2層信息的獲取都是通過軟件完成，而第2層SA搜索則是由硬件完成。但是，當(dāng)一個第2層SA搜索發(fā)生錯誤時，硬件將會將數(shù)據(jù)包的一個部分發(fā)送給CPU。軟件將會獲取相關(guān)信息，并載入必要的硬件狀態(tài)，這樣隨后的數(shù)據(jù)包就可以通過硬件進行交換。隨后將要搜索DA。假如沒有發(fā)現(xiàn)任何匹配，該數(shù)據(jù)包將會被舍棄。否則，該幀將會被發(fā)送給輸出端口。第2層轉(zhuǎn)發(fā)決策是建立在目的地MAC地址，協(xié)議存儲段和與該幀有關(guān)的VLAN ID的基礎(chǔ)之上。假如DA不是該路由器的MAC地址，該幀將會在第2層轉(zhuǎn)發(fā)。

搜索密鑰會與輸入和輸出的QoS規(guī)則比較。一個QoS規(guī)則可能會根據(jù)策略，要求舍棄該數(shù)據(jù)包。否則，該端口，輸入和輸出的QoS規(guī)則，以及策略結(jié)構(gòu)將會融合在一起，決定一個最終的內(nèi)部DSCP值。這個DSCP值可以決定輸出端口中四個傳輸隊列中的一個。每個子端口（通過一個短線ASIC的阻塞10/100或者10/100/1000端口）的傳輸隊列的深度是240個數(shù)據(jù)包。因為每個千兆位端口等于8個子端口，所以每個非阻塞千兆位端口的隊列深度為8×240＝1920個數(shù)據(jù)包。

第2層功能

獲取信息

所有第2層信息的獲取都是通過軟件完成，并載入到硬件中。但是，當(dāng)一個第2層資源搜索發(fā)生錯誤時，硬件將會將數(shù)據(jù)包的一個部分轉(zhuǎn)發(fā)給CPU。軟件將會處理數(shù)據(jù)包，并將一個記錄項載入到硬件搜索表中。軟件將會獲取相關(guān)信息，載入必要的硬件狀態(tài)，這樣隨后的數(shù)據(jù)包就可以通過硬件進行交換。預(yù)計的信息獲取速度約為每秒1000臺主機。

超時

第2層超時功能由軟件進行。硬件會為每個源MAC地址提供一個參考位。當(dāng)MAC地址被作為某個接收到的數(shù)據(jù)包的源MAC地址時，該參考位就會被設(shè)置。超時位并不再控制數(shù)據(jù)包中設(shè)置。軟件可以利用參考位，判定一個主機是否處于閑置狀態(tài)。

SPAN

交換機端口分析器（SPAN）可以將流量（端口或者VLAN）鏡像到另外一個端口。無論是接收，傳輸，或者來自于兩個方向的流量都可以被發(fā)送給一個SPAN目的地端口。Supervisor III支持多達6個不同的SPAN進程（2個輸入，4個輸出），并具有不同的或者重復(fù)的SAP源接口/VLAN組。一個雙向的SPAN進程即為一個輸入進程和一個輸出進程。交換和路由接口都可以配置為SPAN源。

Supervisor III可以利用硬件或者軟件部署SPAN。軟件只需要在范圍配置發(fā)生更改時，配置硬件的范圍狀態(tài)。SPAN的余下部分都在硬件中完成，不需要軟件參與。

輸入端口SPAN

支持兩個輸入端口SPAN進程。來自于一個輸入端口的鏡像數(shù)據(jù)包可以復(fù)制到一個或者全部兩個SPAN進程目的地端口。在從鏡像端口接收到的IP交換數(shù)據(jù)包在SPAN端口之外傳輸時，它們不會被改寫，以便SPAN端口可以看到原始的輸入數(shù)據(jù)包。

