時間能夠醞釀經(jīng)典，歷史可以鑄造永恒。在歷經(jīng)十多年的網(wǎng)絡(luò)應(yīng)用洗禮之后，思科Catalyst 6500(以下簡稱6500)無疑業(yè)已成為了交換機中的一款經(jīng)典。然而隨著時光的流逝以720系列引擎和6700系列線卡為代表的上一代Catalyst 6500在應(yīng)對日新月異的網(wǎng)絡(luò)應(yīng)用需求時，也已經(jīng)開始力不從心了。為此思科打造出了全新Catalyst 6500 Supervisor Engine 2T(以下簡稱Sup 2T)管理引擎及配套的全新6900系列線卡，在性能和功能上進行了大量的增強和創(chuàng)新。

思科Catalyst 6500 Supervisor Engine 2T

　　業(yè)務(wù)需求新挑戰(zhàn)

　　隨著大量的終端移動化/多媒體視頻協(xié)作/云計算數(shù)據(jù)中心/桌面虛擬化的出現(xiàn)，企業(yè)IT網(wǎng)絡(luò)邊界已經(jīng)消失。企業(yè)網(wǎng)絡(luò)無邊界化之后，對IT平臺的發(fā)展規(guī)劃/運營管理提出了新的挑戰(zhàn)：如何對園區(qū)網(wǎng)中的應(yīng)用進行管理，如何保障無邊界網(wǎng)絡(luò)環(huán)境下的業(yè)務(wù)安全，如何保障云環(huán)境下的業(yè)務(wù)性能和應(yīng)用體驗，如何簡化IT架構(gòu)，提升運營效率，快速部署新業(yè)務(wù)，提升企業(yè)生產(chǎn)力?思科全新Catalyst 6500系列就是為解決用戶面臨的挑戰(zhàn)而設(shè)計，滿足用戶在無邊界云網(wǎng)絡(luò)環(huán)境下的業(yè)務(wù)需求。下面是一些思科Sup 2T管理引擎及線卡的簡單功能概述：

　　Sup 2T 集成了2T 比特的高性能交換矩陣，配合最新線卡可在所有 Catalyst 6500 E 系列機箱內(nèi)實現(xiàn)每個插槽 80 Gbps (雙工160Gbps)的交換容量，其轉(zhuǎn)發(fā)引擎能夠為2層和3層服務(wù)提供高性能轉(zhuǎn)發(fā)。Sup 2T 在安全、服務(wù)質(zhì)量 (QoS)、虛擬化和可管理性等領(lǐng)域提供了許多新的基于硬件的創(chuàng)新，其豐富功能集增強了傳統(tǒng) IP 轉(zhuǎn)發(fā)，2層和3層多協(xié)議標(biāo)簽交換(MPLS)VPN，以及VPLS等應(yīng)用。同時提供了可擴展的性能、智能和大量的功能，以滿足無邊界網(wǎng)絡(luò)、數(shù)據(jù)中心和服務(wù)提供商網(wǎng)絡(luò)的需求。作為業(yè)界唯一真正為企業(yè)園區(qū)網(wǎng)量身定做的核心交換平臺，新一代Catalyst6500旨在提供以40G以太網(wǎng)為代表的高速業(yè)務(wù)支持的同時，更可以滿足企業(yè)用戶的移動互聯(lián)支撐，視頻交互，靈活安全控制，應(yīng)用可視化等復(fù)合需求，打造下一代高可靠企業(yè)園區(qū)網(wǎng)。

