Narzędzia osobiste
Integrator Integrator  > Archiwum  > Archiwum Wydania Online  > Wydanie 1999  > Nr 11-12/1999 (38)  > Listy dostępu w warstwie II?
Integrator nrI/2017(137)
 
 

Listy dostępu w warstwie II?

Moduły MSFC i PFC do Catalysta 6x00 Dwie nowe karty współpracujące z nowym modułem zarządzającym Supervisor Engine 1A zapewniają wysokowydajne, wielowarstwowe przełączanie, inteligentne usługi sieciowe (QoS) oraz zaawansowane bezpieczeństwo sieci. Zastosowanie tych kart pozwala na obsługę ruchu IP, IPX IP Multicast z prędkością 15 Mpps. Obie karty są instalowane bezpośrednio na module Supervisor Engine 1A, dzięki czemu nie zajmują dodatkowych slotów w chassis. Dzięki kartom PFC i MSFC możliwe staje się organizowanie bezpiecznego dostępu do VLAN-ów, a w połączeniu z Local Directorem obsługa SLB (Server Load Balancing).

   Multilayer Switch Feature Card (MSFC)

Karta MSFC zapewnia wysokowydajne przełączanie i routowanie ruchu pomiędzy VLAN-ami. Karta MSFC jest programowym routerem stosującym oprogramowanie CISCO IOSTM. W stosunku do modułów routera stosowanych w innych rodzinach Catalyst (moduły RSM) posiada tą zaletę, że nie zajmuje dodatkowego slotu, co zwiększa liczbę portów obsługiwanych przez pojedyncze urządzenie.

Karta MSFC udostępnia szeroki zakres usług świadczonych przez Cisco IOS, w tym:

  • Obsługa wielu protokołów (IP, IPX, Apple Talk, DECnet, VINES, XNS, OSI, CLNS);
  • Usługi multimedialne - PIM (Protocol Independent Multicast), CGMP, IGMP;
  • Obsługa routingu międzydomenowego - BGP4, ISIS;
  • Mechanizmy bezpieczeństwa - listy dostępowe, kodowanie, "lock and key";
  • Obsługa protokołów CoS (Class of Service) - RSVP (Resource Reservation Protocol) i WFQ (Weighted Fair Queuing).
Zalety MSFC
  • Wydajność
    Karta ta w połączeniu z kartą PFC zapewnia sprzętowe przełączanie dla IP, IPX z prędkością 15 Mpps. Pozostałe protokoły są obsługiwane przy pomocy oprogramowania Cisco IOS.
  • Obsługa dużych tablic routingu
    Posiadając 128 MB pamięci DRAM MSFC może pomieścić tablicę routingu całego Internetu.
  • Szybka konwergencja
    W szkielecie sieci zdolność do rekonfiguracji tablic routingu w przypadku awarii łącza lub urządzenia sieciowego jest niezwykle ważna. MSFC spełnia te wymagania poprzez śledzenie stanu łączy i szybkie przekierowanie ruchu w przypadku awarii.
  • Bezpieczeństwo
    MSFC obsługuje wiele poziomów bezpieczeństwa dla każdego pakietu ze strumienia danych z prędkością "wire- speed". Możliwe jest definiowanie reguł bezpieczeństwa i kontrolowanie ruchu zarówno na poziomie IP jak i na poziomie portów warstwy transportowej.
  • Zgodność ze standardami
    Dzięki zgodności ze standardami MSFC współpracuje z sieciami opartymi na urządzeniach wielu producentów. MSFC obsługuje m.in. standardy routingu IETF takie jak OSPF, RIP czy BGP.
  • Accounting i zarządzanie ruchem
    Podstawowym wymaganiem stawianym przed urządzeniami przełączającymi w trzeciej warstwie jest zdolność do klasyfikacji i identyfikacji strumieni danych podczas przełączania, zarządzanie ruchem i taryfikacja ruchu. Współpracując z kartą PFC możliwe jest kolekcjonowanie szczegółowych statystyk dotyczących ruchu, bez ubytku na wydajności przełączania. Statystyki mogą być grupowane i eksportowane do aplikacji zarządzających i nadzorujących funkcjonowanie sieci (NetSys, RMONII) oraz do aplikacji taryfikujących.

Każda karta MSFC jest skojarzona z pojedynczym modułem Supervisor Engine 1A. Poprzez instalację dwóch Supervisorów 1A wyposażonych w MSFC uzyskujemy bezpieczne rozwiązanie odporne zarówno na awarię Supervisora jak i MSFC.

Parametry karty
  • procesor RISC R5000 200MHz;
  • pamięć DRAM 64 - 128 MB;
  • pamięć Flash 16 MB;
  • 4 MB pamięci "packet-memory".
Policy Feature Card (PFC)

Karta PFC, instalowana na module Supervisor 1A zapewnia obsługę mechanizmów QoS (Quality of Service), identyfikuje aplikacje użytkowników, klasyfikuje ruch zgodnie z przyjętym priorytetem, pozwalając równocześnie na realizację polityki bezpieczeństwa. Współpracując z kartą MSFC pozwala na przełączanie pakietów IP, IPX, IP Multicast. Karta PFC przejmuje całość obsługiwanego ruchu zarówno na poziomie warstwy transportowej jak i sieciowej, sprawdza ich parametry, a następnie, zgodnie z regułami polityki bezpieczeństwa i QoS, przełącza je pomiędzy podsieciami z wykorzystaniem układu ASIC (Advanced Switching application-specific integrated circuit). Działanie PFC jest niewidoczne dla stacji końcowych, dzięki czemu jego instalacja nie wymaga żadnych zmian programowych lub sprzętowych w urządzeniach współpracujących z siecią.