在Supervisor III輸入端口SPAN中，可以在進入監(jiān)控端口的輸入線上捕捉數(shù)據(jù)包。因而所有進入監(jiān)控端口的數(shù)據(jù)包都會被發(fā)送到SPAN目的地，這其中包括交換機中由于輸入端口的生成樹狀態(tài)而丟棄的數(shù)據(jù)包。在一個中繼端口中，支持中繼VLAN過濾。來自于任意個數(shù)的VLAN的流量都可以被發(fā)送給SPAN目的地，而其他數(shù)據(jù)包被濾除。

假如可以實現(xiàn)上述所有方案，那么所有從監(jiān)控端口接收到的數(shù)據(jù)包都會發(fā)送給SPAN目的地端口。

輸出端口SPAN

Supervisor III支持最多四個輸出端口SPAN進程。每個進程都可以通過配置，監(jiān)控數(shù)據(jù)包是單播還是多播。來自于任意個數(shù)的VLAN的流量都可以被發(fā)送給SPAN目的地，而其他數(shù)據(jù)包被濾除。鏡像數(shù)據(jù)包在SPAN目的地端口以外傳輸，具有與IP交換數(shù)據(jù)包的鏡像端口相同的IP。

雙向SPAN

Supervisor III支持兩個兩項SPAN進程。所有用于輸入端口SPAN進程的規(guī)則都會應(yīng)用于輸入方向。同樣，所有用于輸出端口SPAN進程的規(guī)則也都會應(yīng)用于輸出方向。每個雙向SPAN進程都使用一個輸入SPAN進程和一個輸出SPAN進程。

VLAN SPAN

任何數(shù)量的SPAN都可以通過Supervisor III中的任何端口制作鏡像。當(dāng)一個VLAN在某個指定方向（輸入，輸出，或者雙向）進行鏡像時，VLAN中的所有端口都會以相同的方向進行。根據(jù)VLAN的鏡像防線，相應(yīng)的端口SPAN的所有規(guī)則也將會應(yīng)用。在缺省情況下，所有監(jiān)控端口（SPAN目的地端口）都用于SPAN流量，這些端口上不能接收到任何其他流量。

IGMP偵聽

IGMP偵聽讓交換機可以判定在不同的多播組中具有成員主機的活動多播組和端口。IGMPv1和v2支持IGMP偵聽。

軟件可以配置硬件中的輸入IGMP規(guī)則，包括將某種特定的數(shù)據(jù)包發(fā)送到CPU，或者橋接這些數(shù)據(jù)包，再發(fā)送數(shù)據(jù)包的一個復(fù)本到CPU等。每個IGMP規(guī)則都包括IP源地址，IP目的地地址，IP協(xié)議（等同于IGMP），IGMP消息類型，來自于輸入VLAN的一個標(biāo)簽，以及來自于輸入端口的一個標(biāo)簽。根據(jù)IGMP協(xié)議數(shù)據(jù)包中的信息，軟件可以調(diào)整多播端口組，以確保只有需要獲取特定的多播流量的主機才能接收到這些數(shù)據(jù)包。

Cisco 以太通道技術(shù)

Supervisor III在系統(tǒng)中可以同時支持64個第2層和第3層以太通道束。八個物理端口就可以在線路卡中組合成一個以太通道、快速以太通道或者千兆以太通道束。一個物理通道在任一時刻只能位于一個束中。

對于第2層數(shù)據(jù)包來說，束中的物理輸出端口由MAC源和目的地地址，或者只由MAC源地址選擇。對于IPv4數(shù)據(jù)包來說，IP源或者目的地地址，或者MAC源地址，都可以選擇束中的物理端口。提供MAC源地址選擇功能可以為從一些難于處理的交換機（從物理端口，而不是邏輯端口獲取主機信息的交換機）中獲取信息提供支持。

PAgP（端口聚合協(xié)議）由軟件實施。PAgP數(shù)據(jù)包在硬件上被確認為控制數(shù)據(jù)包。

橋接治理協(xié)議 Supervisor III支持802.1D透明橋接（存儲轉(zhuǎn)發(fā)）。軟件可以部署下列協(xié)議，以避免主機發(fā)生故障。