全向的業(yè)務(wù)性能考核

　　想要使6500重新煥發(fā)青春，依靠的就是能兼容所有6500-E系列機框的全新SUP2T引擎及6900系列線卡。為此《網(wǎng)絡(luò)世界》評測實驗室與思博倫通訊協(xié)力，在思博倫概念驗證實驗室(SPOC)中，采用其TestCenter測試儀表，依據(jù)RFC 2544、RFC 3918等測試規(guī)范對6500E+Sup 2T+6900線卡進行數(shù)據(jù)包轉(zhuǎn)發(fā)速率及延遲的基礎(chǔ)測試，再在加載不同網(wǎng)絡(luò)協(xié)議及大路由表、MPLS/VPLS并疊加MacSec加密特性，安全組策略條件下和靈活Netflow及VSS環(huán)境的數(shù)據(jù)包轉(zhuǎn)發(fā)速率、時延情況分別進行了驗證性測試。通過測試結(jié)果的對比分析，相信大家可以重新認(rèn)識，全新Catalyst 6500超越傳統(tǒng)核心交換機的功能體系。單純的吞吐量和二三層轉(zhuǎn)發(fā)指標(biāo)的提升已遠不能滿足園區(qū)網(wǎng)復(fù)雜應(yīng)用的需求，綜合業(yè)務(wù)支撐能力是下一代園區(qū)網(wǎng)需要考慮的重點。Catalyst 6500的優(yōu)勢正是在于，保持主流交換性能同時，延續(xù)思科交換機園區(qū)網(wǎng)特性豐富的特點，并通過芯片級別的本質(zhì)提升，為園區(qū)網(wǎng)提供移動互聯(lián)，視頻交互，應(yīng)用可視化，安全傳輸和高可靠性等綜合業(yè)務(wù)就緒的理想平臺。

　　40G 轉(zhuǎn)發(fā)業(yè)務(wù)性能的提升

　　6500是最早一批支持園區(qū)網(wǎng)業(yè)務(wù)應(yīng)用的交換機產(chǎn)品，為園區(qū)網(wǎng)及企業(yè)網(wǎng)網(wǎng)絡(luò)建設(shè)的搭建立下了汗馬功勞。那么當(dāng)40/100G以太網(wǎng)標(biāo)準(zhǔn)在2010年發(fā)布后，新一代Sup 2T及6900線卡可否進行有效的支持呢?環(huán)顧業(yè)界，6500幾乎是唯一針對企業(yè)園區(qū)網(wǎng)所設(shè)計的40G交換平臺，其他類似產(chǎn)品無一例外都是針對企業(yè)數(shù)據(jù)中心。為此我們首先對6500 Sup 2T和6900線卡的網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能進行了基礎(chǔ)測試。

　　在本項測試過程中，我們首先為Catalyst 6500在IPv4協(xié)議下加載了25萬條BGP路由，(在IPv6協(xié)議下加載的為12萬條BGP路由)，然后使用TestCenter測試儀表上8個萬兆測試端口，將其與6500機框上的單槽位6904四口40G線卡所接出的8×10G接口連接，并進行雙向全雙工的RFC2544規(guī)范測試。(測試拓?fù)鋮⒁妶D1)為了提高驗證測試的效率，在思科工程師的認(rèn)可下，我們所有性能測試項目均采用在丟包率測試情況下，對傳輸速率和無丟包條件下的時延性能指標(biāo)進行記錄。在進行單機測試的同時，我們還對6500雙機雙槽位16個萬兆接口通過兩個40G接口互聯(lián)后進行MPLS穿越時的數(shù)據(jù)包轉(zhuǎn)發(fā)性能進行了比對。

　　6500 Sup 2T在8個萬兆網(wǎng)絡(luò)接口雙向數(shù)據(jù)包轉(zhuǎn)發(fā)性能測試中，其轉(zhuǎn)發(fā)速率在IPv4協(xié)議時可以達59878008.48PPS。IPv6數(shù)據(jù)包轉(zhuǎn)發(fā)時，數(shù)據(jù)包結(jié)構(gòu)比IPv4復(fù)雜，需要更高的轉(zhuǎn)發(fā)處理性能，6500 Sup 2T在IPv6網(wǎng)絡(luò)中加載大容量路由協(xié)議后，依然可以保持在29895784.58PPS的轉(zhuǎn)發(fā)性能。在512字節(jié)(IPv4 256字節(jié))以上的數(shù)據(jù)傳輸中6500 Sup 2T均可以0丟包的實現(xiàn)線速傳輸。這樣的傳輸速率在完全可以滿足當(dāng)前網(wǎng)絡(luò)中數(shù)據(jù)包轉(zhuǎn)發(fā)性能需求的同時，也有效的保障了網(wǎng)絡(luò)傳輸帶寬的應(yīng)用需求。而其小于13微秒的網(wǎng)絡(luò)時延更加有效的保障了網(wǎng)絡(luò)傳輸?shù)膽?yīng)用性能?？梢允褂脩粼跍p少非必要性的網(wǎng)絡(luò)硬件資金投入情況下，有效提升網(wǎng)絡(luò)應(yīng)用帶寬，達到向40G網(wǎng)絡(luò)轉(zhuǎn)移的目的。而6500新提供的6900 40G網(wǎng)絡(luò)接口板卡，還可以實現(xiàn)雙40G接口的40G—4×10G網(wǎng)絡(luò)接口復(fù)用，從兩臺6500在MPLS協(xié)議連接數(shù)據(jù)轉(zhuǎn)發(fā)性能可以看出，兩臺6500通過一對40G網(wǎng)絡(luò)接口互聯(lián)后，使得接口帶寬與轉(zhuǎn)發(fā)速率得到了成倍的提升。在方便了用戶采用更加靈活的10G與40G網(wǎng)絡(luò)接入方式的同時，也可以更加便利的提升用戶整體網(wǎng)絡(luò)接入帶寬與網(wǎng)絡(luò)應(yīng)用處理性能。

