時(shí)間能夠醞釀經(jīng)典，歷史可以鑄造永恒。在歷經(jīng)十多年的網(wǎng)絡(luò)應(yīng)用洗禮之后，思科Catalyst 6500(以下簡(jiǎn)稱6500)無疑業(yè)已成為了交換機(jī)中的一款經(jīng)典。然而隨著時(shí)光的流逝以720系列引擎和6700系列線卡為代表的上一代Catalyst 6500在應(yīng)對(duì)日新月異的網(wǎng)絡(luò)應(yīng)用需求時(shí)，也已經(jīng)開始力不從心了。為此思科打造出了全新Catalyst 6500 Supervisor Engine 2T(以下簡(jiǎn)稱Sup 2T)管理引擎及配套的全新6900系列線卡，在性能和功能上進(jìn)行了大量的增強(qiáng)和創(chuàng)新。

思科Catalyst 6500 Supervisor Engine 2T

　　業(yè)務(wù)需求新挑戰(zhàn)

　　隨著大量的終端移動(dòng)化/多媒體視頻協(xié)作/云計(jì)算數(shù)據(jù)中心/桌面虛擬化的出現(xiàn)，企業(yè)IT網(wǎng)絡(luò)邊界已經(jīng)消失。企業(yè)網(wǎng)絡(luò)無邊界化之后，對(duì)IT平臺(tái)的發(fā)展規(guī)劃/運(yùn)營管理提出了新的挑戰(zhàn)：如何對(duì)園區(qū)網(wǎng)中的應(yīng)用進(jìn)行管理，如何保障無邊界網(wǎng)絡(luò)環(huán)境下的業(yè)務(wù)安全，如何保障云環(huán)境下的業(yè)務(wù)性能和應(yīng)用體驗(yàn)，如何簡(jiǎn)化IT架構(gòu)，提升運(yùn)營效率，快速部署新業(yè)務(wù)，提升企業(yè)生產(chǎn)力?思科全新Catalyst 6500系列就是為解決用戶面臨的挑戰(zhàn)而設(shè)計(jì)，滿足用戶在無邊界云網(wǎng)絡(luò)環(huán)境下的業(yè)務(wù)需求。下面是一些思科Sup 2T管理引擎及線卡的簡(jiǎn)單功能概述：

　　Sup 2T 集成了2T 比特的高性能交換矩陣，配合最新線卡可在所有 Catalyst 6500 E 系列機(jī)箱內(nèi)實(shí)現(xiàn)每個(gè)插槽 80 Gbps (雙工160Gbps)的交換容量，其轉(zhuǎn)發(fā)引擎能夠?yàn)?層和3層服務(wù)提供高性能轉(zhuǎn)發(fā)。Sup 2T 在安全、服務(wù)質(zhì)量 (QoS)、虛擬化和可管理性等領(lǐng)域提供了許多新的基于硬件的創(chuàng)新，其豐富功能集增強(qiáng)了傳統(tǒng) IP 轉(zhuǎn)發(fā)，2層和3層多協(xié)議標(biāo)簽交換(MPLS)VPN，以及VPLS等應(yīng)用。同時(shí)提供了可擴(kuò)展的性能、智能和大量的功能，以滿足無邊界網(wǎng)絡(luò)、數(shù)據(jù)中心和服務(wù)提供商網(wǎng)絡(luò)的需求。作為業(yè)界唯一真正為企業(yè)園區(qū)網(wǎng)量身定做的核心交換平臺(tái)，新一代Catalyst6500旨在提供以40G以太網(wǎng)為代表的高速業(yè)務(wù)支持的同時(shí)，更可以滿足企業(yè)用戶的移動(dòng)互聯(lián)支撐，視頻交互，靈活安全控制，應(yīng)用可視化等復(fù)合需求，打造下一代高可靠企業(yè)園區(qū)網(wǎng)。

