Catalyst 6500系列Policy Feature Card

2019-11-05 00:06:20

字體：大中小

來源：轉載

供稿：網友

　　Policy Feature Card(PFC)是CiscoAssure端到端服務質量(QoS)和基于政策的網絡解決方案的有機組成部分。假如與Catalyst 6500 Supervisor IA線路卡一起訂購，PFC可以識別用戶應用并對擁有適當優先權級別的流量進行分類。PFC與一起能夠提供15 Mbps的線速服務器負荷平衡（SLB），而且PFC還能夠啟動許可控制，防止未經授權的應用進入網絡。此外，PFC還支持先進的QoS特性，例如數據包分類和市場、調度及擁塞避免。假如與PFC先進的安全特性相結合，這些特性能夠使Catalyst 6500系列交換機以線速提供增強的智能網絡服務，從而使之成為業界最先進的交換機。
　　
　　PFC可以安裝在Catalyst 6500交換引擎Supervisor Engine IA上，擴展了獲獎的Catalyst 6500家族的特性及功能。PFC提供新的基于增強政策的QoS和安全特性，同時繼續提供配線間交換機設計中常用的那些特性，例如協議過濾、Internet Group Management PRotocol(IGMP) Snooping及增強的Multicast packer replication。當安裝在Supervisor IA上的PFC提供所有這些服務，而不需要新增硬件來提供這些智能網絡服務；并且，通過增加一個多層交換特性卡（MSFC），PFC還支持15 Mbps的ip、IPX和IP Multicast多層交換（MLS）。
　　　

