SZAKDOLGOZAT. Berna Dániel

SZAKDOLGOZAT

Berna Dániel

Debrecen 2013

Debreceni Egyetem Informatikai Kar

A CISCO NEXUS CSALÁD BEVEZETÉSE AZ ADATKÖZPONTOKBA

Témavezetők:

Készítette:

Dr. Almási Béla

Berna Dániel

Egyetemi docens

Mérnök Informatikus

Nagy Csaba Network Architect

Debrecen 2013

Tartalomjegyzék Bevezetés .................................................................................................................................... 4 1.

A kezdetek – Cisco Catalyst 6500-as család ...................................................................... 6 1.1.

Chassis ......................................................................................................................... 6

1.2.

Supervisor Engine ........................................................................................................ 6

1.3.

Service modulok .......................................................................................................... 7

1.3.1.

ACE modul ........................................................................................................... 7

1.3.2.

Tűzfal modulok .................................................................................................... 8

1.3.3.

IPSec VPN modul................................................................................................. 8

1.3.4.

Network Analysis Module (NAM-3) ................................................................... 9

1.4.

2.

Legfontosabb funkciók ................................................................................................ 9

1.4.1.

Supervisor redundancia protokollok..................................................................... 9

1.4.2.

Virtual Switching System ................................................................................... 11

Nexus család bevezetése és bemutatása ........................................................................... 13 2.1.

Nexus 1000v virtuális kapcsoló ................................................................................. 13

2.2.

Nexus 2000 Fabric Extender ...................................................................................... 14

2.3.

Nexus B22 Blade Fabrix Extender ............................................................................ 15

2.4.

Cisco Nexus 5500 Platform ....................................................................................... 17

2.4.1.

Cisco Nexus 5548P and 5548UP kapcsolók....................................................... 17

2.4.2.

Cisco Nexus 5596UP kapcsoló .......................................................................... 18

2.4.3.

Cisco Nexus 5596T kapcsoló ............................................................................. 18

2.4.4.

Modulok ............................................................................................................. 18

2.5.

Nexus 7000-es széria: moduláris adatközpont kapcsolók ......................................... 19

2.5.1.

Chassis ................................................................................................................ 19

2.5.2.

Supervisor engine ............................................................................................... 19

1

3.

4.

2.5.3.

Fabric modul ....................................................................................................... 20

2.5.4.

Line card-ok ........................................................................................................ 20

2.5.5.

Cisco Nexus 7000 Network Analysis Module (NAM-NX1) ............................. 22

Új technológiák és funkciók az NX-OS-ben .................................................................... 23 3.1.

Konfiguráció visszaállítása ........................................................................................ 23

3.2.

VPC – Virtuális Port-channel .................................................................................... 24

3.3.

VDC – Virtuális eszközök létrehozása ...................................................................... 25

3.4.

ISSU – In-Service Software Upgrade ........................................................................ 27

3.5.

Port profil ................................................................................................................... 28

3.6.

Szerep alapú hozzáférés korlátozás (RBAC) ............................................................. 28

3.7.

FabricPath .................................................................................................................. 28

Adatközpont hálózatának önálló megtervezése ................................................................ 31 4.1.

Hálózati terv Catalyst kapcsolókkal........................................................................... 33

4.1.1.

Redundancia ....................................................................................................... 34

4.1.2.

Bővíthetőség ....................................................................................................... 35

4.1.3.

Tűrőképesség és rendelkezésre állás .................................................................. 36

4.1.4.

Kapacitás és teljesítmény.................................................................................... 39

4.1.5.

Szolgáltatások és biztonság ................................................................................ 41

4.1.6.

Kiépítési és üzemeltetési költség ........................................................................ 42

4.2.

Hálózati terv Nexus kapcsolókkal ............................................................................. 43

4.2.1.

Redundancia ....................................................................................................... 43

4.2.2.

Bővíthetőség ....................................................................................................... 45

4.2.3.

Tűrőképesség és rendelkezésre állás .................................................................. 46

4.2.4.

Kapacitás és teljesítmény.................................................................................... 49

4.2.5.

Szolgáltatások és biztonság ................................................................................ 51

2

4.2.6.

Kiépítési és üzemeltetési költség ........................................................................ 53

5.

Összefoglalás, konklúzió .................................................................................................. 54

6.

Köszönetnyilvánítás ......................................................................................................... 55

7.

Irodalomjegyzék ............................................................................................................... 56

8.

Függelék ........................................................................................................................... 61

3

Bevezetés Napjaink egyik legfontosabb szolgáltatása a felhő alapú szolgáltatás. Nagy ütemben fejlődik, az adatközpontok néhány hónap alatt akár a semmiből épülnek fel, mégis az egyik legfontosabb részük a hálózat. Mert lehet nagyon sok kiszolgálónk, számos forradalmi alkalmazással, ha nincs hálózatunk, ami ezeket az eszközöket összekösse egymással és kapcsolatot nyújtson a külvilág felé megfelelő sebességgel, megbízhatósággal, rendelkezésre állással és biztonsággal ellátva, akkor a felhő alapú szolgáltatásunk sosem nyújthat a mai elvárásoknak és igényeknek megfelelő színvonalat. Az első fejezetben a Catalyst 6500-as családot fogom megvizsgálni, hogy a Cisco univerzális eszköze milyen hardveres és szoftveres lehetőségeket biztosít illetve milyen jellemzőkkel bírnak a beállítható protokollok. Ezután az új Cisco Nexus családot fogom jellemezni, az új hardver lehetőségeit veszem át, melyik eszköztípus milyen funkciókkal, tulajdonságokkal és bővítési lehetőségekkel rendelkezik. Megvizsgálom továbbá azt is, hogy milyen hálózattervezési megoldásokat biztosítanak az új eszközök és milyen előnyökkel és korlátokkal rendelkeznek a jelenlegi modellek. A harmadik fejezetben a Cisco Nexus család operációs rendszerét, az NX-OS felhasznált funkcióit fogom megvizsgálni és bemutatni. Az utolsó fejezetben az önálló munkaként elkészített hálózati tervek kiértékelésre kerülnek. Az alább felsorolt szempontok szerint mutatom be és elemzem ki a hálózati terveket:  Redundancia, a hálózatunk rendelkezzen tartalék útvonalakkal, tartalék eszközökkel, modulokkal amennyiben az aktív komponens felmondaná a szolgálatot [2, 30. oldal];  Bővíthetőség, hogy a hálózatunk további kiszolgálók elhelyezése esetén alkalmas legyen bővítésre [2, 218. oldal];  Tűrőképesség, számos hiba esetén a hálózat kezelni tudja ezeket meghatározott időn belül, kiesés nélkül, vagy minimális szolgáltatás-kieséssel emberi beavatkozás nélkül [2, 216. oldal];  Rendelkezésre állás, megbízhatóság mérhetőségét segíti, meghatározza, hogy mennyi időt áll rendelkezésre a hálózatunk évente [2, 7. oldal];  Kapacitás és Teljesítmény (sebesség) [2, 216. oldal];

4

 Szolgáltatások és Biztonság, milyen további szolgáltatások állnak rendelkezésünkre integrált módon, mint forgalomelosztás vagy tűzfal védelem [2, 216. oldal];  Kiépítési és üzemeltetési költség: mennyibe kerül kiépíteni a hálózatot az elkészített terv alapján, és ha egy modul vagy eszköz elromlik, mekkora költséggel jár azt kicserélni. A szakdolgozat célja, hogy a Cisco Catalyst 6500-as és a Cisco új, adatközpontokba szánt Nexus család eszközeit és technológiáit megvizsgálva és felhasználva elkészítek egy-egy olyan hálózati tervet (fizikai és logikai topológia), amely a megadott szempontok kiértékelésével párhuzamot állít a két család között és megmutatja a Nexus termékek előnyét és hátrányát. Végül összefoglalom a Nexus hálózati terv jellemzőit és eldöntöm melyik hálózati terv a jobb választás, amelyet fel lehet használni egy modern adatközpont hálózataként. A Cisco Nexus hálózati terv Hozzáférési és Aggregációs rétege valós környezetben is meg lett valósítva, melynek konfigurációja a függelékbe is belekerült.

5

1. A kezdetek – Cisco Catalyst 6500-as család A Cisco Catalyst 6500-as család 1999-ben debütált, amikor az internet épphogy csak elkezdett rohamosan terjedni. A megjelenés óta számos vezérlő egység (supervisor), modul és típus látott napvilágot és a tudásbázis is hatalmas méretűre nőtt. ’Cisco saját adatai szerint 1999 óta több mint 42 milliárd dollár értékben adott el közel 700 ezer Catalyst 6500-ast, 25 ezer felhasználó szervezet számára.’ [6]

1.1. Chassis A Cisco Catalyst 6500 sorozat kapcsolói moduláris adatközpont kapcsolók, melyek jól skálázhatók 1/10/40 Gigabit Ethernet sebességekkel. A széria második (Enhanced) generációja a 6500-E család (1. függelék), melynek jelentősebb tagjai a következők: 

6513-E: 13 előlapi horizontális modul hellyel rendelkezik;



6509-V-E: 9 előlapi vertikális modul hellyel, front-to-back légáramlással és integrált kábelrendezővel [7];



6509-E: 9 előlapi horizontális modul hellyel rendelkezik és side-to-side hűtéssel.

A nagyobb sebesség és kapacitás szempontjából a 6509-E az ideális eszköz [2, 228. oldal]. Emiatt a Hozzáférési rétegbe 6509-E, az Aggregációs és Core rétegbe 6509-V-E eszközök kerültek, a 6513-E pedig nem került felhasználásra.

1.2. Supervisor Engine Legelső verziója a ’Supervisor Engine I’ vezérlő egység volt, amely legfeljebb 32 gigabites kapcsolási sávszélességgel legfeljebb 15 millió csomag továbbítására volt képes másodpercenként (Mpps). OSI modell szerinti adatkapcsolat rétegben tudott csak kapcsolni, a forgalomirányítás a processzor feladata volt. A ’Supervisor Engine II’ és ’Supervisor Engine II+’ már 18/64 gigabites sávszélességgel 30/48 Mpps tulajdonsággal rendelkeztek. Különbség a két verzió között, hogy a Supervisor Engine II+ már Cisco Express Forwarding-ra (CEF) képes, ami egy Cisco specifikus csomagkapcsolási technológia, ami felgyorsítja a csomagkapcsolást, mert a processzor helyett cél specifikus hardver végzi a forgalomirányítást.

6

Ezt követte a Supervisor 720. Ahogy a nevéből is látszik, ez már 720 Gigabit per szekundumos (Gbps) Switch Fabric-kel rendelkezik, és már VSS-re1 is képes, ami összesen 1.4 Terabit per szekundumra (Tbps) növeli a sávszélességet. A legújabb vezérlő egység, a Supervisor 2T összesen 2 Tbps, modulonként pedig 80 Gbps sávszélességre képes. Az 1. táblázat összefoglalja a legfontosabb jellemzőket: Típus

Mpps2

I II 720-10G 2T

15 30 400 720

Sávszélesség Memória/Flash (Gbps) (MB) 32 128/16 32-256 128-512/32 720 1024/64+1024 2048 2048/1024 1. táblázat

Operációs rendszer CatOS CatOS IOS IOS

VSS lehetséges Nem Nem Igen Igen

A Supervisor modulok közül a bővíthetőség, nagyobb sebesség és alacsonyabb ár miatt a 2T típust választottam.

1.3. Service modulok Minden service modul a Catalyst 6500-as család összes tagjával kompatibilis és legnagyobb előnyük, hogy nem igényelnek további helyet, tápellátást, fizikai interfészt vagy kábelezést.

1.3.1. ACE modul A Cisco Application Control Engine a Catalyst 6500-as család új generációs modulja, amely növeli a rendelkezésre állást, az adatközpont alkalmazások biztonságát és sebességét. Mindezeket úgy éri el, hogy számos intelligens szállítási rétegbeli forgalomelosztás és alkalmazási rétegbeli content-switching technológiákat alkalmaz. Ezen felül a Cisco ACE modul nagymértékben növeli a kiszolgálók hatásfokát flexibilis forgalomkezeléssel,

valamint

tehermentesíti

a

kiszolgálókat

a

processzor-intenzív

folyamatoktól, mint az SSL titkosítás és visszafejtés, http tömörítés vagy a TCP kapcsolatok kezelése [8]. Az ACE modult a Catalyst hálózati terv Aggregációs rétegében használtam fel.

1

VSS: Virtual Switching System

2

Mpps: millió 64kb méretű csomag másodpercenként

7

1.3.2. Tűzfal modulok Kétféle tűzfal modul áll rendelkezésre a Catalyst családban: FWSM és az ASA modul. A Firewall Service Module a korábbi generációkban van/volt jelen, jellemzői a következők: nagy teljesítmény, integrált állapotvizsgálat, alkalmazás- és protokollvizsgáló motorok. [9] Az ASA service modul a FWSM felváltására lett bevezetve, amely az ASA platformon alapul [10]. Jellemzőit a 2. táblázat foglalja és hasonlítja össze a FWSM modullal: Modul FWSM ASA SM

Sávszélesség Egyidejű Maximum VPN kapcsolatok száma kapcsolatok száma 5.5 Gbps per Külön modul 1 000 000 modul szükséges hozzá 20 Gbps per 10 000 000 10 000 modul 2. táblázat

Kapacitás Maximum 4db per chassis Maximum 4db per chassis

Az ASA modul a Catalyst hálózati terv Aggregációs rétegében került elhelyezésre.

1.3.3. IPSec VPN modul A Cisco IPSec VPN modulnak nincsenek fizikai WAN vagy LAN interfészei, helyette a platform interfészeit használja fel. Az alábbi tábla összefoglalja a legfőbb funkcióit: Funkció

Leírás

Nagy sebességű VPN kapcsolat

1.9 Gbps teljesítményt nyújt 3DES IPSec titkosítással nagy csomagok esetén és 1.6 Gbps-t IMIX csomagok esetén és hardveres gyorsítást alkalmazva.

Skálázhatóság

Legfeljebb 10 IPSec VPNSM lehet egy chassis-ban maximum 19 Gbps sávszélességgel, így támogatva natív módon a 10 Gbps interfészeket

Teljes integritás

Nem csak a Catalyst 6500 családot, de a Cisco 7600 szériát is támogatja, így nem kell külön VPN eszköz a Campus, Intranet vagy Data Center részekre. 3. Táblázat [11]

Az IPSec VPN modul csak bővítési lehetőségként van megemlítve, a hálózati tervben a nagyobb port sűrűség elérése érdekében nem került felhasználásra.

8

1.3.4. Network Analysis Module (NAM-3) A Cisco Catalyst 6500 család kapcsolóiba integrálva a NAM modul lehetővé teszi a nagyteljesítményű forgalom-monitorozást, csomagelkapást és pontos teljesítményelemzést akár 10 Gbps forgalomsebességen [12]. A modul grafikus felülettel és saját tárhellyel is rendelkezik, amely segítségével azonnal láthatóvá válik a hálózat aktuális vagy múltbeli teljesítménye, terheltsége, és valósidejű riportok generálására is van lehetőség. Jellemzi a végfelhasználói élményt TCP-alapú alkalmazások esetén, és izolálja a válaszidő problémákat hálózatra, kiszolgálóra vagy alkalmazásra, így csökkentve az osztályozási folyamatot. Legnagyobb előnyei a következők: 

egyszerű telepítés: nincs szükség további kábelezésre vagy kiegészítő tápellátásra;



meglévő gyártó, így nincs tender/szállító/értékelési folyamat;



a hálózat gerincéhez csatlakozik;



elkerüli, hogy a modulon végzett változtatás okozta hibák bármelyik VLAN-t érintsék a chassis-on belül [13].

A NAM modulok a Catalyst Core hálózati rétegben kerültek felhasználásra.

1.4. Legfontosabb funkciók 1.4.1. Supervisor redundancia protokollok A supervisor redundancia technológiák jelentős fejlődésen mentek keresztül az elmúlt évtizedek során a kezdeti stateless redundanciától, ami csak induló konfiguráció szinkronizálást tartalmaz, egészen a teljes stateful redundanciáig, ami az induló és futó konfigurációt is képes szinkronizálni számos más dolog mellett [14]. 1.4.1.1.

Route Processor Redundancy

Az RPR a Cisco IOS szoftverben került bevezetésre. RPR módban az induló konfiguráció és a boot regiszterek vannak szinkronizálva az Active és a Standby supervisor között, de a Standby supervisor szoftvere nincs teljesen inicializálva. Legfontosabb tulajdonsága ennek a módnak, hogy a supervisor modulok verziói eltérhetnek egymástól. Átváltás (switchover) esetén pedig automatikusan a Standby lesz az Active, de be kell boot-olnia és az összes Line Card-nak újra kell indulnia. Az RPR átváltás 1 vagy több percet is igénybe vehet [14].

9

1.4.1.2.

Route Processor Redundancy+

RPR+ esetén a Standby supervisor is teljesen betölt és a Line Card-oknak nem kell újraindulnia átváltás esetén. A futó konfiguráció is szinkronizálva van és átváltás előtt szinkronizáció történik. Az adatkapcsolati réteg vagy control-plane információ nincs szinkronizálva, emiatt átváltás esetén az interfészek állapota váltakozhat és a hardvert újra kell programoznia. RPR+ esetén a szoftververzióknak egyeznie kell mindkét supervisor modulon. Az RPR+ átváltás 30 vagy több másodpercbe is telhet [5, 282-283. oldal]. 1.4.1.3.

Stateful Switchover

Az SSO kibővíti az RPR+ képességeit hogy transzparens átváltás

történjen

számos

adatkapcsolati protokoll

rétegbeli

esetén.

Ebben

az

esetben a supervisor modulok között

szinkronizálva

van

(például STP) minden ’HAaware’

protokoll

1. ábra - SSO szinkronizáció

az

adatkapcsolati rétegtől a szállítási rétegig (1. ábra). Tudni kell viszont, hogy a forgalomirányítási protokollok nem tartoznak a ’HA-aware’ kategóriába ezért ők ’non-HAaware’ protokollok. PFC és DFC hardveres táblák kezelve vannak átváltás során. Az SSO protokollal a data-plane átváltási idő 0-3 másodperc között van [14]. 1.4.1.4.

Non-Stop Forwarding with Stateful Switchover

A NFS az SSO protokollal együtt biztosítja azt, hogy a hálózati réteg integritása megmaradjon átváltás esetén. Lehetővé teszi, hogy a forgalomirányító az Active supervisor modul meghibásodása esetén is továbbítson csomagokat az ismert útvonalak alapján, amíg a forgalomirányító protokoll információi helyreállnak. A csomagtovábbítás akkor is folytatódik, ha a szomszédos forgalomirányítókkal a peering kapcsolatok elvesznek [14] (2. függelék). A NFS a control-plane és a data-plane szeparáltságán alapul. Amíg a data-plane forgalmat továbbít a CEF tábla alapján, addig a control-plane graceful restart-ot hajt végre, hogy jelezze a szomszédos eszközöknek a supervisor modul újraindulását, peering kapcsolatok helyreállítását és a forgalomirányítási protokoll adatbázis-újjáépítésének megkezdését [14]. 10

Az NSF-capable forgalomirányító alkalmazza az NSF funkcióit és továbbítja az adatokat a saját meghibásodása ellenére, addig az NSF-aware eszközök megértik a graceful restart folyamatokat: nem bontják le kapcsolataikat az NFS-capable újrainduló forgalomirányítóval és segítik annak helyreállítását, így elkerülve útvonalak váltakozását és a hálózat instabillá válását. Az NSF-capable forgalomirányító NSF-aware is. Az NSF SSO átváltási ideje az adatkapcsolati rétegtől a szállítási rétegig mindent magába foglalva 0-3 másodperc között van [14].