　　防火墻余輝的熄滅者——SGT/SGACL

　　在現(xiàn)階段園區(qū)網(wǎng)及企業(yè)網(wǎng)的網(wǎng)絡(luò)應(yīng)用中，僅憑借單純的網(wǎng)絡(luò)帶寬提升的已經(jīng)無法滿足實際網(wǎng)絡(luò)綜合業(yè)務(wù)應(yīng)用的需求。我們還需要對這些網(wǎng)絡(luò)業(yè)務(wù)流量進行可靠的管理。目前國內(nèi)在很多企業(yè)園區(qū)網(wǎng)中，這部分業(yè)務(wù)需求還是采用防火墻下發(fā)ACL管理策略的方式來進行的。在需要增添附屬的防火墻硬件設(shè)備的同時，還增加了新的網(wǎng)絡(luò)故障隱患。同時在網(wǎng)絡(luò)設(shè)備的管理上也變得更加的復(fù)雜。

　　在交換機中附帶安全管理策略并不是一個新出現(xiàn)的功能。ACL早已成為園區(qū)網(wǎng)交換機標(biāo)志性功能之一。然而防火墻的身影依然在當(dāng)前企業(yè)的網(wǎng)絡(luò)架構(gòu)中，始終揮之不去。尤其是當(dāng)無線網(wǎng)絡(luò)、BYOD設(shè)備盛行之后，企業(yè)網(wǎng)絡(luò)應(yīng)用的安全管理復(fù)雜性就越發(fā)成為了網(wǎng)絡(luò)管理者的心病。由此看來，在現(xiàn)階段的網(wǎng)絡(luò)管理中，需要一種更加智能化的高效率訪問控制管理方式才可以滿足用戶當(dāng)前的網(wǎng)絡(luò)管理需求。

#p#

安全策略需要如影隨形

　　那么可否設(shè)計出一種“如影隨形”的智能網(wǎng)絡(luò)訪問控制管理方式呢?為此，思科在新的Catalyst 6500 Sup 2T管理引擎及6900系列線卡上新增設(shè)了通過ASIC實現(xiàn)的SGT(安全組標(biāo)簽)與SGACL(安全組訪問控制列表)功能。

　　要想實現(xiàn)“如影隨形”的訪問控制，最簡捷的方式就是通過交換機ASIC芯片為用戶的流量打上標(biāo)記，并在后續(xù)的轉(zhuǎn)發(fā)控制中依據(jù)該標(biāo)記來執(zhí)行動作，思科把這種安全標(biāo)記稱為SGT。這樣無論用戶是從外網(wǎng)，還是從內(nèi)網(wǎng)的不同區(qū)域進行訪問均可以迅速對用戶身份進行判斷并標(biāo)記對應(yīng)的流量，再依據(jù)相應(yīng)管理權(quán)限進行管理，對應(yīng)的安全管理策略稱為SGACL。SGT和SGACL的靈活應(yīng)用能改變當(dāng)前基于IP地址的傳統(tǒng)ACL復(fù)雜部署方式，用戶不再需要在每臺交換機上依據(jù)源目的地址等元素進行大量的ACL手工配置，而是通過思科ISE(身份服務(wù)引擎)根據(jù)用戶身份驗證來實現(xiàn)SGT/SGACL的動態(tài)綁定和下發(fā)，極大簡化了安全管理部署，結(jié)合ISE的豐富特性，更能真正實現(xiàn)任何時間，任何地點，任何設(shè)備的無邊界網(wǎng)絡(luò)智能安全管理目標(biāo)。