全向的業(yè)務(wù)性能考核

　　想要使6500重新煥發(fā)青春，依靠的就是能兼容所有6500-E系列機(jī)框的全新SUP2T引擎及6900系列線卡。為此《網(wǎng)絡(luò)世界》評(píng)測(cè)實(shí)驗(yàn)室與思博倫通訊協(xié)力，在思博倫概念驗(yàn)證實(shí)驗(yàn)室(SPOC)中，采用其TestCenter測(cè)試儀表，依據(jù)RFC 2544、RFC 3918等測(cè)試規(guī)范對(duì)6500E+Sup 2T+6900線卡進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)速率及延遲的基礎(chǔ)測(cè)試，再在加載不同網(wǎng)絡(luò)協(xié)議及大路由表、MPLS/VPLS并疊加MacSec加密特性，安全組策略條件下和靈活Netflow及VSS環(huán)境的數(shù)據(jù)包轉(zhuǎn)發(fā)速率、時(shí)延情況分別進(jìn)行了驗(yàn)證性測(cè)試。通過測(cè)試結(jié)果的對(duì)比分析，相信大家可以重新認(rèn)識(shí)，全新Catalyst 6500超越傳統(tǒng)核心交換機(jī)的功能體系。單純的吞吐量和二三層轉(zhuǎn)發(fā)指標(biāo)的提升已遠(yuǎn)不能滿足園區(qū)網(wǎng)復(fù)雜應(yīng)用的需求，綜合業(yè)務(wù)支撐能力是下一代園區(qū)網(wǎng)需要考慮的重點(diǎn)。Catalyst 6500的優(yōu)勢(shì)正是在于，保持主流交換性能同時(shí)，延續(xù)思科交換機(jī)園區(qū)網(wǎng)特性豐富的特點(diǎn)，并通過芯片級(jí)別的本質(zhì)提升，為園區(qū)網(wǎng)提供移動(dòng)互聯(lián)，視頻交互，應(yīng)用可視化，安全傳輸和高可靠性等綜合業(yè)務(wù)就緒的理想平臺(tái)。

　　40G 轉(zhuǎn)發(fā)業(yè)務(wù)性能的提升

　　6500是最早一批支持園區(qū)網(wǎng)業(yè)務(wù)應(yīng)用的交換機(jī)產(chǎn)品，為園區(qū)網(wǎng)及企業(yè)網(wǎng)網(wǎng)絡(luò)建設(shè)的搭建立下了汗馬功勞。那么當(dāng)40/100G以太網(wǎng)標(biāo)準(zhǔn)在2010年發(fā)布后，新一代Sup 2T及6900線卡可否進(jìn)行有效的支持呢?環(huán)顧業(yè)界，6500幾乎是唯一針對(duì)企業(yè)園區(qū)網(wǎng)所設(shè)計(jì)的40G交換平臺(tái)，其他類似產(chǎn)品無一例外都是針對(duì)企業(yè)數(shù)據(jù)中心。為此我們首先對(duì)6500 Sup 2T和6900線卡的網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能進(jìn)行了基礎(chǔ)測(cè)試。

　　在本項(xiàng)測(cè)試過程中，我們首先為Catalyst 6500在IPv4協(xié)議下加載了25萬條BGP路由，(在IPv6協(xié)議下加載的為12萬條BGP路由)，然后使用TestCenter測(cè)試儀表上8個(gè)萬兆測(cè)試端口，將其與6500機(jī)框上的單槽位6904四口40G線卡所接出的8×10G接口連接，并進(jìn)行雙向全雙工的RFC2544規(guī)范測(cè)試。(測(cè)試拓?fù)鋮⒁妶D1)為了提高驗(yàn)證測(cè)試的效率，在思科工程師的認(rèn)可下，我們所有性能測(cè)試項(xiàng)目均采用在丟包率測(cè)試情況下，對(duì)傳輸速率和無丟包條件下的時(shí)延性能指標(biāo)進(jìn)行記錄。在進(jìn)行單機(jī)測(cè)試的同時(shí)，我們還對(duì)6500雙機(jī)雙槽位16個(gè)萬兆接口通過兩個(gè)40G接口互聯(lián)后進(jìn)行MPLS穿越時(shí)的數(shù)據(jù)包轉(zhuǎn)發(fā)性能進(jìn)行了比對(duì)。

　　6500 Sup 2T在8個(gè)萬兆網(wǎng)絡(luò)接口雙向數(shù)據(jù)包轉(zhuǎn)發(fā)性能測(cè)試中，其轉(zhuǎn)發(fā)速率在IPv4協(xié)議時(shí)可以達(dá)59878008.48PPS。IPv6數(shù)據(jù)包轉(zhuǎn)發(fā)時(shí)，數(shù)據(jù)包結(jié)構(gòu)比IPv4復(fù)雜，需要更高的轉(zhuǎn)發(fā)處理性能，6500 Sup 2T在IPv6網(wǎng)絡(luò)中加載大容量路由協(xié)議后，依然可以保持在29895784.58PPS的轉(zhuǎn)發(fā)性能。在512字節(jié)(IPv4 256字節(jié))以上的數(shù)據(jù)傳輸中6500 Sup 2T均可以0丟包的實(shí)現(xiàn)線速傳輸。這樣的傳輸速率在完全可以滿足當(dāng)前網(wǎng)絡(luò)中數(shù)據(jù)包轉(zhuǎn)發(fā)性能需求的同時(shí)，也有效的保障了網(wǎng)絡(luò)傳輸帶寬的應(yīng)用需求。而其小于13微秒的網(wǎng)絡(luò)時(shí)延更加有效的保障了網(wǎng)絡(luò)傳輸?shù)膽?yīng)用性能。可以使用戶在減少非必要性的網(wǎng)絡(luò)硬件資金投入情況下，有效提升網(wǎng)絡(luò)應(yīng)用帶寬，達(dá)到向40G網(wǎng)絡(luò)轉(zhuǎn)移的目的。而6500新提供的6900 40G網(wǎng)絡(luò)接口板卡，還可以實(shí)現(xiàn)雙40G接口的40G—4×10G網(wǎng)絡(luò)接口復(fù)用，從兩臺(tái)6500在MPLS協(xié)議連接數(shù)據(jù)轉(zhuǎn)發(fā)性能可以看出，兩臺(tái)6500通過一對(duì)40G網(wǎng)絡(luò)接口互聯(lián)后，使得接口帶寬與轉(zhuǎn)發(fā)速率得到了成倍的提升。在方便了用戶采用更加靈活的10G與40G網(wǎng)絡(luò)接入方式的同時(shí)，也可以更加便利的提升用戶整體網(wǎng)絡(luò)接入帶寬與網(wǎng)絡(luò)應(yīng)用處理性能。

