学院首页>冲浪宝典>IP通信>万兆狂飙Supervisor Engine V-10GE测试

万兆狂飙Supervisor Engine V-10GE测试

作者:荣钰 来源:《网络世界》 添加时间:2006-5-26 11:35:52

跨模板的EtherChannel高效冗余
Catalyst 4507R能够在EtherChannel跨接口板的情况下保证快速切换和根据源/目的MAC/IP地址、第四层端口号提供EtherChannel端口间的负载均衡。测试结果显示,在发生链路中断时的切换时间都在0.5秒到0.6秒之间。更值得关注的是,由于一组EtherChannel的端口分别在两个接口板上,拔掉其中一块接口板,流量也会迅速切换到另一个激活中的EtherChannel端口上,这一点非常难得。

抗攻击维持正常工作
我们模拟了500个VLAN和10000个PC的万兆线速通信,两个千兆端口上模拟了共12000条OSPF路由,线速的千兆流量。然后分别进行了转发表溢出攻击、针对一个地址的ARP攻击和针对一个网段主机地址的ARP攻击,以及TTL标志位为1的攻击。基于拓扑转发Supervisor Engine 10GE面对前三个攻击岿然不动,CPU占用率很低。后一种攻击虽然使交换机CPU占用率达到了99%,但是交换机软件的良好调度机制仍旧保证了交换机能够维持二层转发,并在总计12000条路由拓扑环境下维持路由协议的正常交互,以及100%千兆流量的正常转发。

更安全
IP地址的分配、IP和MAC地址的正确映射是维护整个IP网络稳定运行的基础。Catalyst 4507R新的软硬件设计加强了对此的安全防护。

我们重复了曾经在《网络边缘剿杀战》中测试过的DHCP Snooping、Dynamic ARP Inspection结合防范广播域中间人攻击的功能,以及利用DHCP速率限制防止对DHCP服务器处理资源的DoS攻击。此次的重点在于验证交换机DHCP Option 82功能特性。通过抓包发现,在交换机启动DHCP Option 82功能后,经过交换机的DHCP请求数据包的Option 82位上会标记出PC接入交换机的位置信息,这可以帮助网管员进行计算机定位。凭借这一信息,配合DHCP服务器的规则设定可以从接入交换机某一端口发出IP分配地址请求的数量,从而防范DHCP服务器地址池耗尽攻击。

我们还在Catalyst 4507R的万兆端口上设置了4000条ACL,交换机仍能以线速转发数据包。据介绍,Supervisor Engine 10GE可以支持多达32K的硬件ACL。

更智能
NetFlow处理模块成为Supervisor Engine 10GE的默认配置,看似小小的变化却为新引擎带来了最大的智能提升,对流的识别和自动做出的反应是Catalyst 4507R智能特性的最大亮点。

2/3层NetFlow发现攻击
我们重复了在《网络边缘剿杀战》中提到的检测三层流量,发现蠕虫病毒攻击的测试。还在一个广播域内模拟了一个攻击行为,交换机同样配合NetFlow收集器及时发现了攻击,从而将安全防护引入到广播域内。

高性能NetFlow处理引擎
我们还验证了Supervisor Engine 10GE支持的NetFlow处理模块可以记录128K的流量信息,而且能够线速采集网络中的流信息。交换机可以以最短为1分钟的时间间隔向收集器发送NetFlow采集信息,这一过程中CPU占用率不高。测试结果意味着,一旦网络中出现蠕虫病毒或者攻击行为,NetFlow都会及时准确地发现、记录、汇报异常流量的情况。

配合NetFlow实现每用户流量控制
Supervisor Engine 10GE可以基于对NetFlow信息的统计结果,动态地学习流并对每个流进行自动的流量控制。测试中交换机一侧模拟的10台服务器,到另一侧1000台PC的流量限制在2Mbps,每台PC访问服务器的流量限制在500Kbps。只需要三条命令,交换机就会自动根据PC和服务器之间通信的流信息,自动进行流量限制。而通常情况下以基于IP的ACL进行限制为例配置的工作量是1000倍,且灵活性、扩展性不好。

智能流量控制
在一个拥塞的上联链路,通常设备都会根据数据包的高低优先级进行丢弃,但是在同等优先级数据包之间,交换机会如何处理呢,特别是假如蠕虫病毒发送出假冒的高优先级数据包拥塞了交换机之间的链路呢?我们测试思科的DBL(Dynamic Buffer Limiting),它能够根据智能地选择丢弃数据包提供更合理的QoS服务。

Catalyst 4507R和Catalyst 4948交换机利用千兆链路连接。测试仪发送高优先级数据包使千兆链路拥塞,我们跨越拥塞链路远程管理Catalyst 4948(同样为高优先级数据包)。在未启用DBL时,交换机会随意的丢弃数据包。启用DBL之后,交换机会对测试仪模拟的持续稳定高带宽消耗流量进行丢弃,让网管流量率先通过。

更高速
我们进行了万兆到千兆的部分网状通信(一个万兆对10个千兆)的测试。在三层转发测试中,共有66万条流,交换机能够以59522897pps的速率转发数据包。

测试亮点

  • 无缝切换确保高质量语音视频通信。
  • 自力更生抵御中间人、DHCP等多种攻击 。
  • 自力更生监控流量、发现攻击,减缓网络攻击的影响。
  • 支持万兆、高密度千兆下的高性能数据转发。(Z101)

    与网友交流交换机采购经验

    第 2 页,共 2 页 [1] [2]
    • 上一篇:网吧不同线路接入服务器解决方案
    下一篇:Cisco Catalyst 4500系列之:线卡
    站内搜索