　　當(dāng)Sup 2T及6900線卡開啟SGT和SGACL功能后，憑借其基于ASIC的強大處理能力，可以依據(jù)用戶、接入點、接入設(shè)備類型等規(guī)則設(shè)計自動的為用戶流量打上相應(yīng)的安全組標(biāo)簽。安全組標(biāo)簽十分小巧，僅需要4個字節(jié)的長度，并且完全在硬件層面處理完成，因此在網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)過程中，幾乎不會對數(shù)據(jù)轉(zhuǎn)輸性能造成影響。

　　在實際驗證測試中，我們通過不同的路由地址發(fā)出標(biāo)有不同SGT標(biāo)記的數(shù)據(jù)報文，并對這些數(shù)據(jù)報文通過SGACL進行統(tǒng)計分析。測試結(jié)果表明，6500在開啟SGACL后，數(shù)據(jù)包丟包率為“0”，使能SGT/SGACL之后沒有影響正常業(yè)務(wù)轉(zhuǎn)發(fā)性能。并且可以及時準(zhǔn)確的對SGT標(biāo)記源目標(biāo)進行分析并按SGACL的規(guī)則進行歸類。(摘錄SGT命令行顯示如下：)

CNW.6506.S2T.VSS#sho cts role sgt-map all

Active IP-SGT Bindings Information

IP Address SGT Source

============================================

12.12.12.12 1212 INTERNAL

12.45.0.0/24 1245 CLI

12.45.0.254 1212 INTERNAL

12.49.0.0/24 1249 CLI

12.49.0.254 1212 INTERNAL

100.1.1.1 1212 INTERNAL

IP-SGT Active Bindings Summary

============================================

Total number of CLI bindings = 2

Total number of INTERNAL bindings = 4

Total number of active bindings = 6

　　為用戶的數(shù)據(jù)流進行SGT標(biāo)記只是基礎(chǔ)，我們還需要為不同SGT的用戶進行不同的訪問權(quán)限管理。在這里就需要應(yīng)用到Sup 2T及6900線卡的SGACL功能了。SGACL功能把普通ACL和用戶SGT關(guān)聯(lián)起來，可依據(jù)SGT對用戶訪問請求進行有效的安全策略管理。我們通過SGACL的管理容量表了解到其可以支持至少32000條SGACL的策略管理。

　　極小的SGT字節(jié)長度和大容量的SGACL策略管理的有效結(jié)合，形成了Sup 2T高效精準(zhǔn)的網(wǎng)絡(luò)接入管理策略。憑借此策略，無論用戶是在任何地域，采用何種接入方式連入網(wǎng)絡(luò)，網(wǎng)絡(luò)管理者均可以對用戶真實身分進行準(zhǔn)確判定，并高效的按不同組別進行不同權(quán)限的分類管理，從而達到了安全策略如影隨形的接入管理效果。自此，網(wǎng)絡(luò)管理者將無需再通過防火墻進行復(fù)雜的網(wǎng)絡(luò)安全策略管理。在Catalyst 6500上，SGT和SGACL既可以通過手動配置實現(xiàn)，更可以通過思科ISE動態(tài)下發(fā)，是安全園區(qū)和BYOD解決方案的重要組件之一。

傳輸安全性的可靠保障——MPLS、VPLS疊加MACSec加密測試

　　在企業(yè)園區(qū)網(wǎng)的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用中，不但需要對用戶網(wǎng)絡(luò)接入權(quán)限進行管理，還需要對網(wǎng)絡(luò)傳輸?shù)陌踩约翱煽啃赃M行保障。在這方面，以往通常是由獨立的VPN(虛擬專用網(wǎng))產(chǎn)品或防火墻上附帶的VPN功能進行實現(xiàn)的。

　　然而在以往的高可靠性網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)傳輸時，無論是采用IPSec VPN還是SSL VPN技術(shù)，均有兩個問題始終無法回避：一、接入匹配方式復(fù)雜，需求在客戶端進行復(fù)雜的網(wǎng)絡(luò)接入設(shè)置，在多用戶應(yīng)用時無法很好的進行管理。二、傳輸效率低下，VPN的數(shù)據(jù)傳輸性能只有網(wǎng)絡(luò)傳輸性能的幾分之一，用戶在實際應(yīng)用時，要不需要多購置VPN網(wǎng)絡(luò)設(shè)備，要不只能忍受低傳輸速率對企業(yè)業(yè)務(wù)的影響。

