北京人民廣播電臺項目建議書

1、北京人民廣播電臺項目建議書生成日期2009年9月17日初始版本0.1制作者Team狀態(tài)草案修訂日志目錄第一部分 前言31.1 網絡現狀31.2 設計原則3第二部分 方案42.1 方案一：52.1.1 安全總體設計52.1.2 冗余62.1.3 性能和可管理72.1.4 網絡增值82.1.5 總結102.2 方案二：102.2.1 網絡總體設計112.2.2 網絡可管理性122.2.3 網絡增值業(yè)務12第三部分 設備簡介123.1 CiscoWorks的簡介123.1.1 典型網絡的部署133.1.2資產管理133.2無線局域網控制器143.2.1智能RF管理153.2.2嚴格的安全性163.3

2、 Cisco 7204183.3.1產品簡介183.3.2關鍵特性和優(yōu)點183.4 Cisco ASA 5550自適應安全設備203.5 Cisco Catalyst 2960概述213.5.1千兆以太網223.5.2網絡智能性223.5.3增強安全性233.5.4高級QoS243.5.5管理25第一部分 前言本項目建議書來自對于北京廣播電臺的不完全認識。僅從規(guī)劃和實際技術角度討論項目的拓撲和其他可能變化。1.1 網絡現狀北京廣播電臺網絡經過五年的建設，已經具有相當的規(guī)模。網絡規(guī)劃基本合理，設備功能清晰。根據現有掌握的資料來看，網絡大致分為以下幾個部分：網絡接入層。該層面包含了兩個功能，一個是

3、網絡安全用的行為審計設備，另外一個是流量均衡設備。行為審計設備用以限制內部和外部使用者的行為，某些具有明顯惡意行為的數據包將會使用簽名比對的方式進行查找并且丟棄，同時提供了針對某些協(xié)議和應用的封閉能力，可能包括下載工具和流媒體。流量均衡設備目前使用Radwear的主動型流量均衡器，設備通過對外散布ICMP小包，并且統(tǒng)計回環(huán)延時的方式來確定前往特定目的地的最佳路徑。網絡核心層。網絡核心層使用Cisco 7600路由器作為核心路由器。設備上使用FWSM用以提升內部網絡的安全性，提升網絡對于內部攻擊的抵御能力；同時作為對外網絡的第二道防線，也會起到積極作用。核心路由器上使用的NAM模塊有助于管理員準

4、確的統(tǒng)計流經設備各接口的數據類型，對于判斷網絡應用的發(fā)展和發(fā)現網絡威脅的早期特征具有積極意義。核心交換使用Cisco Catalyst 6509進行。設備劃分VLAN，并使用三層路由的方式匯聚接入層的數據。網絡邊緣層。網絡邊緣層主要是各樓層接入交換機組成。接入交換機匯聚客戶流量，并在網絡二層防護方面發(fā)揮積極作用。1.2 設計原則為了能夠進一步提升網絡的運作水平，包括容錯、均衡和可管理能力，使得網絡能更好的適應未來基于應用的交付，決定利用這次機會，對整個網絡進行重新的改造。改造本著適度超前，著眼今后5年實際網絡發(fā)展的原則，為今后更加復雜的網絡應用和面對更加嚴峻的網絡安全形勢，做好充分的準備。網絡

5、改造遵循以下原則進行l(wèi) 開放性標準化嚴格按照行業(yè)標準進行設計，使網絡系統(tǒng)具有較長的生命力和擴展能力，滿足未來升級的要求。在網絡設計中充分考慮設備對標準的支持，保證與多廠商的設備互連的能力。l 高性能擴展性高性能、大容量網絡設施可保證對多種高速網絡技術，如：千兆以太網、快速以太網和ATM等的支持。方案中所推薦的各級網絡設備能針對各類業(yè)務提供適合的帶寬。模塊化設備的使用更會提高網絡系統(tǒng)的擴展能力。 l 安全性可靠性核心設備須具有強大的冗余和容錯功能，重要部件（如電源、核心交換引擎等）采用冗余備份設計。采用多級網絡安全的設計思路，推薦使用設備內置的安全功能，能配合專業(yè)的安全產品（如防火墻）還能有效地

6、阻止外部的非法入侵和內部的非授權操作。l 可管理性和可維護性采用先進完善的網絡管理和監(jiān)控工具，對網絡實現一體化管理。通過對網絡性能的監(jiān)控及時改善網絡性能。l 設備的先進性和成熟性在網絡通訊技術和計算機技術發(fā)展日新月異的今天，網絡的選擇既要遵循新技術的發(fā)展方向，采用最新科技水平，使項目具備國內乃至國際領先的地位，又要兼顧技術上的成熟性，保證系統(tǒng)整體性能，使整體投資達到最佳。第二部分 方案為了能夠更好的滿足需求，現特別準備了兩套方案，以供選擇。第一套方案傾向高性能和高可靠性，目標是滿足今后至少5年網絡情況的發(fā)展，網絡設計有全冗余鏈路，擁有極高的故障恢復和負載可控特性。第二套方案傾向于應用交付，注重