1.4.2. Virtual Switching System A VSS virtualizációs technológia két Cisco Catalyst 6500 kapcsolóból egy logikai kapcsolót alkot (2. Ábra), ezzel duplájára növeli a rendszer teljesítményét és egyszerűsíti a kezelhetőségüket. A

virtualizáció

nagyban

segítségével

módosítja

az

a

VSS

adatközpont

topológiáját: a legnagyobb módosítás az, 2. ábra – VSS fizikai és logikai topológia

hogy

létrehozhatók

hurokmentes

topológiák. Ezen felül számos más Cisco fejlesztést is magában foglal: mint a SSO vagy a Multi-chassis Etherchannel (MEC) protokoll, melyek segítségével megszakításmentes kommunikáció alakítható ki és növelhető a rendelkezésre álló sávszélesség is a topológia bonyolítása nélkül [2, 53-54. oldal]. A MEC a hagyományos Etherchannel protokollal szemben lehetőséget biztosít, hogy a virtuális interfész tagjai két különböző fizikai eszközön helyezkednek el, viszont ez csak VSS protokollal együtt lehetséges, VSS nélkül a MEC nem megoldható. A hagyományos Etherchannel legfeljebb ugyanazon kapcsoló különböző modulokon elhelyezkedő portjait foglalhatja magában. Konfiguráció szempontjából viszont nincs különbség a két parancs között, az alábbi példa két interfészt a 10-es Etherchannel-be helyezi natív (on) módon: HUDEBCCSWAGGR01(config)#interface range Ten1/7/1 , Ten2/7/1 HUDEBCCSWAGGR01(config-if)#channel-group 10 mode on

VSS esetén a fizikai eszközök supervisor moduljai közül csak az Active eszköz control-planeje van használatban, a Standby control-plane pedig várakozik és figyeli az Active modult. 11

Az Active supervisor modul vezérli a Standby eszköz hardverét is. Az Active supervisor modul meghibásodása esetén azonnal átvált a Standby kapcsoló supervisor moduljára és megszakítás nélkül (vagy minimális megszakítással beállítástól függően) folytatja a forgalom továbbítását. Ugyanakkor a data-plane mindkét eszközön aktív, így érve el a dupla kapacitást és sávszélességet [15] [2, 53-54. oldal]. A két eszközt egy Virtual Switch Link (VSL) segítségével kapcsoljuk össze. Ez egy speciális kapcsolat,

melyen keresztül

vezérlő- és

adatforgalom

továbbítódik.

Legfontosabb

tulajdonsága, hogy a vezérlőforgalom az adatforgalomhoz képest magasabb prioritást kap a továbbítás során, így biztosítani tudja a VSS, hogy a vezérlő- és managementforgalom soha nem vesszen el. További előnyeit az alábbi felsorolás tartalmazza [16]: 

egy konfigurációs fájt és eszközt kell üzemeltetni;



elég csak 1 átjáró IP cím per VLAN;



nincs szükség FHR protokollokra (HSRP, VRRP, GLBP);



a két eszköznek nem szükséges közel lennie egymáshoz, akár 10 kilométerre is lehetnek egymástól;



sávszélességet spórol: megszűnik az aszimmetrikus forgalomirányítás okozta unicast flooding;



MEC miatt minden kapcsolat minden VLAN-ban használatra kerül és a STP nem fog blokkolni egyetlen interfészt sem;



központi független monitorozó szoftver áll rendelkezésre a VSS eszközök számára.

12

2. Nexus család bevezetése és bemutatása A Cisco korábban nem rendelkezett egyetlen adatközpontra fókuszált családdal sem. A Catalyst család egy univerzális eszköz volt, de mégsem tudott számos adatközpontban előforduló problémát kezelni: mindig központi kábelezést igényelt (nincs ToR lehetőség csak bonyolult tervek esetén) és az áramfelvétele is hatalmas volt. Az eszközök nem támogatták az FCoE protokollt és eszközön belüli virtualizáció sem volt megoldható. Minden ügyfél forgalma ugyanazon control-plane által van vezérelve még akkor is, ha a data-plane szeparáltnak is tűnhet VRF és VLAN segítségével. Ennek megoldása érdekében a Cisco 2008. január 28-án bejelentette a Cisco Nexus családot. A Cisco Nexus család moduláris hálózati kapcsolókat tartalmaz, melyeket kizárólag adatközpontba terveztek, a fent említett problémákat hivatottak megoldani így teremtve olcsóbb, jobban kezelhető hálózatot az adatközpontokban.

2.1. Nexus 1000v virtuális kapcsoló A Cisco 1000V virtuális kapcsoló egy szoftver-alapú Cisco NX-OS kapcsoló, intelligens funkciókkal, speciálisan a VMware vSphere környezetekhez való integráláshoz. Ezek a kapcsolók virtuális eszközök, amelyek Cisco NX-OS operációs rendszert futtatva Hozzáférési réteget képeznek a VMware vSphere környezetben [1, 489. oldal]. A Nexus 1000V a VMware ESX hypervisor-ba integrálódva fut. A Nexus 1000V segítségével az összes virtuális kiszolgáló azonos hálózati konfigurációval, biztonsági szabályrendszerrel, diagnosztikai eszközökkel és működési modellekkel rendelkezik, mint egy fizikai kiszolgáló. A hypervisor, más néven Virtual machine manager, egy olyan program, ami lehetővé teszi több operációs rendszer számára ugyanazon hardveren való futását. Minden egyes rendszer szemszögéből úgy tűnik, mintha saját processzora, memóriája és más erőforrásai volnának. A hypervisor pedig vezérli a hardvert és kiosztja a szükséges erőforrásokat az operációs rendszereknek [1, 489. oldal]. A Cisco Nexus 1000V két fő komponensből áll: 

Virtual Ethernet Module (VEM): a hypervisor-on belül fut



External Virtual Supervisor Module (VSM): VEM-ek vezérlésére szolgál

13

A VEM a VMware ESX vagy ESXi kernel részeként fut és Layer 2 kapcsolást végez illetve advanced networking funkciókat [1, 491. oldal]: 

Port-channel;



QoS és vPath;



Security: PVLAN, ACL, port-security.

A Cisco Nexus 1000V a Clustering and NIC Teaming eszközöknél a VMware supervisorba integrálva lett felhasználva.

2.2. Nexus 2000 Fabric Extender A Cisco Nexus 2000 Series Fabric Extender úgy tekinthető, mint egy távoli, kihelyezett Line Card, ami egy moduláris kapcsolóhoz tartozik. A Fabric Extender lényegében kiterjesztése a szülő Nexus kapcsolónak, együtt alkotva egy elosztott moduláris rendszert, ami központilag kezelhető. Ez az architektúra kihasználja a fizikai topológiák tervezése során a top-of-rack (ToR - 3. Ábra bal oldala) és end-of-row (EoR – 3. Ábra jobb oldala) kialakítások rugalmasságát és előnyeit, így csökkenti a kábelek hosszát, a kiépítéshez szükséges anyagi és időbeli költségeket.

3. ábra – ToR és EoR fizikai topológia A Nexus 2000 nem hajt végre semmilyen lokális kapcsoló funkcionalitást, ami azt jelenti, hogy minden forgalomnak fel kell mennie a szülő kapcsolóhoz a fabric interfészeken keresztül, és ott kerül kapcsolásra, még akkor is, ha ugyanarra a FEX-re vannak kötve a

14

kommunikáló eszközök. A host interfészeket csak és kizárólag host kapcsolatra szabad használni [17]. Az alábbi táblázat összefoglalja a főbb típusokat és a funkciókat: Modell Cisco Nexus

Leírás 48 darab 1000BASE-T host interfész és 4 darab 10 Gigabit Ethernet fabric

2148T

interfész (Enhanced Small Form-Factor Pluggable [SFP+])

Cisco Nexus

24 darab 100/1000BASE-T host interfész és 2 darab 10 Gigabit Ethernet

2224TP

fabric interfész (SFP+)

Cisco Nexus

48 darab 100/1000BASE-T host interfész és 4 darab 10 Gigabit Ethernet

2248TP-E

fabric interfész (SFP+)

Cisco Nexus

48 darab 1/10 Gigabit Ethernet és FCoE képes host interfész (SFP+) and 4

2248PQ

QSFP+ Gigabit Ethernet és FCoE fabric interfész (QSFP+)

Cisco Nexus

32 darab 1/10 Gigabit Ethernet és FCoE host interfész (SFP+) illetve 8 darab

2232PP

10 Gigabit Ethernet és FCoE fabric interfész (SFP+)

Cisco Nexus

32 darab 1/10 G BASE-T host interfész és 8 darab 10 Gigabit Ethernet (SFP+)

2232TM-E

fabric interfész (alacsonyabb fogyasztás és bithibaarány (BER)) 4. táblázat

2.3. Nexus B22 Blade Fabrix Extender A Cisco Nexus B22 Blade Fabric Extender úgy lett tervezve, hogy egyszerűsítse az adatközpont kiszolgálók Hozzáférési architektúráját és azon területek üzemeltetését ahol harmadik fél Blade szervereket használnak. A B22 FEX úgy tekinthető, mint egy távoli Line Card (4. Ábra), hasonlóan, mint egy Nexus 2000 FEX, annyi

különbséggel,

hogy

nem igényel több helyet, hűtést és áramot, mert egy Blade chassis I/O modul slot-ba

integrálódva

helyezkedik

el.

köszönhetően

Ennek

helyet

áramot takarít meg.

és 4. ábra – Nexus B22 ToR fizikai topológia

15

A Cisco Nexus B22 kétféle porttal rendelkezik: 

kiszolgáló interfészek a Blade szervernek;



fabric interfészek.

5. ábra

Négy különböző gyártónak áll rendelkezésre a B22 kapcsoló: HP (5. Ábra), DELL, Fujitsu és IBM (6. ábra). A fabric interfészek a Cisco Nexus B22 modul elején helyezkednek el és a szülő Cisco Nexus kapcsolóval biztosítják az összeköttetést, míg a kiszolgáló interfészek a modul hátulján találhatóak. A Cisco Nexus B22 és a szülő kapcsoló viszonya alapján négy fő tervezési esetet különböztetünk meg (7. ábra balról jobbra): 

Server vPC: a Hozzáférési réteg redundanciája redundáns kiszolgáló

6. ábra

kapcsolattal rendelkezik, Active-Active módban működik, vPC és Network Interface Card (NIC) Teaming technológiák segítségével; 

FEX vPC: ebben az esetben is a kiszolgáló redundáns kapcsolattal rendelkezik, de csak Active-standby módban működik, a Hozzáférési réteg redundanciája a Cisco Nexus B22 Blade FEX és a Cisco szülő kapcsoló közötti redundáns kapcsolatokkal van biztosítva, melyek vPC technológiát alkalmazva minden kapcsolatot egyidejűleg tudnak használni;



Enhanced vPC (EvPC): a Server vPC és a FEX vPC előnyeit kombináljuk: o a Hozzáférési réteg redundanciája redundáns Active-Active kiszolgáló kapcsolattal (NIC Teaming) és vPC a kiszolgáló és a két FEX között, o redundáns kapcsolatok vPC protokollal a Cisco Nexus B22 és szülő kapcsoló között;



vPC+: ebben az esetben az EvPC megoldást úgy módosítjuk, hogy a szülő kapcsoló egy Cisco FabricPath hálózat része [18].

A Nexus B22 Blade FEX a vPC+ módban került felhasználásra a hálózati tervben és a Hozzáférési rétegbe van elsősorban elhelyezve, de HP Blade chassis esetén opcionálisan az Aggregációs rétegre is köthető.

16

7. ábra

2.4. Cisco Nexus 5500 Platform A Cisco Nexus 5500 platform kiterjeszti a piacvezető sokoldalú Cisco Nexus 5000 család 10 Gigabit Ethernet adatközpont kapcsolókat. Nagy port sűrűség, alacsony késleltetés és többrétegű szolgáltatások jellemzik. A Nexus 5500 platform egyaránt ideális számos adatközpont kiszolgálók Hozzáférési rétegébe vagy különböző fizikai, virtuális, tároláshozzáférési és nagyteljesítményű számítási (HPC) adatközpont környezetekbe. Alapvetően minden N5K csak adatkapcsolati réteg funkciókat képes ellátni. Ahhoz, hogy hálózati rétegbeli funkciókat is képes legyen végrehajtani, 5548P és 5548UP esetén egy Layer 3 Daughter Cardot (8. ábra felső rész), míg 5596UP és 5596T pedig

8. ábra

bővítő modult (8. ábra alsó rész) kell venni, amely maximum 160 Gbps teljesítményre képes. A Layer 3 Daughter Card-ot a Layer 2 I/O modul helyére kell beszerelni.

2.4.1. Cisco Nexus 5548P and 5548UP kapcsolók A Cisco Nexus 5548P kapcsoló az első tagja a Cisco Nexus 5500 platform kapcsolóinak. Egy rack unit helyet foglal, FCoE támogatással rendelkezik és legfeljebb 960 Gbps teljesítményt tud leadni maximum 48 porton. A kapcsoló 32 fix 1/10- Gbps SFP+ Ethernet és FCoE interfésszel illetve 1 bővítő hellyel rendelkezik [19]. A Cisco Nexus 5548UP kapcsoló pedig annyiban tér el az 5548P kapcsolótól, hogy minden fix portja Unified port, ami azt jelenti, hogy natív Fiber Channel (FC) támogatással rendelkezik, ami 1/2/4/8 Gbps sebességgel tud működni [20].

17

2.4.2. Cisco Nexus 5596UP kapcsoló A Cisco Nexus 5596UP kapcsoló két rack unit helyet foglal, 48 fix Unified interfésszel rendelkezik, ami 1/10 Gigabit Ethernet, FCoE vagy natív FC módban tud működni és további 3 modullal, így maximum 48 porttal bővíthető [20].

2.4.3. Cisco Nexus 5596T kapcsoló A Cisco Nexus 5596T kapcsoló két rack unit helyet foglal, 32 darab fix 10G BASE-T és 16 darab fix SFP+ interfésszel rendelkezik és további 3 modullal bővíthető. Támogatja a 10 Gigabit Ethernet-et (optikai és réz kábellel), a Fiber Channel és FCoE technológiákat is. Legfeljebb 1920 Gbps teljesítményt tud leadni maximum 96 porton. Támogatja az Unified portokat minden SFP+ interfészen. A 10G BASE-T interfészek az FCoE protokollt maximum 30 méterig továbbítják Cat6a és Cat7 kábelen. Ennek az eszköznek van egy speciális modulja, ami 12 darab 10G BASE-T porttal rendelkezik (9. ábra).

2.4.4. Modulok

9. ábra

A Cisco Nexus 5548P és 5548UP két típusú modult, míg a Cisco Nexus 5596UP és 5596T négyféle modult támogat a következők közül (10. ábra balról jobbra) 

N55-M16P: Ethernet modul 16 darab 1/10 Gigabit Ethernet és FCoE porttal SFP+ interfészekkel;



N55-M8P8FP: FC plus Ethernet modul 8 darab 1/10 Gigabit Ethernet és FCoE porttal SFP+ interfészekkel és 8 darab 8/4/2/1 Gbps natív FC kapcsolattal SFP+/SFP interfésszel;



N55-M16UP: Unified port modul, ami 16 darab 1/10 Gigabit Ethernet és FCoE portként működik SFP+ interfészekkel vagy 16 darab 8/4/2/1 Gbps natív FC kapcsolattal és SFP+/SFP interfészekkel, de ezek tetszőlegesen variálhatók, például 12 darab 10 Gbps Ethernet és 4 natív FC kapcsolat;



N55-M4Q: 4 port QSFP Ethernet modul, ami 4 darab 40 Gigabit Ethernet portot biztosít QSFP interfészekkel, de csak 4x10G módban működik [20].

10. ábra 18

2.5. Nexus 7000-es széria: moduláris adatközpont kapcsolók 2.5.1. Chassis A Nexus 7000 sorozat kapcsolói moduláris adatközpont kapcsolók, melyek jól skálázhatók 1/10/40/100 Gigabit Ethernet sebességekkel és a fabric-architecture-rel, ami 17 Tbps sebesség továbbítására teszi alkalmassá. A széria első generációja a 7000-es család, mely négy tagból áll (3. függelék): 

18-slot chassis: 18 előlapi modul hellyel, side-to-side légáramlással és kompakt horizontális integrált kábelrendezővel;



10-slot chassis: 10 előlapi vertikális modul hellyel, front-to-back légáramlással és integrált kábelrendezővel;



9-slot chassis: 9 előlapi modul hellyel, side-to-side légáramlással és erre a célra épített integrált horizontális kábelrendezővel;



4-slot chassis: 4 előlapi modul hellyel, side-to-back légáramlással és erre a célra épített kisméretű integrált kábelrendezővel [21].

Az optimális légáramlás (front-to-back) és

2.5.2. Supervisor engine A Cisco Nexus 7000 kapcsolók supervisor moduljai skálázzák a control-plane és data-plane szolgáltatásait. A Supervisor vezérli az adatkapcsolati és hálózati réteg szolgáltatásait, mint a redundancia szolgáltatások, konfiguráció menedzsment, státusz monitoring, teljesítmény és környezet menedzsment és így tovább. Központi döntéshozást biztosít a system fabric és minden Line Card számára. A teljesen elosztott továbbítási architektúra (Fully Distributed Forwarding Architecture) lehetővé teszi az eszköz számára, hogy megszakítás nélkül növelhető legyen a rendszer teljesítménye a megfelelő I/O fabric modul behelyezésével. Az első generációs supervisor tartalmaz egy dedikált Connectivity Management

Processor-t

(CMP),

ami

támogatja a teljes rendszer távfelügyeletét és hibaelhárítását [22]. 11. ábra

19

Két generációja létezik, összesen 3 modellel. Legfontosabb eltérés a két generáció között, hogy míg az első generáció (11. ábra) csak kétmagos processzorokkal és 4 GB memóriával rendelkezik, addig a második generáció tagjai (12. ábra bal/jobb oldal) már 4/8 magos processzorokkal és 12/32 GB memóriával rendelkeznek, de Control and Monitoring Processor (CMP) nem található bennük [23].

12. ábra

2.5.3. Fabric modul A Fabric modul egy olyan speciális moduláris hardver, amely legfontosabb feladata az I/O modulok egymás közötti és a Supervisor modul közötti kapcsolat biztosítása. A tradicionális kapcsolókban, mint a Cisco Catalyst 6500-as család tagjai, a Switch Fabric integrálva van a chassis-be és nem rendelkezik redundanciával. Ezzel szemben a Nexus 7000 moduláris felépítésű, így maximum 5 ilyen modult használva a redundancia is növelhető és a teljesítmény is. A FAB1 modulonként maximum 46 Gbps kapacitással rendelkezik, így 5 modul esetén ez 230 Gbps. A FAB2 esetén ez 110 Gbps per modul így maximum 550 Gbps teljesítményt érhetünk el. Ezek a modulok a chassis hátoldalán helyezkednek el, de nem rendelkeznek semmilyen porttal ezért nem alternatívák a Line Card-ok helyett, amik az I/O modulok. A Fabric modulok üzem közben cserélhetők csakúgy, mint a Line Card-ok vagy a Supervisor modulok.

2.5.4. Line card-ok A Line card-ok két fő csoportra oszthatóak: az M és az F szériákra. Az M széria (5. táblázat) alapvetően hálózati rétegbeli műveleteket hajt végre és az alábbi protokollokat futtatja: MPLS, OTV, forgalomirányítás, stb. Az F széria (6. táblázat) ezzel szemben az adatkapcsolati réteg protokolljaira fókuszál: FEX, FabricPath, FCoE, stb. Ha például csak F1 szériás Line Card van a chassis-ben akkor forgalomirányítás nem lehetséges az eszközön semmilyen körülmények között. Ahhoz, hogy az F1-es modulok között forgalomirányítás történhessen, legalább 1 darab M1-es Line Card szükséges, hogy proxy forgalomirányítást végrehajtva

20

mozgassa a hálózati réteg forgalmát az F1 kártyák között. A fabric kapacitás egy M1 modul esetén 80 Gbps, míg egy F1 modul esetén ez 230 Gbps. A Cisco később kiadta az F2 szériát, ami már képes alapvető hálózati réteg funkcionalitásra, de OTV és MPLS protokollokra nem használható. Az F2 széria fabric kapacitása 480 Gbps, az M2 modulok kapacitása pedig 240 Gbps. N7KM148 GS-11L Line Card család Portok száma és típusa Interfészek típusa Fabric sávszélesség (Gbps)

N7KM148 GT-11L

N7KN7KM108 M132 X2-12L XP-12L

N7KM224 XP-23L

N7KM206 FQ-23L

N7KM202 CF-22L

M1

M1

M1

M1

M2

M2

M2

48db, 1GE

48db, 1GE

8db, 10GE

32db, 10GE

24db, 10GE

6db, 40GE

2db, 40/100GE

SFP

RJ45

X2

SFP+

SFP+

QSFP+

CFP

46

46

80

80

240

240

200

5. táblázat

Line Card család Portok száma és típusa Interfészek típusa Fabric sávszélesség (Gbps)

N7KF132 XP-15

N7KF248 XP-25

N7KF248 XP-25E

F1

F2

F2e

32, 1/10GE

48, 1/10GE

SFP,SFP+ 230

N7KF248 XT-25E

N7KF312 FQ-25

N7KF306 CK-25

F2e

F3

F3

48, 1/10GE

48, 1/10GE

12, 40GE

6, 40/100GE

SFP,SFP+

SFP,SFP+

RJ45

QSFP+

CPAK

480

480

480

480

550

6. táblázat

21

2.5.5. Cisco Nexus 7000 Network Analysis Module (NAM-NX1) A Cisco 7000 NAM-NX1 a Catalyst 6500 NAM-3 modul mintájára lett kifejlesztve. Ugyanazon előnyökkel rendelkezik, mint a NAM-3, ezen felül teljesítménye nőtt és számos NX-OS specifikus protokoll kiegészítésével is ellátták. A Cisco Nexus 7000 kapcsolóba integrálva teljes képet nyújt a hálózatról és az alábbi funkciókkal rendelkezik: 

alkalmazás

teljesítmény

monitorozása

és

késleltetés

okának

izolálása

teljesítményromlás esetén; 

belelát a virtualizációs technológiákba, így pontos statisztikát tud adni a forgalomról, alkalmazás teljesítmény mutatókról, és ezeket le tudja bontani alkalmazásokra, kiszolgálókra, párbeszédekre és útvonalakra, hogy segítsen analizálni és biztosíthassa a megfelelő használatát az adott technológiáknak;



felgyorsítja a hibaelhárítást az interaktív riportokkal és segít analizálni az adatot, hogy milyen alkalmazással, adatközponttal, klienssel vagy kiszolgálóval van probléma



kiterjeszti az átláthatóságot fizikai és virtuális környezetekre;



megőrzi a befektetést a meglévő üzemeltetési és monitorozási eszközökben amellett, hogy támogatja az ezen eszközökbe való integrációt szabvány alapú API-k segítségével [24].

