 |
|
|
上一期我们介绍了思科集成服务路由器的一些功能 , 如果大家对 ISR 熟悉的话 , 肯定会知道 ISR 集成的一个基于 WEB 管理的路由器设备管理界面 , 可以通过 HTTP 协议和 WEB 浏览器来访问路由器和进行一些简单的管理工作。令人兴奋的是 , 在思科的部分以太网交换机上 , 广大用户也可以使用这个功能。先请大家看一个贴图。
怎么样 , 效果不错吧。这里使用的是 Cisco Catalyst 3550 交换机 EMI 的支持 WDM 的版本的软件。这个软件是思科公司于 2005 年 1 月 31 日发布的。可以从 CCO 下载。 (SMI 和 EMI 的版本都有。 ) 具体地址如下 :
http://www.cisco.com/cgi-bin/Software/Iosplanner/Planner-tool/iosresult.cgi?get_crypto=&data
_from=&hardware_ name=CAT3550&software_name=C3550 EMI IOS CRYPTO AND WEB BASED DEVICE MANAGER&release_name=12.1.22-EA3&majorRel=12.1&state=:HW:SW:RL&type=Early Deployment
有消息说 , Catalyst3550 快停产了 , 思科已经推出了 Cisco Catalyst 3560 作为 3550 的替代产品。 Cisco Catalyst 3560 系列交换机是一个固定配置的企业级交换机系列,包括 IEEE 802.3af 和思科预标准以太网电源( PoE ),工作在快速以太网和千兆位以太网配置下。 Catalyst 3560 是一款适用于小型企业 LAN 接入或分支机构环境的理想接入层交换机,将 10/100/1000 和 PoE 配置相结合,提供了最高生产率和投资保护,并支持新应用,如 IP 电话、无线接入、视频监视、建筑物管理系统和远程视频售货亭等的部署。 客户可在整个网络范围中部署智能服务-如高级服务质量 (QoS) 、限速、访问控制列表 (ACL) 、组播管理和高性能 IP 路由,且同时保持 LAN 交换的简洁性。 思科网络助理 提供了配置向导,大大简化了融合网络和智能网络服务的实施。
那么思科网络助理又是什么呢 ? 从交换机的图形管理界面里 , 您可以找到答案。
使用这个软件可以非常方便的设计 , 配置 , 和管理思科的交换机。使用户管理网络时 , 从命令行走向图形界面 (CLI 到 GUI) 。感兴趣的朋友可以试试。
#p#解决方案
全新数据中心网络配备有双 Catalyst 6513 系列交换机,带双 Supervisor Engine 720 模块、双电源,以及 10/100/1000 和 10 千兆位以太网混合接口。每台服务器都连接到这两台交换机,以实现冗余。负责保护数据中心的是带集成 FWSM 的交换机, IP 安全( IPSec ) VPN 服务模块( VSM )则提供了数据中心应用和钻井平台等远程地点间的安全连接。
数据中心和远程灾难恢复地点间的双 10 千兆位以太网链路提供了高带宽存储网络。灾难恢复地点拥有一台 Cisco Catalyst 6513 交换机,带双 Supervisor Engine 720 模块、双电源和光纤通道接口模块。在连接的两端, Cisco MDS 9509 多层导向器交换机利用思科虚拟存储局域网( VSAN )技术管理存储集群。集群间的通信采用了 IP 光纤通道( FCIP ),以确保简便性和可靠性。目前,整个数据中心每周备份一次,夜间采用增量备份。
图 1 Woodside Petroleum 数据中心网络
整个网络利用 CiscoWorks 工具管理,与需要分别管理七家供应商解决方案的从前网络相比,是一种更为简化的解决方案。 Woodside 可以使用 CiscoWorks 的自动配置功能, 向许多 Cisco Catalyst 6500 交换机分发软件镜像和配置更新,同时先进的排障和监控工具则使其可以快速识别和解决问题。
成效和下一步
Woodside 希望其业务就绪思科数据中心网络能够提供更高的稳定性和永续性,系统管理较从前的多供应商网络更为简化,并提高了 IT 员工的生产效率。 “ 作出使用 Catalyst 6500 系列产品的决策,其中一个主要原因是从消除风险的角度考虑 ” , Alexander 说, “ 此平台的简易性、较少的交换机数量、更少的备件,对于决策过程无疑都是至关重要的。 ” 这些因素也导致了拥有成本的降低。凭借单一供应商解决方案, Woodside 还可以更快地解决问题,而非在若干家供应商间不断协调。
2004 年初, Woodside 搬入了新办公楼。虽然 IT 员工开始时关注的是思科 IP 电话的部署和电视会议网关,但是,公司已为数据中心网络奠定了坚实的基础,这是因为已安装了 Cisco Catalyst 6500 系列平台,其远程存储网络也为快速灾难恢复做好了准备。 Woodside 的交换功能使其可以直接向数据中心添加集成功能,而无需增添机架空间。公司正在考虑使用入侵检测系统模块( IDSM-2 )使数据中心更加安全。
