应用网络服务

面向思科Catalyst 6500系列和思科7600系列的思科应用控制引擎(ACE)模块

产品简介

面向思科Catalyst® 6500系列交换机和思科7600系列路由器的思科®应用控制引擎(ACE)模块是新一代应用交换机,为数据中心应用提供了最大的可用性、加速性能及保护。

思科ACE模块允许企业在应用交付领域实现四项重要的IT目标:

  • 最大限度地提高应用可用性
  • 加速应用性能
  • 保护数据中心和关键业务应用的安全性
  • 通过减少服务器、负载均衡器和数据中心防火墙的使用量来促进数据中心合并

思科ACE模块将大量的L4负载均衡和L7内容交换技术与领先的边缘加速和安全功能集成在一起,以实现上述目标。思科ACE的设计亮点以及与同类解决方案的区别之处在于它能够利用虚拟化架构和基于角色的管理机制来简化应用的部署、扩展、加速和保护工作,并降低相关的运行成本。

思科ACE模块提供了业界最佳的可扩展性和吞吐量来管理应用流量,单一模块的吞吐量最大可达16Gbps,单一Catalyst 6500交换机机箱中的4个模块最多可提供64Gbps的吞吐量,并可通过购买软件许可证或添加新模块进行升级,从而为IT提供长期投资保护和可扩展性。此外,通过独特的虚拟化功能,思科ACE还允许IT使用一个思科ACE模块或产品设置并提供多个应用,从而为数据中心的应用设置提高了可扩展性。思科ACE模块提供极为灵活的应用流量管理,并且能够卸载SSL加密/解密处理以及TCP会话管理等CPU密集型任务,从而大幅度提高了服务器效率。

思科ACE旨在成为数据中心服务器和应用的最后一道防线,可进行深层数据包检测并阻断恶意攻击。集成防火墙使IT人员能够全面地保护数据中心的高价值应用并促进数据中心合并。

图1. 思科ACE模块

思科ACE提供以下特性、功能和优势:

  • 应用基础设施控制:虚拟化架构允许分割并隔离资源,使思科ACE能够在一个物理模块中发挥多个虚拟产品的作用。通过这个解决方案,企业可使用一个思科ACE模块最多为250家不同的业务机构、应用、客户及合作伙伴提供一定水平的服务。虚拟产品允许企业为了满足业务要求而更改应用基础设施并提供卓越的控制,几乎无需任何物理产品。

此外,每个虚拟产品都包括层级式管理域,可帮助确保应用性能,同时优化思科ACE模块中现有资源的利用率。思科ACE通过集中管理工具集中控制所有的虚拟产品,使用基于模板的或者可定制的模式来发放用户许可证。基于角色的管理(RBA)特性允许企业规定管理角色并限制管理员访问模块或虚拟产品中的特定功能。

  • 应用性能:思科ACE提供业界最高级别的应用交付能力。通过每个模块最高16 Gbps的吞吐量以及每秒维持34.8万条连接的性能,思科ACE能够轻松处理大量的数据文件、丰富媒体应用和用户群。思科ACE模块家族提供最大可达16 Gbps的可扩展的吞吐量以及随增长,随投资的许可证模式,使您无需升级整个系统便可轻松实现扩容。思科ACE的设计允许您在将来扩展可扩展性并添加服务。实际上,您可在一个思科Catalyst 6500交换机机箱或思科7600系列路由器中最多安装四个思科ACE模块,使思科ACE现在便能提供业界最高的可扩展性。

思科ACE还提供多层冗余、可用性和可扩展性以便为您的关键业务提供最高保护。思科ACE是能够提供三类高可用性的业界唯一产品:

  • 机箱间:一个机箱中的思科ACE可由对等机箱中的思科ACE提供保护
  • 机箱内:一个机箱中的思科ACE可由相同机箱中的另一个思科ACE提供保护
  • 产品间:思科ACE在跨越两个模块配置的虚拟产品之间提供高可用性,允许指定模块上的特定产品进行故障切换,但不会影响其他产品和应用

所有这些可用性模式都可复制连接状态和粘性表,提供快速的状态化应用冗余。

  • 应用安全性:思科自防御网络提供多级防御,令客户放心。思科ACE通过以下特性保护数据中心和关键应用免遭恶意攻击:
  • HTTP深层数据包检测:HTTP报头、URL和有效负荷
  • 双向网络地址转换(NAT)和端口地址转换(PAT)
  • 支持静态、动态和基于策略的NAT/PAT
  • 访问控制列表(ACL),用于控制端口间的流量
  • TCP连接状态跟踪
  • 用户数据报协议(UDP)的虚拟连接状态
  • 序列号随机化
  • TCP报头验证
  • TCP窗口大小检查
  • 建立会话时的单播反向路径转发(URPF)检查