22

3. Új technológiák és funkciók az NX-OS-ben 3.1. Konfiguráció visszaállítása Ez a funkciója az NX-OS rendszernek lehetővé teszi, hogy egy pillanatképet, vagy más néven ellenőrző pontot, hozzunk létre az eszközről, amiből szükség esetén vissza tudjuk állítani annak konfigurációját anélkül, hogy újra kellene indítani. A visszaállításnak különböző típusai vannak: 

Atomic: csak akkor állítsa vissza a konfigurációt, ha nem történik hiba. Ez az alapértelmezett visszaállítási mód;



Best-effort: visszaállítja a konfigurációt és minden hibás részt kihagy;



Stop-at-first-failure: visszaállítás során amint hibába fut, megszakítja a visszaállítást;



Verbose mód: megmutatja a végrehajtási log-okat, ezzel lehetővé téve az adminisztrátornak, hogy lássa, mit csinál a kapcsoló a helyreállítás során [1, 33. oldal].

Mielőtt visszaállítja az eszköz a beállításokat, kiírja, hogy milyen módosítások lesznek végrehajtva a jelenlegi futó konfigurációnkon a visszaállítás során. Ha hiba lép fel a folyamatban, akkor választhatunk, hogy figyelmen kívül hagyjuk a hibát, vagy megszakítjuk a helyreállítást. Ha a megszakítást választjuk, a Cisco NX-OS kiír egy listát a hiba előtt elvégzett módosításokról, amelyeket manuálisan kell visszaállítanunk, hogy a kezdeti állapotot megkapjuk. [1, 33. oldal] A legfontosabb korlátozásai a következők: 

maximum 10 ellenőrző pontot lehet létrehozni virtuális eszközönként (VDC);



VDC-k között (egyikből a másikba) nem lehet helyreállítást csinálni;



75 karakternél hosszabb neve nem lehet a pillanatképnek;



nem kezdődhet a fájl neve auto vagy a summary szóval, vagy annak töredékével.

23

3.2. VPC3 – Virtuális Port-channel Az

adatközpontokban

nagyobb

a

sávszélesség

rendelkezésre állásához az OSI modell

szerinti

második

rétegbeli hurkokat úgy kell megszüntetnünk, hogy emellett minden

továbbítunk

porton

forgalmat.

A

Nexus

eszközökön

lehetőség

virtuális

Port-Channel-ek

kialakítására, legfontosabb

van

melyeknek előnyei

a

következők: 

13. ábra – vPC tartomány

a Spanning-Tree Protocol (STP) által blokkolt portok megszüntetése és hurokmentes topológia megőrzése;



eszköz szintű redundancia gyorsabb konvergenciával;



hatékonyabb sávszélesség kihasználtság [1, 109. oldal].

Minden vPC létrehozása két Nexus eszköz ugyanazon vPC tartományhoz (domain) történő hozzáadásával kezdődik. A vPC tartományon (13. ábra) belül két speciális linket különböztetünk meg, amely a tartománytagok közötti információcserére szolgál: 

vPC peer-keepalive link: heartbeat továbbítása a tagok között, ami ellenőrzi és biztosítja, hogy mind a két eszköz aktív és nem fordulhat elő olyan Active-Active vagy split-brain4 eset, ami hurkot hozhat létre a topológiában. A link lehet 1 Gbps vagy 10 Gbps;



vPC peer link: státusz információk cseréjére szolgál és további split-brain észlelő és megelőző mechanizmusokat nyújt [25].

3

VPC: Virtual Port-Channel

4

Split-brain: a két eszköz között elvész a kapcsolat, mindkét eszköz aktívnak gondolja magát és a másikat nem elérhetőnek.

24

3.3. VDC5 – Virtuális eszközök létrehozása A Nexus 7000 NX-OS szoftver támogatja Virtual Device Context (VDC) létrehozását, amellyel egy fizikai eszközt több logikai eszközre oszthatunk fel. Ennek a logikai elkülönítésnek a következő előnyei vannak: 

adminisztratív és vezérlési elválasztás;



change és failure tartomány elszigeteltség más VDC-ktől;



teljes szoftverhiba, Cím, VLAN, VRF és vPC izoláció;



flexibilis hardver és szoftver elosztás;



forwarding engine skálázhatóság megfelelő interfész kiosztással [1, 37. oldal].

Minden VDC külön eszköznek minősül és különböző szerepkörök rendelhetőek hozzá, lehetővé téve különböző adminisztrátoroknak különböző VDC-hez való hozzáféréseket. Továbbá minden VDC rendelkezik egy saját high-availability (HA) policy-val, ami meghatározza, hogy VDC-n belüli probléma esetén milyen utasításokat hajt végre a rendszer. A hardver konfigurációtól függően sokféle utasítássorozat lehet. Ha egy supervisor engine-nel rendelkezik a rendszer, akkor a VDC újraindulhat, leállhat, esetleg az egész supervisor újraindulhat. Ha redundáns supervisor engine található a rendszerben, akkor a VDC újraindulhat, leállhat, esetleg supervisor switchover történhet, melynek során a tartalék engine veszi át az aktív szerepet [1, 37. oldal]. Az alábbi erőforrások megosztottak a VDC-k között: 

a rendszermag egy része, ami minden folyamatot és VDC-t kezel;



supervisor modulok;



fabric modulok, tápegységek;



ventilátor tálcák, rendszer ventilátor tálcák;



CMP, CoPP;



hardver SPAN erőforrások [1, 38. oldal].

Ezeket az erőforrásokat minden VDC használja, így egy Supervisor Engine vagy tápegységek meghibásodása a teljes rendszert érintheti.

5

VDC: Virtual Device Context

25

A VDC-k között van egy kiemelt fontosságú, a default VDC. Az alapvető VDC funkciókon felül speciális feladatokat is végre tud hajtani, amire kizárólag csak a default VDC alkalmas. Az alábbi lista tartalmazza a legfontosabb feladatokat [1, 38. oldal]: 

VDC létrehozása/törlése/felfüggesztése;



erőforrás lefoglalása: interfész és memória;



NX-OS frissítés (minden VDC-t érinti);



EPLD frissítés;



feature-set telepítése Nexus 2000, FabricPath és FCoE számára;



CoPP;



Port-Channel load balancing.

A nem default VDC-k is rendelkeznek minden funkcióval és képességgel a fent említett listán kívül, és az alábbi tulajdonságokkal rendelkeznek [1, 38. oldal]: 

független folyamatokat használnak minden egyes protokollnak;



diszkrét konfigurációs fájl és visszaállítási pont minden VDC számára;



diszkrét RBAC, TACACS, SNMP, VLAN, VRF, STP topológia, control-plane, forgalomirányítási protokollok, privát VLAN-ok, stb.

Az NX-OS 5.1-es verziótól bevezetésre került a module-type paraméter, melynek segítségével meghatározhatjuk, milyen modulok rendelhetőek a különböző VDC-khez. 6 különböző típus van: m1, m1xl, m2xl, f1, f2, f2e és a 7. táblázat tartalmazza ezek kompatibilitását. Modul

M1

F1

M1XL

M2XL

F2

F2e

M1

Igen

Igen

Igen

Igen

Nem

Igen

F1

Igen

Igen

Igen

Igen

Nem

Nem

M1XL

Igen

Igen

Igen

Igen

Nem

Igen

M2XL

Igen

Igen

Igen

Igen

Nem

Igen

F2

Nem

Nem

Nem

Nem

Igen

Igen

F2e

Igen

Nem

Igen

Igen

Igen

Igen

7. táblázat Ha bármilyen ütközés történik, az érintett modulok „suspended” állapotba fognak kerülni. Ha viszont Online Insertion and Removal (OIR) támogatással rendelkezik az eszköz, akkor a modul státusza „ok” lesz, de az interfészek nem lesznek konfigurálhatóak. A Nexus 7000 család esetén minden típus minden modulja OIR támogatással rendelkezik [1, 40. oldal]. 26

Ahhoz, hogy egy interfészt másik VDC-be helyezzünk, ki kell adni a következő parancsot, amit interface allocation-nek nevezünk: switch# config t switch(config)# vdc test switch(config-vdc)# allocate interface Ethernet2/46 Moving ports will cause all config associated to them in source vdc to be removed. Are you sure you want to move the ports?

[yes] yes

switch(config-vdc)# exit

Az interface allocation-nek viszont modulonként korlátai lehetnek a „port-group”-okra nézve, ami F2 modulok esetén 4-esével, míg F1-es modulok esetén 2-esével csoportosítják a portokat: 1-4, 5-8, illetve 1-2, 3-4, stb. módon ugyanabba a VDC-be kell, hogy kerüljenek a port-group interfészei [26].

3.4. ISSU – In-Service Software Upgrade Az ISSU egy olyan folyamat, amely biztosítja, hogy az eszközt frissítsük újabb, vagy régebbi verziójú szoftverre anélkül,

hogy akár

egyetlen

egy

csomag is elveszne, vagy nem kerülne továbbítása. Ezen felül újraindítás és

14. ábra - Supervisor modulok állapota ISSU frissítés után

leállás sem szükséges a rendszernek a frissítésre, ennek viszont egyetlen feltétele, hogy két supervisor engine szükséges. Az ISSU a rendszer minden komponensét frissíti, beleértve

az

NX-OS

képfájlt,

ami

a

supervisor

modulokon és a Line Card-okon fut. Az ISSU az SSO segítségével megszakítás nélkül frissíti a supervisor modulokat (14. és 15. ábra). 15. ábra - ISSU frissítés folyamatábra

27

3.5. Port profil NX-OS 4.2(2) verziótól lehetőség nyílik port profilok létrehozására leegyszerűsítve így a konfigurációt

olyan

portok

számára,

amelyek

ugyanazon

általános

konfiguráción

osztoznának. Hierarchiát is építhetünk a profilokba az „inherit port-profile” parancs segítségével [27] (4. függelék).

3.6. Szerep alapú hozzáférés korlátozás (RBAC) Az RBAC segítségével szabályokat hozhatunk létre, amelyek meghatározzák, hogy milyen műveleteket hajthat végre az adott felhasználó. Minden szerepkör (role) több szabályt tartalmazhat és minden felhasználónak több szerepköre lehet. Például egy felhasználónak a RoleA szerepköre szerint nincs hozzáférése a Configuration parancsokhoz, viszont RoleB szerepkör szerint van. Végeredményben a felhasználónak van jogosultsága használni a Configuration parancsokat. Az alábbi paraméterekkel rendelkezik egy szerep: 

command: egy vagy több parancs reguláris kifejezésben definiálva;



feature: parancsok, amelyek egy funkcióhoz tartoznak (például feature router-bgp);



feature group: alapértelmezett vagy egyéni feature csoportok.

Maximum 256 szabály lehet minden szerepben és a szabályok csökkenő sorrendben vannak. Például ha 3 szabályunk van egy szerepben, akkor először a 3-as majd a 2-es végül pedig az 1-es szabály fog érvénybe lépni (5. függelék).

3.7. FabricPath A régi hálózatok rengeteg korláttal rendelkeznek: feszítőfa protokoll, MAC címtáblák mérete és VLAN szórási tartományok, stb. Mivel így a kiszolgálók elszeparálódtak az adatkapcsolati rétegben vagy kisebb tartományra korlátozódtak, a forgalomirányítók biztosították a hálózati rétegben a kapcsolatot. A kis adatkapcsolati réteg tartományok között található hálózati réteg határait lebontva lehetővé válik, hogy egy skálázhatóbb és rugalmasabb hálózatot kapjunk, amely alkalmasabb nagyteljesítményű számításra és virtualizálásra. A vPC ugyan lehetővé teszi e korlátok csökkentését, de jelentősen a feszítőfa protokollra épül, mert annak jelenléte szükségszerű [1, 120. oldal].

28

Ezt a korlátot bontja le a Cisco FabricPath, amely egy olyan adatkapcsolati rétegbeli hálózatot képes kialakítani, amely feszítőfa-protokoll korlátok nélkül, hálózati rétegbeli protokollt használva továbbítja az adatkapcsolati réteg elérhetőségi információit. A FabricPath kihasználja az eszközök control-plane és data-plane megosztottságát: a controlplane biztosítja az eszközök közötti kapcsolatot, míg a data-plane az adattovábbításért felelős. Minden rendelkezésre álló kapcsolat továbbít adatot és minden fabric-on belül Equal Cost Multi-Pathing (ECMP) protokollt használ, ami egyenlően osztja szét a forgalmat a rendelkezésre álló útvonalak között. [1, 120. oldal] A control-plane Intermediate System-to-Intermediate System (IS-IS) protokollt használ a feszítőfa protokoll helyett. Az IS-IS egy többterületű (multi-area) forgalomirányító protokoll, ami nem függ az Internet Protokolltól. Minden FabricPath tartománybeli eszköz rendelkezik egy egyedi azonosítóval. Ez a 12 bites kapcsoló azonosító (SID) automatikusan generálódik Dynamic Resource Allocation Protocol (DRAP) segítségével, de a rendszergazda is beállíthatja statikusan. Ezután az IS-IS automatikusan (konfiguráció nélkül) kialakítja a kapcsolatokat és feltölti az Unicast Layer 2 Routing Information Base-t (L2RIB), ami alapján a legrövidebb útvonal vagy útvonalak meghatározása történik. A FabricPath IS-IS a legalacsonyabb költségű útvonalat választja, beleértve az egyenértékű útvonalakat, melyből maximum

16

lehet.

Broadcast Storm elkerülése érdekében a Time-To-Live (TTL) mezőt kihasználva, amikor egy keret áthalad egy eszközön, az IS-IS csökkenti a TTL értéket, és az, amikor a 0-át eléri eldobásra kerül. [1, 120121. oldal]

16.

ábra - FabricPath domain és hálózati terv [28]

Kétféle interfész és eszköztípust különböztetünk meg [1, 121. oldal]: 

FabricPath Edge port: a FabricPath tartomány (16. ábra) szélén található interfészek/kapcsolók,

ahol

kiszolgálók

vagy

más

kapcsolók

csatlakoznak

hagyományos Ethernet segítségével. Itt hagyományos MAC címtanulás történik és a

29

keretek szabványos Ethernet (CE) fejléccel továbbítódnak. Az Edge kapcsoló rendelkezik Edge és Core porttal is. 

FabricPath Core port: a FabricPath tartomány azon része, ahol IS-IS kapcsolatok épülnek ki és a keretek FabricPath fejléccel továbbítódnak. A Core kapcsoló csak Core porttal rendelkezik.

Másik nagyon fontos jellemzője, hogy csökkenti a MAC címtáblák méretét. Csak FabricPath Edge porton tanulnak a kapcsolók MAC címeket, a FabricPath Core kapcsolóknak nem kell megtanulniuk egyetlen MAC címet sem ahhoz, hogy megfelelően tudják továbbítani a forgalmat. A keret továbbítása a következő módon történik: 1. Egy Edge kapcsolón beérkezik egy keret valamelyik FabricPath Edge interfészen; 2. a kapcsoló ellenőrzi a MAC tábláját, és meghatározza melyik SID hirdeti a cél MAC címet; 3. a kapcsoló meghatározza, hogy melyik Core interfészen kell a keretet továbbítani, majd ellátja egy FabricPath fejléccel, és továbbítja a keretet; 4. a keretet megkapja egy FabricPath Core kapcsoló, majd a FabricPath fejlécben található SID alapján meghatározza, hogy melyik interfészen kell továbbítani; 5. a FabricPath Core kapcsoló továbbítja a keretet a meghatározott interfészen; 6. a keret megérkezik a cél Edge kapcsolóhoz annak Core interfészén keresztül, majd a kapcsoló megvizsgálja a FabricPath fejlécet; 7. ha a cél SID megegyezik a saját azonosítójával, akkor a Local Identifier (LID) mező segítségével meghatározza, melyik Edge interfészen kell továbbítani a keretet; 8. az Edge kapcsoló eltávolítja a FabricPath fejlécet, majd továbbítja a megfelelő CE interfészen [1, 121-122. oldal].

30

4. Adatközpont hálózatának önálló megtervezése A Hozzáférési réteg szempontjából számos eszközzel számolnunk kell. A terv elkészítése során a következő eszközökre terveztem meg a hálózatot [2, 212. Oldal]: 

Blade chassis/Blade chassis integrált kapcsolóval: legnagyobb előnye, hogy kis hely és fogyasztás mellett kiemelkedően magas teljesítmény jellemzi. Egy átlagos teljesítményű eszközön akár 16 kiszolgáló is elhelyezhető. Így mivel a teljesítményérték aránya megfelelő, számolni kell azzal, hogy elő fog fordulni a hálózatban;



Kiszolgáló Active/Standby hálózati kártyákkal: előnye, hogy hálózati kártyavesztés esetén nem jár kapacitásvesztéssel, ami növeli a rendszer stabilitását. A stabilitás miatt kerül be a hálózati tervbe;



Kiszolgáló Active/Active hálózati kártyákkal: mivel egyidejűleg minden hálózati kártya ki van használva, így a kapacitás megnő, az ugyanannyi hellyel és árammal lényegesen nagyobb teljesítmény adható le. Vannak rendszerek, ahol kifejezetten a teljesítmény a fontos (például webkiszolgálók), a redundanciát több kiszolgálóval biztosítják és a forgalomelosztó a csatlakozási pont. A hálózati tervben tehát a magas teljesítmény miatt szerepel.



Kiszolgáló logikai összekapcsolással (clustering) és NIC Teaming technológiával: a virtualizálási technológiák megjelenésével lehetővé vált, hogy egy kiszolgáló hardverfüggetlenül működjön. Ez azt jelenti, hogy a fizikai eszközök között a rendszer leállása nélkül mozgathatóak a virtuális kiszolgálók így biztosítva kiválóan magas rendelkezésre állást. Előnyei közé tartozik a legjobb ár-érték arány és a nagy teljesítmény, legnagyobb hátránya viszont az, hogy még nem minden alkalmazás képes virtualizált környezetben működni. Az előbb felsorolt előnyök miatt szerepel a hálózati tervben;



Hálózati rétegbeli hozzáférés izolált kiszolgálókkal: az ügyfelek többségének szüksége lehet egy biztonságosabb, elszeparált hálózati környezetre ahol a legfontosabb adatait tárolhatja, vagy speciális alkalmazásokat futtathat, amely különleges hardvert igényel, mely nem helyezhető el a standardizált hálózat Hozzáférési rétegében. Ilyenkor kisebb szórási tartományt hozunk létre dedikált eszközökkel.

31

Az Aggregációs rétegben rendelkeznie kell a hálózatnak védelemmel (tűzfal) és forgalomelosztással (Load balancer). A tűzfal védi meg az adatközpontunk legfontosabb adatait, megszűrve a kiemelt kiszolgálókhoz történő csatlakozásokat illetve csatlakozási pontot biztosít, ha két cégen belüli pontot – például két távoli adatközpont hálózatot – biztonságosan szeretnénk összekötni virtuális magánhálózat segítségével úgy, hogy a biztonságot és teljesítményt tartjuk szem előtt. A forgalomelosztó viszont egy univerzális eszköz: amellett, hogy növeli a hálózat redundanciáját csökkenti a felhasználó szemszögéből látható bonyolultságot, növeli a biztonságot (például címfordítással), elosztja és csökkenti a kiszolgálók terheltségét a processzor-intenzív műveletek átvételével, mint például az SSL titkosítás és visszafejtés, http tömörítés vagy a TCP kapcsolatok kezelése és képes monitorozni a kiszolgálókat akár alkalmazási szinten. Ezen érvek alapján a hálózati tervnek rendelkeznie kell forgalomelosztó eszközökkel is. A gerinchálózat (Core) legfontosabb tulajdonságai a következők [2, 27-29. oldal]: 

összeköttetés biztosítása az Aggregációs rétegek és a külvilág között;



nagy kapacitás és minimális késleltetés: a Core rétegen megy keresztül minden Aggregációs rétegek közötti, vagy a kliensek vagy külvilág felé menő forgalom ezért ehhez megfelelő kapacitással kell rendelkeznie és minimális késleltetéssel továbbítsa a forgalmat;



nincs forgalomszűrés: ahhoz, hogy a forgalom a lehető legkisebb késleltetéssel, azaz a leggyorsabban továbbítódjon nem szabad a Core rétegben forgalomszűrést végeznünk, mert az jelentős mértékben növelné a késleltetést;



legmagasabb rendelkezésre állás: a Core réteg felelős a kliensekkel és a külvilággal is a kapcsolat biztosítására, ezért szinte mindig elérhetőnek kell lennie;



minél egyszerűbb topológiája legyen.

