Policy Feature Card(PFC)是Assure端到端服务质量(QoS)和基于政策的网络解决方案的有机组成部分。如果与Catalyst 6500 Supervisor IA线路卡一起订购,PFC可以识别用户应用并对拥有适当优先权级别的流量进行分类。PFC与一起能够提供15 Mbps的线速负荷平衡(SLB),而且PFC还能够启动许可控制,防止未经授权的应用进入网络。此外,PFC还支持先进的QoS特性,例如数据包分类和市场、调度及拥塞避免。如果与PFC先进的特性相结合,这些特性能够使Catalyst 6500系列机以线速提供增强的智能网络服务,从而使之成为业界最先进的机。
PFC可以安装在Catalyst 6500交换引擎Supervisor Engine IA上,扩展了获奖的Catalyst 6500家族的特性及功能。PFC提供新的基于增强政策的QoS和特性,同时继续提供配线间交换机设计中常用的那些特性,例如过滤、Internet Group Management Protocol(IGMP) Snooping及增强的Multicast packer replication。当安装在Supervisor IA上的PFC提供所有这些服务,而不需要新增硬件来提供这些智能网络服务;并且,通过增加一个多层交换特性卡(MSFC),PFC还支持15 Mbps的IP、IPX和IP Multicast多层交换(MLS)。
图1 PFC for Supervisor Engine IA启动识别应用的交换 QoS(服务质量)
QoS的目标是通过提供专用带宽、控制抖动和延迟以及改进丢失特征,提供更好、更加可预测的网络服务。网络是至关重要的业务资产。高级关键任务应用正在寻找进入尖端内部网的途径,为用户提供简单的企业资源访问。作为增强型智能网络的一部分,服务(例如QoS)在整个企业至关重要。Assure端到端QoS能够为跨网络的不同类型的数据流流量类启动相应的服务。
在网络中应用QoS有2个主要方面,第一是用于识别和标记关键任务应用数据的包分类,然后一旦识别,第二部分就是交换机如何优化这些数据包。
多包分类
在任何QoS讨论中,某些定义可能只是为了分类术语。QoS使用标签来区别或标记一个帧。例如,这些标签表示不同的包优先权。IP语音(VoIP)包应当比游戏包获得更高的优先权。这种更高的优先权由包中的标签来表示。分类是识别将哪些流量类型标记或标签为特定优先权的选择过程。有多种方法来标记数据包:
从第二层的角度看,这些标签可以包含在1字节用户域的交换机内链路(ISL)包中,或者根据IEEE 802.1Q规范,标签将包含在802.1Q包的TAC控制字节中。
从第三层的角度看,IP在包含在数据包服务类(TOS)域中的IP优先位中提供标签。在所有三种情况下:ISL、802.1Q和IP优先权,标签规模都是3位,从而生成能够分配对数据包分类的8个不同标签或优先级。
最后一种标记方法是Internet Engineering Task Force(IETF)区别服务代码点(DSCP),它将IP包TOS域的6位定义为标签,因而生成用以区别不同流量类型及其相关优先权的64个不同标签。请注意,IP包仅能携带IP优先权或一个DSCP值。
Catalyst 6500系列PFC以线速支持所有这三种包标签技术,并能够重写这些标签,根据由网络管理员设定的规则相互映射标记模式。PFC的另一个独有特性是它不仅允许网络管理员设置IP包政策,而且也提供其他支持。网络管理员可以通过IP、IPX、Appletalk、Vines和DECnet包的简单访问清单设置分类规则及带宽监管规则,从而提供端到端的多协议网络解决方案。
基于CoS分类的高级流量管理
一旦这些包被前面所述的任何技术标记,Catalyst 6500系列PFC将提供众多方法来保证高优先权流量达到目的地。PFC提供:
流量调度--根据包标记,包将被缓冲到特定的端口队列中。该特性能使网络管理员将高优先权流量引向一个专用队列,而所有其他流量类型在共享队列中缓冲。
拥塞避免--在每一个基于端口的输入队列中,Catalyst 6500系列为输入数据流提供4个用户定义的包终止级别。这提供了一个行之有效的机制,在端口接收超过用户定义阈值的队列时,保证较高优先权流量获得优先处理。这些功能适用于专用队列及共享队列。在输入端口上,能够定义2个用户定义的阈值,在传输队列由于输出端口的网络拥塞而达到特定阈值时,确保高优先权流量得到优先处理。
监管--PFC也支持监管,根据通过输入端口上的简单访问清单建立的规则,PFC能够监控特定流或流量组消耗的带宽。如果流量消耗的带宽超过其基于政策的水平限制,那么流量可以终止或重新分类为较低优先权标记。该功能确保过度带宽强化或出错的应用不会消耗关键任务应用所需的带宽
15Mpps速率的加速负荷平衡
