|
了适应今天企业网万兆到汇聚、接入,千兆到桌面的需求,思科公司近期对Catalyst 4500系列交换机进行了升级,推出了以Supervisor Engine V-10 GE 为代表的一系列新引擎。从而给大型企业和数据中心的分布层乃至接入层实现万兆上联、中型企业网实现万兆核心提供一个高性能价格比的选择。 《网络世界》评测实验室对装备Supervisor Engine V10GE的Catalyst 4507R交换机进行了全面测试。也许对于大多数用户来说新的引擎带来的是万兆的通信能力。而从测试结果看,新的交换引擎在网络健壮性、安全性、服务质量控制 、维护等方面的智能提升,带给用户的将是远远超过十倍的获益。 
更健壮
网络融合、链路速率上升到10GE,假如设备健壮性不能相应提高,损失将更为惨重。我们分三部分验证了Catalyst 4507R加上Supervisor Engine V10GE出色的健壮性设计。 主控引擎间平滑切换
我们在交换机两个万兆端口上模拟了分别属于500个VLAN的10000个主机间的线速通信。两台IP电话机及一台2800路由器(呼叫控制服务器),以及一台视频流服务器、一台ACS( Cisco Secure Access Control Server)服务器和一台客户端PC分别连接到交换机上,如下图所示。客户端PC利用802.1x认证接入网络,ACS在交换机上为此用户下发VLAN和 ACL 配置。结果,两个主控引擎之间切换过程对数据流量的影响很小,我们也几乎无法感受到视频和语音通信的中断。而且802.1x的认证状态、ACL、VLAN的设置也很好地进行了同步,并未因为切换发生改变。 
p align=left>跨模板的EtherChannel高效冗余
Catalyst 4507R能够在EtherChannel跨接口板的情况下保证快速切换和根据源/目的MAC/IP地址、第四层端口号提供EtherChannel端口间的负载均衡。测试结果显示,在发生链路中断时的切换时间都在0.5秒到0.6秒之间。更值得关注的是,由于一组EtherChannel的端口分别在两个接口板上,拔掉其中一块接口板,流量也会迅速切换到另一个激活中的EtherChannel端口上,这一点非常难得。抗攻击维持正常工作
我们模拟了500个VLAN和10000个PC的万兆线速通信,两个千兆端口上模拟了共12000条OSPF路由,线速的千兆流量。然后分别进行了转发表溢出攻击、针对一个地址的ARP攻击和针对一个网段主机地址的ARP攻击,以及TTL标志位为1的攻击。基于拓扑转发Supervisor Engine 10GE面对前三个攻击岿然不动,CPU占用率很低。后一种攻击虽然使交换机CPU占用率达到了99%,但是交换机软件的良好调度机制仍旧保证了交换机能够维持二层转发,并在总计12000条路由拓扑环境下维持路由协议的正常交互,以及100%千兆流量的正常转发。 更安全
IP地址的分配、IP和MAC地址的正确映射是维护整个IP网络稳定运行的基础。Catalyst 4507R新的软硬件设计加强了对此的安全防护。 我们重复了曾经在《网络边缘剿杀战》中测试过的DHCP Snooping、Dynamic ARP Inspection结合防范广播域中间人攻击的功能,以及利用DHCP速率限制防止对DHCP服务器处理资源的DoS攻击。此次的重点在于验证交换机DHCP Option 82功能特性。通过抓包发现,在交换机启动DHCP Option 82功能后,经过交换机的DHCP请求数据包的Option 82位上会标记出PC接入交换机的位置信息,这可以帮助网管员进行计算机定位。凭借这一信息,配合DHCP服务器的规则设定可以从接入交换机某一端口发出IP分配地址请求的数量,从而防范DHCP服务器地址池耗尽攻击。 我们还在Catalyst 4507R的万兆端口上设置了4000条ACL,交换机仍能以线速转发数据包。据介绍,Supervisor Engine 10GE可以支持多达32K的硬件ACL。 更智能
NetFlow处理模块成为Supervisor Engine 10GE的默认配置,看似小小的变化却为新引擎带来了最大的智能提升,对流的识别和自动做出的反应是Catalyst 4507R智能特性的最大亮点。 2/3层NetFlow发现攻击
我们重复了在《网络边缘剿杀战》中提到的检测三层流量,发现蠕虫病毒攻击的测试。还在一个广播域内模拟了一个攻击行为,交换机同样配合NetFlow收集器及时发现了攻击,从而将安全防护引入到广播域内。 高性能NetFlow处理引擎
我们还验证了Supervisor Engine 10GE支持的NetFlow处理模块可以记录128K的流量信息,而且能够线速采集网络中的流信息。交换机可以以最短为1分钟的时间间隔向收集器发送NetFlow采集信息,这一过程中CPU占用率不高。测试结果意味着,一旦网络中出现蠕虫病毒或者攻击行为,NetFlow都会及时准确地发现、记录、汇报异常流量的情况。 配合NetFlow实现每用户流量控制
Supervisor Engine 10GE可以基于对NetFlow信息的统计结果,动态地学习流并对每个流进行自动的流量控制。测试中交换机一侧模拟的10台服务器,到另一侧1000台PC的流量限制在2Mbps,每台PC访问服务器的流量限制在500Kbps。只需要三条命令,交换机就会自动根据PC和服务器之间通信的流信息,自动进行流量限制。而通常情况下以基于IP的ACL进行限制为例配置的工作量是1000倍,且灵活性、扩展性不好。 智能流量控制
在一个拥塞的上联链路,通常设备都会根据数据包的高低优先级进行丢弃,但是在同等优先级数据包之间,交换机会如何处理呢,特别是假如蠕虫病毒发送出假冒的高优先级数据包拥塞了交换机之间的链路呢?我们测试思科的DBL(Dynamic Buffer Limiting),它能够根据智能地选择丢弃数据包提供更合理的QoS服务。 Catalyst 4507R和Catalyst 4948交换机利用千兆链路连接。测试仪发送高优先级数据包使千兆链路拥塞,我们跨越拥塞链路远程管理Catalyst 4948(同样为高优先级数据包)。在未启用DBL时,交换机会随意的丢弃数据包。启用DBL之后,交换机会对测试仪模拟的持续稳定高带宽消耗流量进行丢弃,让网管流量率先通过。 更高速
我们进行了万兆到千兆的部分网状通信(一个万兆对10个千兆)的测试。在三层转发测试中,共有66万条流,交换机能够以59522897pps的速率转发数据包。 测试亮点 无缝切换确保高质量语音视频通信。自力更生抵御中间人、DHCP等多种攻击 。自力更生监控流量、发现攻击,减缓网络攻击的影响。支持万兆、高密度千兆下的高性能数据转发。(Z101)与网友交流交换机采购经验
 |
频道声明:本频道的文章除部分特别声明禁止转载的专稿外,可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。
| 原始作者:佚名 |
录入时间:2007-1-3 1:27:02 |
| 信息来源:不详 |
投稿信箱:itqoo@126.com |
|
|
 |
|
用户登录 
新用户注册 
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) 