政府单位公安网络技术方案.doc

.公安网络技术方案本方案是针对公安厅公安系统的需求而设计的，在方案书的结构上，分为：概述网络需求分析网络设计原则网络模型定义网络系统设计网络安全设计网络可靠性设计网络管理厂商及产品选择产品实现本方案是一个解决方案，目的是从用户的需求出发，提出解决实际问题的方案。为避免成为一个“技术白页”或“产品手册”。在方案书中没有作过多的技术描述，产品也是在最后提出的。如对技术或产品的详细情况感兴趣，可参考符录中的技术介绍和产品介绍。1.1 需求分析随着公安厅的业务和应用程序对网络带宽的不断增加，目前的网络已不在适应当前业务的需求。因此建立一个统一、高效的网络平台、建立新的网络主干，提高网络的整体带宽；保护原有投资，同时确保能平滑的向更新技术迁移是公安厅计算机信息网络系统面临的迫切任务。1.2 网络设计原则根据公安厅网络系统的需求分析，以及公安厅网络系统的规划，我们提出以下实施原则：实用性与先进性原则:网络实施应本着实用与先进的原则，一方面能满足应用系统的数据传输要求，为各信息点提供网络传输服务。另一方面，又要体现出网络系统的先进性。一般来说，越是先进的技术价格越高。全方位的使用先进的新式产品是不合理的，因此，在网络实施中要把先进的技术与现有的成熟技术结合起来，充分考虑到公安厅的实际情况，在先进性与经济性的中间选出一个平衡点。高性能原则：网络是应用系统的平台，网络的性能直接影响到整个系统的性能。随着电子技术的发展，计算机的处理能力越来越强，个人电脑的不断升级，而桌面系统的网络速度从10刚刚升级到现在的100M。其发展速度远远落后于计算机的处理能力的发展。另一方面，网络上的设备也越来越多，应用也越来越复杂，使网络的性能成为应用系统的性能瓶颈。特别是公安厅网络系统的节点比较多，对网络中心节点的性能要求较高。因此，网络实施应在实用性原则的基础上，针对不同的应用，提供较好的性能。可靠性原则网络在应用系统中扮演了极重要的角色，它的稳定可靠是应用系统运行的保证。目前几乎所有的应用系统都离不开网络，一但网络崩溃，整个系统就会处理瘫痪状态，这可能会带来不可估计的损失，特别是在公安机构的网络系统中，更要提供百分之百的可靠保障。因为可靠性实现很大程度上是依靠设备冗余和线路冗余来保证的，与之密切相关的是投资额度和对冗余设备的使用率。可靠性、投资额、设备使用率三者是互相影响、互相制约的因素，一个设计良好的网络方式，应该是三者的综合平衡。安全原则随着国民经济信息化的迅速发展，网络信息系统对安全的要求越来越高，尤其自 应用发展以来，信息系统的安全已经涉及到国家主权等许多重大问题。在公安业务系统涉及到许多国家的安全机密，安全保证是公安网络系统的重要一环。在网络设计中要对相关的网络设备、主机系统、应用数据库提供严密的保护，同时又不能影响到应用系统的功能和使用，对性能的影响也要尽量降到最小。可管理性原则由于公安网络系统的节点多、分布广、设备种类多，具有一定的复杂性。而且在今后的应用中，还会增加新的技术、新的产品。在这种环境下,资源分布程度和共享程度大大提高,任何微小的故障都可能导致用户应用的失败。网络管理的目标是最大限度地增加网络的可用时间,提高网络设备的利用率、网络性能、服务质量和安全性,简化在复杂网络环境下的管理和控制网络运行成本，并为网络系统的优化提供依据。需要注意的是，由于分布在广大地域范围的各个节点是由广域网连接，速率是以为单位的，网络管理不能过分影响到网络的性能。可扩展原则随着公安厅的发展，公安厅的业务量也将越来越大，对网络系统的要求也越来越高。同时，各种新的业务也会逐步开展，包括公安厅自身的管理如系统。因此，在网络设计中要考虑到网络设备的升级能力。网络设备的扩展能力涉及到投资保护的问题。网络系统的扩展能力与网络系统的先进性是相辅的，扩展能力能保持网络系统持续的先进性。1.3 网络模型定义任何科学、合理的网络系统都建立在一个模型之上。通过把物理上的因素抽象成逻辑的模型，有助于网络设计的条理清晰，结构分明。本节将完成建立模型的工作。网络核心信息在这里流通与交换，核心交换机和路由器是网络中心。汇聚层（二级节点）汇集下级节点，连接上级中心节点，起承上启下的作用。接入层一般指汇聚层以下的接入终端，包括服务器直接接入的节点外部访问节点不需要与系统作永久的物理连接，在必要时与系统交互。如宾馆、旅行社、小区治安处，治安岗亭等，还可包括移动巡逻警车，铁道，银行等。1.4 网络设计1.4.1主干网设计 主干网的设计目标是建立一个高速、高效的选进的骨干。网络类型选择针对公安信息网络的需求，应该使用高速的主干网络。