為了解決此類問題，思科將在城域網(wǎng)發(fā)展成熟的三層VPN數(shù)據(jù)傳輸技術(shù)MPLS(多協(xié)議標(biāo)簽交換)功能同樣引入了全系Catalyst 6500之中。通過LSP(從源端到終端路徑上的結(jié)點標(biāo)簽序列)將私有網(wǎng)絡(luò)的不同分支聯(lián)結(jié)起來，形成一個統(tǒng)一的網(wǎng)絡(luò)。MPLS的支持優(yōu)勢在于：支持不同分支間IP地址復(fù)用的同時，還可以支持對不同VPN間的互通控制。

　　為了更好的將不同地域分支機構(gòu)網(wǎng)絡(luò)進行整合，新的Catalyst 6500在支持MPLS的基礎(chǔ)上，又增添了VPLS功能。VPLS支持點到點、點到多點、多點到多點的業(yè)務(wù)類型，能夠在較大網(wǎng)絡(luò)規(guī)模下支持電信級以太網(wǎng)服務(wù)實現(xiàn)二層虛擬化。這樣即便網(wǎng)絡(luò)用戶所處在于不同的地域，但可以將所有網(wǎng)絡(luò)整合在一起，最大限度發(fā)揮網(wǎng)絡(luò)整合、統(tǒng)一應(yīng)用、統(tǒng)一管理的功效。

　　然而不論MPLS還是VPLS虛擬化方式都不能避免另一個問題存在，在異地跨公網(wǎng)進行以太網(wǎng)數(shù)據(jù)傳輸時，數(shù)據(jù)有可能被第三方截獲，造成信息泄密。為此，思科將業(yè)界最新的MACSec(802.1ae)二層加密技術(shù)引入到Catalyst 6500的SUP2T引擎及6900線卡之中，通過在二層上對所有以太網(wǎng)數(shù)據(jù)幀進行加密封裝，在傳統(tǒng)以太網(wǎng)上實現(xiàn)媲美光網(wǎng)絡(luò)的傳輸安全性。由于MACSec是通過專用ASIC實現(xiàn)，這樣在保證網(wǎng)絡(luò)傳輸吞吐量和延遲不受影響的同時，又使網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩缘玫搅擞行ПＵ稀?/p>

#p#

在實際測試中，我們抓包截取了經(jīng)過MACSec封包傳輸?shù)臄?shù)據(jù)包文件，在進行查看時，由于MACSec封包無法拆解，因此抓包文件無法進行正常查看，僅能看到源目的MAC地址，其后所有信息皆為密文。

　　在增添如此多虛擬化及安全傳輸功能后，Sup 2T及6900線卡在數(shù)據(jù)傳輸性能上是否有所減弱呢?為此，我們又一次對Catalyst 6500的傳輸吞吐量和延遲進行了對比測試。

　　在本項測試中，我們將兩臺6500交換機上分別安裝了一塊6900 8×10G接口卡與一塊6908 2×40G接口卡。兩塊6908 2×40G的4個40G接口互聯(lián)，以便同時對兩臺交換機間的數(shù)據(jù)轉(zhuǎn)發(fā)處理性能進行測試。在測試儀表上采用16個萬兆網(wǎng)絡(luò)測試接口分別與兩臺6500交換機上的兩塊6900 8×10G接口卡上的8個10G網(wǎng)絡(luò)接口連接。兩臺6500的40G以太網(wǎng)接口對聯(lián)并且使能MACSec加密處理，同時作為MPLS傳輸接口。

　　在測試過程中，我們分別對兩臺6500采用兩對40G接口雙向互聯(lián)的數(shù)據(jù)包轉(zhuǎn)發(fā)性能及加載MPLS協(xié)議、加載MPSL+MacSec、加載VPLS協(xié)議以及加載VPLS+MacSec的轉(zhuǎn)發(fā)性能進行了測試。為了有利于直觀進行分析，我們將數(shù)據(jù)包轉(zhuǎn)發(fā)速率轉(zhuǎn)換成了流量轉(zhuǎn)發(fā)速率并列表進行對比。由于測試項目較多，我們只節(jié)選了256Bbye、512Byte和1518Byte三組結(jié)果進行了對比。