Mindkét hálózati topológiát e szempontok figyelembe vételével terveztem meg majd a bevezetésben felsorolt szempontok szerint értékeltem ki rétegenként.

32

4.1. Hálózati terv Catalyst kapcsolókkal Az első esetben a hálózati tervet Catalyst kapcsolókkal készítettem el. A Catalyst 6500 kapcsolók számos service modullal elláthatók, így könnyen integrálhatunk szolgáltatásokat az infrastruktúrába. A fizikai és adatkapcsolati topológia lentebb található (17. ábra): Vállalati hálózat

WS-C6509-V-E

WS-C6509-V-E

FAN 1

FAN 1

FAN 2

FAN 2

FAN STATUS

FAN STATUS

WS-SVC-NAM-3-K9

NAM SERVICE MODULE

ID

ID

WS-X6908-10GE-2T

STATUS

STATUS

S

SHUTDOWN

PORT 1

LINK

PORT 1

EJECT

PWR MGMT

LINK

LINK

PORT 1

LINK

PORT 1

SHUTDOWN

PORT 1

SYSTEM ACTIVE

STATU ID

ID

8 PORT 10 GbE MODULE

WS-X6908-10GE-2T

STATUS


WS-X6908-10GE-2T

VS-SUP2T-10G

ID

S

STATU ID

LINK

EJECT

PWR MGMT

LINK

PORT 1

SYSTEM ACTIVE

SUPERVISOR 2T WITH INTEGRATED SWITCH FABRIC/PFC4

STATUS

ID


STATUS

WS-X6908-10GE-2T

ID


WS-SVC-NAM-3-K9

WS-X6908-10GE-2T

NAM SERVICE MODULE

STATUS

ID


ID

STATUS

WS-X6908-10GE-2T

STATUS


VS-SUP2T-10G

PORT 1

LINK

LINK

PORT 1


ID

ID

WS-X6908-10GE-2T

STATUS

STATUS


WS-X6908-10GE-2T


S A S

RESET

S A S

RESET

MGMT

LINK

SYNC

LINK

1

LINK

LINK

LINK

LINK

PORT 3

2

LINK

3

LINK

PORT 3

LINK

LINK

SFP UPLINK

3

LINK

PORT 3

LINK

LINK

PORT 3

PORT 3

2

LINK

LINK

LINK

SFP UPLINK

PORT 3

PORT 1

PORT 2

PORT 2

DISK 0

LINK

LINK

PORT 2

SYNC

LINK

LINK

PORT 2

MGMT

1

LINK

PORT 3

LINK

LINK

PORT 3

LINK

LINK

LINK

LINK

LINK

PORT 1

PORT 2

PORT 2

DISK 0

PORT 2

PORT 2

PORT 4

PORT 4 LINK

LINK

LINK

LINK

MANAGEMENT

PORT 4

PORT 4

PORT 4

LINK

LINK

LINK

LINK

MANAGEMENT

PORT 4

PORT 4

PORT 4

LINK

LINK

PORT 5

LINK

LINK

PORT 5

CONSOLE

LINK

PORT 5

LINK

PORT 5

PORT 5

LINK

LINK

PORT 5

CONSOLE

PORT 5

LINK

LINK

PORT 5

4

LINK

4

LINK

PORT 6

LINK

LINK

LINK

LINK

10GE UPLINK

PORT 6

PORT 6

PORT 6

PORT 6

LINK

LINK

LINK

LINK

10GE UPLINK

PORT 6

PORT 6

PORT 6

5

5

PORT 7

PORT 7

PORT 7

PORT 7

PORT 7

PORT 7

PORT 7

PORT 7

LINK

LINK

LINK

LINK

LINK

LINK

LINK

LINK

10 Gigabit Ethernet 1 Gigabit Ethernet

PORT 8

USB

PORT 8

PORT 8

PORT 8

PORT 8

USB

PORT 8

PORT 8

PORT 8

LINK

LINK

LINK

LINK

LINK

LINK

LINK

LINK

Core réteg Power Supply 1

Power Supply 2

Power Supply 1

Power Supply 2

INPUT 1 100-240V ~ 16A 60/50 Hz

INPUT 1 100-240V ~ 16A 60/50 Hz

INPUT 1 100-240V ~ 16A 60/50 Hz

INPUT 1 100-240V ~ 16A 60/50 Hz

INPUT 2 100-240V ~ 16A 60/50 Hz

INPUT 2 100-240V ~ 16A 60/50 Hz

INPUT 2 100-240V ~ 16A 60/50 Hz

INPUT 2 100-240V ~ 16A 60/50 Hz

INPUT OK

FAN OK

1

OUTPUT FAIL

INPUT OK 1

2

SWITCH MUST BE IN OFF “O” POSITION TO INSTALL/ REMOVE POWER SUPPLY. FASTENER MUST BE FULLY ENGAGED PRIOR TO OPERATING POWER SUPPLY.

FAN OK

OUTPUT FAIL

INPUT OK 1

2


CISCO SYSTEMS, INC.

RUN

LL INSTA

RUN

LL INSTA

RUN

LL INSTA

RUN

LL INSTA

CISCO SYSTEMS, INC.

CISCO SYSTEMS, INC.

FAN OK

OUTPUT FAIL

INPUT OK 1

2


FAN OK

OUTPUT FAIL

2


CISCO SYSTEMS, INC.

ü

ü

WS-C6509-V-E

WS-C6509-V-E

WS-C6509-V-E

1

ID

2

S

3 4

LINK

PORT 1

5

US EJECT

PWR MGMT

6 7 8

STAT ID

US

8

RESET

48 PORT GIGABIT ETHERNET-SFP

SHUTDOWN

SYSTEM ACTIVE

SHUTDOWN

7

9

LINK

10

PORT 2

DISK 0

LINK

LINK

LINK

10

PORT 2

PORT 2

9

PORT 2

11

11

12

12

13

13

14

1

LINK

14

15

15

16

LINK

3

17

2

LINK

PORT 3

LINK

SFP UPLINK

LINK

LINK

PORT 3

18

18

3

17

LINK

LINK

PORT 3

16

PORT 3

2

STAT US

ID

8

19

19

20

20

22

PORT 4

21 23

LINK

LINK

LINK

23

LINK

24

24

12

MANAGEMENT

PORT 4

PORT 4

22

PORT 4

LINK

LINK

11

MANAGEMENT

PORT 4

10

PORT 4

21

9

PORT 2

LINK

LINK

13

25

25

14

1

26

26

LINK

28

PORT 5

27

LINK

LINK

PORT 5

PORT 5

LINK

28

PORT 5

27

LINK

LINK

PORT 5

29

29 30

18

US

18

30

31

19

19

31

3

17

LINK

PORT 5

16

PORT 3

2

LINK

LINK

17

SFP UPLINK

LINK

LINK

PORT 3

LINK

PORT 3

16

PORT 3

CONSOLE

15

15

CONSOLE

LINK

14

32

4

LINK

MODULE CONSOLE

32

4

LINK

33

PORT 6

34

LINK

LINK

LINK

34

LINK

35

35

36

36

LINK

10GE UPLINK

PORT 6

PORT 6

33

PORT 6

LINK

LINK

24

24

10GE UPLINK

PORT 6

23

PORT 6

22

PORT 4

21

LINK

LINK

LINK

23

LINK

MANAGEMENT

PORT 4

PORT 4

22

PORT 4

21

MODULE CONSOLE

20

20

LINK

37

37

25

25

38

5

38

5

26

39

40

PORT 7

PORT 7

PORT 7

40

PORT 7

PORT 7

PORT 7

28

PORT 5

27

LINK

LINK

LINK

LINK

LINK

29

29

LINK

LINK

LINK

LINK

PORT 5

PORT 5

LINK

28

PORT 5

27

39

CONSOLE

26

CONSOLE

41

41

30

30

42 43

43

32

4

LINK

32

44

44

MODULE CONSOLE

42

31

31

4

LINK

MODULE CONSOLE

LINK

LINK

LINK

46

PORT 8

45

USB

PORT 8

PORT 8

LINK

LINK

47

47

35

35

LINK

46

PORT 8

45

USB

PORT 8

34

PORT 8

33

PORT 6

LINK

LINK

LINK

34

LINK

10GE UPLINK

PORT 6

PORT 6

33

PORT 6

10GE UPLINK

48

48

36

36

37

37

38

5

38

5

39

39

40

PORT 7

PORT 7

PORT 7

40

PORT 7

PORT 7

PORT 7

LINK

LINK

LINK

LINK

LINK

LINK

41

41

42

42

43

43

44

44 LINK

LINK

LINK

46

PORT 8

45

USB

PORT 8

PORT 8

LINK

LINK

LINK

46

PORT 8

45

USB

PORT 8

PORT 8

47

47

48

48

INPUT 2 100-240V ~ 16A 60/50 Hz

FAN OK

OUTPUT FAIL

INPUT OK 1

2


CISCO SYSTEMS, INC.

FAN OK

OUTPUT FAIL

LL INSTA

INPUT OK

DC Aggregáció (2)

2


ü

1

FAN OK

OUTPUT FAIL

INPUT OK 1

2


CISCO SYSTEMS, INC.

CISCO SYSTEMS, INC.

FAN OK

OUTPUT FAIL

2


ü

RUN

RUN

RUN

LL INSTA

RUN

LL INSTA

RUN

LL INSTA

INPUT 2 100-240V ~ 16A 60/50 Hz

INPUT OK 1 CISCO SYSTEMS, INC.

RUN

ID

13

MANAGEMENT

LINK

LINK

INPUT 1 100-240V ~ 16A 60/50 Hz

INPUT 2 100-240V ~ 16A 60/50 Hz

LL INSTA

OUTPUT FAIL

2


Power Supply 2

INPUT 1 100-240V ~ 16A 60/50 Hz

INPUT 2 100-240V ~ 16A 60/50 Hz

RUN

STAT

12

3

PORT 6

PORT 6

RUN

STATUS

STATUS

WS-X6908-10GE-2T


WS-X6848-SFP

ID

STATU

STATUS

WS-SVC-ASA-SM1

ACE30-MOD-K9

ASA SERVICE MODULE

VS-SUP2T-10G


LINK

LINK

PORT 1

PORT 1

APPLICATION CONTROL ENGINE SERVICE MODULE

ID

6

LINK

SFP UPLINK

7

LINK

11

LINK

LINK

LINK

PORT 5

PORT 5

FAN OK

ID

5

1

LINK

6

DISK 0

LINK

LINK

LINK

10

PORT 2

PORT 2

9

PORT 2

2

LINK

LINK


STATUS

LINK

DISK 0

LINK

5

LINK

PORT 3

PORT 3

4

PORT 1

RESET

8

LINK

SFP UPLINK

PORT 4

PORT 4

INPUT 2 100-240V ~ 16A 60/50 Hz LL INSTA

OUTPUT FAIL

Power Supply 1

INPUT 1 100-240V ~ 16A 60/50 Hz

INPUT 2 100-240V ~ 16A 60/50 Hz

INPUT OK

FAN OK 2

Power Supply 2

INPUT 1 100-240V ~ 16A 60/50 Hz

Power Supply 2

INPUT 1 100-240V ~ 16A 60/50 Hz

1

INPUT 2 100-240V ~ 16A 60/50 Hz LL INSTA

INPUT OK 1


STATUS

4

PORT 1

RESET

3


7

1

LINK

LINK

LINK

PORT 3

PORT 3

Power Supply 1

INPUT 1 100-240V ~ 16A 60/50 Hz

CISCO SYSTEMS, INC. INPUT 2 100-240V ~ 16A 60/50 Hz

WS-X6908-10GE-2T

3


EJECT

PWR MGMT

2

EJECT

6

PWR MGMT

LINK

SHUTDOWN

SYSTEM ACTIVE

SHUTDOWN

5

DISK 0

LINK

LINK

Power Supply 2

INPUT 1 100-240V ~ 16A 60/50 Hz

LL INSTA

CISCO SYSTEMS, INC.

WS-X6908-10GE-2T

2

SHUTDOWN

SYSTEM ACTIVE

SHUTDOWN

LINK

LINK

1

ID

S

LINK

LINK

PORT 1

LINK

PORT 1

4

PORT 1

RESET

PORT 2

PORT 2

Power Supply 1

Power Supply 1

INPUT 1 100-240V ~ 16A 60/50 Hz


1

ID

S

PORT 2

PORT 2

STATUS

WS-X6908-10GE-2T

WS-X6848-SFP

STATUS


ACE30-MOD-K9

ID

STATU

STATUS

WS-SVC-ASA-SM1

ASA SERVICE MODULE

VS-SUP2T-10G

3

EJECT

PWR MGMT


SHUTDOWN

SHUTDOWN

SYSTEM ACTIVE


ID

ID

2

S


STATUS

STATUS

WS-X6908-10GE-2T

WS-X6908-10GE-2T


1

ID


STATUS

STATUS

WS-X6908-10GE-2T


WS-X6848-SFP

ID

STATU

STATUS

WS-SVC-ASA-SM1

ACE30-MOD-K9

ASA SERVICE MODULE

VS-SUP2T-10G

LINK

LINK

PORT 1

PORT 1


ID

ID


STATUS

STATUS

WS-X6908-10GE-2T

WS-X6908-10GE-2T



Aggregációs réteg


STATUS

STATUS

WS-X6908-10GE-2T


WS-X6848-SFP

ACE30-MOD-K9

ID

STATU

STATUS

WS-SVC-ASA-SM1

ASA SERVICE MODULE

LINK

LINK

PORT 1

PORT 1

FAN 2 FAN STATUS

VS-SUP2T-10G


ID

ID

FAN 1

FAN 2


STATUS

STATUS

WS-X6908-10GE-2T

WS-X6908-10GE-2T



FAN 1

FAN STATUS

FAN 1

FAN 2 FAN STATUS

ID

FAN 1

FAN 2 FAN STATUS

STAT

WS-C6509-V-E

FAN OK

OUTPUT FAIL

INPUT OK

ü

FAN OK

1

2


OUTPUT FAIL

2


CISCO SYSTEMS, INC.

DC Aggregáció (3)

ü

DC Hozzáférési réteg WS-X6848-GE-TX 1 2

11

48 PORT 10/100/1000 RJ-45

13

12

23

14

25

24

35

26

37

36

47

38

48

1 STATUS

FAN STATUS

1

2

WS-X6848-GE-TX 1 2

3

4

5

6

7

8

9

10

11

7

8

9

10

11

12 11

48 PORT 10/100/1000 RJ-45

13

14

15

16

17

18

19

13

14

15

16

17

18

19

14

15

13

12

20

21

22

23

24 23

14

25 25

24

26

27

28

29

30

31

32

33

32

33

34

35

36 35

26

37 37

36

38

39

40

39

40

43

44

45

46

47

48

41

42

43

44

45

46

47

48

41

41

42

42

43

44

45

46

47

38

48

2 STATUS

1

2

3

4

5

6

12

20

21

22

23

24

25

26

27

28

29

30

31

34

35

36

34

35

37

38


WS-X6848-SFP

3 STATUS 1

2

3

4

5

6

7

8

9

10

11

12

13

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

36

37

38

39

40

47

48


WS-X6848-SFP

4 STATUS 1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

VS-SUP2T-10G

DISK 0

SFP UPLINK 1

STATUS ID

SYSTEM ACTIVE

PWR MGMT

10GE UPLINK

4

EJECT

5

2

3

LINK

LINK

5 USB

RESET

SUPERVISOR 2T WITH INTEGRATED SWITCH FABRIC/PFC4 LINK

MANAGEMENT

LINK

CONSOLE

LINK

VS-SUP2T-10G

DISK 0

SFP UPLINK 1

STATUS ID

SYSTEM ACTIVE

PWR MGMT

10GE UPLINK

4

EJECT

6

2

3

LINK

LINK

5 USB

RESET

SUPERVISOR 2T WITH INTEGRATED SWITCH FABRIC/PFC4 LINK

MANAGEMENT

LINK

WS-X6848-GE-TX 1 2

Active/Active NIC

13

12

23

14

25

24

35

26

37

36

47

38

48

WS-X6848-GE-TX 1 2

1

2

3

4

5

6

7

8

9

10

11

7

8

9

10

11

14

15

16

17

18

19

13

14

15

16

17

18

19

9

10

12

11

12

13

14

15

16

9

10

11

12

13

14

15

16

11

48 PORT 10/100/1000 RJ-45

13 13

12

20

21

22

23

24 23

14

25 25

24

26

27

28

29

30

31

32

33

32

33

34

35

36 35

26

37

38

39

40

39

40

41

42

44

45

46

47

48

42

43

44

45

46

47

48

39

40

41

42

43

44

45

46

47

48

38

39

40

41

42

43

44

45

46

47

48

47

38

3

4

5

6

12

20

21

22

23

24

25

26

27

28

29

30

31

34

35

36

34

35

36

37

37

34

35

36

37

38

5

6

7

8

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

PORT 6

PORT 7

PORT 8

PORT 9

PORT 10

PORT 11

PORT 12

PORT 13

PORT 14

PORT 15

PORT 16

PORT 5

PORT 6

PORT 7

PORT 8

PORT 9

PORT 10

PORT 11

PORT 12

PORT 13

PORT 14

PORT 15

PORT 16

4

5

6

7

8

7

8

9

10

11

9

10

11

12 11

13 13

12

14

15

16

14

15

16

17

18

19

20

21

22

23

17

18

19

20

21

22

23

24 23

14

25 25

24

26

27

28

26

27

28

29

30

31

29

30

31

32

33

34

35

32

33

34

35

37

36 35

26

47

38

37

36

37

38

39

40

41

42

43

38

39

40

41

42

43

44

45

46

47

48

44

45

46

47

48

47

38

WS-X6848-GE-TX 1 2

48

FAN STATUS

11

48 PORT 10/100/1000 RJ-45

1

2

WS-X6848-GE-TX 1 2

48

3

4

5

6

7

8

7

8

9

10

11

9

10

11

13

12

12 11

48 PORT 10/100/1000 RJ-45

23

14

13 13

12

14

15

16

14

15

16

17

18

19

20

21

22

23

17

18

19

20

21

22

23

25

24

24 23

14

35

26

25 25

24

26

27

28

26

27

28

29

30

31

29

30

31

32

33

34

35

32

33

34

35

36

37

36 35

26

47

38

37

36

37

38

39

40

41

42

43

38

39

40

41

42

43

44

45

46

47

48

44

45

46

47

48

47

38

48

48

2 STATUS

2

3

4

5

6

12

13

24

25

36

37

1

WS-X6716-10T

2

3

4

5

6

12

13

24

25

36

37

WS-X6716-10T

3

3 STATUS

STATUS

PORT 1

PORT 2

PORT 3

PORT 4

PORT 5

PORT 6

PORT 7

PORT 8

PORT 9

PORT 10

PORT 11

PORT 12

PORT 13

PORT 14

PORT 15

PORT 16

PORT 2

PORT 3

PORT 4

PORT 5

PORT 6

PORT 7

PORT 8

PORT 9

PORT 10

PORT 11

PORT 12

PORT 13

PORT 14

PORT 15

PORT 16

STATUS

16 PORT 10 GbE MODULE 1

2

3

4

5

6

7

8

VS-SUP2T-10G

SFP UPLINK 1

STATUS ID

SYSTEM ACTIVE

PWR MGMT

2

10GE UPLINK

4

LINK

LINK

4

USB

MANAGEMENT

LINK

CONSOLE

PORT 3

PORT 4

PORT 5

PORT 6

PORT 7

PORT 8

PORT 9

PORT 10

PORT 11

PORT 12

PORT 13

PORT 14

PORT 15

PORT 16

PORT 2

PORT 3

PORT 4

PORT 5

PORT 6

PORT 7

PORT 8

PORT 9

PORT 10

PORT 11

PORT 12

PORT 13

PORT 14

PORT 15

PORT 16

4 STATUS

LINK

PORT 2

WS-X6716-10T

5

3

RESET


PORT 1


WS-X6716-10T DISK 0 EJECT

5

PORT 1

STATUS

PORT 1

LINK



VS-SUP2T-10G

DISK 0

SFP UPLINK 1

SYSTEM ACTIVE

PWR MGMT

2

10GE UPLINK

4

EJECT

6

VS-S720-10G

5

3

LINK

MANAGEMENT

LINK

LINK

STATUS

CONSOLE

LINK

1

SYST RPS MSTR STAT DPLX SPED STCK

PORT 1

PORT 2

PORT 3

PORT 4

PORT 5

PORT 6

PORT 7

PORT 8

PORT 9

PORT 10

PORT 11

PORT 12

PORT 13

PORT 14

PORT 15

PORT 16

PORT 2

PORT 3

PORT 4

PORT 5

PORT 6

PORT 7

PORT 8

PORT 9

PORT 10

PORT 11

PORT 12

PORT 13

PORT 14

PORT 15

PORT 16

MODE

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

Catalyst 2960-S Series

24

1X

11X

13X

23X

2X

12X

14X

24X

1

26

27

28

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

SYST RPS MSTR STAT DPLX SPED STCK

MODE

1

Catalyst 2960-S Series

24 CONSOLE

M G M T B A S E T

25

1X

11X

13X

23X

2X

12X

14X

24X

STATUS

SYSTEM ACTIVE

M G M T B A S E T

UPLINK

EJECT

5

7


VS-S720-10G

DISK 0

USB

RESET

CONSOLE

PORT 5

PORT 4

3

48 PORT 10/100/1000 RJ-45

1 4

LINK

PORT 4

PORT 3

36

STATUS

2

STATUS

3


WS-X6816-10T

PORT 3

35

26

1

1

2


2

WS-X6816-10T

PORT 2

25

24

STATUS

WS-X6848-GE-TX 1 2 2

1

LINK

PORT 2

23

14

48

FAN STATUS 1

STATUS

WS-X6848-SFP

4

7 PORT 1

13

12

1

43

41

38

37

36

STATUS

WS-X6848-SFP

3


STATUS

11

48 PORT 10/100/1000 RJ-45

STATUS

WS-X6848-GE-TX 1 2

2

STATUS ID

CONSOLE

11

48 PORT 10/100/1000 RJ-45

1

FAN STATUS

PWR MGMT

SFP

26

27

4

DISK 0

10GE UPLINK

5

1 STATUS

LINK

LINK

UPLINK

EJECT

5

USB

RESET

SUPERVISOR 720 WITH INTEGRATED SWITCH FABRIC/PFC3 LINK

25

10/100/1000 3

2

SYSTEM ACTIVE

PWR MGMT

SFP

10/100/1000 3

10GE UPLINK

5 USB

RESET

SUPERVISOR 720 WITH INTEGRATED SWITCH FABRIC/PFC3

CONSOLE

4

2

LINK

LINK

LINK

LINK

CONSOLE

LINK

28


6

WS-X6816-10T

6

WS-X6816-10T

8

C6506-E-FAN STATUS

PORT 1

C6506-E-FAN

8 STATUS


PORT 1

WS-C6506-E


WS-C6506-E

9 9 C6509-E-FAN C6509-E-FAN

FAN OK

OUTPUT FAIL

INPUT OK

2 1 CISCO SYSTEMS, INC.

