应用网络服务

思科应用控制引擎(ACE)4710设备

产品概述

Cisco® ACE 4710设备是新一代应用交换机的代表,它能够显著地改善数据中心内各种应用的可用性,增强应用的安全性,并提升应用的访问速度。

Cisco ACE 4710设备能够使企业在应用交付方面实现四个主要IT目标:

  • 提高应用的可用性
  • 加速应用性能
  • 保护数据中心和应用
  • 减少服务器、负载均衡器和数据中心防火墙,实现数据中心整合

Cisco ACE 4710能够实现这些目标,因为它采用了一组智能第4层负载均衡和第7层内容交换技术,并集成了领先的加速和安全功能。Cisco ACE 4710的主要设计特点是,使用虚拟化架构和基于角色的管理,理顺在应用推广、扩展、加速和保护方面的各项操作,并降低其成本。

为提高应用可用性,Cisco ACE 4710使用了最好的应用交换算法,以及高度可用的系统软件和硬件。

Cisco ACE 4710能够通过全新的加速功能为最终用户提供极高的生产率,使响应时间加快300%。另外,借助其独特的虚拟化功能,Cisco ACE 4710使IT能够从一台Cisco ACE设备预见并传递多种应用,从而为数据中心带来更强的可扩展性,以支持数据中心的应用拓展。

由于Cisco ACE 4710能够支持高度灵活的应用流量管理,卸载SSL加密和解密处理及管理TCP会话等CPU密集型任务,因而能显著提高服务器的效率。

Cisco ACE平台是数据中心内服务器和应用的最后一道防线,能够执行深层数据包检测,阻止恶意攻击。集成式防火墙使IT专家能够全面保护数据中心内的关键应用,支持数据中心整合(见图1)。