　　防火墻余輝的熄滅者——SGT/SGACL

　　在現(xiàn)階段園區(qū)網(wǎng)及企業(yè)網(wǎng)的網(wǎng)絡(luò)應(yīng)用中，僅憑借單純的網(wǎng)絡(luò)帶寬提升的已經(jīng)無法滿足實(shí)際網(wǎng)絡(luò)綜合業(yè)務(wù)應(yīng)用的需求。我們還需要對(duì)這些網(wǎng)絡(luò)業(yè)務(wù)流量進(jìn)行可靠的管理。目前國內(nèi)在很多企業(yè)園區(qū)網(wǎng)中，這部分業(yè)務(wù)需求還是采用防火墻下發(fā)ACL管理策略的方式來進(jìn)行的。在需要增添附屬的防火墻硬件設(shè)備的同時(shí)，還增加了新的網(wǎng)絡(luò)故障隱患。同時(shí)在網(wǎng)絡(luò)設(shè)備的管理上也變得更加的復(fù)雜。

　　在交換機(jī)中附帶安全管理策略并不是一個(gè)新出現(xiàn)的功能。ACL早已成為園區(qū)網(wǎng)交換機(jī)標(biāo)志性功能之一。然而防火墻的身影依然在當(dāng)前企業(yè)的網(wǎng)絡(luò)架構(gòu)中，始終揮之不去。尤其是當(dāng)無線網(wǎng)絡(luò)、BYOD設(shè)備盛行之后，企業(yè)網(wǎng)絡(luò)應(yīng)用的安全管理復(fù)雜性就越發(fā)成為了網(wǎng)絡(luò)管理者的心病。由此看來，在現(xiàn)階段的網(wǎng)絡(luò)管理中，需要一種更加智能化的高效率訪問控制管理方式才可以滿足用戶當(dāng)前的網(wǎng)絡(luò)管理需求。

#p#

安全策略需要如影隨形

　　那么可否設(shè)計(jì)出一種“如影隨形”的智能網(wǎng)絡(luò)訪問控制管理方式呢?為此，思科在新的Catalyst 6500 Sup 2T管理引擎及6900系列線卡上新增設(shè)了通過ASIC實(shí)現(xiàn)的SGT(安全組標(biāo)簽)與SGACL(安全組訪問控制列表)功能。

　　要想實(shí)現(xiàn)“如影隨形”的訪問控制，最簡(jiǎn)捷的方式就是通過交換機(jī)ASIC芯片為用戶的流量打上標(biāo)記，并在后續(xù)的轉(zhuǎn)發(fā)控制中依據(jù)該標(biāo)記來執(zhí)行動(dòng)作，思科把這種安全標(biāo)記稱為SGT。這樣無論用戶是從外網(wǎng)，還是從內(nèi)網(wǎng)的不同區(qū)域進(jìn)行訪問均可以迅速對(duì)用戶身份進(jìn)行判斷并標(biāo)記對(duì)應(yīng)的流量，再依據(jù)相應(yīng)管理權(quán)限進(jìn)行管理，對(duì)應(yīng)的安全管理策略稱為SGACL。SGT和SGACL的靈活應(yīng)用能改變當(dāng)前基于IP地址的傳統(tǒng)ACL復(fù)雜部署方式，用戶不再需要在每臺(tái)交換機(jī)上依據(jù)源目的地址等元素進(jìn)行大量的ACL手工配置，而是通過思科ISE(身份服務(wù)引擎)根據(jù)用戶身份驗(yàn)證來實(shí)現(xiàn)SGT/SGACL的動(dòng)態(tài)綁定和下發(fā)，極大簡(jiǎn)化了安全管理部署，結(jié)合ISE的豐富特性，更能真正實(shí)現(xiàn)任何時(shí)間，任何地點(diǎn)，任何設(shè)備的無邊界網(wǎng)絡(luò)智能安全管理目標(biāo)。