INPUT 2 100-240V ~ 16A 60/50 Hz

FAN OK

OUTPUT FAIL

INPUT OK 1

2


CISCO SYSTEMS, INC.

INPUT 2 100-240V ~ 16A 60/50 Hz

FAN OK

OUTPUT FAIL

2


HP Blade chassis integrált kapcsolóval

1 CISCO SYSTEMS, INC.

FAN OK


INPUT 2 100-240V ~ 16A 60/50 Hz

LL INSTA

OUTPUT FAIL

2


INPUT 1 100-240V ~ 16A 60/50 Hz

INPUT 2 100-240V ~ 16A 60/50 Hz

LL INSTA

INPUT OK

INSTAL

RUN

INPUT OK 1


LL INSTA

INPUT 2 100-240V ~ 16A 60/50 Hz L

INSTAL

OUTPUT FAIL

CISCO SYSTEMS, INC.

INPUT 1 100-240V ~ 16A 60/50 Hz

INPUT 2 100-240V ~ 16A 60/50 Hz L

RUN

RUN

FAN OK 2

INPUT 1 100-240V ~ 16A 60/50 Hz

RUN

INPUT 1 100-240V ~ 16A 60/50 Hz

INPUT 2 100-240V ~ 16A 60/50 Hz L INSTAL

INPUT OK 1


RUN

INPUT 1 100-240V ~ 16A 60/50 Hz

INPUT 2 100-240V ~ 16A 60/50 Hz

RUN

INPUT 1 100-240V ~ 16A 60/50 Hz

L INSTAL

CISCO SYSTEMS, INC.

INPUT 1 100-240V ~ 16A 60/50 Hz

FAN OK

LL INSTA RUN

INPUT 1 100-240V ~ 16A 60/50 Hz

WS-C6509-E

RUN

WS-C6509-E

OUTPUT FAIL

INPUT OK 1

2


CISCO SYSTEMS, INC.

FAN OK

OUTPUT FAIL

INPUT OK 1

2


CISCO SYSTEMS, INC.

FAN OK

OUTPUT FAIL

2


Active/Standby NIC

Clustering and NIC teaming

L3 hozzáférés izolált kiszolgálókkal Blade chassis

17. ábra - L1 és L2 topológia

33

4.1.1. Redundancia A Hozzáférési réteg redundanciája a következőképpen biztosított: ha egy eszközre kapcsoljuk az eszközöket, akkor két különálló, de ugyanolyan típusú modulra kapcsolhatjuk őket, így védve a modulhiba okozta leállás ellen, vagy külön eszközre csatlakoztathatjuk a kiszolgálónk hálózati kártyáit. Minden kiszolgálótípus esetén a kapcsolók elérhetőségéről redundáns supervisor

modulok

gondoskodnak,

egy

supervisor

modul

elvesztése

esetén

a

csomagtovábbítás megszakításmentesen folytatódhat, amíg az SSO protokoll maximum 3 másodpercen belül átveszi az irányítást [14]. Ez úgy lehetséges, hogy a data-plane és a control-plane el van különítve minden modulon, és az adattovábbításért a modulokban található Distributed Forwarding Card (DFC) felelős. Az Active/Active és az Active/Standby hálózati kártyákkal rendelkező kiszolgálókat minden lehetséges esetben külön eszközre kell elhelyezni, ahol viszont ez nem megoldható, ott ugyanazon chassis két különböző moduljára kerültek. Clustering és Blade chassis esetén muszáj a hálózati kapcsolatokat ugyanazon eszközre rakni, mert a Hozzáférési rétegben nincs VSS, így nem lehet MultiChassis Etherchannel-t (MEC) alkalmazni, hogy biztosítsuk a teljes sávszélesség kihasználást a fizikai eszköz felé a virtuális gépek hálózati kártyához való kötése nélkül. Hagyományos Etherchannel esetén (több fizikai kapcsolat egy logikai kapcsolatba való összefogása), fontos feltétel, hogy minden kapcsolat ugyanarra az eszközre legyen csatlakoztatva [5, 100. oldal]. Azokat a Blade chassis-kat, amelyek integrált kapcsolóval rendelkeznek a Hozzáférési réteg horizontális kiterjesztése nélkül egyből az Aggregációs rétegre kötjük és ott a VSS lehetővé teszi a MEC alkalmazását, így teljes sávszélességet ki tudjuk használni és a redundanciával együtt az állandó rendelkezésre állás is biztosított [5, 100. oldal]. A Hozzáférési réteg eszközei mivel csak OSI modell adatkapcsolati rétegbeli hozzáférést biztosítanak, ezért a VSS beállítása NSF+SSO konfigurációval lassabb konvergenciát biztosítanak, mint ha különálló eszközök két-két supervisor modullal rendelkeznek és csak SSO protokollt használnak, ezért nem lett VSS implementálva a Hozzáférési rétegben. A kapcsolók két-két 10 Gbps sávszélességű kábellel csatlakoznak az Aggregációs rétegbe, melyek egy logikai interfészbe vannak foglalva.

34

Az Aggregációs rétegben VSS technológiát alkalmazva egy logikai eszközként kezelhetjük az eszközöket, amelyek 1-1 supervisor modullal rendelkeznek. A kapcsolatok két eszközön történő elhelyezése tovább növeli a redundanciát, mert modul, eszköz, esetleg kábel meghibásodása esetén is elérhető marad a hálózat és megszakítás nélkül folytatódhat az adattovábbítás. Az Etherchannel és a MEC ilyen esetben a másodperc törtrésze alatt képes a forgalmat a meghibásodott interfészről a többire átirányítani [39]. A forgalomelosztó és a tűzfal redundáns módon, Active/Standby módban működik, de a kapcsolati információk szinkronizálva vannak az eszközök között, így ha az aktív eszköz meghibásodik, akkor sem szakad meg a kapcsolat, hanem a másodlagos eszköz átveszi az irányítást és megszakításmentesen továbbítja az adatokat. Az Aggregációs réteg 4x10 Gbps sávszélességgel kapcsolódik a Core rétegbe melyet szintén MEC logikai interfésszel kapcsolunk össze mindkét oldalon, így növelve egyszerre a redundanciát és a sávszélességet [5, 100. oldal]. A Core réteg és az Aggregációs réteg VSS technológiát használ így növelve a rendelkezésre álló kapacitást és csökkentve a STP protokoll által blokkolt interfészek számát. Minden kapcsoló két tápegységgel rendelkezik, hogy ha az egyik áramszolgáltatónál áramkimaradás lenne, vagy tápegység hiba lépne elő az eszközben, mégse történjen kimaradás [40].

4.1.2. Bővíthetőség Minden eszközön az interfészek 5/10%-a van lefoglalva (üresen hagyva), hogy későbbi portmeghibásodás esetén ne kelljen új modult vásárolni, hanem egyszerűen át lehet kábelezni és SFP-vel együtt áthelyezni egy másik portba. A 48 portos modulok esetén 4, míg a 8/16 portos modulok esetén 1/2 port lett lefoglalva. Minden eszközben maradt üres hely, hogy ha esetlegesen újabb interfészekre van szükség az egyik kapcsolón, akkor megoldható legyen egy újabb modul behelyezése. Az Aggregációs és Hozzáférési réteg egy tartományt alkotva többször is telepíthető az adatközpontba és ráköthető ugyanarra a gerinchálózati eszközpárra, 2/5/11 ilyen tartomány alakítható ki összesen a gerinchálózatba való újabb modul vásárlása nélkül 160/80/40 Gbps sávszélességgel.

35

4.1.3. Tűrőképesség és rendelkezésre állás A hálózatban bekövetkezhető hibák közül rétegenként az alábbi esetek kerültek megvizsgálásra: 

eszközök közötti kapcsolat elvesztése: leggyakrabban előforduló eset, hogy egy kábel megsérül, interfész vagy SFP elromlik;



supervisor, Line Card meghibásodása: modul meghibásodik és ezt hogyan tolerálja a hálózatunk;



egy egész kapcsoló elvesztése;



hurok alakul ki a hálózatunkban;



Broadcast Storm kialakulása.

A Hozzáférési rétegben valamely kiszolgáló, ha elveszíti egyik kapcsolatát, akkor a következő esetek lehetségesek: 

Blade chassis: a teljesítmény 1/8 résszel csökken, a forgalom 7 kábelen oszlik meg;



Active/Standby NIC: az aktív kapcsolat meghibásodása esetén átváltás (failover) történik a Standby kapcsolatra, így leállás nélkül folytatódik a kiszolgálás;



Active/Active NIC: a teljesítmény 50%-kal csökken és ha a kiszolgáló kihasználtsága nagyobb, mint amit egy kapcsolaton elbír, akkor teljesítmény probléma léphet fel, amíg a hibás kapcsolat javításra nem kerül;



Clustering: kiszolgálók csoportosítása esetén egy kapcsolat elvesztése nem okoz problémát a rendszernek, több kapcsolat elvesztése esetén viszont már teljesítmény problémák és torlódás léphet fel.

Ha a Hozzáférési réteg elveszíti az egyik modulját, akkor mivel minden eszköznek redundáns kapcsolata van, így hiba esetén is elérhető marad minden eszköz, nem sérül a szolgáltatási szintű megállapodás (Service Level Agreement). Ha egy egész kapcsolót veszítünk viszont el, akkor Blade chassis esetén leállás történhet, ehhez viszont vagy mindkét supervisor modulnak vagy a chassis-nak kell meghibásodnia, melyre a meghibásodások között átlagosan eltelt idő egy Catalyst 6509-e esetén (MTBF) 348935 óra (egy Catalyst 6509-V-E esetén pedig 330888 óra), így az esély nagyon kicsi [29]. Ha a Hozzáférési réteg elveszít egy kapcsolatot az Aggregációs réteggel, szintén nem történik leállás, csak a rendelkezésre álló sávszélesség drasztikusan csökken. Ebben az esetben viszont

36

át lehet állítani a terheléselosztót, hogy azon kiszolgálókra kevesebb kapcsolat jusson és az egészséges kiszolgálókra pedig több. Ezt ACE esetén súly (weight) módosításával lehet megtenni. Minél magasabb a weight értéke a kiszolgálónak, annál nagyobb az esély arra, hogy kapcsolat kerül hozzá. 1 és 100 között vehet fel értéket. Alapértelmezett értéke 8. Példa ACE konfigurációra, ahol csökkentjük a kiszolgáló súlyát 1-re [30]: host1/Admin(config-rserver-host)# weight 1

Az Aggregációs réteg, ha elveszít egy kapcsolatot a Core-ral, a MEC a másodperc töredéke alatt képes a teljes forgalmat átirányítani a meglévő kapcsolatokra, így nem okoz leállást a hálózatban. Ha egy Line Card hibásodik meg, akkor az arra kötött kapcsolatok ugyan elvesznek, de minden eszköz redundáns kapcsolattal rendelkezik, így csökken ugyan a hálózat sávszélessége, de nem okoz leállást. Egy supervisor modul meghibásodása esetén a VSS cluster irányítását átveszi a Standby supervisor és megszakítás nélkül folyik az adattovábbítás mindkét tagon. Kiesés csak akkor történhet a hálózatban, ha minden kapcsolat elvész a Coreral, vagy mindkét supervisor modul meghibásodik [2, 50-51. oldal]. Ha csak egy vagy két kapcsolat hibásodik meg a Core és az Aggregációs réteg között, akkor is még jelentős sávszélesség és redundáns kapcsolat áll rendelkezésre [41]. A Core rétegre ugyanazok a tulajdonságok vonatkoznak, mint az Aggregációs rétegre, mert a Core is VSS protokollt használ egy-egy supervisor modullal. Egyetlen különbség, hogy csak két kapcsolat áll rendelkezésre a Core és a vállalati hálózat között, de ez a hálózat terhelésétől és növekedésétől függően tovább bővíthető akár 16 kapcsolatig is, így biztosítva 160 Gbps full duplex kapcsolatot [41]. Amennyiben egy egész kapcsoló esik ki az Aggregációs vagy Core rétegben, a redundáns kapcsolatok és MEC miatt csak feleződik a rendelkezésre álló sávszélesség, de a kapcsolatok nem szakadnak meg [41]. Az alapértelmezett átjárók az Aggregációs rétegben helyezkednek el, így a Hozzáférési és adatkapcsolati rétegben alakulhat ki hurok úgy, hogy jelentős hatással legyen a hálózatra. Ennek elkerülése végett minden eszközön be van kapcsolva a STP mégpedig Rapid Per VLAN Spanning-Tree + (RPVST+) módban.

37

Az alábbi konfiguráció került az eszközökre: Hozzáférési réteg: HUDEBCCSWACCE01(config)#spanning-tree mode rapid-pvst HUDEBCCSWACCE01(config)#spanning-tree vlan 1-4094 priority 49152 HUDEBCCSWACCE01(config)#spanning-tree portfast bpduguard default HUDEBCCSWACCE01(config)#spanning-tree portfast default

Aggregációs réteg: HUDEBCCSWAGGR01(config)#spanning-tree mode rapid-pvst HUDEBCCSWAGGR01(config)#spanning-tree vlan 1-4094 priority 8192

Core réteg: HUDEBCCSWCORE01(config)#spanning-tree mode rapid-pvst HUDEBCCSWCORE01(config)#spanning-tree vlan 1-4094 priority 4096

A Core réteg teljesen L3 módban működik, így a STP protokoll csak biztonsági okokból van jelen. Mivel a teljes topológia hurokmentes és nincs jelen blokkolt port, így hálózatunk 100%os módon kihasználható. Broadcast Storm akkor alakulhat ki a hálózatban, ha hurok van benne, a STP protokoll nem működik megfelelően vagy egy kiszolgáló hatalmas mennyiségű broadcast/multicast csomagot generál. Erre az esetre a Hozzáférési réteg eszközein minden host interfészére az alábbi parancsokat implementáltam: HUDEBCCSWACCE01(config)#interface range Gi1/0/1-48 , Gi2/0/1-48 HUDEBCCSWACCE01(config-if)#storm-control broadcast level 2.00 HUDEBCCSWACCE01(config-if)#storm-control multicast level 2.00 HUDEBCCSWACCE01(config-if)#exit HUDEBCCSWACCE01(config)#interface range Gi3/0/1-48 , Gi4/0/1-48 HUDEBCCSWACCE01(config-if)#storm-control broadcast level 2.00 HUDEBCCSWACCE01(config-if)#storm-control multicast level 2.00 HUDEBCCSWACCE01(config-if)#exit HUDEBCCSWACCE01(config)#interface range Gi7/0/1-16 , Gi8/0/1-16 HUDEBCCSWACCE01(config-if)#storm-control broadcast level 0.20 HUDEBCCSWACCE01(config-if)#storm-control multicast level 0.20 HUDEBCCSWACCE01(config-if)#exit

38

4.1.4. Kapacitás és teljesítmény Az alábbi ábra (18. ábra) összefoglalja a rendelkezésre álló sávszélességet.

Vállalati hálózat

Elméleti maximális sávszélesség: 40 Gbps 20 Gbps 10 Gbps 8 Gbps 4 Gbps 2 Gbps 1 Gbps

Core réteg


DC Hozzáférési réteg

Active/Active NIC Blade chassis integrált kapcsolóval

Clustering és NIC teaming

Active/Standby NIC Blade chassis

L3 hozzáférés izolált kiszolgálókkal

18. ábra – rendelkezésre álló maximális sávszélesség Egy Hozzáférési rétegre (újabb modul vagy eszköz vásárlása nélkül és a fenntartott kapcsolatokkal együtt) maximum 192 darab 1 Gbps interfész és 8/32 darab 10 Gbps interfész áll rendelkezésre Performance/Oversubscription módban. Performance mód azt jelenti, hogy csak az 1,5,9,13 interfészeket használjuk, a többi pedig lekapcsolt állapotban marad, így tud a modul 10 Gbps kapcsolatokat biztosítani full duplex módban mindegyik interfésznek. Az Oversubscription mód pedig azt jeleni, hogy minden interfész használható kiszolgáló kapcsolatra, de az 1-4, 5-8, 9-12, 13-16 port csoportoknak egyenként 10 Gbps full duplex

39

sávszélességen kell osztozniuk. Szükség esetén maximum 80 Gbps sávszélességet lehet biztosítani az Aggregációs réteg felé kapcsolónként. Az Aggregációs réteg kapcsolóira maximum 20 darab Catalyst 6509-E köthető 2x10 Gbps kapcsolattal így biztosítva maximum 4608 darab 1 Gbps interfészt és 768/192 darab 10 Gbps interfészt Oversubscription/Performance módban. Lehetőség van még továbbá az 1 Gbps interfészekre maximum 12 darab 8 Gbps sávszélességgel rendelkező Blade chassis-t ami integrált kapcsolóval rendelkezik. Optimális kihasználtság esetén 120 Gbps sávszélességet tud a Core felé biztosítani az eszköz 80 Gbps VSL-el, így ebben az esetben módosulnak a számok (modulbővítés nélkül): 14 darab Catalyst 6509-E köthető 2x10 Gbps kapcsolattal, így biztosítva maximum 3072 darab 1 Gbps interfészt és 512/128 darab 10 Gbps interfészt Oversubscription/Performance módban. A Core réteg Aggregációs tartományonként (VSS páronként) újabb modulok vásárlása nélkül maximum 160 Gbps sávszélességet biztosít minden Aggregációs tartománynak. VSL kezdetben 20 Gbps, de ez 80 Gbps-ig bővíthető. A vállalati hálózatra kezdetben 20 Gbps sávszélességgel csatlakozik, de ez 160 Gbps sávszélességig bővíthető. Maximum 2/5/11 Aggregációs tartományt köthetünk egy Core-ra 160/80/40 Gbps kapcsolattal. Lehetőség van 40 Gbps modulokkal bővíteni az eszközöket, mert minden Catalyst 6509 kapcsoló 2T Supervisor modullal rendelkezik, de 100 Gbps modulok még nem állnak rendelkezésre. Felhasznált modulok [31]: 

VS-S2T-10G: Supervisor 2T, 2darab 10 Gbps porttal



WS-X6908-10G-2T: 8-portos 10 Gigabit Ethernet SFP-s modul



WS-X6816-10T-2T: 16-portos 10 Gigabit Ethernet Copper modul



WS-X6848-SFP-2T: 48-Portos Gigabit Ethernet SFP-s modul



WS-X6848-TX-2T: 48-Portos Gigabit Ethernet Copper modul



WS-SVC-ASA-SM1-K9: Tűzfal SERVICE modul



ACE30-MOD-K9: Forgalomelosztó SERVICE modul



WS-SVC-NAM3-6G-K9: Network Analysis SERVICE modul

A WS-X6908-10G-2T modul 80 Gbps sávszélességgel csatlakozik a backplane-hez, minden más nem SERVICE modulnak csak 40 Gbps kapcsolata van. A Backplane egy olyan áramkör, ami biztosítja a kapcsolatot a Supervisor modulok és a Line Card-ok között [32]. 40

A Supervisor 2T legnagyobb hátránya, hogy a Switch Fabric, ami Catalyst 6500 esetén dedikált kapcsolatokat biztosít a modulok között és a keretek megszakításmentes továbbításáért felelős, integrálva van a Supervisor modulba. Meghibásodása esetén az eszköz nem képes kereteket továbbítani, és az egész supervisor modult cserélni kell.

