北京人民廣播電臺(tái)項(xiàng)目建議書(shū)

1、北京人民廣播電臺(tái)項(xiàng)目建議書(shū)生成日期2009年9月17日初始版本0.1制作者Team狀態(tài)草案修訂日志目錄第一部分 前言31.1 網(wǎng)絡(luò)現(xiàn)狀31.2 設(shè)計(jì)原則3第二部分 方案42.1 方案一：52.1.1 安全總體設(shè)計(jì)52.1.2 冗余62.1.3 性能和可管理72.1.4 網(wǎng)絡(luò)增值82.1.5 總結(jié)102.2 方案二：102.2.1 網(wǎng)絡(luò)總體設(shè)計(jì)112.2.2 網(wǎng)絡(luò)可管理性122.2.3 網(wǎng)絡(luò)增值業(yè)務(wù)12第三部分 設(shè)備簡(jiǎn)介123.1 CiscoWorks的簡(jiǎn)介123.1.1 典型網(wǎng)絡(luò)的部署133.1.2資產(chǎn)管理133.2無(wú)線局域網(wǎng)控制器143.2.1智能RF管理153.2.2嚴(yán)格的安全性163.3

2、 Cisco 7204183.3.1產(chǎn)品簡(jiǎn)介183.3.2關(guān)鍵特性和優(yōu)點(diǎn)183.4 Cisco ASA 5550自適應(yīng)安全設(shè)備203.5 Cisco Catalyst 2960概述213.5.1千兆以太網(wǎng)223.5.2網(wǎng)絡(luò)智能性223.5.3增強(qiáng)安全性233.5.4高級(jí)QoS243.5.5管理25第一部分 前言本項(xiàng)目建議書(shū)來(lái)自對(duì)于北京廣播電臺(tái)的不完全認(rèn)識(shí)。僅從規(guī)劃和實(shí)際技術(shù)角度討論項(xiàng)目的拓?fù)浜推渌赡茏兓?.1 網(wǎng)絡(luò)現(xiàn)狀北京廣播電臺(tái)網(wǎng)絡(luò)經(jīng)過(guò)五年的建設(shè)，已經(jīng)具有相當(dāng)?shù)囊?guī)模。網(wǎng)絡(luò)規(guī)劃基本合理，設(shè)備功能清晰。根據(jù)現(xiàn)有掌握的資料來(lái)看，網(wǎng)絡(luò)大致分為以下幾個(gè)部分：網(wǎng)絡(luò)接入層。該層面包含了兩個(gè)功能，一個(gè)是

3、網(wǎng)絡(luò)安全用的行為審計(jì)設(shè)備，另外一個(gè)是流量均衡設(shè)備。行為審計(jì)設(shè)備用以限制內(nèi)部和外部使用者的行為，某些具有明顯惡意行為的數(shù)據(jù)包將會(huì)使用簽名比對(duì)的方式進(jìn)行查找并且丟棄，同時(shí)提供了針對(duì)某些協(xié)議和應(yīng)用的封閉能力，可能包括下載工具和流媒體。流量均衡設(shè)備目前使用Radwear的主動(dòng)型流量均衡器，設(shè)備通過(guò)對(duì)外散布ICMP小包，并且統(tǒng)計(jì)回環(huán)延時(shí)的方式來(lái)確定前往特定目的地的最佳路徑。網(wǎng)絡(luò)核心層。網(wǎng)絡(luò)核心層使用Cisco 7600路由器作為核心路由器。設(shè)備上使用FWSM用以提升內(nèi)部網(wǎng)絡(luò)的安全性，提升網(wǎng)絡(luò)對(duì)于內(nèi)部攻擊的抵御能力；同時(shí)作為對(duì)外網(wǎng)絡(luò)的第二道防線，也會(huì)起到積極作用。核心路由器上使用的NAM模塊有助于管理員準(zhǔn)

4、確的統(tǒng)計(jì)流經(jīng)設(shè)備各接口的數(shù)據(jù)類(lèi)型，對(duì)于判斷網(wǎng)絡(luò)應(yīng)用的發(fā)展和發(fā)現(xiàn)網(wǎng)絡(luò)威脅的早期特征具有積極意義。核心交換使用Cisco Catalyst 6509進(jìn)行。設(shè)備劃分VLAN，并使用三層路由的方式匯聚接入層的數(shù)據(jù)。網(wǎng)絡(luò)邊緣層。網(wǎng)絡(luò)邊緣層主要是各樓層接入交換機(jī)組成。接入交換機(jī)匯聚客戶流量，并在網(wǎng)絡(luò)二層防護(hù)方面發(fā)揮積極作用。1.2 設(shè)計(jì)原則為了能夠進(jìn)一步提升網(wǎng)絡(luò)的運(yùn)作水平，包括容錯(cuò)、均衡和可管理能力，使得網(wǎng)絡(luò)能更好的適應(yīng)未來(lái)基于應(yīng)用的交付，決定利用這次機(jī)會(huì)，對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行重新的改造。改造本著適度超前，著眼今后5年實(shí)際網(wǎng)絡(luò)發(fā)展的原則，為今后更加復(fù)雜的網(wǎng)絡(luò)應(yīng)用和面對(duì)更加嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，做好充分的準(zhǔn)備。網(wǎng)絡(luò)

5、改造遵循以下原則進(jìn)行l(wèi) 開(kāi)放性標(biāo)準(zhǔn)化嚴(yán)格按照行業(yè)標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)，使網(wǎng)絡(luò)系統(tǒng)具有較長(zhǎng)的生命力和擴(kuò)展能力，滿足未來(lái)升級(jí)的要求。在網(wǎng)絡(luò)設(shè)計(jì)中充分考慮設(shè)備對(duì)標(biāo)準(zhǔn)的支持，保證與多廠商的設(shè)備互連的能力。l 高性能擴(kuò)展性高性能、大容量網(wǎng)絡(luò)設(shè)施可保證對(duì)多種高速網(wǎng)絡(luò)技術(shù)，如：千兆以太網(wǎng)、快速以太網(wǎng)和ATM等的支持。方案中所推薦的各級(jí)網(wǎng)絡(luò)設(shè)備能針對(duì)各類(lèi)業(yè)務(wù)提供適合的帶寬。模塊化設(shè)備的使用更會(huì)提高網(wǎng)絡(luò)系統(tǒng)的擴(kuò)展能力。 l 安全性可靠性核心設(shè)備須具有強(qiáng)大的冗余和容錯(cuò)功能，重要部件（如電源、核心交換引擎等）采用冗余備份設(shè)計(jì)。采用多級(jí)網(wǎng)絡(luò)安全的設(shè)計(jì)思路，推薦使用設(shè)備內(nèi)置的安全功能，能配合專業(yè)的安全產(chǎn)品（如防火墻）還能有效地

6、阻止外部的非法入侵和內(nèi)部的非授權(quán)操作。l 可管理性和可維護(hù)性采用先進(jìn)完善的網(wǎng)絡(luò)管理和監(jiān)控工具，對(duì)網(wǎng)絡(luò)實(shí)現(xiàn)一體化管理。通過(guò)對(duì)網(wǎng)絡(luò)性能的監(jiān)控及時(shí)改善網(wǎng)絡(luò)性能。l 設(shè)備的先進(jìn)性和成熟性在網(wǎng)絡(luò)通訊技術(shù)和計(jì)算機(jī)技術(shù)發(fā)展日新月異的今天，網(wǎng)絡(luò)的選擇既要遵循新技術(shù)的發(fā)展方向，采用最新科技水平，使項(xiàng)目具備國(guó)內(nèi)乃至國(guó)際領(lǐng)先的地位，又要兼顧技術(shù)上的成熟性，保證系統(tǒng)整體性能，使整體投資達(dá)到最佳。第二部分 方案為了能夠更好的滿足需求，現(xiàn)特別準(zhǔn)備了兩套方案，以供選擇。第一套方案傾向高性能和高可靠性，目標(biāo)是滿足今后至少5年網(wǎng)絡(luò)情況的發(fā)展，網(wǎng)絡(luò)設(shè)計(jì)有全冗余鏈路，擁有極高的故障恢復(fù)和負(fù)載可控特性。第二套方案傾向于應(yīng)用交付，注重

