通過將大帶寬、高性能、高可用性和業務集成到一個平臺中，Catalyst 6500系列給各種服務提供商應用提供了具有豐富特色的解決方案，如千兆匯聚、Web和應用托管以及WAN邊緣服務等。本白皮書描述了一些要害特性，他們最適用于某一服務提供商環境，尤其是Cisco 快速轉發（CEF）、FlexWAN 模塊等，它們具有高可用性、控制、入侵檢測和專用VLAN等。

Catalyst 6500家族概況

Catalyst 6500系列是一種設計用于各種網絡環境的解決方案，它可以是6插槽和9插槽水平機箱，還有用于NEBS環境的9插槽垂直機箱，可以配置有冗余電源、交換機構架和監控引擎等。監控引擎提供系統的中心處理和智能。政策特性卡（PFC）增加了其硬件加速服務質量（QoS）和訪問控制清單（ACL）特性。PFC是Supervisor 1A上的選件、Supervisor 2上標準配備有PFC2。一塊可選多層交換機特性卡（MSFC）提供了Cisco IOS 軟件L3業務。線路卡產品包括標準10/100（RJ-45和RJ-21）和千兆連接（GBIC、MT-RJ）、網絡分析模塊、入侵檢測模塊和WAN接口支持。軟件特性提供了智能網絡服務，其中包括邊界網關巡邏（BGP4）、中間系統到中間系統（IS-IS）和Cisco IOS服務器負載均衡（IOS-SLB）等。

本白皮書側重專門為服務提供商設計的軟件和硬件。

新的監控引擎2使用了最新的專用集成電路（ASIC）技術來提供下一代特性和服務，它以監控引擎1A為基礎。新的監控員引擎2是新的基于Cisco快速轉發 （VEF）的結構的一個重要組成部件，這種結構使得能實現分布式轉發。監控引擎2還用作新的Catalyst 6500系列結構的控制模塊，這種結構是以帶寬提高到256 Gbps的網絡交換構架為基礎。為了實現一個Catalyst 6500系列實現交換機構架模型的256 Gbps網絡交換結構，需要監控引擎2。監控引擎2答應連接到總線或交換機構架，使它成為了適合于整個Catalyst 6500系列的產品。它答應客戶在這種機箱中安裝經典（非構架支撐的卡）和新的構架支撐的卡，這使得預備過渡到新結構的客戶能獲得全面的投資保護。

監控引擎2和1A都提供了業界能獲得的最先進的智能交換，提供了各端口應用識別、答應控制、優先等級、控制多個硬件隊列來盡量減小網絡擁擠和數據包延遲。這一先進的服務質量支持對與在全網絡實現要害任務應用和企業語音服務和解決方案等具有重要作用。

通過提供硬件中的視頻流應用等所需的很多其他特性，如組播復制等，監控引擎2進一步提高了性能。這使得企業和服務提供商都能使用多業務應用而不犧牲性能。

新的監控引擎2和交換機構架模塊（SFM）使L2和L3的集中轉發的性能提高了2倍，到達30 Mbps。新的具有構架能力的千兆以太網卡有一個到網絡交換構架的連接，用于電路卡之間的高速交換。他們能用來實現通過一個分布式轉發引擎進行的分布式CEF。這種結構使得本地交換性能高達每塊板24 Mbps，答應交換機提高到100 Mbps以上的轉發速度。監控引擎2連接到網絡交換卡和總線上，當網絡交換卡有故障時能切換到總線上，從而提供了更大的冗余。

通過MSFC可以獲得Cisco IOS軟件L3服務和特性。它是監控員引擎的一個子板，它提供了系統的控制板功能。MSFC與L3交換PFC配合使用。最近發布的用于Catalyst 6500家族的MSFC2使的控制板的性能比原來的MSFC提高了3倍。使用MSFC2進行交換的所有通信業務將獲得直接性能增強。結果，諸如IOS-SLB和Web高速緩存通信協議2（WCCP2）等特性的性能也改善了3倍。MSFC2提供了最多512 MB的糾錯碼（ECC）DRAM，用于全面的互聯網路由選擇表支持以及提供BGP4、IS-IS和全面的多協議路由選擇。

