|
 随着企业内部网、电子交易、Web服务器、多媒体、语音和数据集成以及企业资源规划等的扩散,当今的网络已经发展成为商业成功与否的一个战略组成部分。为了支持这些应用,网络将不仅要提供更大的带宽,而且还要提供具体服务。
1969年,美国国防部建立了ARPANET来研究联网问题,从此诞生了互联网革命。ARPANET向互联网发展需要新的技术和技巧,如TCP/IP、域名系统(DNS)、IP路由选择协议以及Web等。提供这些新技术和服务使得ARPANET能发展成为互联网,这就是我们今天所熟悉的全球经济的一个重要组成部分。
随着新的服务和技术将ARPANE变为互联网,需要新的服务来使得网络管理员能够将他们的网络变为当今经济社会中的竞争优势。为了迎接这一挑战,网络业通过一些新技术提高了网络整体吞吐率,如:千兆以太网、ATM、同步光纤网分组传输(PoS)等。
图1
网络带宽的发展
然而,对于网络管理员来说,引入更大的带宽并不是一个灵丹妙药。光是带宽还不能提供端到端的可靠性、多媒体集成、确定应用优先等级、可管理性和安全性等。随着网络成为公司基础的重要组成部分,网络必须能够提供比带宽更多的东西。
对于很多网络管理员来说,最大的难题不是在媒体和带宽方面。如上所述,利用现有和即将问世的技术就能解决媒体和带宽问题。最大的挑战是:
- 保护关键任务应用
- 高可用性
- 多媒体支持
- 可管理性
- 安全性
- 可扩展性
为了满足这些挑战,必须在网络设计的每一个点提供具体的特性和功能。例如:为了确保高可用性,配线间交换机将要求分配和干线设备的很多特性。然而,这两种(核心和配线间)设备必须互相配合使用来确保网络的整体可用性。对潜在网络设备的评估不能再基于机箱对机箱的比较,而是必须基于所有联网设备的交互上。以下各节将考虑Cisco网络服务以及如何端到端地应用他们来解决面临的难题。
图2
Cisco
端到端网络服务
网络管理员日益面临着各种需要大量带宽的应用,这些应用将相互竞争LAN和WAN中的网络资源。这些应用具有各种特性。他们可以是具有应用接口的关键任务原有应用、在线关键业务应用、或者是新的基于多媒体的应用,如:桌面可视会议、基于Web的培训、甚至IP语音(VoIP)。其中一部分应用对核心业务过程非常关键,而另外有很多应用则没有什么重大影响。管理员的任务就是要保证关键任务应用通信业务不受其他需大量带宽的应用影响,同时还要能继续执行不太重要的应用,如桌面可视会议等。解决这一带宽需求的最简单的方法是增加更多的带宽,但由于成本,它通常不是一个可行的方法。
想要部署新的需要大量带宽的应用的企业认为,最重要的是要确保LAN和WAN上关键任务应用的不断成功。通过定义网络政策可以实现这一目标。这些网络政策将根据商业目标调整网络资源,并且通过服务质量(QoS)机制来实现网络政策。没有这些服务质量控制,不太重要的应用可能会很快将网络资源用尽,其代价是那些更重要的应用,如关键任务应用等不能使用网络资源,从而牺牲商业过程以及生产力。
图3
关键任务应用例子
图3
字
订单输入
金融业
制造业
人力资源
供应链管理
销售队伍自动化
从网络设计的观点看,根据网络设备的位置,在LAN内提供一个端到端的应用优先级需要一些具体特性。
图4
服务质量特性适用于什么地方
图4
字
服务质量域边缘端口
通信业务识别
入口控制
分类
服务质量域中继端口
避免拥挤调度
配线间
园区网拥挤
分配
/
干线
在如图4所示的园区环境中,配线间设备必须提供下列能力:
通信业务检测:识别应用的能力
入口控制:限制通信业务的能力
通信业务分类:根据应用类型、目的地或物理端口进行分类的能力
通信业务检测依赖于L4
IP UDP和TCP端口数量,因此它是一个L4内部操作。交换机检查数据包并确定UDP和TCP端口数量,该交换机能确定使用该数据包的应用。通过利用这一功能,交换机能区分用于运行某一非关键任务应用(如:电子邮件)的数据包和一个运行关键任务应用的数据包。
入口管理取决于通信业务检测能力,它根据用户定义的政策,提供了一种机制来拒绝或取消某一应用。例如:网络管理员可以定义一个政策,临时停止将电子邮件数据包传输到网络中。入口控制应用可以应用提供下列好处:
- 在网络拥挤阶段,网络管理员可以规定将需要大量带宽的视频或多媒体应用从网络中取消。
- 可以将特定应用排除在外不进入网络,从而节约了上行链和骨干网带宽。
通信业务分类能够利用通信业务检测来识别应用,然后根据用户定义的政策对应用进行分类。分类提供了一个标签,它给数据包标明适当的优先级别。分类信息分别在IP
v4的前缀位、Cisco InterSwitch Link(ISL)和IEEE 802.1 Q/P技术规范中传输,具体如图5所示。
图5
数据包分类