7、較低的購(gòu)置成本和較強(qiáng)的通用性。2.1 方案一：本方案著眼高性能和高可靠性，更換主鏈路設(shè)備，提升內(nèi)部設(shè)備安全水平和可控制水平。使用Cisco基于ASA算法的新一代防火墻，同時(shí)內(nèi)置IPS模塊，除了能夠很好的解決目前網(wǎng)絡(luò)威脅，也可以為今后大量面對(duì)Internet的服務(wù)器提供良好的保障。整體網(wǎng)絡(luò)拓?fù)浔揪W(wǎng)絡(luò)拓?fù)漭^大的改動(dòng)了網(wǎng)絡(luò)現(xiàn)有狀態(tài)。由于無(wú)法驗(yàn)證現(xiàn)在網(wǎng)絡(luò)上使用的UTM設(shè)備的具體作用因此將此設(shè)備暫時(shí)當(dāng)作網(wǎng)橋看待，所有的流量直接穿越UTM，并在UTM上執(zhí)行原有策略。2.1.1 安全總體設(shè)計(jì)安裝兩臺(tái)攜帶IPS的Cisco 5540防火墻。帶有IPS作用的一大好處，就是可以借助獨(dú)立的IPS硬件，來(lái)完成豐富的數(shù)

8、據(jù)檢測(cè)功能。Cisco防火墻是業(yè)界領(lǐng)先的設(shè)備，基于簽名的數(shù)據(jù)包過(guò)濾技術(shù)可以非常容易的發(fā)現(xiàn)已知的攻擊行為，并能進(jìn)行極深度數(shù)據(jù)包檢查，避免夾雜在數(shù)據(jù)包當(dāng)中針對(duì)特定系統(tǒng)的語(yǔ)義攻擊，更大限度的自外而內(nèi)保護(hù)網(wǎng)絡(luò)安全。同時(shí)照顧到未來(lái)的服務(wù)器群組，ASA提供了雙上下文環(huán)境來(lái)保證兩臺(tái)設(shè)備的雙Active狀態(tài)。通過(guò)鏈路檢查和狀態(tài)復(fù)制，ASA可以保證在任何一臺(tái)設(shè)備實(shí)效的情況下仍能保證數(shù)據(jù)的正常轉(zhuǎn)發(fā)。IPS模塊可以成倍的提高防火墻對(duì)于攻擊的抵抗能力。因?yàn)楸本V播電臺(tái)從社會(huì)學(xué)上，屬于社會(huì)地標(biāo)組織，極其容易受到攻擊。因此，相對(duì)于A/S結(jié)構(gòu)的防火墻冗余，AA結(jié)構(gòu)更容易面對(duì)惡劣環(huán)境。額外的，帶有多上下文環(huán)境的ASA還可以提

9、供ASR。這種不對(duì)稱狀態(tài)技術(shù)可以幫助數(shù)據(jù)包及時(shí)往返路徑不一致的時(shí)候，也仍然可以從另外一臺(tái)防火墻返回網(wǎng)絡(luò)。2.1.2 冗余鏈路以下，使用兩臺(tái)F5 LC1500鏈路負(fù)載均衡器，用以實(shí)現(xiàn)智能網(wǎng)絡(luò)均衡負(fù)載能力?；诖罅康膶?shí)際工程經(jīng)驗(yàn)，F(xiàn)5 LC1500均衡器使用SRTT算法來(lái)確認(rèn)鏈路的使用狀況。通過(guò)不間斷的對(duì)數(shù)據(jù)包的監(jiān)視，設(shè)備就可以了解足夠多的線路狀態(tài)信息。相比較而言，Radware的Echo技術(shù)大量的消耗自身的上游設(shè)備資源，嚴(yán)重的增加了網(wǎng)絡(luò)設(shè)備處理數(shù)據(jù)包的負(fù)擔(dān)。一般認(rèn)為，網(wǎng)絡(luò)設(shè)備在處理小型數(shù)據(jù)包時(shí)候?qū)?huì)付出更多的網(wǎng)絡(luò)資源。核心進(jìn)行小幅的調(diào)整，用以提高整個(gè)網(wǎng)絡(luò)的可靠性水平和可管理能力。為兩臺(tái)設(shè)備購(gòu)置次

10、級(jí)備份設(shè)備，以求在不顯著增加成本的前提下，大幅度提高網(wǎng)絡(luò)應(yīng)對(duì)突發(fā)故障或者設(shè)備崩潰的能力。為Cisco7600進(jìn)行備份的設(shè)備是Cisco 7204VXR，7204是緊湊型ISP邊緣路由器，擁有NPE200/400等各型號(hào)的高速處理器，并能夠部分兼容Cisco 7600的板卡，并且總造價(jià)不高，可以極大地提升網(wǎng)絡(luò)可控水平，當(dāng)網(wǎng)絡(luò)遭受?chē)?yán)重物理破壞或者極端攻擊時(shí)候，擁有足夠的處理能力來(lái)進(jìn)行平滑和處理。同時(shí)，將核心設(shè)備上的防火墻模塊轉(zhuǎn)移到Cisco Catalyst 6509上，新購(gòu)買(mǎi)NAM模塊安裝到Cisco6509上，用以提供更為詳細(xì)的流量統(tǒng)計(jì)報(bào)告。2.1.3 性能和可管理作為三層交換的核心設(shè)備，65

11、09擁有至少720G的傳輸能力，并且高效的三層交換能力可以使得6509比7600路由器更加適合處理這種大量用戶數(shù)據(jù)簡(jiǎn)單匯聚的工作。FWSM經(jīng)過(guò)小心的配置，可以更為有效的工作在這種環(huán)境下。同時(shí)，購(gòu)買(mǎi)第二塊引擎和電源，以便于從物理結(jié)構(gòu)上增加設(shè)備的可靠程度。當(dāng)接口數(shù)目不足的情況下，可以購(gòu)買(mǎi)另外的接口板，確保所有內(nèi)部用戶都在FWSM的控制之下。同樣的，在Cisco6509上也添加IDS模塊。作為Cisco安全網(wǎng)絡(luò)不可或缺組成部分，應(yīng)用在內(nèi)部網(wǎng)絡(luò)的IDS將會(huì)和FWSM一起，一次性永久解決內(nèi)部網(wǎng)絡(luò)訪問(wèn)控制問(wèn)題。歷年的網(wǎng)絡(luò)安全會(huì)議強(qiáng)調(diào)，網(wǎng)絡(luò)中來(lái)自受信任區(qū)域的網(wǎng)絡(luò)攻擊占到網(wǎng)絡(luò)攻擊總數(shù)的80%，盡管可以有集團(tuán)化