Quality Of Service
P align=justify> Efektem stosowania QoS ma być udostępnienie sieci o bardziej przewidywalnych parametrach ruchu. Wymaga się obsługi przepustowości dedykowanych, kontrola opóźnień i jittera w celu polepszenia charakterystyk związanych ze stratnością sieci. Są dwa główne aspekty porównywania mechanizmów QoS, pierwszym jest klasyfikacja pakietów stosowana do identyfikowania i oznaczania danych z najważniejszych aplikacji, a drugim aspektem jest problem priorytetyzacji pakietów realizowany przez switch.
Wieloprotokołowa klasyfikacja pakietów

Klasyfikacja ruchu polega na przyporządkowywaniu strumieni do aplikacji sieciowych i na podstawie ich priorytetów, oznaczaniu pakietów należących do danego strumienia. Istnieje kilka metod oznaczania pakietów:

  • Z perspektywy warstwy 2-giej, etykieta może zostać umieszczona w pierwszym bajcie pola danych pola użytkownika (dla ISL) lub w bajcie kontrolnym TAG (dla IEEE 802.1q);
  • W warstwie trzeciej IP umożliwia realizowanie etykiety z wykorzystaniem pola TOS (Type of Service) - mechanizm ten nazywany jest IP Precedence. Zarówno IP precedence jak i ISL oraz 802.1q wykorzystują trzy bity pola TOS co pozwala na zdefiniowanie ośmiu poziomów ważności danych;
  • Ostatnią metodą oznaczania pakietów jest DSCP (Differentiated Services Code Point), która wykorzystuje 6 bitów pola TOS co pozwala na definiowanie 64 poziomów obsługi.

Należy zwrócić uwagę na fakt, że IP nie obsługuje równocześnie IP precedence i DSCP. Na etapie wdrażania QoS należy wybrać jedną z metod. PFC pozwala na obsługę wszystkich wyżej opisanych metod, rozszerzając dodatkowo priorytetyzację ruchu w oparciu o listy dostępu tworzone osobno dla pakietów IP, IPX, Apple Talk, VINES, DECnet.

Sterowanie ruchem
Dzięki oznaczeniu pakietów możliwe jest zarządzanie ruchem. PFC udostępnia następujące mechanizmy:
  • Traffic Scheduling
    W oparciu o etykiety nadane pakietom możliwe jest przydzielanie dedykowanych kolejek dla pakietów o najwyższym priorytecie w celu jak najszybszej usługi, przy równoczesnym przydziale współdzielonych kolejek dla aplikacji o niższym priorytecie;
  • Obsługa natłoków
    W sytuacji natłoku pakiety o najniższym priorytecie mogą zostać usunięte z kolejki, pakiety o priorytecie wyższym zostaną umieszczone w kolejkach a tylko pakiety o najwyższym priorytecie zostaną natychmiast obsłużone. Usługa ta pozwala na zapewnienie ciągłej pracy najważniejszych aplikacji firmowych nawet w sytuacji przeciążenia sieci;
  • Polityka bezpieczeństwa
    PFC zapewnia obsługę i definiowanie reguł bezpieczeństwa w sieci, monitoruje wykorzystanie pasma przez poszczególne aplikacje. W przypadku natłoku, gdy dana aplikacja przekracza pasmo przydzielone na podstawie priorytetu, część danych przez nią generowanych jest przenoszona do niższej kolejki w celu dopasowania zużywanego pasma do poziomu zgodnego z regułami bezpieczeństwa.
Optymalizacja wykorzystania pasma
Filtrowanie protokołów

Catalysty z rodziny 6000 wyposażone w kartę PFC mają możliwość sprzętowego filtrowania protokołów. Pozwala to m.in. na kontrolę transmisji broadcastów co wpływa na zwiększenie dostępności pasma.
Możliwe jest filtrowanie protokołów dla każdego portu. Protokoły są zgrupowane w czterech grupach:

  • IP,
  • IPX,
  • AppleTalk, DECnet, VINES,
  • Inne.

Każda z tych grup może być indywidualnie dopuszczana do obsługi lub blokowana.

IGMP snooping

Na podstawie komunikatów IGMP wysyłanych przez stacje końcowe, moduł PFC jest w stanie inteligentnie obsłużyć multicasty pochodzące od nowoczesnych aplikacji multimedialnych (np. Video), dzięki czemu pozostałe segmenty sieci nie są zalewane nadmiarowym ruchem.