Woodside 希望其业务就绪思科数据中心网络能够保护资源、优化业务能力,并支持容量和收入的发展。该网络提供了更高的业务永续性,其灵活性也加速了技术的调整能力,为能源领域动态的业务特点提供了更好的支持。
#p#多生成树协议
在 Cisco MISTP[ 多实例生成树协议 ] 的推动下, MST 通过将一些基于 VLAN 的生成树汇聚入不同的实例,并且每实例只运行一个(快速)生成树,从而改进了 RSTP 的可扩展性。为确定 VLAN 实例的相关性, 802.1s 引入了 MST 区域概念。每台运行 MST 的交换机都拥有单一配置,包括一个字母数字式配置名、一个配置修订号和一个 4096 部件表,它与潜在支持某个实例的各 4096 VLAN 相关联。作为公共 MST 区域的一部分,一组交换机必须共享相同的配置属性。重要的是请记住,配置属性不同的交换机会被视为位于不同的区域。
为确保一致的 VLAN 实例映射,协议需要识别区域的边界。因此,区域的特征都包括在 BPDU 中。交换机必须了解它们是否像邻居一样位于同一区域,因此会发送一份 VLAN 实例映射表摘要,以及修订号和名称。当交换机接收到 BPDU 后,它会提取摘要,并将其与自身的计算结果进行比较。为避免出现生成树环路,如果两台交换机在 BPDU 中所接收的参数不一致,负责接收 BPDU 的端口就会被宣布为边界端口。
IEEE 802.1s 引入了 IST (内部生成树)概念和 MST 实例。 IST 是一种 RSTP 实例,它扩展了 MST 区域内的 802.1D 单一生成树。 IST 连接所有 MST 网桥,并从边界端口发出、作为贯穿整个网桥域的虚拟网桥。 MST 实例( MSTI )是一种仅存在于区域内部的 RSTP 实例。它可以缺省运行 RSTP ,无须额外配置。不同于 IST 的是, MSTI 在区域外既不与 BPDU 交互,也不发送 BPDU 。 MST 可以与传统和 PVST+ 交换机互操作。思科实施定义了 16 种实例:一个 IST (实例 0 )和 15 个 MSTI ,而 802.1s 则支持一个 IST 和 63 个 MSTI 。
与传统生成树的互操作性
RSTP 和 MSTP 都能够与传统生成树协议互操作。但是,当与传统网桥交互时, 802.1w 的快速融合优势就会失去。
为保留与基于 802.1D 网桥的向后兼容性, IEEE 802.1s 网桥在其端口上接听 802.1D 格式的 BPDU 。如果收到了 802.1D BPDU ,端口会采用标准 802.1D 行为,以确保兼容性。例如,在图 3 中,交换机 A 上的“ P4 ”一旦在至少两倍的“ hello time ”中检测到 PVST+ BPDU ,它就会发送 PVST+ BPDU 。要说明的是,如果 PVST+ 网桥从网络中删除后,交换机 A 就无法发现拓扑结构变更,需要人工重启协议移植。
图 3
图 3 介绍了应用于 VLAN 2000 的转发拓扑结构,它映射至 RSTP/MSTP 区域中的 MST #2 。用于 IST 和 MST #2 的根交换机驻留于 RSTP/MSTP 区域内。 MSTI BPDU 并未发送至边界端口“ P4 ”外,只有 IST BPDU 是如此。通过在 PVST+ 域所有现用 VLAN 上复制 ISTP BPDU , MST 区域模拟了 PVST+ 邻居。然后, PVST+ 域接收 IST 上发送的 BPDU ,并选择交换机 B 作为 VLAN 2000 的根交换机(注:交换机 B 是 IST 的根。)
如果 PVST+ 域中出现拓扑结构变更,在传统云中生成的相应的拓扑结构变化通知( TCN ) BPDI 将由 IST 在 MST 域中处理,不致影响 MST 转发拓扑结构。为了避免可能导致环路的错误配置,强烈建议为 MST 域中的 PVST+ 实例(即 IST 根)配置根交换机。
主要定义
IEEE 802.1D —— IEEE 建议,在整个第二层域中定义单一无环路拓扑结构。由于 802.1D 无虚拟 LAN ( VLAN )感知功能,因此转发拓扑结构是唯一的,独立于网络中现用的 VLAN 。这种方案从计算开支的角度是可扩展的,但在配置多个 VLAN 的情况下,无法为冗余链接提供负载均衡功能 。
PVST+ ——思科生成树为每个 VLAN 构建了一个不同的逻辑拓扑结构。这种方案通过允许每个 VLAN 拥有不同的转发链接,实现了负载均衡,但它却是 CPU 密集型的——网桥协议数据单元( BPDU )是根据各个 VLAN 生成并处理的。
CHIARA REGALE 是思科城域以太网部的技术营销工程师。她主要从事城域以太网领域的解决方案设计和修正工作。从意大利 Politecnico of Turin 获得电信工程理学硕士学位后, Regale 加盟 Cisco Catalyst 6000 生成树协议开发团队,负责设计和实施特性,以改进生成树性能。她的联系方式为 chiara@cisco.com 。有关一些交换机转发拓扑结构的移植策略和样本配置,请参考 Packet Online 。