7、較低的購置成本和較強的通用性。2.1 方案一：本方案著眼高性能和高可靠性，更換主鏈路設備，提升內部設備安全水平和可控制水平。使用Cisco基于ASA算法的新一代防火墻，同時內置IPS模塊，除了能夠很好的解決目前網絡威脅，也可以為今后大量面對Internet的服務器提供良好的保障。整體網絡拓撲本網絡拓撲較大的改動了網絡現有狀態(tài)。由于無法驗證現在網絡上使用的UTM設備的具體作用因此將此設備暫時當作網橋看待，所有的流量直接穿越UTM，并在UTM上執(zhí)行原有策略。2.1.1 安全總體設計安裝兩臺攜帶IPS的Cisco 5540防火墻。帶有IPS作用的一大好處，就是可以借助獨立的IPS硬件，來完成豐富的數

8、據檢測功能。Cisco防火墻是業(yè)界領先的設備，基于簽名的數據包過濾技術可以非常容易的發(fā)現已知的攻擊行為，并能進行極深度數據包檢查，避免夾雜在數據包當中針對特定系統(tǒng)的語義攻擊，更大限度的自外而內保護網絡安全。同時照顧到未來的服務器群組，ASA提供了雙上下文環(huán)境來保證兩臺設備的雙Active狀態(tài)。通過鏈路檢查和狀態(tài)復制，ASA可以保證在任何一臺設備實效的情況下仍能保證數據的正常轉發(fā)。IPS模塊可以成倍的提高防火墻對于攻擊的抵抗能力。因為北京廣播電臺從社會學上，屬于社會地標組織，極其容易受到攻擊。因此，相對于A/S結構的防火墻冗余，AA結構更容易面對惡劣環(huán)境。額外的，帶有多上下文環(huán)境的ASA還可以提

9、供ASR。這種不對稱狀態(tài)技術可以幫助數據包及時往返路徑不一致的時候，也仍然可以從另外一臺防火墻返回網絡。2.1.2 冗余鏈路以下，使用兩臺F5 LC1500鏈路負載均衡器，用以實現智能網絡均衡負載能力?；诖罅康膶嶋H工程經驗，F5 LC1500均衡器使用SRTT算法來確認鏈路的使用狀況。通過不間斷的對數據包的監(jiān)視，設備就可以了解足夠多的線路狀態(tài)信息。相比較而言，Radware的Echo技術大量的消耗自身的上游設備資源，嚴重的增加了網絡設備處理數據包的負擔。一般認為，網絡設備在處理小型數據包時候將會付出更多的網絡資源。核心進行小幅的調整，用以提高整個網絡的可靠性水平和可管理能力。為兩臺設備購置次

10、級備份設備，以求在不顯著增加成本的前提下，大幅度提高網絡應對突發(fā)故障或者設備崩潰的能力。為Cisco7600進行備份的設備是Cisco 7204VXR，7204是緊湊型ISP邊緣路由器，擁有NPE200/400等各型號的高速處理器，并能夠部分兼容Cisco 7600的板卡，并且總造價不高，可以極大地提升網絡可控水平，當網絡遭受嚴重物理破壞或者極端攻擊時候，擁有足夠的處理能力來進行平滑和處理。同時，將核心設備上的防火墻模塊轉移到Cisco Catalyst 6509上，新購買NAM模塊安裝到Cisco6509上，用以提供更為詳細的流量統(tǒng)計報告。2.1.3 性能和可管理作為三層交換的核心設備，65

11、09擁有至少720G的傳輸能力，并且高效的三層交換能力可以使得6509比7600路由器更加適合處理這種大量用戶數據簡單匯聚的工作。FWSM經過小心的配置，可以更為有效的工作在這種環(huán)境下。同時，購買第二塊引擎和電源，以便于從物理結構上增加設備的可靠程度。當接口數目不足的情況下，可以購買另外的接口板，確保所有內部用戶都在FWSM的控制之下。同樣的，在Cisco6509上也添加IDS模塊。作為Cisco安全網絡不可或缺組成部分，應用在內部網絡的IDS將會和FWSM一起，一次性永久解決內部網絡訪問控制問題。歷年的網絡安全會議強調，網絡中來自受信任區(qū)域的網絡攻擊占到網絡攻擊總數的80%，盡管可以有集團化