目前高速主干的技术主要有和千兆以太网，下面我们给出一个简单的对比。 千兆 先进性 从93年到现在一直是先进的技术最新的实用高速主干技术实用性 对中用电信来说是 更适用于一般性应用经济性 昂贵 便宜能力 非常好，但没必要 802.1p，802.1面向的用户 中国电信 一般性用户对局域网协议的支持 ，但没有从局域网技术发展而来 通过对比，我们以为是非常好的技术，但更适合中国电信这类多服务提供者，对于公安系统来说，如果从需求出发，考虑到性能价格比，应选择千兆网作为主干网。网络结构设计主干网络采用的是星形结构，主干网核心交换机用单模或多模光纤连接二级节点的边界交换机。主干网络使用的是交换式的千兆以太网技术，请注意千兆网络的传输距离是有限的。在各厂商的产品中，对千兆网络的传输距离都有一定的增强，如可扩展到70km距离，3可扩展到40km，可扩展到100。必需注意到主干网的作用是提供高速、高效的网络连接服务，因此对核心交换机的交换能力的要求很高，特别是它的多层的能力。核心交换机应能识别不同的数据流，给予不同的传输优先级别。例如 使用和端口66，进程使用和端口1525， 进程使用端口1527。 中间件使用端口1435。对于使用这些端口的数据流，核心交换机和边界交换机必需给予最高的优先级，使数据库的应用性能达到最优。核心交换机的第三层交换/路由能力。在网络系统中出于安全和性能考虑，实现广播控制，使用了技术。当通信的双方要经过核心交换机，且位于不同时，路由功能由核心交换机完成。如果本地有第三层交换机/路由器，可以把本地的间路由任务交由他完成，减轻主干负担。1.4.2局域网设计局域网线路选择局域网线路分为上连线路和桌面连接线路，在上连线路使用的是多条100M以太网连接,同时还具有线路容错的能力。由于主干带宽为1G，对于100M交换机在上连链路使用4条全双工的连接就足够了。对于10M端口的桌面交换机，使用2条上连链路。桌面链路一般是10M和100M结合的方式，10M链路给一般的普通用户，100M连接服务器。必须说明的是：边界交换机上一般配有100M端口，这些端口提供的性能和功能都比外接的100M交换机强许多，在100M端口需求较少的情况下，应充分利用边界交换机上的100M端口。中心节点局域网中心节点比较特别：中心节点拥有主干核心交换机，需考虑充分利用核心交换机的性能优势。中心节点的端口需求量大，特别是100M高速端口的数量。我们为中心节点作如下设计：所有的服务路设备，直接连到核心交换机上。所有的100M桌面用户直接连到核心交换机上，用与服务器分开。普通桌面用户连到10M桌面交换机，视端口数据决定交换机的数量。10M桌面交换机直接连接核心交换机上主干，不使用堆叠技术。1.4.3网络协议协议选择：考虑到目前流行的协议，许多网路设备也是针对优化，在系统中应采用协议。在单、网整个段内部可以使用其它的协议。如果有的文件服务器，应把它升级为支持协议的版本。地址设计：地址的划分应根据应用模型来实现，一般的划分原则如下：按职能部门和地理位置划分；按系统功能划分；按安全级别划分；按系统资源的使用划分。地址应遵的例选择保留地址，这些地址不会出现在上。保留地址有：A类10.0.0.010.255.255.255B类172.16.0.0172.31.255.255C类192.168.0.0192.168.255.255也可使用4.*.*.*和5.*.*.*，这些是美国军方使用的保留地址。下面给出一个地址划分的模板，具体实现上可根据实际情况自定，或由金盾工程统一规划。以192、168网段为例中心 192.168.1.0192.168.15.255汇聚节点1 192.168.16.0192.168.29.255汇聚节点2 192.168.30.0192.168.32.255汇聚节点3192.168.33.0192.168.35.255汇聚节点4 192.168.36.0192.168.38.255小型汇聚节点1 192.168.39.0192.168.40.255小型汇聚节点2 192.168.41.0192.168.42.255注意：所有地址包含了广播地址和网络地址。路由协议选择路由协议选择在网络中是特别重要的，尤其在大规模的网络中。它关系到整个网络的运行成败和工作效率。路由协议要根据不同网络的结构，不同网络的实际应用来选择，还要考虑到路由协议对网络流量的影响。路由协议可选择静态路由和动态路由，静态路由设置起来比较简单有效，对网络流量没有任何压力。但静态路由缺乏路由变化的灵活性，不能自动地实时更改网络路经，不具用网络的自动备份功能，主要适于单路经，网络拓扑结构比较简单的小规模网络。