12、放病毒軟件或者防毒墻存在，但是我們?nèi)匀粺o(wú)法忽視來(lái)自受信任區(qū)域發(fā)起攻擊所帶來(lái)的嚴(yán)重后果。兩套IDS與防火墻、核心路由器和核心交換機(jī)進(jìn)行聯(lián)動(dòng)，確?？梢詼?zhǔn)確及時(shí)的消除網(wǎng)絡(luò)攻擊帶來(lái)的隱患。2.1.4 網(wǎng)絡(luò)增值為了更好的管理北京廣播電臺(tái)內(nèi)部的瘦AP，實(shí)現(xiàn)給予802.1X的接入認(rèn)證和無(wú)縫漫游，應(yīng)該購(gòu)置無(wú)線局域網(wǎng)控制器以完成這個(gè)工作。單獨(dú)購(gòu)買(mǎi)的無(wú)線局域網(wǎng)控制器擁有很好的部署靈活性。結(jié)合預(yù)認(rèn)證和功率分布分析等等功能，可以為用戶提供非常好的無(wú)線接入體驗(yàn)?；?02.1X的質(zhì)詢則可以大幅度減少無(wú)線網(wǎng)絡(luò)需要人工配制的項(xiàng)目的數(shù)量，擁有OTP或者密碼的用戶可以接入內(nèi)網(wǎng)，而其他用戶則只能限制在一個(gè)較小的區(qū)域內(nèi)。核心網(wǎng)絡(luò)的

13、設(shè)備以及Cisco防火墻上，使用包括逆向路徑校驗(yàn)和復(fù)雜隊(duì)列技術(shù)、深度數(shù)據(jù)包檢查，來(lái)徹底的進(jìn)行網(wǎng)絡(luò)流量的人工控制。逆向路徑結(jié)合bogonACL過(guò)濾技術(shù)可以大幅減少網(wǎng)絡(luò)欺騙攻擊的數(shù)量和效果，避免使用虛假地址的TCP SYN攻擊給服務(wù)器帶來(lái)的難以估量的壓力；相對(duì)的，復(fù)雜隊(duì)列技術(shù)可以保證關(guān)鍵業(yè)務(wù)可以首先通過(guò)，特別是在未來(lái)可能實(shí)現(xiàn)對(duì)外的流媒體服務(wù)器，或者是內(nèi)部進(jìn)行的視頻會(huì)議等等，都可以直接從中得益，面對(duì)過(guò)量的攻擊壓力的時(shí)候，復(fù)雜隊(duì)列技術(shù)是保證網(wǎng)絡(luò)正常工作的唯一途徑。深度數(shù)據(jù)包檢查可以結(jié)合IPS一同使用。必要時(shí)侯，使用ZBF來(lái)進(jìn)一步強(qiáng)化網(wǎng)絡(luò)的整體安全性。深度數(shù)據(jù)報(bào)檢測(cè)可以檢查數(shù)據(jù)包的七層載荷，避免畸形數(shù)據(jù)

14、包對(duì)于網(wǎng)絡(luò)的毀滅性打擊。網(wǎng)絡(luò)管理使用CiscoWorksLMS群件。群件使用Cisco定義設(shè)備特性集，可以準(zhǔn)確的繪制網(wǎng)絡(luò)拓?fù)?，精確描述設(shè)備間電纜連接狀況；同時(shí)，具有強(qiáng)大的記錄功能，基于SNMP的Trap和CiscoWorks輪詢確保了數(shù)據(jù)的完整性。現(xiàn)在網(wǎng)絡(luò)的接入曾交換機(jī)還在使用部分的3Com設(shè)備，建議本次統(tǒng)一更換為Cisco設(shè)備，除了擁有更好的性能，也為了能夠使用CiscoWorks更好的管理，今后也可以成為網(wǎng)絡(luò)NAC體系的一部分。Cisco MARS成為本方案當(dāng)中最后可以可選件。MARS是Cisco威脅聯(lián)動(dòng)部件的核心設(shè)備。它可以工作在簽名和簡(jiǎn)檔兩種模式中，因此具有非常低的誤報(bào)和對(duì)新形態(tài)攻擊的

15、敏感性雙重優(yōu)點(diǎn)。結(jié)合網(wǎng)絡(luò)中的IPS/IDS，NAM模塊，MARS具有更加豐富和準(zhǔn)確的數(shù)據(jù)源，因此可以發(fā)揮更好的作用。2.1.5 總結(jié)此方案具有較高的一次性造價(jià)，但是從長(zhǎng)遠(yuǎn)來(lái)看，網(wǎng)絡(luò)的基本形態(tài)不論是從單體設(shè)備性能，還是冗余能力，或者是人為可控的管理能力上而言，相對(duì)于現(xiàn)在都有很大的提升。多業(yè)務(wù)設(shè)備選擇和針對(duì)安全的強(qiáng)化，將會(huì)使得網(wǎng)絡(luò)能夠更好的適應(yīng)今后網(wǎng)絡(luò)的發(fā)現(xiàn)?？v觀網(wǎng)絡(luò)發(fā)展史，老舊網(wǎng)絡(luò)的衰落和換代無(wú)一不是應(yīng)用交付程序的暴發(fā)性增長(zhǎng)所致。而這種增長(zhǎng)對(duì)于商用型網(wǎng)絡(luò)而言，沒(méi)有任何意義。類(lèi)似迅雷，Emule和BT的應(yīng)用，將會(huì)給網(wǎng)絡(luò)帶來(lái)極其沉重的壓力。因此，對(duì)于商用網(wǎng)絡(luò)核心業(yè)務(wù)的保護(hù)和對(duì)應(yīng)用交付程序的控制，就成

16、為網(wǎng)絡(luò)能長(zhǎng)治久安和穩(wěn)定運(yùn)行的基石。網(wǎng)絡(luò)中大量部署的IDS和防火墻，將會(huì)準(zhǔn)確的捕捉這些應(yīng)用的發(fā)展，盡早的將這些應(yīng)用控制在管理者手中。2.2 方案二：本方案著眼較低改造成本。較低的改造成本往往意味著較低的行政審批壓力，相比較而言可以更加容易的開(kāi)展工作。相應(yīng)的，網(wǎng)絡(luò)的可擴(kuò)展性將會(huì)受到一定程度的制約，相對(duì)于前面一種方案而言，擴(kuò)展性會(huì)有所降低。2.2.1 網(wǎng)絡(luò)總體設(shè)計(jì)現(xiàn)在的網(wǎng)絡(luò)拓?fù)涓嗟膯?wèn)題集中在網(wǎng)絡(luò)出口。僅從現(xiàn)在的拓?fù)涠?，網(wǎng)絡(luò)出口并沒(méi)有專職的防火墻來(lái)提供對(duì)網(wǎng)絡(luò)的保護(hù)。同時(shí)，盡管網(wǎng)絡(luò)鏈路實(shí)現(xiàn)了冗余，但是鏈路冗余設(shè)備卻產(chǎn)生了新的單點(diǎn)故障；核心的Cisco7600盡管具有FWSM，和NAM，但是無(wú)法監(jiān)控到