12、放病毒軟件或者防毒墻存在，但是我們仍然無法忽視來自受信任區(qū)域發(fā)起攻擊所帶來的嚴重后果。兩套IDS與防火墻、核心路由器和核心交換機進行聯動，確?？梢詼蚀_及時的消除網絡攻擊帶來的隱患。2.1.4 網絡增值為了更好的管理北京廣播電臺內部的瘦AP，實現給予802.1X的接入認證和無縫漫游，應該購置無線局域網控制器以完成這個工作。單獨購買的無線局域網控制器擁有很好的部署靈活性。結合預認證和功率分布分析等等功能，可以為用戶提供非常好的無線接入體驗?；?02.1X的質詢則可以大幅度減少無線網絡需要人工配制的項目的數量，擁有OTP或者密碼的用戶可以接入內網，而其他用戶則只能限制在一個較小的區(qū)域內。核心網絡的

13、設備以及Cisco防火墻上，使用包括逆向路徑校驗和復雜隊列技術、深度數據包檢查，來徹底的進行網絡流量的人工控制。逆向路徑結合bogonACL過濾技術可以大幅減少網絡欺騙攻擊的數量和效果，避免使用虛假地址的TCP SYN攻擊給服務器帶來的難以估量的壓力；相對的，復雜隊列技術可以保證關鍵業(yè)務可以首先通過，特別是在未來可能實現對外的流媒體服務器，或者是內部進行的視頻會議等等，都可以直接從中得益，面對過量的攻擊壓力的時候，復雜隊列技術是保證網絡正常工作的唯一途徑。深度數據包檢查可以結合IPS一同使用。必要時侯，使用ZBF來進一步強化網絡的整體安全性。深度數據報檢測可以檢查數據包的七層載荷，避免畸形數據

14、包對于網絡的毀滅性打擊。網絡管理使用CiscoWorksLMS群件。群件使用Cisco定義設備特性集，可以準確的繪制網絡拓撲，精確描述設備間電纜連接狀況；同時，具有強大的記錄功能，基于SNMP的Trap和CiscoWorks輪詢確保了數據的完整性。現在網絡的接入曾交換機還在使用部分的3Com設備，建議本次統(tǒng)一更換為Cisco設備，除了擁有更好的性能，也為了能夠使用CiscoWorks更好的管理，今后也可以成為網絡NAC體系的一部分。Cisco MARS成為本方案當中最后可以可選件。MARS是Cisco威脅聯動部件的核心設備。它可以工作在簽名和簡檔兩種模式中，因此具有非常低的誤報和對新形態(tài)攻擊的

15、敏感性雙重優(yōu)點。結合網絡中的IPS/IDS，NAM模塊，MARS具有更加豐富和準確的數據源，因此可以發(fā)揮更好的作用。2.1.5 總結此方案具有較高的一次性造價，但是從長遠來看，網絡的基本形態(tài)不論是從單體設備性能，還是冗余能力，或者是人為可控的管理能力上而言，相對于現在都有很大的提升。多業(yè)務設備選擇和針對安全的強化，將會使得網絡能夠更好的適應今后網絡的發(fā)現?？v觀網絡發(fā)展史，老舊網絡的衰落和換代無一不是應用交付程序的暴發(fā)性增長所致。而這種增長對于商用型網絡而言，沒有任何意義。類似迅雷，Emule和BT的應用，將會給網絡帶來極其沉重的壓力。因此，對于商用網絡核心業(yè)務的保護和對應用交付程序的控制，就成

16、為網絡能長治久安和穩(wěn)定運行的基石。網絡中大量部署的IDS和防火墻，將會準確的捕捉這些應用的發(fā)展，盡早的將這些應用控制在管理者手中。2.2 方案二：本方案著眼較低改造成本。較低的改造成本往往意味著較低的行政審批壓力，相比較而言可以更加容易的開展工作。相應的，網絡的可擴展性將會受到一定程度的制約，相對于前面一種方案而言，擴展性會有所降低。2.2.1 網絡總體設計現在的網絡拓撲更多的問題集中在網絡出口。僅從現在的拓撲而言，網絡出口并沒有專職的防火墻來提供對網絡的保護。同時，盡管網絡鏈路實現了冗余，但是鏈路冗余設備卻產生了新的單點故障；核心的Cisco7600盡管具有FWSM，和NAM，但是無法監(jiān)控到

17、Cisco6509上產生的流量。為了能盡快地修正這些明顯的缺陷，應當進行設備的添置，但不涉及對于網絡結構的修改。首先的，核心路由器和核心交換機統(tǒng)一購置雙引擎，以便從設備層面提供冗余能力。通常的，核心網絡設備會面臨最為險惡的網絡應用環(huán)境，因此必須要對核心實行板卡級或者設備級冗余，來提升網絡本身的穩(wěn)定性。2.2.2 網絡可管理性Cisco基于SSO的切換可以在設備運行期間，保存所有路由表和轉發(fā)任務，實現秒級切換，并且不會中斷轉發(fā)和所有鄰接關系。同時，將Cisco7609的FWSM和NAM模塊全部安裝到Cisco6509上，直接連接的用戶也全部轉移到Cisco6509上，實現接入層和網絡路由決策層的

