思科交换产品

Catalyst 6500系列Policy Feature Card

PFC for Supervisor Engine   IA 启动识别应用的交换
图1 PFC for Supervisor Engine IA 启动识别应用的交换

Policy Feature Card(PFC)是CiscoAssure端到端服务质量(QoS)和基于政策的网络解决方案的有机组成部分。如果与Catalyst 6500 Supervisor IA线路卡一起订购,PFC可以识别用户应用并对拥有适当优先权级别的流量进行分类。PFC与一起能够提供15 Mbps的线速服务器负荷平衡(SLB),而且PFC还能够启动许可控制,防止未经授权的应用进入网络。此外,PFC还支持先进的QoS特性,例如数据包分类和市场、调度及拥塞避免。如果与PFC先进的安全特性相结合,这些特性能够使Catalyst 6500系列交换机以线速提供增强的智能网络服务,从而使之成为业界最先进的交换机。

PFC可以安装在Catalyst 6500交换引擎Supervisor Engine IA上,扩展了获奖的Catalyst 6500家族的特性及功能。PFC提供新的基于增强政策的QoS和安全特性,同时继续提供配线间交换机设计中常用的那些特性,例如协议过滤、Internet Group Management Protocol(IGMP) Snooping及增强的Multicast packer replication。当安装在Supervisor IA上的PFC提供所有这些服务,而不需要新增硬件来提供这些智能网络服务;并且,通过增加一个多层交换特性卡(MSFC),PFC还支持15 Mbps的IP、IPX和IP Multicast多层交换(MLS)。


QoS(服务质量)

QoS的目标是通过提供专用带宽、控制抖动和延迟以及改进丢失特征,提供更好、更加可预测的网络服务。网络是至关重要的业务资产。高级关键任务应用正在寻找进入尖端内部网的途径,为用户提供简单的企业资源访问。作为增强型智能网络的一部分,服务(例如QoS)在整个企业至关重要。CiscoAssure端到端QoS能够为跨网络的不同类型的数据流流量类启动相应的服务。

在网络中应用QoS有2个主要方面,第一是用于识别和标记关键任务应用数据的包分类,然后一旦识别,第二部分就是交换机如何优化这些数据包。


多协议包分类

在任何QoS讨论中,某些定义可能只是为了分类术语。QoS使用标签来区别或标记一个帧。例如,这些标签表示不同的包优先权。IP语音(VoIP)包应当比游戏包获得更高的优先权。这种更高的优先权由包中的标签来表示。分类是识别将哪些流量类型标记或标签为特定优先权的选择过程。有多种方法来标记数据包:

从第二层的角度看,这些标签可以包含在1字节用户域的交换机内链路(ISL)包中,或者根据IEEE 802.1Q规范,标签将包含在802.1Q包的TAC控制字节中。

从第三层的角度看,IP在包含在数据包服务类(TOS)域中的IP优先位中提供标签。在所有三种情况下:ISL、802.1Q和IP优先权,标签规模都是3位,从而生成能够分配对数据包分类的8个不同标签或优先级。

最后一种标记方法是Internet Engineering Task Force(IETF)区别服务代码点(DSCP),它将IP包TOS域的6位定义为标签,因而生成用以区别不同流量类型及其相关优先权的64个不同标签。请注意,IP包仅能携带IP优先权或一个DSCP值。

Catalyst 6500系列PFC以线速支持所有这三种包标签技术,并能够重写这些标签,根据由网络管理员设定的规则相互映射标记模式。PFC的另一个独有特性是它不仅允许网络管理员设置IP包政策,而且也提供其他协议支持。网络管理员可以通过IP、IPX、Appletalk、Vines和DECnet包的简单访问清单设置分类规则及带宽监管规则,从而提供端到端的多协议网络解决方案。


基于CoS分类的高级流量管理

一旦这些包被前面所述的任何技术标记,Catalyst 6500系列PFC将提供众多方法来保证高优先权流量达到目的地。PFC提供:

  • 流量调度--根据包标记,包将被缓冲到特定的端口队列中。该特性能使网络管理员将高优先权流量引向一个专用队列,而所有其他流量类型在共享队列中缓冲。
  • 拥塞避免--在每一个基于端口的输入队列中,Catalyst 6500系列为输入数据流提供4个用户定义的包终止级别。这提供了一个行之有效的机制,在端口接收超过用户定义阈值的队列时,保证较高优先权流量获得优先处理。这些功能适用于专用队列及共享队列。在输入端口上,能够定义2个用户定义的阈值,在传输队列由于输出端口的网络拥塞而达到特定阈值时,确保高优先权流量得到优先处理。
  • 监管--PFC也支持监管,根据通过输入端口上的简单访问清单建立的规则,PFC能够监控特定流或流量组消耗的带宽。如果流量消耗的带宽超过其基于政策的水平限制,那么流量可以终止或重新分类为较低优先权标记。该功能确保过度带宽强化或出错的应用不会消耗关键任务应用所需的带宽