Priorytetyzacja

Priorytetyzacja pozwala na zarządzanie pasmem poprzez dedykowanie pasma dla najważniejszych z punktu funkcjonowania organizacji aplikacji oraz współdzielenie reszty pasma przez pozostałe aplikacje.

Przykłady stosowania kart MSFC i PFC
Przełączanie wielowarstwowe z wykorzystaniem PFC i MSFC

Dzięki zastosowaniu obu kart, Catalyst 6000 ma możliwość przełączania w warstwie trzeciej. Dla protokołów IP i IPX jest to przełączanie sprzętowe. Oprogramowanie Cisco IOS zainstalowane na MSFC ma możliwość kontroli PFC poprzez protokół MLSP (Multilayer Switching Protocol) w celu modyfikowania list dostepu lub modyfikowania topologii routingu.
Zastosowanie obu kart pozwala wprowadzić reguły bezpieczeństwa na styku podsieci, obsługuje QoS, zwiększa wydajność.

Server Load Balancing (SLB)

Catalyst 6000 wyposażony w kartę PFC, w połączeniu z urządzeniem Cisco LocalDirector pozwala na rozkładanie obciążenia pomiędzy wiele serwerów realizujących tą samą usługę w sposób niewidoczny dla użytkowników aplikacji, z prędkością 15 Mpps.

LocalDirector odpowiedzialny jest za obsługę jednego "wirtualnego" serwera, który składa się z kilku serwerów fizycznych, pozwalając na obsługę 18 000 połączeń na sekundę. Catalyst 6000 zapewnia natomiast szybkie przełączanie pomiędzy serwerami. Tylko pierwszy pakiet ze strumienia jest obsługiwany przez LocalDirectora, wszystkie następne są już obsługiwane tylko przez PFC, który na podstawie adresów podanych przez LocalDirectora przesyła resztę ruchu na właściwy port z podłączonym do niego serwerem. Mechanizm ten, oprócz przyspieszenia obsługi ruchu, powoduje zabezpieczenie serwerów fizycznych przed niepowołanym dostępem (wszystkie serwery fizyczne są widziane pod innym, jednym, "wirtualnym" adresem IP). Każdy fizyczny serwer może zostać przestawiony w tryb "off line" bez zauważalnej różnicy dla klientów.
Dynamiczne rozkładanie ruchu pomiędzy serwery pozwala na równomierne ich obciążenie dzięki czemu uzyskujemy większą żywotność tych urządzeń.

38-04-01
Rysunek 1.  Serwer Load Balancing

 

Bepieczny dostęp do VLAN-ów

Coraz popularniejszą usługą staje się udostępnianie klientom dostępu do sieci na zasadzie wydzielonego VLAN-u. W tym momencie należy zabezpieczyć sieć przed nieautoryzowanym dostępem do dzierżawionego VLAN-u oraz przed próbami dostępu z w/w VLAN-u do zasobów nieudostępnianych. Z zastosowaniem list dostępu dla VLAN-ów (VACL) realizacja takiej polityki staje się bardzo prosta. W przypadku dzierżawienia sieci VLAN tylko dla potrzeb dostępu do Internetu możliwa jest taka konfiguracja by klient miał dostęp tylko do routera podłączonego do sieci Internet. Dzięki temu VLAN-y są od siebie całkowicie odseparowane i wzajemnie niewidoczne.

Ograniczenia ruchu między VLAN-ami

Oprócz opisanych wyżej przykładów stosowanie kart PFC i MSFC pozwala na prawidłową obsługę serwerów DHCP (blokując próby podłączenia się do sieci fałszywych serwerów DHCP), ogranicza propagację pakietów broadcast tylko do portów z danego VLAN-u. W połączeniu z pakietem NetFlow pozwala na tworzenie wyrafinowanych statystyk zawierających m.in. dane dotyczące adresów źródła / przeznaczenia, typu ruchu, liczniki pakietów, bajtów, czasu. W połączeniu z mini-RMON�em obsługiwanym standardowo przez Catalysty pozwala to na monitorowanie całości ruchu na wszystkich portach, w które wyposażony jest przełącznik.

38-04-02
Rysunek 2.  Ograniczenie ruchu między VLANami

 

Wymagania

Na koniec należy zwrócić jeszcze uwagę na wymagania kart PFC i MSFC odnośnie oprogramowania przełącznika. Jak wcześniej wspomniano, współpracują one z modułami Supervisor Engine 1A. Karta PFC wymaga oprogramowania Catalyst 6000 Family Supervisor Engine Software w wersji 5.3(1)SCX lub nowszej. Dla potrzeb obsługi MSFC potrzebna jest wersja Cisco IOS 12.0(3)XE lub nowsza.

Akcje Dokumentu

Nasze cookies są bezpieczne! Korzystamy z nich w minimalnym zakresie tak, aby nasz serwis był jak najlepiej dopasowany do potrzeb Użytkowników. Warunki przechowywania oraz dostępu do plików cookies, można zmienić w ustawieniach przeglądarki. Domyślne ustawienia popularnych przeglądarek pozwalają na zapisywanie cookies. Więcej informacji w naszej polityce cookies.

[X] Zaakceptuj, by informacja więcej się nie pojawiała