Коммутаторы : ??????????? ??????? ?????????? 1440 ?? ???? ???????????? Cisco Catalyst 6500

Интеграция сервисных модулей Cisco с виртуальной системой коммутации Cisco Catalyst 6500 Virtual Switching System 1440

10 февраля 2011 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (25 февраля 2009) | Отзыв

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Общие сведения
Интеграция служебного модуля
      Избыточное резервирование со служебными модулями
      Ядро управления приложениями (ACE) и служебный модуль межсетевого экрана (FWSM)
      Служебный модуль беспроводной сети (WiSM)
      Служебный модуль обнаружения вторжений (IDSM-2)
      Заключение
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В этом документе поясняется интеграция различных служебных модулей Cisco (поддерживаемых коммутаторами Cisco Catalyst серии 6500) с системой виртуальной коммутации Cisco Catalyst 6500 VSS 1440.

Предварительные условия

Требования

Компания Cisco рекомендует ознакомиться со следующими темами:

Представление о системах виртуальной коммутации (VSS). Для получения дополнительной информации обратитесь к документу Общие принципы систем виртуальной коммутации. Этот документ содержит краткое описание VSS, но не предполагает исчерпывающего пояснения.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. При работе в действующей сети необходимо понимать последствия выполнения любой команды.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе Условное обозначение технических терминов Cisco.

Общие сведения

Система виртуальной коммутации (VSS) — новая оригинальная функция коммутаторов Cisco Catalyst 6500, фактически позволяющая представить два физических шасси как единый логический элемент. Такая технология несет в себе обширный потенциал модернизации корпоративных офисных комплексов и центров обработки данных, включая режим высокой доступности, обеспечение масштабируемости и производительности, а также управление и техническое обслуживание.

Текущая реализация VSS позволяет объединить два физических коммутатора Cisco Catalyst серии 6500 в один логически управляемый объект. Этот принцип проиллюстрирован на рисунке: включив VSS, можно управлять двумя шасси 6509 как одним шасси с 18 слотами.

/image/gif/paws/109550/vss-svc-mod-integration1.gif

Основополагающим элементом технологии VSS является специальный канал, связывающий два шасси, — канал виртуального коммутатора (VSL). По каналу VSL передаются специальные управляющие данные, а также доставляются кадры, инкапсулируемые с заголовком для передачи по этому каналу. Концепция VSS позволяет объединить два коммутатора в один логический сетевой элемент с точки зрения плоскости управления и практики управления сетью. VSS представляет себя соседним устройствам как один логический коммутатор или маршрутизатор. В рамках VSS одно шасси определяется как активный виртуальный коммутатор, второе — как резервный виртуальный коммутатор.

Все функции плоскости управления: управление сетью (SNMP, Telnet, SSH и т. п.), протоколы 2-го уровня (BPDU, PDU, LACP и т. п.), протоколы 3-го уровня (протоколы маршрутизации и т. п.) и программный тракт данных управляются централизованно активным супервизором в шасси активного виртуального коммутатора. Супервизор на активном виртуальном коммутаторе также отвечает за программирование данных для аппаратной пересылки на всех платах распределенной пересылки (DFC) в системе VSS, а также плате функций политик (PFC) на супервизоре резервного виртуального коммутатора.

С точки зрения плоскости данных и пересылки трафика оба коммутатора в VSS активно пересылают трафик. Плата PFC на супервизоре активного виртуального коммутатора выполняет централизованный поиск путей пересылки для всего трафика, входящего на активный виртуальный коммутатор, а плата PFC на супервизоре резервного виртуального коммутатора выполняет централизованный поиск путей пересылки для всего трафика, входящего на резервный виртуальный коммутатор. С точки зрения доступности служебного модуля интеграция служебного модуля с VSS представляет два шасси в виде единого логического шасси. Поэтому пользователь может обращаться к модулям и активировать их в любом шасси как в автономном режиме, так и в режиме переключения при отказе.

Интеграция служебного модуля

В первый выпуск программного обеспечения Cisco IOS [12.2(33)SXH1] системы VSS входила поддержка служебных модулей для модуля доступа к сети (NAM). Список служебных модулей, поддерживаемых во втором выпуске программного обеспечения Cisco IOS [12.2(33)SXI] системы VSS:

  • ядро управления приложениями (ACE);

  • служебный модуль межсетевого экрана (FWSM);

  • служебный модуль беспроводной сети (WiSM);

  • служебный модуль системы обнаружения вторжений (IDSM-2).

