IDC中心建设方案

XXX公司 数据中心建设项目 方案 建议书 江苏鸿信系统集成有限公司 2008 年 7月 目 录 第一部分、 XXX 公司数据中心简介 . 3 1.1 、 XXX 公司概况 . 3 1.2 、项目背景 . 3 1.3、设计原则 . 3 1.3.1、高效实用性 . 4 1.3.2、先进性、成熟性 . 4 1.3.3、开放与标准化原则 . 4 1.3.4、可扩展性及易升级性 . 5 1.3.5、良好的可管理性和可维护性 . 5 1.3.6、具有最佳的性能价格比 . 5 1.3.7、具有高可靠性和安全性 . 5 1.4、 XXX 公司数据中心建设整体目标 . 8 1.5、可行性分析 . 8 1.5.1、技术方面的可行性 . 8 1.5.2、经济方面的可行性 . 9 第二部分、 XXX 公司数据中心网络系统解决方案 . 9 2.1、网络现状与需求分析 . 9 2.2、 XXX 公司数据中心网络建设目标 . 10 2.3、设计的依据与原则 . 10 2.3.1、设计依据 . 10 2.3.2、设计原则 .11 2.4、 XXX 公司数据中心设计方案 . 13 2.4.1、总体结构 . 13 2.4.2、核心交换模块 . 14 2.4.3、广域网接入模块 . 16 2.4.4、数据库服务器与中间业务服务器接入模块 . 17 2.4.6、外联网络接入模块 . 17 2.4.7、带内带外网络管理接入模块 . 18 2.5、高性能与高可靠性设计 . 21 2.5.1、高性能设计 . 21 2.5.2、高可靠性设计 . 23 2.7、 XXX 公司数据中心网络虚拟化服务（此处为相应设备的亮点技术，根据具体项目不同编写） . 28 2.7.1、 CISCO Nexus7000 虚拟多机技术 . 28 2.7.1、 CISCO 6509 交换机 VSS 技术 . 28 2.7.2、 FWSM 虚拟化技术及应用 . 30 2.8、 XXX 公司中心网络 IP 地址设计（ IP 地址 规划，根据具体项目，具体设计，一般初期仅做初步描述） . 31 2.9、 XXX 公司中心网络路由协议设计（路由设计，根据具体项目具体设计，一般初期仅做初步描述） . 31 2.10、 XXX 公司中心网络安全设计（此处为相应安全的设备及技术，根据具体项目不同编写） . 31 2.10.1、 CISCO6500 及 CISCO7600 防火墙模块 . 31 2.11、 XXX 公司中心网络 QoS 设计（ QOS 设计，根据实际情况设计，一般初期仅做初步描述） . 34 2.12、 XXX 公司数据中心网络管理设计（根据项目使用网管工具编写） . 35 2.13、设备概述（此处为相应的设备描述，根据不同项目，使用的不同设备描述） . 41 2.13.1、 CISCO 7010 核心交换机 . 41 2.13.2、 CSICO 7609 边缘路由器 . 44 2.13.3、 CSICO 4948-10GE 边缘交换机 . 45 第三部分、 XXX 公司数据中心割接方案（割接方案，根据项目内容确定有无割接） . 46 3.1、实施方案目标（此处为割接的最终目标） . 46 3.2、实施前的准备工作 . 46 3.2.1、实施方案中涉及设备配置做必要的备份； . 46 3.2.2 割接实施中新增光路，尾纤布放及板卡资源调配： . 47 3.3、具体实施方案 . 48 3.3.1、大区与雨花 IDC7609 接入路由器之间的协议调整 . 48 3.3.2、当前 XXX 网络拓扑及应用： . 48 3.3.3、实施前后路由情况比较； . 48 3.4、割接实施的必要回退 . 49 3.5、总结 . 50 3.6、机房无忧（以下内容为公司相应的服务产品介绍，根据客户情况，可选择相应产品进行推荐。） . 50 3.7、网管专家（以下内容为公司相应的服务产品介绍，根据客户情况，可选择相应产品进行推荐。） . 53 第一部分、 XXX 公司数据中心简介 1.1 、 XXX公司概况 此处添加客户公司介绍。 1.2 、 项目背景 此处添加该项目的背景情况。 1.3、 设计原则 XXX 公司 数据中心的建设将是一项关系到 XXX 公司 的重大网络工程，它的设计必须遵循以下原则： 1.3.1、 高效实用性 作为一个系统，实用性永远是放在第一位的。我们的根本原则就是能最大限度地满足 XXX 公司 数据中心系统建设实际的需要。方案所推荐的主要技术和产品具有成熟、稳定、实用的特点，并充分满足XXX 公司 各个下属单位接入的需要。 1.3.2、 先进性、成熟性 作为一个系统，先进性是系统赖以生存发展的基础。只有先进的系统，才能充分发挥计算机的能力，才能发展，才能体现良好的低投入高产出的投资收益。 方案所推荐的 千兆 /万兆 以太网技术及多层交换 负载均衡等 技术是目前世界上先进的网络技术。 （此处添加与项目相关的关键性技术亮点的名称，） 1.3.3、 开放与标准化原则 只有开放的系统，才能充分发挥计算机的能力，只有坚持标准化的系统，才能保护用户的投资，才能体现良好的可扩展性和互操作能力。 从国内外的一些系统建设的实际经验和教训来看，开放性与标准化原则如不能保证，则会在系统的使用阶段出现后期使用的维护困难，系统维护费用加大，甚至必须重复投资等问题。为了与这些专用系统互联，所耗费的代价甚至与新建系统不相上下，形成了一种“食之无味，弃之可惜”的“鸡肋”现象。 本系统是一个开放的系统，网络产品具开放性，采用 TCP/IP 协议作为主协议。主要产品，如服务 器，网络等都支持开放的CLIENT/SERVER 结构，并且，所选产品都遵循相应的标准。 1.3.4、 可扩展性及易升级性 面对中国 IT 的飞速发展，系统的计算机设备和网络设备必须有非常好的扩充性。并且，随着世界网络技术的不断发展，主干网络设备应能平滑升级。因此，在设计中，应当保证系统结构模块化，软硬件平台可以积木式拚装，如：交换机可通过添加功能模块扩充交换能力和 服务能力 等等。服务器类的设备也应选用扩充性极强的设备。 1.3.5、 良好的可管理性和可维护性 XXX 公司 数据中心系统是由多种设备组成的较为复杂的系统，因此我们着重考虑所选产品具有良好的可管理性和可维护性，所选产品具有良好的可管理性和可维护性。 1.3.6、 具有最佳的性能价格比 我们仔细分析讨论了 XXX 公司 数据中心 的需求，力求设计紧贴用户需求，在设计上寻求最佳的性能价格比。 1.3.7、 具有高可靠性和安全性 本方案所采用的主要产品采用可靠性设计，服务器采用高可靠性技术。