极小的SGT字节长度和大容量的SGACL策略管理的有效结合，形成了Sup 2T高效精准的网络接入管理策略。凭借此策略，无论用户是在任何地域，采用何种接入方式连入网络，网络管理者均可以对用户真实身分进行准确判定，并高效的按不同组别进行不同权限的分类管理，从而达到了安全策略如影随形的接入管理效果。自此，网络管理者将无需再通过防火墙进行复杂的网络安全策略管理。在Catalyst 6500上，SGT和SGACL既可以通过手动配置实现，更可以通过思科ISE动态下发，是安全园区和BYOD解决方案的重要组件之一。

传输安全性的可靠保障——MPLS、VPLS叠加MACSec加密测试

在企业园区网的网络业务应用中，不但需要对用户网络接入权限进行管理，还需要对网络传输的安全性及可靠性进行保障。在这方面，以往通常是由独立的VPN(虚拟专用网)产品或防火墙上附带的VPN功能进行实现的。

然而在以往的高可靠性网络业务数据传输时，无论是采用IPSec VPN还是SSL VPN技术，均有两个问题始终无法回避：一、接入匹配方式复杂，需求在客户端进行复杂的网络接入设置，在多用户应用时无法很好的进行管理。二、传输效率低下，VPN的数据传输性能只有网络传输性能的几分之一，用户在实际应用时，要不需要多购置VPN网络设备，要不只能忍受低传输速率对企业业务的影响。

为了解决此类问题，思科将在城域网发展成熟的三层VPN数据传输技术MPLS(多协议标签交换)功能同样引入了全系Catalyst 6500之中。通过LSP(从源端到终端路径上的结点标签序列)将私有网络的不同分支联结起来，形成一个统一的网络。MPLS的支持优势在于：支持不同分支间IP地址复用的同时，还可以支持对不同VPN间的互通控制。

为了更好的将不同地域分支机构网络进行整合，新的Catalyst 6500在支持MPLS的基础上，又增添了VPLS功能。VPLS支持点到点、点到多点、多点到多点的业务类型，能够在较大网络规模下支持电信级以太网服务实现二层虚拟化。这样即便网络用户所处在于不同的地域，但可以将所有网络整合在一起，最大限度发挥网络整合、统一应用、统一管理的功效。

然而不论MPLS还是VPLS虚拟化方式都不能避免另一个问题存在，在异地跨公网进行以太网数据传输时，数据有可能被第三方截获，造成信息泄密。为此，思科将业界最新的MACSec(802.1ae)二层加密技术引入到Catalyst 6500的SUP2T引擎及6900线卡之中，通过在二层上对所有以太网数据帧进行加密封装，在传统以太网上实现媲美光网络的传输安全性。由于MACSec是通过专用ASIC实现，这样在保证网络传输吞吐量和延迟不受影响的同时，又使网络数据传输的安全性得到了有效保障。

在实际测试中，我们抓包截取了经过MACSec封包传输的数据包文件，在进行查看时，由于MACSec封包无法拆解，因此抓包文件无法进行正常查看，仅能看到源目的MAC地址，其后所有信息皆为密文。

在增添如此多虚拟化及安全传输功能后，Sup 2T及6900线卡在数据传输性能上是否有所减弱呢?为此，我们又一次对Catalyst 6500的传输吞吐量和延迟进行了对比测试。

在本项测试中，我们将两台6500交换机上分别安装了一块6900 8×10G接口卡与一块6908 2×40G接口卡。两块6908 2×40G的4个40G接口互联，以便同时对两台交换机间的数据转发处理性能进行测试。在测试仪表上采用16个万兆网络测试接口分别与两台6500交换机上的两块6900 8×10G接口卡上的8个10G网络接口连接。两台6500的40G以太网接口对联并且使能MACSec加密处理，同时作为MPLS传输接口。