图1 Cisco ACE网络集成

图2 Cisco ACE 4710

特性与优势

Cisco ACE 4710的特性与优势如表1所示。

表1 特性与优势
特性 优势
应用的可用性
应用交换 Cisco ACE 4710代表了新一代服务器负载均衡和应用交换设备,能够在一个强大的系统中以高度集成的形式提供必要应用服务功能。它能够支持服务器负载均衡和应用交换的全国部功能,同时基于可定制第4-7层规则的提供了精细的流量控制。它整合了新一代负载均衡引擎,支持TCP、UDP、HTTP、HTTPS、Telnet实时流协议(RTSP)和域名系统(DNS)等协议 实现了多种内容交换功能,并使用了完全常规参数表达(regex),包括URL、Cookies、方法、标头、主机标头和消息。在参数表达上借助了完整的政策表达式(regex),例如:URL、cookie、请求方法、包头、主机头和message等,从而实现了丰富的内容交换功能。 支持针对虚拟服务器和真实服务器的关键策略,例如被迫关闭强制关机、备用服务器备份和服务器群集、顺利的故障切换、连接限制、流量限制和重定向。 将服务质量(QoS)与依据第4层或第7层匹配客户端请求设置服务类型(ToS)和差别化服务代码点(DSCP)的功能集成在一起。利用4层或7层匹配功能针对每一个用户端请求,都设定服务类型(ToS)和差别化服务代码点(DSCP),并将这两项功能和现有的服务质量(QoS)进行整合 提供卓越的设备负载均衡能力,支持对DNS、高速缓存、透明高速缓存、状态化防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)、VPN和SSL VPN等设备进行负载均衡。 支持网络部署模式,包括:
  • 路由模式:在客户端和服务器端VLAN位于不同子网时Cisco ACE可以对通信进行路由;
  • 桥接模式:当客户端和服务器端在同一子网时Cisco ACE可以对同性进行桥接;
  • 非对称服务器标准化(ASN):Cisco ACE可以通过负载均衡,将初始请求从客户端转移至实际服务器,但服务器可以绕过Cisco ACE直接对客户端作出响应。Cisco ACE可以对客户端发出的请求进行负载均衡并转发给真实的服务器,而服务器可以不经过ACE直接对客户端作出响应。
预测器 Cisco ACE执行一系列检查和计算,并依据负载均衡算法或预测器,确定最好由哪台服务器处理哪个客户端请求。Cisco ACE使用以下预测器选择最适合处理客户端请求的服务器:
  • 加权循环
  • Hash地址
  • Hash Cookie
  • Hash标头
  • Hash URL
保持性 保持性使同一个客户端能够在会话的持续时间内,与同一个真实服务器保持多个并发或连续TCP或IP连接。Cisco ACE支持以下保持性算法:
  • 源和目标IP地址
  • Cookie
  • HTTP包头
冗余性 支持系统和会话冗余,能够在系统或网络出现故障时自动切换至备份Cisco ACE,切换可以自动发生执行,不需要人工干预。 支持状态化故障切换(stateful failover),为企业网络环境提供弹性网络保护。 支持主备和双活冗余拓扑,支持配置同步。 能够在不影响网络正常运行或中断业务连接的情况下,对Cisco ACE和服务器进行软件维护和版本升级。 可以为每台虚拟设备提供状态冗余,将故障隔离到与其对应的某台虚拟设备上,从而保障一台虚拟设备上的故障切换操作不会影响另一台其他虚拟设备的正常运行。 与Cisco Global Site Selector Software集成在一起,建立多数据中心故障切换系统。
服务器状态监控 状态监控探针能够测试应用状态,以确定是否可以向其转发通信。 强大的可定制的服务器状态监控探针支持多种协议和应用,包括DNS、多请求DNS、Echo、Finger、FTP、HTTP、定制HTTP、返回代码、HTTPS、互联网控制消息协议(ICMP)、互联网消息访问协议(IMAP)、供应点(POP)、RADIUS、简单邮件传输协议(SMTP)、TCP和UDP。
应用加速
应用延迟缩短 缩短延迟,减少应用访问需要的循环次数,显著改善最终用户的应用体验。 消除不必要的浏览器缓存验证请求,支持自动嵌入对象的版本管理,显著缩短应用响应时间。