力求系统安全、可靠、稳定的运行。系统的安全性是保证整个系统正常运转的前提条件和基础，也是 XXX 公司 数据中心系统的重要要求之一。 1）系统安全 用户口令、存取权限体系完善，系统具有基本的安全管理 机制，如：用户标识、口令检查、存取权限制度，为满足这一需求，选用NT 操作系统，其多用户、多任务，适于大系统的维护管理，并且提供了完备的权限管理功能，符合 C2 安全级标准。此外，选用客户 /服务器体系结构，数据可统一保存在服务器上，有利于系统数据的安全保密和一致性，保证系统的正常运行。除操作系统的安全性以外，大型关系数据库的权限管理和应用程序也为系统提供了相应的安全机制。 2）硬件设备安全分析 环境安全 运行环境中具有防静电、避雷、温度、湿度、防火等方面的安全措施。故在整个系统设计中，要严格按照机房设计标准 建造机房，并对计算机系统采用不间断电源（ UPS）保护，确保整个系统在运行过程中，造成不必要的系统损坏。 硬件设备安全性 在网络主设备及主服务器的选择上，考虑到其可靠性，如：网络接口冗余、支持热插拔、电源可实现均衡负载和冗余、热备份等。 3）软件安全保密 操作系统、系统程序、应用软件运行稳定，在应用软件开发中，遵循安全、可靠、实用的原则，在充分利用现有的系统支持软件基础上，进行应用软件的设计、开发。 权限控制体系完备：根据 NT 操作系统的权限管理体系，可建立完善的权限管理机制。 防病毒、防非法入侵：主机系统 采用的是具有很强防病毒干扰能力的操作系统，利用其严格权限管理机制，可以防止病毒、防非法入浸。 4）数据安全 备份策略 若有备份系统，可及时将数据从运行系统中传送到备份系统。另外，对关键数据要定期作磁带备份，以保证数据的安全完整。 防止传输、存取错误 选用具有可靠传输能力的网络结构，网络协议采用 TCP/IP 协议，该协议支持可靠的数据传输，可以在收到数据的同时，进行差错检测，并在发现错误时建立重传过程。 防止信息泄漏 由于采用符合国际标准的 C2安全级操作系统和大型关系数据库，可以做到操作系统、数据库 、应用程序三级保护。 保证数据完整性 系统结构选用 Client/Server 体系结构，数据库选用大型关系数据库，系统数据统一存放在主机数据库中，并配有数据库提供的数据恢复、错误处理功能，可充分保证数据的一致性和完整性。 1.4、 XXX公司 数据中心建设整体目标 整个系统的建设，应用是关键。 通过建立信息系统的基础结构，进而全面实现办公自动化、网络化、电子化、全面信息共享。信息系统的建设是 XXX 公司 信息化进程中的一个里程碑，它提高了 XXX 公司 在行政和管理方面的效率，并且利用网络为 XXX 公司 庞大用户群提供优质 的多元化服务，因而推动和加速了整个 行 业的信息化发展。 1.5、 可行性分析 目标和方案的可行性，可从以下几个方面进行分析： 1.5.1、 技术方面的可行性 技术人员具有所需的技术水平 ， 能够高效的管理和运维数据中心网络 ； 基础管理技术满足系统开发要求； 组织系统可以合理组织人、财、物及提供售后服务支持； 硬件可满足本系统需要； 软件可满足本系统需要； 1.5.2、 经济方面的可行性 数据中心 建设的投入是一项复杂的综合性工程，建设时间长，投资费用高，因此，必须做到项目的总体规划，分系统、分步骤进行，并考虑前后建设的连 续性，避免重复性投资和资源浪费。对于计划投入开展的项目，要预算充分，按期达标。 第二部分、 XXX 公司 数据中心 网络系统解决方案 2.1、 网络 现状与 需求分析 此处添加客户公司目前的网络拓扑图 XXX 公司 目前数据中心建于 XXX，目前承担整个集团数据交换与存储的重任。 现有网络拓扑结构如上。 随着 XXX 公司 的建设，现需在园区内建设一全新数据中心，用以在园区全面启动时顺利接管原数据中心的数据交换与存储重任 。 XXX 公司 数据中心的建设是为 XXX 公司 办公、管理提供服务的，网络系统建设主要目标是在 XXX 公司 管辖范围内， 采用国际标准网络协议，建立在 XXX 公司 内联网（ BDFZ-Intranet）并通过高速信道与各地市分公司、中国互联网（ China-NET）相连，同时建设信息资源管理中心。 2.2、 XXX公司 数据中心网络建设目标 XXX 公司 数据中心网络建设目标是将 XXX 公司 的各种 PC 机、工作站等，通过高性能的网络，连接到各种服务器上，组成分布式的计算环境，使其成为提高办公、管理水平必不可少的网络支撑环境。 本着建设一流数据中心的精神，我们提出了以下 XXX 公司 网络建设目标： 内部信息发布： XXX 公司 向各地分公司发布规章制度、规划 、计划、通知等公开信息等。 2）电子邮件： XXX 公司 内部的电子邮件的发送与接受。 3）文件传输： XXX 公司 内部的文本文件、图象文件、语音文件等发送与接收。 4）资源共享：文件共享、数据库共享 等。 6）接入因特网：通过 专线 接入 ChinaNet、 Internet，对外发布信息。 2.3、 设计的依据与原则 2.3.1、 设计依据 1）中国教学和科研计算机网络（ CERNET）工程技术规范书 2）中华人民共和国计算机信息网络国际联网管理暂行规定 3）有关的网络技术国际标准 4） RFC 有关文件 2.3.2、 设计原则 1） 开放原则 采用开放标准； 采用开放技术； 采用开放结构； 采用开放系统组件； 2）可靠原则 设计结果稳定可靠，具有高 MIBF（平均无故障时间）和 MTBR（平均无故障率），采用开放用户接口。 3）实用原则 实用有效是最主要的设计目标，设计结果能满足需求行之有效。提供容错设计，支持故障检测和恢复，可管理性强。 4）安全原则 安全措施有效可信，能够在多个层次上实现安全控制。 5）先进原则 设计思想先进； 软硬件设备先进； 网络结构先进。 6）完整性原则 考虑到系统的各方面因素，实现优化的网络设计、安全的数据管理、 高效的信息处理、友好的用户界面。 7）高效原则 性能指标高，软硬件性能充分发挥。 8）灵活原则 系统配置灵活，备用和可选方案多，能够适应应用和技术发展需要。 9）可扩展性 能够在规模和性能两个方向上进行扩展，扩展后的性能有大幅度提高。 10）模块化 每种功能都由一定的模块来实现，方案只需要选择不同的模块，并将这些模 块做相应的配置即可。 2.4、 XXX公司 数据中心设计方案 2.4.1、 总体结构 XXX 公司 数据中心拓朴图 XXX 公司 数据中心采用两台 XXX 系列核心交换机构建整个 IDC中心的 核心交换区 ， 在 核心交换区以下 ， 分为核心数据服务区与中间业务应用服务区两大服务区 ， 以及 XXX 公司 各大区的接入及广域网接入等接入区组成 。 