相關連結:https://www.ithome.com.tw/review/123532

cisco_catalyst_9500xi_lie_jiao_huan_qi_main.jpg




去年6月,網路設備大廠思科(Cisco)喊出意圖式網路(Intent-based Networking)的新概念,並發表了多種解決方案,以便實現這種直覺式網路環境,而當時推出的網路交換器Catalyst 9000系列,正是其中的重要角色。

該公司重新設計了這個系列交換器,希望能因應數位轉型時代帶來的各種轉變,聚焦在行動應用、雲端服務、物聯網與資訊安全的領域的需求,透過硬體ASIC晶片與軟體平臺IOS XE的創新,提供更強大的安全防護、可程式化應用,以及網路傳輸效能。

在整體配置上,Catalyst 9000系列交換器都是採取通用的硬體設計,搭配了思科發展的ASIC晶片UADP(United Access Data Plane),作為負責網路交換作業的中央處理器,同時,也首度引進x86處理器平臺,可在網路交換器當中,執行額外的應用程式。至於系統軟體的部分,Catalyst 9000搭配了開放架構的可程式化作業系統,也就是Cisco IOS XE。

相較於過往推出的網路交換器,Cisco在Catalyst 9000系列交換器當中,引進了通用的軟硬體架構,包括:x86處理器、可程式化ASIC晶片UADP(United Access Data Plane),以及基於Linux而成的IOS-XE作業系統。

從產品的機型來區分,Catalyst 9000可分為三大系列,其中的9300可支援堆疊的規模擴充方式,最大可提供480 Gbps的網路交換頻寬;9400採用了模組化機箱,單一系統可提供9 Tbps的頻寬,而我們這次介紹的9500,則使用固定組態的配置,最大可提供6.4 Tbps的頻寬。

就產品定位而言,Catalyst 9300系列和Catalyst 9400系列都是園區存取交換器,兩者的差別在於,前者是固定的組態配置,可支援1Gb、2.5Gb、5Gb、10Gb網路環境,後者則是模組化的配置,支援1Gb、10Gb銅線與光纖網路環境。
至於Catalyst 9500系列,屬於固定組態的核心交換器,可支援10Gb、25Gb、40Gb、100Gb網路環境。

 

Catalyst系列交換器目前面臨世代交替,根據Cisco的規畫,存取交換器的部分,3850 Copper會交棒給9300,4500-E則是對應9400;骨幹核心交換器的部分,4500X和3850 Fiber 48埠等機型,則是轉移到9500。

相較於思科過去推出的固定組態核心交換器,像是Catalyst 4500-X、Catalyst 3850,新的Catalyst 9500系列交換器,在網路介面的搭配更為多元,不只是10Gb、40Gb,還可同時支援25Gb、100Gb。

  

在Cisco Catalyst 9500系列交換器裡面,如果需要較多的25Gb/10Gb/1Gb網路埠,可選擇的機型是C9500-24Y4C和C9500-48Y4C;若需要使用到大量00Gb/40Gb/10Gb/1Gb網路埠,則是以C9500-32QC和C9500-32C等兩款機型為主。
而這4款交換器所採用的可程式化ASIC晶片,都是UADP 3.0。

 

單就Catalyst 9500系列而言,目前思科提供8款機型的選擇,除了各自配置了不同規格、數量的網路埠,還能以使用的ASIC晶片版本來區分,例如,其中的C9500-24Q、C9500-12Q、C9500-40X、C9500-16X,都是UADP 2.0,C9500-32C、C9500-32QC、C9500-48Y4C、9500-24Y4C則是UADP 3.0,而後者在網路交換容量的效能規格上,可達到前者的6倍之多。

上面兩張圖,是Catalyst 9500系列搭配兩種UADP晶片的架構。就ASIC晶片之間的互連頻寬而言,UADP 2.0 XL是720Gbps,UADP 3.0是800 Gbps。

相較於市面上的網路交換器,Catalyst 9000系列也特別整合了多種獨特的安全防護功能,像是加密流量分析(Encrypted Traffic Analytics,ETA)、採用AES-256的MACSec加密,以及支援SUDI(Secure Unique Device Identification)的裝置辨識機制。

針對加密網路流量的監控與管理,Catalyst 9000系列支援Encrypted Traffic Analytics(ETA)的功能,可透過被動監控的方式來識別惡意軟體的通訊活動——交換器可運用本身執行的Flexible NetFlow(FNF),追蹤所有流經它的連線、流向,並且運用兩種詮釋資料(metadata)來偵測惡意網路活動,像是初始資料封包(Initial Data Packet),以及封包長度與期間的順序(Sequence of Packet Lengths and Times)。
此外,ETA也能搭配收集NetFlow記錄的Stealthwatch,以及雲端資料分析服務Cisco Cognitive Analytics,將上述兩種詮釋資料與Cisco的威脅情報之間,進行比對,找出惡意活動。

 

Catalyst 9000系列交換器支援MACsec(Media Access Control Security),能夠提供點對點的網路連線安全防護,預防服務阻斷攻擊、中間人攻擊。而上面兩張圖解,分別代表主機對交換器,以及交換器與交換器之間的MACsec架構。

上一個 回列表 下一個