• 802.1D生成樹協(xié)議：支持共享生成樹，PVST，PVST+，PortFast，BackboneFast，UplinkFast。
• 在所有端口上支持Cisco搜索協(xié)議。
• 具有刪減功能的VTP。
• DTP（動態(tài)中繼協(xié)議）。
• 用于支持現(xiàn)有的Cisco Catalyst 交換機的Cisco群組治理協(xié)議服務(wù)器功能。

中繼

Supervisor III在所有端口上都支持IEEE 802.1q。除了下列端口以外，所有端口都支持ISL中繼：

• WS-X4418的阻塞端口（18端口的GE模塊的3－18端口）
• WS-X4412-2GB-T的阻塞端口（14端口的銅GE模塊的1－12端口）

另外，所有數(shù)據(jù)包都可以接收采用IEEE 8021P封裝的QoS數(shù)據(jù)包。不支持ISL的令牌環(huán)功能。也不支持全部802.1q到ISL和ISL到802.1q映射。

Supervisor III在硬件上支持4096個VLAN。Supervisor III系統(tǒng)在第一個軟件版本中所支持的VLAN的數(shù)量是1000個。

接收中繼

每個端口都會檢查輸入的數(shù)據(jù)包，判定它的中繼模式，并進行相應(yīng)的處理。接收到的數(shù)據(jù)包與它所采用的中繼封裝無關(guān)。

假如數(shù)據(jù)包的目的地MAC地址是一個ISL目的地MAC地址，那么該數(shù)據(jù)包被視為ISL封裝，可以從ISL報頭獲取VLAN和CoS信息。

否則，假如接收到的數(shù)據(jù)包具有一個802.1q類型的值，那么該數(shù)據(jù)包將被視為802.1q或者802.1p封裝，具體取決于封裝中的VLAN標(biāo)識符。

假如VLAN標(biāo)識符是一個非零的值，那么VLAN和CoS值將會從802.1q VLAN標(biāo)簽中取出。假如VLAN標(biāo)識符是零，那么該數(shù)據(jù)包將被視為802.1p封裝。

CoS值將從封裝中取出，而輸入端口的固有VLAN則被分配給該數(shù)據(jù)包。假如接收到的數(shù)據(jù)包沒有任何中繼封裝，例如在接入端口，那么輸入端口固有的VLAN和默認的CoS值將在進一步處理之前分配給數(shù)據(jù)包。

傳輸中繼

在傳輸方面，每個端口都可以采用下列模式中的一種：

• 接入：數(shù)據(jù)包無須任何中繼封裝進行傳輸。這是端口的默認模式。
• ISL：所有數(shù)據(jù)包都在進行傳輸具有ISL封裝。假如端口也處于沒有標(biāo)記的原始模式，那么那些將端口的固有VLAN作為它們的傳輸VLAN標(biāo)識符的數(shù)據(jù)包將會不用任何封裝（原始格式）進行傳輸。其他數(shù)據(jù)包則在進行傳輸具有ISL封裝。
• 802.1q：所有數(shù)據(jù)包都在進行傳輸具有802.1q封裝。假如端口也處于沒有標(biāo)記的原始模式，那么那些將端口的固有VLAN作為它們的傳輸VLAN標(biāo)識符的數(shù)據(jù)包將會不用任何封裝（原始格式）進行傳輸。其他數(shù)據(jù)包則在進行傳輸具有802.1q封裝。

在上述所有格式中，Supervisor III的軟件能夠?qū)⑷魏畏庋b類型的數(shù)據(jù)包傳輸?shù)饺魏味丝凇＿@主要用于治理數(shù)據(jù)包。

