CISCO VSS与HSRP、VRRP、RSTP对比分析
VSS与HSRP对比分析
测试案例
Cisco公司借助于虚拟技术和新一代的路由处理引擎,不仅将两个其旗舰级路由交换设备Catalyst 6500虚拟为一个网络实体,成倍地提高了数据交换路由能力,而且极大地提高了网络的可靠性。
为了验证Cisco公司新一代的虚拟交换系统(VSS),《Network World》进行了其有史以来最大规模的性能测试,测试环境采用了高达130个万兆以太网络接口。
测试结果令人印象深刻,Cisco公司的虚拟交换系统(VSS)不仅将网络设备故障的影响时间减少到以前的1/20,而且不需要采用原来网络设计中常用的二层和三层冗余协议。另外,VSS的吞吐量超过770Mpps,测试中路由转发单播和组播流的数目高达56亿个。
任何时刻,任何链路
长久以来,网络设计者为了使基础设施在各种故障情况下尽可能地保持运行,通常采用在网络各层次部署多条冗余/负载均衡链路和设备的设计方法。同时为了使这些冗余的设备和链路在出现故障时能够及时地发挥作用,网络设计者不得不同时使用为数众多的、令人眼花缭乱的协议来应付故障情况,RSTP、HSRP和VRRP等协议都是常用的保护性协议。
这种方式有众多的不足之处。由于目前绝大多数冗余保护性协议采用主/备工作方式,结果是网络中虽然有多条链路,但在平时只有一条链路负责数据的传输,其他的链路只有在主链路故障时才有可能负责数据的传输。网络设备和链路的主/备工作方式使网络的有效利用率只能达到50%,造成较大的浪费。
在一般情况下,路由设备的端口只需要一个IP地址,但VRRP和HSRP协议都要求在一个网段上预留三个IP地址,增加了管理负担;同时RSTP的故障收敛时间在秒级波动,结果往往是应用程序的性能小于原来的预期。另一个不足之处是网络中被管理网元数目的成倍增加,不论采用何种方式管理网络设备,同样的配置和策略的下发都需要重复至少两次。
虚拟交换系统
VSS技术的核心是Cisco公司最新发布的旗舰级路由交换设备Catalyst 6500的VS-Sup720-10G路由交换引擎,其虚拟交换连接(VSL)的建立和管理,使虚拟交换系统对网络中其他的节点呈现为单一设备(唯一的MAC地址,唯一的IPv4地址),所有的端口都在一个网元中被管理。
在基于VSS技术的网络设计中,为了在物理连接上提供冗余,任何一个接入层设备仍然需要连接到同一个VSS系统的两个不同设备上,但是由于VSS技术支持跨机箱的链路捆绑(MEC),因此在接入层仍然为一个物理设备。 MEC技术与用户采用何种链路捆绑技术无关,MEC支持业界标准的802.1ad链路捆绑协议和Cisco公司扩展的PAgP协议。不论接入层设备和VSS设备之间采用何种链路捆绑协议,都不需要运行任何的生成树协议,在正常工作时,MEC中的任何链路都有数据通过。
服务器与VSS节点的连接也同样可以享受到MEC技术的好处,服务器网卡捆绑技术(NIC Teaming)使服务器端不需要安装任何软件,通过简单的配置就可以和VSS节点跨机箱的链路捆绑连接。
在目前阶段,任何两个Cisco公司的Catalyst 6500设备只要具备支持VSL协议的能力都可以组成虚拟交换系统(VSS),这时,任何与该VSS系统相连接的设备都可以享受虚拟交换的好处。根据网络的需求,VSS可以应用在网络的核心层、汇聚层和接入层。
Catalyst 6500之间的每个VSL连接支持最多8个物理链路,构成VSL的物理链路可以是VS-Sup720-10G上的任意10GE接口或是Cisco高密度10GE接口卡上的任意接口。 VSS要求设备中的用户接口卡是6700系列。例如WS-X6724或WS-X6748千兆系列、WS-X6704或WS-X6708系列万兆接口卡的任意组合。 在本次测试中没有验证虚拟交换系统间VSL链路上的流量情况,但 Cisco表示,在正常情况下, 虚拟交换系统间VSL链路上的流量大约为万兆接口的5%。
更大规模的交换能力
为了考察虚拟交换系统的性能,本次测试集中验证了交换结构的吞吐量和延时、故障倒换时间和单播/组播混合流量通过虚拟交换系统的能力。
结果显示,在64字节时,Cisco公司的VSS每秒钟转发能力超过7.7亿(770Mpps)个数据包。同时在不构成虚拟交换系统时,每个设备每秒钟转发达3.85亿个数据包。虚拟交换系统的能力正好是单一设备的两倍,并没有因为交换结构跨越物理设备而受到任何影响。