Cisco快速轉發

Cisco快速轉發（CEF）是一種技術，它答應提高可擴展性和性能來滿足大型企業網絡和互聯網核心的未來要求。CEF比較通用的業界名稱是轉發信息庫（FIB）。CEF已經經歷了不斷發展來滿足當今網絡日益變化的通信業務樣式。這些網絡的特點是短持續時間的信息流的數據越來越多。¹ 短信息流在基于Web的和大量使用交互通信類型的環境中是非常普遍的。因為這類應用將繼續擴散，需要性能更好和擴展性更強的轉發技術來最大程度地滿足這些環境的需求。

采用一種基于CEF的機制，流高速緩存模型提出的難題已經大大減少了，可擴展性有了很大提高。利用流高速緩存模型，必須維持一個完整的轉發表，以便使CPU能適當處理第一個數據包，或者處理因為某些其他原因不能在硬件中處理的數據包。在CPU做出轉發決策以后（部分工作涉及查找路由表），進入到流高速緩存表中。利用基于CEF的轉發模型，所有數據包（其中包括給定流中的第一個數據包）都在硬件中進行處理。路由器CPU仍然保持一個路由選擇表，但在基于CEF的模型中還將另外創建2個表。在網絡中存在實際用戶通信存在以前先傳輸這些表，就像高速緩存的模型中的情況一樣。這些表中的第一個表實際上是路由選擇表中有關轉發數據點的一份拷貝，路由選擇表叫做FIB表。

第二表叫做相鄰表。相鄰表維持節點相鄰數據庫（在開放系統互聯[OSI]模型的鏈路層，假如2個節點通過一個路段就能達到對方，那么就稱這兩個節點相鄰。），并且他們的L2媒體訪問控制（MAC）重寫下一路段信息。通過對這兩個表進行高速查找，可以以非常高效和一致的方式來訪問轉發表以及適當的寫信息，同時還提供一種能提供很高的可擴展性的機制。

性能

在Catalyst的一個純構架實現方案中，Catalyst 6500家族機箱配備有監控員引擎2、交換機構架模塊和靠構架實現的線路卡，在中心交換引擎中可以得到高達30 Mpps的原始轉發性能。通過比較，監控員引擎1A能達到高達15 Mpps 的吞吐率。通過添加即將推出的Cisco分布式轉發卡（DFC），可以實現更高的吞吐率。這種分布式轉發卡是一種可以現場升級的子板。DFC在各端口基礎上提供了更多的基于CEF的轉發能力，答應性能提高到100 Mpps以上。這種模型從概念上說與Cisco 7500路由器家族的分布式CEF模型非常類似。在Catalyst 6500系列上，對CEF功能的重要考慮是ACL和服務質量機制是在硬件中實現的，因此不會對系統性能有負面影響。

可擴展性

通過增加可用FIB入口的原始數量以及在每個插槽上的復制基于CEF的轉發技術，基于CEF的轉發提高了可擴展性，。這種分布式CEF能力Catalyst 6500家族提供足夠的轉發能力用于最大的網絡。當配有監控引擎2時，Catalyst 6500家族能在FIB表中提供最多128000個入口、在相鄰表中提供128000個入口。注重：與NetFlow表中一樣，這些入口不是通過散列算法存儲的。FIB和相鄰表使用Ternary CAM（TCAM）技術進行高速查找。

可用性

盡管Catalyst 6500提供了廣泛的特性來支持高可用性，添加CEF進一步加深了當今互聯網基礎設施中的可用性和穩定性。隨著網絡規模的擴大，其自然的副作用就是增加了不穩定和變化的機會。網絡穩定性，不論是由故障、配置變化、還是由猝發通信樣式引起的，都能對路由選擇的實施方案產生巨大影響，路由選擇依靠大量CPU計算進行路由選擇表維護。因為CEF利用了一種機制，利用這種機制根據網絡拓撲重組信息，而不是在網絡中重現通信業務，CPU不再有被迫設置大量入口的負擔。這也意味著隨之產生的網絡可用性與網絡的實際規模沒有直接聯系。