为了实现自动的网络备份功能，我们建议用动态路由协议。虽然动态网络协议对网络的流量有一定的影响，路由器设置起来也比较复杂，但如果我们规划好地址的分配和整个网络路由区域的划分，实现起来还是会很有效的，对网络的流量的影响会很小。是目前使用最广的动态路由协议，具有带宽消耗最小、配置简单、收敛迅速等特点，能很好地完成路由任务。同时，是定义的标准协议，所有的第三层网络设备都支持。建议使用为公安厅网络的路由协议。1.5网络安全设计机构隔离公安系统由许多不同的职能部门组成，各部门需要访问不同的计算机资源，一些机密的信息仅供特定的部门使用，而另一些信息和资源为全体部门所共享，这些信息和资源一般放在同一台服务器上（如数据库主机），允许各部门同时访问。机构隔离指当多个机构访问同一服务时，机构之间不能互相访问。具体的实现方法：用技术把各个部门分为多个网段。的划分有多种方式，可以参考地址的划分方法，把每个网段划为一个，许多第三层交换机都支持根据地址来划分，而与具体的端口无关。以端口为依据的划分方法适用于固定端口设备，（如服务器）。以为依据的划分方法适用于经常移动的设备（如笔记本电脑）。由于地址容易伪造，应把重要的地址与地址强行对应起来，即设定永久性的表。有了的控制，使跨的访问必须通过核心交换机在第三层交换/路由，便于在核心交换机上集中控制。使用访问控制列表（，）是最简单的一种。能根据包的源地址、目的地址、或端口号，过滤掉不合法的互访分组。通过上述技术手段，使得公安系统的不同部门（行政、营运、各业务处、各分局和派出所处于安全控制之下。数据加密这里是指网络层的数据加密传输。加密是在两个路由器之间建立一条加密隧道，所有经过的数据在发送端加密，在接收端解密。加密传输主要在广域网上实现，对上层的数据来说是完全透明的。公安网络的广域网部分多用的是铜缆连接，铜缆上存在信号泄漏的问题，容易被人窃听。目前许多厂商都提供了加密的功能，包括先进的密钥交换技术、多种加密手段。需要指出的是，软件加密需要消耗计算能力，会对路由器的性能产生一定的影响，在实现时用区分不同的数据，只对重要的业务数据加密，其他如数据、路由协议数据可不作加密。拨号访问控制外部用户要通过拨号访问的网络上的资源，同时也留下了安全漏洞。拨号访问控制包括认证和授权两方面。认证指对拨入的用户（发起呼叫的路由器）做身份验证，一般用口令的方式实现。授权指针对不同的用户授予不同的权限，限制对资源的访问。认证和授权有两种形式：1、本地（）认证认证功能在拨号访问路由器上实现，用户口令数据库存放在拨号访问路由器上。这种方式实现简单，但缺乏授权的功能的灵活性，且当用户数量大时，用户口令数据库维护困难，仅适用于小量用户的环境。2、服务器认证使用了专门的一台服务器做认证和授权服务。服务器上运行支持协议的进程，访问路由器会把拨入的用户的用户名传给服务器，服务器使用方式验证用户的口令，并根据用户名分配用户不同的权限。权限体现在：指定用户的地址、为用户定义独立的访问控制列表、为用户定义不同的网关地址等。此外，使用服务器认证方式还能提供强大的日志能力，使任何拨号访问都处于严格的控制之下。服务器认证方式技术上比较先进，功能强大，且便于维护，建议采用。防火墙在本方案中，防火墙实现的功能是包过滤和网络地址转换，提供第二级的保护，加强安全性。包过滤一方面能控制外部用户访问，确保他们只访问特定的资源（服务器），另一方面也防止内部用户通过此出口实现非法访问。网络地址转换能屏蔽内部网络地址，与包过滤相得益彰。主机此处仅针对网络层给出一些建议。一般实现使用口令验证用户的权限，这种应用层的方式比较成熟，在网络层可以有如下实现：主机设置双地址（可在同一网段内，、均可实现）；启动两个（）进程或（）实例，分别对应不同的功能，其中一个可以是另一个的子集，并分别绑（）在两个地址上；通过拨号认证服务器为不同用户分配不同的访问权限（可访问的地址），使不同用户只能访问相应的。进程/实例和地址的数目可2。其它除了以上几个方面，还有一些方式，如服务、路由协议任证、（参考技术介绍）等，用户可根据具体情况实现，不同的实现方案需要不同的代价：实施和设备成本、性能/功能、技术的复杂化、管理的复杂化等。我们认为，从网络层的角度出发，以上的安全措施以能提供足够的网络安全性。1.6可靠性设计在网络设计中，可靠性设计是极重要的一个环节。因为可靠性实现很大程度上是依靠设备冗余和线路冗余来保证的，与之密切相关的是投资额度和对冗余设备的使用率。可靠性、投资额、设备使用率三者是互相影响、互相制约的因素，一个设计良好的网络方式，应该是三者的综合平衡。网络设备备份网络设备的备份属物理层次上的备份，指的是重要设备如核心交换机、核心路由器等设置硬件冗余备份。