在10%负载的情况下,我们测试了3种数据包长的转发延时,Spirent公司的TestCenter测试系统得到的平均时延在12微秒到17微秒之间。VSS的平均时延和一般万兆交换机一样,远远小于应用可以感知的程度。
快速的故障倒换
故障倒换测试结果显示,VSS在二层和三层网络故障时是在目前最快的。
传统的环境下,二层设备间采用RSTP协议,HSRP提供三层网关的冗余保护,Spirent公司的TestCenter测试系统仿真16000台计算机互相访问。在测试过程中,通过切断汇聚层设备电源的方式触发各种保护机制,在6.883秒后流量完全恢复正常。
采用同样的测试方法,VSS的测试结果表明,核心层和汇聚层的故障倒换时间分别为341微秒和322微秒,比传统的保护方式快了20倍。
强大的核心设备能力
为了检验Cisco公司虚拟交换系统作为网络核心设备的能力,我们测试流量的构造相对复杂,测试流量对应17.6万个单播IP路由,1万个组播组,超过56亿个数据流。
在测试过程中,我们还在虚拟交换系统上加载了包括1万条规则的安全访问控制。同时在每个端口配置了DSCP服务质量控制功能,并且采用Netflow功能对所有的数据流进行跟踪。在所有的测试中,VSS的吞吐量都是传统方式的两倍。在时延方面,采用虚拟交换技术与不采用虚拟交换技术时记录到的平均延时基本一致,在26微秒和90微秒之间,这个范围远小于应用能够感知的范围。
采用虚拟交换技术时,在256字节数据包测试的最大延时是不采用虚拟交换技术的4倍。而所有的最大延时都远小于1毫秒。
本方案需要添加的设备:
新设备6509清单 |
描述 |
数量 |
WS-C6509-E |
Catalyst 6500 Enhanced 9-slot chassis,15RU,no PS,no Fan Tray |
1 |
SV33AIK9-12233SXH |
Cisco CAT6000-VSS720 IOS ADVANCED IP SERVICES SSH |
1 |
VS-S720-10G-3C |
Cat 6500 Supervisor 720 with 2 ports 10GbE and MSFC3 PFC3C |
1 |
CF-ADAPTER-SP |
SP adapter for SUP720 and SUP720-10G |
1 |
VS-S720-10G-3C |
Cat 6500 Supervisor 720 with 2 ports 10GbE and MSFC3 PFC3C |
1 |
CF-ADAPTER-SP |
SP adapter for SUP720 and SUP720-10G |
1 |
WS-X6748-GE-TX |
Cat6500 48-port 10/100/1000 GE Mod: fabric enabled, RJ-45 |
1 |
WS-F6700-DFC3C |
Catalyst 6500 Dist Fwd Card for WS-X67xx modules |
1 |
WS-X6748-SFP |
Catalyst 6500 48-port GigE Mod: fabric-enabled (Req. SFPs) |
1 |
WS-F6700-DFC3C |
Catalyst 6500 Dist Fwd Card for WS-X67xx modules |
1 |
GLC-LH-SM |
GE SFP, LC connector LX/LH transceiver |
14 |
GLC-SX-MM |
GE SFP, LC connector SX transceiver |
9 |
WS-X6716-10G-3C |
Catalyst 6500 16 port 10 Gigabit Ethernet w/ DFC3C (req X2) |
1 |
X2-10GB-SR |
10GBASE-SR X2 Module |
2 |
WS-C6509-E-FAN |
Catalyst 6509-E Chassis Fan Tray |
1 |
WS-CAC-3000W |