記帳

Catalyst 6500系列所成功依靠的流高速緩存模型提供了很多必需的網絡使用情況記帳數據。這些數據一直用NetFlow記帳的格式。使用了NetFlow數據出口來從Catalyst 6500機箱提取這一流記帳數據，并提供非常具體的記帳數據，它將提供各個流的使用情況信息。

當配有一個監控引擎2時，Catalyst 6500系列機箱不再作出基于流的轉發決策，但仍能提供NetFlow記帳數據。盡管監控引擎上使用了基于CEF的轉發機制用于實際L3轉發，將繼續同時維持一份NetFlow轉發表，以便提供必要的記帳數據。

負載均衡

Csico EXPRess Forwarding 還提供了多個相同成本的路徑之間通信業務的負載均衡功能。通常，路由選擇協議，如OSPF和增強內部網關路由選擇協議（EIGRP）等，都將相同成本負載均衡路徑的數量限制為4個。采用CEF，相同成本平行路徑的數量可以增加到6個，可以存在4個以上的平行，但是在一個實際路由選擇表中可以安裝最多4個路徑。諸如EIGRP和OSPEF等路由選擇協議支持路由選擇信息庫（RIB）的概念。假如某一路由不能安裝到路由選擇表中，可以將它保留在RIB中。因為CEF依靠一個FIB和相鄰表進行轉發決策，它并不是僅限于路由選擇表中所實際存在的路由，事實上，它也能參考RIB，RIB使CEF能安裝更多的平行路徑（從RIB中尋找其入口）。注重：Catalyst 6500家族只提供了每個流的并行路徑之間的負載均衡能力。這意味著當使用基于CEF的轉發時，Catalyst 6500家族交換機不支持按數據包進行負載均衡。

訪問控制清單

在支持ACL方面，這也是各種CEF實施方案相互區別的另一種方式。在Catalyst 6500家族中，ACL能在硬件中處理最普通的配置。基于CEF的轉發對這一功能沒有任何影響。抑制謀ACL的硬件處理的最常用的ACL選項是使用log口令或在給定的接口上啟動ip-不可實現。注重，這些ALC選項與Catalyst 6500系列交換機上的CEF相互獨立。

CEF支持IP組播

Catalyst 6500家族上的CEF實施方案也包括支持IP組播。FIB能有多達16000個IP組播入口，其中包括（S、G）和（*、G）入口（總數為16000）。

小結

CEF提供了高性能和很強的可擴展性，可以用于最大和要求最苛刻的網絡。通過采用監控引擎2，Cisco使得Catalyst 6500家族交換機實現嵌入在硬件中的CEF轉發。監控引擎2提供了大型企業和服務提供商環境所需的可擴展性和性能要求。在引入基于CEF的轉發的同時，Cisco還設法保留了對多層交換轉發模型的計費支持。

FlexWAN模塊

FlexWAN模塊給Catalyst 6500家族交換機增加了廣域網（WAN）和城區網（MAN）能力，這些交換機可以是部分T1/E1到155 Mbps。這一模塊使得能在Catalyst 6500家族中使用Cisco 7200和7500系列單個寬端口適配器。

FlexWAN答應將WAN和MAN訪問與局域網（LAN）交換進行集成、簡化網絡設計和整合網絡基礎設施。這使得在一個全面解決方案中需要治理的網絡元素數量較少。FlexWAN設計用于提供WAN訪問和先進的服務質量特性，如：基于類別的加權平均隊列。通過使用現有Cisco 7200和7500系列端口適配器，它提供了各種WAN媒體選擇。這一模塊答應Catalyst 6500家族用于通常由外部WAN路由器執行的功能。

在新的網絡部署中，FlexWAN可以用來合并來自LAN、MAN和WAN連接。在MAN和WAN中，Catalyst 6500家族交換機用作核心或分配要素，而FlexWAN模塊可以終接來自其他園區網的連接。在同步光網絡（SONET）上，中心Catalyst 6500家族交換機使用DS3和ATM來終接遠程場地和OC-3數據包。