其中数据服务的小型机区 ， 以两台 XXX 交换机为接入交换机 ,接入核心交换区 ， 在 XXX 交换机 上添加防火墙模块与内容交换模块 ，以实现对小型机的 安全保护、 SSL 卸载和 负 载均衡控制 。 在中间业务应用服务器区 ， 以两台 XXX 交换机为汇聚交换机 ， 以XXX 为接入交换机 ,为应用服务器提供 接入功能 ,并在 XXX 交换机上添加防火墙模块与内容交换模块 ,为整个中间业务应用服务器群提供保护与负载均衡控制，并且在此区域内通过 ACS,MARS 等设备 ,提供完善的管理与控制功能。 2.4.2、 核心交换模块 流量分析 主干网络作为 XXX 公司 数据中心的运行核心，它决定整个 XXX公司 数据中心网络的性能。根据统计，一个运行良好、提供服务齐全的网络中，各子网间的通讯和子网内部通讯大约各占 50%；而且随着多媒体技术的发展，多媒体主页、视频点播（多点广播）大量采用，这些都要占有大量主干带宽；以及虚拟网技术的采用，传统子网概念已经变化，使得一个子网可以分布于整个网络，导致子网内部通讯也要通过主干网络；因此经过主干网络的流量将占 80%以上，这就要 求主干网络必须具有极高的传输速率，最大限度的避免堵塞。作为主要的数据通道，主干网络的瘫痪就意味着整个网络的崩溃，因此主干网络必须采用已经标准化的技术，有极高的稳定性和冗余度。 网络技术分析 纵观目前计算机局域网技术，适合作为高速主干网结构的主要有： 千兆 以太网 千兆以太网是 100Base-T 的真正继承者。千兆以太网保留了大多数 100Base-T 的布线规则和 CSMA/CD媒质访问方式，具有以下特点： 从传统 100Base-T 以太网的升级较容易、投资少，与现有100Base-T 网的集成也很简单。 工业支 持较强，竞争激烈，使产品价格相对较低。 安装和配置简单，现有的管理工具依然可用。 支持交换方式，有全双工方式通讯的产品。 万兆以太网 万兆位以太网 (10gige)802.3ae 标准已由 ieee 于 2002 年 6 月批准，而且现在已在许多应用中进入大量部署阶段。在从千兆位以太网到万兆位以太网的演变过程中，为了适合如此广泛的可能应用，已进行了大量更改。这些更改中，最重要的更改与数据编码方式及万兆位以太网可以运行的物理连接类型有关。帧尺寸和格式都保持不变，以便第3 层及更高层协议仍然完全兼容。 万兆位以太网设计用于以 全双工模式只在点到点（交换）链路上运行。这一点反映其作为主干 /核心 （与工作组不同）技术的角色。万兆位以太网当前不支持自动协商，因为它被假定用于纯万兆位以太网安装。 40G 以太网 建立 XXX 公司 数据 中心的网络系统应高起点，统一全面规划，并考虑到将来的扩展与投资的保护；因此，为适应 XXX 公司 的发展，以可延展的方式提供更多的带宽，满足复杂的事务处理能力， XXX公司 数据 中心的主干采用领导高速网络发展 -先进交换技术的 万兆以太网为主干。 2.4.3、 广域网接入模块 目前 XXX 公司 XXX 中心与各大区之间使 用 ATM 链路连接，考虑到各大区的接入模式为 ATM 链路，故本次新中心广域网接入方式同样选择 ATM 方式，利用现有 ATM 链路与板卡，同时，由于 ATM技术已经处于渐渐被淘汰的情况，电信 MSTP 与 POS 链路的快速发展，考虑到数据中心的高扩展性，广域网接入采用模块化方式，现选用 ATM 模块，在日后可方便的且经济的升级为 MSTP 或 POS 方式。 广域网接入路由器 XXX 与核心交换机 XX 之间采用 10G 光纤链路相连，提供极高的数据交换能力，为数据中心的性能提供强有力的支持。 根据前面分析，一个多媒体网络 60%甚至 80%以上的流量要 经过路由，采用传统的路由方式连接各子网必须导致大量数据在路由器上汇集，发生堵塞，从而导致丢包，会大大限制多媒体应用，因此必须采用先进高效的路由技术，保证整个 XXX 公司 数据网络在网络层畅通无阻。 第三层交换技术分析 第三层网络路由交换机的出现为大型多媒体网络提供了新的解决方案。通过使用第三层路由交换机，可以大大提高 IP 包的转发速度。 第三层交换技术可以分为两类：基于包的交换和基于流的交换。 基于包的交换 采用与传统路由器相近的交换方式，对每一个包进行检查。目前的第三层交换机凭借先进的 AISC 技术，对 IP 包 直接进行芯片道路级处理，速度大大高于路由器采用的基于 CPU 的处理方式，能够提供全线速的转发，避免发生堵塞和丢包；同时完全兼容路由器的 RIP 和EIGRP 和 OSPF 协议，能够与传统路由器进行相互的自学习，掌握整个网络的路由信息。采用基于包交换的第三层交换机，网络的配置、设备和软件都不需要变动，能够实现基于包的安全控制。 2.4.4、 数据库服务器 与中间业务服务器 接入模块 数据库服务器与中间业务服务器接入设备采用 XXX 高性能交换机， 成熟的 XXX 交换机曾经做为数据中心的核心交换机主流产品，其强大的交换能力， 720G 背板带宽，以及高达 99.99%的高可靠性，使之成为 XXX公司 IDC 中心数据库服务器与中间业务服务器接入服务最有力的提供者，此外，依靠 VSS 技术，将两台 XXX 交换机虚拟成一台交换机，将背板带宽扩大为 1.44T，同时将可靠性提高到99.999的电信级别。 数据库服务器与中间业务服务器通过千兆链路连接入汇聚交换机XXX 之上，通过 10G 链路双上联入核心交换机 XXX，并依靠跨机框链路捆绑技术，将因为链路故障造成的倒换 2.4.6、 外联网络接入模块 XXX公司 做为中国家电零售业的领军企业，其银联及各大商业银行有着相当 频繁的业务来往，并且，随着 XXX公司 企业多元化发展，其各实业公司，都与 IDC中心之间有着平凡的数据交换要求，故 XXX公司 IDC中心外联网络接入系统是其 IDC中心极其重要的一部分，有着极高的数据交换要求以及响应的安全要求。为此，我们推荐 XXX路由器的外联网络接入板卡为整个 XXX公司 IDC中心提供外联网络接入服务，其好处在于可以灵活的使用 XXX上配置的防火墙等功能模块，为各种业务提供足够的安全保证 2.4.7、 带内带外网络管理接入模块 网络管理对于一个大型化的网络是至关重要的，同时也具有挑战性。