您的位置: 网界网 > 评测 > 正文

经典延续 持久创新——思科Catalyst 6500 Supervisor Engine 2T及6900线卡评测报告

2013年04月09日 13:02:46 | 作者:《网络世界》评测实验室 董培欣 | 来源: | 查看本文手机版

摘要:评测亮点: 高性能全特性的40G以太网支持 灵活强大可媲美防火墙的安全组策略 全面无损可任意叠加的安全加密方式 业界领先的应用可视化支持 高可靠可延续的网络虚拟化

标签
思科
6500
评测报告
6900线卡
Supervisor Engine 2T

时间能够酝酿经典,历史可以铸造永恒。在历经十多年的网络应用洗礼之后,思科Catalyst 6500(以下简称6500)无疑业已成为了交换机中的一款经典。然而随着时光的流逝以720系列引擎和6700系列线卡为代表的上一代Catalyst 6500在应对日新月异的网络应用需求时,也已经开始力不从心了。为此思科打造出了全新Catalyst 6500 Supervisor Engine 2T(以下简称Sup 2T)管理引擎及配套的全新6900系列线卡,在性能和功能上进行了大量的增强和创新。

思科Catalyst 6500 Supervisor Engine 2T

业务需求新挑战

随着大量的终端移动化/多媒体视频协作/云计算[注]数据中心/桌面虚拟化的出现,企业IT网络边界已经消失。企业网络无边界化之后,对IT平台的发展规划/运营管理提出了新的挑战:如何对园区网[注]中的应用进行管理,如何保障无边界网络环境下的业务安全,如何保障云环境下的业务性能和应用体验,如何简化IT架构,提升运营效率,快速部署新业务,提升企业生产力?思科全新Catalyst 6500系列就是为解决用户面临的挑战而设计,满足用户在无边界云网络环境下的业务需求。下面是一些思科Sup 2T管理引擎及线卡的简单功能概述:

Sup 2T 集成了2T 比特的高性能交换矩阵,配合最新线卡可在所有 Catalyst 6500 E 系列机箱内实现每个插槽 80 Gbps (双工160Gbps)的交换容量,其转发引擎能够为2层和3层服务提供高性能转发。Sup 2T 在安全、服务质量 (QoS)、虚拟化和可管理性等领域提供了许多新的基于硬件的创新,其丰富功能集增强了传统 IP 转发,2层和3层多协议标签交换(MPLS)VPN,以及VPLS等应用。同时提供了可扩展的性能、智能和大量的功能,以满足无边界网络、数据中心和服务提供商网络的需求。作为业界唯一真正为企业园区网量身定做的核心交换平台,新一代Catalyst6500旨在提供以40G以太网为代表的高速业务支持的同时,更可以满足企业用户的移动互联支撑,视频交互,灵活安全控制,应用可视化等复合需求,打造下一代高可靠企业园区网。

 

全向的业务性能考核

想要使6500重新焕发青春,依靠的就是能兼容所有6500-E系列机框的全新SUP2T引擎及6900系列线卡。为此《网络世界》评测实验室与思博伦通讯协力,在思博伦概念验证实验室(SPOC)中,采用其TestCenter测试仪表,依据RFC 2544、RFC 3918等测试规范对6500E+Sup 2T+6900线卡进行数据包转发速率及延迟的基础测试,再在加载不同网络协议及大路由表、MPLS/VPLS并叠加MacSec加密特性,安全组策略条件下和灵活Netflow及VSS环境的数据包转发速率、时延情况分别进行了验证性测试。通过测试结果的对比分析,相信大家可以重新认识,全新Catalyst 6500超越传统核心交换机的功能体系。单纯的吞吐量和二三层转发指标的提升已远不能满足园区网复杂应用的需求,综合业务支撑能力是下一代园区网需要考虑的重点。Catalyst 6500的优势正是在于,保持主流交换性能同时,延续思科交换机园区网特性丰富的特点,并通过芯片级别的本质提升,为园区网提供移动互联,视频交互,应用可视化,安全传输和高可靠性等综合业务就绪的理想平台。