高可用性

Catalyst 6500系列多層交換機已經成為了當今服務服務提供商環境中健全的網絡設計的一個要害部件。Catalyst 6500所起的作用這樣重要，它必須提供可靠的交換平臺，并同時提供高性能和智能網絡服務。Catalyst 6500系列具有多個特性和選項來提高系統的可用性。這些包括可選冗余交換構架、高可用性特性的全面的協議冗余、以及圖像變型支持（用于免點擊軟件升級）。本白皮書以下各節將更具體地描述這些高可用性特性。

冗余交換構架

自從Catalyst 6500推出以來，它一直建立在單總線交換結構上，這給系統中的所有數據包提供了數據路徑。下一代Catalyst 6500系列包括了網絡交換構架（交換機構架模塊即SFM）作為高帶寬要求的另一種交換結構。SFM也給系統提供了另一層硬件冗余。依靠構架實現的第一代線路卡（如WS-X6516-GBIC）將提供到交換構架和現有系統總線背板的連接。這使得Catalyst 6500系統能使用這一交換構架作為構架實現的線路卡進行數據傳輸的主要手段。假如交換構架故障，系統總線背板將接管，以保證數據交換將能繼續進行（速度為15 Mpps）并維持網絡在線。注重交換性能的這一變化只適用于系統原來的傳輸速度高于15 Mpps的場合。假如系統原來的速度是15 Mpps或以下，那么從構架到系統總線的故障切換不影響性能。另外，Catalyst 6500系列可以配置為雙交換構架模塊（在插槽5和6中）。這提供了第三級構架冗余。在這種配置中，在主構架模塊上的故障將導致切換到輔助構架模塊上，以保證以30 Mpps的速度連續工作。假如還有更多的構架模塊故障（這種情況不太可能發生），還仍繼續切換到系統總線上。

冗余監控引擎

雙路監控引擎為Catalyst 6500系列的轉發智能提供了硬件冗余。Catalyst 6500系列能支持最多2個監控（插槽1和2）。其中一個監控作為工作或當前活動的監控，而另一個用作待機監控。當前活動的監控是首先在線的監控，可以用監控外部的“Active”LED（發光二極管）或者通過從顯控臺上鍵入“show module”（顯示模塊）命令進行確認。兩個監控引擎必須是同一個硬件型號（也就是說，假如插槽1中的監控1A上是一個PFC和MSFC，那么，在插槽2中的監控1A上也必須有一個PFC和MSFC；或者，假如插槽 1中是一個監控2，那么在插槽2中也必須是一個監控2）。監控引擎1A和2可以用在Catalyst 6500和6500系列中。假如當前活動監控引擎故障或離線，待機監控將接管系統控制。

冗余監控配置中的2個監控各有不同的職責。當前活動的監控控制系統總線和所有線路卡。所有協議都在當前活動的監控上運行，這一監控完成所有的數據包轉發。待機監控不與線路卡通信。它從網絡接收數據包并將根據此信息放到轉發表中，但并不參與任何數據包轉發。在待機監控上，將初始化但不會激活系統上的有關協議。Catalyst 6500系列監控引擎是熱切換的、并且待機監控引擎可以安裝到當前活動系統中而不影響網絡操作。注重冗余監控不進行負載共享。當前活動監控給系統提供了整個數據包轉發智能（N+1冗余）。假如當前活動的監控發生故障，待機監控仍然能繼續維持相同的系統負載。

高可用性特性將從當前活動到待機監控的切換時間降低到了不到3秒就能恢復正常工作。通過同步當前活動和待機監控引擎中的很多L2、3、4協議，實現了最短的停機時間。這叫做維持協議狀態，如圖1所示。