对 XXX公司 信息 中心的管理主要采用基于 Intel Device View for Web的管理方法，基于 Intel Device View for Windows的管理方法进行辅助管理，而基于 telnet和终端仿真的管理方法作为备用。通过 XXX提供的管理方法，可以设置完善的管理员安全策略，能够有效地防止非法用户窃取管理员权限，对网络进行任何改动。 对于整个 XXX公司 数据中心网络的管理，我们采用 CISCO WORKS2000作为网络管理软件，它是世界上使用最为广泛最为成功的网管软件之一，能对多个厂家提供的支持 SNMP协议的交 换机、集线器、路由器、打印机、 PC机与工作站进行管理。这样我们可以查看网络上使用的硬件和软件的清单，诊断并解决远程工作站的问题，给网络用户快速分发最新软件，检查用户软件的 License，检测客户机上的病毒，使用加密和解密保证网络的安全，监视服务器的性能并能设定报警值。 由于 IP、存储和互联基础设施上的可管理性能够利用先进的通用管理和诊断工具简化配置、调配、监控和变更控制，因而能减轻管理负担，增强流程的一致性，并改善数据中心小组之间的协作。另外，可管理性功能还能向管理应用提供网络设备的流量和接口信息，以便操作 人员能够查看实时和历史网络状态。另外，操作人员还能利用思科或第三方管理工具实现网络的配置、监控和排障。 思科数据中心网络架构提供先进的通用管理接口、功能和工具，不但能显著提高数据中心管理人员的运营效率，降低复杂性，缩短学习周期，还能提高服务水平，加快解决问题的进程。利用基于角色的访问控制，管理员可以将特定资源的管理控制分配给专人负责。 思科数据中心网络架构包含五大可管理性： 简单网络管理协议（ SNMP V3） 在 IP交换和路由网络、存储网络和光网上支持统一的 MIB格式，能够改善配置、资产管理和变更管理。 嵌入式管理代理能够简化可管理性 支持基于策略的自适应管理，能够在问题造成重大影响之前就快速予以解决，而且能够简化服务实施。例如，为 Cisco Catalyst 6500 系列平台开发的新型 CiscoView 设备管理器代理能够改善基于策略的端到端配置。 相似的 Cisco IOS软件和 SAN OS命令行界面 在管理器与设备之间提供一致的通信。 标准通用信息模型和可扩展标记语言（ XML） API 通用高级诊断功能 简化存储网络中第三方系统管理的实施。 简化实时监控、历史统计数据收集和报告。 另外思科安全监控 、分析和响应系统（思科安全 MARS）是一款基于设备的全功能解决方案，可提供针对您现有安全部署的、前所未有的了解和控制能力。思科安全 MARS是思科安全管理生命周期的一个关键组件，可帮助您的安全和网络机构识别、管理和抵御安全威胁。它可充分利用您现有的网络和安全投资，来识别、隔离被攻击的组件和建议对其精确删除的方式。它也有助于保持内部策略符合性，可作为整体法规符合性解决方案工具中一个不可缺少的部件。 安全和网络管理员所面临的问题有： 安全和网络信息过载 性能不佳的攻击和故障识别、优先级划分和响应 更高攻击先进程 度、速度和修复成本 满足法规符合性和审查要求 较少的安全人员和预算 思科安全 MARS可通过以下功能满足其需要： 集成网络智能，进行网络异常事件和安全事件的先进关联 察看校正后的事件并自动执行调查 通过全面充分利用网络和安全基础设施来防御攻击 监控系统、网络和安全运行来帮助企业达到法规符合性 以最低 TCO提供一个易于部署和使用的、可扩展的设备 2.5、 高性能与高可靠性设计 2.5.1、高性能设计 在 XXX 公司 数据中心网络中， 主干线采用的是万 兆位，因此需要主干设备要有较高的交换能力，拥有 思科一代高密度万 兆位连 接，满足苏宁电器数据网络中的高通信量工作站、工作组和服务器的需求。通过现有铜线线缆或光纤集合工作站服务器群可以提高多媒体应用的运行速度，同时减少瓶颈并提供非堵塞性能。提供第二、第三、第四层无堵塞性能，强大的带宽整形功能和八个 802.1 优先级排队，以实现完善的第二、第三、第四层通信控制，最大的介质灵活性，保护了超 5 类线基础设施投资，并以光纤 GBIC 突破了距离的限制。 在 XXX 公司 数据中心网络中，采用的第三层交换机是基于包进行交换的，能够进行分布路由，为了避免发生堵塞，第三层交换机必须能够提供接近交换速度的路由 能力。另外为了在整个网络上实现虚拟网划分，第三层交换机还必须支持分布式的虚拟网设置。在关键子网，保证与主干网络高速通道的足够带宽，以及冗余连接。 根据以上分析，我们充分考虑了系统的性能价格比，采用了具有高可扩展性和 稳定性、最标准的思科公司的全套网络产品。考虑到主干网络设备具有万 兆以太的交换能力，同时支持链路汇聚功能，以保证网络的带宽，另外还要支持 VLAN 划分，提供灵活活的网络配置。并且在苏宁电器数据中心将要使用大量的光缆布线 。 2.5.2、高可靠性设计 2.5.2.1、拓朴冗余 XXX 公司 中心拓朴在设计 阶段就充分考虑线路的冗余问题，以保证数据中心网络的高可靠性。 在 XXX 公司 中心内，所有核心设备之间链路 都采用双链路冗余备份设计，保证在某一条链路故障时，不影响整个数据中心的数据交换业务。 链路冗余 在 数据 中心的交换机之间的连接均采用 Ether Channel的设计以保证链路的冗余。 Ethernet Channel设计原则 网络连接 Channel设计原则 核心设备之间互连 2*10GE 核心与分布设备互连 2*10GE 分布设备之间互连 2*10GE 分布与接入设备互连 2*10GE 交换冗 余 交换区域的可靠性通过 STP 实现。被 STP 阻断的逻辑链路在线路或设备出现故障的情况下可以自动释放，形成新的拓扑结构，保证网络数据的正常传输。 网关冗余 HSRP（热备份路由协议）是为网络接入设备提供三层网关冗余的技术。配置的 HSRP 网关向接入设备提供虚拟 IP 和 MAC 地址，并使用 hello 检测 HSRP 成员状态，确保网关冗余。 分布层设备在连接普通接入时采用 HSRP； HSRP 优先级策略与 STP 的根网桥主备设置一致； HSRP 设置 Preempt ，确保高优先级网关为激活状态 路由冗余 网络物理链路的冗 余设计为路由协议选择备份连接提供了基础。 网络使用 OSPF 路由协议根据网络链路的 metric 计算最短路径。当设备或连接因故障中断时， OSPF 会自动重新计算网络路径，并使用正常的连接保障数据通讯。 