高速缓存 高速缓存直接卸载对图像和小应用程序等常见静态对象的服务器请求,该特性完全可定制,能够提高整体应用性能和事务处理吞吐量。 Cisco ACE提供高性能高速缓存架构,支持正在申请专利的多种优化技术,包括Delta优化和FlashForward对象加速。 动态高速缓存技术能够进一步优化企业应用性能,由于Cisco ACE能够处理动态内容请求,因而能提高服务器系统的可扩展性。利用该特性,卸载功能不仅可以优化应用服务器,甚至可以优化核心数据库。 高速缓存拥有1.5GB RAM,内存属于每台设备的标准配置。
Delta编码 由于Delta编码只发送连续页面访问之间已经变化了的HTML内容,因而能显著减少发送至客户端的流量。由于Cisco ACE能够准确确定页面上的哪些内容发生了变化,甚至可以详细到每个字节,因而能够只发送改变了的内容。
压缩 Cisco ACE提供强大的1Gbps吞吐量的硬件数据压缩能力,为用户提供更快的应用性能。同时提供gzip和deflate压缩算法。
SSL 加速 Cisco ACE解决方案集成了SSL加速技术,由于它从外部设备(服务器、设备等)卸载了SSL流量的加密和解密,因而使Cisco ACE能够更加深入地了解加密数据,并启用安全和应用交换策略。这种设置不仅能帮助Cisco ACE作出更智能的决策,还有助于保证企业的应用交付平台遵从内外法规的要求。借助再加密功能,Cisco ACE 的SSL加速功能在启用应用智能策略的同时,还实现了敏感数据的端到端加密。 SSL加速密码:SSL加速算法支持:
  • RSA_WITH_RC4_128_MD5
  • RSA_WITH_RC4_128_SHA
  • RSA_WITH_DES_CBC_SHA
  • RSA_WITH_3DES_EDE_CBC_SHA
  • RSA_EXPORT_WITH_RC4_40_MD5
  • RSA_EXPORT_WITH_DES40_CBC_SHA
  • RSA_EXPORT1024_WITH_RC4_56_MD5
  • RSA_EXPORT1024_WITH_DES_CBC_SHA
  • RSA_EXPORT1024_WITH_RC4_56_SHA
  • RSA_WITH_AES_128_CBC_SHA, RSA_WITH_AES_256_CBC_SHA
公共密钥交换算法:RSA 512位、768位、1024位、1536位和2048位 数字证书:支持权威证书机构颁发的所有主流数字证书,包括 VeriSign、Entrust、Nets cape iPlanet、Windows 2000 Certificate Server、 Thawte、Equifax 和 Genuity。
TCP卸载 由于Cisco ACE能够在request级别上对接收到的同性进行分析和传输,因而能够以最有效的方式转发Web站点的通信。TCP卸载打断了应用请求与传输层之间的依存关系。它能够将应用层面的请求复用到和后台服务器的保持性连接上,或者将其分离出来。此外,它还能长时间地保持ACE到客户端和到服务器TCP连接,并将两种连接隔离开,使其彼此相互独立,并能够重复使用这些TCP连接。这些功能不但能支持精细的应用层策略,而且还从Web服务器上把TCP处理卸载下来,最终节省了CPU运算时钟。
安全性
数据中心安全性 Cisco ACE是数据中心内服务器和应用的最后一道防线。Cisco ACE数据中心防火墙不仅能阻挡协议和拒绝服务(DoS)袭击,还能对关键业务内容加密。Cisco ACE数据中心防火墙能够利用以下特性防止数据中心和关键业务遭受恶意流量的攻击:
  • HTTP深层数据包检测(HTTP包头、URL和数据载荷)
  • 双向网络地址转换(NAT)和端口地址转换(PAT)
  • 支持静态、动态和基于策略的NAT和PAT
  • 利用访问控制表(ACL)有选择地支持端口间流量
  • TCP连接状态跟踪
  • UDP虚拟连接状态
  • 序列号随机化
  • TCP包头验证
  • TCP窗口大小检查
  • 建立连接过程时执行单播反向路径转发(uRPF)检查
应用安全性 多核CPU加速协议控制支持对主流数据中心协议的有效检测、过滤和修复,例如HTTP、RTSP、DNS、FTP和ICMP。 Cisco ACE根据深层协议检测功能集成应用防火墙,使IT专家能够全面保护数据中心内的关键应用。它能够保护关键业务应用,防止身份盗窃、数据盗窃、应用干扰和欺诈,并防止基于Web的应用和交易处理遭受专业黑客的有目标的攻击。
虚拟化服务