17、Cisco6509上產(chǎn)生的流量。為了能盡快地修正這些明顯的缺陷，應(yīng)當(dāng)進(jìn)行設(shè)備的添置，但不涉及對(duì)于網(wǎng)絡(luò)結(jié)構(gòu)的修改。首先的，核心路由器和核心交換機(jī)統(tǒng)一購(gòu)置雙引擎，以便從設(shè)備層面提供冗余能力。通常的，核心網(wǎng)絡(luò)設(shè)備會(huì)面臨最為險(xiǎn)惡的網(wǎng)絡(luò)應(yīng)用環(huán)境，因此必須要對(duì)核心實(shí)行板卡級(jí)或者設(shè)備級(jí)冗余，來(lái)提升網(wǎng)絡(luò)本身的穩(wěn)定性。2.2.2 網(wǎng)絡(luò)可管理性Cisco基于SSO的切換可以在設(shè)備運(yùn)行期間，保存所有路由表和轉(zhuǎn)發(fā)任務(wù)，實(shí)現(xiàn)秒級(jí)切換，并且不會(huì)中斷轉(zhuǎn)發(fā)和所有鄰接關(guān)系。同時(shí)，將Cisco7609的FWSM和NAM模塊全部安裝到Cisco6509上，直接連接的用戶也全部轉(zhuǎn)移到Cisco6509上，實(shí)現(xiàn)接入層和網(wǎng)絡(luò)路由決策層的

18、分離，提高網(wǎng)絡(luò)控制層面的靈活性。由于現(xiàn)在出口的Radware設(shè)備使用小包探測(cè)鏈路形態(tài)，給出口的UTM設(shè)備增加了很多負(fù)擔(dān)，在UTM設(shè)備不能替換的情況下，將Radware設(shè)備更換為使用SRTT算法的F5設(shè)備。減輕網(wǎng)絡(luò)設(shè)備負(fù)擔(dān)也有助于提升整體網(wǎng)絡(luò)的穩(wěn)定性。2.2.3 網(wǎng)絡(luò)增值業(yè)務(wù)由于下屬交換機(jī)和無(wú)線AP眾多，也增加了接入用戶管理的挑戰(zhàn)。為了避免由此產(chǎn)生的巨大的管理開(kāi)銷(xiāo)，使用基于Cisco ACS服務(wù)器的dot1x質(zhì)詢認(rèn)證，來(lái)識(shí)別用戶身份和設(shè)備。以此限制用戶接入的能力和水平。同樣的，由于成本限制，不能在外鏈路上使用高端防火墻，因此采用天融信的行為管理設(shè)備，限制用戶可以訪問(wèn)的Internet網(wǎng)絡(luò)資源。天

19、融信作為國(guó)內(nèi)行為管理起步最早的企業(yè)，其行為特征數(shù)據(jù)庫(kù)的更新也是首屈一指，通過(guò)不斷的更新數(shù)據(jù)庫(kù)，行為管理設(shè)備可以識(shí)別和管理更多的網(wǎng)絡(luò)數(shù)據(jù)流量。為了更好的適應(yīng)網(wǎng)絡(luò)統(tǒng)一化管理的目標(biāo)，下屬接入交換機(jī)也視情況改為Cisco制造的型號(hào)，以便于識(shí)別和管理。除了主鏈路配置有區(qū)別，其他的諸如準(zhǔn)入控制，復(fù)雜隊(duì)列技術(shù)，CiscoWorks等等，均和上述方案相同。第三部分 設(shè)備簡(jiǎn)介3.1 CiscoWorks的簡(jiǎn)介CiscoWorks Local Network Management Solution (LMS)是Cisco的一個(gè)端到端的網(wǎng)絡(luò)管理解決方案。它是包含有兩到三個(gè)分支辦公室的小型網(wǎng)絡(luò)管理的理想解決方案。Ci

20、scoWorks LMS是廣泛的、低成本并且友好的解決方案，提供了強(qiáng)大的監(jiān)視和配置能力，也提供了網(wǎng)絡(luò)管理和簡(jiǎn)單的網(wǎng)絡(luò)管理功能?；趶V受歡迎的Internet標(biāo)準(zhǔn)，CiscoWorks LMS允許網(wǎng)絡(luò)管理員更有效率的管理網(wǎng)絡(luò)，這一切僅僅通過(guò)一個(gè)簡(jiǎn)單的機(jī)遇瀏覽器的界面就能夠在任何時(shí)間任何地點(diǎn)登陸并且管理網(wǎng)絡(luò)。CiscoWorks LMS提供了足以完成配置、監(jiān)視和解決路由器、交換機(jī)或者其他應(yīng)用程序問(wèn)題的工具，能快速的控制由于人為因素而導(dǎo)致的錯(cuò)誤。商業(yè)用戶使用CiscoWork SNMS，能夠幫助他們有效的提升網(wǎng)絡(luò)性能和減少網(wǎng)絡(luò)中端時(shí)間（給予監(jiān)視和問(wèn)題解決工具），并能使得網(wǎng)絡(luò)配置恢復(fù)到配置之前的狀態(tài)。

21、3.1.1 典型網(wǎng)絡(luò)的部署今天來(lái)自商業(yè)用戶的挑戰(zhàn)就是保證網(wǎng)絡(luò)具有很高的可用時(shí)間和迅速的故障解決能力。CiscoWorksLMS不僅僅可以進(jìn)行普通的網(wǎng)絡(luò)管理任務(wù)，最主要的是，他們還能協(xié)助用戶進(jìn)行配置或者重新配置復(fù)雜并且多變的網(wǎng)絡(luò)。一般而言，管理一個(gè)小型的網(wǎng)絡(luò)，需要及時(shí)地管理并清查網(wǎng)絡(luò)基礎(chǔ)設(shè)備的變化，定期升級(jí)運(yùn)行在本地和遠(yuǎn)程設(shè)備的軟件鏡像，執(zhí)行配置更改，優(yōu)化網(wǎng)絡(luò)的利用率，部署策略以適應(yīng)組織新的計(jì)劃。當(dāng)然，這是一個(gè)具有挑戰(zhàn)性的任務(wù)，特別是在大多數(shù)組織面臨的預(yù)算和人力資源有限的情況下。CiscoWorksLMS支持用戶監(jiān)控、管理和部署新的網(wǎng)絡(luò)設(shè)備并使它們?cè)诤芏痰臅r(shí)間運(yùn)行起來(lái)，很多其他的針對(duì)網(wǎng)絡(luò)部署方面

22、的特性。3.1.2資產(chǎn)管理CiscoWorks LMS 提供了非常全面的設(shè)備生命周期的管理工具，包括設(shè)備的硬件和安裝在上面的軟件。只需要很少的配置工作就可以使得這個(gè)工具有效的運(yùn)行起來(lái)，比如可能需要修改密碼和設(shè)備集名稱，就會(huì)被自動(dòng)的記錄在案，而不用人為的去創(chuàng)建觸發(fā)器或者進(jìn)行其他的操作。利用CiscoWorks LMS可以使得管理任務(wù)的自動(dòng)化。CiscoWorks LMS提供了用戶跟蹤網(wǎng)絡(luò)設(shè)備配置修改的工具。當(dāng)網(wǎng)絡(luò)規(guī)模逐漸增大，設(shè)備可以使用帶有新的特性和升級(jí)了性能的操作系統(tǒng)來(lái)適應(yīng)，比如新版本的Cisco IOS/Cisco Catalyst OS。經(jīng)常更新這些程序可以保證網(wǎng)絡(luò)安全和穩(wěn)定的運(yùn)行。 C