考虑运行维护的简单性，配合 STP 的 Root Primary 定义和 HSRP Primary 定义，在网络设计上，将通过 metric 的调整，在分布层和核心层将数据流引导到冗余网络结构的一侧，而当设备或连接因故障中断时， OSPF 会自动重新计算网络路径，并使用正常的连接保障数据通讯。 2.5.2.2、设备冗余 考虑到数据中心的特点，在 XXX 公司 中心设计初期，就对设备冗余做了充分的考虑，核心设备采用可靠性最高的双机热备份模式，关键设备全部双机热备份，保证单一设备故障时，数据中心业务不受任何影响，彻底解决单点故障问题。 引擎冗余 数据中心的核心的交换机和路由器都使用两块冗余引擎，在两块冗余引擎上使用 SSO 的切换方式。 SSO 切换方式只需要 3 秒左右就可以完成切换，并且不用重新初始化板卡 。 网络连接 RPR RPR+ SSO SSO+NFS 备份引擎自动切换 是 是 是 是 同步 startup-config 是 是 是 是 同步 running-config 否 是 是 是 同步 RIB&FIB 否 否 是 是 同步二层链路状态 否 否 是 是 同 步 路 由 协 议Session 否 否 否 是 切换时间 长 较短 短 短 复杂程度 低 较低 中 高 电源冗余 信息中心的网络设备都需要支持两种电源冗余工作模式，建议使用 Redundant 模式（默认设置）。 Combined 模式一般用于电源更换或升级等特殊情况。 模块和端口冗余 模块和端口冗余的通用原则 同一机箱优先使用高编号槽位； 同一模块优先使用高编号 端口； 上连链路优先使用高编号端口、下连链路优先使用低编号端口，互连链路尽量使用引擎上自带的端口； 确保 Channel中的两个端口端口使用不同模块，由于核心交换机只配置了一块 10GE 端口模块， 20GE Channel 只能使用同一模块的端口。 2.5.2.3、端口的可靠性 端口是网络设备互连的通道，思科提供多种端口功能协议。为了保障网络设备连接的可靠性，路由交换机端口应根据 数据 中心的通讯模式设计。 协议 路由端口（非Trunk） Trunk 交换端口 Vlan 交换端口 Auto-Negotiation 禁止 禁止，手工设置 禁止 DTP 禁止 启用 禁止 PAgP 启用 启用 禁止 UDLD 启用 启用 禁止 Vlan 无 Trunk 模式，自动协商 接入模式 CDP 启用 启用 禁止 2.7、 XXX 公司 数据中心网络虚拟化服务 （此处为相应设备的亮点技术，根据具体项目不同编写） 2.7.1、 CISCO Nexus7000 虚拟多机技术 Cisco Nexus 7000 系列交换机虚拟 多机技术 是一种网络系统虚拟化技术，将 一 台 Cisco Nexus 7000 系列交换机 物理的划分为多个实体主机，通过对硬件资 源，如控制引擎，交换背板的物理划分，实现将一台 Nexus 7000 系列交换 机划分为 多个虚拟实体，以实现不同业务在核心层的隔离，并且，当 Cisco Nexus 7000 在满足数据中心本身的交换需求后，仍有大量资源空闲时，可以将空闲资源划分出来另作他用，有效的提高 Cisco Nexus 7000 做为网络核心的利用率，从而从侧面提升 Cisco Nexus 7000 的性能价格比。 2.7.1、 CISCO 6509 交换机 VSS 技术 Cisco6500 系列交换机虚拟交换系统（ VSS） 1440 是一种网络系统虚拟化技术，将 两台采用了 Virtual Switching Supervisor 720-10G VSS的 Cisco Catalyst 6500系列交换机组合为单一虚拟交换机。在 VSS 中，这两个交换机中的管理引擎的数据面板和交换阵列能同时激活，因此总系统交换能力可达 1440Gbps。 VSS 成员通过虚拟交换机链路（ VSL）连接。 VSL 在虚拟交换机成员之间使用标准万兆以太网连接（多达 8 条，以提供冗余性）。通过在 Virtual Switching Supervisor 720-10G或 WS-X6708-10G模块的任意端口上 使用万兆以太网上行链路，即能形成 VSL。除在 VSS 成员间进行控制面板通信外， VSL 也能传输普通用户流量。 VSS 支持所有采用集中或分布式（利用 DFC3C 或 DFC3CXL）转发模式的 Cisco Catalyst 6500 系列交换机。 与传统的 L2/L3 网络设计相比， VSS 1440 提供了多项显著优势。大体说来，其优势可归纳为以下三个主要方面： VSS 能够提高运营效率 单管理点，包括配置文件和单一网关 IP 地址（无需 HSRP/ VRRP/GLBP） 多机箱 EtherChannel （ MEC）创建了简单的无 环路拓扑结构，不再依靠生成树协议（ STP） 底层物理交换机经由标准万兆以太网接口相连，在位置方面提供了灵活的部署选项 VSS 能够优化不间断通信 机箱间状态化故障切换不会干扰需要使用网络状态信息的应用。凭借 VSS，在一个虚拟交换机成员发生故障时，不再需要进行 L2/L3 重收敛，能在一秒内实现确定性虚拟交换机的恢复。 与基于生成树协议的收敛不同，使用 EtherChannel（ 802.3ad或 PAgP）能在一秒内完成确定性 L2 链路恢复。 VSS 能够将系统带宽容量扩展到 1.4 Tbps 在冗余 Cisco Catalyst 6500 系列交换机上激活所有可用的L2 带宽，在 EtherChannel基础上进行精确的负载均衡。 为冗余数据中心交换机上的服务器网络接口卡（ NIC）提供基于标准的链路汇聚，实现最高服务器带宽吞吐率。 消除了因非对称路由引起的单播洪泛，减少了园区内流量的跳数，从而节省了带宽。 2.7.2、 FWSM虚拟化技术及应用 与思科 6500 交换机 7600 路由器结合，具有灵活的端口扩展能力。7600路由器配置防火墙模块后可以将 7600 路由器变成一台广域网防火墙。路由器上的所有端口均可以配置不同的安 全级别。 强大的防火墙性能，在单台 65 系列交换机 7600 路由器上可以插4 块 FWSM，每块 FWSM 的吞吐量为 5.5Gbps,四块合计 22 Gbps。 每个防火墙模块可支持 256 个虚拟防火墙，为数据中心提供了强大的灵活性。 虚拟防火墙的资源可定制，每个虚拟防火墙占用的 CPU、 Memory以及其最大连接数等资源可以根据需要来定制，极大的增加了虚拟防火墙的安全性和可用性。 支持高达 256 个 802.1Q 的 VLAN，使大大增加了防火墙的使用灵活性。 工作模式多样化，支持透明、路由、 NAT、透明路由的混合模式的工作模式 。 