虚拟设备 虚拟设备有助于实现资源分离和隔离,这样Cisco ACE能够像是同一台物理设备上多台虚拟设备那样使用。虚拟设备使各机构能够利用一台Cisco ACE设备为50多个业务部门、应用或者客户和合作伙伴提供不同等级的服务。 它能够全面分离:
  • 配置文件
  • 管理界面
  • 应用规则集
  • 按应用提供有保证的定制资源:
  • 吞吐量
  • 每秒连接次数
能够限制和管理以下Cisco ACE资源的分配:
  • ACL内存
  • 系统日志消息缓冲器和TCP无序(OOO)分段
  • 并发连接(通过Cisco ACE的流量)
  • 管理连接(传输至Cisco ACE的流量)
  • 代理连接
  • 以速率方式设置资源限制(每秒数值)
  • Regexp内存
  • SSL连接
  • 保持性连接入口项数量
  • 静态或动态网络地址转换(xlates)
基于角色的管理(RBA) RBA(图3)使各机构能够规定管理角色,只限管理员在设备或虚拟设备内执行某些职能。由于在一家机构内,可能有多位管理员希望以不同的等级(应用管理、服务器管理、网络管理、安全管理等)与Cisco ACE设备交互,因此,必须规定管理员角色,使每个管理组既能自由地执行任务,又不会对其他组造成影响。Cisco ACE提供以下预定角色,这些角色不能被删除或修改:
管理:全面访问和控制虚拟设备内的所有对象,区域管理员可以创建、配置和修改该区域内的所有对象,包括策略、角色、域、服务器集群和实际服务器。 网络管理:全面访问和控制接口、路由、连接参数、NAT、虚拟IP(VIP)、复制配置和Change To命令。 网络监控员:如果在使用Username命令时未明确分配用户权限,则允许访问所有Show命令和Change To命令,这属于默认角色。 安全管理:全面访问和控制区域内的以下安全特性:ACL,应用检测,连接参数,接口,认证、授权和计费(AAA),NAT,复制配置,以及Change To命令。 服务器管理维护:全面访问和控制实际服务器、服务器集群、负载均衡、复制配置和Change To命令。 服务器维护:实际服务器维护、监控和调试。 实际服务器:修改权限 服务器集群:调试权限 VIP接口:调试权限 探针:调试权限 负载均衡:调试权限 Change To命令:创建权限 SLB管理:全面访问和控制区域内的以下Cisco ACE特性:实际服务器、服务器集群、VIP、探针、负载均衡(第3层和第4层,以及第7层)、NAT、接口、复制配置和Change To命令。 SSL管理:所有SSL特性的管理员 SSL:创建权限 公共密钥基础设施(PKI):创建权限 接口:修改权限 复制配置:创建权限 Change To命令:创建权限 除上述默认角色外,还可以创建各种新角色,适应不同组织结构的需要。
部署与管理
功能整合 Cisco ACE将应用交换、SSL加速、数据中心防火墙及其它功能整合到同一台设备中,不但实现了从每秒位速率(bps)提高到每秒包速率(pps)的倍增运算,还缩短了应用延迟。利用功能整合,TCP流只会在网络的一个地方而不是四个或更多地方终结。加密和解密、负载均衡决策、安全检查以及业务策略分配和核实都在网络的同一处执行,从而提高了应用性能,减少了设备数量,简化了网络的设计和管理。
投资保护 默认情况下,Cisco ACE支持一台管理员设备和五台用户设备的虚拟化、1Gbps带宽、每秒1000次 SSL事务处理(TPS)以及100Mbps 压缩。通过软件许可证升级,不需要添加新设备就能使解决方案升级:
吞吐量:默认的1Gbps吞吐量可以增加到2Gbps。
虚拟设备:虚拟设备的数量可以从5台虚拟设备增加到20台。
SSL TPS:SSL TPS的数量可以从1,000 TPS增加到5,000或7,500 TPS。
压缩:压缩可以从100Mbps增加到500Mbps或1Gbps吞吐量。
应用加速:应用加速可以作为一个许可证选项。
Cisco Application Networking Manager(ANM) Cisco ANM支持多台Cisco ACE设备的虚拟设备和多级管理域管理。这种基于服务器的管理套件能够发现、识别、监控和报告多台Cisco ACE设备上的多台虚拟设备,提高部署的透明度。基于模板的配置和审计是对服务激活和挂起功能的良好补充,有利于快速实现各种应用。带有服务匹配API的可配置RBA任务代理允许多个管理员组在多台Cisco ACE设备和虚拟设备上的并行操作。

