CISCO图书馆设计方案

1 书馆设计方案 计原则 为构建高质量的网络，在网络建设中要坚持以下原则 1. 高可靠性：网络的稳定可靠是应用系统正常运行的关键，保证在网络设计中选用高可靠性的网络产品设备，充分考虑冗余、容错和备份能力，同时合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的可靠运行。 2. 技术先进性：在保证满足基本业务应用的同时，又要体现出网络的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到网络应用的现状和未来发展趋势。 3. 高性能：骨干网络的性能是整个网络 良好运行的基础，在设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。 4. 标准开放性：支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络之间的平滑连接互通，以及将来网络的扩展。 5. 可扩展性：根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。 6. 可管理性：选用先进的网络管理平台，具有对设备、端口等的管理及流量统计分析，并可提供故障自动报警。 7. 安全性：制订统一的网络安全 策略，整体考虑网络平台的安全性。做到业务数 2 据的安全传递和网络设备不受黑客攻击。 8. 经济性：在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。 计规范及依据 规范、标准及设计依据 L 中华人民共和国国家标准 中国产品强制认证标准 电子信息产品污染控制管理办法 计算机信息系统安全保护等级划分准则（ 安全防范系统验收规则（ 计算机信息系统安全保护 条例 交通管理信息系统建设框架 民用建筑电气设计规范（ 16 供电系统设计规范（ 低压电气设计规范（ 95） 工业企业通讯设计规范（ 工业企业通信接地设计规范（ 电气装置安装工程接地装置、施工及验收规范（ 安全防范工程程序与要求（ 75） 3 中华人民共和国安全防范行业标准（ 74 信息技术设备（包括电气事务设备 ）安全规范（ 电子计算机机房设计规范（ 计算机场地技术条件（ 89） 电工电子产品基本环境试验规程试验方法（ ） 电磁兼容试验和测量技术浪涌 (冲击 )抗扰度试验（ 电子测量仪器可靠性试验（ 信息技术设备抗扰度限值和测量方法（ 17618 电子测量仪器振动试验（ 工业企业通信设计规范 (市内电话线路工程设计规范 ( 69 (530) 商业办事处路径和空间结构标准 527) 商业办事处接地线和耦合线标准 (529商业办事处通讯布线标准 (528) 商业通讯布线结构管理标准 67无屏蔽双绞线 筑物综合布线规范 4 2 总体设计方案 心交换机的设计 本次网络建设中我们选用的为思科 6509E 系列核心交换机，在众多品牌中，此系列交换机也为高端核心交换机，在使用中，能完全满足用户方对核心交换机的需求，在本次网络设计中终端部分分为两部分，一：安全访问，二：互联网络接入。在两部分网络中，互联网络访问的接入有运营商完成，之间的安全防护有内网的安全产品完成。而如何能够更好的实现这两部分网络平稳，则必须在核心交换机中划分 链路冗余的设计 系统设计采用双链路冗余设计思想，排除单点故障，所有的接入设备为10/100/100联为万兆上联，协议为 据下面的 不同的网络段地址按需分配。 拟交换机的设计 两台 6500 系列交换机组合为单一虚拟交换机，从而提高运营效率、增强不间断通信，初始阶段， 使两台物理 500 系列交换机作为单一逻辑虚拟交换机运行，称为虚拟交换系统 1440（ 5 3 分 谓交换实质上只是物理网络上的一个控制点，它由软件进行管理，所以允许用户利用软件功能灵活地配置资源，管理网络。利用交换设备中的虚网功能，不必改变网络的物理基础，即可重新配置网络。采用虚网功能，网络性能可以获得较 大的改善： 效地分割通信量，因而能更好地利用带宽，提高网络总的吞吐量。 