圖1. 冗余監控狀態協議冗余

圖1字：
協議數據庫
當前活動監控
待機監控
數據包
數據層

對于雙監控引擎之間的狀態協議冗余，對于要求高可用性支持的所有協議和特性，在每個監控引擎上都有一個協議狀態數據庫。這些協議中的大多數只在當前活動的監控上運行。在高可用性切換時，新的當前活動監控能從更新的數據庫狀態而不是從初始化狀態來啟動協議。這樣，當當前活動監控離線時，冗余監控系統能維持狀態協議冗余和最小的網絡停機時間。

圖像變型（versioning）

圖像變型是高可用性特性的第二個要素。這一特性依靠于需要有雙監控配置中所答應的高可用性。這樣，它答應在當前活動和待機監控上運行不同但兼容的圖像，從而抑制缺省監控圖像同步過程。通過使用高可用性特性的狀態監控切換，這一特性使得能“快速”進行監控軟件版本升級。這一過程被叫做“免點擊軟件升級”，但是，在實際使用中，需要少量點擊（在3秒以下）。這不僅能升級軟件而不需要進行重新自舉引導，還能在待機監控上保持以前使用過的和經過測試的版本，萬一軟件升級發生什么問題，可以用保留的版本恢復。

MSFC冗余

多層交換機特性卡2（MSFC 2）路由選擇引擎是監控引擎上的一個可選子板。冗余監控硬件配置也能包括冗余MSFC 2路由選擇引擎。這樣，適當操作監控引擎是適當操作監控引擎的基礎。監控復位或故障切換也使MSFC路由選擇引擎復位。

盡管CatOS高可用性特性維持了冗余監控之間的協議狀態，熱待機路由選擇協議（HSRP）需要配置為冗余MSFC之間的故障切換。HSRP被用來提供第一段、組播冗余。需要在兩個MSFC上為要求第一段冗余的每個虛擬LAN（VLAN）配置HSRP。在雙路監控引擎和MSFC配置中，兩個MSFC都是當前活動的路由器。因此，通過使用路由選擇引擎之間的輪詢機制，MSFC之間的HSRP的工作過程與物理上隔離的HSRP中的工作過程相同。有關HSRP的更具體的情況，可以在Cisco.com上的《Catalyst 6500家族軟件用戶指南》中獲得。

在MSFC IOS 軟件發布12.1 (3a) E4以前，每個MSFC必須分別配置。更具體地說，諸如訪問清單、服務質量特性等配置參數必須在兩個MSFC上用完全相同的方式單獨配置。不能復制的那些參數（如IP地址和HSRP設置等）仍然必須在每個MSFC上不同配置。

另外，在本軟件發布以前，FlexWAN模塊的接口只屬于指定的MSFC，這意味著這些接口不能出現在非指定的MSFC配置中，因此不能在非指定的MSFC上進行配置。在監控/MSFC故障切換時，成為新的指定MSFC的那個MSFC將沒有適當配置的FlexWAN接口。鑒于此原因，在安裝了FlexWAN模塊后，不支持冗余監控/MSFC配置。MSFC配置-同步特性消除了這一限制。因此，在激活了配置-同步特性后，冗余監控配置現在可以支持FlexWAN。

從MSFC IOS R12.1（3a）E4中，具有一種叫做配置-同步的MSFC冗余特性，來實現MSFC和MSFC 2的冗余MSFC配置過程。這一特性使得指定（主）和非指定（輔助）MSFC的啟動和工作配置實現同步。具體地說，無論什么時候當在指定MSFC上發出一個“寫內存”或“拷貝源啟動-配置”命令時，兩個MSFC中的NVRAM中的啟動配置都將更新。這使得在指定和非指定MSFC上的配置保持相同的配置而不需要人工鍵入每個命令兩次。指定和非指定MSFC中的所有配置都是通過指定MSFC中的命令行接口（CLI）完成的。