第3層交換

本節(jié)將介紹Supervisor Engine III進行第3層IP數(shù)據(jù)包交換的邏輯數(shù)據(jù)包流程。

圖7 Supervisor Engine III進行第3層交換的邏輯流程

第3層轉(zhuǎn)發(fā)用到了大多數(shù)與第2層轉(zhuǎn)發(fā)相同的步驟，但是添加了一些新的步驟。在第2層搜索步驟中，假如目的地MAC地址符合路由器的MAC地址或者HSRP MAC地址，那么該數(shù)據(jù)包將成為第3層IP交換的候選數(shù)據(jù)包。

在該數(shù)據(jù)包被路由之前，它需要經(jīng)過路由器輸入ACL處理。任何一個數(shù)據(jù)包報頭與某個拒絕ACL記錄項相符的數(shù)據(jù)包都將會被舍棄。假如在ACL記錄項中進行了相應(yīng)的設(shè)置，那么數(shù)據(jù)包的一個復(fù)本將會被發(fā)送給CPU。

為了在硬件中進行交換，一個IP數(shù)據(jù)包必須具有ARPA封裝，TTLE值必須大約1。所有其他數(shù)據(jù)包都通過軟件進行交換。假如數(shù)據(jù)包是可以進行IP交換的，它將進行IP搜索，否則來自于第2層搜索的轉(zhuǎn)發(fā)信息將應(yīng)用于數(shù)據(jù)包。

IP交換數(shù)據(jù)包由IP源/目的地地址和ToS進行搜索。IP轉(zhuǎn)發(fā)規(guī)則可以考慮或者屏蔽這些域中的任何一位。一旦出現(xiàn)匹配，數(shù)據(jù)包就可以被發(fā)送到輸出端口，或者CPU，或者被丟棄，具體情況取決于搜索記錄項中的設(shè)置。

在被交換之后，數(shù)據(jù)包再次受到輸出路由器ACL的治理。該數(shù)據(jù)包可能會被丟棄，或者僅向CPU發(fā)送部分數(shù)據(jù)包，具體情況取決于ACL的規(guī)則。

一個數(shù)據(jù)包以可以按照第2層交換章節(jié)中介紹的方式，進行QoS處理、輸出鏈路選擇和輸出排序。

IP數(shù)據(jù)包中的報頭將被改寫：TTL被減小，ToS可能根據(jù)QoS處理的情況進行改寫，而IP報頭檢查和將被修改。當(dāng)發(fā)生IP重寫的情況時，數(shù)據(jù)包會發(fā)生修改，而硬件可以重新計算MAC幀的檢查和。

假如輸出端口是一個接入端口，那么數(shù)據(jù)包無須標(biāo)簽就可以進行傳輸。否則，該數(shù)據(jù)包可以采用ISL/802.1q標(biāo)簽進行傳輸（除非采用了沒有標(biāo)簽的原始VLAN，而且數(shù)據(jù)包位于原始VLAN中）。

IP交換功能

第2層封裝

為了在硬件上可以進行IP交換，數(shù)據(jù)包必須具有ARPA封裝。具有其他數(shù)據(jù)鏈路層幀IP封裝的數(shù)據(jù)包（具有SAP和SNAP封裝的數(shù)據(jù)包）假如需要發(fā)送到路由器，就必須由軟件處理，因為它們可能需要硬件無法指出的封裝/解封。這些封裝將通過硬件中的輸入ACL和QoS規(guī)則，以便那些符合某個輸入路由器拒絕記錄項的數(shù)據(jù)包不會發(fā)送到軟件。對于基于以太網(wǎng)的IP交換來說，在網(wǎng)絡(luò)中使用SAP和SNAP封裝的情況是很少的，因而這種硬件上的限制是可以接受的。

IP轉(zhuǎn)發(fā)

Supervisor III硬件中的所有IP轉(zhuǎn)發(fā)都是利用三重CAM（TCAM）完成的，它可以提供靈活的、針對每個數(shù)據(jù)包的轉(zhuǎn)發(fā)方式。第3/4層數(shù)據(jù)包報頭將與存儲在TCAM中的一組預(yù)先制定的規(guī)則進行比較。在一個ICAM中，一個記錄項中的任何一位都可以被屏蔽，而第一個匹配的記錄項將被獲得。這種匹配任何一組數(shù)據(jù)包報頭位的功能可以有效地提供豐富的IP功能，例如單播路由，多播路由，SPAN，訪問列表，計費和流量治理。