23、iscoWorks LMS提供了一個(gè)非常簡(jiǎn)單但是功能強(qiáng)大的管理窗口來(lái)管理整個(gè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，并且不僅僅局限于Cisco的設(shè)備，包括了PC機(jī)，服務(wù)器和其他的應(yīng)用程序，并為紀(jì)錄和管理這些公用的基礎(chǔ)設(shè)施開(kāi)辟了有一條新的途徑。用戶開(kāi)始不需要使用很多彼此不相關(guān)的應(yīng)用程序來(lái)管理他們的網(wǎng)絡(luò)了。3.2無(wú)線局域網(wǎng)控制器思科無(wú)線局域網(wǎng)控制器適用于企業(yè)無(wú)線局域網(wǎng)部署，并提供了系統(tǒng)級(jí)無(wú)線局域網(wǎng)功能，如安全策略、入侵防御、RF管理、服務(wù)質(zhì)量(QoS)和移動(dòng)性。它們與Cisco 1000系列輕型接入點(diǎn)和思科無(wú)線控制系統(tǒng)(WCS)軟件共用，可支持關(guān)鍵的無(wú)線應(yīng)用。從語(yǔ)音和數(shù)據(jù)服務(wù)到地點(diǎn)跟蹤，WLAN控制器提供了必要的控制能力

24、、可擴(kuò)展性和可靠性，以便IT經(jīng)理能構(gòu)建從分支機(jī)構(gòu)到主園區(qū)的安全、企業(yè)級(jí)無(wú)線網(wǎng)絡(luò)。思科無(wú)線局域網(wǎng)控制器可平穩(wěn)地集成入現(xiàn)有企業(yè)網(wǎng)絡(luò)中。它們使用輕型接入點(diǎn)協(xié)議（LWAPP），與Cisco 1000系列輕型接入點(diǎn)在任意第二層（以太網(wǎng)）或第三層（IP）基礎(chǔ)設(shè)施上通信。這種新型IETF標(biāo)準(zhǔn)有助于確保接入點(diǎn)和無(wú)線局域網(wǎng)控制器間的通信安全，可完全自動(dòng)地支持重要的無(wú)線局域網(wǎng)配置和管理功能，從而實(shí)現(xiàn)經(jīng)濟(jì)有效的無(wú)線局域網(wǎng)運(yùn)營(yíng)。 思科無(wú)線局域網(wǎng)控制器使企業(yè)能為支持關(guān)鍵業(yè)務(wù)應(yīng)用的端到端無(wú)線局域網(wǎng)系統(tǒng)，創(chuàng)建和實(shí)施策略。多個(gè)WLAN控制器可自動(dòng)相互發(fā)現(xiàn)，并在它們之間無(wú)縫協(xié)調(diào)WLAN服務(wù)。以這種方式，思科無(wú)線局域網(wǎng)控制器可作

25、為單一無(wú)縫系統(tǒng)運(yùn)行，提供一個(gè)有數(shù)千AP的可擴(kuò)展WLAN網(wǎng)絡(luò)。從語(yǔ)音和數(shù)據(jù)服務(wù)到地點(diǎn)跟蹤，WLAN控制器提供了必要的控制能力、可擴(kuò)展性和可靠性，以便IT經(jīng)理能構(gòu)建安全的企業(yè)級(jí)無(wú)線網(wǎng)絡(luò)。Cisco 4400系列無(wú)線局域網(wǎng)控制器適用于大中型機(jī)構(gòu)，有兩個(gè)型號(hào)帶2個(gè)千兆以太網(wǎng)端口，其配置可支持12、25和50個(gè)接入點(diǎn)的4402，以及帶4個(gè)千兆以太網(wǎng)端口，支持100個(gè)接入點(diǎn)的4404。4402具有1個(gè)擴(kuò)展插槽，4404具有2個(gè)擴(kuò)展插槽，可用于在將來(lái)添加增強(qiáng)功能，如VPN終結(jié)等。此外，每個(gè)4400 WLAN控制器均支持一個(gè)可選冗余電源，以確保最高可靠性。3.2.1智能RF管理所有思科WLAN控制器都配備了用

26、于自適應(yīng)實(shí)時(shí)RF管理的內(nèi)嵌軟件。思科WLAN系統(tǒng)使用即將榮獲專利的無(wú)線資源管理(RRM)算法，來(lái)實(shí)時(shí)發(fā)現(xiàn)空中無(wú)線資源使用的變化并作出調(diào)整。這些調(diào)整以類(lèi)似于路由協(xié)議為IP網(wǎng)絡(luò)計(jì)算最佳拓?fù)涞姆绞剑瑸闊o(wú)線網(wǎng)絡(luò)創(chuàng)建最優(yōu)拓?fù)洹?思科無(wú)線局域網(wǎng)控制器所管理的特定智能RF功能包括： 動(dòng)態(tài)信道分配802.11信道可根據(jù)不斷變化的RF情況進(jìn)行調(diào)整，以優(yōu)化網(wǎng)絡(luò)覆蓋范圍和性能。 干擾檢測(cè)和避免該系統(tǒng)可檢測(cè)干擾并重新調(diào)整網(wǎng)絡(luò)，以避免性能問(wèn)題。 負(fù)載均衡此系統(tǒng)對(duì)多個(gè)接入點(diǎn)提供了自動(dòng)的用戶負(fù)載均衡，即使負(fù)載量很大，也能獲得最優(yōu)網(wǎng)絡(luò)性能。 覆蓋盲區(qū)檢測(cè)和修復(fù)無(wú)線資源管理(RMM)軟件可發(fā)現(xiàn)覆蓋盲區(qū)，并嘗試通過(guò)調(diào)整接入點(diǎn)的功

27、率輸出來(lái)修復(fù)它們。 動(dòng)態(tài)功率控制該系統(tǒng)可動(dòng)態(tài)調(diào)整各接入點(diǎn)的功率輸出，來(lái)適應(yīng)不斷變化的網(wǎng)絡(luò)情況，以確保達(dá)到預(yù)期的無(wú)線性能和可靠性。 3.2.2嚴(yán)格的安全性思科無(wú)線局域網(wǎng)控制器符合最嚴(yán)格的安全標(biāo)準(zhǔn)，包括： 802.11i Wi-Fi WPA2，WPA和有線等效加密(WEP) 802.1X，帶多種可擴(kuò)展驗(yàn)證協(xié)議(EAP)類(lèi)型受保護(hù)EAP (PEAP)，帶傳輸層安全的EAP(EAP-TLS)，帶隧道化TLS的EAP (EAP-TTLS)和思科LEAP VPN終結(jié)4100系列的可選模塊，提供IP安全(IPSec)和第二層隧道協(xié)議(L2TP) VPN終結(jié) 因此，它堪稱業(yè)界最全面的無(wú)線局域網(wǎng)安全解決方案。

28、在思科無(wú)線局域網(wǎng)架構(gòu)中，接入點(diǎn)可作為無(wú)線監(jiān)控器，向無(wú)線局域網(wǎng)控制器通報(bào)有關(guān)無(wú)線域的實(shí)時(shí)信息。經(jīng)由思科WCS，可進(jìn)行準(zhǔn)確分析并采取校正措施，從而迅速識(shí)別所有安全威脅，并將其提交給網(wǎng)絡(luò)管理員。 思科提供了唯一能同時(shí)進(jìn)行無(wú)線保護(hù)和提供無(wú)線局域網(wǎng)服務(wù)的無(wú)線局域網(wǎng)系統(tǒng)。這有助于確保實(shí)現(xiàn)完整的無(wú)線局域網(wǎng)保護(hù)，無(wú)需花費(fèi)重復(fù)的設(shè)備成本或購(gòu)買(mǎi)額外的監(jiān)控設(shè)備。思科無(wú)線局域網(wǎng)系統(tǒng)最初可作為獨(dú)立無(wú)線入侵防御系統(tǒng)部署，再在稍后重新配置，添加無(wú)線局域網(wǎng)數(shù)據(jù)服務(wù)。這使網(wǎng)絡(luò)管理員能環(huán)繞其RF域創(chuàng)建一個(gè)“防御屏障”， 抑制未授權(quán)無(wú)線活動(dòng)，直至他們作好部署無(wú)線局域網(wǎng)服務(wù)的準(zhǔn)備為止。 無(wú)線局域網(wǎng)入侵防御和定位思科無(wú)線局域網(wǎng)系統(tǒng)不僅