图1:思科Catalyst 6500 Supervisor Engine 2T网络性能测试拓扑

图2:思科Catalyst 6500 Supervisor Engine 2T VSS与HA性能测试拓扑

40G 转发业务性能的提升

6500是最早一批支持园区网业务应用的交换机产品,为园区网及企业网网络建设的搭建立下了汗马功劳。那么当40/100G以太网标准在2010年发布后,新一代Sup 2T及6900线卡可否进行有效的支持呢?环顾业界,6500几乎是唯一针对企业园区网所设计的40G交换平台,其他类似产品无一例外都是针对企业数据中心。为此我们首先对6500 Sup 2T和6900线卡的网络转发性能进行了基础测试。

在本项测试过程中,我们首先为Catalyst 6500在IPv4协议下加载了25万条BGP路由,(在IPv6协议下加载的为12万条BGP路由),然后使用TestCenter测试仪表上8个万兆测试端口,将其与6500机框上的单槽位6904四口40G线卡所接出的8×10G接口连接,并进行双向全双工的RFC2544规范测试。(测试拓扑参见图1)为了提高验证测试的效率,在思科工程师的认可下,我们所有性能测试项目均采用在丢包率测试情况下,对传输速率和无丢包条件下的时延性能指标进行记录。在进行单机测试的同时,我们还对6500双机双槽位16个万兆接口通过两个40G接口互联后进行MPLS穿越时的数据包转发性能进行了比对。(测试结果参见图3)

图3:思科Catalyst 6500 Supervisor Engine 2T网络层数据包转发性能

图4:思科Catalyst 6500 Supervisor Engine 2T网络层时延性能

6500 Sup 2T在8个万兆网络接口双向数据包转发性能测试中,其转发速率在IPv4协议时可以达到59878008.48PPS。IPv6数据包转发时,数据包结构比IPv4复杂,需要更高的转发处理性能,6500 Sup 2T在IPv6网络中加载大容量路由协议后,依然可以保持在29895784.58PPS的转发性能。在512字节(IPv4 256字节)以上的数据传输中6500 Sup 2T均可以0丢包的实现线速传输。这样的传输速率在完全可以满足当前网络中数据包转发性能需求的同时,也有效的保障了网络传输带宽的应用需求。而其小于13微秒的网络时延更加有效的保障了网络传输的应用性能。可以使用户在减少非必要性的网络硬件资金投入情况下,有效提升网络应用带宽,达到向40G网络转移的目的。而6500新提供的6900 40G网络接口板卡,还可以实现双40G接口的40G—4×10G网络接口复用,从两台6500在MPLS协议连接数据转发性能可以看出,两台6500通过一对40G网络接口互联后,使得接口带宽与转发速率得到了成倍的提升。在方便了用户采用更加灵活的10G与40G网络接入方式的同时,也可以更加便利的提升用户整体网络接入带宽与网络应用处理性能。

实拍6904 40G网络接口模块

 

防火墙余辉的熄灭者——SGT/SGACL

在现阶段园区网及企业网的网络应用中,仅凭借单纯的网络带宽提升的已经无法满足实际网络综合业务应用的需求。我们还需要对这些网络业务流量进行可靠的管理。目前国内在很多企业园区网中,这部分业务需求还是采用防火墙下发ACL管理策略的方式来进行的。在需要增添附属的防火墙硬件设备的同时,还增加了新的网络故障隐患。同时在网络设备的管理上也变得更加的复杂。

在交换机中附带安全管理策略并不是一个新出现的功能。ACL早已成为园区网交换机标志性功能之一。然而防火墙的身影依然在当前企业的网络架构中,始终挥之不去。尤其是当无线网络、BYOD[注]设备盛行之后,企业网络应用的安全管理复杂性就越发成为了网络管理者的心病。由此看来,在现阶段的网络管理中,需要一种更加智能化的高效率访问控制管理方式才可以满足用户当前的网络管理需求。

安全策略需要如影随形

那么可否设计出一种“如影随形”的智能网络访问控制管理方式呢?为此,思科在新的Catalyst 6500 Sup 2T管理引擎及6900系列线卡上新增设了通过ASIC实现的SGT(安全组标签)与SGACL(安全组访问控制列表)功能。