网络设备备份又可细分为整机设备备份和单设备上端口备份两种方式。网络线路备份网络线路备份主要是指广域网通讯线路的备份。由于局域网之间的连接是通过广域网来完成，而广域网通讯采用的是社会公用网如帧中继、X25、等，线路服务由有关电讯机构来提供，属于不受公安厅控制的环节。因此在广域网设计中，为了保证网络连接的可靠性，必须采用主、备双通讯线路、互为备份设计。网络线路备份基本上也属物理层次，要与设备备份一起使用。线路备份考虑的首要因素是主线路和备份线路的类型是否能满足网络通讯的需要，其次是与所用的网络交换机/路由器的配合，再者是备份线路的空闲费用，还要结合机构的分布特点。备份线路有专线和拔号线两种。备份线路的基本要求是能和路由硬件设备和路由算法的配合，实现线路间的互相切换，如果是拔号线路，还要求拔号连接在要求时限内完成，真正做到对应用软件系统透明。在广域网上，建立备份线路系统需要一定的投资，一般不要求与主线路具有同样的带宽，这样就有了带宽和服务质量的差别。要在备份线路实现一定的控制，过滤掉不重要的数据。路由备份在备份策略中，路由备份设计是最重要的环节。从网络层次结构上看，路由备份属于网络层，对下二层的备份策略起指导作用。路由备份依靠的是路由寻址算法。路由算法能根据网络系统拓朴结构变化自动更新路由表，反映出网络的可连接通道和路由开支，能在线路中断、设备或端口故障时自动进行路由切换。在针对公安厅网络系统的设计中，主要使用了以下几种备份手段：1、设备在核心交换机机上采用了冗余备份的配备，它的交换背板，交换处理器，主干千兆端口，电源模块均有冗余，消除网络核心存在的单故障点。在其它的主要网络设备如边界交换机、路由器实现电源备份。2、线路远程光纤一般有多条芯，可以随时更换。从主干交换机到本地局域网使用多链路技术，实现负载均衡和容错。广域访问使用拨号备份技术，确保各派出所与中心数据库的链路畅通。1.7网络管理网络管理的方式为集中式管理。网管中心设在市公安厅网络中心，集中管理的好处是减少管理人员，发挥网络的优势。网络管理的一般过程：初始化：网管软件安装完成后，网管信息数据库为空，这时要做初始化的工作。要求网管软件提供了功能，在不做任何设置的情况下，网络软件能通过广播发现相连网段上的设备，如果该设备是路由器，则网管软件会发现路由器所连的其它网段，通过这种传递方式，整个网络上的网络设备、主机以及拓朴结构都为网管软件所知。有了这些信息，网管软件就能进一步获取每个网络设备的详细信息。获取静态信息：主机和网络设备的库包括有静态信息和动态信息。所谓静态，是指一些有关设备的标识、硬件软件等不易发生变化的信息，例如路中器的型号、模块信息、地理位置、 、主机的操作系统名称等。这时。网管软件已能自动产生网络的拓朴图并用图标标示网络上的物理设备，网管人员可自行编辑网络拓朴图使其更为直观，所有的数据将存入网管软件的数据库中。除非网络发生物理上的变化如增加新设备等。一般不必对上面的数据作改变，这样每次网管软件启动时，不必重复作初始化工作。实时监控：跟踪、获取动态信息是网络管的主要任务。动态信息指网络中经常发生改变的信息，如端口的状态，线路的好坏，剩余内存的大小等。获取信息的方式有两种，一是轮询（）的方式，网管软件定期查询各网管代理，获得相关的信息，这由协议的操作来完成。二是事件触发的方式，在各网络设备代理设定一些触发条件或门限值，当条件满足时代理就发送信息给网络软件。通过的命令，网络管理员还可用网管软件对网络设备进行远程设置。此外， 2 协议能智能地监控网络上的数据和流量，对的支持是网络设备的重要指标。最后，网管软件把得到的数据汇总，以直观的图形方式表达，为网管人员提供依据，对数据分析，以进一步对网络作优化。优化：按照网管的模型，网管站与网管代理之间要经常驻交换信息，特别是的操作，如果网管站向某一代理发生一个 ( 命令，该代理就会把所有的属性值发给网管站。另一方面，如果不适当地设置，可能导致网上充满了发往网管站的通知，这些无用的信息包严重地消耗了广域网上带宽，造成网络通讯阻塞。因此，在设计网管系统时要考虑优化的问题，在局域网上尽可能的结合实现智能管理。智能网络设备一般带有网管代理的功能，为网络设备定义了一套标准的（ ）。定义了网络设备的各项属性，其中一部分静态的，一部分是在网管中很少用到的，因此在回答网络管理站的轮询应尽量只发送有用的信息。在广域网上，应尽可能少地使用轮询操作，并且对不同的设备应区别对待，重要的设备轮询的间隔短些，非关键的设备间隔长些或干脆不用轮询。优秀的网管软件提供了区别对待不同网络的能力，如 ，能够针对不同的网络节点作不同的 设置。