Catalyst 6500 3000W AC power supply |
2 |
CAB-AC16A-CH |
16A AC Power Cord For China |
2 |
VS-F6K-MSFC3 |
Catalyst 6500 Multilayer Switch Feature Card (MSFC) III |
2 |
VS-F6K-PFC3C |
Catalyst 6500 Sup 720-10G Policy Feature Card 3C |
2 |
VS-S720-10G |
Catalyst 6500 Supervisor 720 with 2 10GbE ports |
2 |
MEM-C6K-CPTFL1GB |
Catalyst 6500 Compact Flash Memory 1GB |
2 |
BF-S720-64MB-RP |
Bootflash for SUP720-64MB-R |
2 |
MEM-XCEF720-512M |
Cat 6500 512MB DDR, xCEF720 (67xx interface, DFC3A/DFC3B) |
1 |
WS-F6700-DFC3C |
Catalyst 6500 Dist Fwd Card for WS-X67xx modules |
1 |
WS-X6716-10GE |
Catalyst 6500 16 port 10 Gigabit Ethernet Base Module |
1 |
|
|
|
已有设备需添加组建清单 |
|
|
VS-S720-10G-3C |
Cat 6500 Supervisor 720 with 2 ports 10GbE and MSFC3 PFC3C |
2 |
CF-ADAPTER-SP |
SP adapter for SUP720 and SUP720-10G |
2 |
WS-X6716-10G-3C |
Catalyst 6500 16 port 10 Gigabit Ethernet w/ DFC3C (req X2) |
1 |
X2-10GB-SR |
10GBASE-SR X2 Module |
2 |
SV33AIK9-12233SXH |
Cisco CAT6000-VSS720 IOS ADVANCED IP SERVICES SSH |
1 |
网管系统解决方案
网络系统的健康高效运行与维护是分不开的,思科的CiscoWorks2000网管软件为维护人员提供了高效维护、监控工具。Cisco网管软件,是CISCO系统公司所提供的完整的端到端传输管理解决方案能够使IT专业人士获得网络传输的跟踪能力,Cisco网管软件包括对网络应用流量的跟踪等。这种高级别的透视能力为管理企业及网络提供了一种特定的商业基础。
局域网管理解决方案(LMS)是CiscoWorks 2000网络管理系列产品之一。它为园区网提供了配置、管理、监控、故障检测与维修工具,同时还包括了用于管理局域网交换和路由环境的应用软件。
CiscoWorks2000 LAN管理解决方案
局域网管理解决方案集成了多种用于配置、监控和维护园区网的应用与工具。其设计体现了当今Cisco的网络技术,同时也为管理未来的网络需要提供了一种灵活的框架。
局域网管理解决方案包括以下应用:
园区管理器--园区管理器用于新一代CWSI园区网,是为管理Cisco交换网而设计的基于Web的新型应用工具套件。主要工具包括第2层设备和连接探测、工作流应用服务器探测和管理、详细的拓扑检查、虚拟局域网/LANE和异步传输模式配置、终端站追踪、第2层/第3层路径分析工具、IP电话用户与路径信息等。
设备故障管理器--为Cisco设备提供实时故障分析能力。它利用多种数据收集与分析手段生成了"智能Cisco陷阱"。这些陷阱能够在当地显示,或者用e-mail的方式传递给其他常用的事件管理系统。
内容流量监视器--Cisco内容流量结构优化了基于链接等待时间、地域相邻情况和服务器负载可用性的全球服务器负载分配能力。监视与管理内容传输的设备如LocalDirector或 Catalyst 4840G等是了解并维护网络中关键任务应用与服务的内容流量的关键。内容流量监视器为Cisco服务器负载平衡设备提供了实时性能监视应用工具。