　　當(dāng)Sup 2T及6900線卡開啟SGT和SGACL功能后，憑借其基于ASIC的強(qiáng)大處理能力，可以依據(jù)用戶、接入點(diǎn)、接入設(shè)備類型等規(guī)則設(shè)計(jì)自動(dòng)的為用戶流量打上相應(yīng)的安全組標(biāo)簽。安全組標(biāo)簽十分小巧，僅需要4個(gè)字節(jié)的長(zhǎng)度，并且完全在硬件層面處理完成，因此在網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)過程中，幾乎不會(huì)對(duì)數(shù)據(jù)轉(zhuǎn)輸性能造成影響。

　　在實(shí)際驗(yàn)證測(cè)試中，我們通過不同的路由地址發(fā)出標(biāo)有不同SGT標(biāo)記的數(shù)據(jù)報(bào)文，并對(duì)這些數(shù)據(jù)報(bào)文通過SGACL進(jìn)行統(tǒng)計(jì)分析。測(cè)試結(jié)果表明，6500在開啟SGACL后，數(shù)據(jù)包丟包率為“0”，使能SGT/SGACL之后沒有影響正常業(yè)務(wù)轉(zhuǎn)發(fā)性能。并且可以及時(shí)準(zhǔn)確的對(duì)SGT標(biāo)記源目標(biāo)進(jìn)行分析并按SGACL的規(guī)則進(jìn)行歸類。(摘錄SGT命令行顯示如下：)

CNW.6506.S2T.VSS#sho cts role sgt-map all

Active IP-SGT Bindings Information

IP Address SGT Source

============================================

12.12.12.12 1212 INTERNAL

12.45.0.0/24 1245 CLI

12.45.0.254 1212 INTERNAL

12.49.0.0/24 1249 CLI

12.49.0.254 1212 INTERNAL

100.1.1.1 1212 INTERNAL

IP-SGT Active Bindings Summary

============================================

Total number of CLI bindings = 2

Total number of INTERNAL bindings = 4

Total number of active bindings = 6

　　為用戶的數(shù)據(jù)流進(jìn)行SGT標(biāo)記只是基礎(chǔ)，我們還需要為不同SGT的用戶進(jìn)行不同的訪問權(quán)限管理。在這里就需要應(yīng)用到Sup 2T及6900線卡的SGACL功能了。SGACL功能把普通ACL和用戶SGT關(guān)聯(lián)起來，可依據(jù)SGT對(duì)用戶訪問請(qǐng)求進(jìn)行有效的安全策略管理。我們通過SGACL的管理容量表了解到其可以支持至少32000條SGACL的策略管理。

　　極小的SGT字節(jié)長(zhǎng)度和大容量的SGACL策略管理的有效結(jié)合，形成了Sup 2T高效精準(zhǔn)的網(wǎng)絡(luò)接入管理策略。憑借此策略，無論用戶是在任何地域，采用何種接入方式連入網(wǎng)絡(luò)，網(wǎng)絡(luò)管理者均可以對(duì)用戶真實(shí)身分進(jìn)行準(zhǔn)確判定，并高效的按不同組別進(jìn)行不同權(quán)限的分類管理，從而達(dá)到了安全策略如影隨形的接入管理效果。自此，網(wǎng)絡(luò)管理者將無需再通過防火墻進(jìn)行復(fù)雜的網(wǎng)絡(luò)安全策略管理。在Catalyst 6500上，SGT和SGACL既可以通過手動(dòng)配置實(shí)現(xiàn)，更可以通過思科ISE動(dòng)態(tài)下發(fā)，是安全園區(qū)和BYOD解決方案的重要組件之一。

傳輸安全性的可靠保障——MPLS、VPLS疊加MACSec加密測(cè)試

　　在企業(yè)園區(qū)網(wǎng)的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用中，不但需要對(duì)用戶網(wǎng)絡(luò)接入權(quán)限進(jìn)行管理，還需要對(duì)網(wǎng)絡(luò)傳輸?shù)陌踩约翱煽啃赃M(jìn)行保障。在這方面，以往通常是由獨(dú)立的VPN(虛擬專用網(wǎng))產(chǎn)品或防火墻上附帶的VPN功能進(jìn)行實(shí)現(xiàn)的。

　　然而在以往的高可靠性網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)傳輸時(shí)，無論是采用IPSec VPN還是SSL VPN技術(shù)，均有兩個(gè)問題始終無法回避：一、接入匹配方式復(fù)雜，需求在客戶端進(jìn)行復(fù)雜的網(wǎng)絡(luò)接入設(shè)置，在多用戶應(yīng)用時(shí)無法很好的進(jìn)行管理。二、傳輸效率低下，VPN的數(shù)據(jù)傳輸性能只有網(wǎng)絡(luò)傳輸性能的幾分之一，用戶在實(shí)際應(yīng)用時(shí)，要不需要多購置VPN網(wǎng)絡(luò)設(shè)備，要不只能忍受低傳輸速率對(duì)企業(yè)業(yè)務(wù)的影響。