18、分離，提高網絡控制層面的靈活性。由于現在出口的Radware設備使用小包探測鏈路形態(tài)，給出口的UTM設備增加了很多負擔，在UTM設備不能替換的情況下，將Radware設備更換為使用SRTT算法的F5設備。減輕網絡設備負擔也有助于提升整體網絡的穩(wěn)定性。2.2.3 網絡增值業(yè)務由于下屬交換機和無線AP眾多，也增加了接入用戶管理的挑戰(zhàn)。為了避免由此產生的巨大的管理開銷，使用基于Cisco ACS服務器的dot1x質詢認證，來識別用戶身份和設備。以此限制用戶接入的能力和水平。同樣的，由于成本限制，不能在外鏈路上使用高端防火墻，因此采用天融信的行為管理設備，限制用戶可以訪問的Internet網絡資源。天

19、融信作為國內行為管理起步最早的企業(yè)，其行為特征數據庫的更新也是首屈一指，通過不斷的更新數據庫，行為管理設備可以識別和管理更多的網絡數據流量。為了更好的適應網絡統(tǒng)一化管理的目標，下屬接入交換機也視情況改為Cisco制造的型號，以便于識別和管理。除了主鏈路配置有區(qū)別，其他的諸如準入控制，復雜隊列技術，CiscoWorks等等，均和上述方案相同。第三部分 設備簡介3.1 CiscoWorks的簡介CiscoWorks Local Network Management Solution (LMS)是Cisco的一個端到端的網絡管理解決方案。它是包含有兩到三個分支辦公室的小型網絡管理的理想解決方案。Ci

20、scoWorks LMS是廣泛的、低成本并且友好的解決方案，提供了強大的監(jiān)視和配置能力，也提供了網絡管理和簡單的網絡管理功能?；趶V受歡迎的Internet標準，CiscoWorks LMS允許網絡管理員更有效率的管理網絡，這一切僅僅通過一個簡單的機遇瀏覽器的界面就能夠在任何時間任何地點登陸并且管理網絡。CiscoWorks LMS提供了足以完成配置、監(jiān)視和解決路由器、交換機或者其他應用程序問題的工具，能快速的控制由于人為因素而導致的錯誤。商業(yè)用戶使用CiscoWork SNMS，能夠幫助他們有效的提升網絡性能和減少網絡中端時間（給予監(jiān)視和問題解決工具），并能使得網絡配置恢復到配置之前的狀態(tài)。

21、3.1.1 典型網絡的部署今天來自商業(yè)用戶的挑戰(zhàn)就是保證網絡具有很高的可用時間和迅速的故障解決能力。CiscoWorksLMS不僅僅可以進行普通的網絡管理任務，最主要的是，他們還能協(xié)助用戶進行配置或者重新配置復雜并且多變的網絡。一般而言，管理一個小型的網絡，需要及時地管理并清查網絡基礎設備的變化，定期升級運行在本地和遠程設備的軟件鏡像，執(zhí)行配置更改，優(yōu)化網絡的利用率，部署策略以適應組織新的計劃。當然，這是一個具有挑戰(zhàn)性的任務，特別是在大多數組織面臨的預算和人力資源有限的情況下。CiscoWorksLMS支持用戶監(jiān)控、管理和部署新的網絡設備并使它們在很短的時間運行起來，很多其他的針對網絡部署方面

22、的特性。3.1.2資產管理CiscoWorks LMS 提供了非常全面的設備生命周期的管理工具，包括設備的硬件和安裝在上面的軟件。只需要很少的配置工作就可以使得這個工具有效的運行起來，比如可能需要修改密碼和設備集名稱，就會被自動的記錄在案，而不用人為的去創(chuàng)建觸發(fā)器或者進行其他的操作。利用CiscoWorks LMS可以使得管理任務的自動化。CiscoWorks LMS提供了用戶跟蹤網絡設備配置修改的工具。當網絡規(guī)模逐漸增大，設備可以使用帶有新的特性和升級了性能的操作系統(tǒng)來適應，比如新版本的Cisco IOS/Cisco Catalyst OS。經常更新這些程序可以保證網絡安全和穩(wěn)定的運行。 C

23、iscoWorks LMS提供了一個非常簡單但是功能強大的管理窗口來管理整個網絡的基礎設施，并且不僅僅局限于Cisco的設備，包括了PC機，服務器和其他的應用程序，并為紀錄和管理這些公用的基礎設施開辟了有一條新的途徑。用戶開始不需要使用很多彼此不相關的應用程序來管理他們的網絡了。3.2無線局域網控制器思科無線局域網控制器適用于企業(yè)無線局域網部署，并提供了系統(tǒng)級無線局域網功能，如安全策略、入侵防御、RF管理、服務質量(QoS)和移動性。它們與Cisco 1000系列輕型接入點和思科無線控制系統(tǒng)(WCS)軟件共用，可支持關鍵的無線應用。從語音和數據服務到地點跟蹤，WLAN控制器提供了必要的控制能力