15Mpps速率的加速服务器负荷平衡

当与Cisco LocalDirector(LD)一起使用时,Catalyst 6500系列PFC以15Mpps的线速速率提供加速的服务器负荷平衡(SLB)。LocalDirector是一个动态平衡多个服务器之间TCP流量负荷保证及时访问响应的高可用性设备。它独立于域名服务器和应用,而是作为服务器组的前端,在用户和服务器应用之间智能地平衡流量负荷。服务器可以透明地增加或删除,但是对最终用户,LD提供单一虚拟的服务器地址。PFC通过将可用数据带宽从兆比特/秒增加到千兆比特/秒,加速了LD性能,同时允许LD提供每秒超过18000个连接的连接建立能力。随着连接的建立,流中的初始包将被引向使用任何一种智能算法选择服务于该流的服务器的LD。在该决定作出之后,LD将包发送给适当的服务器。然后,PFC缓存该流,所有后续包将直接通过以每秒数百万个包的速率通过负荷平衡的硬件进行交换。在数据数据流的会话状态中心部署LD/PFC的主要优点包括:

  • 通过丰富的特性集提供每秒数百万个数据包的服务器负荷平衡。
  • 高级服务器算法--简单的会话连接数量、加权的服务器数据访问百分比、最快的服务器响应可供网络管理员进行配置。
  • 透明的维护能力--通过使用虚拟服务器地址,服务器可以随时离线,而不影响系统对最终用户的服务。
  • 安全性--当与LD一起使用时,PFC的高级安全特性能够根据IP地址或IP端口号过滤数据流,进而为数据中心服务器提供一个安全的环境。

图2 Catalyst 6500系列PFC启动加速的SLB

Catalyst 6500系列PFC启动加速的SLB

SLB将通过Catalyst 6500系列的简单软件升级提供,而无需对现有的LD或服务器进行任何改变。


通过PFC提供安全和带宽优化

除以前描述的高级QoS特性之外,PFC还在一个子网内提供以前仅在穿过路由器时才可用的丰富安全功能。传统上,防止2个主机之间流量(例如FTP)的能力要求主机位于不同的子网或VLAN内,其中安全策略通过标准或扩展的访问列表实施在路由器上。现在,PFC能够通过配置在Catalyst 6500系列交换引擎上的简单访问清单在子网内实施这些特性集。除这些功能之外,还包括传统上在Catalyst 5000系列上支持的功能,例如协议过滤、Internet Group Management Protocol(IGMP) Snooping和multicast packet replication。

高级安全特性

带有PFC的Catalyst 6500系列系统能根据在子网或虚拟局域网(VLAN)内定义的安全政策访问列表执行基于硬件的过滤。该特性能使Catalyst 6500系列交换机智能地控制广播流量,提高网络总体性能,并过滤可能被误导的数据包,同时保证公用子网上用户之间的安全。

方案1--虚假的DHCP服务器

动态主机配置协议(DHCP)请求使用与引导协议(BOOTP)相同的包结构,并由客户机广播。第一个响应客户机广播请求的服务器成为客户机与之协商,租用IP地址的DHCP服务器。当虚假的DHCP服务器在一个VLAN或子网内运行时,可能会出现问题。当一个不知道的用户启动NT Server并打开DHCP服务时,可能出现这种情况。这时,存在终端站与该虚假的DHCP服务器协商地址并获得错误或重复地址的可能性。目前,转发DHCP请求的唯一目的地在路由器的接口上。这使虚假的DHCP服务器问题的范围仅局限于一个VLAN内,但是该VLAN内的所有用户仍然可能受到影响。最终结果是网络基本停机,直到虚假的服务器被发现并从网络中删除。该问题可以通过利用基于VLAN的访问控制列表(VACL)来解决。通过VACL,仅允许特定DHCP服务器的响应,其他响应将被终止。

假定正式目标DHCP服务器的IP地址为1.2.3.4。VACL配置将仅允许目标服务器的响应被交换到客户机。

图3 限制地址误配置的范围

限制地址误配置的范围

图4 VACL过渡包

VACL过渡包

方案2--约束广播过度传播

当在一个交换环境中打开基于非IP多Multi-cast(IP UDP广播)的多路传输应用时,所有流量将被过度传播到VLAN或广播域中的每一个节点。一般情况下,仅一个终端用户子网需要观看数据。通过VACL,这些应用的广播包可以只被发给相应的应用服务器端口。

