思科Catalyst 3750E交换机首家评测(2) 

高可用性测试——健壮的堆叠

　　Catalyst 3750-E利用堆叠技术构建了一个接近机箱交换机的产品，其灵魂就是其独有的StackWise Plus技术。StackwisePlus技术同Stackwise相比，采用了新的更先进的堆叠处理机制，堆叠性能提高了一倍，吞吐量从32G提升到64G，而本地交换功能使得交换机内部端口之间的数据不需要被传送到堆叠电缆上，极大地提高了整个堆叠的性能和效率。

健壮堆叠之主控切换不影响本地转发

　　StackWise Plus是在Catalyst 3750交换机的StackWise技术基础上升级而来。和通常的堆叠技术不同的是，采用StackWise Plus技术的堆叠系统中的交换机之间关系更紧密，堆叠线缆如同机箱交换机的背板总线，传递数据包的同时还要传递之间的控制信息，而各个交换机之间则趋近于分布式转发架构的机箱交换机中主控引擎和各接口交换模块的关系。在堆叠建立之后，通过内部自动竞选或者认为指定，将有一台交换机成为Master，类似机箱交换机的主控引擎，而其他交换机则如同机箱交换机的分布式转发引擎一样，听从主控引擎的调遣。StackWise Plus采用了“部分集中、部分分布”的方式。首先，转发层面是完全分布式的，各成员交换机都根据本地转发表进行第2层和第3层转发，当发生Master切换时，各成员交换机的L2和L3转发不受影响，持续不间断转发。在控制层面，第2层的地址学习、生成树、包括802.1x端口状态控制等都是分布式控制的，在发生Master切换时，已经完成802.1x认证的端口状态不受影响，不会重新认证。而CDP协议、第3层路由协议（不是转发）、802.1x和AAA server之间的通信等则是集中在Master完成的，由Master下发第三层转发的FIB表到所有成员交换机。Master切换时，各成员交换机不间断地根据本地转发表进行数据包转发，新的Master完成第3层路由的重新计算后，更新所有成员交换机的FIB表。所以Catalyst 3750-E很多功能特性和机箱交换机的功能非常类似。较之前辈StackWise Plus提升了原来32Gbps的堆叠带宽到64Gbps，从而更好支持高密度的千兆和万兆应用，同时通过算法的升级冗余恢复的效率上大大提升。

　　我们测试了在切换Master的过程中对交换机转发的影响。我们首先进行了二层转发的测试，测试开始前，通过自动系统选择48口的Catalyst 3750-E交换机被选为堆叠中的Master，我们将24口的Catalyst 3750-E交换机的两个端口连接测试仪，进行二层64字节线速转发测试。在这个过程中，我们关闭48口的Catalyst 3750-E交换机，这时候24口的Catalyst 3750-E成为堆叠中的Master，而这个切换过程中，24口Catalyst 3750交换机的转发测试没有任何丢包现象发生（见网站视频文件）。同样的方法我们进行了Master切换对三层转发测试的影响，同二层切换过程一样，没有出现丢包的现象。从这个测试的结果看，采用部分集中的方式可以在一个堆叠中有更高效的运算效率，同时采用部分分布处理，又提高了整个堆叠系统的健壮性，在Master出现问题，重新选择Master的过程中，不会影响关键应用。

健壮堆叠之冗余和模块化电源风扇

　　作为固定配置交换机，由于价格和空间的限制很难像模块化交换机那样配备冗余的电源和风扇模块，这为确保系统的健壮性埋下了不稳定的因素。Catalyst 3750-E采用了少见的模块化电源和风扇，配合外接供电系统，提高了整个堆叠系统的可用性。

　　Catalyst 3750-E交换机配备了模块化可热插拔的电源模块和风扇模块（见图），一旦电源模块和风扇出现问题可以在线更换。这样带来的最大好处是不会因为风扇或者电源的问题，整个更换交换机，减少了重新跳线的麻烦，提高了无故障的工作时间。另外，风扇模块可以在线热插拔，也减少了宕机的时间。

　　Catalyst 3750-E交换机具备PoE功能，可以为IP电话机、无线局域网的AP提供电能，为了能够让交换机不为电源问题所困，为供电设备提供持续的电源，Catalyst 3750-E交换机设计了冗余的电源供应方式。Catalyst 3750-E支持多种可选的模块化电源，可根据应用需求选用不同电源模块。除了交流的可更换的电源模块外，交换机后面板上还有一个直流电源接口（见图），用户可以选配Cisco RPS 2300冗余电源系统提供直流电源，从而提供冗余的电源供应。在交换机由RPS 2300供电时，能热插拨电源，对故障电源的更换不影响机器运行。和Cisco RPS 2300冗余电源系统相结合，能够透明地防范内部电源故障，与不间断电源(UPS)系统相结合，则能够防止断电，因此，语音和数据融合网络可获得最高的电源可用性。RPS 2300能为6台相连Cisco Catalyst 3750-E系列交换机中的2台同时提供透明的备用电源，提高了数据、语音和视频融合网络的可用性。

