图像变型是高可用性特性的第二个要素。这一特性依赖于需要有双监控配置中所允许的高可用性。这样,它允许在当前活动和待机监控上运行不同但兼容的图像,从而抑制缺省监控图像同步过程。通过使用高可用性特性的状态监控切换,这一特性使得能“快速”进行监控软件版本升级。这一过程被叫做“免点击软件升级”,但是,在实际使用中,需要少量点击(在3秒以下)。这不仅能升级软件而不需要进行重新自举引导,还能在待机监控上保持以前使用过的和经过测试的版本,万一软件升级发生什么问题,可以用保留的版本恢复。
MSFC冗余
多层交换机特性卡2(MSFC 2)路由选择引擎是监控引擎上的一个可选子板。冗余监控硬件配置也能包括冗余MSFC 2路由选择引擎。这样,适当操作监控引擎是适当操作监控引擎的基础。监控复位或故障切换也使MSFC路由选择引擎复位。
尽管CatOS高可用性特性维持了冗余监控之间的协议状态,热待机路由选择协议(HSRP)需要配置为冗余MSFC之间的故障切换。HSRP被用来提供第一段、组播冗余。需要在两个MSFC上为要求第一段冗余的每个虚拟LAN(VLAN)配置HSRP。在双路监控引擎和MSFC配置中,两个MSFC都是当前活动的路由器。因此,通过使用路由选择引擎之间的轮询机制,MSFC之间的HSRP的工作过程与物理上隔离的HSRP中的工作过程相同。有关HSRP的更详细的情况,可以在Cisco.com上的《Catalyst 6500家族软件用户指南》中获得。
在MSFC IOS 软件发布12.1 (3a) E4以前,每个MSFC必须分别配置。更具体地说,诸如访问清单、服务质量特性等配置参数必须在两个MSFC上用完全相同的方式单独配置。不能复制的那些参数(如IP地址和HSRP设置等)仍然必须在每个MSFC上不同配置。
另外,在本软件发布以前,FlexWAN模块的接口只属于指定的MSFC,这意味着这些接口不能出现在非指定的MSFC配置中,因此不能在非指定的MSFC上进行配置。在监控/MSFC故障切换时,成为新的指定MSFC的那个MSFC将没有适当配置的FlexWAN接口。鉴于此原因,在安装了FlexWAN模块后,不支持冗余监控/MSFC配置。MSFC配置-同步特性消除了这一限制。因此,在激活了配置-同步特性后,冗余监控配置现在可以支持FlexWAN。
从MSFC IOS R12.1(3a)E4中,具有一种叫做配置-同步的MSFC冗余特性,来实现MSFC和MSFC 2的冗余MSFC配置过程。这一特性使得指定(主)和非指定(辅助)MSFC的启动和工作配置实现同步。具体地说,无论什么时候当在指定MSFC上发出一个“写内存”或“拷贝源启动-配置”命令时,两个MSFC中的NVRAM中的启动配置都将更新。这使得在指定和非指定MSFC上的配置保持相同的配置而不需要人工键入每个命令两次。指定和非指定MSFC中的所有配置都是通过指定MSFC中的命令行接口(CLI)完成的。
使用双路监控与双路MSFC配置和高可用性特性更为网络设计添加了冗余水平。
通过以太通道提供的高可用性
以太通道 技术从标准单链路连接上提供了更大的带宽和冗余。一个以太通道包是一个最多有8个快速以太网或千兆以太网链路组成的小组,这一包就像交换机和路由器之间的一个逻辑连接一样。以太通道使用非常方便,因为它扩展了带宽而没有增加设计复杂性。生成树协议将以太通道包作为一个单一链路处理,因此没有引入生成树环路。路由选择协议也将以太通道包当作一个具有一个公共IP地址的单一路由接口处理,因此不需要额外的IP子网、在需要再建立额外的路由器对等关系。负载均衡由接口硬件处理。可以在监控或线路卡端口上建立一个以太通道链路,从而降低单一线路卡故障的影响。
监督
在Web托管数据中心和MAN中,现在,服务提供商有很大的兴趣通过给其客户提供10、100、1000 Mbps的以太网连接来销售增量带宽。原来在WAN和MAN中提供增量带宽的唯一方法是通过帧中继、异步传输模式(ATM)或串行连接。通过使用到数据中心托管的以太网连接,没有任何手段来以这种方式销售增量带宽,因而数据中心或Web托管“放弃”了带宽。今天,对这一问题已经有了解决方案。Catalyst 6500家族给10/00/1000 Mbps以太网连接提供了坚固的监督特性。监督是一个过程,通过这一过程,Catalyst 6500家族多层交换机限制了每一个通信业务流所消耗的带宽。监督可以加快或减慢通信业务,或者直接丢弃通信业务。
Catalyst 6500家族上以太网接口上的配置监督功能允许服务提供商根据这些连接上的不同数量来销售带宽。这一特性给服务提供商提供了一种方法向他们的客户销售带宽,并能通过交换机上的软件配置来逐步提供或升级服务。
在Catalyst 6500家族的PFC硬件上进行监督而对性能没有什么影响。Catalyst 6500家族交换机能监督以太网接口,从最低速率参数32 Kbps到最高速率8 Gbps。
监督政策配置为丢弃所有超出分布的数据包或使所有超出分布的数据包具有较低的IP优先级或特别服务控制点(DSCP)价值等。
另外,PFC2提供了各监督程序的统计,统计现实以下内容:
服务器链路的监督
服务器链路允许对每个端口、每个客户的带宽进行单独配置。超过配置带宽的通信业务将被丢弃。例如: 尽管可以用一个监督程序政策语句来定义每个服务器连接,但将以5 Mpps的速度监督服务器连接。 因为他们购买了10 Mbps,因此不对服务器连接进行监督。 尽管可以用一个监督程序政策语句来定义每个服务器连接,但将以2 Mpps的速度监督服务器连接。内容和知识产权是大多数公司所拥有的最大财产,保护这些资产已经成为一个最大的难题。安全已经不再被主要作为一种保险政策。在电子商务环境中,安全被认为使业务得以进行的基础设施。客户将越来越多地使用保密产品和服务来帮助他们极大地增加收益、交易,并且大2位数速率的客户在将成本的增加限制为1位数或较小的2位数速率。如果能成功地实现,这一策略将确保利润的增长。
Catalyst 6500入侵检测系统(IDS)模块提供了昼夜网络警戒,并分析网络中的数据包数据流、搜索未经授权的活动,如黑客攻击、使用户能在系统性能变差以前响应安全违规。当检测到未经授权的活动后,系统将向管理显控台发出报警,提供详细的活动情况,并且能动态地调整政策来切断未经授权的会话。
使用权的签名数据库和客户签名,IDS模块能检测基于上下文(只有数据包的报头)和基于内容(载荷)的攻击。例如:smurf、land、同步攻击、端口睡眠、ping没有反应等,不一一枚举。IDS模块分析捕获的数据包,将他们与签名数据库进行比较,来检测典型的入侵活动。如果捕获的数据包与规则集中规定的入侵样式匹配,则该模块向管理显控台发出一个告警并将自动响应(如果这样配置的话)。在不同的接口上发出告警,以避免暂停监视接口的连续数据包捕获。
| 共4页: 上一页 [1] [2] 3 [4] 下一页 | ||
|
相关文章