NGenius实时监视器--是一种新型的多用户传输管理工具包,能够为监控网络、故障排除和维护网络可用性提供全网络、实时远程监视信息。其图形应用报告和分析设备、链接和端口级远程监视能够从Catalyst交换机、内部网络分析模块和外部交换机探测器收集传输数据。
资源管理器要素--资源管理器要素(RME)具有网络库存和设备更换管理能力、网络配置与软件图象管理能力、网络可用性和系统记录分析能力。它还提供了强大的与Cisco在线连接相集成的功能。
CiscoView--这种最广泛使用的Cisco图形设备管理应用工具现已具备Web能力。通过浏览器,局域网管理器能够实时获取设备状态、运行与配置功能方面的信息。
CiscoWorks 2000管理服务器--CiscoWorks 2000系列解决方案提供了基本的管理构件、服务和安全性,它也是与其他Cisco产品及第三方应用相集成的基础。
返回顶部
主要功能及应用
表1 |
|
|
本方案需配置的网管软件:
网管软件 |
|
|
CWLMS-3.0-300UPK9 |
LMS 3.0 300 Device Restricted Upgrade for LMS 2.5.x, 2.6 |
1 |
边缘安全设备解决方案
网络系统的健康运行需要有效的安全防护设备。网络黑客、病毒的攻击时时威胁着的网络的安全,选择一款有效的安全设备,能够阻断外部的攻击,及时发现潜在危险,保护内部网络资源。部署2台ASA5520-AIP10-K8,能有效的满足当前需求。
ASA5520-AIP10针对关键信息资源和基础设施的攻击将严重影响企业开展业务的能力。为有效消除风险,必须让多种值得信赖的安全技术协同工作。Cisco ASA 5500 系列 IPS 版能够为各机构的关键信息资源提供无与伦比的保护,在一个易于部署的平台中提供最佳防火墙、应用安全性和入侵防御功能。Cisco ASA 5500 系列 IPS 版将世界上部署最广泛的防火墙技术的功能和稳定性,与最流行的IPS技术的高级检查功能有机地结合在一起,防止各机构的服务器和基础设施遭受攻击。
挑战
信息资源和基础设施形成了现代企业的核心。部署了网络的企业不但能提高业务效率和业绩,还能获得持续竞争优势。但是,网络也会给企业带来风险。目前,不仅网络攻击数量不断攀升,而且攻击的水平也越来越高,致使各机构核心业务面临的风险越来越大。
Web 应用和互联网商务站点成为攻击的目标;
互联网蠕虫可能会感染服务器,中断其正常运行,直至整个网络瘫痪;
零日攻击可能会使各机构没有时间发布和安装补丁;
难以控制的内部环境,例如实验室,是蠕虫和病毒传播的理想位置;
不满员工可能会从企业网络内部发动攻击。
解决方案
Cisco® ASA 5500 系列 IPS 版可以保护各机构的服务器和基础设施,而且不会影响其将网络作为业务工具的能力。由于 Cisco ASA 5500 系列 IPS 版具有坚实的防火墙和高级应用安全功能,因而能帮助企业实施强大、稳定的策略加强。利用市场领先的入侵防御和防蠕虫功能,Cisco ASA 5500 系列 IPS 版能够有效防止企业资源遭受高级攻击。Cisco ASA 5500 系列 IPS 版与思科的管理和监控应用套件结合在一起,能够为关键资源和基础设施提供无与伦比的保护。
该解决方案的功能包括:
最值得信赖、已广泛部署的防火墙技术――Cisco ASA 5500 系列基于Cisco PIX® 系列安全设备,既允许合法业务流程通过,又能有效阻挡不受欢迎的访问者。利用其应用控制功能,该解决方案能够控制对等共享、即时消息传送和其它应用,从而减少安全漏洞,防止业务网络遭受各种威胁。
准确及多矢量的威胁防御――Cisco ASA 5500 系列IPS 版在线内入侵防御服务方面融合了创新的技术,提高了检测的精确性。因此,无需承担丢失正常网络流量的风险,便能够停止更多的线程。通过一系列创新但操作简便的技术,Cisco ASA 5500 系列 IPS 版允许企业为不同的环境采用各自的检测和响应技术,以便针对特定的业务提供分析和防御功能。
网络集成和永续性--Cisco ASA 5500 系列 IPS 版基于思科的多年网络经验,能够与其它网络组件紧密集成在一起,提高安全技术的效能。