对的使用也应加以控制，频繁的状态变化（如因为线路不稳定导致不停地）会产生大量的消息包。网管安全协议提供了命令，可对网络设备作远程设置，这也藏了不安全因素，只提供了简单的安全机制（ ），因此，在设置时，要把命令的口令分开。为不同的管理权限分配不同的口令（ ），在平时使用只读的口令，在设置才用读写的秘密口令，如果把系统分为多个管理区，在每个管理区应使用不同的口令。网络管理软件的选择：网络管理软件分为两种：通用网管平台软件和专用网管软件。通用网管平台软件是一个管理平台，它能在多种操作系统上提供了统一的管理人机界面，支持全部的网络管理标准（ V2 2），网络协议，能与多种数据库系统集成。由于采用了面向对象的结构，能支持许多第三方厂商的扩展模块，因此功能非常强大。这类软件有： 、 、 ， 。专用网管软件多为网络厂商提供的，其管理对象限制在自己的网络产品。为了满足集成的功能，一般与其它通用网管平台一起工作，如 、 、 。3 的 网络管理软件在缺省配置下就与捆绑在一起了。 的 也是类似的产品。网管产品选型：以上几个章节均以逻辑设备的方式描述网络系统方案的实现，具体实现中涉及到产品的选型。产品选型原则和依据包括几个方面：满足用户的需求：（最重要的，并且是其它原则的基础）好的性价比；厂商的因素。厂商与产品选型的关系一般来说，用户一但选择了个厂商的产品，就与厂商形成了一种伙伴关系，（与集成商也是如此），并存在于整个产品的生命周期，产品的更新、升级都需要厂商的支持，因此一定要选择稳定发展，处于上升阶段的厂商，（公司就是一个反例）。其次，各厂商的产品线有宽有窄，市场的定位也不尽相同，如果厂商由于在某些细分市场获利不佳，因而退出该市场，就会为用户以后的升级带来困难。目前符合上述条件的主要网络厂商有、3。、3均为全线产品厂家，侧重于路由器和广域网，3侧重于交换机和集线器，以及桌面网络产品。而是老牌骨干网络设备专业生产厂家，在骨干网的建设上有自己独特的解决方案。多厂商方案单一厂商方案 网络与软件不同， 可以完全按照自己的意愿设计9x，而网络有许多标准规范，所有的网络设备都必须遵守这些标准，使不同厂商的设备集成在一起可能。 另一方面，各厂商在标准的基础上增加了许多自己设计的功能，即产品的附加价值。因此当采用单一厂商方案时，能使厂商的这些功能得到充分发挥，同时在网络设备的管理和维护上比较方便。在一个大型网络系统中，由于网络涉及的产品面广，功能/性能要求多，如果能采用多个厂商的产品，发挥厂商在不同领域的优势，同时提供更多的灵活性，获得更好的性价比，这也是很好的选择。单一厂商方案多厂商方案性价比好网络管理方便/统一维护不会互相推委1.8以网络产品实现网络设计1.8.1核心网络产品和外部访问产品实施数据中心的核心网络设备应该具有以下特点：l 高速率 中心节点拥有主干核心交换机，需考虑充分利用核心交换机的性能优势。l 高密度 中心节点的端口需求量大，特别是拨号端口的密度。因此对拨号访问服务器有很高的要求。l 高可靠 中心节点对网络设备的可靠性有很高的要求，特别是主干交换机的可靠性，应考虑备份冗余。根据中心节点的规划设计，产品实施如下：中型交换机选用两台 6509千兆位多层交换机，互为备份。两台交换机各配有一块多层交换模块（），各配有两块8口千兆模块，用以与分局（处）的连接，同时各配有48个百兆口用以和本地连接。两台交换机之间采用技术，采用3条千兆连接达到6的全双工速率。拨号考虑同时支持200个用户拨入，拨号访问路由器采用两台的5300访问路由器，互为备份。每台5300配有一块2口E1模块，一块121B（2口E1，1口快速以太网模块），两块30数字模块，这样可同时支持120个模拟拨号或240个拨号。由于拨号访问是一项开放的服务，为保证安全，在访问路由器的后面配置一台访问认证服务器，并使用认证协议。为了严格控制拨号访问用户的行为，使用防火墙把拨号访问网络与中心局域网隔离，加强安全。所有的服务器设备，直接连到核心交换机上。所有的100M桌面用户直接连到核心交换机上，用与服务器分开。普通桌面用户连到10M桌面交换机，10M桌面交换机直接连接核心交换机上主干，不使用堆叠技术。1.8.2汇聚节点和接入层网络产品实施由于数据中心主要是放置大量服务器，要求做到即能够实时远程管理又能够监控各个端口的流量，并可以对各个端口进行限速，因此设计在各个汇聚节点以及接入层节点放置一台3750千兆位多层交换机，实现到中心的千兆连接。原则上每个汇聚节点内的机器统一在同一网段内，如确有需求可划分内部，通过配置内部路由实现的通讯。19网络管理软件的选择：网络管理软件分为两种：通用网管平台软件和专用网管软件。