Catalyst 6500系列Policy Feature Card(2)

通过丰富的特性集提供每秒数百万个数据包的服务器负荷平衡。
高级服务器算法－－简单的会话连接数量、加权的服务器数据访问百分比、最快的服务器响应可供网络管理员进行配置。
透明的维护能力－－通过使用虚拟服务器地址，服务器可以随时离线，而不影响系统对最终用户的服务。
安全性－－当与LD一起使用时，PFC的高级安全特性能够根据IP地址或IP端口号过滤数据流，进而为数据中心服务器提供一个安全的环境。

图2 Catalyst 6500系列PFC启动加速的SLB

SLB将通过Catalyst 6500系列的简单软件升级提供，而无需对现有的LD或服务器进行任何改变。

通过PFC提供安全和带宽优化

除以前描述的高级QoS特性之外，PFC还在一个子网内提供以前仅在穿过路由器时才可用的丰富安全功能。传统上，防止2个主机之间流量（例如FTP）的能力要求主机位于不同的子网或VLAN内，其中安全策略通过标准或扩展的访问列表实施在路由器上。现在，PFC能够通过配置在Catalyst 6500系列交换引擎上的简单访问清单在子网内实施这些特性集。除这些功能之外，还包括传统上在Catalyst 5000系列上支持的功能，例如协议过滤、Internet Group Management Protocol(IGMP) Snooping和multicast packet replication。

高级安全特性

带有PFC的Catalyst 6500系列系统能根据在子网或虚拟局域网（VLAN）内定义的安全政策访问列表执行基于硬件的过滤。该特性能使Catalyst 6500系列交换机智能地控制广播流量，提高网络总体性能，并过滤可能被误导的数据包，同时保证公用子网上用户之间的安全。

方案1－－虚假的DHCP服务器

动态主机配置协议（DHCP）请求使用与引导协议（BOOTP）相同的包结构，并由客户机广播。第一个响应客户机广播请求的服务器成为客户机与之协商，租用IP地址的DHCP服务器。当虚假的DHCP服务器在一个VLAN或子网内运行时，可能会出现问题。当一个不知道的用户启动NT Server并打开DHCP服务时，可能出现这种情况。这时，存在终端站与该虚假的DHCP服务器协商地址并获得错误或重复地址的可能性。目前，转发DHCP请求的唯一目的地在路由器的接口上。这使虚假的DHCP服务器问题的范围仅局限于一个VLAN内，但是该VLAN内的所有用户仍然可能受到影响。最终结果是网络基本停机，直到虚假的服务器被发现并从网络中删除。该问题可以通过利用基于VLAN的访问控制列表（VACL）来解决。通过VACL，仅允许特定DHCP服务器的响应，其他响应将被终止。

假定正式目标DHCP服务器的IP地址为1.2.3.4。VACL配置将仅允许目标服务器的响应被交换到客户机。

图3 限制地址误配置的范围

方案2－－约束广播过度传播

当在一个交换环境中打开基于非IP多Multi-cast(IP UDP广播)的多路传输应用时，所有流量将被过度传播到VLAN或广播域中的每一个节点。一般情况下，仅一个终端用户子网需要观看数据。通过VACL，这些应用的广播包可以只被发给相应的应用服务器端口。

假定使用A的应用系统UDP 5000端口在VLAN上广播数据包。通过VACL配置，来自A的所有广播数据包将被重新交换到目标应用服务器端口，所有其他端口不会收到数据包。

方案3－－在一个VLAN内提供安全机制