24、、可擴展性和可靠性，以便IT經理能構建從分支機構到主園區(qū)的安全、企業(yè)級無線網絡。思科無線局域網控制器可平穩(wěn)地集成入現有企業(yè)網絡中。它們使用輕型接入點協(xié)議（LWAPP），與Cisco 1000系列輕型接入點在任意第二層（以太網）或第三層（IP）基礎設施上通信。這種新型IETF標準有助于確保接入點和無線局域網控制器間的通信安全，可完全自動地支持重要的無線局域網配置和管理功能，從而實現經濟有效的無線局域網運營。 思科無線局域網控制器使企業(yè)能為支持關鍵業(yè)務應用的端到端無線局域網系統(tǒng)，創(chuàng)建和實施策略。多個WLAN控制器可自動相互發(fā)現，并在它們之間無縫協(xié)調WLAN服務。以這種方式，思科無線局域網控制器可作

25、為單一無縫系統(tǒng)運行，提供一個有數千AP的可擴展WLAN網絡。從語音和數據服務到地點跟蹤，WLAN控制器提供了必要的控制能力、可擴展性和可靠性，以便IT經理能構建安全的企業(yè)級無線網絡。Cisco 4400系列無線局域網控制器適用于大中型機構，有兩個型號帶2個千兆以太網端口，其配置可支持12、25和50個接入點的4402，以及帶4個千兆以太網端口，支持100個接入點的4404。4402具有1個擴展插槽，4404具有2個擴展插槽，可用于在將來添加增強功能，如VPN終結等。此外，每個4400 WLAN控制器均支持一個可選冗余電源，以確保最高可靠性。3.2.1智能RF管理所有思科WLAN控制器都配備了用

26、于自適應實時RF管理的內嵌軟件。思科WLAN系統(tǒng)使用即將榮獲專利的無線資源管理(RRM)算法，來實時發(fā)現空中無線資源使用的變化并作出調整。這些調整以類似于路由協(xié)議為IP網絡計算最佳拓撲的方式，為無線網絡創(chuàng)建最優(yōu)拓撲。 思科無線局域網控制器所管理的特定智能RF功能包括： 動態(tài)信道分配802.11信道可根據不斷變化的RF情況進行調整，以優(yōu)化網絡覆蓋范圍和性能。 干擾檢測和避免該系統(tǒng)可檢測干擾并重新調整網絡，以避免性能問題。 負載均衡此系統(tǒng)對多個接入點提供了自動的用戶負載均衡，即使負載量很大，也能獲得最優(yōu)網絡性能。 覆蓋盲區(qū)檢測和修復無線資源管理(RMM)軟件可發(fā)現覆蓋盲區(qū)，并嘗試通過調整接入點的功

27、率輸出來修復它們。 動態(tài)功率控制該系統(tǒng)可動態(tài)調整各接入點的功率輸出，來適應不斷變化的網絡情況，以確保達到預期的無線性能和可靠性。 3.2.2嚴格的安全性思科無線局域網控制器符合最嚴格的安全標準，包括： 802.11i Wi-Fi WPA2，WPA和有線等效加密(WEP) 802.1X，帶多種可擴展驗證協(xié)議(EAP)類型受保護EAP (PEAP)，帶傳輸層安全的EAP(EAP-TLS)，帶隧道化TLS的EAP (EAP-TTLS)和思科LEAP VPN終結4100系列的可選模塊，提供IP安全(IPSec)和第二層隧道協(xié)議(L2TP) VPN終結 因此，它堪稱業(yè)界最全面的無線局域網安全解決方案。

28、在思科無線局域網架構中，接入點可作為無線監(jiān)控器，向無線局域網控制器通報有關無線域的實時信息。經由思科WCS，可進行準確分析并采取校正措施，從而迅速識別所有安全威脅，并將其提交給網絡管理員。 思科提供了唯一能同時進行無線保護和提供無線局域網服務的無線局域網系統(tǒng)。這有助于確保實現完整的無線局域網保護，無需花費重復的設備成本或購買額外的監(jiān)控設備。思科無線局域網系統(tǒng)最初可作為獨立無線入侵防御系統(tǒng)部署，再在稍后重新配置，添加無線局域網數據服務。這使網絡管理員能環(huán)繞其RF域創(chuàng)建一個“防御屏障”， 抑制未授權無線活動，直至他們作好部署無線局域網服務的準備為止。 無線局域網入侵防御和定位思科無線局域網系統(tǒng)不僅