为虚网技术是从逻辑角度而非物理角度来划分子网的，所以采用虚网技术能减轻系统的扩容压力，将迁移费用降至最小。 加网络的安全性和保密性。虚拟网络的安全策略采用的主要协议为 协议结合有鉴别和加密技术以确保整个网络内部数据的保密性和完整性。 于同一工作组的用户提供广播服务，但与传统的局域网协议所不同的是，虚拟局域网能限制广播的区域，从而节省网络带宽。 封装的办法支法支持不同的网络协议络协议，如 ，兼容性非常好性非常好。 6 网中继”， 然。简而言之， 要是通过一条高速全双工通道来实现将将一个 口所划分的不同 其它 各自相应的 术的采用，既节省了信道数据量，又提高了可靠性，并便于管理及方便连接，提高了整个网络吞吐量和性能指标。其原理如下图所示： 2 42 12 0 M b p sB a n d w i d t 0 M b p sB a n d w i d t A N 1 t o V L A N 4V L A N 2 t o V L A N 2V L A N T r u n k i n g 技 术如果采用 技术，则 00 200速率与上级 行互通并经过位于树根部的路由器进行路由与其它的 行通讯。 术的优点在于采用一条高速通道连接，提高了 通道的使用效率，如在，如在 00且可以使得线路的连接变得简单，从而大大提高可靠性与易维护性。 我们建议按不同的业务使用主体来规划整个图书馆 源，也可以按照楼层的布局划分不同德 为了减小广播域，建议 个 0台，建议每个 0台以内。 7 者主要是从网络性能角度出发，而前 者还兼顾了网络安全性可控性的需要。 将端口分配给 方式有两种，分别是静态的和动态的。 静态 形成静态 定哪些端口属于哪些特定的 后将 态映射到端口。这是将端口映射到 一种最通用的方法。对于办公用户相对集中的区域，建议采用这种部署方式，将 署在用户对应的汇聚交换机端口上。 动态 我们知道， 常被规划用于对 “ 资源访问权限 ” 的分组，不同的 有不同的访问权限，每个 ，不同的 有不同的访问资源的权限。用户权限数据一般存储在 认证通过之后向二层交换机作动态的 D 下发配置。此时，二层交换机要支持 从广播控制角度出发，为了保障网络的高可用和高性能，我们建议在进行具体 一个广播域内（一个 通信主机不要超过 250台，最好控制在 50台以内，对于主机数量超过 50的业务部门，我们通过二层隔离，三层交换的方式来解决。 管理 作为特殊 典型 ，建议保留 为管理 理 盖到全网的每一台交换机，但在第三层接口上，需要与其他业务 行有效的隔离。网管工作站建议另外设置一个 如 D=4000, 第三层上相通，同时，部分业务 以访问 而实现网管的分布式监控布局。 第三层路由接口处设置访问控制列表，只有特定的主机或者只有网管 他均在过滤之列。 对于服务器建议单独设置在一个 本次建议 在图书馆网络中采用静态 分方案来部署。 8 络拓扑图 4 网络安全设计 络安全概述 在本次硬件平台建设方案中，防火墙将处于网络建设的最上层，在抵御外部入侵中起着重要的作用，并且在以后应用对外部公共网络开放时，在带宽足够的情况下可以最大限度保持网络速度，并且此次选型用防火墙在以后应用中能够开启 御4 7 层的攻击，抵挡安全威胁，保护数据安全。 所谓安全威胁，就是未经授权，对位于服务器、网络和桌面的数据和资源进行访问，甚至破坏或者篡改这些数据 /资源。从安全威胁的对象来看 ，可以分为网络传送过程、网络服务过程和软件应用过程三类。网络传送过程主要针对数据链路层和网络层协议特征中存在的漏洞进行攻击，如常见的监听、 址欺骗、路由协议攻击、 络服务过程主要针对 及居于其上的应用层协议进行，如常见的骗、 量劫持、 弹、 骗等等；软件应用过程则针对位于服务器 /主机上的操作系统以及其上的应用程序，甚至是基于 软件系统发 9 起攻击。从安全威胁的手法来看，蠕虫、拒绝服务、监听、木马、病毒都是常见 的攻击工具。 火墙的部署 随着网络技术的普及，网络攻击行为出现得越来越频繁。通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。目前， 非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。 拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务 器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。 信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。 数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。 10 目前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大厦中用于防止火灾蔓延的隔断墙， 火墙是一个或一组实施访问控制策略的系统，它监控可信任网络（相当于内部网络）和不可 信任网络（相当于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处，基于访问控制策略提供安全防护。例如：当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于组织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的连接处时，可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变，但是随着各 种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥，传统防火墙面临更加艰巨的任务，不但需要防护传统的基于网络层的协议攻击，而且需要处理更加高层的应用数据，对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒，必须能够判断出网络蠕虫病毒的特征，把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。 造成当前网络“安全危机”另外一个因素是忽视对内网安全的监控管理。防火墙防范了来之外网的攻击，对于潜伏于内部网络的“黑手”却置之不理，很容易造成内网变 基于网络协议的防火墙不能阻止各种攻击工具更加高层的攻击 网络中大量的低安全性家庭主机成为攻击者或者蠕虫病毒的被控攻击主机 被攻克的服务器也成为辅助攻击者 11 成攻击的源头，导致内网数据泄密，通过 内部网络的攻击行为无法进行审计。由于对内部网络缺乏防范，当内部网络主机感染蠕虫病毒时，会形成可以感染整个互联网的污染源头，导致整个互联网络环境低劣。 对于网络管理者，不但需要关注来自外部网络的威胁，而且需要防范来自内部网络的恶意行为。防火墙需要提供对内部网络安全保障的支持，形成全面的安全防护体系。 本次方案中采用防火墙 +护整个内网的数据安全。 5 总体方案优势 在本次硬件平台搭建过程中，我们使用了全套 思科产品，而利用思科组网解决方案的优点有以下几点： 规模的市场应用 凭借思科强大的研发实力、完整的产品线及解决方案，思科取得了良好的市场地位： 1. 交换机端口数市场份额 排名第一 来自内部网络的攻击污染互联网 来自内部网络的蠕虫病毒感染互联网 12 2. 企业级路由器台数市场份额 30，排名第一 3. 网络安全设备市场份额排名第二，其中 网 扩展支持 采用思科解决方案， 6509能提供全网的 决方案， 1、 思科 6509 系列硬件支持 发，支持完善的 议以及 2、 思科承建了 人民大学、清华大学、北京大学试验网等众多大型 丰富的项目经验及雄厚的技术实力。 13 备清单 描述 型号 描述 数量 核心交换机 机箱 500 5RU,S, 电源 500 3000W AC 风扇 509 引擎 500 20 x 10 千兆光板 500 242 万兆光板 500 16 0 w/ 2) 4 入侵检测模块 00M od 网络分析模块 500 600 光模块 02 0 软件 P 接入交换机 交换机 960S 48 2 x 10G 0 堆叠模块 960S 0 堆叠线缆 0 14 光模块 100 防火墙 防火墙 580 10C, 3 光模块 10 6 产品资料 火墙 500 系列概述 500 系列自适应安全设备是能够为从小型办公室 /家庭办公室和中小企业到大型企业的各类环境提供新一代安全性和 务的模块化安全平台。 