使用雙路監控與雙路MSFC配置和高可用性特性更為網絡設計添加了冗余水平。

通過以太通道提供的高可用性

以太通道 技術從標準單鏈路連接上提供了更大的帶寬和冗余。一個以太通道包是一個最多有8個快速以太網或千兆以太網鏈路組成的小組，這一包就像交換機和路由器之間的一個邏輯連接一樣。以太通道使用非常方便，因為它擴展了帶寬而沒有增加設計復雜性。生成樹協議將以太通道包作為一個單一鏈路處理，因此沒有引入生成樹環路。路由選擇協議也將以太通道包當作一個具有一個公共IP地址的單一路由接口處理，因此不需要額外的IP子網、在需要再建立額外的路由器對等關系。負載均衡由接口硬件處理。可以在監控或線路卡端口上建立一個以太通道鏈路，從而降低單一線路卡故障的影響。

監督

在Web托管數據中心和MAN中，現在，服務提供商有很大的愛好通過給其客戶提供10、100、1000 Mbps的以太網連接來銷售增量帶寬。原來在WAN和MAN中提供增量帶寬的唯一方法是通過幀中繼、異步傳輸模式（ATM）或串行連接。通過使用到數據中心托管的以太網連接，沒有任何手段來以這種方式銷售增量帶寬，因而數據中心或Web托管“放棄”了帶寬。今天，對這一問題已經有了解決方案。Catalyst 6500家族給10/00/1000 Mbps以太網連接提供了堅固的監督特性。監督是一個過程，通過這一過程，Catalyst 6500家族多層交換機限制了每一個通信業務流所消耗的帶寬。監督可以加快或減慢通信業務，或者直接丟棄通信業務。

Catalyst 6500家族上以太網接口上的配置監督功能答應服務提供商根據這些連接上的不同數量來銷售帶寬。這一特性給服務提供商提供了一種方法向他們的客戶銷售帶寬，并能通過交換機上的軟件配置來逐步提供或升級服務。

在Catalyst 6500家族的PFC硬件上進行監督而對性能沒有什么影響。Catalyst 6500家族交換機能監督以太網接口，從最低速率參數32 Kbps到最高速率8 Gbps。

監督政策配置為丟棄所有超出分布的數據包或使所有超出分布的數據包具有較低的IP優先級或非凡服務控制點（DSCP）價值等。

• 利用一個PFC2，你可以用一個正常速率和異常速率來規定一個雙速率匯聚監督規則。
• 正常速率：超過這一速率的數據包被標記為減速。
• 異常速率：超過這一速率的數據包或者被標記為減速，或者根據丟棄指示標志的規定而丟棄。

• 假如監督程序的異常速率返回一個超出分布決定并配置了丟棄動作，則這些數據包被丟棄。
• 假如監督程序的異常速率返回一個超出分布決定并配置了標記減速動作，則這些數據包被標記減速。

另外，PFC2提供了各監督程序的統計，統計現實以下內容：

• 監督的總通信業務量
• 超過正常速率的通信業務量
• 超過異常速率的正常業務量

圖2 解釋了在數據中心或Web托管設施中如何使用監督的例子，這使得服務提供商能增量“銷售”和控制到數據中心中的客戶或服務器的帶寬。

圖2. 數據中心入侵檢測中的監督例子
圖2字：
客戶
互聯網

服務器鏈路的監督

內容和知識產權是大多數公司所擁有的最大財產，保護這些資產已經成為一個最大的難題。安全已經不再被主要作為一種保險政策。在電子商務環境中，安全被認為使業務得以進行的基礎設施。客戶將越來越多地使用保密產品和服務來幫助他們極大地增加收益、交易，并且大2位數速率的客戶在將成本的增加限制為1位數或較小的2位數速率。假如能成功地實現，這一策略將確保利潤的增長。

Catalyst 6500入侵檢測系統（IDS）模塊提供了晝夜網絡警戒，并分析網絡中的數據包數據流、搜索未經授權的活動，如黑客攻擊、使用戶能在系統性能變差以前響應安全違規。當檢測到未經授權的活動后，系統將向治理顯控臺發出報警，提供具體的活動情況，并且能動態地調整政策來切斷未經授權的會話。