Служебный модуль Минимальная версия ПО Cisco IOS Минимальная версия модуля
Модуль сетевого анализа (NAM-1 и NAM-2) (WS-SVC-NAM-1 и WS-SVC-NAM-2) 12.2(33)SXH1 3.6(1a)
Ядро управления приложениями (ACE10 и ACE20) (ACE10-6500-K9 и ACE20-MOD-K9) 12.2(33)SXI A2(1.3)
Служебный модуль обнаружения вторжений (IDSM-2) (WS-SVC-IDSM2-K9) 12.2(33)SXI 6.0(2)E1
Служебный модуль беспроводной сети (WiSM) (WS-SVC-WISM-1-K9) 12.2(33)SXI 3.2.171.6
Служебный модуль межсетевого экрана (FWSM) (WS-SVC-FWM-1-K9) 12.2(33)SXI 4.0.4

Избыточное резервирование со служебными модулями

/image/gif/paws/109550/vss-svc-mod-integration2.gif

Служебные модули могут быть добавлены в любое шасси, составляющее VSS. Для конфигурации с несколькими служебными модулями определенного типа настройте по одному из них для каждого физического коммутатора с целью повышения доступности. VSL доставляет трафик в нормальном режиме и в режиме аварийного переключения, при этом пропускная способность VSL должна соответствующим образом регулироваться.

Роли активного и резервного супервизоров VSS независимы от ролей избыточного резервирования служебного модуля, например, модуль активной службы может находиться в резервном шасси VSS и наоборот.

/image/gif/paws/109550/vss-svc-mod-integration3.gif

Ядро управления приложениями (ACE) и служебный модуль межсетевого экрана (FWSM)

Режим высокой доступности

В режиме активного резервирования один из модулей в системе VSS будет активным, а второй — резервным. Защищенный трафик обязательно должен достигать активного модуля.

/image/gif/paws/109550/vss-svc-mod-integration4.gif

В резервировании по схеме «активный — активный» оба служебных модуля активны и резервируют друг друга.

/image/gif/paws/109550/vss-svc-mod-integration5.gif

Движение пакетов

  1. В зависимости от конфигурации распределения нагрузки соседнего устройства трафик может передаваться по всем интерфейсам, образующим канал MultiChassis EtherChannel (MEC).

    /image/gif/paws/109550/vss-svc-mod-integration6.gif

  2. Входной трафик коммутатора 2 будет переадресован на активный служебный модуль коммутатора 1. Таким образом, можно ожидать, что трафик будет направлен активному служебному модулю через канал VSL. Рекомендуется выбирать размер канала VSL исходя из ожидаемой полосы пропускания.

    /image/gif/paws/109550/vss-svc-mod-integration7.gif

  3. Потоки, поступающие на коммутатор 1 и потоки, переадресуемые с коммутатора 2, обрабатываются активным служебным модулем и пересылаются устройству на следующем переходе.

    Для выходного трафика на MEC и многопутевых интерфейсах равной стоимости 3-го уровня (L3 ECMP) предпочтение отдается локально подключенным интерфейсам.

    /image/gif/paws/109550/vss-svc-mod-integration8.gif

Сравнение движения пакетов

Движение трафика в автономной системе

/image/gif/paws/109550/vss-svc-mod-integration9.gif

Движение трафика в системе VSS

/image/gif/paws/109550/vss-svc-mod-integration10.gif

Служебный модуль беспроводной сети (WiSM)

Режим высокой доступности

Модуль WiSM в системе VSS работает таким же образом, как в автономном шасси. В автономном шасси Catalyst 6500 переключение супервизоров с сохранением состояния (SSO) никак не отражается на линейных платах WiSM, и пересылка пакетов возобновляется за две секунды. Cisco WiSM продолжает функционировать обычным образом даже в случае аварийного переключения SSO. В системе VSS переключение с сохранением состояния (SSO) происходит между двумя коммутаторами. Следовательно, если на резервном коммутаторе имеется модуль Cisco WiSM, то пересылка пакета во время переключения SSO может не прерываться, поскольку плоскость данных резервного коммутатора уже полностью работоспособна и находится в состоянии пересылки.