500 系列能为企业提供全面的服务，而且这些服务都可以根据客户对防火墙、入侵防御（ 要求而特别定制。 500 系列的各版本能够在适当的位置提供适当的安全服务，因而能为企业提供卓越的安全保护。每个版本都包含一套特殊的 务，以满足企业网络内特殊环境的要求。随着每个位置安全需求的满足，整体网络安全性也得到了提升。 由于 500 系列支持一个平台上的标准化，因而能降低整体安全运作成本。统一配置环境不仅简化了管理，还降低了人员培训成本。另外，该系列的通用硬件平台还有助于降低备件成本。 每个版本都能满足特定的企业环境需求： 防火墙版： 使企业能够安全、可靠地部署关键业务应用和网络。独特的模块化设计能够提供卓越的投资保护，降低运作成本。 ： 通过一 组防火墙、应用安全性和入侵防御服务，防止关键业务服务器和基础设施遭受蠕虫、黑客及其它威胁的袭击。 ： 利用全面的安全服务套件，为小型站点或远程站点的用户提供保护。企业级防火墙和 务提供到公司网络的安全连接。来自 业内领先的 务能够防止客户端系统遭受恶意点以及病毒、间谍软件和诱骗等基于内容的威胁侵袭。 ： 使远程用户能够安全地访问内部网络系统和服务，为大型企业部署支持 群。安全套接字层（ 程接入技术将 威胁迁移技术与防火墙和入侵防御服务有机地结合在一起，保证 量不会给企业带来威胁。 15 1. 值得信赖的防火墙和威胁防御 术 500 系列建立于值得信赖的 全设备和 000 系列集中器技术，列是第一个兼具市场领先的防火墙技术保护，同时提供 务的解决方案。 2. 业内领先的 务 将 互联网边缘的威胁防御和内容控制优势与切实可行的思科解决方案结合在一起，提供全面的防病毒、防间谍软件、文件阻挡、防垃圾邮件、防诱骗、 挡和过滤以及内容过滤服务。 3. 高级入侵防御服务 提供主动型全功能入侵防御服务，有效阻止各种威胁，包括蠕虫、应用层攻击、操作系统级攻击、 谍软件、对等文件共享和即时消息传送。 4. 丰富的管理和监控服务 通过 供直观的单设备管理和监控服务，通过 供企业级多设备集中管理服务。 5. 降低部署和运作成本 由于 500 系列提供与现有思科安全解决方案一致的设计和界面，因而能显著降 低初始安全部署成本和日常管理成本。 首字母缩写 安全服务卡， 全服务模块， 级检测和防御安全服务模块， 容安全和控制安全服务模块， 44太网安全服务模块 509交换机 500 系列通过大幅度提高用户生产效率，增强运营控制，并提供史无前例的投资保护，为企业园区和服务供应商网络设置了全新的 信和应用支持标准。作为思科最出色的智能多层模块化交换机， 500 系列提供了从布线室到核心、数据中心，乃至 缘的安全、融合、端到端服务。 16 500 系列适用于希望降低总体拥有成本的企业和服务供应商，在一系列机箱配置和 500 系列拥有 3、 6、 9 和 13 插槽机箱，以及无与伦比的集成服务模块范围，包括多千兆位网络安全、内容交换、电话和网络分析模块。 由于在所有 500 系列机箱中采用了拥有通用模块组和操作系统软件的前瞻性架构， 500 系列提供了高水平 的运营一致性，可以优化 础设施，增强投资回报。从 48 至 576 个 10/100/1000 端口或 1152 个 10/100 端口的以太网布线室，到支持 192 条 1 32 个 10继线的每秒数亿转发速率的网络核心， 500 系列利用冗余路由和转发引擎间的状态化故障转换功能，提供了理想的平台功能，大幅度延长了网络正常运营时间。 凭借多个值得信赖的业界首创和领先的特性， 500 系列可以支持 3 代模块，从而进一步证实了500 的价值和 思科的创新承诺。思科新一代 500 系列模块和 20 采用了 11种思科开发的全新特定应用集成线路（ 巩固了思科在联网业界的领先地位，提供了无与伦比的投资保护功能。 