假定使用A的应用系统UDP 5000端口在VLAN上广播数据包。通过VACL配置,来自A的所有广播数据包将被重新交换到目标应用服务器端口,所有其他端口不会收到数据包。

图5 节省带宽的直接广播

节省带宽的直接广播

方案3--在一个VLAN内提供安全机制

由于地址空间限制以及在物理交换机上宿主多个和户的经济性,ISP需要在一个IP子网上服务于其所有客户。但是由于安全原因,还有一个新增的要求,就是不同客户绝对不能不通过路由器直接相互交流。通过利用VACL,可以防止不同客户相互交流,他们只能与服务于该特定子网的Internet路由器交流。需要说明的是,通过这种特定的实施方案。客户只能与路由器交流,而路由器能够与所有不同客户交流。

图6 基于IP地址的VLAN内安全机制

基于IP地址的VLAN内安全机制


带宽优化

协议过滤

带有PFC的Catalyst 6500系列系统能够执行基于硬件的协议过滤,允许在一个虚拟局域网(VLAN)内根据协议进一步分割。该特性能使Catalyst交换机智能地控制广播,从而提高了整个网络性能。

协议过滤能够根据下列任何一个协议组启动流量的每端口过滤:

  • IP
  • 互联网包交换(IPX)
  • AppleTalk、DECnet和VINES
  • 其他协议

这些协议组能够在每一个交换机端口上单独启动或废止。根据缺省,IP协议组被设置成"On",另外2个组被设置成"Auto"。当一个端口成为协议组的一部分时,它将开始接收该组的广播流量。例如,连接到仅运行IP的客户机系统的端口能够为IP启动,为IPX、AppleTalk、VINES或DEC废止。仅IP端口将不接收这些其他Chatty协议的广播流量。此外,该特性还能够用于根据协议提供安全。例如,如果网络管理员希望在某一给定网络上仅允许Novell用户,那么可以为IP流量废止一个端口。

IGMP窥探

多路传输应用(例如视频)正推动着对更加智能的交换解决方案的需求如果没有先进的多路传输特性、传统的第二层交换机使多路传输流量流出所有端口,从而大大削弱了网络设备的总体性能。

带有PFC的Catalyst 6500系列系统具备智能的多路传输转发功能。用户站通过发送IGMP消息请求多路传输应用。通过PFC,Catalyst 6500系列交换机能够通过一个叫做IGMP窥探的特性根据这些用户站IGMP消息采取行动。通过接收和阅读IGMP消息,Catalyst交换机成为智能的多路传输设备,并将多路传输流仅转发给适当的终端用户站。在所有设备都不支持IGMP窥探的混合网络中,Catalyst 6500系列也支持CGMP。

多路传输多层交换

除作为智能多路传输设备之外,带有PFC的Catalyst 6500系列交换机也是高性能的多路传输转发器。PFC应用专用集成电路(ASIC)内的专用硬件在硅片中交换多路传输数据包,实现线速多路传输转发性能。在路由网络中,PFC提高了网络总体性能,并根据需要跨子网边界复制多路传输数据包,因而从基于软件的路由器卸载了辅助功能。

优先化

Catalyst 6500系列交换机能够识别并将关键任务企业资源规划(ERP)应用流量分类为高优先权流量。这种优先权通过圆区主干网从配线间维护,直到数据被交付给数据中心的ERP服务器。在网络拥塞期间,低优先权流量将被终止。此外,网络管理员也可以选择全面过滤某些应用,防止这些流量穿过网络主干。


通过PFC和MSFC提供多层交换

PFC与基于Cisco IOS的路由器一起以GB速度为IP、IPX和IP多路传输提供第三层交换。实际第三层交换功能驻留在PFC上的硬件中,通过增加多层交换特性卡(MSFC)启动。PFC通过利用网络或传输层信息对流量进行高速缓存,然后利用Cisco高级交换专用的集成电路(ASIC)重写和交换子网之间的数据包。PFC对终端站透明,不需要改变软件或硬件。MSFC执行路径处理,并提供所有第三层服务的集中配置和控制。

在MSFC上运行的Cisco IOS软件能够通过轻型控制协议-例如多层交换协议(MLSP)指导PFC硬件,在拓扑改变或访问控制清单修改时冲洗高速缓存条目。这能使PFC对路由拓扑变化作出反应,根据网络地址以及传输层信息加强访问控制清单。


