Extreme Networks SLX,VSP和EXOS交换机系列包括具有特殊硬件架构的型号,统称为“ Insight”。 与标准版本不同,当仅通过PCIe总线连接交换机的Contol和Data Plane(具有所有由此产生的带宽限制)时,“ Insight”交换机将多个Data Plane接口直接连接到部署在Control Plane上的虚拟机。 考虑一下它是如何工作的以及利用了哪些资源:
“ Insight”接口通常是几个专用的10GE链接,这些链接从ASIC通过多路复用器连接到控制平面。 在那里,它们作为隔离的Ubuntu Linux 16.04虚拟机(简称为TPVM)(第三方虚拟机)的以太网接口安装。 这种物理隔离使您能够以最小的延迟传输大量流量,而不会导致控制平面或数据平面的性能下降。 虚拟化本身是基于KVM构建的。 在一起,这使得可以直接在设备上运行tcpdump,p0f,snort,分布式DPI或分析之类的工具和服务,以及许多其他服务,而无需部署其他网络基础结构。 为了加快TVPM本身的部署,该映像已预先安装了许多必要的软件包:
- 必要的
- 检查安装
- 伊珀尔夫
- 工具
- netperf
- 客客代理
- 扎克
- 瓦尔格朗德
- 虚拟侏儒
- Wireshark
- xterm
在“ Insight”交换机上,安装了Intel XEON x86 CPU,增加的RAM和SSD驱动器,在部署多个VM的情况下,您可以分配资源。 资源本身是专用和隔离的,以免破坏交换机本身的操作系统。
要将TPVM用于预期目的,只需执行四个步骤:
- 下载并安装TVPM
- 配置Insight界面
- 向这些接口添加ACL或流量镜像
- 启动TPVM应用程序
下面实际上是一个小例子,说明了它们如何展开和工作。 通过scp2下载TPVM映像后,需要运行以下命令来安装VM:
slx# show tpvm status TPVM is not installed slx# tpvm install Installation starts. To check the status use 'show tpvm status' command slx# show tpvm status TPVM is being installed now
TPVM已启动后,有几种访问方式。 默认情况下,VM将尝试通过DCHP获取地址,或者可以分配一个本地链接的IPv6地址,之后便可以进行SSH访问。 还有一个通过TTY与TPVM的控制台连接。
slx# show tpvm ip-address IPv4: eth0 192.168.2.249 docker0 172.17.0.1 IPv6:2a02:0000:c000:0:da80:00ff:f00b:8800 eth0: fe80::da80:00ff:f00b:8800 slx# ssh 192.168.2.249 -l admin vrf mgmt-vrf admin@192.168.2.249's password: Welcome to Ubuntu 16.04.4 LTS (GNU/Linux 4.4.0–128-generic x86_64) Last login: Tue Apr 2 12:12:46 2019 admin@TPVM:~$ sudo -s [sudo] password for admin: root@TPVM:~# id uid=0(root) gid=0(root) groups=0(root)
eth0接口是我们的管理,而eth1是我们需要配置的“ Insight”。
root@TPVM:~# ip -4 link 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000 link/ether d8:00:00:00:00:04 brd ff:ff:ff:ff:ff:ff 3: eth1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000 link/ether d8:00:00:00:00:02 brd ff:ff:ff:ff:ff:ff 4: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN mode DEFAULT group default link/ether 02:42:28:2d:60:b9 brd ff:ff:ff:ff:ff:ff
与堆叠技术类似,交换机前面板上的最后一个端口具有双重用途,我们需要将它们传输到Insight模式,此后暂时无法通过它们进行数据传输。
slx# conf t slx(config)# hardware slx(config-hardware)#connector 0/48 slx(config-connector-0/48)# no breakout slx(config-connector-0/48)# insight mode
系统将创建一个接口0/125,我们将使用它
slx(config)# interface Port-channel 22 slx(config-Port-channel-22)# insight enable slx(config-Port-channel-22)# no shutdown slx(config)# interface Ethernet 0/125 slx(conf-if-eth-0/125)# channel-group 22 mode on type standard slx(conf-if-eth-0/125)# no shutdown
检查交换机上的接口:
slx(conf-if-eth-0/125)# do show interface ethernet 0/125 Ethernet 0/125 is up, line protocol is up (connected) slx(conf-if-eth-0/125)# do show interface port-channel 22 Port-channel 22 is up, line protocol is up
在TPVM上
root@TPVM:~#dmesg [ 2172.748418] ixgbe 0000:00:09.0 eth1: NIC Link is Up 10 Gbps [ 2172.748508] IPv6: eth1: link becomes ready
现在,您可以在Insight上挂起ACL,配置VLAN(或多个VLAN)并检查流量。
root@TPVM:~# tcpdump -i eth1 -n -v tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes 02:38:38.107923 IP6 fe80::8802 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28 02:38:39.059939 IP6 fe80::8802 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28 02:38:39.119922 LLDP, length 111: slx 02:38:40.120076 LLDP, length 111: slx
进一步的使用仅受客户的要求或想象力的限制。 至尊网络工程师,合作伙伴和客户已经测试了许多不同的应用程序,例如:
- VNC服务器
- DHCP服务器
- AAA服务器(Radius和TACACS)
- DNS服务器
- Ostinato-Ostinato数据包生成器,网络流量生成器和带有GUI的分析器。
- SNMP陷阱接收器
- Surricata-实时入侵检测(IDS),内联入侵防御(IPS),网络安全监视(NSM)和脱机PCAP处理。
- Syslog服务器
- Google-chrome和cURL
- Arpsponge
- Perfsonar
- up
- Logstash
- Docker容器(支持的版本:docker-1.13.0)
如有疑问,请联系我们当地的
极限网络代表
。