要想实现“如影随形”的访问控制,最简捷的方式就是通过交换机ASIC芯片为用户的流量打上标记,并在后续的转发控制中依据该标记来执行动作,思科把这种安全标记称为SGT。这样无论用户是从外网,还是从内网的不同区域进行访问均可以迅速对用户身份进行判断并标记对应的流量,再依据相应管理权限进行管理,对应的安全管理策略称为SGACL。SGT和SGACL的灵活应用能改变当前基于IP地址的传统ACL复杂部署方式,用户不再需要在每台交换机上依据源目的地址等元素进行大量的ACL手工配置,而是通过思科ISE(身份服务引擎)根据用户身份验证来实现SGT/SGACL的动态绑定和下发,极大简化了安全管理部署,结合ISE的丰富特性,更能真正实现任何时间,任何地点,任何设备的无边界网络智能安全管理目标。

当Sup 2T及6900线卡开启SGT和SGACL功能后,凭借其基于ASIC的强大处理能力,可以依据用户、接入点、接入设备类型等规则设计自动的为用户流量打上相应的安全组标签。安全组标签十分小巧,仅需要4个字节的长度,并且完全在硬件层面处理完成,因此在网络数据转发过程中,几乎不会对数据转输性能造成影响。

在实际验证测试中,我们通过不同的路由地址发出标有不同SGT标记的数据报文,并对这些数据报文通过SGACL进行统计分析。测试结果表明,6500在开启SGACL后,数据包丢包率为“0”,使能SGT/SGACL之后没有影响正常业务转发性能。并且可以及时准确的对SGT标记源目标进行分析并按SGACL的规则进行归类。(摘录SGT命令行显示如下:)

CNW.6506.S2T.VSS#sho cts role sgt-map all

Active IP-SGT Bindings Information

IP Address SGT Source

============================================

12.12.12.12 1212 INTERNAL

12.45.0.0/24 1245 CLI

12.45.0.254 1212 INTERNAL

12.49.0.0/24 1249 CLI

12.49.0.254 1212 INTERNAL

100.1.1.1 1212 INTERNAL

IP-SGT Active Bindings Summary

============================================

Total number of CLI bindings = 2

Total number of INTERNAL bindings = 4

Total number of active bindings = 6

为用户的数据流进行SGT标记只是基础,我们还需要为不同SGT的用户进行不同的访问权限管理。在这里就需要应用到Sup 2T及6900线卡的SGACL功能了。SGACL功能把普通ACL和用户SGT关联起来,可依据SGT对用户访问请求进行有效的安全策略管理。我们通过SGACL的管理容量表了解到其可以支持至少32000条SGACL的策略管理。

极小的SGT字节长度和大容量的SGACL策略管理的有效结合,形成了Sup 2T高效精准的网络接入管理策略。凭借此策略,无论用户是在任何地域,采用何种接入方式连入网络,网络管理者均可以对用户真实身分进行准确判定,并高效的按不同组别进行不同权限的分类管理,从而达到了安全策略如影随形的接入管理效果。自此,网络管理者将无需再通过防火墙进行复杂的网络安全策略管理。在Catalyst 6500上,SGT和SGACL既可以通过手动配置实现,更可以通过思科ISE动态下发,是安全园区和BYOD解决方案的重要组件之一。

 

传输安全性的可靠保障——MPLS、VPLS叠加MACSec加密测试

在企业园区网的网络业务应用中,不但需要对用户网络接入权限进行管理,还需要对网络传输的安全性及可靠性进行保障。在这方面,以往通常是由独立的VPN(虚拟专用网)产品或防火墙上附带的VPN功能进行实现的。

然而在以往的高可靠性网络业务数据传输时,无论是采用IPSec VPN还是SSL VPN技术,均有两个问题始终无法回避:一、接入匹配方式复杂,需求在客户端进行复杂的网络接入设置,在多用户应用时无法很好的进行管理。二、传输效率低下,VPN的数据传输性能只有网络传输性能的几分之一,用户在实际应用时,要不需要多购置VPN网络设备,要不只能忍受低传输速率对企业业务的影响。