支持多台防火墙主机的集群，支持 Active/Active 模式以及 Standby模式。 支持丰富的 QOS 特性 2.8、 XXX 公司 中心网络 IP地址设计 （ IP地址规划，根据具体项目，具体设计 ，一般初期仅做初步描述 ） 苏宁电器 IDC 中心网络 IP 地址的设计，将根据现有的业务系统进行统一的规划与设计，在实际允许的情况下兼容原有 IP 地址，为日后割接提供准备的基础。 2.9、 XXX 公司 中心网络路由协议设计 （路由设计，根据具体项目具体设计 ，一般初期仅做初步描述 ） 苏宁电器 IDC 中心网络路由协议建议使用 OSPF 协议与 BGP 协议， OSPF 协议做为其应用主协议， BGP 协议则运行在备份链路上，当主协议 OSPF 故障时，则由 BGP 协议替代，以保证其网络的连通性，减少协议倒换的时间。 2.10、 XXX 公司 中心网络安全设计 （此处为相应 安全 的 设备及技术 ，根据具体项目不同编写） 2.10.1、 CISCO6500 及 CISCO7600 防火墙模块 Cisco6500 交换机和 Cisco 7600 系列路由器的防火墙服务模块（ FWSM）是一种高速的、集成化的服务模块，可以提供业界最快的防火墙数据传输速率： 5Gb 的吞吐量， 100000CPS，以及一百万个并发连接。在一个设备中最多可以安装四个 FWSM，因而每个设备最高可以提供 20Gb 的吞吐量。作为世界领先的 Cisco PIX 防火墙系列的一部分， FWSM 可以为大型企业和服务供应商提供无以伦比的安全性、可靠性和性能。 FWSM采用了 Cisco PIX技术，并且运行 Cisco PIX操作系统（ OS）-一个实时的、牢固的嵌入式系统，可以消除安全漏洞，防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法（ ASA）的保护机制，它可以提供面向连接的全状态防火墙功能。利用 ASA， FWSM 可以根据源地址和 目的地地址，随机的 TCP 序列号，端口号，以及其他 TCP 标志，为一个会话流创建一个连接表条目。FWSM 可以通过对这些连接表条目实施安全策略，控制所有输入和输出的流量。 FWSM 的主要优点 防火墙的传统角色已经发生了变化。今天的防火墙不仅可以保护企业网络免受未经授权的外部接入的攻击，还可以防止未经授权的用户接入企业网络的子网、工作组和 LAN。 FBI 的统计数据显示， 70%的安全问题都来自于企业内部。在 FBI 开展的调查中，五分之一的受访者表示，在过去 12 个月中，有入侵者闯入或者试图闯入他们的企业网络。大部分专家都 认为，大多数网络入侵活动都没有被检测出来。 集成模块 FWSM 安装在 Cisco Catalyst 6500 系列交换机或者 Cisco 7600 互联网路由器的内部，让这些设备的任何端口都可以充当防火墙端口，并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说，这种功能非常重要。 Cisco Catalyst 6500 真正成为了那些需要各种智能化服务（例如防火墙接入、入侵检测、虚拟专用网（ VPN）和多层 LAN、 WAN 和 MAN 交换功能的客户的首选IP 服务交换机。 适应未来需要 FWSM 可 以支持 5Gb 的吞吐量，因而可以提供无以伦比的性能，让用户无须对系统进行彻底的升级，就可以满足未来的要求。在Catalyst 6500 中最多可以添加三个 FWSM，以满足用户不断发展的需求。 可靠性 FWSM 建立在 Cisco PIX 技术的基础之上，并使用了同一个经过时间检验的 Cisco PIX 操作系统 -一个安全的、实时的操作系统。FWSM 可以利用行之有效的 Cisco PIX 技术检测分组，从而可以在同一个平台上提供性能和安全的独特组合。 低廉的整体运营成本 FWSM 可以提供所有防火墙中最佳的性能价格比。 Cisco Catalyst机型的 SmartNet 合同中包含了维护成本。由于 FWSM是基于 Cisco PIX 防火墙的，所以培训和管理成本都很低，而且由于它是集成在设备内部的，所以大大减少了需要管理的设备的数量。 易用性 Cisco PIX 设备管理器的直观的图形化用户界面（ GUI）可以用于管理和配置 FWSM。在配置和监控方面， FWSM 可以获得思科管理框架和 Cisco AVVID（集成化语音、视频和数据体系结构）合作伙伴的支持。 2.11、 XXX公司 中心网络 QoS设计 （ QOS设计，根据实际情况设计 ，一般初期仅做 初步描述 ） IP QoS ( Quality of Service ) 是指 IP 网络的一种能力，即在跨越多种底层网络技术（ FR、 ATM、 Ethernet、 SDH 等）的 IP 网络上，为特定的业务提供其所需要的服务。衡量 IP QoS 的技术指标包括： 1）带宽 /吞吐量 指网络的两个节点之间特定应用业务流的平均速率； 2）时延 指数据包在网络的两个节点之间传送的平均往返时间； 3）抖动 指时延的变化； 4）丢包率 指在网络传输过程中丢失报文的百分比，用来衡量网络正确转发用户数据的能力； 5）可用性 指网络可以为用户提供服务的时间的百分比。 本质上，要保证服务质量的最基本和最佳的手段是网络容量的扩容，通过增加链路带宽来保证网络轻载， 出于网络的实际情况考虑，在有限的带宽前提下，在链路拥塞时，需要保证不同等级业务的服务质量，因此，需要在 设备上 支持对不同 Qos 等级的报文优先转发的队列调度 机制 。 目前， QoS 实现机制主要有两个：综合型业务（ IntServ）模型和区分型业务（ Diffserv）模型。 集成服务模型通过 RSVP 协议针对每个业务流进行资源预留，提供端到端服务保证。这种服务模型在应用使用之前，首先需要进 行资源的预留，针对每个流都要维护 RSVP 的软状态。这种服务模型的的优点在于能够提供细粒度的、严格的 QoS服务，但是扩展性比较差，路由器难以维护大量的软状态和控制流。由于集成服务模型的缺点，现在集成服务模型已经很少使用，取而代之的是下面重点介绍的差分服务模型。差分服务类型对不同的流进行分类，对每个类提供不同的 QoS 服务。通过分类，维护软状态以及控制流的开销大幅度缩小，可扩展性比较高。它的缺点在于提供的服务是粗粒度的、不严格的 QoS 服务。 