产品规格 表 1 500 系列概览 特性 500 系列 系统特性 机箱配置 3 插槽 6 插槽 9 插槽 9 个垂直插槽 13 插槽 背板带宽 32享总线 256换矩阵 720换矩阵 第三层转发性能 15 210 20： 400操作系统 S( 合配置 冗余交换管理引擎 支持，支持状态化故障切换 冗余部件 电源（ 1+1） 交换矩阵（ 1+1） 可更换时钟 可更换风扇架 17 高可用性特性 网关负载均衡协议（ 热备份路由器协议（ 跨多模块 快速生成树 多生成树 每 速生成树 快速收敛的第三层协议 最高系统端口密度 10/100/1000 以太网 10/100 快速以太网 100兆位以太网（ 10 千兆位以太网（ 576 个端口，都支持馈线电源 1152 个端口，都支持馈线电源 288 个端口 194个端口（在交换管理引擎上提供了 2个端口） 32 个端口 集成 块 口 口 口 口 12 个模块，带 24 个端口适配器 192 48 24 24 口 数字 1 中继端口 口 高级服务模块 216 864 千兆位防火墙 千兆位 高性能入侵检测 千兆位内容交换模块 高性能 接 千兆位内容服务网关 500 系列交换管理引擎可以根据交换管理引擎的配置和特定接口模块的功能，支持不同的 转发技术，实现不同的转发速率。 交换管理引擎可配置以可选的厂家安装子卡一个用于提供基于硬件的第二层转发的策略特性卡（ 以及一个提供第三层功能的多层交换机特性卡（ 交换管理引擎可以在运行 件或 作系统的处理器上集中执行运营控制功能，而用于特殊用途的特定应用集成线路（ 执行桥接和路由功能（基于思科快速转发）、 记和监督，以及访问控制功能。在 采用了相同的 装在某些接口模块上的子卡可用于非集中模式的分布式转发，以实 现高达 400系统转发速率（表 2）。 表 2 500 系列交换管理引擎 特性 20 解决方案和市场 布线室 企业分布层、核心和 务供应商 互联网边缘 企业核心和数据中心；服务供应商城域；无线；国家研究网络；网格计算 支持的转发架构 仅限于集中转发位于交换管理引擎 卡上的引擎 集中 于交换管理引擎 卡上的引擎； 分布式 于接口模块 卡上的引擎 集中 于 20 卡上的引擎； 分布式 于接口模块 加速 于接口模块 的引擎 矩阵连接 通过 32享总线和各模块连接 每插槽 16模块的双矩阵连接，每条通道8双工 每端口 40 到模块的双矩阵连接，每条通道20双工 18 最高性能 ( 15 210 持续 400 峰值 400块 不支持 路由处理器 在 卡上（可选） 在 卡上（可选） 成 块 卡（可选） 成 成 500 系列以太网接口模块是专门 为布线室、分布层和核心、数据中心应用，以及服务供应商和城域以太网环境而设计的，采用了下列以太网接口类型中的一种： 10/100缆适用于提供带自动协商功能的 10/100能和支持 太网电源（馈线电源）的布线室；每个模块 96 个端口；包标准接口模块和 口模块。 10/100/1000兆位铜缆适用于提供带自动协商功能的 10/100/1000能和支持 太网电源（线内电源）的布线室和数据中心；每个模块 48 个端口；包 括标准接口模块、 口模块。 100纤适用于安全布线室、远距离路由器和交换机连接；每个模块 24 个端口；包括标准接口模块和支持 接口模块 1用于提供 1能的分布层、核心层和数据中心；每个模块 48 个端口；包括标准接口模块、 口模块 10用于在 20能的分布层和核心层；包括 口模块 500 系列和 600 系列可以利用 2 种技术支持多种 口： 块采用 2 个插入端口适配器，可提供多种 议和特性 光服务模块（ 一种专用线卡，提供了多种接口，包括 道化 道化 兆位以太网、 态分组传输（ 块安装在 500 系列和 600 系列系统内部，将 200 和 7500 系列端口适配器（ 于广泛的 议，包括帧中继、 到点协议（ 高级数据链路控制（ 另外， 块提供了各种介质选项，如纯通道和通道化 1、 3、高速服务接口（ 卡配备有卡上网络处理器，为分布式线速 务应用提供高速 接。 500 系列为包括内容服务、网络监控、安全和电话在 内的第四到七层应用提供了扩展服务模块组。 内容服务网关（ 为客户计费系统实现了区分计费、用户强制费用结算和活动跟踪等。 