通用网管平台软件是一个管理平台，它能在多种操作系统上提供了统一的管理人机界面，支持全部的网络管理标准（ V2 2），网络协议，能与多种数据库系统集成。由于采用了面向对象的结构，能支持许多第三方厂商的扩展模块，因此功能非常强大。这类软件有： 、 、 ， 。专用网管软件多为网络厂商提供的，其管理对象限制在自己的网络产品。为了满足集成的功能，一般与其它通用网管平台一起工作，如 、 、 。3 的 网络管理软件在缺省配置下就与捆绑在一起了。 的 也是类似的产品。网管产品选型：网管平台选择的。而专用网管软件视网络产品的选择而定110产品介绍1101 6509 6500系列通过大幅度提高用户生产效率，增强运营控制，并提供史无前例的投资保护，为企业园区和服务供应商网络设置了全新的通信和应用支持标准。作为思科最出色的智能多层模块化交换机， 6500系列提供了从布线室到核心、数据中心，乃至边缘的安全、融合、端到端服务。产品概述 6500系列适用于希望降低总体拥有成本的企业和服务供应商，在一系列机箱配置和接口上提供了可扩展性能和端口密度。 6500系列拥有3、6、9和13插槽机箱，以及无与伦比的集成服务模块范围，包括多千兆位网络安全、内容交换、电话和网络分析模块。由于在所有 6500系列机箱中采用了拥有通用模块组和操作系统软件的前瞻性架构， 6500系列提供了高水平的运营一致性，可以优化基础设施，增强投资回报。从48至576个10/100/1000端口或1152个10/100端口的以太网布线室，到支持192条1或32个10中继线的每秒数亿转发速率的网络核心， 6500系列利用冗余路由和转发引擎间的状态化故障转换功能，提供了理想的平台功能，大幅度延长了网络正常运营时间。凭借多个值得信赖的业界首创和领先的特性， 6500系列可以支持3代模块，从而进一步证实了 6500的价值和思科的创新承诺。思科新一代 6500系列模块和 720采用了11种思科开发的全新特定应用集成线路（）巩固了思科在联网业界的领先地位，提供了无与伦比的投资保护功能。 6500系列机箱产品规格表1 6500系列概览特性 6500系列 系统特性 机箱配置 3插槽 6插槽 9插槽 9个垂直插槽 13插槽 背板带宽 32共享总线 256交换矩阵 720交换矩阵 第三层转发性能 1 ：15 2 ：210 720：400 操作系统 () 混合配置 冗余交换管理引擎 支持，支持状态化故障切换 冗余部件 电源（1+1） 交换矩阵（1+1） 可更换时钟 可更换风扇架 高可用性特性 网关负载均衡协议（） 热备份路由器协议（） 跨多模块 快速生成树 多生成树 每快速生成树 快速收敛的第三层协议 最高系统端口密度 10/100/1000以太网 10/100快速以太网 100千兆位以太网（）10千兆位以太网（） 576个端口，都支持馈线电源 1152个端口，都支持馈线电源 288个端口 194个端口（在交换管理引擎上提供了2个端口） 32个端口 集成模块 (0到3) 3 端口 12 端口 12 端口 48 端口 12个模块，带24个端口适配器 192 48 24 24 接口 数字T11中继端口 接口 高级服务模块 216 864 千兆位防火墙 千兆位 高性能入侵检测 千兆位内容交换模块 高性能端接 千兆位内容服务网关 6500系列交换管理引擎（ ） 6500系列交换管理引擎可以根据交换管理引擎的配置和特定接口模块的功能，支持不同的转发技术，实现不同的转发速率。交换管理引擎可配置以可选的厂家安装子卡一个用于提供基于硬件的第二层转发的策略特性卡（），以及一个提供第三层功能的多层交换机特性卡（）。交换管理引擎可以在运行 软件或 操作系统的处理器上集中执行运营控制功能，而用于特殊用途的特定应用集成线路（）则执行桥接和路由功能（基于思科快速转发）、标记和监督，以及访问控制功能。在上采用了相同的，安装在某些接口模块上的子卡可用于非集中模式的分布式转发，以实现高达400的系统转发速率（表2）。表2 6500系列交换管理引擎特性 1 2 720 解决方案和市场 布线室 企业分布层、核心和边缘；服务供应商和互联网边缘 企业核心和数据中心；服务供应商城域；无线；国家研究网络；网格计算 支持的转发架构 仅限于集中转发位于交换管理引擎子卡上的引擎 集中位于交换管理引擎子卡上的引擎； 分布式位于接口模块子卡上的引擎 集中位于 720 3子卡上的引擎； 分布式位于接口模块3子卡上的引擎； 加速位于接口模块上的引擎 矩阵连接 通过32共享总线和各模块连接 每插槽16；到模块的双矩阵连接，每条通道8全双工 每端口40； 到模块的双矩阵连接，每条通道20全双工 最高性能() 15 210 持续400720 峰值400 模块 不支持 3 路由处理器 在2子卡上（可选） 在2子卡上（可选） 3集成 模块 子卡（可选） 2集成 3集成 以太网接口模块 6500系列以太网接口模块是专门为布线室、分布层和核心、数据中心应用，以及服务供应商和城域以太网环境而设计的，采用了下列以太网接口类型中的一种：10/100铜缆适用于提供带自动协商功能的10/100性能和支持 802.3以太网电源（馈线电源）的布线室；每个模块96个端口；包标准接口模块和256接口模块。