29、可發(fā)現惡意設備或潛在的無線威脅，而且能對這些設備定位。這使系統(tǒng)管理員能快速評估威脅級別，立即按需采取措施來抵御威脅。 基于身份的聯網IT人員必須在保護無線局域網的同時支持大量不同的用戶訪問權限、設備格式和應用要求。思科無線局域網系統(tǒng)使企業(yè)可為無線用戶或用戶組提供不同的安全策略。 這其中包括：- 第二層安全功能802.1x (PEAP, LEAP, TTLS), WPA, 802.11i (WPA2)和L2TP- 第三層（和更高層次）的安全功能IPSec, web驗證- VLAN分配- 訪問控制列表（ACL）IP限制，協(xié)議類型，端口和差分服務代碼點(DSCP)數值- QoS多個服務級別，帶寬減少

30、，流量整形和RF利用- 驗證、授權和記帳(AAA)/RADIUS用戶連接策略和權限管理 網絡準入控制(NAC)實施客戶端配置和行為策略，以確保只有擁有適當安全工具的終端用戶設備才能訪問網絡。 安全移動在移動環(huán)境中保持最高安全水平。這包括隨用戶移動而移動的VPN，無需重新建立安全隧道。此外，思科已開發(fā)了主動密鑰緩存(PKC)，這是802.11i標準的擴展、802.11r標準的前身，可通過AES加密和RADIUS驗證實現安全漫游。 訪客隧道為訪客接入公司網絡提供更高安全性。它可確保訪客如不首先通過公司防火墻，就無法接入公司網絡。3.3 Cisco 72043.3.1產品簡介擁有出色性價比的Cisc

31、o 7200系列路由器可以提供很多網絡服務加速解決方案，如通過網關連接到WAN和Internet的地區(qū)和分支辦公室、企業(yè)和服務供應商的遠地集中（多個分散地點通過一個中央地點實現互連）、要求IBM數據中心連接的地點、要求能夠將以上所有功能結合起來實現多服務語音、視頻和數據的多功能能力的地點。 Cisco 7200的一個關鍵優(yōu)勢是其模塊化特性。在7200系列的配置中，客戶可以選擇4種處理引擎、一個4或6插槽多服務機箱、不同的輸入/輸出（I/O）控制器以及多種LAN和WAN端口適配器，這使7200系列能夠提供大量不同的配置，以滿足不同的網絡需求。Cisco 7201VXR和7206VXR機箱最高可以

32、提供1 Gbps的背板帶寬，并包括了集成的多服務交換（MIX）功能。端口適配器覆蓋了多種LAN和WAN連接，端口總數最高可以達到48個，并提供單電源或雙電源。這種模塊化設計在使客戶獲得自己所需要的性能和容量的同時，還為客戶提供了投資保護和有保證的擴展途徑。 3.3.2關鍵特性和優(yōu)點實現服務集中的理想選擇-DSL、ISDN、有線、無線和移動通信 基于IP傳真/語音、幀中繼或ATM的全面多服務網關功能 高性能交換-支持高速介質和高密度配置：通過其基于RISC和SRAM配置的系統(tǒng)處理器，Cisco 7200每秒鐘最高可以交換30萬個數據包 全面支持基于高性能網絡服務的Cisco IOS軟件及其增強功

33、能-高速執(zhí)行包括服務質量、安全性、壓縮和加密在內的多種網絡服務 高端口密度-提供高端口密度和廣泛的LAN和WAN介質支持，顯著地減少了每端口成本，并允許實現靈活的配置 公共端口適配器-使用與Cisco 7500通用接口處理器（VIP）一樣的端口適配器，簡化了貯存?zhèn)浼⒈Ｗo了客戶在接口上的投資 組網解決方案因其模塊化、靈活性和出色的性價比，7200系列在多種網絡解決方案中都扮演著關鍵的角色。 寬帶集中 7200系列最高可以在2000個L2TP隧道上處理8000個使用點對點協(xié)議的用戶（每機箱），同時具備世界級的路由選擇和服務選擇網關功能，這使7200系列成為寬帶端接的一站式選擇。 服務質量 720

34、0系列擁有廣泛的網絡服務和接口選項，對于在您的網絡中實現服務質量的需要來說，7200系列是領先的邊緣選件。 MPLS 沒有一家公司象Cisco這樣一直在發(fā)展多協(xié)議標記交換（MPLS），而對一個MPL內核來說，Cisco 7200系列是最好的標記交換機或邊緣路由器。由于對MOLS VP的行業(yè)標準支持，當您的網絡對MPLS主干的可擴展性、靈活性和性能提出要求時，7200系列可以提供強大的行業(yè)同盟。 VPN 對于為專用WAN或VPN應用尋求可以得到硬件輔助的、高性能的隧道服務和加密服務的客戶來說，7200系列是理想的點對點虛擬專網（VPN）路由器選擇。 多服務 7200系列在一個多服務平臺上實現了最