使用IP前缀字段的分类被叫做业务类型(ToS),而使用ISL或802.1Q/P的被叫做业务类别(CoS)。使用IP前缀(L3)作为分类标签提供了一种独立于传输技术的服务质量标识,使得能在不同的媒体类型上映射服务质量,如:以太网、ATM和WAN。
ISL和802.1Q/P是L2技术,他们更加适合于非IP以太网网络中的园区网络部署。与L2分类不同(ISL和802.1Q/P),L3分类(ToS)提供了一致的端到端数据包分类,当数据包穿过LAN/WAN和企业内部网/互联网边界时对它进行分类。
数据包分类只能进行一次,理想情况是在网络边缘进行。IP
v4前缀位、ISL和892.1Q/P都有一个3比特字段,它最多能提供8级优先等级,从而在不同的技术之间提供一致的优先等级映射。通信业务分类给网络管理员提供了下列好处:
- 提供标签,标签规定了分配给这一数据包的优先等级,它给下行设备提供所需的信息来适当地确定数据包的优先等级。
- 提供了根据政策来分类数据包的一种机制:例如,通过使用通信业务分类和检测,某一最终用户站可以给一个多媒体应用使用较高的优先等级,如果根据网络政策而不是最终用户站的要求,这一多媒体应用可能被分配较低的优先等级。
在网络的分配和核心上,网络设备必须能支持下列功能:
- 避免拥挤:在网络拥挤期间,能根据分类或政策而丢弃某些数据包。
- 调度:能根据分类和政策而显示优先传输。
利用诸如加权随机预检测(WRED)等机制,避免拥挤功能可以在网络拥挤影响较高优先等级的应用以前,利用TCP窗口机制来调整优先等级较低的应用。WRED的这种用途是根据网络输出队列中的门限进行的。
随着网络通信业务量的提高,拥挤的可能性也增加了。最终缓冲器将被填满,而数据包将不受控制地被丢弃。因为TCP将试图提高它的数据传输速率,直到出现丢失数据包或者TCP窗口传输尺寸达到最大为止,因此缓冲器将经常被填满。而且,当发生数据传输机制不匹配时(例如:来自千兆端口的数据包被转向一个10
Mb端口,或者是很多端口同时向一个端口传输,而这一端口的带宽小于那些端口的总带宽),这是,缓冲器将开始被填满。
通过开始丢弃数据包的过程,随机预检测(RED)能有助于避免缓冲器出现不受控的丢失数据包,不受控地丢弃数据包可能会对应用性能带来重大影响。WRED允许系统管理员来规定当达到某一缓冲门限时,先丢弃哪些通信业务,WRED增强了RED的功能。例如:两个通信业务可以分别定义为标准和优先。关键任务应用可以映射到优先门限而另一个通信业务可以映射到标准门限。如果缓冲器到达60%,属于标准类别的数据包将被随机丢弃。当缓冲器被继续填充时,标准类别应用的丢弃率将提高。优先服务可以配置为在缓冲器到达90%后才开始丢弃数据包。因为他们不会到达他们的高限(除非网络由于更高优先等级的应用而拥挤时),较高优先等级的应用将继续能有最佳的TCP窗口大小和性能。结果是,关键任务通信业务不受降低有限等级应用的影响。
 图6 加权随机预检测
图6
字
:
加权随机预检测
输入接口
输出接口
根据平均队列深度进行的丢弃测试
IP前缀(ToS)或CoS(ISL/802.1Q/P)
在任何交换机构架中,有一定数据的时间来从某一给定接口输出数据包。利用诸如加权循环(WRR)等机制,根据数据包的优先等级,网络设备可以给数据包提供优先传输处理。例如:在一给定的接口上,70%的传输窗口可以用于关键任务或对延迟非常敏感的应用,而30%的窗口将可以被分配给不太重要或对延迟不很敏感的应用,如图7所示。
图7
加权调度
图7
字
:
低优先等级
中等优先等级
关键任务应用
服务质量政策决定传输比例
WRR
队列调度器
Cisco在其园区交换线路之间提供了一种端到端解决方案,提供了业界领先的能力来确定应用的优先等级。Cisco提供下列应用敏感联网特性,如表1所示。
- 通信业务量检测:物理端口
- 通信业务量分类:IEEE 802.1Q/P CoS
|
0~24个端口 |
2900XL |
- 通信业务量分类:IEEE 802.1Q/P CoS
|
0~48个端口 0
~
9
6
个
端口 |
2948G 4000
家
族 |
|
物理端口、IP DA/SA。IP
DA/SA(写屏蔽)L4端口数量、L2 DA MAC
- 入口控制:IP DA/SA、IP DA/SA L4
- 通信业务分类:IEEE 802.1Q/P CoS、ISL COS、IP V4 TOS
|
0~500个端口 |
5000家族 |
|
物理端口、IP DA/SA。IP
DA/SA(写屏蔽)L4端口数量、L2 DA MAC
- 入口控制:IP DA/SA、IP DA/SA L4
- 通信业务分类:IEEE 802.1Q/P CoS、ISL COS、IP V4 TOS
|
0~384个端口 |
6000家族(具有MSFC) |
- 避免拥挤:WRED、2个队列门限
