6.5　在服务汇聚层实施拦截

基于云的SOI中，服务汇聚层（参见第2章图2-1）是整合防火墙以及服务负载平衡SLB的理想位置，DC的服务汇聚层通常是L2和L3的交界处，它支持接入层的多个交换机之间共享智能服务设备（例如防火墙和SLB）。更多细节请参见3.1节。

为什么要在服务汇聚层实施拦截呢？一个简单的回答是：将云端对拦截过程的控制传递到租户或终端用户处，换句话说，从云拦截角度看，如果能在服务汇聚层实施拦截，云服务供应商就可以当甩手掌柜了。

由前述章节讨论内容可知，WCCPv2目前已经基本成为私有云环境中一个事实上的拦截技术，但是如果在终端用户控制时也采用WCCPv2，该租户将需要能够直接访问到L3提供WCCPv2服务的设备。在大多数情况下，L3设备实行多VRF以支持在不同租户间的L3路径隔离，如果在配置时已经将对L3设备的接入分配给某个特定租户，那么该租户将能够看见该L3设备上所有的multi-VRF配置信息，这样将破坏系统的安全。采用虚拟设备上下文（Virtual Device Contexts,VDC）是解决此问题的方法之一。

NX7K交换机和ACESM支持VDC，在本书撰写之际，NX7K最多支持包括默认VDC在内的4个VDC，如果将NX7K作为实现自我管理的WCCPv2服务平台，其有限的支持能力将对NX7K交换机的可扩展性提出挑战。另一方案是将ACESM部署在服务汇聚层，ACESM VDC将不被用于实现SLB，而是被实例化并为每个租户完成拦截和重定向网络流量的任务，在这个方案中，由租户对ACESM VDC进行管理。

本节重点研究在私有云的服务汇聚层，ACESM如何实现拦截功能以完成WAN优化。

接下来小节中将探讨以下内容：

·对服务器机箱的要求

·管理上下文

·用户上下文

·ACESM拦截：桥接模式

·ACESM拦截：路由模式

·利用探测器进行状态监控

·WAN优化器集群冗余

6.5.1　对服务器机箱的要求

应用控制引擎（Application Control Engine,ACE）有两种类型：服务器模块和物理应用，其中物理应用类型的ACE已经超越了本书讨论范围，而ACESM对服务器机箱的要求如下：

·任意Catalyst 6500系列机箱：

·Catalyst 6500系列Supervisor Engine 720或Supervisor Engine 720-10GE。

·Supervisor Engine 720运行IOS软件版本为12.2（18）SXF4

·Supervisor Engine720-10GE运行IOS软件版本为12.2（33）SXH4

·任意Catalyst 7600系列机箱：

·Catalyst 7600系列Supervisor Engine 720以及Route Switch Processor 720。

·Supervisor Engine 720运行IOS软件版本为12.2（18）SXF4或12.2（33）SRB。

·Route Switch Processor 720运行IOS软件版本为12.2（33）SRC。

ACESM将被看成支持交换矩阵的线卡并占用交换机一个插槽。