4.1.5. Szolgáltatások és biztonság Az Aggregációs réteg rendelkezik forgalomelosztó és tűzfal modullal is. Mindkét modul integrálva van a kapcsolókba, így nem foglalnak el újabb helyet és nem igényelnek új tápellátást. A forgalomelosztó (ACE30-6500-K9) képes virtuális kiszolgálók létrehozására, amely segítségével valódi kiszolgálókat csoportosíthatunk és eloszthatjuk a terhelést. Továbbá számos monitorozási lehetőség is van, melyben akár alkalmazási rétegbeli paraméterek alapján vizsgálhatjuk a valódi kiszolgálók állapotát [8]. Hátránya, hogy adatbázist nem képes alkalmazási réteg szinten vizsgálni és nagyon korlátozott készletünk áll rendelkezésre ACE modul esetén, az architektúra régi, és nagyon drága, illetve csak 2014 első negyedévéig lehet hivatalosan megvásárolni, mert kifutó modell. Helyette a Cisco a Citrix és F5 modelleket javasolja, de A10 eszközök is rendelkezésre állnak egyenlő vagy nagyobb teljesítménnyel, több funkcióval és kedvezőbb áron. A tűzfal modul (WS-SVC-ASA-SM1-K9) nagy teljesítménnyel és kiváló funkciókkal rendelkezik, nem kifutó modell, maximum 20 Gbps teljesítményre képes. Licencek határozzák meg, hogy az eszköz hány Security Context-el (SC) rendelkezhet. A Security Context a virtuális tűzfalak számával egyezik meg, azaz 1 SC egyenlő egy virtuális tűzfallal [10]. Az ACE modul ACE-08G-LIC licenccel, a tűzfal pedig ASA5500-SC-10 licenccel rendelkezik. Az ACE így 8 Gbps teljesítménnyel rendelkezik, ami bővíthető 16 Gbps-re is, a tűzfal pedig 10 Security Context-tel rendelkezik, ami bővíthető 250-ig. A Core réteg pedig NAM3 modult kapott, hogy valós idejű képet kaphassunk az eszközön áthaladó forgalomról.

41

4.1.6. Kiépítési és üzemeltetési költség A megtervezett hálózat teljes költsége listaáron körülbelül 2,55 millió dollár és minden egyes újabb Aggregációs réteg körülbelül 500 000 dollárba, minden újabb Hozzáférési réteg kapcsolója 240 000 dollárba kerül, de ez nem tartalmazza a kábelezési költségeket. Üzemeltetési költségek terén egy modulcsere 16 000-50 000 dollár között mozog listaár szerint, egy supervisor 2T modul 28000 dollár. Egy egész chassis kicserélése 14 000 dollár, tápegységek nélkül, egy 3000W-os tápegység listaára pedig 3 000 dollár. A 8. táblázat összefoglalja a bővítési költségeket: Kapcsolók

Listaár (dollár)

CORE

2*400 000

AGGR

2*500 000

ACCESS L2

230 000 per darab

L3

2x140 000

Kiépítés szerinti sávszélesség költségek 1 Gbps

2960/ Gbps

Bővítés szerinti sávszélesség költségek (csak Hozzáférési réteg) 1 Gbps 875/ Gbps

8. táblázat A 9. táblázat pedig összefoglalja az üzemeltetési költségeket: Modulok és chassis

Listaár (dollár)

WS-C6506-E

5 500

WS-C6509-E

9 500

WS-C6509-V-E

9 550

VS-S2T-10G

28 000

WS-X6908-10G-2T

40 000 (+SFP)

WS-X6816-10T-2T

22 500

WS-X6848-SFP-2T

25 000 (+SFP)

WS-X6848-TX-2T

15 000

WS-SVC-ASA-SM1-K9

115 000

ACE30-MOD-K9

69 995

WS-SVC-NAM3-6G-K9

59 000

9. táblázat

42

4.2. Hálózati terv Nexus kapcsolókkal A második esetben a hálózati tervet Nexus kapcsolókkal készítettem el. A Nexus család 2000, B22, 5000 és 7000 típusait használtam fel. Csak a Nexus 7000 rendelkezik saját Service modullal, ami egy NAM modul, így más szolgáltatásokhoz külső gyártók eszközei kerültek a hálózati tervbe, mint például az A10 Networks Thunder és a Juniper Networks Netscreen szériák. A következő oldalon a Fizikai és adatkapcsolati (L1+L2) topológia a következő oldalon látható (19. ábra). A Hozzáférési réteg és az Aggregációs réteg elkészített és tesztelt konfigurációja a 7. függelékben található meg. A Nexus 5596UP és 5596T nem kerültek felhasználásra a tervezés során, ugyanis az NX-OS szoftver korlátja Layer3 módban vPC-vel maximum 16 FEX-t támogat [38], ami azt jelenti, hogy két 5596 felhasználása esetén a 192 portból csak maximum 128-at lehet felhasználni, 48 port kihasználatlanul marad, ami alacsony kihasználtságot és felesleges költségeket jelent.

4.2.1. Redundancia A Hozzáférési réteg redundanciája két fő részre osztható: a FEX és a Nexus 5548UP (N5K) részre. A FEX, mint csatlakozási pont redundanciája került megvizsgálásra, a N5K mint vezérlési pont került megvizsgálásra. A FEX és a N5K redundáns tápegységekkel rendelkezik, így a tápellátás szemszögéből mindkettő redundáns [1, 350-357. oldal]. A FEX 4/8 fabric kapcsolattal rendelkezik, melyek 50-50%-ban oszlanak el a két N5K kapcsolón, így nincs Single Point Of Failure (SPOF). Minden kiszolgálót, amely Active/Active vagy Active/Standby NIC-el rendelkezik, illetve Clustering és NIC Teaming esetén minden kapcsolat egyenlő arányban 2 FEX-en oszlik el, így egy FEX kiesése esetén is a másik FEX-en zavartalanul folytatódik az adatok továbbítása. Mivel a FEX a ToR hálózati tervnek megfelel, ezért a csavart érpár kábelek mindig elég hosszúak lesznek a közelben lévő kiszolgálók számára és így csökken a költség is, mert kevesebb optikai kábelt kell használni. Blade chassis esetén a hálózati kapcsolatok két Cisco Nexus B22 integrált kapcsolóra lettek csatlakoztatva, amelyek pedig két Nexus 5548UP-re kapcsolódnak így a redundancia maximális, nincs SPOF.

43

40 Gigabit Ethernet (VDC összeköttetések) 40 Gigabit Ethernet 4x10 Gigabit Ethernet 2x10 Gigabit Ethernet 10 Gigabit Ethernet 1 Gigabit Ethernet

FabricPath a Vállalati hálózat felé vPC PSU

FAN

SUP

FAB

PSU

IOM

48

12

12

PORT GROUP 6

PORT GROUP 6

11

PORT GROUP 12 PORT GROUP 11 48 47

10

10

46 45 44 43

PORT GROUP 5

PORT GROUP 5

42 41 40 39 38

9

9 36

1

5000-M

MGT

CONSOLE MODEM

TX/RX

FLASH

LINK

HA1

LINK

HA2

TX/RX

1000

TX/RX

1000

LINK

10/100

34

8

8

PORT GROUP 4

PORT GROUP 4

7

F2e

1

LINK

2

3

LINK

4

LINK

LINK

5

6

LINK

LINK

7

LINK

8

POWER STATUS

7

33 32 31 30 29 28 27 26 25

TX/RX

1000

TX/RX

1000

TX/RX

1000

TX/RX

1000

TX/RX

1000

TX/RX

1000

TX/RX

1000

TX/RX

1000

24 23

5

5

PORT GROUP 3

PORT GROUP 3

6

6

22 21 20 19 18 17 16

4

4

15 14 13 12

PORT GROUP 2

11 10

RES ET

7

8

13

9

RES ET

PORT GROUP 2

28 26

27

PORT GROUP 7

PORT GROUP 7

26

26

25

25

25

F2e

24

24

24

23

23 22

23

PORT GROUP 6

PORT GROUP 6

21 20 19 18 16

17

PORT GROUP 5

PORT GROUP 5

15 14 13 11

12

PORT GROUP 4

10

14

PORT GROUP 4

ALARM

5000-8G LINK

2

UNLOCK LOCK

FAN STATUS

3

4

5

3

3

6

22

6 5 4

11

11

PORT GROUP 3

3

3

PORT GROUP 3

3

6 5 4

2

2

2

PORT GROUP 1

1

1

PORT GROUP 1

1

ID

ID

STATUS

STATUS

N7K-F312FQ-25

N7K-F312FQ-25

PORT GROUP 1

ID

STATUS

ID

PORT GROUP 2

PORT GROUP 2

STATUS

N7K-F248XP-25E

N7K-F248XP-25E

PORT GROUP 1 2 1

2

ID

ID

STATUS

STATUS

N7K-F312FQ-25

N7K-F312FQ-25

1

1

1

PORT GROUP 1

PORT GROUP 1

2

2

1

2 1

ID STATUS PORT GROUP 1 2 1

PORT GROUP 1 2 1

vPC peer link

N7K-F248XP-25E

STATUS

ID

PORT GROUP 2

1

2

2

3

5 4 3

11

PORT GROUP 3

6

22

22

7

7

8

13

9

14

HA

35

35 29

30

31

32

33

34

PORT GROUP 8

PORT GROUP 8

8

8

PORT GROUP 4

PORT GROUP 4

7

7

6

6

PORT GROUP 3

PORT GROUP 3

5

5

4

4

PORT GROUP 2

PORT GROUP 2

12 11 10 9 8

COMPACT FLASH

CPU UTILIZATION

36

9

9

N ET S CREEN 5200

37

40

36 35

35

38

39

PORT GROUP 9

37

PORT GROUP 9

36

41

PORT GROUP 5

PORT GROUP 5

11

48

48 47 46 45 44

38

43

38

PORT GROUP 10

PORT GROUP 10

37

42

37

10

10

46 45 44 43 42 41 40 39 38 37 36 35 34 33 32 31 30 29 28 27 26 25

F2e 24 23 22 21 20 19 18 17 16 15 14 13

47

47

PORT GROUP 12 PORT GROUP 11

12

12

PORT GROUP 6

PORT GROUP 6

11

PORT GROUP 11 47

48

11

PORT GROUP 12

47

47

PORT GROUP 12 PORT GROUP 11 48 47 46 45 44

38

43

38

PORT GROUP 10

PORT GROUP 10

37

37

42 41 36

40

36 35

35

38

39

PORT GROUP 9

PORT GROUP 9

37 36 35 32

33

34

PORT GROUP 8

PORT GROUP 8

31 30 29 28 26

27

PORT GROUP 7

PORT GROUP 7

26

26

25

25

25

F2e

24

24

24

23

23 22

23

PORT GROUP 6

PORT GROUP 6

21 20 19 18 16

17

PORT GROUP 5

PORT GROUP 5

15 14 13 11

12

PORT GROUP 4

PORT GROUP 4

10

14

14

13

9

CT T EJE UES REQ

CT T EJE UES REQ

13

CT T EJE UES REQ

CT T EJE UES REQ

8

T

SLOT 0

7

EJE REQ CT UES

T

SLOT 0

22

10

LOG FLASH

11

EJE REQ CT UES

LOG FLASH

PORT GROUP 3

2

SLOT 0

SLOT 0

RES ET

2

LOG FLASH

LOG FLASH

RES ET

1

T

1

EJE REQ CT UES

T

HOST PORTS

EJE REQ CT UES

HOST PORTS

2

2

1

PORT GROUP 2

9

POWER STATUS

1

N7K-F248XP-25E

ACT

1000

ACT

TX/RX

8

ETH

8

LINK

1000

MGM T

ETH

TX/RX

ACT IVE PWR

MGMT

7

LINK

1000

7

ID TUS

SYS TEM

MGM T

MGMT

6

LINK

TX/RX

STA

ACT IVE PWR

K

5

1000

ID TUS

SYS TEM

K

TX/RX

6

STA

LIN

LINK

1000

5

LIN

TX/RX

4

CONSOLE

4

LINK

1000

3

CONSOLE

TX/RX

2

SERIAL PORT

3

LINK

1000

1

SERIAL PORT

TX/RX

HOST PORTS

1000

HOST PORTS

TX/RX

IOM

N7K-SUP2E

ACT

ACT

2

LINK

POWER STATUS

10

ETH

ETH

5000-8G 1

LINK

2

FAN STATUS

9

N7K-SUP2E

MGMT

MGMT

HA2

1000

8

K

LINK

TX/RX

MGM T

K

HA1

1000

ACT IVE PWR

LIN

LINK

TX/RX

LINK

10/100

7

ID TUS

SYS TEM

MGM T

LIN

TX/RX

STA

ACT IVE PWR

CONSOLE

5000-M

MGT

CONSOLE MODEM

FLASH

ID TUS

SYS TEM

CONSOLE

ALARM

6

STA

SERIAL PORT

HA

5

SERIAL PORT

COMPACT FLASH

CPU UTILIZATION

POWER STATUS

4

48

3

N7K-SUP2E

48

2

N7K-SUP2E

N ET S CREEN 5200

1

FAB

Cisco Nexus 7000 Series

vPC peer link

1

UNLOCK

SUP

vPC peer link Cisco Nexus 7000 Series

LOCK

FAN

vPC 9

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

1

2

3

4

5

6

7

8

N2K- 2232TM

STAT

N2K- M2800P

ID

FabricPath

vPC 9

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

1

2

3

4

5

6

7

vPC

8

N2K- 2232TM

STAT

N2K- M2800P

ID

CISCO NEXUS N5548UP

1

2

3

4

5

6

7

8

9

10 11

12 13

14 15

16

17

18 19

20 21

22 23

24 25

26 27

28 29

30 31

32

1/10 GIGABIT ETHERNET

vPC peer link

L3 hozzáférés izolált kiszolgálókkal

1/2/4/8G FIBRE CHANNEL

3 ID N55-M16UP

STAT

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

CISCO NEXUS N5548UP

1

2

3

4

5

6

7

8

9

10 11

12 13

14 15

16

17

18 19

20 21

22 23

24 25

26 27

28 29

30 31

32

1/10 GIGABIT ETHERNET

1/2/4/8G FIBRE CHANNEL

3 ID N55-M16UP

STAT

DC Hozzáférési réteg

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

vPC

vPC

vPC

1

vPC

UID

UID

1

2

3

4

5

6

7

8

1

Cisco Nexus B22HP

2

3

4

5

6

7

8

Cisco Nexus B22HP

CISCO NEXUS 2248TP-E 1GE FABRIC EXTENDER STAT 9

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

1

2

3

4

5

6

7

8

N2K- 2232TM

ID

1

2

3

4

5

6

7

8

9 10

11 12

13 14

15 16

17 18

19 20

21 22

23 24

25 26

27 28

29 30

31 32

33 34

35 36

37 38

39 40

41 42

43 44

45 46

47 48

1

2

3

4

STAT

N2K- M2800P

ID

Active/Standby NIC

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

1

2

3

4

5

6

7

8

CISCO NEXUS 2248TP-E 1GE FABRIC EXTENDER STAT

ID

1

2

3

4

5

6

7

8

9 10

Blade chassis

vPC

2

N2K- 2232TM

vPC

9

Clustering and NIC teaming

11 12

13 14

15 16

17 18

19 20

21 22

23 24

25 26

27 28

29 30

31 32

33 34

35 36

37 38

39 40

41 42

43 44

45 46

47 48

1

2

3

4

vPC

vPC

UID

UID

1

2

3

4

5

6

7

8

Cisco Nexus B22HP

1

2

3

4

5

6

7

8

Cisco Nexus B22HP

STAT

N2K- M2800P

ID

Active/Active NIC Aggregációs réteg (VDC)

Core réteg (VDC)

Izolált kiszolgálók (VDC)

HP Blade chassis (integrált) B22 kapcsolóval

19. ábra L1 és L2 topológia

44

A vPC megszünteti a Hozzáférési rétegben és a Hozzáférési réteg és Aggregációs réteg között a hurkokat, így egy hurokmentes hálózat alakul ki, amely magas redundanciával rendelkezik. Például a két Nexus 5548UP az Aggregációs rétegre egy 16*10 Gbps=160 Gbps kapcsolattal rendelkező vPC-vel csatlakozik, amelyben 3 kapcsolat elvesztése esetén is csak 30 Gbps sávszélességgel csökken az elérhető maximális sávszélesség, 130 Gbps-re. A vPC a másodperc töredéke alatt képes átirányítani a meghibásodott kapcsolatok teljes forgalmát meglévő kapcsolatokra [42]. HP Blade chassis esetén a Cisco Nexus B22 HP FEX-eket opcionálisan a Nexus 7010-re is köthetjük az Aggregációs VDC-be, ezeket szaggatott vonallal jelöltem, szintén redundáns kapcsolattal rendelkeznek, 2 darab N7010 2-2 10 Gbps portokkal rendelkező moduljaira kapcsolódnak, így ha meghibásodik egy modul, supervisor, esetleg az egész chassis, nem lesz leállás a hálózatban. A forgalomelosztó és a tűzfal redundáns módon, Active/Standby módban működik és a kapcsolati információk szinkronizálva vannak az eszközök között, így ha az Active eszköz meghibásodik, akkor sem szakad meg a kapcsolat, hanem a Standby eszköz átveszi az irányítást és megszakításmentesen továbbítja az adatokat. Az Aggregációs VDC 4x40 Gbps sávszélességgel kapcsolódik a Core VDC-re melyet kétoldalú vPC-vel kapcsoltam össze, így nő a redundancia és a rendelkezésre álló maximális sávszélesség, de csökken a topológia bonyolultsága L2 szempontjából [2, 243. oldal].

4.2.2. Bővíthetőség Minden eszközön az interfészek 5/10%-a van lefoglalva (üresen hagyva), hogy későbbi portmeghibásodás esetén ne kelljen új modult vásárolni, hanem egyszerűen át lehet kábelezni és SFP-vel együtt áthelyezni egy másik portba. A 48 portos FEX esetén 4, míg a 32 portos FEX esetén 2 port lett lefoglalva. Fontos továbbá megjegyezni, hogy egy újabb FEX esetén nem nő az üzemeltetés során újabb eszközzel a kezelni való eszközök száma, mert a FEX-ek a Nexus 5548-ról vagy a Nexus 7010-ről vannak kezelve, így a monitorozási (Syslog és SNMP) forgalom sem növekszik drasztikusan [1, 61. oldal].

45

A Nexus 5548UP kapcsolópárok esetén 4-4 port van fenntartva, a Nexus 7010 esetén 10 Gbps portokkal rendelkező modulon 4 darab, 40 Gbps portokkal rendelkező modulon pedig 2 darab interfész lett elfoglalva. Minden eszközben maradt üres hely (slot), hogy ha esetlegesen újabb interfészekre van szükség az egyik kapcsolón, akkor megoldható legyen egy újabb modul behelyezése. A Hozzáférési réteg többször is telepíthető az adatközpontba és ráköthető ugyanarra az Nexus 7010 Aggregációs VDC-re. Maximum 5 ilyen tartomány alakítható ki összesen a Nexus 7010 kapcsolókba való újabb modul vásárlása nélkül [23].

4.2.3. Tűrőképesség és rendelkezésre állás A hálózatban bekövetkezhető hibák közül rétegenként az alábbi esetek kerültek megvizsgálásra [42]: 

eszközök közötti kapcsolat elvesztése: leggyakrabban előforduló eset, hogy egy kábel megsérül, interfész vagy SFP elromlik;



FEX, Supervisor, Fabric modul, Line Card elvesztése: modul/FEX meghibásodik, és ezt hogyan tolerálja a hálózatunk;



egy kapcsoló elvesztése: Nexus 5548UP vagy Nexus 7010 leáll;



hurok alakul ki a hálózatunkban;



Broadcast Storm kialakulása.