- 调度:双路传输队列、WRR
|
高密度千兆以太网多层交换 |
6000家族 |
- 避免拥挤:WRED、4 的队列门限
- 调度:每个流程排队 WRR、WFQ
- ATM UBR、CBR、MCR、VBR、ABR
|
ATM/帧多业务多层交换 |
8500系列 |
|
通过利用Cisco交换机中的应用敏感的特性,从关键任务应用通过配线间进入网络的那一刻起,用户就能保护关键任务应用,如图8所示。
图8
端到端应用敏感联网
图8
字:
将金融应用设置为高
将DOOM设置为低
高优先等级队列(70%的传输比)
低优先等级队列(30%的传输比)
金融应用服务器
在图8中,配线间中的Catalyst
5000/6000家族交换机使用通信业务检测来区分使用关键任务金融应用的用户和运行网络游戏DOOM的用户。根据CiscoAssure服务器的政策,利用交换机的通信业务分类能力,金融应用数据包被分为高优先等级和ToS(IP
v4前缀位)被设置为7。DOOM数据包被分类为低优先等级,其TOS被设置为2。
在分配/核心中,Catalyst
6500和Catalyst 8500系列交换机根据网络管理员和CiscoAssure
服务器提供的政策作用于ToS位。关键任务应用数据包具有较高的优先等级WRED队列门限,并被给予优先传输的优先等级。
网络是一种战略资源,它对公司活动和收益的作用非常重要,并且推动了用直接支持商业目标的术语还定义政策。因此,网络管理员需要能将商业政策转换和映像到具体的网络行为中。例如,运行企业资源规划(ERP)应用来获得战略竞争优势的某一机构将提出一种政策,它提供ERP通信业务对网络资源的优先访问。这一商业政策被转换成确定ERP应用优先等级的网络行为,如服务质量机制。
CiscoAssure政策联网是一个Cisco计划,它使得能方便地利用分布网络智能特性。通过将目前在设备级上由人工完成的工作自动化,网络管理员能大大缩短部署时间、改善一致的政策实施,利用智能特性而不需要雇佣昂贵的网络专家。
CiscoAssure政策联网结构以4个构件为基础:
图9
. CiscoAssure
政策联网
- 智能网络设备:网络设备必须具有智能,能将他们接收到的安全或服务质量政策指令转化为具体机制。关键设备也必须是应用敏感的,使网络能为每一个应用提供基于应用的安全或服务质量业务。
- 服务质量和安全政策业务:基于服务器的控制系统在管理员和网络之间提供了接口,翻译能力使它能从中心显控台开始将整个网络的实际设备配置自动化,并根据政策进行优化。
- 注册和目录服务:提供政策业务和网络地址、用户背景、应用概况以及对于适当地实施和执行政策具有重要作用的其他信息之间的动态连结。
- 集中政策管理:管理员和CiscoAssure政策服务器系统通过一个图形用户接口(GUI)进行交互。该接口简化了政策定义,并提供了集中配置商业规则并将这些规则映射到智能网络的能力。GUI给管理员提供了多层控制来确定通信业务并根据应用、用户、一天中的不同时间、地点、IP地址或物理端口等来执行政策。这一GUI虱管理员能在多个Cisco设备之间建立和执行一致的政策。
一个政策联网解决方案要想真正有效,它必须满足3个准则:
- 可以在大型网络、生成多媒体和协议环境中进行端到端部署。它必须能在企业内部网、外部网以及虚拟专用网之间无缝隙地执行政策,Cisco在异质网络的互操作方面有良好的记录。
- 智能网络基础设施:Cisco网络包含嵌入技术,它能通过Cisco IOS ®
软件和交换机及路由器中的技术来提供这一智能。
- 集中管理,具有很强的可扩展性。CiscoAssure计划设计从中心位置给整个企业网络提供政策联网,正是其设计概念使人工完成的工作实现了自动化,从而提供了可扩展性。
高可用性
可用性传统上是用数据库服务器或大型机应用的工作时间来衡量的。随着诸如电子邮件、Web、多媒体、VoIP和ERP等应用的使用成为关键任务,用来传输这些应用的网络资源成为了系统可靠性的一个不可分割的组成部分。
网络可靠性依赖很多方面,其中包括网络硬件设备中的冗余量。很多厂商增加了具体网络设备自恢复,如:双路电路、热切换线路卡模块以及冗余交换构架等。这种方法现在在厂商之间相当普遍,并且可以将问题孤立到一个设备上,但是不能将网络可靠性作为一个系统问题处理。
很明显,高可用性必须是一个端到端网络目标。在一个严格定义的网络结构中,在关键点上必须有特定的能力来确保网络自恢复和稳定。
- 配线间:最终用户进入网络的前段连接
- 要求多条路径(双路主线)进入到分配/干线网中。
- 负载均衡接续,以获得最佳网络利用。
- 快速会聚L2/L3,以最小的网络中断来从网络故障进行恢复。
- 分配/干线:网络的中心汇集点,在配线间、服务器组和WAN/LAN之间提供连接。
- 负载均衡接续以优化带宽利用。