威胁防御VPN--Cisco ASA 5500 系列 IPS 版基于Cisco VPN 3000 系列集中器的已经过市场验证的VPN功能,能够提供对公司网络和服务的站点到站点安全访问和远程用户访问。该解决方案将安全套接字层(SSL)和IP Security(IPSec)VPN 功能有机地结合在一个最佳解决方案中,为企业提供了极高的安全连接灵活性。利用 Cisco ASA 5500 系列IPS版提供的服务,企业可以实施基于身份的安全性和网络策略,有效预防蠕虫以及很多其它形式的攻击,安全地将网络扩展到员工、合同商和业务合作伙伴。
全面的安全事件生命周期管理--思科管理和监控套件支持 Cisco ASA 5500 系列 IPS 版 的大规模部署和操作。思科不但提供完整的管理、监控和风险预防解决方案,还能通过Cisco Adaptive Security Device Manager(ASDM)为每种安全设备提供功能强大、易于使用、基于浏览器的管理和监控界面。
业务优势
Cisco ASA 5500 系列 IPS 版提供的安全性和连通性使企业能够:
提高业务永续性--实施业内部署最广泛的企业级防火墙、IPS、应用安全性和蠕虫防御技术,防止关键业务应用和服务因安全问题而中断。
降低清理费用--防止感染发生,减少受感染后昂贵的清理费用。
加强运作集成--由一个平台提供安全服务,降低安全解决方案的部署以及后续管理和监控成本。
改善责任管理--在一台设备中实施全面的访问控制和威胁防御服务,减少公司因数据受损或公司控制不当而需要承担的责任。
架构
Cisco ASA 5500 IPS 版是完整的关键资源保护解决方案的中心。由于它与思科管理、监控和故障防御系统紧密地集成在一起,因而能帮助各机构部署和维护安全解决方案,全面保护关键资源和基础设施(见图1)。
图1 解决方案的架构
主要组件
Cisco ASA 5500 系列 IPS 版
在企业的多个位置提供保护服务。
管理
Cisco Security Manager(CS-Manager)为思科安全技术的大规模部署提供企业级管理基础设施。
监控
思科监控、分析和响应系统(CS-MARS)提供实时监控和意外响应功能,使各机构能够充分利用 Cisco ASA 5500 系列 IPS 版的高级检查服务的效能。
故障防御
思科意外控制系统(ICS)优质服务能够为最危险的蠕虫和病毒提供近实时更新,从而增强 Cisco ASA 5500 系列 IPS版的功能。利用Cisco ICS,各机构只需几分钟就能借助业内最快速的预防响应系统对新威胁作出响应,而这在以前几乎是不可能的。
相互补充的解决方案
Cisco® ASA 5500 系列自适应安全设备是一种模块化平台,能够为中小企业和企业应用提供新一代安全性和VPN服务。利用Cisco ASA 5500 系列提供的全面服务,可以通过四个定制软件包产品版本满足不同地点的安全需求:防火墙版、VPN版、IPS版和Anti-X版。
由于这些软件包能够为适当的位置提供适当的服务,因而能实现卓越的保护。与此同时,它们还支持 Cisco ASA 5500 系列平台的标准化,以降低管理、培训和备件成本。最后,由于每个版本都提供针对不同位置的预打包安全解决方案,因而能够简化设计和部署。
图2 相互补充的解决方案
解决方案建议
Cisco ASA 5500 系列 IPS 版解决方案可以在解决方案套件中提供,也可以作为Cisco ASA 5500系列的组件提供。Cisco ASA 5500 系列产品的部件号和说明如表1 和表2所示。如果想下订单,请访问思科订购首页。
表1 推荐使用的Cisco ASA 5500 系列 IPS版套件和选件
说明 |
攻击防御性能 |
部件号 |
Cisco ASA 5510 设备 IPS 版套件 |
150Mbps |
ASA5510-AIP10-K9 |
Cisco ASA 5520 设备 IPS 版套件 |
375Mbps |
ASA5520-AIP20-K9 |
Cisco ASA 5540 设备 IPS 版套件 |
450Mbps |
ASA5540-AIP20-K9 |
本方案需配置的安全设备:
ASA5520-AIP10-K8 |
ASA 5520 Appliance w/ AIP-SSM-10, SW, HA, 4GE+1FE, DES |
2 |