Supervisor III的硬件的所有IP轉(zhuǎn)發(fā)功能都是以線速提供，總速率可達48Mpps。在標(biāo)準(zhǔn)配置中，支持64K個基于Cisco 快速轉(zhuǎn)發(fā)的IP轉(zhuǎn)發(fā)記錄項，而最大配置可以支持128K個基于Cisco 快速轉(zhuǎn)發(fā)的IP轉(zhuǎn)發(fā)記錄項。

Supervisor III利用硬件FIB表來識別不同的IP多播路由。每個記錄項包括一個目的地組IP地址（*，G）和一個可選的源IP地址（S，G）。假如一個IP數(shù)據(jù)包需要為多播進行復(fù)制，它將由FFE ASIC，通過將數(shù)據(jù)包分配到多播復(fù)制隊列（MRQ）完成。復(fù)制的數(shù)據(jù)包將被復(fù)制到多播擴展表（MET）記錄項中制定的各個端口/VLAN。第3層多播路由和第2層多播記錄項將分享MET資源。

下面這個流程圖顯示了Supervisor Engine III如何將單播和多播的路由信息與第2層轉(zhuǎn)發(fā)信息整合，從而在硬件上進行交換。

圖8 在Supervisor III硬件中整合CEF、MFIB和第2層轉(zhuǎn)發(fā)信息

MFIB（多播信息庫）是與單播Cisco快速轉(zhuǎn)發(fā)類型的多播方式。MFIB子系統(tǒng)可以采用由PIM和IGMP創(chuàng)建的多播路由，將它們精簡成相對較為簡潔、獨立于協(xié)議的格式，這種格式有助于迅速地進行軟件和硬件交換。獨立于協(xié)議意味著假如只著眼于一個MFIB路由，則無法判定創(chuàng)建該路由的路由協(xié)議（PIM/IGMP/MSDP）。MFIB將去除與協(xié)議有關(guān)的信息，只保留對于轉(zhuǎn)發(fā)至關(guān)重要的信息。MFIB表中的每個記錄項也包括（S,G）或者（*,G）路由，一個輸入RPF VLAN，一個輸出第3層接口列表。MFIB還可以有效地用于在硬件上載入路由，因為它包括重要的轉(zhuǎn)發(fā)信息。

在硬件中復(fù)制的多播數(shù)據(jù)包可以復(fù)制到多播擴展表（MET）記錄項中的各個端口/VLAN。MET資源由第3層多播路由和第2層多播記錄項共享。第3層搜索時間與前綴長度無關(guān)；具有特定的/32路由不會對性能造成任何影響。

路由器訪問控制列表（RACL）

Supervisor III在所有10/100/1000端口上支持標(biāo)準(zhǔn)的和擴展的輸入和輸出IP訪問列表。訪問列表的處理以線速在硬件中完成，所以不會因為硬件ACL處理導(dǎo)致性能的降低或者延時的增加。每個IP交換數(shù)據(jù)包都要進行輸入和輸出訪問列表檢查。每個IP多播數(shù)據(jù)包都需要對照一個輸出訪問列表，檢查它的目的地VLAN/輸出端口。

ACL檢查的對象包括IP源地址，IP目的地地址，服務(wù)類型，DSCP，第四層協(xié)議類型，第四層源和目的地端口，來自于TCP標(biāo)記的四位映射值。這些域中的任何位都可以被屏蔽。假如某個數(shù)據(jù)包與某個ACL記錄項相符，它可以根據(jù)軟件所制定的操作，被接收，丟棄，或者轉(zhuǎn)發(fā)給CPU。注重，當(dāng)用戶記錄某個ACL記錄項時，符合訪問列表的記錄項的記錄數(shù)據(jù)包將被軟件轉(zhuǎn)發(fā)給CPU。硬件還支持包括來自于IGMP/ICMP報頭的IGMP和ICMP訪問列表記錄項。