圖3 Catalyst 6500家族IDS模塊

使用權的簽名數據庫和客戶簽名，IDS模塊能檢測基于上下文（只有數據包的報頭）和基于內容（載荷）的攻擊。例如：smurf、land、同步攻擊、端口睡眠、ping沒有反應等，不一一枚舉。IDS模塊分析捕捉的數據包，將他們與簽名數據庫進行比較，來檢測典型的入侵活動。假如捕捉的數據包與規則集中規定的入侵樣式匹配，則該模塊向治理顯控臺發出一個告警并將自動響應（假如這樣配置的話）。在不同的接口上發出告警，以避免暫停監視接口的連續數據包捕捉。

專用VLAN

在交換以太網環境中，有一個VLAN被用于給NALN中的所有主機提供任意到任意的連接。因為交換以太網環境中的托管要求分開，因此建立了更多的VLAN。L3設備提供了VLAN之間的內部連接，即路由器或多層交換機之間的內部連接。因為每個VLAN終接在一個L3設備上，從IP的角度看，每個VLAN也被分配了它自己的網絡子網。不管一個交換機中是存在一個還是多個VLAN，L3設備都是用來連接VLAN的。

VLAN的一種常見應用是用于安全用途。例如：假如一個共享網絡環境中有不同的客戶，要求將哪些屬于單一客戶的哪些站分類到他們自己的VLAN和IP子網上。圖4 給出了這種配置中的VLAN和IP子網。因為每個客戶的網絡用戶可能分散在大樓內，各VLAN可能會在不同樓層上。

圖4. 常見VLAN布局
圖4字：
子網A
客戶A

這一移動模型會產生很多復雜性。隨著給網絡增加更多的客戶和用戶，這些復雜性將繼續提高。隨著時間的推移而增加更多的客戶，屬于公共客戶的用戶能相互離開很近的可能性就越小。

從L2的角度看，添加到這一網絡的每個客戶都需要一個新的VLAN以便進行配置和治理。隨著給這一拓撲增加更多的VLAN，生成樹將變得更復雜。除了優先地治理這一環境中的帶寬外，你還必須一致地跟蹤每一個VLAN中繼，來確保它只傳輸必需的VLAN。隨著給這種拓撲增加新客戶、或者現有客戶擴展到新的交換機上，生成樹也變得稍微更復雜一點。

從L3的角度看，情況更加復雜。因為每個客戶有其自己的VLAN，它必須有其自己的IP子網。在這種方案中，可能存在兩個不同的出口點，即L3交換機。因此，對于增加到網絡上的每個客戶，必須給它分配一個單獨的IP子網。在每個分配的子網中，廣播地址要使用2個地址。與HSRP有關的地址要使用3個地址。因為需要精確地估計未來地址空間要求，以便使得能夠分配某一初始IP子網來滿足預期發展，因此其復雜性更大。因為客戶的大小可變，這種設計方案中的路由選擇表可以用大量可變長度的子網組成集群。

這類網絡要求最常見的例子是在Web托管服務中。Web托管服務包括大量LAN基礎設施，這些基礎設施能夠容納很多客戶以及與他們有關的Web服務器。圖5給出了一個具有4個客戶的普通Web托管網絡。為了確保Web托管服務客戶之間的安全，給每個客戶分配了其自己的VLAN和IP子網。每個客戶可以有不等數量的服務器，并可能需要不同規模的子網。

圖5 典型的Web托管環境
圖5字：
客戶機A
子網A
缺省網關用于所有VLAN

這種部署的一個明顯的限制是生成樹的可擴展性。在一個能提供Web托管服務的現代數據中心中，10000臺服務器也是很常見的。然而，在典型模型中，每個客戶不論其大小只給它分配了它自己的VLAN。大型交換機環境中，這種做法導致了生成樹可擴展性和性能會提出一些限制。

典型托管環境還導致過渡浪費IP地址空間。

Web托管設計等環境的共同特點是：從主機自身通過缺省網關到互聯網的接續要求比較非凡。在很多情況下，服務器之間的接續并不是一個要求。為屬于同一客戶的服務器之間的通信提供便利條件的一種常用方法是建立一個單獨的“后端”網絡，因此，給某一客戶分配單獨的VLAN的唯一目的是防止屬于不同客戶的服務器之間發生通信，并答應所有服務器和到互聯網路徑上的所有缺省網關進行通信。