　　圖1 PFC for Supervisor Engine IA啟動識別應用的交換
　　
　　QoS（服務質量）
　　
　　QoS的目標是通過提供專用帶寬、控制抖動和延遲以及改進丟失特征，提供更好、更加可猜測的網絡服務。網絡是至關重要的業務資產。高級要害任務應用正在尋找進入尖端內部網的途徑，為用戶提供簡單的企業資源訪問。作為增強型智能網絡的一部分，服務（例如QoS）在整個企業至關重要。CiscoAssure端到端QoS能夠為跨網絡的不同類型的數據流流量類啟動相應的服務。
　　
　　在網絡中應用QoS有2個主要方面，第一是用于識別和標記要害任務應用數據的包分類，然后一旦識別，第二部分就是交換機如何優化這些數據包。
　　
　　多協議包分類
　　
　　在任何QoS討論中，某些定義可能只是為了分類術語。QoS使用標簽來區別或標記一個幀。例如，這些標簽表示不同的包優先權。IP語音（VoIP）包應當比游戲包獲得更高的優先權。這種更高的優先權由包中的標簽來表示。分類是識別將哪些流量類型標記或標簽為特定優先權的選擇過程。有多種方法來標記數據包：
　　
　　從第二層的角度看，這些標簽可以包含在1字節用戶域的交換機內鏈路（ISL）包中，或者根據IEEE 802.1Q規范，標簽將包含在802.1Q包的TAC控制字節中。
　　
　　從第三層的角度看，IP在包含在數據包服務類（TOS）域中的IP優先位中提供標簽。在所有三種情況下：ISL、802.1Q和IP優先權，標簽規模都是3位，從而生成能夠分配對數據包分類的8個不同標簽或優先級。
　　
　　最后一種標記方法是Internet Engineering Task Force(IETF)區別服務代碼點（DSCP），它將IP包TOS域的6位定義為標簽，因而生成用以區別不同流量類型及其相關優先權的64個不同標簽。請注重，IP包僅能攜帶IP優先權或一個DSCP值。
　　
　　Catalyst 6500系列PFC以線速支持所有這三種包標簽技術，并能夠重寫這些標簽，根據由網絡治理員設定的規則相互映射標記模式。PFC的另一個獨有特性是它不僅答應網絡治理員設置IP包政策，而且也提供其他協議支持。網絡治理員可以通過IP、IPX、Appletalk、Vines和DECnet包的簡單訪問清單設置分類規則及帶寬監管規則，從而提供端到端的多協議網絡解決方案。
　　
　　基于CoS分類的高級流量治理
　　
　　一旦這些包被前面所述的任何技術標記，Catalyst 6500系列PFC將提供眾多方法來保證高優先權流量達到目的地。PFC提供：
　　
　　流量調度－－根據包標記，包將被緩沖到特定的端口隊列中。該特性能使網絡治理員將高優先權流量引向一個專用隊列，而所有其他流量類型在共享隊列中緩沖。
　　擁塞避免－－在每一個基于端口的輸入隊列中，Catalyst 6500系列為輸入數據流提供4個用戶定義的包終止級別。這提供了一個行之有效的機制，在端口接收超過用戶定義閾值的隊列時，保證較高優先權流量獲得優先處理。這些功能適用于專用隊列及共享隊列。在輸入端口上，能夠定義2個用戶定義的閾值，在傳輸隊列由于輸出端口的網絡擁塞而達到特定閾值時，確保高優先權流量得到優先處理。
　　監管－－PFC也支持監管，根據通過輸入端口上的簡單訪問清單建立的規則，PFC能夠監控特定流或流量組消耗的帶寬。假如流量消耗的帶寬超過其基于政策的水平限制，那么流量可以終止或重新分類為較低優先權標記。該功能確保過度帶寬強化或出錯的應用不會消耗要害任務應用所需的帶寬
　　
　　15Mpps速率的加速服務器負荷平衡
　　
　　當與Cisco LocalDirector(LD)一起使用時，Catalyst 6500系列PFC以15Mpps的線速速率提供加速的服務器負荷平衡（SLB）。LocalDirector是一個動態平衡多個服務器之間TCP流量負荷保證及時訪問響應的高可用性設備。它獨立于域名服務器和應用，而是作為服務器組的前端，在用戶和服務器應用之間智能地平衡流量負荷。服務器可以透明地增加或刪除，但是對最終用戶，LD提供單一虛擬的服務器地址。PFC通過將可用數據帶寬從兆比特/秒增加到千兆比特/秒，加速了LD性能，同時答應LD提供每秒超過18000個連接的連接建立能力。隨著連接的建立，流中的初始包將被引向使用任何一種智能算法選擇服務于該流的服務器的LD。在該決定作出之后，LD將包發送給適當的服務器。然后，PFC緩存該流，所有后續包將直接通過以每秒數百萬個包的速率通過負荷平衡的硬件進行交換。在數據數據流的會話狀態中心部署LD/PFC的主要優點包括：
　　
　　通過豐富的特性集提供每秒數百萬個數據包的服務器負荷平衡。
　　高級服務器算法－－簡單的會話連接數量、加權的服務器數據訪問百分比、最快的服務器響應可供網絡治理員進行配置。
　　透明的維護能力－－通過使用虛擬服務器地址，服務器可以隨時離線，而不影響系統對最終用戶的服務。
　　安全性－－當與LD一起使用時，PFC的高級安全特性能夠根據IP地址或IP端口號過濾數據流，進而為數據中心服務器提供一個安全的環境。
　　圖2 Catalyst 6500系列PFC啟動加速的SLB
　　　