10/100/1000千兆位铜缆适用于提供带自动协商功能的10/100/1000性能和支持 802.3以太网电源（线内电源）的布线室和数据中心；每个模块48个端口；包括标准接口模块、256和720接口模块。100光纤适用于安全布线室、远距离路由器和交换机连接；每个模块24个端口；包括标准接口模块和支持256的接口模块1适用于提供1性能的分布层、核心层和数据中心；每个模块48个端口；包括标准接口模块、256、256和720接口模块10适用于在2-端口或4-端口模块中提供10性能的分布层和核心层；包括256、720和720接口模块接口模块 6500系列和 7600系列可以利用2种技术支持多种接口：模块采用2个插入端口适配器，可提供多种协议和特性光服务模块（）一种专用线卡，提供了多种接口，包括31、124、4816、通道化T3、通道化124 、千兆位以太网、124 和4816动态分组传输（）模块模块安装在 6500系列和 7600系列系统内部，将 7200和7500系列端口适配器（）用于广泛的协议，包括帧中继、点到点协议（）和高级数据链路控制（）。另外，模块提供了各种介质选项，如纯通道和通道化T11、T33、高速服务接口（）、3 和。光服务模块线卡配备有卡上网络处理器，为分布式线速服务应用提供高速连接。第四到七层服务模块 6500系列为包括内容服务、网络监控、安全和电话在内的第四到七层应用提供了扩展服务模块组。内容服务模块内容服务网关（）为客户计费系统实现了区分计费、用户强制费用结算和活动跟踪等。内容交换模块（）将高级内容交换集成入 6500系列，提供了缓存、防火墙、服务器和其他网络设备的高性能、高可用的负载均衡网络监控网络分析模块（ 1和2）提供了网络基础设施的应用级可视性，用于实时流量分析、性能监控和故障排除；利用基于的内嵌流量分析器执行流量监控。安全服务模块防火墙服务模块（）允许机箱中的任何端口作为防火墙端口发挥作用，它将状态防火墙安全性集成入网络基础设施。入侵检测系统模块（和2）以线速从交换机背板获取流量，将功能直接集成入交换机。 模块（）提供了基础设施集成 服务，实现了1.9三重数据加密标准（3）性能，8000个活跃隧道，以及每秒60个新隧道建立速度。服务模块（）卸载有关保护流量的处理器密集型的任务，可以加速性能，提高应用的安全性。电话服务模块通信媒体模块（）提供了灵活的高密度T1和E1网关，允许机构将现有的时分多路复用（）网络连接到通信网络，并提供了到的连接。1102 3750 3750系列交换机 3750系列交换机是一款创新交换机，通过将业界领先的易用性和可堆叠交换机的最高永续性相结合，提高了的运行效率。此产品系列是下一代桌面交换机的代表，采用了 技术，这一 32堆叠互联使客户可以逐个交换机地构建统一、高度永续的交换系统。图1 用于10/100和10/100/1000接入及汇聚的 3750系列交换机 产品简介对于中型机构和企业分支机构来说， 3750系列通过提供配置灵活性、支持融合网络模式及自动进行智能网络服务配置，简化了融合应用的部署，并可针对不断变化的业务需求进行调整。此外， 3750系列针对高密度千兆位以太网部署进行了优化，包括多种交换机，以满足接入、汇聚或小型网络骨干连接需求。 3750系列可采用标准多层软件镜像（）或增强多层软件镜像（）。特性集包括高级服务质量()、限速、访问控制列表()，以及基本静态和路由信息协议()路由功能。则提供了更为丰富的企业级特性集，包括先进的基于硬件的单播和组播路由。