為了解決此類問題，思科將在城域網(wǎng)發(fā)展成熟的三層VPN數(shù)據(jù)傳輸技術(shù)MPLS(多協(xié)議標(biāo)簽交換)功能同樣引入了全系Catalyst 6500之中。通過LSP(從源端到終端路徑上的結(jié)點(diǎn)標(biāo)簽序列)將私有網(wǎng)絡(luò)的不同分支聯(lián)結(jié)起來，形成一個(gè)統(tǒng)一的網(wǎng)絡(luò)。MPLS的支持優(yōu)勢(shì)在于：支持不同分支間IP地址復(fù)用的同時(shí)，還可以支持對(duì)不同VPN間的互通控制。

　　為了更好的將不同地域分支機(jī)構(gòu)網(wǎng)絡(luò)進(jìn)行整合，新的Catalyst 6500在支持MPLS的基礎(chǔ)上，又增添了VPLS功能。VPLS支持點(diǎn)到點(diǎn)、點(diǎn)到多點(diǎn)、多點(diǎn)到多點(diǎn)的業(yè)務(wù)類型，能夠在較大網(wǎng)絡(luò)規(guī)模下支持電信級(jí)以太網(wǎng)服務(wù)實(shí)現(xiàn)二層虛擬化。這樣即便網(wǎng)絡(luò)用戶所處在于不同的地域，但可以將所有網(wǎng)絡(luò)整合在一起，最大限度發(fā)揮網(wǎng)絡(luò)整合、統(tǒng)一應(yīng)用、統(tǒng)一管理的功效。

　　然而不論MPLS還是VPLS虛擬化方式都不能避免另一個(gè)問題存在，在異地跨公網(wǎng)進(jìn)行以太網(wǎng)數(shù)據(jù)傳輸時(shí)，數(shù)據(jù)有可能被第三方截獲，造成信息泄密。為此，思科將業(yè)界最新的MACSec(802.1ae)二層加密技術(shù)引入到Catalyst 6500的SUP2T引擎及6900線卡之中，通過在二層上對(duì)所有以太網(wǎng)數(shù)據(jù)幀進(jìn)行加密封裝，在傳統(tǒng)以太網(wǎng)上實(shí)現(xiàn)媲美光網(wǎng)絡(luò)的傳輸安全性。由于MACSec是通過專用ASIC實(shí)現(xiàn)，這樣在保證網(wǎng)絡(luò)傳輸吞吐量和延遲不受影響的同時(shí)，又使網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩缘玫搅擞行ПＵ稀?/p>

#p#

在實(shí)際測(cè)試中，我們抓包截取了經(jīng)過MACSec封包傳輸?shù)臄?shù)據(jù)包文件，在進(jìn)行查看時(shí)，由于MACSec封包無法拆解，因此抓包文件無法進(jìn)行正常查看，僅能看到源目的MAC地址，其后所有信息皆為密文。

　　在增添如此多虛擬化及安全傳輸功能后，Sup 2T及6900線卡在數(shù)據(jù)傳輸性能上是否有所減弱呢?為此，我們又一次對(duì)Catalyst 6500的傳輸吞吐量和延遲進(jìn)行了對(duì)比測(cè)試。

　　在本項(xiàng)測(cè)試中，我們將兩臺(tái)6500交換機(jī)上分別安裝了一塊6900 8×10G接口卡與一塊6908 2×40G接口卡。兩塊6908 2×40G的4個(gè)40G接口互聯(lián)，以便同時(shí)對(duì)兩臺(tái)交換機(jī)間的數(shù)據(jù)轉(zhuǎn)發(fā)處理性能進(jìn)行測(cè)試。在測(cè)試儀表上采用16個(gè)萬兆網(wǎng)絡(luò)測(cè)試接口分別與兩臺(tái)6500交換機(jī)上的兩塊6900 8×10G接口卡上的8個(gè)10G網(wǎng)絡(luò)接口連接。兩臺(tái)6500的40G以太網(wǎng)接口對(duì)聯(lián)并且使能MACSec加密處理，同時(shí)作為MPLS傳輸接口。

　　在測(cè)試過程中，我們分別對(duì)兩臺(tái)6500采用兩對(duì)40G接口雙向互聯(lián)的數(shù)據(jù)包轉(zhuǎn)發(fā)性能及加載MPLS協(xié)議、加載MPSL+MacSec、加載VPLS協(xié)議以及加載VPLS+MacSec的轉(zhuǎn)發(fā)性能進(jìn)行了測(cè)試。為了有利于直觀進(jìn)行分析，我們將數(shù)據(jù)包轉(zhuǎn)發(fā)速率轉(zhuǎn)換成了流量轉(zhuǎn)發(fā)速率并列表進(jìn)行對(duì)比。由于測(cè)試項(xiàng)目較多，我們只節(jié)選了256Bbye、512Byte和1518Byte三組結(jié)果進(jìn)行了對(duì)比。