　　SLB將通過Catalyst 6500系列的簡單軟件升級提供，而無需對現有的LD或服務器進行任何改變。
　　
　　通過PFC提供安全和帶寬優化
　　
　　除以前描述的高級QoS特性之外，PFC還在一個子網內提供以前僅在穿過路由器時才可用的豐富安全功能。傳統上，防止2個主機之間流量（例如FTP）的能力要求主機位于不同的子網或VLAN內，其中安全策略通過標準或擴展的訪問列表實施在路由器上。現在，PFC能夠通過配置在Catalyst 6500系列交換引擎上的簡單訪問清單在子網內實施這些特性集。除這些功能之外，還包括傳統上在Catalyst 5000系列上支持的功能，例如協議過濾、Internet Group Management Protocol(IGMP) Snooping和multicast packet replication。
　　
　　高級安全特性
　　
　　帶有PFC的Catalyst 6500系列系統能根據在子網或虛擬局域網（VLAN）內定義的安全政策訪問列表執行基于硬件的過濾。該特性能使Catalyst 6500系列交換機智能地控制廣播流量，提高網絡總體性能，并過濾可能被誤導的數據包，同時保證公用子網上用戶之間的安全。
　　
　　方案1－－虛假的DHCP服務器
　　
　　動態主機配置協議（DHCP）請求使用與引導協議（BOOTP）相同的包結構，并由客戶機廣播。第一個響應客戶機廣播請求的服務器成為客戶機與之協商，租用IP地址的DHCP服務器。當虛假的DHCP服務器在一個VLAN或子網內運行時，可能會出現問題。當一個不知道的用戶啟動NT Server并打開DHCP服務時，可能出現這種情況。這時，存在終端站與該虛假的DHCP服務器協商地址并獲得錯誤或重復地址的可能性。目前，轉發DHCP請求的唯一目的地在路由器的接口上。這使虛假的DHCP服務器問題的范圍僅局限于一個VLAN內，但是該VLAN內的所有用戶仍然可能受到影響。最終結果是網絡基本停機，直到虛假的服務器被發現并從網絡中刪除。該問題可以通過利用基于VLAN的訪問控制列表（VACL）來解決。通過VACL，僅答應特定DHCP服務器的響應，其他響應將被終止。
　　
　　假定正式目標DHCP服務器的IP地址為1.2.3.4。VACL配置將僅答應目標服務器的響應被交換到客戶機。
　　
　　圖3 限制地址誤配置的范圍
　　　

　　圖4 VACL過渡包
　　　

　　方案2－－約束廣播過度傳播
　　
　　當在一個交換環境中打開基于非IP多Multi-cast(IP UDP廣播)的多路傳輸應用時，所有流量將被過度傳播到VLAN或廣播域中的每一個節點。一般情況下，僅一個終端用戶子網需要觀看數據。通過VACL，這些應用的廣播包可以只被發給相應的應用服務器端口。
　　
　　假定使用A的應用系統UDP 5000端口在VLAN上廣播數據包。通過VACL配置，來自A的所有廣播數據包將被重新交換到目標應用服務器端口，所有其他端口不會收到數據包。
　　
　　圖5 節省帶寬的直接廣播
　　　

　　方案3－－在一個VLAN內提供安全機制
　　
　　由于地址空間限制以及在物理交換機上宿主多個和戶的經濟性，ISP需要在一個IP子網上服務于其所有客戶。但是由于安全原因，還有一個新增的要求，就是不同客戶絕對不能不通過路由器直接相互交流。通過利用VACL，可以防止不同客戶相互交流，他們只能與服務于該特定子網的Internet路由器交流。需要說明的是，通過這種特定的實施方案。客戶只能與路由器交流，而路由器能夠與所有不同客戶交流。
　　
　　圖6 基于IP地址的VLAN內安全機制
　　　