測試結(jié)果表明，使能MPLS前后的40G以太網(wǎng)轉(zhuǎn)發(fā)速率差別很小，使能VPLS之后轉(zhuǎn)發(fā)性能為正常速率的一半。在MPLS和VPLS環(huán)境下再開啟MACSec功能后，吞吐量和延遲幾乎沒有明顯損失， 1518大包的數(shù)據(jù)流量仍然可達到144.7Gbps，其中還包括MPLS封裝和MACSec封裝對包長的影響。要知道，兩對40G接口即便在不丟包情況下，在1518字節(jié)下的最大數(shù)據(jù)傳輸流量也僅為147.8Gbps左右。而6500在加載上述功能后的網(wǎng)絡(luò)處理性能始終沒有顯著下降，并且網(wǎng)絡(luò)時延的測試結(jié)果也比較一致，由于是對兩臺6500設(shè)備進行測試，總時延結(jié)果有成倍提升，但看不到疊加業(yè)務(wù)后的明顯損耗。由此，我們了解到了新的Catalyst 6500 Sup 2T管理引擎及6900線卡在應(yīng)對網(wǎng)絡(luò)高可靠性數(shù)據(jù)傳輸時，可以具備如何出色的綜合業(yè)務(wù)處理能力。這些特質(zhì)歸功于思科園區(qū)網(wǎng)交換機更加注重豐富功能特性與傳統(tǒng)轉(zhuǎn)發(fā)性能的平衡，而不是盲目攀比傳統(tǒng)交換指標(biāo)。

#p#

網(wǎng)絡(luò)管理的延伸——Netflow

　　在當(dāng)前園區(qū)網(wǎng)及企業(yè)網(wǎng)的網(wǎng)絡(luò)流量管理中，有成百上千的不同類型應(yīng)用，在網(wǎng)絡(luò)中產(chǎn)生各種不同特征不同規(guī)模的流量。還有大量的需求各異的用戶，從不同的設(shè)備、不同的地點、不同的時間使用各種不同的網(wǎng)絡(luò)資源，這些應(yīng)用還在不斷的變化，難以預(yù)判和把握。由此而來的網(wǎng)絡(luò)流量劇增，對網(wǎng)絡(luò)容量規(guī)劃提出了新的挑戰(zhàn)。以往通過源端口、目的端口、源地址、目的地址和服務(wù)類別的進行流量分析管理的方法，也越來越無法滿足目前網(wǎng)絡(luò)流量分析管理的實際應(yīng)用需求。

　　如何知道當(dāng)前網(wǎng)絡(luò)部署是否能滿足園區(qū)網(wǎng)應(yīng)用需求以及找到網(wǎng)絡(luò)流量瓶頸所在，成為廣大IT管理人員面臨的頭號難題。其次，IT管理人員需要掌握的遠不止是流量大小而已，他們還可能需要跟蹤用戶行為，應(yīng)用類型，網(wǎng)絡(luò)流量構(gòu)成，流量特征，流量分布等。各種802.1x，mpls，視頻多播，語音，游戲以及IPv6流量等都會成為他們的關(guān)注目標(biāo)。并且他們還需要讓這些關(guān)注內(nèi)容可視化，可管控。

　　對于上述挑戰(zhàn)，當(dāng)前的普遍應(yīng)對方式是使用網(wǎng)絡(luò)交換機內(nèi)置的傳統(tǒng)Netflow特性，對流量分布進行解析和導(dǎo)出，再通過圖形化軟件進行解讀與分析。但隨著應(yīng)用復(fù)雜度的增加和交換機T比特時代來臨，傳統(tǒng)Netflow已經(jīng)遠不能滿足應(yīng)用可視化的需求。傳統(tǒng)Netflow實現(xiàn)方式提供的Netflow緩存一般較小，處理效率很低，不能滿足網(wǎng)絡(luò)流量激增的需求。

　　針對新一代企業(yè)園區(qū)網(wǎng)對應(yīng)用可視化的強烈需求，以及傳統(tǒng)Netflow的各種不足，思科在其不同企業(yè)網(wǎng)平臺上都部署了新一代靈活Netflow技術(shù)(Flexible Netflow)，能夠?qū)?yīng)用可視化提供強大的支持。IT管理者可以根據(jù)實際需求，靈活選擇需要分析的應(yīng)用類型和關(guān)注的數(shù)據(jù)元素，借助遠超過IP七元組的豐富信息元，來達到分析用戶行為，應(yīng)用類型，應(yīng)用流量分布，不安全流量監(jiān)控等多種目的。并且6500上新增了分布式Netflow緩存功能，每張線卡可提供的Netflow條目數(shù)高達512K-1M條，整機累計可達12M條Netflow記錄。