安全——多种手段确保内网安全

　　Catalyst 3750-E同其同系列的姊妹产品，Catalyst 3750、Catalyst3560一样支持思科全面的安全特性集，比如动态ARP检测、DHCP snooping、IP 源保护、专用VLAN、扩展的802.1x、端口安全、ACL、生成树保护等安全特性，另外还全面支持思科的网络安全准入技术NAC框架。为企业内网提供了从终端到整个网络架构性的安全保护。相关测试我们在以往的测试中都已验证，此次我们测试重点放在Catalyst 3750-E对反向路径检查功能的支持上。（相关功能测试以及，相关功能对内网安全的贡献请下载网站测试报告《网络边缘绞杀战》《智能出击 御敌网络之外——思科公司NAC解决方案测试报告》）。

通常三层交换机和路由器在三层转发中只看数据包的目的IP地址，而不关心数据包的源IP地址情况。这就给很多黑客和恶意软件以空间和漏洞，他们可以通过仿冒IP地址进行攻击，比如黑客使用计算机本工作再192.168.1.0/24网段，他可以仿冒任意其他网段的主机乃至是一个Loop back地址对目的主机进行攻击，在经过三层交换机和路由器的几跳，而网络管理员很难发现攻击源。再比如黑客可以仿冒其他网段的一个真实主机地址B，向其他的主机发出请求或者Ping操作，从而引发对该主机的DDoS攻击。防范类似攻击Catalyst 3750-E可以利用IP Source Guard和DHCP Snooping来防范直连主机的地址更改仿冒工作，另外还可以通过设定ACL，过滤主机源地址的方法防范仿冒，当然后者的灵活性和可扩展性不强，在大型网络上难以实施。但是假如网络中的接入交换机不都支持IP Source Guard和DHCP Snooping等功能，经过几次三层转发或者路由接入到网络中，就需要有三层交换机支持反向路径检查功能——uRPF，防范类似的攻击行为。这样的功能以前只在高端交换机和路由器上才能硬件支持，现在像Catalyst 3750-E这样的固定配置交换机也支持了这一功能。使用uRPF，另一个好处是在实现安全功能的同时，不用占用宝贵的ACL资源。 uRPF是根据FIB表检查IP包的源IP地址是否属于其进入的接口，确定数据包的源IP是否非法的，例如：在路由网络中假如A网段的路由没有通过同一交换机的B端口宣告过来，而是通过同一交换机的C端口宣告过来，当用户伪造的A网段数据从B端口进入，会被交换机丢弃。使用uRPF不用手工指定哪个端口哪些源地址可以通过，而是根据路由表的变化动态地实现，降低了配置的难度，在大型路由转发网络中具有很高的灵活性和可扩展性。我们在测试中验证了该功能。在未启用uRPF情况下，我们从属于102.1.1.0/24网段的端口，发送源地址为192.168.1.3的数据包，目的地址为101.1.1.2/24的数据，属于101.1.1.0/24的端口可以接收到流量。当启用uRPF之后，原地址为192.168.1.3的数据包被过滤掉了。

易用——大型网络的法宝

　　正如上面提到的，虽然说ACL也能防范地址欺骗和仿冒，但是在一个有着成千上万主机的大型网络中，添加如此众多的ACL，并且不断的要根据用户变化更改ACL，那么没有一个人会愿意这样做。因为如此操作带来的工作量，乃至潜在的巨大差错率都是IT人员无法接受的。在大型网络中，特别是数量巨大的边缘交换机必须具备很强的易用性。

试用TDR时域反射——网管员不用再奔波

　　一旦是网线出现问题，或者信息点出现问题，网络管理员需要拿着测线仪往返奔波于信息点和配线架之间，确定故障的源头。Catalyst 3750-E把通常在测线仪上的时域反射功能集成到交换机端口上，网络管理员可以通过交换机的命令来远程检查线路情况。我们在测试了Catalyst 3750-E的TDR时域反射功能，结果令人满意。

　　Catalyst 3750-E可以可检查出线对的状态并定位线路故障的位置（距离），我们模拟了三种状况，正常端接、开路和短路进行测试，测试用的线缆采用了不同的长度。

1、正常端接的情况：
2、 开路：
3、 短路：

　　从测试的结果看，Catalyst 3750-E不单能准确地发现线缆存在的问题，还能较为准确地定位故障点的位置和长度，误差在正负1米的范畴。

堆叠+图形化工具——提高配置效率

　　Catalyst 3750-E采用堆叠技术除了带来了系统的健壮性，另一点就是提高配置工作的效率，9台交换机可以通过一个地址像一台机箱交换机那样配置，而此次思科送测得图形化软件除了更直观更易用外，支持中文界面也对简化配置，提高配置速度有帮助。