測(cè)試結(jié)果表明，使能MPLS前后的40G以太網(wǎng)轉(zhuǎn)發(fā)速率差別很小，使能VPLS之后轉(zhuǎn)發(fā)性能為正常速率的一半。在MPLS和VPLS環(huán)境下再開啟MACSec功能后，吞吐量和延遲幾乎沒有明顯損失， 1518大包的數(shù)據(jù)流量仍然可達(dá)到144.7Gbps，其中還包括MPLS封裝和MACSec封裝對(duì)包長(zhǎng)的影響。要知道，兩對(duì)40G接口即便在不丟包情況下，在1518字節(jié)下的最大數(shù)據(jù)傳輸流量也僅為147.8Gbps左右。而6500在加載上述功能后的網(wǎng)絡(luò)處理性能始終沒有顯著下降，并且網(wǎng)絡(luò)時(shí)延的測(cè)試結(jié)果也比較一致，由于是對(duì)兩臺(tái)6500設(shè)備進(jìn)行測(cè)試，總時(shí)延結(jié)果有成倍提升，但看不到疊加業(yè)務(wù)后的明顯損耗。由此，我們了解到了新的Catalyst 6500 Sup 2T管理引擎及6900線卡在應(yīng)對(duì)網(wǎng)絡(luò)高可靠性數(shù)據(jù)傳輸時(shí)，可以具備如何出色的綜合業(yè)務(wù)處理能力。這些特質(zhì)歸功于思科園區(qū)網(wǎng)交換機(jī)更加注重豐富功能特性與傳統(tǒng)轉(zhuǎn)發(fā)性能的平衡，而不是盲目攀比傳統(tǒng)交換指標(biāo)。

#p#

網(wǎng)絡(luò)管理的延伸——Netflow

　　在當(dāng)前園區(qū)網(wǎng)及企業(yè)網(wǎng)的網(wǎng)絡(luò)流量管理中，有成百上千的不同類型應(yīng)用，在網(wǎng)絡(luò)中產(chǎn)生各種不同特征不同規(guī)模的流量。還有大量的需求各異的用戶，從不同的設(shè)備、不同的地點(diǎn)、不同的時(shí)間使用各種不同的網(wǎng)絡(luò)資源，這些應(yīng)用還在不斷的變化，難以預(yù)判和把握。由此而來的網(wǎng)絡(luò)流量劇增，對(duì)網(wǎng)絡(luò)容量規(guī)劃提出了新的挑戰(zhàn)。以往通過源端口、目的端口、源地址、目的地址和服務(wù)類別的進(jìn)行流量分析管理的方法，也越來越無法滿足目前網(wǎng)絡(luò)流量分析管理的實(shí)際應(yīng)用需求。

　　如何知道當(dāng)前網(wǎng)絡(luò)部署是否能滿足園區(qū)網(wǎng)應(yīng)用需求以及找到網(wǎng)絡(luò)流量瓶頸所在，成為廣大IT管理人員面臨的頭號(hào)難題。其次，IT管理人員需要掌握的遠(yuǎn)不止是流量大小而已，他們還可能需要跟蹤用戶行為，應(yīng)用類型，網(wǎng)絡(luò)流量構(gòu)成，流量特征，流量分布等。各種802.1x，mpls，視頻多播，語音，游戲以及IPv6流量等都會(huì)成為他們的關(guān)注目標(biāo)。并且他們還需要讓這些關(guān)注內(nèi)容可視化，可管控。

　　對(duì)于上述挑戰(zhàn)，當(dāng)前的普遍應(yīng)對(duì)方式是使用網(wǎng)絡(luò)交換機(jī)內(nèi)置的傳統(tǒng)Netflow特性，對(duì)流量分布進(jìn)行解析和導(dǎo)出，再通過圖形化軟件進(jìn)行解讀與分析。但隨著應(yīng)用復(fù)雜度的增加和交換機(jī)T比特時(shí)代來臨，傳統(tǒng)Netflow已經(jīng)遠(yuǎn)不能滿足應(yīng)用可視化的需求。傳統(tǒng)Netflow實(shí)現(xiàn)方式提供的Netflow緩存一般較小，處理效率很低，不能滿足網(wǎng)絡(luò)流量激增的需求。