- 快速会聚,很适合L3,以最小的网络中断来从网络故障进行恢复。
- 冗余L3转发路径来优化网络L3汇聚。
在给网络设计冗余时,一个主要目标是建立一个能经受部件、链路、电源和其他类型故障的网络。网络必须能对这些故障自恢复,不需要人工干预且服务中断时间最短。它必须能完成所有这一切,并且还要足够简单,使得普通网络管理员就能配置、监视和管理这种环境。在正常工作期间,提供冗余的部件还必须给网络带来一些其他好处,如:负载均衡等。通过提供表3中列出的那些特性,Cisco实现了这些目标。
|
|
|
- 允许控制每个子网的转发路径。
- 提供简单技术用于L2冗余
|
|
|
|
|
|
|
|
|
- 到核心/干线和服务器的高速连接。
- 快速会聚,时间不到1秒。
|
|
|
- 核心分配L3转发负载均衡。
- 快速会聚用于L3冗余。
|
|
|
|
|
|
|
|
- 尽量缩短网络故障时间。
- 缩短了骨干网中间接故障的会聚时间。
|
|
网络还必须设计成能向网络操作人员通知网络故障,并提供有关导致故障的事件足够详细的情况,以帮助隔离和修理故障。这一信息对预防和预测未来类似情况的发生有很大帮助。Cisco提供了系统级工具和管理应用,如:Cisco资源管理器、网络时间协议(NTP)、系统日志、调试以及各产品线上的各种其他能力。
图10. 系统日志服务利用系统日志跟踪重要的系统事件
系统日志内容格式:
mm/dd/yy-hh/mm/ss- 设施严重程度: 说明
| 代码 |
设施 |
严重程度 |
指示 |
| CDP |
Cisco恢复协议 |
0:紧急 |
系统不稳定 |
| CGMP |
Cisco组管理协议 |
1:报警 |
需要立即采取行动 |
| DISL |
动态交换机间链路 |
2:重要 |
重要情况 |
| DVLAN |
动态VLAN |
3:错误 |
错误情况 |
| EARL |
编码地址识别逻辑 |
4:告警 |
告警情况 |
| IP |
互联网协议 |
5:通知 |
正常和重要情况 |
| PRUNING |
VLAN中继协议修剪 |
6:信息 |
信息 |
| SNMP |
简单网络管理协议 |
7:调试 |
在调试期间出现 |
| SPANTREE |
生成树协议 |
|
| SYS |
系统 |
|
| TAC |
终端访问控制器 |
当给日志增加新消息时,系统日志接收时加上的时间戳 |
| TCP |
传输控制协议 |
|
| TELNET |
标准TCP/IP终端仿真 |
|
| VMPS |
VALN成员政策服务器 |
|
| VTP |
VALN中继协议 |
|
|
用于评估网络高可用性的另一个准则是软件发布的质量。在Cisco发布其新的软件镜像以前,它经过了严格的质量保证测试和分析。
图11.
网络自恢复管理工具
管理投资
配置管理:为路由器和交换机归档、搜索、比较和输出配置文件。
变更审计服务:网络变化的审计记录和报告。
库存管理器:容量规划工具和库存详细情况。
软件镜像管理器:软件镜像的分发、归档和缺陷估计。
可用性管理器:可到达性、重新装载、响应时间和堆栈译码器
系统日志分析器:过滤的、灵活的系统日志错误报告
集成工具
合同连接:
CCO
链接的业务合同状态访问
管理内部网:第三方
Web工具的浏览器集成
图1
2 Cisco
服务保证投资
软件测试投资
- 250多名专业测试工程师。
- 开发了150,000多个专用特性和回归测试。
人员
- 120,000平方英尺的实验室。
- 资本投资2亿美元以上。
- 每星期进行50万次自动回归测试。
测试能力
9名专用测试工具开发工程师
最近增加了200万美元资本投资
测试工具
总之,不能在单个机箱基础上进行高可用性评估。对高可用性的真正分析包括网络的holistic方法,其中具体服务的交互使得能实现端到端网络自恢复。Cisco利用设备冗余、高可用性网络服务、网络管理和一个专门的高质量软件发布来解决了这些难题。
根据电信行业协会的一份研究报告,到2001年,多媒体应用市场预计将达到160亿美元。推动这一增长的是这样一些应用,如:远程教学、虚拟工厂、音频和视频会议、流媒体应用、数据仓库以及金融应用。
这些新的多媒体应用中有很多需要IP组播。涉及到向多个接收者传输信息的任何形式的网络通信都能从组播技术的带宽效率受益。例如:涉及一个对多个和多个对多个通信的应用例子包括:视频和音频广播、视频会议/协作、发布股票行情和新闻、数据库复制、软件下载、Web网站高速缓存等。
为理解组播的效率,请考虑提供单信道内容的某一视频服务器,如图13所示:
图13
在单播和组播网络中的视频传输
单播
组播
对于全动画、全屏幕观看,一个视频流大约需要1.5
Mbps的服务器客户机带宽。在单播环境中,服务器必须为每台客户机向网络发送一个视频流(这将需要1.5×n
