用于CISCO CATALYST 6500系列的CISCO IOS软件模块化白皮书

来源：Cisco网站作者：出处：巧巧读书 2005-10-29 进入讨论组

　　本文旨在从技术角度出发，详细介绍用于Cisco® Catalyst® 6500系列交换机的Cisco IOS® 软件模块化的优势、特性和功能。

简介

当今的网络设备必须提供最长的正常运行时间，以便服务于语音、视频和数据应用等关键任务流量。尽管高可靠性一般是通过冗余系统在核心和分发层中提供的，但是鉴于单一网络设备通常是所连接的终端设备的单故障点，使它们更具永续性已成为对配线间、数据中心接入和企业网络的WAN边缘来说最重要的任务。城域以太网接入网络为满足与客户签订的服务水平协议（SLA）的严格要求，也有着类似的需求。此外，因为企业依赖于网络应用，因此网络操作员和管理员非常需要可靠性。

采用Cisco IOS软件模块化的Cisco Catalyst 6500系列通过演进式的软件基础设施增强，最大限度地缩短了停机时间，提高了运营效率。通过让模块化的Cisco IOS子系统作为独立的进程运行，这个创新凭借可自行恢复的进程最大限度地缩短了计划外停机时间，它还利用子系统运行中软件升级（ISSU）简化了软件改动，并经由集成嵌入式事件管理器（EEM）实现了进程级的自动策略控制。

用于Cisco Catalyst 6500系列的Cisco IOS软件模块化

Cisco IOS的设计可满足发展中网络最为严格的IP服务和控制平面可扩展性要求。Cisco IOS软件由数百个子系统组成，每个都定义了某项技术的某个组件，它们运行于共享内存空间，以实现最高的软件转发性能。

Catalyst 6500系列通过PFC或DFC上的ASIC，提供了基于硬件的转发功能。Catalyst 6500系列的控制平面功能在MSFC网络的专用CPU上运行。

控制平面→管理路由协议更新和管理流量等控制流量。
数据平面→负责通过ASIC进行的实际分组转发。

图1. Cisco IOS软件模块化的架构，显示了Cisco Catalyst 6500系列控制和数据平面的分离，以及独立的进程

完全独立的数据平面可确保，即使控制平面运行中断，只要软件的智能特性足以对硬件编程，使之不间断运营，就可持续转发流量。凭借Cisco Catalyst 6500系列交换管理引擎的冗余性，在主交换管理引擎发生硬件故障时，Catalyst 6500系列的不间断转发（NSF）和状态化切换（SSO）特性仍能提供持续运行的数据转发平面。对故障隔离和分离控制及数据平面的要求，导致了OS级关注焦点的改变。特别需注意的是，控制平面软件中的改动或问题不应影响数据平面上的转发。

Cisco IOS软件模块化将子系统组合为独立的进程，增强了Cisco IOS软件的内存架构，可提供进程级的故障隔离和子系统ISSU功能。这些改进在用于Catalyst 6500系列Supervisor Engine 720和 Supervisor Engine 32的Cisco IOS软件中提供，同时保留了网络操作员已经熟悉的丰富功能和操作环境。Cisco IOS软件模块化将首先在Cisco IOS 12.2(18)SXF的一个版本中提供。操作员将可从大量带或不带软件模块化的镜像中进行选择。在带Cisco IOS软件模块化的镜像与当前用于Catalyst 6500系列的Cisco IOS软件版本的功能完全相同前，思科将保留不带IOS软件模块化的并行镜像。

运营一致性

虽然软件模块化为Catalyst 6500系列上的Cisco IOS软件带来了很多改进，但从运营角度无需作任何改变。命令行界面（CLI）以及SNMP或系统日志等管理界面仍与以前一样。为支持新功能，添加了执行和配置模式的新命令以及show命令。软件发布和重建也与以前相同，只是添加了对于子系统补丁的支持。

受保护内存

在软件模块化支持的内存架构中，进程使用受保护地址空间。每个进程及其相关的子系统都“运行”于独立的内存空间中。同一进程的子系统能直接地相互通信，而进程间只可使用进程间通信（IPC）来传输信息。利用这种模式，就不会发生内存破坏波及多个进程的现象。同一进程中子系统的通信能直接进行，从而提供了一致的控制平面性能。