29、可發(fā)現(xiàn)惡意設(shè)備或潛在的無(wú)線威脅，而且能對(duì)這些設(shè)備定位。這使系統(tǒng)管理員能快速評(píng)估威脅級(jí)別，立即按需采取措施來(lái)抵御威脅。 基于身份的聯(lián)網(wǎng)IT人員必須在保護(hù)無(wú)線局域網(wǎng)的同時(shí)支持大量不同的用戶訪問(wèn)權(quán)限、設(shè)備格式和應(yīng)用要求。思科無(wú)線局域網(wǎng)系統(tǒng)使企業(yè)可為無(wú)線用戶或用戶組提供不同的安全策略。 這其中包括：- 第二層安全功能802.1x (PEAP, LEAP, TTLS), WPA, 802.11i (WPA2)和L2TP- 第三層（和更高層次）的安全功能IPSec, web驗(yàn)證- VLAN分配- 訪問(wèn)控制列表（ACL）IP限制，協(xié)議類(lèi)型，端口和差分服務(wù)代碼點(diǎn)(DSCP)數(shù)值- QoS多個(gè)服務(wù)級(jí)別，帶寬減少

30、，流量整形和RF利用- 驗(yàn)證、授權(quán)和記帳(AAA)/RADIUS用戶連接策略和權(quán)限管理 網(wǎng)絡(luò)準(zhǔn)入控制(NAC)實(shí)施客戶端配置和行為策略，以確保只有擁有適當(dāng)安全工具的終端用戶設(shè)備才能訪問(wèn)網(wǎng)絡(luò)。 安全移動(dòng)在移動(dòng)環(huán)境中保持最高安全水平。這包括隨用戶移動(dòng)而移動(dòng)的VPN，無(wú)需重新建立安全隧道。此外，思科已開(kāi)發(fā)了主動(dòng)密鑰緩存(PKC)，這是802.11i標(biāo)準(zhǔn)的擴(kuò)展、802.11r標(biāo)準(zhǔn)的前身，可通過(guò)AES加密和RADIUS驗(yàn)證實(shí)現(xiàn)安全漫游。 訪客隧道為訪客接入公司網(wǎng)絡(luò)提供更高安全性。它可確保訪客如不首先通過(guò)公司防火墻，就無(wú)法接入公司網(wǎng)絡(luò)。3.3 Cisco 72043.3.1產(chǎn)品簡(jiǎn)介擁有出色性價(jià)比的Cisc

31、o 7200系列路由器可以提供很多網(wǎng)絡(luò)服務(wù)加速解決方案，如通過(guò)網(wǎng)關(guān)連接到WAN和Internet的地區(qū)和分支辦公室、企業(yè)和服務(wù)供應(yīng)商的遠(yuǎn)地集中（多個(gè)分散地點(diǎn)通過(guò)一個(gè)中央地點(diǎn)實(shí)現(xiàn)互連）、要求IBM數(shù)據(jù)中心連接的地點(diǎn)、要求能夠?qū)⒁陨纤泄δ芙Y(jié)合起來(lái)實(shí)現(xiàn)多服務(wù)語(yǔ)音、視頻和數(shù)據(jù)的多功能能力的地點(diǎn)。 Cisco 7200的一個(gè)關(guān)鍵優(yōu)勢(shì)是其模塊化特性。在7200系列的配置中，客戶可以選擇4種處理引擎、一個(gè)4或6插槽多服務(wù)機(jī)箱、不同的輸入/輸出（I/O）控制器以及多種LAN和WAN端口適配器，這使7200系列能夠提供大量不同的配置，以滿足不同的網(wǎng)絡(luò)需求。Cisco 7201VXR和7206VXR機(jī)箱最高可以

32、提供1 Gbps的背板帶寬，并包括了集成的多服務(wù)交換（MIX）功能。端口適配器覆蓋了多種LAN和WAN連接，端口總數(shù)最高可以達(dá)到48個(gè)，并提供單電源或雙電源。這種模塊化設(shè)計(jì)在使客戶獲得自己所需要的性能和容量的同時(shí)，還為客戶提供了投資保護(hù)和有保證的擴(kuò)展途徑。 3.3.2關(guān)鍵特性和優(yōu)點(diǎn)實(shí)現(xiàn)服務(wù)集中的理想選擇-DSL、ISDN、有線、無(wú)線和移動(dòng)通信 基于IP傳真/語(yǔ)音、幀中繼或ATM的全面多服務(wù)網(wǎng)關(guān)功能 高性能交換-支持高速介質(zhì)和高密度配置：通過(guò)其基于RISC和SRAM配置的系統(tǒng)處理器，Cisco 7200每秒鐘最高可以交換30萬(wàn)個(gè)數(shù)據(jù)包 全面支持基于高性能網(wǎng)絡(luò)服務(wù)的Cisco IOS軟件及其增強(qiáng)功

33、能-高速執(zhí)行包括服務(wù)質(zhì)量、安全性、壓縮和加密在內(nèi)的多種網(wǎng)絡(luò)服務(wù) 高端口密度-提供高端口密度和廣泛的LAN和WAN介質(zhì)支持，顯著地減少了每端口成本，并允許實(shí)現(xiàn)靈活的配置 公共端口適配器-使用與Cisco 7500通用接口處理器（VIP）一樣的端口適配器，簡(jiǎn)化了貯存?zhèn)浼⒈Ｗo(hù)了客戶在接口上的投資 組網(wǎng)解決方案因其模塊化、靈活性和出色的性價(jià)比，7200系列在多種網(wǎng)絡(luò)解決方案中都扮演著關(guān)鍵的角色。 寬帶集中 7200系列最高可以在2000個(gè)L2TP隧道上處理8000個(gè)使用點(diǎn)對(duì)點(diǎn)協(xié)議的用戶（每機(jī)箱），同時(shí)具備世界級(jí)的路由選擇和服務(wù)選擇網(wǎng)關(guān)功能，這使7200系列成為寬帶端接的一站式選擇。 服務(wù)質(zhì)量 720

34、0系列擁有廣泛的網(wǎng)絡(luò)服務(wù)和接口選項(xiàng)，對(duì)于在您的網(wǎng)絡(luò)中實(shí)現(xiàn)服務(wù)質(zhì)量的需要來(lái)說(shuō)，7200系列是領(lǐng)先的邊緣選件。 MPLS 沒(méi)有一家公司象Cisco這樣一直在發(fā)展多協(xié)議標(biāo)記交換（MPLS），而對(duì)一個(gè)MPL內(nèi)核來(lái)說(shuō)，Cisco 7200系列是最好的標(biāo)記交換機(jī)或邊緣路由器。由于對(duì)MOLS VP的行業(yè)標(biāo)準(zhǔn)支持，當(dāng)您的網(wǎng)絡(luò)對(duì)MPLS主干的可擴(kuò)展性、靈活性和性能提出要求時(shí)，7200系列可以提供強(qiáng)大的行業(yè)同盟。 VPN 對(duì)于為專用WAN或VPN應(yīng)用尋求可以得到硬件輔助的、高性能的隧道服務(wù)和加密服務(wù)的客戶來(lái)說(shuō)，7200系列是理想的點(diǎn)對(duì)點(diǎn)虛擬專網(wǎng)（VPN）路由器選擇。 多服務(wù) 7200系列在一個(gè)多服務(wù)平臺(tái)上實(shí)現(xiàn)了最