35、高的性能和DS1密度-使客戶能夠集成自己的語音和數據網絡，以簡化這兩個并行網絡的維護并減少其運行成本。所有7200系列VXR機箱提供的集成TDM交換功能都可以支持通過一個單一多用途設備升級到IP語音網絡。除了集成TDM交換，7200系列還提供了多種通道化接口，這些端口可以同時部分實現語音通道配置和數據通道配置。 加速高接觸IP服務 使用NSE-1引擎的7200系列是從Cisco并行快速轉發(fā)（PXF）專利中受益的第一個平臺，能夠在一條硬件加速路徑上實現線速高接觸服務。當引入新服務時，只需通過簡單的軟件升級就可以將其合并到您的擁有PXF功能的網絡之中。3.4 Cisco ASA 5550自適應安全

36、設備Cisco ASA 5550自適應安全設備在一個可靠的單機架單元設備中為大型企業(yè)和電信運營商網絡提供了具備主用/主用高可用性和光纖及千兆以太網連接的大量千兆級安全服務。利用其8個千兆以太網接口、4個SFP光纖接口*和多達200個的VLAN，企業(yè)可以將網絡分成多個高性能分區(qū)，從而提高安全性。Cisco ASA 5550自適應安全設備可隨著企業(yè)網絡安全要求的提高而擴展，從而提供了強大的投資保護功能和服務可擴展性。企業(yè)能擴大其 IPSec 和SSL VPN 容量，以支持更多的移動員工、遠程地點和業(yè)務合作伙伴。通過安裝一個SSL VPN升級許可證，企業(yè)能在每個Cisco ASA 5550上支持50

37、00個SSL VPN對；基本平臺上支持5000個IPSec VPN對。Cisco ASA 5550的集成VPN集群和負載均衡功能可提高VPN容量和永續(xù)性。 Cisco ASA 5550在一個集群中能支持10個設備，從而使每個集群最多可支持50,000個SSL VPN對或50,000個IPSec VPN對。利用 Cisco ASA 5550 自適應安全設備的可選安全環(huán)境功能, 企業(yè)可在一個設備中部署多達50個虛擬防火墻，實現部門級或每用戶安全策略分區(qū)控制，同時降低管理和支持總成本。該系統(tǒng)共提供12個千兆以太網端口，其中8個能隨時提供服務。企業(yè)可選擇銅纜或光纖連接，從而為數據中心、園區(qū)或企業(yè)邊緣連

38、接提供了靈活性。特性說明防火墻吞吐率 高達 1.2 G bps VPN 吞吐率 高達 425 Mbps 并發(fā)連接 650,000 IPSec VPN 對 5,000 SSL VPN 對許可證級別*10 、 25 、 50 、 100 、 250 、 500 、 750 、 1000 、 2500 和 5000 安全環(huán)境 高達50個*接口 8 個千兆以太網端口、 4 個 SFP 光纖端口和 1 個快速以太網端口 虛擬接口 (VLAN) 250 可擴展性 VPN 集群與負載均衡 高可用性 主用 / 主用 , 主用 / 備用 3.5 Cisco Catalyst 2960概述Cisco Cataly

39、st 2960系列智能以太網交換機是一個全新的、固定配置的獨立設備系列，提供桌面快速以太網和千兆以太網連接，可為入門級企業(yè)、中型市場和分支機構網絡提供增強LAN服務。Catalyst 2960系列具有集成安全特性，包括網絡準入控制(NAC)、高級服務質量(QoS)和永續(xù)性，可為網絡邊緣提供智能服務。Cisco Catalyst 2960系列提供： 為網絡邊緣提供了智能特性，如先進的訪問控制列表 (ACL)和增強安全特性 雙介質上行鏈路端口提供了千兆以太網上行鏈路靈活性，可以使用銅纜或光纖上行鏈路端口每個介質上行鏈路端口都有一個10/100/1000以太網端口和一個小型可插拔(SFP)千兆以太網

40、端口，在使用時其中一個端口激活，但不能同時使用這兩個端口 通過高級QoS、精確速率限制、ACL和組播服務，實現了網絡控制和帶寬優(yōu)化 通過多種驗證方法、數據加密技術和基于用戶、端口和MAC地址的網絡準入控制，實現了網絡安全性 通過思科網絡助理，簡化了網絡配置、升級和故障診斷 使用Smartports自動配置特定應用 Cisco Catalyst 2960系列軟件鏡像提供了一系列豐富的智能服務，包括高級QoS、速率限制和ACL。SFP千兆以太網端口可安裝多種SFP收發(fā)器，包括Cisco 1000BASE-SX、1000BASE-LX、1000BASE-BX、1000BASE-ZX、100BASE-