A Hozzáférési rétegben valamely kiszolgáló, ha elveszíti egyik kapcsolatát, akkor a következő esetek lehetségesek: 

Blade chassis: a teljesítmény 1/8 résszel csökken, a forgalom 7 kábelen oszlik meg;



Active/Standby NIC: az aktív kapcsolat meghibásodása esetén failover történik a Standby kapcsolatra, így leállás nélkül folytatódik a kiszolgálás;



Active/Active NIC: a teljesítmény 50%-kal csökken, és ha a kiszolgáló kihasználtsága nagyobb, mint amit egy kapcsolaton elbír, akkor teljesítmény probléma léphet fel, amíg a hibás kapcsolat javításra nem kerül;



Clustering (VMWare és Cisco Nexus 1000V): kiszolgálók csoportosítása esetén egy kapcsolat elvesztése nem okoz problémát a rendszernek, több kapcsolat elvesztése esetén viszont már teljesítmény problémák és torlódás léphet fel.

46

Ha a Hozzáférési réteg elveszíti az egyik fabric kapcsolatát, FEX-N5K között, akkor is marad FEX-től függően 3/7 fabric kapcsolat és nem igényel konfigurációt vagy azonnali hibaelhárítást a probléma, csupán minimális teljesítménycsökkenés lehet jelen a hálózatban [42]. Ha egy N5K eszköz esik ki, akkor 50%os teljesítménycsökkenés figyelhető meg, ami azonnali hibaelhárítást igényel, de nem szűnik meg a kapcsolat a kiszolgálók és a felhasználók között. Egy egész kapcsoló elvesztése esetén is a tűrőképesség nagyon magas a redundanciának köszönhetően, ugyanis minden kiszolgáló és Blade chassis elérhető marad. Egy Nexus 5548UP-nek a MTBF értéke 98335 óra, B22 FEX esetén 291523 óra, Cisco Nexus 2248TP-E és 2232TM-E esetén viszont nem áll még rendelkezésre ilyen információ [33]. N7K eszközre ugyanezen jellemzők teljesülnek, illetve a teljes kapcsoló elvesztésére nagyon alacsony a valószínűség: a MTBF egy Cisco Nexus 7010 esetén 264,552 óra [34], ami ugyan kevesebb, mint a Catalyst 6509-V-E értéke, de elegendően nagy ahhoz, hogy egy 7/24 üzemidő esetén is 30 évig működik az eszköz leállás nélkül. Ha a Hozzáférési réteg elveszít egy kapcsolatot az Aggregációs réteggel, vagy az Aggregációs réteg a Core réteggel, szintén nem történik leállás és a rendelkezésre álló sávszélesség csak minimálisan csökken 10- vagy 40 Gbps-al. Nincs szükség azonnali beavatkozásra, vagy konfigurációra [42]. Ha egy modul hibásodik meg, akkor az arra kötött kapcsolatok ugyan elvesznek, de minden eszköz redundáns kapcsolattal rendelkezik melyek külön modulokra és külön eszközökre lettek kötve. A sávszélesség csökken, de leállás nem történik. Egy supervisor modul meghibásodása esetén a redundáns supervisor modul átveszi a controlplane irányítását, mivel a supervisor modul Nexus esetén nem felelős adattovábbításért így az adattovábbítás nem érintett. Egy Fabric modul elvesztése esetén mivel 5 Fabric modul van jelen az eszközben és a forgalom elosztott (distributed) módon van továbbítva, így a meghibásodott modul forgalma azonnal eloszlik a másik 4 modulon, leállás nem következik be, azonnali reagálás és konfiguráció nem szükséges [1, 357. oldal]. Amennyiben egy egész N5K vagy N7K esik ki, a redundáns kapcsolatok és vPC miatt csak feleződik a rendelkezésre álló sávszélesség, de a kapcsolatok nem szakadnak meg [42].

47

A Hozzáférési rétegben nem alakulhat ki hurok. Ez úgy lehetséges, hogy a FEX fabric kapcsolatai ’internal’-nak látszódnak az N5K/N7K számára, ami azt jelenti, hogy úgy jelennek meg, mintha közvetlenül az eszközbe lenne integrálva a port. Ezen felül van még egy Satellite Management Protocol (SMP) is, amelynek feladata, hogy a FEX vezérlése mellett ne alakulhasson ki hurok a FEX és az N5K/N7K között [35]. Az N5K és az Aggregációs réteg között FabricPath tartomány van, ahol nincs szükség az STP-re, hurok nem alakulhat ki és az L2MP és vPC segítségével minden kapcsolat maximálisan ki van használva. A topológia hurokmentesre lett tervezve, de ha bármilyen okból kifolyólag hurok keletkezne a hálózatban, azt a már meglévő protokollok kezelik a STP nélkül. Biztonsági okokból viszont minden eszközön be van kapcsolva a STP mégpedig a Nexus esetén alapértelmezett Rapid Per VLAN Spanning-Tree + (RPVST+) módban. Nagyon fontos megjegyezni, hogy a Hozzáférési rétegben, mivel az a FabricPath tartomány határa, biztosítani kell, hogy e kapcsolók legyenek a STP gyökerei, mert különben az Edge portok blokkolt állapotba kerülnek. Az alábbi konfiguráció került az eszközökre: Hozzáférési réteg: N5K pár, a vPC tartomány miatt a vPC konzisztens konfigurációnak egyeznie kell. HUDEBCN5KACC001(config)#spanning-tree vlan 1-4094 priority 49152 HUDEBCN5KACC001(config)#spanning-tree port type edge bpduguard default HUDEBCN5KACC001(config)#spanning-tree port type edge default HUDEBCN5KACC002(config)#spanning-tree vlan 1-4094 priority 49152 HUDEBCN5KACC002(config)#spanning-tree port type edge bpduguard default HUDEBCN5KACC002(config)#spanning-tree port type edge default

Aggregációs réteg: HUDEBCN7KAGGR01(config)#spanning-tree vlan 1-4094 priority 8192 HUDEBCN7KAGGR02(config)#spanning-tree vlan 1-4094 priority 8192

Core réteg: HUDEBCN7KCORE01(config)#spanning-tree vlan 1-4094 priority 4096 HUDEBCN7KCORE02(config)#spanning-tree vlan 1-4094 priority 4096

A Core réteg teljesen L3 módban működik, így a STP protokoll csak biztonsági okokból van jelen. Mivel a teljes topológia hurokmentes a vPC miatt és nincs jelen blokkolt port, így hálózatunk 100%-os módon kihasználható.

48

Broadcast Storm akkor alakulhat ki a hálózatban, ha hurok van benne, a STP protokoll nem működik megfelelően vagy egy kiszolgáló hatalmas mennyiségű broadcast/multicast csomagot generál. Erre az esetre a Hozzáférési réteg eszközein minden Edge interfészre a 6. függelékben található parancsokat implementáltam [43].

4.2.4. Kapacitás és teljesítmény A 20. ábra összefoglalja a rendelkezésre álló sávszélességet. Egy Hozzáférési rétegbeli Nexus 5548UP pár összesen 96 darab 1/10 Gbps porttal rendelkezik (2*32+2*16), így 8 darab Cisco Nexus 2232TM-E és 2 darab Cisco Nexus 2248TP-E lett csatlakoztatva egy Nexus 5548UP párhoz, hogy még 4-4 szabad port maradjon a Nexus 5548UP-ken. Maximum 352 darab 1 Gbps sebességre képes port és 256 darab 10 Gbps sebességre képes port áll rendelkezésre ebben a Hozzáférési tartományban. Ha mindegyik portot maximális sávszélességén használjuk, akkor 96 darab 1 Gbps és 256 darab 10 Gbps port van. Egy Hozzáférési réteg pedig 160 Gbps sávszélességgel kapcsolódik az Aggregációs réteghez. Az Aggregációs réteg egy VDC a Nexus 7010 páron, ahol VLAN interfészek szolgálnak alapértelmezett átjáróként. Az Aggregációs és Hozzáférési réteg között kétoldalú (Doublesided) vPC van, így a 2-2 eszköz közötti részt egyetlen egy logikai kapcsolatnak látja a STP protokoll. Az Aggregációs rétegnek a topológia szerint 104 darab 10 Gbps és 24 darab 40 Gbps portja van, de ez tovább bővíthető interface allocation segítségével (még nem használt portok átcsoportosítása) és/vagy új modul vásárlásával. Ezekre a 10 Gbps portokra így 5 darab Nexus 5548UP pár köthető, ami összesen 480 darab maximum 1 Gbps sebességű portot és 1280 darab maximum 10 Gbps sebességű portot biztosít a Hozzáférési rétegben. Lehetőség van még a 10/40 Gbps interfészekre további 10 darab 160 Gbps sávszélességgel rendelkező Blade chassis-t csatlakoztatni, de csak abban az esetben, ha HP Blade chassis-ról van szó integrált Cisco Nexus B22 FEX-el, különben a Blade chassis-t IBM, DELL vagy Fujitsu márkák esetén Cisco Nexus B22 FEX-el a Nexus 5548UP eszközökre kell kötni, más márkák esetén pedig a FEX-ekre. Ez azért van, mert jelenleg a Cisco Nexus 7000 csak a HP B22 FEX-t támogatja. A Core VDC és az Aggregációs VDC között kezdetben 160 Gbps sávszélesség van, de ez tovább bővíthető 640 Gbps-ig is, ebben az esetben a vPC peer linkeket 40/60/80 Gbps sebességre kell bővíteni.

49

Vállalati hálózat

160 Gbps 80 Gbps 40 Gbps 20 Gbps 10 Gbps 8 Gbps 2 Gbps 1 Gbps

VDC Core vPC Domain 100

Core réteg

VDC Isolated

VDC Aggregation

vPC Domain 120

Elméleti maximális sávszélesség:

Firewall cluster HA Link

vPC Domain 110


Load balancer cluster HA Link

DC Hozzáférési réteg vPC Domain 111

HP Blade chassis (integrált) B22 kapcsolóval

L3 hozzáférés izolált kiszolgálókkal Active/Active NIC

Blade chassis Active/Standby NIC

Clustering és NIC teaming

20. ábra – Elérhető maximális sávszélesség Nexus hálózati terv esetén Optimális kihasználtság esetén 320 Gbps sávszélességet biztosít a Core felé az az Aggregációs VDC 40 Gbps vPC peer linkkel, de így a beköthető HP Blade chassis-ok száma 8-ra csökken. Más viszont nem módosul, ugyanis a Core VDC és Aggregációs VDC közötti linkek egyenként 40 Gbps sávszélességűek és QSFP+ -t használnak, nem pedig SFP+-t. Megjegyzés: A HP Blade chassis-t a Core-ra speciális QSFP+ -vel kapcsolom a Cisco Nexus 7000-re, hogy a 40 Gbps az 4*10 Gbps módban működjön és magasabb kihasználtságot érhessek el. A Core VDC Aggregációs tartományonként maximum 640 Gbps sávszélességet képes biztosítani, de ehhez újabb interface allocation szükséges. vPC peer link kezdetben 20 Gbps,

50

de ez 80 Gbps-ig bővíthető. A vállalati hálózatra kezdetben 80 Gbps sávszélességgel csatlakozik, de ez 640 Gbps sávszélességig bővíthető a jelenlegi 40 Gbps interfészekkel. Maximum 2 Aggregációs tartományt köthetünk egy Core VDC-re 640/320 Gbps kapcsolattal 1/2 Aggregációs VDC-vel, de a második VDC-hez már újabb modul szükséges. Lehetőség van F3 modulokkal bővíteni az eszközöket, melyek modulonként 6 darab 100 Gbps sebességű porttal rendelkeznek, vagy M2 modulokkal, melyek modulonként 2 darab 100 Gbps sebességű porttal rendelkeznek. Felhasznált modulok: 

N7K-SUP2E: Supervisor 2T, 2darab 10 Gbps porttal



N7K-C7010-FAB-2: Cisco Nexus 7010 chassis-hoz 110 Gbps Fabric modul



N7K-F248XP-25E: 48-portos 10 Gigabit Ethernet SFP+ modul



N7K-F312FQ-25: 12-portos 40 Gigabit Ethernet QSFP+ modul

Felhasznált FEX-ek: 

N2248TP-E: 48-portos 1 Gigabit Ethernet FEX



N2232TM-E: 32-portos 10 Gigabit Ethernet FEX

4.2.5. Szolgáltatások és biztonság Mivel a FEX-ek nem rendelkeznek semmilyen önálló operációs rendszerrel, így ezeket a Nexus 5548UP és Nexus 7010 eszközökről kezeljük, így leegyszerűsödik a hálózat üzemeltetése, mert 12 eszköz helyett csak 2 eszközt kell konfigurálnunk. A VDC-k segítségével teljesen izolált virtuális eszközöket hozhatunk létre anélkül, hogy újabb hardvert kellene vásárolni. Ez növeli a hatékonyságot és a kihasználtságot, de a kiépítési és fenntartási költségeket viszont nem [1, 37-38. oldal]. Az Aggregációs réteg nem rendelkezik forgalomelosztó és tűzfal modullal, ugyanis a Cisco Nexus családnak csak NAM modulja van [24]. Az A10 Thunder 3030S forgalomelosztó a Cisco ACE 30 modulhoz képest majdnem kétszer nagyobb teljesítményre képes harmadannyi áron. Míg a Cisco ACE 30 teljesítménye maximum 16 Gbps 110 000 dollár, addig az A10 Thunder 3030S 30 Gbps teljesítményre képes, és csak 30 000 dollárba kerül. Ezen felül rendelkezik alkalmazási rétegbeli monitorokkal, mint az MSSQL, MYSQL, stb. adatbázis lekérdezések. A konzol porton felül

51

van Lights-out Management (LOM) portja is, ami egy olyan speciális monitorozást is lehetővé tesz, amihez nem szükséges, hogy az eszköz be legyen kapcsolva vagy működőképes operációs rendszerrel rendelkezzen. Az A10 továbbá nem rendelkezik hardveres licenccel, így a teljes eszköz kapacitását azonnal kihasználhatjuk felár nélkül. Rendelkezik 4 darab 10 Gbps porttal, így akár több Hozzáférési réteget is képes kiszolgálni. Fogyasztása nagyon alacsony, maximum 139W [36]. A forgalomelosztó egy úgynevezett „one-armed” módban működik. Ebben a módban az eszköz egyszerűen csatlakoztatásra kerül egy kapcsolóra, ami ugyanazon a szórási tartományokon helyezkedik el, mint a kiszolgálók. A bejövő klienskapcsolatok a Virtuális IP címre (VIP) csatlakoznak. A klienskapcsolatok 2 címfordításon mennek keresztül, amikor elérik a VIP címet: forrás-címfordításon (Source-NAT), ami azt jelenti, hogy a kliensek forráscíme kicserélődik a forgalomelosztó SNAT IP címére és cél-címfordításon (DestinationNAT), ami azt jelenti, hogy a csomag cél IP címe kicserélődik a kiszolgáló IP címére. Ezután amikor a kiszolgáló válaszol, a forgalomelosztó visszacseréli a forrás és cél címeket: a forrás lesz a VIP cím, a kliens IP címe pedig a célcím [37]. Előnyei: 

könnyen telepíthető;



növeli a biztonságot, mert a forgalomelosztó mögötti hálózatot nem láthatja a kliens;



a kliens akár ugyanazon a hálózaton is lehet, mint a kiszolgálók [37].

A Juniper Netscreen 5200 NS-5000-2XGE-G4 modullal lett választva, amely 2 darab 10 Gbps porttal rendelkezik. Teljesítménye maximum 10 Gbps, de ez akár 3-4 Aggregációs réteget is képes kiszolgálni, ugyanis felosztható több virtuális eszközre, amelyek között teljes szeparáció van, és nem feltétlen kell minden Aggregációs rétegbe külön eszközt venni. A forgalomirányítóval ellentétben a tűzfal rendelkezik licenccel, de ez csak a zónák és virtuális tűzfalak számát korlátozza, a hardveres teljesítményt nem, illetve bármikor bővíthető. Előnyei a megbízhatóság és stabilitás, MTBF értéke pedig 7.9 év (a Juniper Networks oldala szerint). A Core réteg pedig Cisco Nexus NAM-NX1 modult kapott, hogy valós idejű képet kaphassunk az eszközön áthaladó forgalomról. A Cisco Catalyst NAM3 modullal ellentétben ez a modul jelentősen nagyobb teljesítménnyel rendelkezik és képes önállóan Quality of Service (QoS) és Wide Area Application Services (WAAS) segítségével javítani az alkalmazások teljesítményét [24]. 52

4.2.6. Kiépítési és üzemeltetési költség A megtervezett hálózat teljes költsége listaáron körülbelül 1,69 millió dollár és minden egyes újabb Hozzáférési réteg, azaz két N5548UP, 8 darab 2232TM-E és 2248TP-E FEX körülbelül 185 000 dollárba kerül, de ez nem tartalmazza a kábelezési költségeket. Üzemeltetési költségek terén egy FEX cseréje 18 000-20 000 dollár között mozog listaár szerint, egy N5548UP 25 600 dollár. Ez tartalmazza a tápegységeket, de a N55-M16P bővítő modult nem, aminek listaára 11 200 dollár. A 10. táblázat összefoglalja a bővítési költségeket: Kapcsolók

Listaár (dollár)

CORE+AGGR

2*640 000

SERVICE Tűzfal

2*76 500 (+SFP)

Forgalomelosztó

2*29 995 (+SFP)

ACCESS N5548UPM-4N2232PF

2*74 000

N2K-C2248TP-E

2*18 150 18 000

L3 Izolált hozzáférés

Kiépítés szerinti sávszélesség költségek 1 Gbps

512/ Gbps

Bővítés szerinti sávszélesség költségek (csak Hozzáférési réteg) 1 Gbps 70/ Gbps

10. táblázat A 11. táblázat tartalmaz néhány üzemeltetési költségeket, ha eszközt kell például kicserélni: Modulok és chassis

Listaár (dollár)

N2K-C2248TP-E N2K-C2232TM-E

9 000 9 000

N5K-C5548P-FA

25 600

N7K-C7010

20 000

N7K-SUP2E=

40 000

N7K-C7010-FAB-2=

12 000

N7K-F248XT-25E-P1

29 000

N7K-F248XP-25E

44 000

N7K-F312FQ-25

még nem elérhető

N7K-F306CK-25

még nem elérhető

11. táblázat

53

5. Összefoglalás, konklúzió A Cisco Nexus család egyértelműen forradalmasította a hálózattervezést. A vPC, VDC és FabricPath protokollok segítségével megnövekszik a rendelkező sávszélesség és a redundancia által a rendelkezésre állás és a logikai topológia is egyszerűsödik. A FEX-ek csökkentik a kábelek hosszát és mivel önálló konfigurációval nem rendelkeznek, ezért jelentősen megkönnyítik a telepítési és üzemeltetési feladatokat is. Nem csak a költséghatékonyság oldaláról, de minden szempontból az adatközpont specifikus Cisco Nexus család jelentősen gyorsabb és jobb hálózati megoldásnak minősül, mint a Cisco Catalyst 6500. 1 Gbps sávszélesség a Catalyst 6500-al szemben listaár szerinti 2960 dollár helyett csupán 512 dollár Nexus kapcsolókkal, ami csupán 17%-a a Catalyst árának. Helyben és fogyasztásban jelentősen kevesebbet igényelnek a Nexus eszközök, például a Nexus 5500 széria 390/750W-os vagy a FEX-ek 75-300W-os fogyasztása töredéke a Catalyst több mint 3000W-oshoz fogyasztásához képest. Service terén is a dedikált célhardver jelentősen nagyobb teljesítményt a Catalyst modulok árának töredékéből képes biztosítani és sok esetben több szolgáltatással is rendelkeznek, mint például az A10 forgalomelosztó esetén az alkalmazási réteg adatbázis monitorozási képessége. Meg kell azt is említenem, hogy a célhardverek rendelkeznek önálló interfészekkel, így rugalmasabbak a topológia szempontjából, akár több Aggregációs réteget is képesek kiszolgálni. Hátrányuk viszont, hogy ugyan alacsony fogyasztásuk van, de önálló tápellátást igényelnek és saját rack helyet igényelnek. A Cisco Nexus család tehát sikeresen orvosolta azokat a gyengepontokat (nagy fogyasztás, sok hely, kis L2 tartomány, nem adatközpont specifikus, stb.) amelyekkel a Catalyst 6500-as család rendelkezik és létrehozott egy olyan szériát, ami megnöveli az adatközpontok teljesítményét úgy, hogy mellette csökkenti a költségeket. Mindezen szempontokat figyelembe véve a Cisco Nexus hálózati tervet választom a költséghatékony, stabil, biztonságos, sokoldalú funkciók rendelkezésre állása és kimagaslóan nagy teljesítménye miatt.