故障抑制

受保护内存空间的优势在于，因为一个进程中的问题不会影响到系统的其他部分，所以提高了可靠性。例如，如果一个关键程度不高的系统进程发生故障或未按预期运行，并不会影响持续转发分组所需的关键功能。具体来说，如果UDP进程发生故障，那么只有需使用UDP的特性会受到影响。

进程可重启性

模块化进程建立在受保护内存空间和故障抑制的基础上，现在可单独重启。为进行测试或处理无响应进程，可使用一条CLI命令来手动重启进程。这样，无需中断分组转发，即可快速从暂时错误中恢复。

手动重启进程很重要，而持续检查进程的状态也是至关重要的。一个集成的高可靠性子系统可持续检查进程状态，跟踪在规定时间间隔内一个进程的重启次数，从而完成这一任务。这种高可靠性子系统可通过重启进程，尽快从各种故障中恢复。如果进程重启仍无法恢复系统，那么高可靠性子系统会采取更高层次的行动，如进行交换管理引擎切换或重启系统。

因为每个进程有自己的受保护环境，可按需提供状态检查点信息。检查点架构能在进程重启或故障切换过程中保留此信息。高可靠性子系统在进程重启时会利用这一信息，实现状态化恢复。当一个进程重启时，它会利用检查点信息（例如中间系统－中间系统[IS-IS]路由协议信息的状态）来尽快进行恢复。检查点信息仅在特定时间段内进程第一次重启期间提供，以确保检查点状态信息本身不会导致错误。

模块化进程

部分控制平面功能已被模块化，这其中包含了大多数常用的特性。模块化进程包括但不限于：

路由
互联网守护进程
原始IP处理
TCP
UDP
CDP
系统日志守护进程
内嵌事件管理器组件
IP文件系统端口守护进程
文件系统驱动器
安装管理器

因为该架构可实现进一步的Cisco IOS软件模块化，因此软件模块化的发展将增加独立模块化进程的数目。

增强此架构的计划包括实现IPv6、MPLS和BFD等进程的模块化。这其中部分特性可能暂时无法提供1。

子系统运行中软件升级

毫无疑问，受保护内存空间和进程可重启性的最重要优势就是，用户可在系统运行期间改动系统。Cisco IOS软件模块化增强了Cisco IOS软件基础设施，可通过单独的补丁进行选择性的系统维护。补丁是可影响一或多个子系统的单一修复。补丁最初将以维护包的形式提供－类似于适用于运营商级路由系统(CRS-1) 和Cisco XR 12000系列路由器的Cisco IOS XR软件中的软件维护升级（SMU）。一个维护包可包括一或多个能在运行时应用的补丁。软件模块化的初始版本将主要关注于产品安全事故报告小组（PSIRT）所提供的安全建议。

通过提供版本管理和补丁管理功能，无需重启系统，即可下载、验证、安装和激活维护包。根据需要修补的OS部分，网络操作员现在可以随时、灵活地进行软件改动，这是因为大多数补丁都不需要重启系统。补丁只会影响修复某一特定软件问题时所需的组件，因此大大缩短了代码认证时间。网络管理员现在只需验证与修复相关的软件部分。在作出应用某一维护包的决定后，网络中的多个Cisco Catalyst 6500系列交换机都可凭借子系统ISSU特性快速升级。

1 更多信息请参见版本说明，网址是：http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/relnotes/index.htm。

软件模块化和Cisco Catalyst 6500系列硬件架构的配合使用

Cisco Catalyst 6500系列交换机利用ASIC在硬件中执行流量转发。路由协议、终端连接（Telnet、SSH协议等）、SNMP等控制和管理任务需由交换机的CPU执行。因此“数据平面”和“控制平面”这两个术语主要用于区分系统的这两个部分。因为数据平面需获得正确的路径，来执行硬件转发，所以它与控制平面对接，控制平面可通过路由协议获取这类信息。在硬件中对这些路径编程之后，只有更新部分需从控制平面发送到数据平面。

将软件模块化与这类架构，以及EIGRP、OSPF、IS-IS和BGP等路由协议的不间断转发（NSF）功能2相结合，可实现巨大优势。即使只有单一交换管理引擎的系统也可利用NSF功能。软件模块化的重启功能可重启任意模块化进程，如IP路由进程，而同时，系统的其余部分保持运行。以下步骤可说明一个系统是如何在不干扰用户的情况下进行恢复的：