Mbps的链路带宽,其中n=客户机观看人数)。如果服务器上有一个10
Mbps的以太网接口,只需要6~7个服务器到客户机流就能使网络接口完全饱和。即使在一台高性能服务器上使用一个高度智能化的千兆以太网接口,实际限制也将是从250~300个1.5
Mbps的视频流。因此,服务器接口容量可能会成为一个主要瓶颈,它将限制每个视频服务器的单播视频流数量。
复制的单播传输会占用网络中的很多带宽,这又是另一个重要限制。如图13所示,由2个分配/核心交换机段(hop)和2个配线间交换机段将100台客户机分开,一个组播通道将消耗300
Mbps的分配/核心交换机带宽和300 Mbps的配线间交换机带宽。即使是视频流降低到100
Kbps(它能在屏幕上较小的窗口中提供可接受的质量),组播也将消耗分布/核心交换机和配线间交换机各20
Mbps的带宽。
在组播环境中,不管将有多少台客户机观看,视频服务器需要给每个组播组发送一个单独视频流。然后根据网络的组播分配/核心交换机和配线间交换机的要求,将复制视频流,以便允许任意数量的客户机来预订组播地址和接收组播。在分布/核心交换机网络中,只有在分配树的分支上才发生复制,因此,几乎所有的复制将发生在交换机的最后一段上。在组播环境下,只利用了1.5
Mbps的服务器到网络的带宽,使其余的带宽可以用于其他用户或更多的视频内容通道。在网络中,组播传输提供了类似的效率,它只使用了组播解决方案中的N分之一的带宽。
很明显,当有大量接收者接收复制的传输时,即使在一个只有少量分配/核心交换机和配线间交换机段的简单网络中,组播技术对网络负载和服务器负载也都有很大影响。
从网络角度看,使用IP组播要求:
- 配线间:线速组播转发动态注册
- 分配/核心:线速组播转发/路由选择,可扩展的IP组播路由选择协议
对于配线间应用,Catalyst
2900、4000和5500家族提供了每秒数百万个数据包的线速组播转发。对于来自最终用户工作站的互联网小组成员协议(IGMP)动态注册消息,Catalyst
2900、4000、5500和6000家族利用了IGMP窥探或Cisco小组成员协议。
图14 配线间中的组播
图14
字:
线速组播转发
便于与分配
/
核心进行配置
/
集成
Cisco
小组成员协议(CGMP)
IGMP
窥探
视频服务器
对于分配和核心骨干网实现,,Catalyst
6500和8500系列提供了线速组播转发和路由选择,以及与协议无关的组播(PIM)协议用于可扩展组播路由选择。
图15 分配
/
核心中的组播
图15字
:
Catalyst 6500
系列
线速组播转发
可扩展组播路由选择协议
与协议无关的组播稀疏模式和密集模式
在Catalyst
系列产品中,Cisco嵌入了管理内力,其中包括SNMP、RMON、NetFlow
Statistics、HTTP、诊断/调试、系统日志、即插即用协议、拓扑发现代理等等。为了利用这些能力,Cisco
System非常自豪地推出了CiscoWorks 2000:这是Cisco的基于互联网网络管理革命的下一步。
CiscoWorks 2000是一个管理产品,它将原来的路由器和交换机管理功能中的最好的部分与Web技术的最新发展相结合。它具有利用现有工具和设备中的管理数据嵌入资源两个好处,并同时提供了新的网络管理工具示范,用于大型和迅速变化的企业网络。CiscoWorks
2000产品引入了建设管理内部网来链接多厂商管理应用的概念并以及能节约时间和减少错误的一种任务示范,这在业界是独一无二的。CiscoWorks2000提供了3个基本方面的好处。
Cisco互联网联网和互联网交易解决方案方面处于领先地位,这种解决方案投资现在提供了全面的在线知识,Cisco网络管理应用使用了这些知识来知道网络管理人员完成维护大型复杂公司网络的任务。
CiscoWorks2000产品积极地从CiscoWeb网站收集信息,并将它放在管理过程的自然流程中。例如:资源管理要素(Essentials)通过机内互联网链路将管理过程扩展到了外部数据资源,这一链路使管理员能检索和利用这些信息:
有关哪些设备具有Cisco 服务合同以及这些合同状态的信息等。 有关您的网络中的Csico 设备的Y2K符合条件的报告。
自动建立、提交和跟踪技术支持报告。
根据存储在Csico连接在线(CCO)中的软件镜像的硬件要求信息。
新发布的Csico软件镜像。
与您的网络中部署的镜像有关的缺陷状态。
用于管理功能和应用集成的浏览器用户接口
独一无二的Cisco管理内部网工具利用了一个浏览器接口,它能实现面向任务、