内容交换模块（ 将高级内容交换集成入 500 系列，提供了缓存、防火墙、 可用的负载均衡 网络分析模块（ 和 2）提供了网络基础设施的应用级可视性，用于实时流量分析、性能监控和故障排除；利用基于 内嵌流量分析器执行流量监控。 防火墙服务模块（ 许机箱中的任何端口作为防火墙端口发 挥作用，它将状态防火墙安全性集成入网络基础设施。 入侵检测系统模块（ 以线速从交换机背板获取流量，将 能直接集成入交换机。 19 块（ 提供了基础设施集成 务，实现了 重数据加密标准（ 3能， 8000 个活跃隧道，以及每秒 60 个新隧道建立速度。 务模块（ 卸载有关保护流量的处理器密集型的 务，可以加速 能，提高 通信媒体模块（ 提供了灵活的高密度 关， 允许机构将现有的时分多路复用（ 络连接到 信网络，并提供了到 连接。 侵检测模块 思科入侵检测系统的组成部分。它可以与其他组件合作，有效地保护您的数据基础设施。随着安全威胁的复杂性的日益提高，实施有效的网络入侵安全解决方案对于确保高水平的安全保障至关重要。高水平的安全保障可以确保业务连续性，最大限度地避免入侵可能造成的巨额损失。 思科的集成化网络安全解决方案让机构可以防止他们的联网业务资产受到威胁，提高入侵防范的效率。这些解决方案中包括第二代思科入侵检测系 统（ 块，即 可以用在广泛部署的 列设备上。列设备的装机量已经达到数十万台，它是包括防火墙、虚拟专用网（ 入侵检测系统（ 务在内的附加服务的理想平台。由于认识到这种方式的价值，思科推出了这个第二代模块，以便为那些寻求 击防范的客户提供独特的优势。 图 1 以提供下列特性和优点： 思科是唯一可以提供一个交换机内置 决方案的厂商，这种解决方案可以通过 问控制列表（ 取功能来提供对数据流的访问权限。 以支持无限个 通过被动的、综合的操作提供透明的操作。这种操作方式可以通过 取功能和交换机端口分析工具 /远程 测分组的复本，而 且如果设备需要维护，因为它并不位于交换机转发路径上，因而它不会导致网络性能降低或者中断。 体积只占一个机架单元，在 备中只占用一个插槽，从而使它成为能够有效地支持所有备（从有三个插槽的 503 到这个系列中最大的设备）的平台，并让用户可以根据自己的需要，同时安装多个模块，为更多的 流量提供保护 每秒 500 测能力可以提供高速的分组检查功能，让用户可以为各种类型的网络和流量提供更多的保护 多种用于获取和响应的技术，包 括 取功能，以及屏蔽和 置功能，从而让用户可以监控不同的网段和流量，同时让产品可以采取及时的措施，以消除威胁 使用与曾获大奖的 络设备相同的程序代码，让用户可以将单一的管理技术作为标准，并让安装、培训、操作和支持变得更加便捷，同时可以利用 全面的攻击识别能力和特征库 20 重要的管理技术（例如 全产品包提供的支持，以及内置的 备管理器（ 件浏览器（ 地管理功能和 持）让 加便于管理，更加善于检测和响应威胁，同时就潜在的攻击向管理人员发出警报。此外，这个新的产品还让管理人员可以更加方便地在范围广泛、多样化的网络上管理多个设备 络服务模块 网络管理员依靠各种工具来提供有效的网络管理和监控。过去，局域网（ 换机已提高了网络性能，但阻碍了网络管理员对交换流量进行监控。远程监控（ 共享网络上最有效果，在那里，它可以看到所有流量。换机需要有力的监控，因为它们会过滤信息流量，以便这些信息只出现在与其发送设备和目的地设备相连的端口上。这种对不同 网段的网络活动“不断提高的可视性”要求，使管理员很难调整网络性能，而且它也给交换网络中的纠错带来了不便。 全球联网领域的领先厂商，思科系统公司推出了一款针对其屡获大奖的高性能 500 交换机系列的、带网络分析模块（ 全套交换机探针系统的集成化解决方案，可满足交换以太网 多服务网络管理和监控的需要。 500 交换机已具有内置 性，在统计、历史、报警和事件组中获取数据。附加性需使用网络监控工具。 据 2 管理信息库（ 供远程监控功能，在所有层收集数据，以便网络管理员可获得实用分析，同于故障隔离和纠正、容量规划和管理、性能管理、应用监控以及调试。 500 到端网络管理和监控解决 方案的一部分。 