为了解决此类问题,思科将在城域网发展成熟的三层VPN数据传输技术MPLS(多协议标签交换)功能同样引入了全系Catalyst 6500之中。通过LSP(从源端到终端路径上的结点标签序列)将私有网络的不同分支联结起来,形成一个统一的网络。MPLS的支持优势在于:支持不同分支间IP地址复用的同时,还可以支持对不同VPN间的互通控制。

为了更好的将不同地域分支机构网络进行整合,新的Catalyst 6500在支持MPLS的基础上,又增添了VPLS功能。VPLS支持点到点、点到多点、多点到多点的业务类型,能够在较大网络规模下支持电信级以太网服务实现二层虚拟化。这样即便网络用户所处在于不同的地域,但可以将所有网络整合在一起,最大限度发挥网络整合、统一应用、统一管理的功效。

然而不论MPLS还是VPLS虚拟化方式都不能避免另一个问题存在,在异地跨公网进行以太网数据传输时,数据有可能被第三方截获,造成信息泄密。为此,思科将业界最新的MACSec(802.1ae)二层加密技术引入到Catalyst 6500的SUP2T引擎及6900线卡之中,通过在二层上对所有以太网数据帧进行加密封装,在传统以太网上实现媲美光网络的传输安全性。由于MACSec是通过专用ASIC实现,这样在保证网络传输吞吐量和延迟不受影响的同时,又使网络数据传输的安全性得到了有效保障。

在实际测试中,我们抓包截取了经过MACSec封包传输的数据包文件,在进行查看时,由于MACSec封包无法拆解,因此抓包文件无法进行正常查看,仅能看到源目的MAC地址,其后所有信息皆为密文。

在增添如此多虚拟化及安全传输功能后,Sup 2T及6900线卡在数据传输性能上是否有所减弱呢?为此,我们又一次对Catalyst 6500的传输吞吐量和延迟进行了对比测试。

在本项测试中,我们将两台6500交换机上分别安装了一块6900 8×10G接口卡与一块6908 2×40G接口卡。两块6908 2×40G的4个40G接口互联,以便同时对两台交换机间的数据转发处理性能进行测试。在测试仪表上采用16个万兆网络测试接口分别与两台6500交换机上的两块6900 8×10G接口卡上的8个10G网络接口连接。两台6500的40G以太网接口对联并且使能MACSec加密处理,同时作为MPLS传输接口。

在测试过程中,我们分别对两台6500采用两对40G接口双向互联的数据包转发性能及加载MPLS协议、加载MPSL+MacSec、加载VPLS协议以及加载VPLS+MacSec的转发性能进行了测试。为了有利于直观进行分析,我们将数据包转发速率转换成了流量转发速率并列表进行对比。由于测试项目较多,我们只节选了256Bbye、512Byte和1518Byte三组结果进行了对比。

测试结果表明,使能MPLS前后的40G以太网转发速率差别很小,使能VPLS之后转发性能为正常速率的一半。在MPLS和VPLS环境下再开启MACSec功能后,吞吐量和延迟几乎没有明显损失, 1518大包的数据流量仍然可达到144.7Gbps,其中还包括MPLS封装和MACSec封装对包长的影响。要知道,两对40G接口即便在不丢包情况下,在1518字节下的最大数据[注]传输流量也仅为147.8Gbps左右。而6500在加载上述功能后的网络处理性能始终没有显著下降,并且网络时延的测试结果也比较一致,由于是对两台6500设备进行测试,总时延结果有成倍提升,但看不到叠加业务后的明显损耗。由此,我们了解到了新的Catalyst 6500 Sup 2T管理引擎及6900线卡在应对网络高可靠性数据传输时,可以具备如何出色的综合业务处理能力。这些特质归功于思科园区网交换机更加注重丰富功能特性与传统转发性能的平衡,而不是盲目攀比传统交换指标。

 

网络管理的延伸——Netflow

在当前园区网及企业网的网络流量管理中,有成百上千的不同类型应用,在网络中产生各种不同特征不同规模的流量。还有大量的需求各异的用户,从不同的设备、不同的地点、不同的时间使用各种不同的网络资源,这些应用还在不断的变化,难以预判和把握。由此而来的网络流量剧增,对网络容量规划提出了新的挑战。以往通过源端口、目的端口、源地址、目的地址和服务类别的进行流量分析管理的方法,也越来越无法满足目前网络流量分析管理的实际应用需求。