54

6. Köszönetnyilvánítás Ezúton szeretnék köszönetet mondani Dr. Almási Bélának, a Debrecen Egyetem Informatikai Kar egyetemi docensének, amiért segítségemre volt tanácsaival, ötleteivel és tapasztalatával, valamint biztosította számomra azt a támogatást, amely nélkül ez a szakdolgozat nem készülhetett volna el. Továbbá szeretném megköszönni Nagy Csabának a témaválasztásban és kidolgozásban nyújtott segítségét, aminek köszönhetően lehetőségem nyílt mélyebb ismeretekre szert tenni Nádházi Sándornak, amivel szakdolgozatom költséghatékony módon jöhetett létre.

55

7. Irodalomjegyzék Könyvek [1]

Ron Fuller, David Jansen, Matthew Mcpherson: NX-OS and Cisco Nexus Switching Next-Generation Data Center Architectures. Indianapolis: Cisco Press, 2013.

[2]

John Tiso: Designing Cisco Network Service Architectures (ARCH) Foundation Learning Guide. Indianapolis: Cisco Press, 2012.

[3]

Sean Wilkins: Designing for Cisco Internetwork Solutions (DESIGN) Foundation Learning Guide. Indianapolis, Cisco Press, 2011.

[4]

Diare Teare: Implementing Cisco IP Routing (ROUTE) Foundation Learning Guide. Indianapolis, Cisco Press, 2011.

[5]

Richard Froom, Balaji Sivasubramanian, Erum Frahim: Implementing Cisco IP Switched Networks (SWITCH) Foundation Learning Guide. Indianapolis, Cisco Press, 2010.

Elektronikus oldalak [6]

Bemutatta új Catalyst 6500-as kapcsolóit a Cisco – 2013. Szeptember http://www.hwsw.hu/hirek/47038/cisco-catalyst-6500-switch-kapcsolo-halozatsupervisor-engine-2t.html

[7]

Cisco Catalyst 6509-V-E Chassis – 2013. Július http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/product_bulletin_ci sco_catalyst_6509_enhanced_vertical_chassis.html

[8]

Cisco ACE30 – 2013. Június http://www.cisco.com/en/US/prod/collateral/modules/ps2706/ps6906/data_sheet_c78_6 32383.html

[9]

Cisco FWSM service modul – 2013. November http://www.cisco.com/en/US/prod/collateral/modules/ps2706/ps4452/product_data_she et0900aecd803e69c3.html

56

[10] Cisco ASA service modul – 2013. Augusztus http://www.cisco.com/en/US/prod/collateral/modules/ps2706/ps11621/data_sheet_c78672507.html [11] Cisco IPSec VPN service modul – 2013. Október http://www.cisco.com/en/US/prod/collateral/modules/ps8768/ps4221/product_data_she et09186a00800c4fe2.html [12] 2013. Október – Cisco NAM-3 service modul http://www.cisco.com/en/US/prod/collateral/modules/ps2706/ps11659/data_sheet_c78655374.html [13] Cisco Catalyst 6500 service modulok jellemzői – 2013. Október http://etherealmind.com/cisco-c6500-service-modules-not-my-choice-now/ [14] Cisco NSF és SSO – 2013. Október http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/prod_white_paper0 900aecd801c5cd7.html [15] Cisco VSS és vPC összehasonlítása – 2013. November http://mycciedatacenter.blogspot.hu/2013/06/vss-vs-vpc-difference-between-vssand.html [16] Cisco VSS kérdések és válaszok – 2013. November http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps9336/prod_qas0900aec d806ed74b_ps2797_Products_Q_and_A_Item.html [17] Cisco Nexus 2000 FEX jellemzői – 2013. Október http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps10110/data_sheet_c78507093.html [18] Cisco Nexus B22 Blade FEX jellemzoi – 2013. Október http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps10110/ps11975/data_sh eet_c78-685265.html [19] A Cisco Nexus 5548P kapcsoló architektúrája – 2013. Október http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9670/ps11215/white_pa per_c11-622479.html [20] A Cisco Nexus 5548P, 5548UP, 5596UP és 5596T jellemzői – 2013. Október http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9670/data_sheet_c78618603.html

57

[21] A Cisco Nexus 7000 széria jellemzői – 2013. November http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9402/ps9512/Data_She et_C78-437762.html [22] A Cisco Nexus 7000 1. generációs supervisor jellemzői – 2013. Augusztus http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9402/ps9512/Data_She et_C78-437758.html [23] A Cisco Nexus 7000 2. generációs supervisor 2 és 2e jellemzői – 2013. Augusztus http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9402/data_sheet_c78710881.html [24] A Cisco Nexus 7000 NAM-NX1 service modul jellemzői – 2013.Szeptember http://www.cisco.com/en/US/prod/collateral/modules/ps2706/ps12921/data_sheet_c78723132.html [25] Cisco NX-OS: vPC beállítási útmutató – 2013. Szeptember http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9670/configuration_gui de_c07-543563.html [26] Cisco NX-OS: VDC létrehozása Nexus 7000 kapcsolón – 2013. Szeptember http://www.cisco.com/en/US/docs/switches/datacenter/sw/nxos/virtual_device_context/configuration/guide/vdc_create.html#wp1179350 [27] Cisco NX-OS: Port profil létrehozása – 2013. Július http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_2/nxos/interfaces/configuration/guide/if_basic.html#wp1979522 [28] Cisco FabricPath hálózattervezési útmutató – 2013. Szeptember http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9670/guide_c07690079.html [29] Cisco Catalyst 6500-E chassis jellemzői – 2013. Szeptember http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/data_sheet_c78708665.html [30] Cisco ACE: kiszolgáló weight beállítása – 2013. Október http://www.cisco.com/en/US/docs/app_ntwk_services/data_center_app_services/ace_ap pliances/vA3_1_0/configuration/slb/guide/rsfarms.html#wp999729

58

[31] Cisco Catalyst 6900 Line Card-ok bemutatása – 2013. Október http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/data_sheet_c78648212.html [32] Cisco Catalyst 6800 Line Card-ok bemutatása – 2013. November http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/data_sheet_c78451794.html [33] Cisco Nexus 5548UP kapcsoló paraméterei – 2013. November http://www.cdw.com/shop/products/Cisco-Nexus-5548UP-Storage-Solutions-Bundleswitch-32-ports-managed/2334612.aspx#TS [34] Cisco Nexus 7010 kapcsoló paraméterei – 2013. November http://www.frontierpc.com/networking/network-switches-bridges/switchchassis/cisco/nexus-7000/10-slot-switch-c7010-1021130261.html [35] A Cisco Nexus 2000 Fabric Extender bemutatása – 2013. November http://routing-bits.com/2012/05/16/what-is-a-fabric-extender/ [36] A10 Thunder forgalomelosztók jellemzői – 2013. November http://www.a10networks.com/products/thunderseries-product_specifications.php [37] Forgalomelosztás módszerei – 2013. November http://www.a10networks.com/elearning/002-Four_SLB_Modes.php [38] A Cisco NX-OS skálázhatósága – 2013. November http://www.cisco.com/en/US/docs/switches/datacenter/nexus5500/sw/Verified_Scalabil ity/602N21/b_N5500_Config_Limits_602N11_chapter_01.html#reference_AFFDC48C 7DFA4490B044D89A4850E437 [39] A Cisco VSS működése és jellemzői supervisor 720 modullal – 2013. November http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps9336/product_solution_ overview0900aecd806fa5d0_ps2797_Product_Solution_Overview.html [40] Tápfeszültség redundancia – 2013. November, http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a00 8015bfa8.shtml#power_red [41] A Cisco Multi-chassis Etherchannel protokoll – 2013. November http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/ guide/vss.html#wp1062284

59

[42] Cisco Nexus vPC hibaesetek – 2013. November http://blog.movingonesandzeros.net/2013/08/cisco-nexus-part-43-vpc-failure.html [43] Traffic Storm Control – 2013. November http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_1/nxos/security/configuration/guide/sec_storm.html#wp1109566

60

8. Függelék

1. függelék – Catalyst 6500 kapcsoló-család (LINK)

2. függelék – NSF és SSO 61

3. függelék 4. függelék: switch# config terminal switch(config)# port-profile PP_COM_1 switch(config-ppm)# no shutdown switch(config-ppm)# exit switch(config)# port-profile PP_COM_SPEC switch(config-ppm)# inherit port-profile PP_COM_1 switch(config-ppm)# switchport switch(config-ppm)# switchport mode access switch(config-ppm)# spanning-tree port type edge switch(config-ppm)# interface ethernet 2/28, 7/3-5, 11/20-25 switch(config-if)# inherit port-profile PP_COM_SPEC switch(config-if)#

5. függelék: role name UserA rule 3 permit read feature router-bgp rule 2 permit read feature dot1x rule 1 deny command clear *

62

6. függelék: HUDEBCN5KACC001(config)#interface Eth100/0/1-48 , Eth101/0/1-48 , Eth102/0/1-32 HUDEBCN5KACC001(config-if)#storm-control broadcast level 2.00 HUDEBCN5KACC001(config-if)#storm-control multicast level 2.00 HUDEBCN5KACC001(config-if)#exit HUDEBCN5KACC001(config)#interface Eth103/0/1-32 , Eth104/0/1-32 , Eth105/0/1-32 HUDEBCN5KACC001(config-if)#storm-control broadcast level 0.20 HUDEBCN5KACC001(config-if)#storm-control multicast level 0.20 HUDEBCN5KACC001(config-if)#exit HUDEBCN5KACC001(config)# interface Eth106/0/1-32 , Eth107/0/1-32 , Eth108/0/1-32 HUDEBCN5KACC001(config-if)#storm-control broadcast level 0.20 HUDEBCN5KACC001(config-if)#storm-control multicast level 0.20 HUDEBCN5KACC001(config-if)#exit HUDEBCN5KACC001(config)# interface Eth109/0/1-32 HUDEBCN5KACC001(config-if)#storm-control broadcast level 0.20 HUDEBCN5KACC001(config-if)#storm-control multicast level 0.20 HUDEBCN5KACC001(config-if)#exit HUDEBCN5KACC002(config)#interface Eth100/0/1-48 , Eth101/0/1-48 , Eth102/0/1-32 HUDEBCN5KACC002(config-if)#storm-control broadcast level 2.00 HUDEBCN5KACC002(config-if)#storm-control multicast level 2.00 HUDEBCN5KACC002(config-if)#exit HUDEBCN5KACC002(config)#interface Eth103/0/1-32 , Eth104/0/1-32 , Eth105/0/1-32 HUDEBCN5KACC002(config-if)#storm-control broadcast level 0.20 HUDEBCN5KACC002(config-if)#storm-control multicast level 0.20 HUDEBCN5KACC002(config-if)#exit HUDEBCN5KACC002(config)# interface Eth106/0/1-32 , Eth107/0/1-32 , Eth108/0/1-32 HUDEBCN5KACC002(config-if)#storm-control broadcast level 0.20 HUDEBCN5KACC002(config-if)#storm-control multicast level 0.20 HUDEBCN5KACC002(config-if)#exit HUDEBCN5KACC002(config)# interface Eth109/0/1-32 HUDEBCN5KACC002(config-if)#storm-control broadcast level 0.20 HUDEBCN5KACC002(config-if)#storm-control multicast level 0.20 HUDEBCN5KACC002(config-if)#exit

63

7. függelék - tesztelt eszközök konfigurációi: hostname HUDEBCN5KACC001

feature interface-vlan feature lacp feature vpc logging level vpc 6 feature lldp feature vtp feature fex feature fabricpath

vtp mode transparent vtp domain LAB fex 100 pinning max-links 1 description "F;HUDEBCN2KFEX001" type N2248TPE

fex 101 pinning max-links 1 description "F;HUDEBCN2KFEX002" type N2232TM-E

vrf context management ip route 0.0.0.0/0 192.168.9.1 ipv6 route 2000::/3 mgmt0 2001:06f8:1ce1:ff02::0001

vlan 10 mode fabricpath name FP_Engineering vlan 20 mode fabricpath name FP_Sales vlan 30 mode fabricpath name FP_Prod spanning-tree port type edge default

64

spanning-tree port type edge bpduguard default spanning-tree mode rapid-pvst spanning-tree vlan 1-4094 priority 49152 spanning-tree domain 110

port-profile type Ethernet SRV_ACCESS_10G switchport mode access spanning-tree port type edge speed 10000 no shutdown

vpc domain 111 role priority 1000 peer-keepalive destination 192.168.9.23 peer-config-check-bypass peer-gateway fabricpath switch-id 111

fabricpath switch-id 1111 fabricpath timers linkup-delay 60 fabricpath domain default spf-interval 150 50 50 lsp-gen-interval 150 50 50

interface port-channel1 description I;HUDEBCN5KACC002;Po1 switchport mode fabricpath spanning-tree port type network vpc peer-link

interface port-channel2 description U;HUDEBCN7KAGGR01-02_VDC3 switchport mode fabricpath spanning-tree port type network vpc 2

interface port-channel100 description F;HUDEBCN2KFEX001

65

switchport mode fex-fabric fex associate 100 vpc 100

interface port-channel101 description F;HUDEBCN2KFEX002 switchport mode fex-fabric fex associate 101 vpc 101

interface Ethernet1/1 description VPC PEER LINK 1/1 switchport mode fabricpath speed 10000 channel-group 1 mode active no shutdown

interface Ethernet1/2 description U;HUDEBCN7KAGGR01;Eth1/1 switchport mode fabricpath speed 10000 channel-group 2 mode active no shutdown


interface Ethernet1/4 description D;HUDEBCN2KFEX001;UPLINK1 switchport mode fex-fabric fex associate 100 channel-group 100 no shutdown

66




interface Ethernet1/18 description U;HUDEBCN7KAGGR01;Eth2/1 switchport mode fabricpath channel-group 2 mode active no shutdown


interface Ethernet1/20 description D;HUDEBCN2KFEX001;UPLINK1 switchport mode fex-fabric fex associate 100 channel-group 100

67

no shutdown






interface Ethernet1/48 description U;HUDEBCN7KAGGR02;Eth2/3 switchport mode fabricpath channel-group 2 mode active

68

no shutdown

interface Ethernet100/0/1 description SRV;HP00001;Eth1/1 switchport mode access spanning-tree port type edge speed 1000 no shutdown

interface Ethernet101/0/1 description SRV;HP00001;Eth2/1 inherit port-profile SRV_ACCESS_10G switchport mode access spanning-tree port type edge speed 10000 no shutdown

hostname HUDEBCN5KACC002

feature interface-vlan feature lacp feature vpc logging level vpc 6 feature lldp feature vtp feature fex feature fabricpath

vtp mode transparent vtp domain LAB fex 100 pinning max-links 1 description "F;HUDEBCN2KFEX001" type N2248TPE

fex 101 pinning max-links 1 description "F;HUDEBCN2KFEX002"

69

type N2232TM-E

vrf context management ip route 0.0.0.0/0 192.168.9.1 ipv6 route 2000::/3 mgmt0 2001:06f8:1ce1:ff02::0001

vlan 10 mode fabricpath name FP_Engineering vlan 20 mode fabricpath name FP_Sales vlan 30 mode fabricpath name FP_Prod spanning-tree port type edge default spanning-tree port type edge bpduguard default spanning-tree mode rapid-pvst spanning-tree vlan 1-4094 priority 49152 spanning-tree domain 110

port-profile type Ethernet SRV_ACCESS_10G switchport mode access spanning-tree port type edge speed 10000 no shutdown

vpc domain 111 role priority 2000 peer-keepalive destination 192.168.9.24 peer-config-check-bypass peer-gateway fabricpath switch-id 111

fabricpath switch-id 1112 fabricpath timers linkup-delay 60 fabricpath domain default spf-interval 150 50 50

70

lsp-gen-interval 150 50 50

interface port-channel1 description I;HUDEBCN5KACC001;Po1 switchport mode fabricpath spanning-tree port type network vpc peer-link

interface port-channel2 description U;HUDEBCN7KAGGR01-02_VDC3 switchport mode fabricpath spanning-tree port type network vpc 2




interface Ethernet1/2 description U;HUDEBCN7KAGGR01;Eth1/2 switchport mode fabricpath speed 10000 channel-group 2 mode active

71

no shutdown






interface Ethernet1/18

72

description U;HUDEBCN7KAGGR01;Eth2/2 switchport mode fabricpath channel-group 2 mode active no shutdown






73




interface Ethernet100/0/1 description SRV;HP00001;Eth1/1 switchport mode access spanning-tree port type edge speed 1000 no shutdown

interface Ethernet101/0/1 description SRV;HP00001;Eth2/1 inherit port-profile SRV_ACCESS_10G switchport mode access spanning-tree port type edge speed 10000 no shutdown

hostname HUDEBCN7KAGGR01

install feature-set fabricpath feature telnet cfs eth distribute

74

feature ospf feature interface-vlan feature hsrp feature lacp feature vpc feature vtp feature fabricpath allow feature-set fabricpath

vlan 10 mode fabricpath name FP_Engineering vlan 20 mode fabricpath name FP_Sales vlan 30 mode fabricpath name FP_Prod spanning-tree mode rapid-pvst spanning-tree vlan 1-4094 priority 8192 spanning-tree domain 110

vpc domain 110 role priority 1000 peer-keepalive destination 192.168.9.63 dual-active exclude interface-vlan 10,20,30 peer-config-check-bypass peer-gateway fabricpath switch-id 110


interface port-channel1 description PEER LINK

75

switchport mode fabricpath spanning-tree port type network vpc peer-link

interface port-channel2 description D;HUDEBCN7KCORE01-02_VDC2 switchport mode fabricpath spanning-tree port type network vpc 2

interface port-channel3 description D;HUDEBCN5KACC001-002 switchport mode fabricpath spanning-tree port type network vpc 3

interface Vlan10 no shutdown no ip redirects ip address 10.10.10.1/24 hsrp version 2 hsrp 10 priority 250 timers msec 500 msec 1500 ip 10.10.10.254


interface Vlan30 no shutdown

76

no ip redirects ip address 10.10.30.1/24 hsrp version 2 hsrp 30 priority 250 timers msec 500 msec 1500 ip 10.10.30.254

interface Ethernet1/1 description D;HUDEBCN5KACC001;Eth1/2 switchport mode fabricpath speed 10000 channel-group 3 mode active no shutdown




interface Ethernet1/48 description VPC PEER LINK 1/48

77

switchport mode fabricpath channel-group 1 mode active no shutdown





interface Ethernet2/48 description VPC PEER LINK 2/48 switchport mode fabricpath channel-group 1 mode active no shutdown

78

interface Ethernet7/6 description D;HUDEBCN7KCORE01;Eth7/9 switchport mode fabricpath speed 40000 channel-group 2 mode active no shutdown

interface Ethernet8/6 description D:HUDEBCN7KCORE02;Eth7/9 switchport mode fabricpath speed 40000 channel-group 2 mode active no shutdown

hostname HUDEBCN7KAGGR02

install feature-set fabricpath feature telnet cfs eth distribute feature ospf feature interface-vlan feature hsrp feature lacp feature vpc feature vtp feature fabricpath allow feature-set fabricpath

vlan 10 mode fabricpath name FP_Engineering vlan 20 mode fabricpath name FP_Sales vlan 30 mode fabricpath name FP_Prod spanning-tree mode rapid-pvst

79

spanning-tree vlan 1-4094 priority 8192 spanning-tree domain 110

vpc domain 110 role priority 2000 peer-keepalive destination 192.168.9.53 dual-active exclude interface-vlan 10,20,30 peer-config-check-bypass peer-gateway fabricpath switch-id 110


interface port-channel1 description PEER LINK switchport mode fabricpath spanning-tree port type network vpc peer-link

interface port-channel2 description D;HUDEBCN7KCORE01-02_VDC2 switchport mode fabricpath spanning-tree port type network vpc 2

interface port-channel3 description D;HUDEBCN5KACC001-002 switchport mode fabricpath spanning-tree port type network vpc 3

interface Vlan10 no shutdown no ip redirects

80

ip address 10.10.10.2/24 hsrp version 2 hsrp 10 priority 240 timers msec 500 msec 1500 ip 10.10.10.254




interface Ethernet1/2 description D;HUDEBCN5KACC002;Eth1/3 switchport mode fabricpath speed 10000

81

channel-group 3 mode active no shutdown






interface Ethernet2/3

82

description D;HUDEBCN5KACC001;Eth1/48 switchport mode fabricpath speed 10000 channel-group 3 mode active no shutdown



interface Ethernet7/6 description D;HUDEBCN7KCORE01;Eth8/9 switchport mode fabricpath speed 40000 channel-group 2 mode active no shutdown

interface Ethernet8/6 description D:HUDEBCN7KCORE02;Eth8/9 switchport mode fabricpath speed 40000 channel-group 2 mode active no shutdown

83

SZAKDOLGOZAT. Berna Dániel

Recommend Documents