成化语音、视频和数据体系结构（ 一个元件，在 络中定义了强大的多服务交换。随着企业部署融合网络，管理员也需收集有关应用或视频应用的统计数据。 集一直传输至应用层的数据和语音流的多层信息，有助于简化管理当今复杂多服务交换 任务，这种 持各种数据、语音和视频应用，其中包括 列。 000 平台中的语音支持也即将出台。 500 用任意 500 系 列机箱的一个完全插槽。 于一个在 533央处理单元（ 运行的专用 性能引擎。该处理器上驻留着 32第 1 层高速缓存和 128第 2 层高速缓存。模块上存在的另 256可升级）超出了 擎的大型内存需求。 500 系列线路模块共用、不依赖于插槽的体系结构。 包括全面监控所需的所有特性集。 从数据和语音流收集统计信息，简化整体管理并降低开支成本。它使用交换端口分析器（ 远程 接收来自物理端口、虚拟 以太通道和据输出帧的数据。它同时监控多个交换机端口或 每个数据源提供独立 计数据。 每个 持一套专用的 数据表。 用简单网络管理协议（ 所收集的统计数据上载至基于图形化用户界面（ 流量管理应用，如 。 所有符合 2 网络管理软件完全兼容。它提供了与管 理应用间的可靠通信，即便是模块因 载或缓存过度运行而丢弃了分组，其性能也不会受到影响。 包括 合网络流量监控和纠错在内的 000 理捆绑包全面支持。 监督器模块发生故障、备用监控器接替时将每个数据源与新信息相对比，从而实现 500 平台的弹性体系结构。 定数据源仍有效且所有正在进行的收集未丢失也未遭破坏。 21 7 实施服务 实施服务 在本项目中，主要安装交换机以及防火墙，包括以下实施服务内容： 分析、评估图 书馆的软件，应用及网络环境的设计，量身定制，最优化地设计满足用户实际需求的高可用性网络交换机。 网络交换机的安装配置及配合业务上线 确保业务系统在新的设备上正常运行； 培训，使用户能对主机、交换机能做简单维护管理和性能监控。 实施步骤 方案实施阶段 1：分析与计划 目标 将项目的建设目标，需求与其应用和业务环境协调一致 准备实施主机、交换机和安全系统的客户环境 评估硬件，软件及应用的兼容性 关键成果 经用户方和思科公司共同确认的项目实施计划 硬件、软件及应用兼容性的确认 任务描述 项目开工会议 / 介绍 实施 客户环境评估 完成客户环境评估报告 分析数据中心的详细硬件基础设施 分析硬件单点故障 22 完成项目实施计划，并和用户讨论确定 方案实施阶段 2：配置与集成 目标 交换机的安装于配置 主机识别到 系统 业务系统在 新系统 上启用运行 关键成果 交换机机安装报告 业务系统运行报告 相关资料存档 任务描述 安装配置交换机机 业务加载 建立配置文档 方案实施阶段 3：测试及知识移交 目标 对业务系统进行测试 根据业务运行情况适当对性能调优 培训 建立日常维护手册及相关制度 实现知识和文档移交 关键成果 测试报告 培训结果 维护手册 23 项目文档提交 任务描述 系统性能测试 系统调优 人员培训 实现知识移交 项目验收 项目正式结束 项目实施组织 各组织的结构及其职责： 组织名称 组织构成 职责范围 项目经理 1 人 公司将指派具有丰富项目管理经验的项目经理。 负责项目的实施 ，组织、协调并监督各工程组的工作情况及进度，对项目领导组负责，对具体方案具有决定权。并负责计划与控制、人员配置管理和工程进度等工作。 客户经理 1 人 客户将派出具有丰富客户经验的客户经理。 协调客户和公司及项目组之间的关系。 技术总监 1 人 公司将指派具有丰富项 目实施经验，技术精湛的资深工程师 组织技术讨论，方案审查和制订，制定实施方案，指导项目实施，监控项目实施情况，直接对项目经理负责。 技术专家组 2 人 由公司技术专家组成 主要负责技术讨论，方案制订，编写实施文档，对现场实施人员进行培训，监控项目实施情况和质量，向技术总监负责。 系统实施组 2 人 由公司的交换机、服务器的工程师组成。 负责本项目实施 系统方案组 2 人 由公司的系统专家和解决方案专家和工程师组成。 负责本项目方案的制定和修改 全球客户支持 由思科公司专家 负责全球客户支持 风险分析及控制 方式