　　針對(duì)新一代企業(yè)園區(qū)網(wǎng)對(duì)應(yīng)用可視化的強(qiáng)烈需求，以及傳統(tǒng)Netflow的各種不足，思科在其不同企業(yè)網(wǎng)平臺(tái)上都部署了新一代靈活Netflow技術(shù)(Flexible Netflow)，能夠?qū)?yīng)用可視化提供強(qiáng)大的支持。IT管理者可以根據(jù)實(shí)際需求，靈活選擇需要分析的應(yīng)用類型和關(guān)注的數(shù)據(jù)元素，借助遠(yuǎn)超過IP七元組的豐富信息元，來達(dá)到分析用戶行為，應(yīng)用類型，應(yīng)用流量分布，不安全流量監(jiān)控等多種目的。并且6500上新增了分布式Netflow緩存功能，每張線卡可提供的Netflow條目數(shù)高達(dá)512K-1M條，整機(jī)累計(jì)可達(dá)12M條Netflow記錄。

　　在本項(xiàng)測(cè)試中，我們加載了50萬(512000)條以上的Netflow條目，并對(duì)其網(wǎng)絡(luò)層的處理速率和時(shí)延進(jìn)行了測(cè)試。

　　由于Netflow通常應(yīng)用在關(guān)鍵業(yè)務(wù)上，因此我們僅用一對(duì)6500的一對(duì)10G接口雙向Netflow處理性能進(jìn)行了測(cè)試。在測(cè)試時(shí)，Sup 2T從128Byte到1518Byte的吞吐量始終保持在100%，時(shí)延的平均結(jié)果在20微秒以內(nèi)。由測(cè)試結(jié)果可以看出，Sup 2T的Netflow處理能性依然出色，在高速抓取五十萬條Netflow記錄的同時(shí)，設(shè)備吞吐量和延遲幾乎跟沒有開啟Netflow的時(shí)候基本保持一致，無論是數(shù)據(jù)包處理性能還是網(wǎng)絡(luò)時(shí)延全都可以高性能的勝任當(dāng)前網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用處理的需求。

瞬息切換，業(yè)務(wù)無憂——VSS與HA

　　虛擬化與云計(jì)算是近年來網(wǎng)絡(luò)技術(shù)的新熱點(diǎn)。談到交換機(jī)虛擬化，可能會(huì)令人產(chǎn)生一種高端、復(fù)雜的感覺。但實(shí)際歸納下來無外乎以下三點(diǎn)：集中管理、業(yè)務(wù)分布、核心傻快。在一個(gè)虛擬化的云計(jì)算網(wǎng)絡(luò)中，所有網(wǎng)絡(luò)交換設(shè)備均可以被虛擬成為一臺(tái)設(shè)備，并集中統(tǒng)一的進(jìn)行管理，網(wǎng)絡(luò)業(yè)務(wù)的分析、轉(zhuǎn)發(fā)、處理工作則更多的交給處于網(wǎng)絡(luò)邊緣的接入/匯聚層網(wǎng)絡(luò)交換設(shè)備去完成(當(dāng)前6500已經(jīng)處于此類位置之中)。核心層網(wǎng)絡(luò)設(shè)備的作用，就是將這些邊緣的接入/匯聚層網(wǎng)絡(luò)交換設(shè)備進(jìn)行連接，高性能的進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。在一些小規(guī)模的網(wǎng)絡(luò)應(yīng)用場(chǎng)景中，核心層甚至由一根網(wǎng)線就可以進(jìn)行替代。這樣做的優(yōu)勢(shì)在于，可以使整個(gè)網(wǎng)絡(luò)的業(yè)務(wù)處理能力、接口帶寬和高可靠性可以得到成倍的提升。

　　Catalyst 6500無疑是業(yè)界虛擬化技術(shù)的先驅(qū)者，早在2008年一月就正式推出了VSS虛擬交換系統(tǒng)解決方案，也成為后續(xù)很多類似虛擬化技術(shù)的借鑒。在新的Catalyst 6500 SUP2T平臺(tái)上，VSS技術(shù)又有怎樣的表現(xiàn)呢?為此，我們對(duì)全新6500 SUP2T和6900線卡在開啟VSS功能下的網(wǎng)絡(luò)業(yè)務(wù)切換及高可靠性功能進(jìn)行了測(cè)試。

　　思科虛擬交換系統(tǒng)VSS是一種典型的網(wǎng)絡(luò)虛擬化技術(shù)，它可以實(shí)現(xiàn)將多臺(tái)思科交換機(jī)虛擬成單臺(tái)交換機(jī)，使設(shè)備可用的端口數(shù)量、轉(zhuǎn)發(fā)能力、性能規(guī)格都倍增。可將兩臺(tái)物理的6500整合成為一臺(tái)單一邏輯上的虛擬交換機(jī)，從而可將系統(tǒng)帶寬容量有效進(jìn)行擴(kuò)展。在新的Catalyst 6500 SUP2T平臺(tái)上，VSS可以支持到整系統(tǒng)4T交換容量，也稱為VSS 4T。