Web级的多应用和工具集成,这些应用和资源来自完全不同的资源,其中包括第三方和内部开发工具和应用等。这种情况允许创建由业界最好的管理工具组成的客户化管理环境,其中包括 HP、Tivoli以及计算机协会等的领先的网络管理平台。基于浏览器的对这些应用的访问使用户能登录到多个应用上,并能在最好的工具之间方便地转换来解决某一问题。
随着网络的不断发展且变得更加复杂,同时对业务功能越来越重要,管理必须从与各设备有关的孤立的任务发展成为更加系统化的方法。CiscoWorks2000产品反映了这一需求,它将现有管理设备中的丰富的特色移植到具有全新功能的产品中,以此来管理整个网络。
CiscoWorks 2000产品包含了这些特性,通过诸如库存、拓扑和变更管理等应用,来使多种设备类型的管理正规化。CiscoWorks2000产品建立在积累的网络知识上,他提供了全网络问题的深入研究,如配置管理、容量规划、软件缺陷跟踪、全系统变更管理等。
- Cisco将继续投资实际客户研究来确定用户是如何执行网络管理任务和进行故障排除的。研究表明经常需要多种工具来完成一个活动,操作员将从一种工具转到另一种工具。利用这些结果,Csico在其CsicoWorks2000产品中采用了一种面向任务的设计,来简化用户执行的日常网络管理任务。这种设计减少了重复性和容易产生错误的人工任务,这些任务需要用很多步骤和多种工具来完成:如:在网络设备上更新软件或跟踪库存变化。CiscoWorks2000产品中的基于任务的管理的例子包括:
- 资源管理器要素中的软件镜像管理器部件利用了基于任务的方法,通过由向导支持的规划、定期、下载和监视软件更新,大大简化了对Cisco路由器和交换机的例行程序部署和软件更新的版本管理等。
- 资源管理器要素中的库存管理器部件通过将实际网络设备库存与CCO
Y2000证书数据进行比较,它实现了查找Y2000证书信息的自动化。
- CWSI园区网中的用户跟踪部件简化了整个网络中最终用户工作站的位置和移动情况的查找和更新任务,以便简化动态虚拟LAN(VLAN)管理或移动用户管理问题。
CiscoWorks2000家族中的产品执行大量关键管理功能来管理各种网络设备,其中包括路由器、交换机、访问服务器、通用SNMP设备。例如:资源管理器要素完成Csico软件升级、跟踪库存、报告设备可用性、分析系统日志消息,并且报告路由器和交换机的配置变化。CWSI圆区网和CiscoView提供了图形化的多种设备类型的配置、通信业务量和状态。
互联网技术和标准给计算机和网络行业带来了通用互操作的曙光,并向大规模的机构间信息共享打开了大门。在这一过程中,这些技术也极大地改变了企业组织和支持其网络和分布式系统的方法。采用管理内部网方法,可以将网络、系统、应用和服务管理统一到一个灵活的结构中。随着企业准备发展进入到下一世纪并将面临着网络世界挑战,通过不断开发能够利用互联网所带来的各种机会的管理应用和工具,Cisco将领导互联网革命。
开放网络对公司提出了重大挑战。当前的安全管理能力侧重于点产品、人工过程或分布式设备。一种更好解决方案是提供一种端到端安全解决方案,它的重点在:
- 身份(鉴权):识别网络资源和鉴别用户并将他们与网络地址相关。
- 完整性(权限):保护信息和资源不被未经授权访问。
- 活动审计:动态地确保网络被合法个人适当使用。
对于配线间或管理显控台访问的身份验证信息,Cisco提供了以下特性:
- 端口安全:能将交换机端口锁定到某一具体MAC地址的能力。如果发现连结了某个未经授权的设备,交换机将关闭连接并向网络管理站发出一个陷阱。
- 用户注册:到DHCP的动态链路:带有DNS/DHCP服务器的用户注册跟踪(URT)的动态链路使它能通过用户的网络地址和他们的物理位置来跟踪用户,大大减少了它解决问题所需要的时间。
- 与Microsoft NT主域控制服务器集成:URT中的网络注册过程与Microsoft的主域控制服务器(PDCS)集成。集成整合了设置注册帐户和利用市场上日益普及的PDCS。
- 自动交换机端口配置:根据登录到网络中的用户的逻辑相关,URT全面实现了交换机端口配置变化自动化,这大大降低了通常与园区网移动性有关的管理成本。
- 跟踪和识别到CWSI的链路:URT提供了到Cisco用户跟踪应用的链路,通过用户的登录名称来快速识别用户。
- 冗余结构:URT提供了全面的冗余结构,这对确保连续24×7的成功登录和交换机端口重新配置是非常重要的。
- TACACS+和radius鉴权:提供了到网络设备的命令行接口(CLI)的鉴权和权限。通过跟踪用户登录,提供了访问帐户。
- IP允许清单:允许网络管理员限制从某些特定IP网络地址对CLI、系统显控台和SNMP进行访问、
- SNMP v3:当用于网络管理时,提供加密用户鉴权、SNMP串。
- MD5路由鉴权:提供加密路由选择表更新,防止可能导致网络不稳定或宕机的非法或未经授权的路由选择表信息。