В системе VSS в активном состоянии поддерживается несколько модулей WiSM. Каждый модуль WiSM осуществляет выравнивание нагрузки для разных наборов точек доступа (AP). В случае отказа активного модуля WiSM конфигурация точек доступа предусматривает аварийное переключение на один из доступных модулей WiSM. Точки доступа опираются на существующий процесс обнаружения и присоединения LWAPP для обнаружения резервных контроллеров, для которых настроены точки доступа.

/image/gif/paws/109550/vss-svc-mod-integration11.gif

Движение пакетов

  1. В зависимости от конфигурации распределения нагрузки соседнего устройства трафик может передаваться по всем интерфейсам, образующим канал MEC. Поэтому трафик, адресованный конкретному модулю WiSM, поступит на оба физических коммутатора системы VSS.

    /image/gif/paws/109550/vss-svc-mod-integration12.gif

  2. Потоки трафика VLAN, обозначенные на схеме красным и желтым цветами, поступая на коммутатор 1 или 2, будут переадресованы на активный служебный модуль VLAN. Можно ожидать, что трафик, адресованный активному служебному модулю, будет проходить по каналу VSL. Рекомендуется выбирать размер канала VSL исходя из ожидаемой полосы пропускания.

    /image/gif/paws/109550/vss-svc-mod-integration13.gif

  3. Выходной трафик из активного модуля WiSM передается устройству на следующем переходе. На канале MultiChassis EtherChannel и интерфейсах L3 ECMP предпочтение отдается локально подключенным интерфейсам.

    /image/gif/paws/109550/vss-svc-mod-integration14.gif

Подробное описание настройки модуля WiSM в среде VSS см. в документе Cisco WiSM в среде виртуальной коммутации Cisco.

Служебный модуль системы обнаружения вторжений (IDSM-2)

Режим высокой доступности

Служебный модуль системы обнаружения вторжений (IDSM2) не поддерживает механизмы переключения сеанса при отказе, однако в системе VSS допускается несколько активных модулей IDSM2. Распределение нагрузки для трафика в системе VSS аналогично автономной конфигурации с несколькими модулями IDSM в одном шасси и достигается посредством конфигурации EtherChannel.

/image/gif/paws/109550/vss-svc-mod-integration15.gif

Режимы работы

Аналогично поддержке IDSM, доступной в автономной системе Cisco Catalyst 6500, в системе VSS также поддерживаются: режим прослушивания (Promiscuous), поточный режим (In-Line) и каскадный режим (On-A-Stick). Если в каждом шасси системы VSS установлены два или более модулей IDSM, то конфигурация EtherChannel может быть задействована для распределения нагрузки от трафика между модулями IDSM в одном шасси.

/image/gif/paws/109550/vss-svc-mod-integration16.gif

Движение пакетов

  1. С конфигурацией MEC трафик будет распределяться между всеми восходящими интерфейсами.

    /image/gif/paws/109550/vss-svc-mod-integration17.gif

  2. Трафик, требующий специального рассмотрения, копируется в модули IDSM аппаратно с использованием таких функциональных возможностей коммутаторов Catalyst, как перехват VLAN и SPAN.

    /image/gif/paws/109550/vss-svc-mod-integration18.gif

  3. Дальнейшая обработка трафика выполняется модулем IDSM с принятием решения либо о пересылке, либо об отбрасывании пакетов или генерации TCP RST для разрыва соединения.

    /image/gif/paws/109550/vss-svc-mod-integration19.gif

Заключение

  • В VSS поддерживаются следующие режимы служебного модуля: режим высокой доступности (HA), режим «активный — активный» и режим «активный — резервный». Они независимы от ролей супервизора HA.

  • Каналы EtherChannel отдают предпочтение локально подключенным интерфейсам. Это создает последствия для служебных модулей, использующих внутренний интерфейс EtherChannel.

  • VSL доставляет трафик в нормальном режиме и в режиме переключения при отказе, при этом пропускная способность VSL должна быть настроена или отрегулирована соответствующим образом.

  • В VSS поддерживается несколько автономных служебных модулей.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 109550