　　首先，我們驗(yàn)證了在VSS功能下，兩臺(tái)6500的集中管控功能。在開啟VSS功能后，兩臺(tái)6500被集成為一臺(tái)虛擬交換設(shè)備，可以在一個(gè)控制界面中對(duì)兩臺(tái)設(shè)備進(jìn)行統(tǒng)一的集中管理。業(yè)務(wù)功能由于上面已經(jīng)進(jìn)行了大量測(cè)試，雖然不用再過多分析，我們還是在同時(shí)利用128字節(jié)、500000pps的單播和組播兩種不同數(shù)據(jù)流來當(dāng)做背景流量，來測(cè)試6500在拔插光模塊、拔插機(jī)框主引擎、關(guān)閉主機(jī)框電源以及軟件升級(jí)情況下，6500的高可靠性處理性能。
通過50萬數(shù)據(jù)包每秒的單播及組播數(shù)據(jù)轉(zhuǎn)發(fā)，我們可以很容易的利用丟失數(shù)據(jù)包的個(gè)數(shù)，計(jì)算出在網(wǎng)絡(luò)出現(xiàn)不同問題時(shí)，6500的高可靠性性能。

　　由于在6500上不僅是進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)，還需要對(duì)網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行分析處理，因此利用單播數(shù)據(jù)流和組播數(shù)據(jù)流同時(shí)進(jìn)行測(cè)試不但可以對(duì)6500在數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)的高可靠性進(jìn)行測(cè)試還可以對(duì)6500在進(jìn)行網(wǎng)絡(luò)業(yè)務(wù)處理時(shí)的轉(zhuǎn)發(fā)性能同樣進(jìn)行評(píng)估。由測(cè)試結(jié)果我們可以了解，在鏈路故障(拔掉接口光模塊)、控制引擎故障、電源故障和交換機(jī)系統(tǒng)升級(jí)等條件下，6500的VSS高可靠性切換時(shí)間始終保持在毫秒級(jí)別，大部分都保持在50ms以下，在引擎故障時(shí)，甚至可以做到無延遲切換。這些都得益于SUP2T所獨(dú)有的四引擎無縫切換特性Quad-Sup SSO及全新的VSS下ISSU支持。在實(shí)際測(cè)試中，我們嘗試了陸續(xù)拔插多個(gè)引擎卡，均保持了50ms以內(nèi)的業(yè)務(wù)收斂時(shí)間。這樣的高可靠性業(yè)務(wù)保障能力可以極大限度的提升用戶的網(wǎng)絡(luò)應(yīng)用可靠性，有效的保障了用戶網(wǎng)絡(luò)業(yè)務(wù)的正常應(yīng)用。

　　延續(xù)十年經(jīng)典 開創(chuàng)全新時(shí)代

　　通過對(duì)思科新一代Catalyst 6500 Supervisor Engine 2T管理引擎及6900新一代線卡的測(cè)試，我們了解到Sup 2T系列的的高性能交換矩陣，為6500帶來了更高的網(wǎng)絡(luò)可接入帶寬，全新的ASIC設(shè)計(jì)提供了豐富業(yè)務(wù)管理、轉(zhuǎn)發(fā)和控制功能，可以為用戶提供更強(qiáng)大的高安全性、高可靠性的網(wǎng)絡(luò)傳輸服務(wù)。其進(jìn)一步完善的VSS功能又可使老的6500系統(tǒng)輕松獲得雙倍性能提升和更高可靠性的升級(jí)換代。Sup 2T這朵新“花”可以說是為6500這顆老樹帶來了第二次青春，使其重新發(fā)出了誘人奪目的光采。而且即便未來用戶的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用再次擴(kuò)展，現(xiàn)有6500遭遇帶寬瓶頸的時(shí)候，用戶的網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)也可以輕易的遷移到將來的Catalyst 6500機(jī)框引擎和線卡上去，薪盡而火傳。

　　完善而可靠的架構(gòu)設(shè)計(jì)，成就了Catalyst 6500交換機(jī)十余年的經(jīng)典。用戶網(wǎng)絡(luò)業(yè)務(wù)的可持繼發(fā)展擴(kuò)容鑄造了其永遠(yuǎn)流傳的永恒。而成就這一切的是思科超越同類的網(wǎng)絡(luò)技術(shù)前瞻性。跨越性的40G網(wǎng)絡(luò)接口轉(zhuǎn)發(fā)，靈活智能的安全組管理策略，安全高可靠性的MPLS、VPLS數(shù)據(jù)傳輸通道，文件內(nèi)容級(jí)別的Netflow內(nèi)容管理，再加上高安全性、高可靠性的VSS與HA功能設(shè)計(jì)，組成了全新的Catalyst 6500網(wǎng)絡(luò)解決方案。正是這一系列開創(chuàng)性的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用管理方案，奠定了思科無可動(dòng)搖的網(wǎng)絡(luò)技術(shù)領(lǐng)導(dǎo)者地位，而唯有技術(shù)領(lǐng)導(dǎo)才可使產(chǎn)品永恒屹立!