#p#以太网交换机发展到今天 , 除了网络接口从十兆 (10M), 百兆 (100M) 变成 千兆 (GE), 万兆 (10GE) 之外 , 交换机的功能可以说是大大加强 , 尤其是近年来广大用户对网络安全的需求 , 使得思科在交换机上不断开发出新的安全功能来满足用户的需求。例如在 3560 系列中 , 思科就会支持如下安全特性 :
· IEEE 802.1x 可以实现动态的、基于端口的安全,提供用户身份验证功能。
· 具有 VLAN 分配功能的 IEEE 802.1x 可以为某个特定的用户提供一个动态的 VLAN 。
· 支持话音 VLAN 的 IEEE 802.1x 允许一个 IP 电话接入话音 VLAN ,而无论端口是否经过授权。
· IEEE 802.1x 和端口安全可以对端口进行身份验证,并能管理所有 MAC 地址的网络接入权限,包括客户端的访问权限。
· 具有 ACL 的 IEEE 802.1x 允许基于特定身份的安全策略。
· 具有访客 VLAN 的 IEEE 802.1x 允许没有 IEEE 802.1x 的客户端通过访客 VLAN 进行有限的网络访问。
· 所有 VLAN 上的思科安全 VLAN ACL ( VACL )可以防止在 VLAN 中桥接未经授权的数据流。
· 思科标准和扩展 IP 安全路由器 ACL ( RACL )可以针对控制面板和数据面板流量,在路由接口上指定安全策略。
· 用于第二层接口的、基于端口的 ACL ( PACL )让用户可以将安全策略用于各个交换机端口。
· SSHv2 、 Kerberos 和 SNMPv3 可以通过在 Telnet 和 SNMP 进程中加密管理员流量,提供网络安全。
· 专用 VLAN 边缘可以在交换机接口之间提供安全和隔离,这有助于确保用户不能监听其他用户的流量。
· DHCP 监听使管理员能确保 IP 到 MAC 地址的一致映射,并对进入交换机端口的 DHCP 流量进行限速。
· DHCP 接口跟踪器(选项 82 )在主机 IP 地址请求中增加交换机端口 ID 。
· 端口安全可以根据 MAC 地址,保障对某个接入或者汇聚端口的访问权限。
· 控制台访问权限的多级安全可以防止未经授权的用户更改交换机配置。
· 生成树协议根防护( STRG )防止不处于网络管理员控制范围的边缘设备成为生成树协议根节点。
· 支持 1000 个访问控制条目( ACE )
例如您可以使用 :
ip arp inspection limit { rate pps [ burst interval seconds ] | none }
命令来控制一个 interface 接受 ARP 请求的数量和速度 , 这个特性可以很好的抑制一些基于二层的网络攻击流量。
另外 , 思科的 3560 还支持交换端口的速率限制功能 , 利用这个功能用户可以很好地控制网路流量 , 确保网络上关键业务的可靠传输 , 甚至利用 QoS 和 CIR 来抑制网络病毒 , 蠕虫程序的传播。
· 思科承诺信息速率( CIR )功能能够以低达 8Kbps 的精确度保障带宽。
· 速率限制基于源和目的地 IP 地址、源和目的地 MAC 地址、第四层 TCP/UDP 信息或者这些字段的任意组合。
· 利用入口策略和出口整形,可以方便地管理来自于端设备或者上行链路的异步上行和下行数据流。
· 每个快速以太网或者千兆位以太网端口最多可以支持 64 个总或者单独策略控制器
例如 :
!
ip routing
mls qos
!
class-map match-all 64k
match access-group 110
!
!
policy-map aaa
class 64k
police 512000 32000 exceed-action drop
!
!
interface FastEthernet0/1
switchport mode access
no ip address
service-policy input aaa
!
ip http server ( 注 : 启动交换机的 HTTP 服务 , 使用图形界面管理。 )
!
access-list 110 permit ip host 192.168.1.1 any
access-list 110 permit ip any any
!
您可以参考 3560 的用户手册获得更多的帮助。 http://www.cisco.com/univercd/cc/td/doc/product/lan/cat3560/1225sea/3560scg/swqos.htm
网络交换机在今天还是构成计算机网络的基础核心设备 , 网络除了带宽加大之外 ( 万兆以太网的普及 ), 有效的管理也是解决网络安全 , 可靠运行的关键。有效的管理不仅包括网络交换机设备本身的配置 , 升级 , 以及日常监控 , 同时我们更需要对通过交换机的流量进行管理 , 对接入交换机的 PC 机 , IP 电话 , 打印机 , IP 摄像头等进行管理 , 对 MAC 地址 , IP 地址要严格管理和控制。只要大家重视网络的安全问题 , 合理的实施网络上的各种有效的控制手段 , 一个高速 , 可靠 , 稳定 , 智能的网络一定会为我们的工作 , 学习和生活带来无限乐趣。
李涛
顾问工程师
中央技术部
思科系统 ( 中国 ) 网络技术有限公司