IP分解

需要分解的數(shù)據(jù)包由軟件進行處理。硬件將對進行IP交換的數(shù)據(jù)包進行MTU檢查。假如它發(fā)現(xiàn)某個數(shù)據(jù)包需要分解，它就會將該數(shù)據(jù)包轉(zhuǎn)發(fā)給CPU。

在交換機接收到一個分解的數(shù)據(jù)包時，第一個部分（包括一個有效的第四層報頭）將被在ACL和QoS規(guī)則中進行搜索，搜索方式與具有完整的第3/4層流量標(biāo)簽的未被分解的數(shù)據(jù)包的方式相同。該數(shù)據(jù)包的第二個部分和后面的部分在搜索時，第2層源/目的地端口設(shè)置為零，用于TCP/UDP，外部IP分解標(biāo)記用于其他協(xié)議。

路由和路由器搜索協(xié)議

Cisco IOS Supervisor Engine III支持下列協(xié)議：

• 邊界網(wǎng)關(guān)協(xié)議（BGP）
• 用于IP多播的多協(xié)議BGP擴展（MBGP）
• 路由信息協(xié)議（RIP）
• 互聯(lián)網(wǎng)網(wǎng)關(guān)路由協(xié)議（IGRP）和它的增強版本（EIGRP）
• 開放式最短路徑優(yōu)先（OSPF）
• 熱備用路由協(xié)議（HSRP）

HSRP和MSRP

Supervisor Engine III支持熱備用路由協(xié)議（HSRP）和多群組備用路由協(xié)議（MSRP），而且每個路由器端口所能支持的群組的數(shù)量沒有任何限制。

Catalyst 6000系列Supervisor II對于16個HSRP群組數(shù)量的限制并不適用于Supervisor III。另外，同一個HSRP群組可以用于不同的VLAN中。

采用Supervisor III的本地轉(zhuǎn)發(fā)模型

Supervisor III的端口設(shè)計采用了目前典型的園區(qū)布線柜設(shè)計方式。這里需要指出的是，軟件部分并不依靠Cisco IOS IRB（集成化路由和橋接）來混合同一個設(shè)備的第2層和第3層。而且硬件不支持橋接虛擬接口（BVI），因為硬件支持將端口分配到VLAN，并支持VLAN之間的邏輯路由。這提供了一種比Cisco IOS BVI模型更好的方式。支持Cisco IOS 橋接群組，以橋接不能路由的協(xié)議。在Cisco ISO模型中，Supervisor III處理邏輯和物理接口。

與Cisco IOS軟件不同，Cisco IOS Supervisor III從1而不是0開始對接口計數(shù)。換句話說，第二個插槽中的線路卡的第一個接口是2/1，而不是2/0。

注重：接口和端口這兩個詞可以換用。

圖9 Supervisor Engine III邏輯轉(zhuǎn)發(fā)模型

下表顯示了不同的Cisco IOS Supervisor 端口/接口類型。它還列出了用于喚醒第2層或者第3層功能的不同指令。

支持的系統(tǒng)模塊

Cisco Catalyst 4000系列支持功能透明的線路卡。Catalyst 4006系統(tǒng)只需添加Supervisor Engine III，就可以將所有端口升級到更高層的交換功能。該系統(tǒng)不許更換現(xiàn)有的線路卡，就可以在系統(tǒng)端口上進行更高層的功能改進。Supervisor Engine III可以在Catalyst 4006的各個端口上，加快實現(xiàn)Cisco IOS的豐富功能，其中包括線速的復(fù)制，完整的第2層和第3層功能組合，豐富的QoS，ACL，以及在硬件上實現(xiàn)多播。 Catalyst 4006交換機可以支持Supervisor Engine III和下列模塊：