当与Cisco LocalDirector(LD)一起使用时,Catalyst 6500系列PFC以15Mpps的线速速率提供加速的服务器负荷平衡(SLB)。LocalDirector是一个动态平衡多个服务器之间TCP流量负荷保证及时访问响应的高可用性设备。它独立于域名服务器和应用,而是作为服务器组的前端,在用户和服务器应用之间智能地平衡流量负荷。服务器可以透明地增加或删除,但是对最终用户,LD提供单一虚拟的服务器地址。PFC通过将可用数据带宽从兆比特/秒增加到千兆比特/秒,加速了LD性能,同时允许LD提供每秒超过18000个连接的连接建立能力。随着连接的建立,流中的初始包将被引向使用任何一种智能算法选择服务于该流的服务器的LD。在该决定作出之后,LD将包发送给适当的服务器。然后,PFC缓存该流,所有后续包将直接通过以每秒数百万个包的速率通过负荷平衡的硬件进行交换。在数据数据流的会话状态中心部署LD/PFC的主要优点包括:
通过丰富的特性集提供每秒数百万个数据包的服务器负荷平衡。
高级服务器算法--简单的会话连接数量、加权的服务器数据访问百分比、最快的服务器响应可供网络管理员进行配置。
透明的维护能力--通过使用虚拟服务器地址,服务器可以随时离线,而不影响系统对最终用户的服务。
安全性--当与LD一起使用时,PFC的高级安全特性能够根据IP地址或IP端口号过滤数据流,进而为数据中心服务器提供一个安全的环境。
图2 Catalyst 6500系列PFC启动加速的SLB 
SLB将通过Catalyst 6500系列的简单软件升级提供,而无需对现有的LD或服务器进行任何改变。
通过PFC提供安全和带宽优化
除以前描述的高级QoS特性之外,PFC还在一个子网内提供以前仅在穿过器时才可用的丰富安全功能。传统上,防止2个主机之间流量(例如FTP)的能力要求主机位于不同的子网或VLAN内,其中安全策略通过标准或扩展的访问列表实施在路由器上。现在,PFC能够通过配置在Catalyst 6500系列交换引擎上的简单访问清单在子网内实施这些特性集。除这些功能之外,还包括传统上在Catalyst 5000系列上支持的功能,例如协议过滤、Internet Group Management Protocol(IGMP) Snooping和multicast packet replication。
高级安全特性
带有PFC的Catalyst 6500系列系统能根据在子网或虚拟局域网(VLAN)内定义的安全政策访问列表执行基于硬件的过滤。该特性能使Catalyst 6500系列交换机智能地控制广播流量,提高网络总体性能,并过滤可能被误导的数据包,同时保证公用子网上用户之间的安全。
方案1--虚假的DHCP服务器
动态主机配置协议(DHCP)请求使用与引导协议(BOOTP)相同的包结构,并由客户机广播。第一个响应客户机广播请求的服务器成为客户机与之协商,租用IP地址的DHCP服务器。当虚假的DHCP服务器在一个VLAN或子网内运行时,可能会出现问题。当一个不知道的用户启动NT Server并打开DHCP服务时,可能出现这种情况。这时,存在终端站与该虚假的DHCP服务器协商地址并获得错误或重复地址的可能性。目前,转发DHCP请求的唯一目的地在路由器的接口上。这使虚假的DHCP服务器问题的范围仅局限于一个VLAN内,但是该VLAN内的所有用户仍然可能受到影响。最终结果是网络基本停机,直到虚假的服务器被发现并从网络中删除。该问题可以通过利用基于VLAN的访问控制列表(VACL)来解决。通过VACL,仅允许特定DHCP服务器的响应,其他响应将被终止。
假定正式目标DHCP服务器的IP地址为1.2.3.4。VACL配置将仅允许目标服务器的响应被交换到客户机。
图3 限制地址误配置的范围 
图4 VACL过渡包 
方案2--约束广播过度传播
当在一个交换环境中打开基于非IP多Multi-cast(IP UDP广播)的多路传输应用时,所有流量将被过度传播到VLAN或广播域中的每一个节点。一般情况下,仅一个终端用户子网需要观看数据。通过VACL,这些应用的广播包可以只被发给相应的应用服务器端口。
假定使用A的应用系统UDP 5000端口在VLAN上广播数据包。通过VACL配置,来自A的所有广播数据包将被重新交换到目标应用服务器端口,所有其他端口不会收到数据包。
图5 节省带宽的直接广播 
方案3--在一个VLAN内提供安全机制
由于地址空间限制以及在物理交换机上宿主多个和户的经济性,ISP需要在一个IP子网上服务于其所有客户。但是由于安全原因,还有一个新增的要求,就是不同客户绝对不能不通过路由器直接相互交流。通过利用VACL,
【责编:admin】
--------------------next---------------------