综合考虑现有 Qos 技术，我们推荐苏宁电器 IDC 中心 Qos 改造采用以 DiffServ 为主的 QOS 技术，采用 DSCP 和 IP Precedence 相兼容的标记方式。业务接入控制点设备实现业务的分类、标记和带宽控制，城域网骨干路由器根据 DSCP 等级标记按优先顺序进行 IP 包的转发。 2.12、 XXX公司 数据中心网络管理设计 （根据项目使用网管工具编写） 思科安全监控、分析和响应系统（思科安全 MARS）是一款基于设备的全功能解决方案，可提供针对您现有安全部署的、前所未有的了解和控制能力。思科安全 MARS 是思科安全管理生命周期的一个关键组件，可帮助您的安全和网络机构识别、管理和抵御安全威胁。它 可充分利用您现有的网络和安全投资，来识别、隔离被攻击的组件和建议对其精确删除的方式。它也有助于保持内部策略符合性，可作为整体法规符合性解决方案工具中一个不可缺少的部件。 安全和网络管理员所面临的问题有： 安全和网络信息过载 性能不佳的攻击和故障识别、优先级划分和响应 更高攻击先进程度、速度和修复成本 满足法规符合性和审查要求 较少的安全人员和预算 思科安全 MARS 可通过以下功能满足其需要： 集成网络智能，进行网络异常事件和安全事件的先进关联 察看校正后的事件并自动执行调查 通过全面充分利用网络和安全基础设施 来防御攻击 监控系统、网络和安全运行来帮助企业达到法规符合性 以最低 TCO 提供一个易于部署和使用的、可扩展的设备 思科安全 MARS可将原始网络和安全数据转化为可操作的智能特性，以提交正确有效的安全事件并保持法规符合性。这一易于使用的威胁防御设备系列可利用已部署在您的基础设施中的网络和安全设备，使操作员可集中、检测、防御和报告重要威胁。 深度防御问题 信息安全已从互联网、周边防护发展为深度防御模式，在基础设施中部署了多项措施来抵御安全漏洞和攻击。鉴于攻击频率日益增加、攻击复杂度各不相同，以及攻击非常迅速，网络 内部和周边间的界线逐渐模糊，因此这些措施是非常必要的。 为试图利用漏洞发动攻击，每天攻击者都会对网络接入点和系统进行数千次探测。先进的混合攻击使用多种欺骗式攻击方法，以便从机构内外获得未授权系统访问和控制。蠕虫、零日攻击、病毒、特洛伊木马、间谍软件和攻击工具的普及可对最为坚固的基础设施构成挑战 导致防御作用时间缩短、出现停运和昂贵的修复措施。 除服务器和网络设备数量较多外，每个安全组件都提供独立的事件记录和报警功能，以用于异常流量检测、威胁响应和分析。不幸的是，这就生成了大量的干扰、报警、日志文件和误报， 需操作员辨别或高效利用它们 但这样的前提是有足够的时间和资源来分析和了解这些信息。此外，法规也要求严格数据保密、更高运营安全性和进行持续审查。 先进的安全信息管理 安全信息 /事件管理（ SIM）产品从逻辑上看来避免了这一问题 因为您无法对您不能测量出的信息加以管理。 SIM 使操作员拥有了集中操作的能力：汇总安全事件和记录，通过有限关联和查询技术来分析数据，并针对独立事件生成报警和报告。 思科通过一个可扩展的企业威胁防御设备系列，解决了这些安全问题，弥补了管理的不足。思科安全 MARS 提供了一个易于部署和使用、 经济有效、性能出众的安全命令和控制解决方案，对您的网络和安全基础设施投资构成补充。思科安全 MARS 是一个性能出众的可 扩 展 威 胁 防 御 设 备 系 列 ， 通 过 结 合 网 络 智 能 、ContextCorrelationTM、 SureVectorTM 分析和 AutoMitigateTM 功能，来使公司能作好准备，识别、管理和消除网络攻击并保持法规符合性，从而增强已部署的网络设备和安全措施。 思科安全 MARS 的主要特性和优势 网络智能事件汇总和性能处理 思科安全 MARS了解路由器、交换机和防火墙的拓扑和设备配置，以及网络流量配置，实现了网络 智能。通过该系统的集成网络发现功能，可构建一个包括设备配置和当前安全策略的拓扑图，使思科安全MARS 能对您网络中的分组流建模。因为此设备不在内部运行，极少使用现有软件代理，所以对网络或系统性能的影响极小。 这一设备集中汇总了来自各种常用网络设备（如路由器和交换机）、安全设备和应用（如防火墙、入侵检测、漏洞扫描器和防病毒软件）、主机（如 Windows、 Solaris 和 Linux 系统日志）、应用（如数据库、 Web 服务器和验证服务器）以及网络流量（如 Cisco NetFlow）的日志和事件。 ContextCorrelationTM 在接收到事件和数据时，可针对网络拓扑、所发现的设备配置、相同的源和目的地应用（跨 NAT 边界）和类似的攻击类型，来对信息进行标准化。相似的事件会进行实时分组，随后对其运用由系统和用户定义的关联规则，来识别事故。系统配备了全面的预定义规则， Protego 会经常更新这些规则，它们能识别大多数混合攻击、零日攻击和蠕虫。一个图形化规则定义框架简化了用户为任何应用创建定制规则的过程。 ContextCorrelation 大大减少了原始事件数据、实现了响应优先级划分并可最大限度地发挥所部署的措施的作用。 高性能汇总和整合。思科安全 MARS 解决方案可获取数千个原始事件，高效地对事件分类，实现前所未有的数据减少，并压缩这些信息以进行归档。管理大量安全事件需要一个安全、稳定的集中记录平台。思科安全 MARS 设备可安全地优化，接收极其大量的事件流量 每秒超过 10000 个事件或每秒超过 30 万个 NetFlow 事件。通过即将荣获专利的 Protego 内部处理逻辑和采用内嵌 Oracle，这一切成为可能。所有数据库功能和调整都对用户透明。板载存储并可将历史数据档案持续压缩到 NFS备用存储设备的功能，使思科安全 MARS成为一 个强大的安全日志 /事件汇总解决方案。 事件查看和有效防御 思科安全 MARS 有助于加速和简化威胁识别、调查、校正和防御的过程。安全人员通常面临着所提交的事件需要耗时的分析才能解决问题和进行修复的情况。思科安全 MARS 具有一个功能强大的交互式安全管理控制台。操作员 GUI 提供了一个由实时热点、事故、攻击路径和具体调查组成的拓扑图，可使用户完全了解事件 立即确认有效威胁。 SureVectorTM 分析事件进程等过程，通过评估直至终端 MAC 地址的整个攻击路径，来确定威胁是否有效或是否已进行了防御。这一自动过程是由分 析防火墙和入侵防御应用等设备记录、分析第三方漏洞评估数据，以及籍由思科安全 MARS 终端扫描来消除误报而完成的。用户可快速、精确地调整系统，来进一步减少误报。 