　　帶寬優化
　　
　　協議過濾
　　
　　帶有PFC的Catalyst 6500系列系統能夠執行基于硬件的協議過濾，答應在一個虛擬局域網（VLAN）內根據協議進一步分割。該特性能使Catalyst交換機智能地控制廣播，從而提高了整個網絡性能。
　　
　　協議過濾能夠根據下列任何一個協議組啟動流量的每端口過濾：
　　
　　IP
　　互聯網包交換（IPX）
　　AppleTalk、DECnet和VINES
　　其他協議
　　這些協議組能夠在每一個交換機端口上單獨啟動或廢止。根據缺省，IP協議組被設置成"On"，另外2個組被設置成"Auto"。當一個端口成為協議組的一部分時，它將開始接收該組的廣播流量。例如，連接到僅運行IP的客戶機系統的端口能夠為IP啟動，為IPX、AppleTalk、VINES或DEC廢止。僅IP端口將不接收這些其他Chatty協議的廣播流量。此外，該特性還能夠用于根據協議提供安全。例如，假如網絡治理員希望在某一給定網絡上僅答應Novell用戶，那么可以為IP流量廢止一個端口。
　　
　　IGMP窺探
　　
　　多路傳輸應用（例如視頻）正推動著對更加智能的交換解決方案的需求假如沒有先進的多路傳輸特性、傳統的第二層交換機使多路傳輸流量流出所有端口，從而大大削弱了網絡設備的總體性能。
　　
　　帶有PFC的Catalyst 6500系列系統具備智能的多路傳輸轉發功能。用戶站通過發送IGMP消息請求多路傳輸應用。通過PFC，Catalyst 6500系列交換機能夠通過一個叫做IGMP窺探的特性根據這些用戶站IGMP消息采取行動。通過接收和閱讀IGMP消息，Catalyst交換機成為智能的多路傳輸設備，并將多路傳輸流僅轉發給適當的終端用戶站。在所有設備都不支持IGMP窺探的混合網絡中，Catalyst 6500系列也支持CGMP。
　　
　　多路傳輸多層交換
　　
　　除作為智能多路傳輸設備之外，帶有PFC的Catalyst 6500系列交換機也是高性能的多路傳輸轉發器。PFC應用專用集成電路（ASIC）內的專用硬件在硅片中交換多路傳輸數據包，實現線速多路傳輸轉發性能。在路由網絡中，PFC提高了網絡總體性能，并根據需要跨子網邊界復制多路傳輸數據包，因而從基于軟件的路由器卸載了輔助功能。
　　
　　優先化
　　
　　Catalyst 6500系列交換機能夠識別并將要害任務企業資源規劃（ERP）應用流量分類為高優先權流量。這種優先權通過圓區主干網從配線間維護，直到數據被交付給數據中心的ERP服務器。在網絡擁塞期間，低優先權流量將被終止。此外，網絡治理員也可以選擇全面過濾某些應用，防止這些流量穿過網絡主干。
　　
　　通過PFC和MSFC提供多層交換
　　
　　PFC與基于Cisco IOS的路由器一起以GB速度為IP、IPX和IP多路傳輸提供第三層交換。實際第三層交換功能駐留在PFC上的硬件中，通過增加多層交換特性卡（MSFC）啟動。PFC通過利用網絡或傳輸層信息對流量進行高速緩存，然后利用Cisco高級交換專用的集成電路（ASIC）重寫和交換子網之間的數據包。PFC對終端站透明，不需要改變軟件或硬件。MSFC執行路徑處理，并提供所有第三層服務的集中配置和控制。
　　
　　在MSFC上運行的Cisco IOS軟件能夠通過輕型控制協議－例如多層交換協議（MLSP）指導PFC硬件，在拓撲改變或訪問控制清單修改時沖洗高速緩存條目。這能使PFC對路由拓撲變化作出反應，根據網絡地址以及傳輸層信息加強訪問控制清單。
　　
　　NetFlow數據輸出
　　
　　NetFlow數據輸出－Catalyst交換機的性能治理功能已被擴展，為通過PFC的所有子網內流量提供全面的監控。PFC能夠在硬件中啟動具體的IP流統計數據收集，而不會影響交換性能。這些統計包括來源/目的地址、流量類型、字節/數據包數及時間印跡。這補充了已經可用在Catalyst交換機上的嵌入式微型RMON功能，提供對第二層所有端口流量的可視性。
　　
　　PFC提供下列好處：
　　