35、高的性能和DS1密度-使客戶能夠集成自己的語(yǔ)音和數(shù)據(jù)網(wǎng)絡(luò)，以簡(jiǎn)化這兩個(gè)并行網(wǎng)絡(luò)的維護(hù)并減少其運(yùn)行成本。所有7200系列VXR機(jī)箱提供的集成TDM交換功能都可以支持通過(guò)一個(gè)單一多用途設(shè)備升級(jí)到IP語(yǔ)音網(wǎng)絡(luò)。除了集成TDM交換，7200系列還提供了多種通道化接口，這些端口可以同時(shí)部分實(shí)現(xiàn)語(yǔ)音通道配置和數(shù)據(jù)通道配置。 加速高接觸IP服務(wù) 使用NSE-1引擎的7200系列是從Cisco并行快速轉(zhuǎn)發(fā)（PXF）專利中受益的第一個(gè)平臺(tái)，能夠在一條硬件加速路徑上實(shí)現(xiàn)線速高接觸服務(wù)。當(dāng)引入新服務(wù)時(shí)，只需通過(guò)簡(jiǎn)單的軟件升級(jí)就可以將其合并到您的擁有PXF功能的網(wǎng)絡(luò)之中。3.4 Cisco ASA 5550自適應(yīng)安全

36、設(shè)備Cisco ASA 5550自適應(yīng)安全設(shè)備在一個(gè)可靠的單機(jī)架單元設(shè)備中為大型企業(yè)和電信運(yùn)營(yíng)商網(wǎng)絡(luò)提供了具備主用/主用高可用性和光纖及千兆以太網(wǎng)連接的大量千兆級(jí)安全服務(wù)。利用其8個(gè)千兆以太網(wǎng)接口、4個(gè)SFP光纖接口*和多達(dá)200個(gè)的VLAN，企業(yè)可以將網(wǎng)絡(luò)分成多個(gè)高性能分區(qū)，從而提高安全性。Cisco ASA 5550自適應(yīng)安全設(shè)備可隨著企業(yè)網(wǎng)絡(luò)安全要求的提高而擴(kuò)展，從而提供了強(qiáng)大的投資保護(hù)功能和服務(wù)可擴(kuò)展性。企業(yè)能擴(kuò)大其 IPSec 和SSL VPN 容量，以支持更多的移動(dòng)員工、遠(yuǎn)程地點(diǎn)和業(yè)務(wù)合作伙伴。通過(guò)安裝一個(gè)SSL VPN升級(jí)許可證，企業(yè)能在每個(gè)Cisco ASA 5550上支持50

37、00個(gè)SSL VPN對(duì)；基本平臺(tái)上支持5000個(gè)IPSec VPN對(duì)。Cisco ASA 5550的集成VPN集群和負(fù)載均衡功能可提高VPN容量和永續(xù)性。 Cisco ASA 5550在一個(gè)集群中能支持10個(gè)設(shè)備，從而使每個(gè)集群最多可支持50,000個(gè)SSL VPN對(duì)或50,000個(gè)IPSec VPN對(duì)。利用 Cisco ASA 5550 自適應(yīng)安全設(shè)備的可選安全環(huán)境功能, 企業(yè)可在一個(gè)設(shè)備中部署多達(dá)50個(gè)虛擬防火墻，實(shí)現(xiàn)部門(mén)級(jí)或每用戶安全策略分區(qū)控制，同時(shí)降低管理和支持總成本。該系統(tǒng)共提供12個(gè)千兆以太網(wǎng)端口，其中8個(gè)能隨時(shí)提供服務(wù)。企業(yè)可選擇銅纜或光纖連接，從而為數(shù)據(jù)中心、園區(qū)或企業(yè)邊緣連

38、接提供了靈活性。特性說(shuō)明防火墻吞吐率 高達(dá) 1.2 G bps VPN 吞吐率 高達(dá) 425 Mbps 并發(fā)連接 650,000 IPSec VPN 對(duì) 5,000 SSL VPN 對(duì)許可證級(jí)別*10 、 25 、 50 、 100 、 250 、 500 、 750 、 1000 、 2500 和 5000 安全環(huán)境 高達(dá)50個(gè)*接口 8 個(gè)千兆以太網(wǎng)端口、 4 個(gè) SFP 光纖端口和 1 個(gè)快速以太網(wǎng)端口 虛擬接口 (VLAN) 250 可擴(kuò)展性 VPN 集群與負(fù)載均衡 高可用性 主用 / 主用 , 主用 / 備用 3.5 Cisco Catalyst 2960概述Cisco Cataly

39、st 2960系列智能以太網(wǎng)交換機(jī)是一個(gè)全新的、固定配置的獨(dú)立設(shè)備系列，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，可為入門(mén)級(jí)企業(yè)、中型市場(chǎng)和分支機(jī)構(gòu)網(wǎng)絡(luò)提供增強(qiáng)LAN服務(wù)。Catalyst 2960系列具有集成安全特性，包括網(wǎng)絡(luò)準(zhǔn)入控制(NAC)、高級(jí)服務(wù)質(zhì)量(QoS)和永續(xù)性，可為網(wǎng)絡(luò)邊緣提供智能服務(wù)。Cisco Catalyst 2960系列提供： 為網(wǎng)絡(luò)邊緣提供了智能特性，如先進(jìn)的訪問(wèn)控制列表 (ACL)和增強(qiáng)安全特性 雙介質(zhì)上行鏈路端口提供了千兆以太網(wǎng)上行鏈路靈活性，可以使用銅纜或光纖上行鏈路端口每個(gè)介質(zhì)上行鏈路端口都有一個(gè)10/100/1000以太網(wǎng)端口和一個(gè)小型可插拔(SFP)千兆以太網(wǎng)

40、端口，在使用時(shí)其中一個(gè)端口激活，但不能同時(shí)使用這兩個(gè)端口 通過(guò)高級(jí)QoS、精確速率限制、ACL和組播服務(wù)，實(shí)現(xiàn)了網(wǎng)絡(luò)控制和帶寬優(yōu)化 通過(guò)多種驗(yàn)證方法、數(shù)據(jù)加密技術(shù)和基于用戶、端口和MAC地址的網(wǎng)絡(luò)準(zhǔn)入控制，實(shí)現(xiàn)了網(wǎng)絡(luò)安全性 通過(guò)思科網(wǎng)絡(luò)助理，簡(jiǎn)化了網(wǎng)絡(luò)配置、升級(jí)和故障診斷 使用Smartports自動(dòng)配置特定應(yīng)用 Cisco Catalyst 2960系列軟件鏡像提供了一系列豐富的智能服務(wù)，包括高級(jí)QoS、速率限制和ACL。SFP千兆以太網(wǎng)端口可安裝多種SFP收發(fā)器，包括Cisco 1000BASE-SX、1000BASE-LX、1000BASE-BX、1000BASE-ZX、100BASE-