如何知道当前网络部署是否能满足园区网应用需求以及找到网络流量瓶颈所在(+本站微信networkworldweixin),成为广大IT管理人员面临的头号难题。其次,IT管理人员需要掌握的远不止是流量大小而已,他们还可能需要跟踪用户行为,应用类型,网络流量构成,流量特征,流量分布等。各种802.1x,mpls,视频多播,语音,游戏以及IPv6流量等都会成为他们的关注目标。并且他们还需要让这些关注内容可视化,可管控。

对于上述挑战,当前的普遍应对方式是使用网络交换机内置的传统Netflow特性,对流量分布进行解析和导出,再通过图形化软件进行解读与分析。但随着应用复杂度的增加和交换机T比特时代来临,传统Netflow已经远不能满足应用可视化的需求。传统Netflow实现方式提供的Netflow缓存一般较小,处理效率很低,不能满足网络流量激增的需求。

针对新一代企业园区网对应用可视化的强烈需求,以及传统Netflow的各种不足,思科在其不同企业网平台上都部署了新一代灵活Netflow技术(Flexible Netflow),能够对应用可视化提供强大的支持。IT管理者可以根据实际需求,灵活选择需要分析的应用类型和关注的数据元素,借助远超过IP七元组的丰富信息元,来达到分析用户行为,应用类型,应用流量分布,不安全流量监控等多种目的。并且6500上新增了分布式Netflow缓存功能,每张线卡可提供的Netflow条目数高达512K-1M条,整机累计可达12M条Netflow记录。

在本项测试中,我们加载了50万(512000)条以上的Netflow条目,并对其网络层的处理速率和时延进行了测试。

由于Netflow通常应用在关键业务上,因此我们仅用一对6500的一对10G接口双向Netflow处理性能进行了测试。在测试时,Sup 2T从128Byte到1518Byte的吞吐量始终保持在100%,时延的平均结果在20微秒以内。由测试结果可以看出,Sup 2T的Netflow处理能性依然出色,在高速抓取五十万条Netflow记录的同时,设备吞吐量和延迟几乎跟没有开启Netflow的时候基本保持一致,无论是数据包处理性能还是网络时延全都可以高性能的胜任当前网络业务应用处理的需求。

 

瞬息切换,业务无忧——VSS与HA

虚拟化与云计算是近年来网络技术的新热点。谈到交换机虚拟化,可能会令人产生一种高端、复杂的感觉。但实际归纳下来无外乎以下三点:集中管理、业务分布、核心傻快。在一个虚拟化的云计算网络中,所有网络交换设备均可以被虚拟成为一台设备,并集中统一的进行管理,网络业务的分析、转发、处理工作则更多的交给处于网络边缘的接入/汇聚层网络交换设备去完成(当前6500已经处于此类位置之中)。核心层网络设备的作用,就是将这些边缘的接入/汇聚层网络交换设备进行连接,高性能的进行数据转发。在一些小规模的网络应用场景中,核心层甚至由一根网线就可以进行替代。这样做的优势在于,可以使整个网络的业务处理能力、接口带宽和高可靠性可以得到成倍的提升。

Catalyst 6500无疑是业界虚拟化技术的先驱者,早在2008年一月就正式推出了VSS虚拟交换系统解决方案,也成为后续很多类似虚拟化技术的借鉴。在新的Catalyst 6500 SUP2T平台上,VSS技术又有怎样的表现呢?为此,我们对全新6500 SUP2T和6900线卡在开启VSS功能下的网络业务切换及高可靠性功能进行了测试。

思科虚拟交换系统VSS是一种典型的网络虚拟化[注]技术,它可以实现将多台思科交换机虚拟成单台交换机,使设备可用的端口数量、转发能力、性能规格都倍增。可将两台物理的6500整合成为一台单一逻辑上的虚拟交换机,从而可将系统带宽容量有效进行扩展。在新的Catalyst 6500 SUP2T平台上,VSS可以支持到整系统4T交换容量,也称为VSS 4T。