41、FX、100BASE-LX10、100BASE-BX和粗波分多路復用 (CWDM) SFP收發(fā)器。3.5.1千兆以太網千兆以太網以1000 Mbps的速度，提供了可滿足新網絡和擴展網絡的需求的帶寬，消除了瓶頸，提升了性能，同時提高了現有基礎設施投資的回報。目前，工作人員都對網絡有著更高需求，在網絡上同時運行多個應用。例如，一位員工通過IP視頻會議而參加小組會議，向與會者發(fā)送一個10MB的電子表格，將最新營銷視頻廣播給整個小組以供評估，此外還查詢客戶關系管理(CRM)數據庫，以獲得最新實時反饋。同時，后臺開始了一個多GB的系統(tǒng)備份，并向客戶端提供最新防病毒軟件的升級。3.5.2網絡智能性當今的網

42、絡正在不斷發(fā)展，在網絡邊緣出現了四種新趨勢： 桌面計算能力提高 帶寬密集型應用出現 高敏感數據在網絡中擴展 出現了多種設備類型，如IP電話、WLAN接入點和IP視頻攝像頭 這些新需求正與許多已有關鍵任務應用爭奪資源。因此，IT專業(yè)人員必須將網絡邊緣看作有效管理信息和應用的提供的關鍵。隨著公司日益依賴網絡，將其作為戰(zhàn)略性業(yè)務基礎設施，確保網絡的高可用性、安全性、可擴展性和對它的全面控制就比以前更為重要。通過為LAN接入添加思科智能功能，客戶現可部署遍布整個網絡的智能服務，從而一致地滿足從桌面到核心再到WAN的要求。通過Cisco Catalyst智能以太網交換機，思科可幫助公司獲得向其網絡添加智

43、能服務的全面優(yōu)勢。為進一步優(yōu)化網絡運行，部署具備以下特性的功能是十分關鍵的：能使網絡基礎設施高度可用以達到關鍵時間要求、可擴展以便于公司發(fā)展、高度安全以保護保密信息，且能區(qū)分和控制流量。3.5.3增強安全性憑借Cisco Catalyst 2960系列提供的廣泛安全特性，企業(yè)可保護重要信息，防止未授權人員接入網絡，確保私密性及維持不間斷運行。思科基于身份的網絡服務(IBNS)解決方案提供了身份驗證、訪問控制和安全策略管理，可保護網絡連接和資源。Catalyst 2960系列中的IBNS可防止未授權接入，并確保用戶只獲得其指定權利。它能動態(tài)管理網絡接入的具體層次。使用802.1x標準和思科安全訪

44、問控制服務器（ACS），無論用戶在何處連接到網絡中，都可在驗證基礎上分配到一個VLAN。此設置使IT部門能在不影響用戶移動性的情況下，以最低管理開銷實施強大的安全策略。為防止拒絕服務攻擊和其他攻擊，可用ACL根據源和目的地MAC地址、IP地址或TCP/UDP端口來拒絕分組，從而限制對網絡敏感部分的訪問。ACL查詢在硬件中完成，故此在實施基于ACL的安全性時不會影響轉發(fā)性能。端口安全性可根據與以太網端口相連的設備的MAC地址，來限制以太網端口上的訪問。它也可用于限制插入一個交換機端口的總設備數目，因此可使交換機免遭MAC泛洪攻擊，降低了惡意無線接入點或集線器接入的風險。憑借動態(tài)主機配置協(xié)議(DH

45、CP)監(jiān)聽，可以只允許來自不可信用戶端口的DHCP請求（但不允許響應）進入網絡，從而防止DHCP電子欺騙。此外，DHCP接口跟蹤器(選項82) 特性可為主機IP地址請求添加交換機端口ID，有助于實現對于IP地址分配的精確控制。MAC地址通知特性可向管理站發(fā)送報警，從而監(jiān)控網絡和跟蹤用戶，以使網絡管理員知道用戶何時、從何處進入網絡。SSHv2和SNMPv3對管理和網絡管理信息加密，保護網絡免遭干擾或竊聽。TACACS+或RADIUS驗證實現了交換機的集中訪問控制，并限制未授權用戶改變配置。此外，可在交換機上配置本地用戶名和密碼數據庫。交換機控制臺上的15個授權級別和Web管理界面上的2個級別提供了向不同管理員分配不同配置功能級別的能力。3.5.4高級QoSCisco Catalyst 2960提供了出色的多層QoS特性，確保網絡流量進行了分類和優(yōu)先級劃分，并以最好的方式避免了擁塞。QoS的配置通過自動QoS（Auto QoS）大大得到了簡化，這是一個可發(fā)現思科IP電話并自動配置交換機以進行正確分類和輸出排序的特性。這優(yōu)化了流量優(yōu)先級劃分和網絡可用性，且不會帶來復雜配置的問題。Catalyst 2960可對進入的分組分類、再分類、監(jiān)管、標記、排序和排程，并能在出口處對分組排序和排程。分組分類使網絡元素可區(qū)分不同流量，并根據