41、FX、100BASE-LX10、100BASE-BX和粗波分多路復(fù)用 (CWDM) SFP收發(fā)器。3.5.1千兆以太網(wǎng)千兆以太網(wǎng)以1000 Mbps的速度，提供了可滿足新網(wǎng)絡(luò)和擴(kuò)展網(wǎng)絡(luò)的需求的帶寬，消除了瓶頸，提升了性能，同時(shí)提高了現(xiàn)有基礎(chǔ)設(shè)施投資的回報(bào)。目前，工作人員都對(duì)網(wǎng)絡(luò)有著更高需求，在網(wǎng)絡(luò)上同時(shí)運(yùn)行多個(gè)應(yīng)用。例如，一位員工通過(guò)IP視頻會(huì)議而參加小組會(huì)議，向與會(huì)者發(fā)送一個(gè)10MB的電子表格，將最新?tīng)I(yíng)銷(xiāo)視頻廣播給整個(gè)小組以供評(píng)估，此外還查詢客戶關(guān)系管理(CRM)數(shù)據(jù)庫(kù)，以獲得最新實(shí)時(shí)反饋。同時(shí)，后臺(tái)開(kāi)始了一個(gè)多GB的系統(tǒng)備份，并向客戶端提供最新防病毒軟件的升級(jí)。3.5.2網(wǎng)絡(luò)智能性當(dāng)今的網(wǎng)

42、絡(luò)正在不斷發(fā)展，在網(wǎng)絡(luò)邊緣出現(xiàn)了四種新趨勢(shì)： 桌面計(jì)算能力提高 帶寬密集型應(yīng)用出現(xiàn) 高敏感數(shù)據(jù)在網(wǎng)絡(luò)中擴(kuò)展 出現(xiàn)了多種設(shè)備類(lèi)型，如IP電話、WLAN接入點(diǎn)和IP視頻攝像頭 這些新需求正與許多已有關(guān)鍵任務(wù)應(yīng)用爭(zhēng)奪資源。因此，IT專業(yè)人員必須將網(wǎng)絡(luò)邊緣看作有效管理信息和應(yīng)用的提供的關(guān)鍵。隨著公司日益依賴網(wǎng)絡(luò)，將其作為戰(zhàn)略性業(yè)務(wù)基礎(chǔ)設(shè)施，確保網(wǎng)絡(luò)的高可用性、安全性、可擴(kuò)展性和對(duì)它的全面控制就比以前更為重要。通過(guò)為L(zhǎng)AN接入添加思科智能功能，客戶現(xiàn)可部署遍布整個(gè)網(wǎng)絡(luò)的智能服務(wù)，從而一致地滿足從桌面到核心再到WAN的要求。通過(guò)Cisco Catalyst智能以太網(wǎng)交換機(jī)，思科可幫助公司獲得向其網(wǎng)絡(luò)添加智

43、能服務(wù)的全面優(yōu)勢(shì)。為進(jìn)一步優(yōu)化網(wǎng)絡(luò)運(yùn)行，部署具備以下特性的功能是十分關(guān)鍵的：能使網(wǎng)絡(luò)基礎(chǔ)設(shè)施高度可用以達(dá)到關(guān)鍵時(shí)間要求、可擴(kuò)展以便于公司發(fā)展、高度安全以保護(hù)保密信息，且能區(qū)分和控制流量。3.5.3增強(qiáng)安全性憑借Cisco Catalyst 2960系列提供的廣泛安全特性，企業(yè)可保護(hù)重要信息，防止未授權(quán)人員接入網(wǎng)絡(luò)，確保私密性及維持不間斷運(yùn)行。思科基于身份的網(wǎng)絡(luò)服務(wù)(IBNS)解決方案提供了身份驗(yàn)證、訪問(wèn)控制和安全策略管理，可保護(hù)網(wǎng)絡(luò)連接和資源。Catalyst 2960系列中的IBNS可防止未授權(quán)接入，并確保用戶只獲得其指定權(quán)利。它能動(dòng)態(tài)管理網(wǎng)絡(luò)接入的具體層次。使用802.1x標(biāo)準(zhǔn)和思科安全訪

44、問(wèn)控制服務(wù)器（ACS），無(wú)論用戶在何處連接到網(wǎng)絡(luò)中，都可在驗(yàn)證基礎(chǔ)上分配到一個(gè)VLAN。此設(shè)置使IT部門(mén)能在不影響用戶移動(dòng)性的情況下，以最低管理開(kāi)銷(xiāo)實(shí)施強(qiáng)大的安全策略。為防止拒絕服務(wù)攻擊和其他攻擊，可用ACL根據(jù)源和目的地MAC地址、IP地址或TCP/UDP端口來(lái)拒絕分組，從而限制對(duì)網(wǎng)絡(luò)敏感部分的訪問(wèn)。ACL查詢?cè)谟布型瓿桑蚀嗽趯?shí)施基于ACL的安全性時(shí)不會(huì)影響轉(zhuǎn)發(fā)性能。端口安全性可根據(jù)與以太網(wǎng)端口相連的設(shè)備的MAC地址，來(lái)限制以太網(wǎng)端口上的訪問(wèn)。它也可用于限制插入一個(gè)交換機(jī)端口的總設(shè)備數(shù)目，因此可使交換機(jī)免遭MAC泛洪攻擊，降低了惡意無(wú)線接入點(diǎn)或集線器接入的風(fēng)險(xiǎn)。憑借動(dòng)態(tài)主機(jī)配置協(xié)議(DH

45、CP)監(jiān)聽(tīng)，可以只允許來(lái)自不可信用戶端口的DHCP請(qǐng)求（但不允許響應(yīng)）進(jìn)入網(wǎng)絡(luò)，從而防止DHCP電子欺騙。此外，DHCP接口跟蹤器(選項(xiàng)82) 特性可為主機(jī)IP地址請(qǐng)求添加交換機(jī)端口ID，有助于實(shí)現(xiàn)對(duì)于IP地址分配的精確控制。MAC地址通知特性可向管理站發(fā)送報(bào)警，從而監(jiān)控網(wǎng)絡(luò)和跟蹤用戶，以使網(wǎng)絡(luò)管理員知道用戶何時(shí)、從何處進(jìn)入網(wǎng)絡(luò)。SSHv2和SNMPv3對(duì)管理和網(wǎng)絡(luò)管理信息加密，保護(hù)網(wǎng)絡(luò)免遭干擾或竊聽(tīng)。TACACS+或RADIUS驗(yàn)證實(shí)現(xiàn)了交換機(jī)的集中訪問(wèn)控制，并限制未授權(quán)用戶改變配置。此外，可在交換機(jī)上配置本地用戶名和密碼數(shù)據(jù)庫(kù)。交換機(jī)控制臺(tái)上的15個(gè)授權(quán)級(jí)別和Web管理界面上的2個(gè)級(jí)別提供了向不同管理員分配不同配置功能級(jí)別的能力。3.5.4高級(jí)QoSCisco Catalyst 2960提供了出色的多層QoS特性，確保網(wǎng)絡(luò)流量進(jìn)行了分類(lèi)和優(yōu)先級(jí)劃分，并以最好的方式避免了擁塞。QoS的配置通過(guò)自動(dòng)QoS（Auto QoS）大大得到了簡(jiǎn)化，這是一個(gè)可發(fā)現(xiàn)思科IP電話并自動(dòng)配置交換機(jī)以進(jìn)行正確分類(lèi)和輸出排序的特性。這優(yōu)化了流量?jī)?yōu)先級(jí)劃分和網(wǎng)絡(luò)可用性，且不會(huì)帶來(lái)復(fù)雜配置的問(wèn)題。Catalyst 2960可對(duì)進(jìn)入的分組分類(lèi)、再分類(lèi)、監(jiān)管、標(biāo)記、排序和排程，并能在出口處對(duì)分組排序和排程。分組分類(lèi)使網(wǎng)絡(luò)元素可區(qū)分不同流量，并根據(jù)