首先,我们验证了在VSS功能下,两台6500的集中管控功能。在开启VSS功能后,两台6500被集成为一台虚拟交换设备,可以在一个控制界面中对两台设备进行统一的集中管理。业务功能由于上面已经进行了大量测试,虽然不用再过多分析,我们还是在同时利用128字节、500000pps的单播和组播两种不同数据流来当做背景流量,来测试6500在拔插光模块、拔插机框主引擎、关闭主机框电源以及软件升级情况下,6500的高可靠性处理性能。测试结果如下:

通过50万数据包每秒的单播及组播数据转发,我们可以很容易的利用丢失数据包的个数,计算出在网络出现不同问题时,6500的高可靠性性能。

由于在6500上不仅是进行数据包的转发,还需要对网络业务进行分析处理,因此利用单播数据流和组播数据流同时进行测试不但可以对6500在数据转发时的高可靠性进行测试还可以对6500在进行网络业务处理时的转发性能同样进行评估。由测试结果我们可以了解,在链路故障(拔掉接口光模块)、控制引擎故障、电源故障和交换机系统升级等条件下,6500的VSS高可靠性切换时间始终保持在毫秒级别,大部分都保持在50ms以下,在引擎故障时,甚至可以做到无延迟切换。这些都得益于SUP2T所独有的四引擎无缝切换特性Quad-Sup SSO及全新的VSS下ISSU支持。在实际测试中,我们尝试了陆续拔插多个引擎卡,均保持了50ms以内的业务收敛时间。这样的高可靠性业务保障能力可以极大限度的提升用户的网络应用可靠性,有效的保障了用户网络业务的正常应用。

 

延续十年经典 开创全新时代

通过对思科新一代Catalyst 6500 Supervisor Engine 2T管理引擎及6900新一代线卡的测试,我们了解到Sup 2T系列的的高性能交换矩阵,为6500带来了更高的网络可接入带宽,全新的ASIC设计提供了丰富业务管理、转发和控制功能,可以为用户提供更强大的高安全性、高可靠性的网络传输服务。其进一步完善的VSS功能又可使老的6500系统轻松获得双倍性能提升和更高可靠性的升级换代。Sup 2T这朵新“花”可以说是为6500这颗老树带来了第二次青春,使其重新发出了诱人夺目的光采。而且即便未来用户的网络业务应用再次扩展,现有6500遭遇带宽瓶颈的时候,用户的网络应用业务也可以轻易的迁移到将来的Catalyst 6500机框引擎和线卡上去,薪尽而火传。

完善而可靠的架构设计,成就了Catalyst 6500交换机十余年的经典。用户网络业务的可持继发展扩容铸造了其永远流传的永恒。而成就这一切的是思科超越同类的网络技术前瞻性。跨越性的40G网络接口转发,灵活智能的安全组管理策略,安全高可靠性的MPLS、VPLS数据传输通道,文件内容级别的Netflow内容管理,再加上高安全性、高可靠性的VSS与HA功能设计,组成了全新的Catalyst 6500网络解决方案。正是这一系列开创性的网络业务应用管理方案,奠定了思科无可动摇的网络技术领导者地位,而唯有技术领导才可使产品永恒屹立!

参考资料

1.BYOD:(Bring Your Own Device)是指携带自己的设备办公,这些设备包括个人电脑、手机、平板等,使用者可以不受时间、地点、设备、人员、网络环境的限制登陆到公司网络,并进行工...详情>>

2.网络虚拟化:是能够实现网络资源动态调配、动态管理的技术。基本上分成两个部分:其一是网络基础架构本身的虚拟化,比如原来单一的网络可以虚拟化成多个网络,原来多个单一的网络单元也...详情>>

3.园区网:(Campus Network)泛指企业或机构的内部网络,路由结构完全由一个机构来进行管理,组网上与广域互联、数据中心相连接,其核心是员工、合作伙伴等访客的网络接入、数据交换...详情>>

4.云计算:(Cloud Computing)描述了一种基于互联网的新的IT服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。云计算是继1980年代大型计算机到...详情>>

5.大数据:(Big Data),研究机构Gartner给出了这样的定义。“大数据”是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。 ...详情>>

[责任编辑:董培欣 dong_peixin@cnw.com.cn]