NetFlow数据输出

NetFlow数据输出-Catalyst交换机的性能管理功能已被扩展,为通过PFC的所有子网内流量提供全面的监控。PFC能够在硬件中启动详细的IP流统计数据收集,而不会影响交换性能。这些统计包括来源/目的地址、流量类型、字节/数据包数及时间印迹。这补充了已经可用在Catalyst交换机上的嵌入式微型RMON功能,提供对第二层所有端口流量的可视性。

PFC提供下列好处:
  • 先进的QoS功能-当增加到任何Catalyst 6500系列SUpervisor IA线路卡时,PFC能够识别用户应用,对拥有适当优先权级别的流量进行分类。它还在配线音中启动防止未经授权的应用进入网络的许可控制。此外,PFC还支持先进的QoS特性,例如数据包分类和标记、调度及拥塞避免。如果与PFC的高级安全特性相结合,这些特性可以提供增强的智能网络服务。
  • 子网内安全特性-传统网络设计的一个重要生就是建立访问清单过滤或集体预防不同子网上主机之间流量的能力。PFC将这种功能再提高一步,并允许网络管理员调用一个子网内的访问清单,同时以线速在每一个数据包上加强多级安全。由于PFC对传输层上的数据包进行语法分析,因此能够在子网内提供多级安全,同时仍然在需要时提供第二层连接。PFC能使网络管理员根据物理端口、MAC地址、协议类型或IP地址以及传输层应用端口号建立规则和控制流量。
  • 高性能-Cisco通过将服务嵌入PFC上的硬件,来满足对能够扩展到GB速度的线速智能网络服务的需求。
  • 简单性-PFC能够仅将多路传输流量退回需要它的那些端口,而无需传统路由器的干预或人工用户配置。其根据协议类型限制广播流量的能力不需要配置。通过政策管理器图形用户界面(GUI)或简单的访问清单,网络管理员可以定义提供多协议安全及QoS的政策。
  • 透明性-PFC既不需要终端系统改变,也不需要子网重新编号。它与DHCP协作,防止异常DHCP配置,而且不需要新协议。
  • 投资保护-网络管理员能够通过现有机箱和线路卡利用PFC。Cisco将通过PFC继续演示其保护客户的Cisco交换基础设施投资的承诺。

PFC通过MSFC提供这些新增的智能网络服务

PFC/MSFC组合通过Cisco IOS软件提供下列智能服务:

  • 圆区核心的快速汇合、路径故障恢复以及迂回的能力具有至高无上的重要性-MSFC通过响应路由拓扑变化和执行硬件辅助的流进入失效,可以满足这种立即汇合的需求。
  • 子网内安全-传统网络路由的一个重要属性就是建立访问清单过滤或集体预防不同子网上主机之间流量的能力。PFC能够在一个子网内及之间以线速在每一个数据包上加强多级安全。它允许用户配置和加强MSFC上子网内流量的访问控制规则。由于PFC对传输层上的数据包进行语法分析,因此它能使访问清单得到确认。通过提供多级安全,PFC能使用户根据IP地址以及传输层应用端口号建立规则和控制流量。
  • 基于标准-PFC/MSFC组合基于标准。它使用Internet Engineering Task Force(IETF)标准路由协议决定路径,例如Open Shortest Path First(OSPF)和路由信息协议(RIP)。通过基于标准,PFC/MSFC组合能够在一个多供应商网络中部署。
  • 计费流量管理-在部署第三层交换时,一个关键要求就是在流被交换时提供流的可视性,以便进行故障诊断、流量管理和计费。PFC能够启动对保存在硬件中的流统计的详细数据收集,而不影响交换性能。终止流的记录被组合在一起,并被输出到应用系统(例如Netsys网络及RMON II流量管理和监控)以及计费应用。

总结--PFC优势

通过PFC,Cisco为网络管理员提供一个全面的解决方案,进而提供增强的智能网络服务。它提供:

  • 速率达到每秒数百万个数据包的加速SLB
  • 第二层和第三层线速高级多协议数据包分类
  • 基于简单政策规则的多协议QoS
  • 通过监管、调度和拥塞避免提供流量管理
  • 在与MSFC一起使用时提供每秒数百万个数据包的多协议多层交换

PFC是端到端Cisco QoS及安全解决方案的一个重要组成部分。PFC部署在配线间中,能够识别用户应用,对拥有适当优先权级别的流量进行分类,同时支持防止未经授权的应用进入网络的许可控制。这种增加的网络智能和控制将成为提供可伸缩的圆区范围解决方案的一个关键要素,PFC允许网络设计人员将其网络基础设施发展成一个基于多层CoS交换的体系结构,使圆区内部网满足未来的高级联网需求。



软件选项

PFC需要下列软件版本:

  • Catalyst 6500系列Supervisor Engine软件5.3(1)SCX或更高版本。

联系我们