ACE提供应用交付领域首创的集成硬件加速的协议控制功能,能够有效地检测、过滤并修复常见的数据中心协议,包括HTTP、实时流协议(RTSP)、域名系统(DNS)、FTP及互联网控制消息协议(ICMP)。

基础设施简便性:L2到L7的网络集成:作为面向思科Catalyst 6500机箱和思科7600系列路由器的模块,思科ACE可轻松安装到任何全新的或现有的网络中,为L2到L7的网络提供全面的、丰富的解决方案(图3)。

图3. 思科应用控制引擎的网络集成

  • 功能合并:通过将应用交换、安全套接字层(SSL)加速及数据中心安全性等功能合并到一个产品上,思科ACE将吞吐量从bps扩展到了pps,同时缩短了应用延迟。通过功能合并,您只需在一个网络位置终接TCP流即可,而不是像以前那样在四个或更多的网络位置终接它们,从而节省了时间、处理能力和内存。此外,加密和解密、智能的应用交换决策、安全性检查以及业务策略的分配与验证等工作均可在一个网络点完成,从而进一步提高了应用性能、减少了产品使用量、并简化了网络设计和管理工作。
  • Cisco Application Networking Manager (ANM):Cisco ANM可跨越多个思科ACE模块管理虚拟产品和层级式管理域。这个基于服务器的管理套件能够发现、调配、监控并报告多个思科ACE模块上的大量虚拟产品,从而实现完全透明的部署。基于模板的配置和审计功能补充了服务激活/暂停功能,允许快速实施应用。您可通过相应的服务API配置RBA,以便分配任务,允许多组管理员同时使用多个思科ACE模块和虚拟产品。
  • SSL加速:思科ACE解决方案集成了SSL加速技术,可将SSL流量的加密和解密任务从外部设备上卸载下来(服务器和产品等),从而更深入地查看加密数据并应用安全和应用交换策略。这个特性不仅允许思科ACE做出更明智的策略决策,而且还可帮助您确保应用交付平台遵从内外部的制度要求。通过再加密功能,思科ACE解决方案可帮助您确保端到端地加密敏感数据,同时仍然能够应用智能策略。
  • 交易可视性:思科ACE解决方案提供每秒35万个的业界领先的系统日志传输速率,允许您记录大量的连接建立和断开情况,从而获得交易级的可视性,但不会影响数据流量的性能。
  • 前瞻性解决方案:思科ACE模块提供两个可现场升级的子卡插槽,能够支持将来的功能并提高可扩展性。这种灵活性可确保思科ACE能够通过增长来满足多年后的要求,无需升级整个模块,同时将业务中断降至最低水平。

表1. 思科ACE的最大性能和配置总结
特性 最大性能/配置
全球参数
吞吐量 16 Gbps1*, 8 Gbps1* 和4 Gbps
数据包传输量/ 秒 650万个
系统日志传输量/ 秒 35万个
全球配置
VLAN总数(客户端/服务器) 4000
探查器 4000个,包括ICMP, TCP, UDP, Echo, Finger, DNS, Telnet, FTP, HTTP, HTTPS, SMTP, POP3, IMAP, RADIUS和脚本
ACL项 最多25.6万个访问控制元素
NAT项 100万
虚拟分区 250个*,最低配置中包括5个虚拟分区(产品)
SSL性能
SSL吞吐量 4 Gbps
SSL TPS 最低配置中包括1000个TPS,可通过购买许可证升级成5000 TPS、10,0000 TPS或15,000 TPS
应用交换性能
最多处理的连接数/ 秒 34.8万次持续速率的完整交易
并发连接数量 400万
应用交换配置
虚拟服务器 4,096
服务器库 16,000
真实的服务器 16,000
粘性表中的项 400万

表2. 思科Catalyst 6500和思科7600系列产品的系统要求
要求 说明
机箱 所有的思科Catalyst 6500系列和思科7600系列机箱
管理引擎 Cisco Catalyst 6500 Series Supervisor Engine 720, 720-3B和720-3BXL
机箱操作系统 运行思科IOS®软件R12.2(18)SXF4或更高版本的思科Catalyst 6500系列;运行思科IOS软件R12.2(18)SXF4或更高版本,或者R12.2(33)SRB或更高版本的思科7600系列
机箱连接 基于矩阵的线路卡
所需的机箱插槽 占用机箱中的1个插槽

联系我们