• WS-X4124-FX-MT- 24端口的100BASE-FX快速以太網(wǎng)模塊
• WS-X4148-FX-MT- 48端口的 100BASE-FX 快速以太網(wǎng)交換模塊
• WS-X4148-RJ- 48端口的 10/100 快速以太網(wǎng)RJ-45
• WS-X4148-RJ21- 48端口的 10/100 Mbps 快速以太網(wǎng)交換機模塊
• WS-X4148-RJ45-V-48端口的內(nèi)置電源10/100BASE-TX 交換模塊：只交換數(shù)據(jù)流量，電源可以從外部獲取電源
• WS-X4232-GB-RJ-32端口的10/100快速以太網(wǎng) RJ-45，加上2端口的 1000BASE-X (GBIC) 千兆以太網(wǎng)
• WS-X4306-GB- 6端口的 1000BASE-X (GBIC) 千兆以太網(wǎng)
• WS-X4418-GB-18端口的 1000BASE-X (GBIC) 千兆以太網(wǎng)交換模塊
• WS-X4412-2GB-T-12端口的 1000BASE-T千兆以太網(wǎng)交換模塊，加上2端口的 1000BASE-X (GBIC) 千兆以太網(wǎng)
• WS-X4424-GB-RJ45-24端口的10/100/1000BASE-T千兆以太網(wǎng)交換模塊
• WS-X4448-GB-LX-48端口的1000BASE-LX 千兆位光纖以太網(wǎng)光學(xué)接口模塊
• WS-X4448-GB-RJ45-48端口的 10/100/1000BASE-T 千兆以太網(wǎng)交換模塊

總結(jié)

Cisco Catalyst 4006 Supervisor Engine III是第一個可以為Catalyst 4006提供完全集成化的第2/3/4層服務(wù)的Supervisor。它對于所有線路卡都保持透明，同時可以用一個系統(tǒng)鏡像，為Catalyst 4006提供第3層交換和VLAN內(nèi)路由等功能。Supervisor III包括一個非阻塞的64Gbps架構(gòu)，該架構(gòu)可以在啟動所有功能的情況下，同時讓所有端口以線速工作。它還集成了第2層/第3層和第4層交換，并結(jié)合了先進的、基于端口的QoS，復(fù)雜的流量處理，出色的治理，以及多個網(wǎng)絡(luò)部署方案所必須的安全性。Supervisor Engine III 可以通過范圍廣泛的各種功能（這些功能可以加強它在高端布線柜中的部署能力），簡化傳統(tǒng)的第2層LAN交換。。Cisco Catalyst Supervisor Engine III支持范圍廣泛的第2層功能，其中包括從任何端口，利用802.1Q中繼線路或者Cisco交換機間鏈路（ISL）配置靈活的虛擬LAN（VLAN），以及對生成樹的改進，從而確保將匯聚時間減小到最低程度。第3層交換已經(jīng)成為設(shè)計、部署高性能的、可擴展的企業(yè)園區(qū)網(wǎng)絡(luò)的重要工具。Supervisor Engine III的第3層交換功能可以實現(xiàn)在小型數(shù)據(jù)中心、低密度網(wǎng)絡(luò)分配點、分支機構(gòu)網(wǎng)絡(luò)中樞中的部署。這些功能讓用戶可以從他們的臺式機，可擴展地、高速度地訪問服務(wù)器、企業(yè)內(nèi)聯(lián)網(wǎng)和互聯(lián)網(wǎng)。第2/3/4層集成的靈活性讓網(wǎng)絡(luò)治理人員可以在布線柜中輕松地治理第2層服務(wù)，并且獲得高質(zhì)量的第3層技術(shù)，例如先進的QoS，負載分享和容錯能力。在第2層和第3層之間實現(xiàn)平衡有助于降低實施成本。Catalyst 4000平臺本身的模塊化架構(gòu)可以實現(xiàn)多種網(wǎng)絡(luò)部署方案，從而便于在不同地區(qū)的網(wǎng)絡(luò)中實現(xiàn)平臺的一致性，并且可以降低整體運營成本。