　　Catalyst 3750-E在堆叠之后可以采用一个IP地址进行所有堆叠交换机的配置，也可以通过一个Console对所有堆叠设备配置。特别要提出的是Catalyst 3750-E机身后方有一个专用的10/100BaseTX的带外管理端口（见图），管理员可以通过这个接口进行带外的远程管理，这对于大型网络来说采用远程带外管理更便捷、更安全。

　　我们试用了思科网络助理（CNA）5.1中文版软件，它是一种基于PC的免费工具，提供直观的图形化界面，能根据预设的模板执行快速配置，每个Cisco Catalyst 3750-E系列堆叠都能作为单一对象进行管理，进行批量配置。

　　比如可以利用思科网络助理，使用Cisco Smartports技术简化初始部署和后续维护。用户能够轻松地在思科交换机、路由器和接入点上运行通用服务。（Smartports的应用见网站测试报告《网络边缘绞杀站》）

配置端口角色（利用SmartPorts配置Cisco最佳实践）：

无须TFTP Server即可实现整个堆叠的软件升级：

配置ACL：

配置EtherChannel及其负载均衡算法：

投资保护与灵活配置

　　Catalyst 3750-E在前向兼容以及接口的模块化上也下足了功夫，提供更好的投资保护。
首先，Catalyst 3750-E系列交换机与Cisco Catalyst 3750系列交换机兼容，客户能将Catalyst 3750E和3750混合堆叠，来保护Cisco Catalyst 3750系列交换机的现有投资。

　　对于那些今天仍旧只需要千兆上联链路，未来随着业务增长有万兆上联业务需求的用户来说，Catalyst 3750-E提供了非常丰富的上联链路接口配置。思科推出了Cisco TwinGig小型可插拔(SFP)转换器模块使客户能够根据业务需要从千兆以太网移植到万兆以太网上行链路，无需升级交换机，即在扩展槽位上既可以插入一个万兆以太网接口，也可以将1个万兆以太网X2接口转换成2个千兆以太网小型可插拔(SFP)端口（见图）。

　　Catalyst 3750-E支持的接口种类非常多，比如：1000BASE-T端口、基于SFP的1000BASE-T端口、基于SFP的100BASE-FX，1000BASE-SX、-LX/LH、-ZX、-BX10和CWDM端口：LC光纤连接器（单模或多模光纤），基于X2的10GBASE-SR、LR、ER、LX4、CX4端口: SC光纤连接器(单模或多模光纤)。其中1000BASE-B可以使用一根光纤，采用波分复用技术，用两个光波上下行传输数据，节省宝贵的光纤资源。（见图）

Catalyst 3750-E交换机测试方法篇

　　固定配置交换机仍旧也是测试仪端口杀手。

　　非常抱歉由于国内的条件限制，我们没有凑足足够的端口数和万兆端口进行Catalyst 3750-E交换机满负载的性能测试。这让我们和思科工程师都感到非常遗憾。

　　坦率的说交换机的性能测试也许测试方法并不复杂，技巧要求并不高，但绝对是对测试仪端口密度的一种挑战。由于交换机的端口密度越来越高（1u高度上已经可以做到96个千兆以太网端口），一个稍大型的交换机测试就需要大量的测试仪器端口来支持。而在同样看重转发性能的高端路由器测试中则不会有如此的压力。

　　但是在过去谁也不会认为一个固定配置交换机会给测试带来太大的端口数量要求。但是Catalyst 3750-E颠覆了传统的概念。在Catalyst 3750-E其上代Catalyst 3750面市时，这款产品就在扮演一个特殊的角色——松散的或者说是虚拟的机箱交换机，有着机箱交换机的可扩展性和性能，同样在采购中有有固定配置交换机的价格优势。Catalyst 3750-E更增强了这种优势。单一交换机，Catalyst 3750-E可以实现最大50个千兆端口的密度，或者48个千兆加2个10GE的端口。而如果进行堆叠性能测试时，这样一个“小”家伙一下子变成了可怕的测试仪端口杀手，他总计可以实现9台交换机的堆叠，如此看则会达到468个千兆端口的最大密度，或者432个千兆端口加18个万兆端口的配置，如此的端口密度即使在很多机箱交换机中也是罕见的。思科此次送测的设备，包括一台24千兆加2个10GE，另一台是48个GE加两个10GE，完成这个堆叠的测试就需要72个千兆端口和4个10GE接口。这已经超过了我2004年进行的万兆核心交换机测试（详见万兆选秀测试报告）。