所有安全计划的最终目标是保持系统在线并正常运作 即防御安全违背、抑制事件并进行修复。凭借思科安全 MARS，操作员可迅速了解攻击中涉及的所有组件，这可具体到受破坏的系统 MAC 地址。AutoMitigateTM 功能可识别攻击路径上的阻塞点设备，并自动提供用户可用以防御威胁的适当设备命令。通过充分利用基础设施，可快速、准确地防御和抑制攻击。 实时调查和法规 符合性报告 思科安全 MARS 具有一个易于使用的分析框架，简化了传统的安全工作流程，在日常运作和特殊审查时实现了自动的案例分配、调查、提交、通知和说明。它可图形化地重现攻击并检索所存储的事件数据，来分析以前的事件。此系统完全支持临时查询，可进行实时和持续数据采集。 思科安全 MARS 提供大量的预定义报告，来满足运营需要，有助于达到法规符合性要求，包括 Sarbox、 GLBA、 HTPPA、 FISMA 和Basel II。一个直观的报告生成器可以修改 80 多种标准报告或生成新报告，以一种无限制的方式，用数据、趋势和图表格 式构建安全措施和修复计划、事件和网络活动、安全状态和审查，以及部门报告。此系统也能提供批报告和电子邮件报告。 迅速部署和可扩展管理 思科安全 MARS 置于一个 TCP/IP 网络上，可发送和接收系统日志、 SNMP 捕获，并通过标准安全协议或厂商特定协议，与已部署的网络和安全设备建立安全连接。只需将其插入网络即可。安装和部署思科安全 MARS 时无需其他硬件、操作系统补丁、许可或冗长的专业服务部署过程。您只需配置您的日志源，指向 MARS 设备，并通过基于 Web 的 GUI 定义任意网络和数据源。 该设备由一个安全、基于 Web 的界 面集中管理，它支持基于角色的管理。可选思科安全 MARS GC 设备集中了广泛的安全操作，可提供整个企业的单一视图，分发访问权限、配置、更新、定制规则和报告模板，并将复杂的调查与本地处理的加速查询和报告相结合。 因为本地思科安全 MARS 设备可在整个企业中执行查询和规则，因此能高效地获得整合结果，快速、集中地在思科安全 MARS GC 中进行分析。这一可扩展架构提供了一个附加的分布处理和存储层。因此可实现更为经济有效的部署和更高可管理性，满足地理位置分散的大型机构的需求。 2.13、 设备概述 （此处为相应的设备描述，根 据不同项目，使用的不同设备描述） 2.13.1、 CISCO 7010 核心交换机 CSICO 7010 是一款针对大规模数据中心应用而设计的核心交换机，它的吞吐量可以达到 15Tbps。它目前可以支持 10Gbps 的以太网，将来根据需要可以升级到支持 40Gbps/100Gbps 以太网。它采用CSICO NX-OS 操作系统，创新之处在于可以支持端到端的大规模数据中心连接。它最大可以同时支持 256 个 10Gbps 以太网端口或 384个 10/100/1000Mbps 以太网端口。 2.13.1.1、 CSICO NX-OS操作系 统 集合了 CSICO 的大量创新的健壮、自愈、丰富的特征设置。 内核的模块化、虚拟性和弹性设置支持其强大灵活性和可升级性。 支持 IPv4 和 IPv6 服务、路由和多播。 全面的安全设置、高可用性和管理性特征。 2.13.1.2、 优势 支持基础设施的可升级性： （ 1）系统支持的最大吞吐量可达 15Tbps，为未来提供了极大的升级空间。 （ 2）支持多核和多线程的操作系统可以将不同的任务分配给不同的 CPU 核并行运算，达到优化 CPU 资源利用率。 （ 3） CSICO 的安全策略标准：链路层加密、安全组接入控制链表、基于角色的接入 控制。 （ 4）灵活的网络流量控制策略。 传输的灵活性 虚拟的控制界面和数据界面，可以最优化其性能。 虚拟化设备管理可以最大化软件和硬件资源利用率，同时提供强大的安全机制和软件错误隔离。 可以支持未来的 40Gbps 和 100Gbps 以太网标准。 2.13.1.3、 CSICO 7010 模块组成：一个 7010 包含 10个插槽，其中两个分配给监督控制模块，另外 8个分配给以太网 I/O模块。 监督控制模块：基于双核处理器实现控制和管理功能；一台 7010最多包含 2 个该模块。 48 端口 10/100/1000Mbps 以太网 I/O 模块：一台 7010 最多包含 8个该模块，即最多同时支持 384 个 10/100/1000Mbps 以太网端口，同时每个端口都支持 CSICO 的安全策略标准。 32 端口 10Gbps 以太网 I/O 模块：一台 7010 最多包含 8 个该模块，即最多同时支持 256 个 10Gbps 以太网端口，同时每个端口都支持CSICO 的安全策略标准。 用于插槽间连接的光纤模块：提供 I/O 模块之间、监督控制模块之间以及 I/O 模块和监督控制模块之间的并行光纤通道。最多同时允许五个同步光纤模块为每个插槽提供高达 230Gbps 吞吐量。 2.13.1.4、 安 全性 允许进入控制：对网络设备和终端使用拓扑独立的支持 802.1x 的鉴定与授权机制。 保密性与完整性设置：当网络中加入网络设备，如防火墙和负载均衡等时，通过使用链路层 802.1AE 的加密技术提供数据保密和可靠性。 访问控制：通过使用 ASIC 来提供基于身份验证的访问策略。 2.13.2、 CSICO 7609 边缘路由器 CSICO 7609 是一个高性能的网络边缘路由器，它可以为商用和住宅服务市场提供高效的三重应用（语音、视频、数据），它可以支持企业配置高性能的广域网和城域网。 2.13.2.1、 CSICO 7609可以支持各种线速卡 SPA（共享端口适配器）和 SIP（ SPA 接口处理器） T1/E1、 T3 和 OC-3/STM-1 数字信道。 OC-3/STM-1、 OC-12/STM-4、 OC-48/STM-16 光纤同步信道（ SONET/SDH）。 OC-3/STM-1、 OC-12/STM-4、 OC-48/STM-16 ATM 信道。 快速以太网、 1Gbps 以太网和 10Gbps 以太网。 增强的 FlexWAN 模块 支持 CSICO 7200 和 7500 WAN 的从 DS-0 到 OC-3 的数字信道和ATM 接口的端口适配器和快速以太 网适配器。 高密度的以太网服务模块： 10/100Mbps、 1Gbps 以太网和 10Gbps以太网。 安全服务模块： IPsec，防火墙，入侵检测等。 CSICO 7609 拥有 9 个插槽，每个插槽最多可以支持 48 个10/100Mbps