　　在本項測試中，我們加載了50萬(512000)條以上的Netflow條目，并對其網(wǎng)絡(luò)層的處理速率和時延進行了測試。

　　由于Netflow通常應(yīng)用在關(guān)鍵業(yè)務(wù)上，因此我們僅用一對6500的一對10G接口雙向Netflow處理性能進行了測試。在測試時，Sup 2T從128Byte到1518Byte的吞吐量始終保持在100%，時延的平均結(jié)果在20微秒以內(nèi)。由測試結(jié)果可以看出，Sup 2T的Netflow處理能性依然出色，在高速抓取五十萬條Netflow記錄的同時，設(shè)備吞吐量和延遲幾乎跟沒有開啟Netflow的時候基本保持一致，無論是數(shù)據(jù)包處理性能還是網(wǎng)絡(luò)時延全都可以高性能的勝任當(dāng)前網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用處理的需求。

瞬息切換，業(yè)務(wù)無憂——VSS與HA

　　虛擬化與云計算是近年來網(wǎng)絡(luò)技術(shù)的新熱點。談到交換機虛擬化，可能會令人產(chǎn)生一種高端、復(fù)雜的感覺。但實際歸納下來無外乎以下三點：集中管理、業(yè)務(wù)分布、核心傻快。在一個虛擬化的云計算網(wǎng)絡(luò)中，所有網(wǎng)絡(luò)交換設(shè)備均可以被虛擬成為一臺設(shè)備，并集中統(tǒng)一的進行管理，網(wǎng)絡(luò)業(yè)務(wù)的分析、轉(zhuǎn)發(fā)、處理工作則更多的交給處于網(wǎng)絡(luò)邊緣的接入/匯聚層網(wǎng)絡(luò)交換設(shè)備去完成(當(dāng)前6500已經(jīng)處于此類位置之中)。核心層網(wǎng)絡(luò)設(shè)備的作用，就是將這些邊緣的接入/匯聚層網(wǎng)絡(luò)交換設(shè)備進行連接，高性能的進行數(shù)據(jù)轉(zhuǎn)發(fā)。在一些小規(guī)模的網(wǎng)絡(luò)應(yīng)用場景中，核心層甚至由一根網(wǎng)線就可以進行替代。這樣做的優(yōu)勢在于，可以使整個網(wǎng)絡(luò)的業(yè)務(wù)處理能力、接口帶寬和高可靠性可以得到成倍的提升。

　　Catalyst 6500無疑是業(yè)界虛擬化技術(shù)的先驅(qū)者，早在2008年一月就正式推出了VSS虛擬交換系統(tǒng)解決方案，也成為后續(xù)很多類似虛擬化技術(shù)的借鑒。在新的Catalyst 6500 SUP2T平臺上，VSS技術(shù)又有怎樣的表現(xiàn)呢?為此，我們對全新6500 SUP2T和6900線卡在開啟VSS功能下的網(wǎng)絡(luò)業(yè)務(wù)切換及高可靠性功能進行了測試。

　　思科虛擬交換系統(tǒng)VSS是一種典型的網(wǎng)絡(luò)虛擬化技術(shù)，它可以實現(xiàn)將多臺思科交換機虛擬成單臺交換機，使設(shè)備可用的端口數(shù)量、轉(zhuǎn)發(fā)能力、性能規(guī)格都倍增?？蓪膳_物理的6500整合成為一臺單一邏輯上的虛擬交換機，從而可將系統(tǒng)帶寬容量有效進行擴展。在新的Catalyst 6500 SUP2T平臺上，VSS可以支持到整系統(tǒng)4T交換容量，也稱為VSS 4T。