　　先進的QoS功能－當增加到任何Catalyst 6500系列SUpervisor IA線路卡時，PFC能夠識別用戶應用，對擁有適當優先權級別的流量進行分類。它還在配線音中啟動防止未經授權的應用進入網絡的許可控制。此外，PFC還支持先進的QoS特性，例如數據包分類和標記、調度及擁塞避免。假如與PFC的高級安全特性相結合，這些特性可以提供增強的智能網絡服務。
　　子網內安全特性－傳統網絡設計的一個重要生就是建立訪問清單過濾或集體預防不同子網上主機之間流量的能力。PFC將這種功能再提高一步，并答應網絡治理員調用一個子網內的訪問清單，同時以線速在每一個數據包上加強多級安全。由于PFC對傳輸層上的數據包進行語法分析，因此能夠在子網內提供多級安全，同時仍然在需要時提供第二層連接。PFC能使網絡治理員根據物理端口、MAC地址、協議類型或IP地址以及傳輸層應用端口號建立規則和控制流量。
　　高性能－Cisco通過將服務嵌入PFC上的硬件，來滿足對能夠擴展到GB速度的線速智能網絡服務的需求。
　　簡單性－PFC能夠僅將多路傳輸流量退回需要它的那些端口，而無需傳統路由器的干預或人工用戶配置。其根據協議類型限制廣播流量的能力不需要配置。通過政策治理器圖形用戶界面（GUI）或簡單的訪問清單，網絡治理員可以定義提供多協議安全及QoS的政策。
　　透明性－PFC既不需要終端系統改變，也不需要子網重新編號。它與DHCP協作，防止異常DHCP配置，而且不需要新協議。
　　投資保護－網絡治理員能夠通過現有機箱和線路卡利用PFC。Cisco將通過PFC繼續演示其保護客戶的Cisco交換基礎設施投資的承諾。
　　
　　PFC通過MSFC提供這些新增的智能網絡服務
　　
　　PFC/MSFC組合通過Cisco IOS軟件提供下列智能服務：
　　
　　圓區核心的快速匯合、路徑故障恢復以及迂回的能力具有至高無上的重要性－MSFC通過響應路由拓撲變化和執行硬件輔助的流進入失效，可以滿足這種立即匯合的需求。
　　子網內安全－傳統網絡路由的一個重要屬性就是建立訪問清單過濾或集體預防不同子網上主機之間流量的能力。PFC能夠在一個子網內及之間以線速在每一個數據包上加強多級安全。它答應用戶配置和加強MSFC上子網內流量的訪問控制規則。由于PFC對傳輸層上的數據包進行語法分析，因此它能使訪問清單得到確認。通過提供多級安全，PFC能使用戶根據IP地址以及傳輸層應用端口號建立規則和控制流量。
　　基于標準－PFC/MSFC組合基于標準。它使用Internet Engineering Task Force（IETF）標準路由協議決定路徑，例如Open Shortest Path First(OSPF)和路由信息協議（RIP）。通過基于標準，PFC/MSFC組合能夠在一個多供給商網絡中部署。
　　計費流量治理－在部署第三層交換時，一個要害要求就是在流被交換時提供流的可視性，以便進行故障診斷、流量治理和計費。PFC能夠啟動對保存在硬件中的流統計的具體數據收集，而不影響交換性能。終止流的記錄被組合在一起，并被輸出到應用系統（例如Netsys網絡及RMON II流量治理和監控）以及計費應用。
　　
　　總結－－PFC優勢
　　
　　通過PFC，Cisco為網絡治理員提供一個全面的解決方案，進而提供增強的智能網絡服務。它提供：
　　
　　速率達到每秒數百萬個數據包的加速SLB
　　第二層和第三層線速高級多協議數據包分類
　　基于簡單政策規則的多協議QoS
　　通過監管、調度和擁塞避免提供流量治理
　　在與MSFC一起使用時提供每秒數百萬個數據包的多協議多層交換
　　PFC是端到端Cisco QoS及安全解決方案的一個重要組成部分。PFC部署在配線間中，能夠識別用戶應用，對擁有適當優先權級別的流量進行分類，同時支持防止未經授權的應用進入網絡的許可控制。這種增加的網絡智能和控制將成為提供可伸縮的圓區范圍解決方案的一個要害要素，PFC答應網絡設計人員將其網絡基礎設施發展成一個基于多層CoS交換的體系結構，使圓區內部網滿足未來的高級聯網需求。
　　