为了防止未经授权的访问网络,Cisco提供了这些特性:
- 允许控制:提供了一种机制来限制应用访问网络。
- IOS防火墙特性集:提供了下列能力:
- 基于上下文的访问控制(CBAC):给跨越边界的所有通信业务提供了内部用户保密、基于各个应用的访问控制,如:在专用企业网和互联网之间。
- Java阻塞:防止未知的恶意Java applet。
- 拒绝服务检测/预防:防止和保护资源遇到一般攻击,检查数据包标题并丢弃可疑数据包。
- 审计轨迹:详细交易、记录时间戳、源主机、目的地主机、端口、持续时间、详细报告中所传输的字节总数。
- 实时告警:如果遇到拒绝服务攻击或其他预先配置的条件,记录告警。
- 基本和高级通信业务过滤:标准和扩展访问控制清单(ACL),它给对特定网络段的访问进行控制,并定义哪些通信业务可以通过某一网络段。
- 锁和密钥:动态ACL在用户识别后(用户名/口令)允许防火墙进行临时访问。
- 基于政策的多接口支持:根据安全政策中所确定的要求,提供了控制用户通过IP地址和接口进行访问的能力。
- 对等鉴权:确保路由器从可信赖的资源上接收到可靠的路由选择信息。
- 事件记录:通过记录从系统错误信息到显控台终端或系统日志服务器的输出、设置严重程度并记录其他参数,允许管理员实时跟踪潜在安全违规和其他非标准活动。
- IOS访问控制清单:它提供了一种机制,根据用户定义的准则,来拒绝或和允许特定数据包。利用ACL。,网络管理员能允许远程登录程序访问某一服务器,但不能访问FTP或Web。
对于防火墙的保护,确定对网络资源的入侵(黑客)或确定安全漏洞,Cisco提供了NetRanger
™ 和NetSonar ™ 工具用户活动审计。
- 弱点扫描和网络映射系统
- 识别和分析不断变化的网络中的安全脆弱性(主动软件)
- 业界领先的技术
- 主人和设备识别
- 灵活的报告
- 定期扫描
- 实时入侵检测和响应
- 发现和阻止发生在网络上的未经授权的活动
- 业界领先的技术
- 可扩展分布式操作
- 高性能
- 快速重新配置Cisco ACL来关闭入侵者
随着最终用户工作站增加处理能力和采用新的应用,对网络资源的要求也提高了。网络应付这些新要求的能力需要有特定的功能,来解决更大带宽、向新技术发展、更快的性能等的需求。诸如应用敏感联网、IP组播和可管理性等特性解决了部分这些问题,然而,还需要其他功能。Cisco通过提供以下特性而解决了这些问题:
通过在配线间和分配/核心之间,以及在分配/核心和服务器组之间提供最高16
Gbps的连接,快速/千兆以太通道技术给网络管理员提供了可扩展的网络带宽,如图16和17所示。
图16.
快速以太网
/
千兆以太网带宽升级图
16字
:
交换机以太网
交换快速以太网
快速以太通道
交换千兆以太网
千兆以太通道
*全双工速度
升级路径:提高速度
*
图17.
快速以太通道 服务器
NIC
合作伙伴
图17字:
企业服务器
网络接口卡
配线间部署中可扩展性的另一个特性是各端口的协议过滤。端口协议过滤根据最终用户工作站所支持的协议自动分割协议通信。端口协议过滤根据以下协议准则来分割通信业务:
- IP广播域
- IPX ® 广播域
- AppleTalk、DECnet、Vines广播域
图18.
协议过滤
- 自动配置:不需要人工VLAN配置
- 支持三种协议种类
- IP
- Ipx
- AT、DecNet、Vines
当工作站加电并开始向网络发送数据时,交换机将自动识别该设备上所支持的协议。根据这一信息,交换机将只转发该工作站能支持的数据包。如果工作站支持一种以上协议,它将与支持同样协议的那些设备分组在一起。
因为更多的网络接口卡驱动程序会中断CPU用于广播数据包,通过只将数据包分配到那些运行对应的协议堆栈的工作站上,端口协议过滤降低了最终用户CPU利用。通过将广播风暴和表现不良的应用限制到特定用户组,端口协议过滤能帮助解决问题。
在配线间和分配/核心实现中,在子网之间以与L2相同的速度转发通信业务的能力是一个重要考虑。通过支持每秒数百万个数据包的L3交换,网络设计可以容纳L3的固有可扩展性而不会牺牲性能。Cisco在Catalyst
5000家族中提供了多层LAN交换,IP/IPX性能高达每秒200万个数据包,而Catalyst
6000和8500家族提供了从每秒400万个数据包到15000万个数据包的IP/IPX交换。
随着网络向IP发展,支持原有协议的L3路由选择的能力给网络管理员提供了一种比较方便的移植路径,同时仍能继续对非IP应用提供可扩展的性能。具有路由交换模块的Catalyst
5500、Catalyst 6000和Catalyst 8500家族提供了DecNet、AppleTalk、Vines和其他协议支持、还提供对IPX的硬件支持。