　　首先，我們驗證了在VSS功能下，兩臺6500的集中管控功能。在開啟VSS功能后，兩臺6500被集成為一臺虛擬交換設(shè)備，可以在一個控制界面中對兩臺設(shè)備進行統(tǒng)一的集中管理。業(yè)務(wù)功能由于上面已經(jīng)進行了大量測試，雖然不用再過多分析，我們還是在同時利用128字節(jié)、500000pps的單播和組播兩種不同數(shù)據(jù)流來當(dāng)做背景流量，來測試6500在拔插光模塊、拔插機框主引擎、關(guān)閉主機框電源以及軟件升級情況下，6500的高可靠性處理性能。
通過50萬數(shù)據(jù)包每秒的單播及組播數(shù)據(jù)轉(zhuǎn)發(fā)，我們可以很容易的利用丟失數(shù)據(jù)包的個數(shù)，計算出在網(wǎng)絡(luò)出現(xiàn)不同問題時，6500的高可靠性性能。

　　由于在6500上不僅是進行數(shù)據(jù)包的轉(zhuǎn)發(fā)，還需要對網(wǎng)絡(luò)業(yè)務(wù)進行分析處理，因此利用單播數(shù)據(jù)流和組播數(shù)據(jù)流同時進行測試不但可以對6500在數(shù)據(jù)轉(zhuǎn)發(fā)時的高可靠性進行測試還可以對6500在進行網(wǎng)絡(luò)業(yè)務(wù)處理時的轉(zhuǎn)發(fā)性能同樣進行評估。由測試結(jié)果我們可以了解，在鏈路故障(拔掉接口光模塊)、控制引擎故障、電源故障和交換機系統(tǒng)升級等條件下，6500的VSS高可靠性切換時間始終保持在毫秒級別，大部分都保持在50ms以下，在引擎故障時，甚至可以做到無延遲切換。這些都得益于SUP2T所獨有的四引擎無縫切換特性Quad-Sup SSO及全新的VSS下ISSU支持。在實際測試中，我們嘗試了陸續(xù)拔插多個引擎卡，均保持了50ms以內(nèi)的業(yè)務(wù)收斂時間。這樣的高可靠性業(yè)務(wù)保障能力可以極大限度的提升用戶的網(wǎng)絡(luò)應(yīng)用可靠性，有效的保障了用戶網(wǎng)絡(luò)業(yè)務(wù)的正常應(yīng)用。

　　延續(xù)十年經(jīng)典 開創(chuàng)全新時代

　　通過對思科新一代Catalyst 6500 Supervisor Engine 2T管理引擎及6900新一代線卡的測試，我們了解到Sup 2T系列的的高性能交換矩陣，為6500帶來了更高的網(wǎng)絡(luò)可接入帶寬，全新的ASIC設(shè)計提供了豐富業(yè)務(wù)管理、轉(zhuǎn)發(fā)和控制功能，可以為用戶提供更強大的高安全性、高可靠性的網(wǎng)絡(luò)傳輸服務(wù)。其進一步完善的VSS功能又可使老的6500系統(tǒng)輕松獲得雙倍性能提升和更高可靠性的升級換代。Sup 2T這朵新“花”可以說是為6500這顆老樹帶來了第二次青春，使其重新發(fā)出了誘人奪目的光采。而且即便未來用戶的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用再次擴展，現(xiàn)有6500遭遇帶寬瓶頸的時候，用戶的網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)也可以輕易的遷移到將來的Catalyst 6500機框引擎和線卡上去，薪盡而火傳。

　　完善而可靠的架構(gòu)設(shè)計，成就了Catalyst 6500交換機十余年的經(jīng)典。用戶網(wǎng)絡(luò)業(yè)務(wù)的可持繼發(fā)展擴容鑄造了其永遠流傳的永恒。而成就這一切的是思科超越同類的網(wǎng)絡(luò)技術(shù)前瞻性?？缭叫缘?0G網(wǎng)絡(luò)接口轉(zhuǎn)發(fā)，靈活智能的安全組管理策略，安全高可靠性的MPLS、VPLS數(shù)據(jù)傳輸通道，文件內(nèi)容級別的Netflow內(nèi)容管理，再加上高安全性、高可靠性的VSS與HA功能設(shè)計，組成了全新的Catalyst 6500網(wǎng)絡(luò)解決方案。正是這一系列開創(chuàng)性的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用管理方案，奠定了思科無可動搖的網(wǎng)絡(luò)技術(shù)領(lǐng)導(dǎo)者地位，而唯有技術(shù)領(lǐng)導(dǎo)才可使產(chǎn)品永恒屹立!