為了減輕與部署和治理環境（諸如典型托管環境等）有關的很多困難，Cisco開發一種叫做專用VLAN的特性。

專用VLAN介紹

專用VLAN是一個并不生疏的L2網絡基礎設施，它是普通VLAN的一種擴展。在一個專用VLAN中有3個單獨的端口指配，每個端口有其自己唯一的規則集，這些規則管轄所連接的端點與連接到專用VLAN內的端口上的其他端點進行通信的能力。3個端口指配是混合（Promiscuous）、隔離和團體。

一個連接到混合端口的端點能與專用VLAN中的任何端點通信。可以在一個專用VLAN中定義多個混合端口。在前面提到的托管環境中，L3交換機缺省網關通常連接到混合端口上。

隔離端口通常用于只需要接入到有限數量端點的那些端點。連接到一個隔離端口的端點只能與連接到混合端口的那些端點通信。連接到相鄰隔離端口的端點不能通信。在一個Web托管環境中，隔離端口保留用于只需要訪問缺省網關的主機。

在某些情況下，需要在屬于同一客戶的端點之間進行通信。“前端內容”復制、高混合性NIC、服務器集群等都要求某些形式的前端復制。在這種情況下，專用VLAN的團體特性是非常有用的。專用VLAN團體是屬于一個客戶的一組隔離的端口。在團體以內，端點能相互通信，并能與定義的混合端口通信。屬于一個團體的端點不能與不同團體的端點通信。

不管在一個專用VLAN中如何組合使用隔離、團體和混合端口，它仍然是一個L2結構，因此只需要一個IP子網。現在，尋址模型發生了變化，不是給每個客戶分配一個自己的子網，而是從1個～2個公共大型IP網絡分配一段地址。通過從一個或2個公共大型IP網絡分配地址，有效減少了地址浪費。

專用VLAN的所有限制功能都在硬件中實現，因此不需要依靠軟件學習機制進行設置。硬件實現確保了最高的端口安全性，并且使得專用VLAN的特性不會受到可能的軟件缺陷的影響。另外，專用VLAN和普通VLAN能同時共存在一個機箱中。假如需要的話，您也可以在一個交換機中定義多個專用VLAN。

專用VLAN的應用

專用VLAN提供了兩個主要好處：即優化IP地址治理和減少多客戶機環境里的VLAN的消耗。因為整個專用VLAN結構被認為是一個L2域，它可以用一個大地址范圍來尋址。從而不需要為多客戶機環境中的每個客戶機估算未來地址要求和相應地給每個客戶機分配可變長度的子網。利用專用VLAN，當給服務增加屬于現有客戶將新的客戶機或新的服務器時，他們從公共連續網絡分配得到響應的地址。盡管給某一客戶機的總的地址范圍可以分段，但所有地址都象是屬于一個網絡一樣地傳輸。在專用VLAN系統中，地址空間片段可以忽略。其主要目標是在相鄰服務器之間提供L2隔離和訪問公共服務，如：缺省網關、備份服務器等。在每個客戶機有一個VLAN的老型號中，當一個客戶的服務器數量超過了分配的子網所能尋址的范圍以后，地址空間片段也是很常見的。

在圖4的情況中，沒有使用團體端口，因為它包括了單獨的后端網絡用于服務器到服務器通信。因此，在服務器前端，部署了一個專用VLAN。每個服務器連接到選用VLAN的一個隔離端口上。整個基礎設施只使用了一個IP網絡和2個VLAN（一個主VALN和一個輔助VLAN）或隔離VLAN。

圖6. 專用VLAN的應用

Catalyst 6500系列多層交換機上的專用VLAN特性大大減少了部署大型多客戶機交換環境的復雜性。因為給新的服務器分配了公共地址池中的四周的連續地址，IP尋址治理更簡單了。客戶機不是有一個專門的IP子網，而是能有一段連續或不連續的IP地址。前端L3交換機只需要傳輸到一個IP網絡