随着企业内部网技术的应用的使用开始使公司经济革命化,提供端到端网络服务来方便这些应用的能力成为了一个战略优势。Cisco对园区网络环境提供了全面的网络服务解决方案,它能提供对成功部署新技术和应用非常重要的一些特性。这一当前网络服务提供了可扩展的网络结构,来提供诸如音频和视频会议、多媒体应用以及企业资源规划等应用。
网络服务是Cisco一直在进行的一项开发工作。通过呼叫处理和IP电话服务、Web服务器负载均衡和高速缓存、高速集成防火墙和增强安全特性以及延伸到L7的其他服务,未来服务将能实现语音和数据集成。通过将网络看作是一个系统解决方案而不是大量机箱,Cisco将继续提供当今和未来应用所需的服务。
| 特性 |
功能 |
好处 |
| 应用敏感联网 |
|
|
| 允许控制 |
|
- 在网络拥挤期间,可以将优先等级较低的应用从网络中去掉。
- 可以防止某些应用进入网络,如网络游戏等。
|
| 通信业务检测 |
|
|
| 通信业务分类 |
|
- 提供了一种机制,能快速识别关键任务应用和优先等级较低的应用。
- 提供了端到端服务质量分配。
|
| 调度 |
|
- 根据分类或政策,在网络拥挤阶段能丢弃某些数据包。
- 对关键任务应用划分优先等级。
|
| 高可用性 |
|
|
| 上行链负载均衡 |
|
|
| 每个VLAN的生成树 |
|
- 允许控制每个子网的转发路径。
- 提供简单的L2冗余技术。
|
| 快速上行链 |
|
|
| 快速端口 |
|
|
| 快速/千兆以太通道 |
|
- 到核心/骨干网和服务器的高速连接。
- 快速会聚,不到1秒钟。
|
| 热待机路由器协议 |
|
- 负载均衡用于核心分配L3转发。
- 快速会聚用于L3冗余。
|
| OSPF/EIGRP定时器 |
|
|
| 快速骨干网 |
|
- 尽量减小网络宕机时间。
- 减小了骨干网中间接故障的会聚时间。
|
| 多媒体服务 |
|
|
| Cisco小组成员协议/IGMP窥探 |
|
- 允许使用远程教学、虚拟工厂、视频/音频和可视会议、流媒体应用、数据仓库和金融应用。
|
| 与协议无关的组播(稀疏/密集模式) |
|
- 能够在LAN、WAM上广泛采用IP组播和多媒体应用。
|
| 可管理性 |
|
|
| 嵌入式RMON |
|
- 基于标准的通信业务性能,用于应用和网络业务性能分析。
|
| 交换机端口分析器(SPAN)、增强交换机端口分析器(ESPAN) |
- 将交换机端口或VLAN重新转到专用RMON或网络分析探测中。
|
- 深入分析应用和网络通信业务。
- 能够使用多种网络分析工具来进行故障排除。
|
| SNMP |
|
|
| NetFlow统计 |
|
- 能根据所使用的带宽识别应用、用户和子网。
- 不影响交换机性能。
|
| 调试/诊断 |
|
- 本身具有查找本质原因的能力,不需要使用专门的网络分析工具。
|
| 系统日志 |
- 跟踪和记录重要网络事件,其中包括配置变化、拓扑变化、硬件和软件错误等。
|
- 可以跟着整个网络的配置变化、拓扑变化、硬件和软件错误等。
- 帮助排除整个系统的问题。
|
| 基于HTTP/Web的管理 |
|
- 从具有Web浏览器的任何计算机上提供网络管理接续。
|
| 即插即用协议 |
- 自动配置快速/千兆以太通道、VLAN、VLAN中继
|
|
| 拓扑发现代理 |
|
|
| 网络时间协议 |
|
|
| 安全 |
|
|
| 端口安全 |
|
|
| 用户注册 |
|
|
| TAACS+和Radius鉴权 |
|
|
| IP允许清单 |
- 只允许特定IP地址访问命令行、系统显控台和SNMP接口。
|
- 限制只有某些工作站能访问CLI、系统显控台SNMP。
|
| IOS防火墙特性集 |
|
- 网络管理员能够阻塞某些Java应用、拒绝服务攻击、URL等。
|
| IOS 访问控制清单 |
|
- 网络管理员可以具体规定在子网、用户和服务器之间可以传输哪些数据包/应用。
|
| MD5 路由鉴权 |
|
|
| 可扩展性 |
|
|
| 快速/千兆以太通道 |
|
- 交换机、路由器和服务器之间的高速连接,最高达到16 Gbps。
|
| 端口协议过滤 |
- 自动选择协议,这样工作站只能接收该工作站所支持的协议包。
|
- 因为不需要处理不支持的协议和他们的数据包,因此降低了最终用户CPU的处理负载。
- 通过限制协议广播风暴的范围,帮助解决问题。
|
| 线速L3/4交换 |
|
|
| 多协议路由选择 |
|
- 可扩展性能,用于IP/IPX应用。
- 便于过渡到IP。
|
|
|
技术与方案
| IT培训
| ChinaITLab网校
| 在线实验
| 虚拟考场
| IT社区
交换机产品专题 