图3 Cisco ACE虚拟设备和RBA


产品规格

Cisco ACE 4710设备的性能规格如表2所示。

表2 产品性能规格
特性 最高性能或配置
全球参数
吞吐量 1Gbps或2Gbps
ACL项 最多40,000
NAT项 最多64,000
虚拟设备 基价中包含5台虚拟设备,可升级至20台虚拟设备
SSL性能
SSL吞吐量 1Gbps
SSL TPS 基价中包含1,000 TPS,可升级至5,000 TPS 和7,500 SSL TPS
应用交换性能
每秒最大连接数 120,000完整事务处理持续速率
Web应用加速性能  
最高同时连接数量 10,000次同时连接


Cisco ACE 4710的产品规格如表3所示。

表3 产品规格
项目 规格
机箱
  • 1机架(1RU)设备
  • 宽×深×高:16.9×20×1.67 in.(42.4×430×509mm)
网络端口 4个10/100/1000 以太网端口
管理 嵌入式浏览器基于浏览器的嵌入式GUI和简单网络管理协议(SNMP)
电源 354瓦(W)
闪存 1GB
外围温度 104°F—40℃
相对湿度 80%
音响 <68dBA
认证
  • FCC
  • CE
  • VCCI
  • BSMI BMC
  • C-tick
  • BSMI RPC
  • UL 和 cUL
  • CCC
  • MIC
  • BSMI安全报告和BSMI RPC证书

订购信息

订购用的部件号码如表4所示。

表4 订购信息
部件编号 说明
ACE-4710-1F-K9 许可证套件:包括ACE 4710硬件、1Gbps吞吐量、5,000 SSL TPS、500 Mbps压缩、5台虚拟设备、应用加速许可证
ACE-4710-2F-K9 许可证套件:包括ACE 4710硬件、2Gbps吞吐量、7,500 SSL TPS、1Gbps压缩、5台虚拟设备、应用加速许可证
ACE-4710-K9 ACE设备硬件
ACE-AP-SW-1.7 软件版本1.7
ACE-AP-01-LIC 1 Gbps许可证
ACE-AP-02-LIC 2 Gbps许可证
ACE-AP-SSL-05K-K9 SSL 5,000 TPS许可证
ACE-AP-SSL-7K-K9 SSL 7,500 TPS许可证
ACE-AP-VIRT-020 20个虚拟区域许可证
ACE-AP-C-500-LIC 500 Mbps压缩许可证
ACE-AP-C-1000-LIC 1Gbps压缩许可证
ACE-AP-OPT-LIC-K9 应用加速许可证
ACE-AP-SSL-UP1-K9= ACE SSL升级,从5K至10K TPS
ACE-AP-C-UP1= 压缩升级,从500Mbps至1Gbps


表5 服务产品ID
产品ID 服务产品ID 服务等级
ACE-4710-1F-K9 CON-SNT-ACE47101 SMARTnet
ACE-4710-2F-K9 CON-SNT-ACE47102 SMARTnet
ACE-4710-K9 CON-SNT-ACE4710 SMARTnet
ACE-4710-1F-K9 CON-SNTE-ACE47101 SMARTnet Enhanced
ACE-4710-2F-K9 CON-SNTE-ACE47102 SMARTnet Enhanced
ACE-4710-K9 CON-SNTE-ACE4710 SMARTnet Enhanced
ACE-4710-1F-K9 CON-SNTP-ACE47101 SMARTnet Premium
ACE-4710-2F-K9 CON-SNTP-ACE47102 SMARTnet Premium
ACE-4710-K9 CON-SNTP-ACE4710 SMARTnet Premium
ACE-4710-1F-K9 CON-S2P-ACE47101 SMARTnet 2-Hour Premium
ACE-4710-2F-K9 CON-S2P-ACE47102 SMARTnet 2-Hour Premium
ACE-4710-K9 CON-S2P-ACE4710 SMARTnet 2-Hour Premium
ACE-AP-01-LIC CON-SAU-ACP01GL SASU
ACE-AP-02-LIC CON-SAU-ACP02GL SASU
ACE-AP-02-LIC=
ACE-AP-VIRT-020 CON-SAU-ACPVI020 SASU
ACE-AP-VIRT-020=
ACE-AP-OPT-LIC-K9  CON-SAU-ACP-OPT SASU
ACE-AP-OPT-LIC-K9=

了解更多信息

如需进一步了解Cisco ACE 4710,请访问:http://www.cisco.com/go/ace,或者与本地的客户代表联系。

联系我们