配置 3750系列包括以下配置： 3750G-2424个以太网10/100/1000端口和4条小型可插拔()上行链路 3750G-24T24个以太网10/100/1000端口 3750G-12S12个千兆位以太网端口 3750-4848个以太网10/100端口和4条上行链路 3750-2424个以太网10/100端口和2条上行链路 3750-4848个以太网10/100端口，带 802.3和思科预标准以太网电源 ()，4条 上行链路 3750-2424个以太网10/100端口，带 802.3和思科预标准以太网电源 ()，2条 上行链路 3750G-1616个千兆位以太网10/100/1000端口和1条万兆位以太网上行链路 3750G-241U24个以太网10/100/1000端口和4条上行链路，1机架单元()高 3750G-2424个以太网10/100/1000端口，带 802.3 和思科预标准，4 条上行链路 3750G-4848个以太网10/100/1000端口和4条上行链路 3750G-4848个以太网10/100/1000端口，带 802.3和思科预标准，4条上行链路 3750系列可采用标准多层软件镜像（）或增强多层软件镜像（）。特性集包括高级服务质量()、限速、访问控制列表()，以及基本静态和路由信息协议()路由功能。则提供了更为丰富的企业级特性集，包括先进的基于硬件的单播和组播路由。 技术实现可堆叠永续性新标准 技术是一种针对千兆位以太网而优化的重要堆叠架构。该技术的设计旨在保持稳定性能的同时进行交换机的添加、拆除和重部署。 技术使用特殊的堆叠互联电缆和堆叠软件，可将最多9个独立 3750交换机整合到单一逻辑单元中，由从中选出的主交换机管理。主交换机自动创建和更新所有交换和可选路由表。工作中的堆叠能在不影响服务的情况下接收新成员或拆除旧成员。主要特性和优势易于使用“即插即用”配置工作中的堆叠可进行自管理和自配置。在添加或拆除交换机时，主交换机自动将堆叠上运行的 软件版本加载到新交换机上，加载全局配置参数，并更新所有路由表来反映变化。更新同时普遍地应用于堆叠的所有成员。 3750系列可将9个交换机堆叠为单一逻辑单元，共提供468个以太网或 10/100端口，或468个以太网10/100/1000端口或 10/100/1000端口，或是9个万兆位以太网端口。随着网络需求的发展，能以任意组合添加10/100、 10/100/1000和万兆位以太网端口。通过降低运营成本而实现投资回报对全局配置参数的 软件版本自动检查和加载提供了第一级的运营时间节约。在发生停运时实现第二级节约。当您将一个发生故障的交换机从现有交换机堆叠中拆除，并将其换为另一交换机时，主交换机将认为这是一次维护停运，无需用户干预，即可自动重载以前交换机的端口级配置。这使 经理可让远程地点的当地人员执行维护任务，而不必花费大量成本地派遣技术人员前往现场。 混合和匹配交换机类型随您对网络的扩展而付费堆叠可用 3750交换机的任意组合来创建。需混合10/100和10/100/1000端口、和布线室汇聚功能的客户可以逐步开发接入环境，只为他们所需的性能付费。当需要增加上行链路容量时，您可方便地升级您的带宽，只需向堆叠添加一个万兆位以太网版本，另外，您也可在现有光纤上将您的千兆位以太网链路升级为万兆位以太网。 可用性第二层和第三层的不间断性能 3750系列提高了可堆叠交换机的可用性。每个交换机既可作为主控制器，也可作为转发处理器运行。堆叠中的每个交换机都可作为主交换机，为网络控制创建了一个1可用性体系。万一有一个设备发生故障，其他所有设备会继续转发流量，维持运行。智能组播为融合网络提高新效率水平凭借 技术， 3750效率为视频等组播应用提供了更高效率。每个数据分组仅被在背板上处理一次，从而为更多数据流提供更为有效的支持。出色的服务质量以线速在整个堆叠上提供 3750系列以千兆位以太网速度提供了使一切顺畅运行的智能服务其速度甚至达到了普通网速的10倍。业界领先的标记、分类和排队机制为数据、话音和视频流量提供了最佳性能且均以线速提供。网络安全性对于接入环境的精细控制 3750系列支持用于连接和接入控制的全面安全特性集，包括、身份验证、端口级安全性，以及带802.1x 和扩展、基于身份的网络服务。这一全面的特性集不仅有助于防御外部攻击，而且还可保护网络免遭“中间人”攻击，这是当前业务环境中的一个主要安全问题。简单的管理多个交换机，一个地址每个 3750系列堆叠都作为单一对象管理，采用单一地址。对于故障检测、创建和修改、网络安全及控制等活动，进行单一管理。巨型帧支持高要求应用 3750系列支持10/100/1000配置中的巨型帧，用于需极大型帧的高级数据和视频应用。 3750 系列在硬件中支持6路由，可实现最高性能。随着网络设备的增多，对于更大型编址和更高安全性的需求日益关键， 3750系列将作好满足这些需求的准备。标准支持顺畅地添加通信 3750和3750G 支持思科电话和 ?无线 () 接入点，以及任意符合 802.3标准的终端设备。 3750和3750G 24端口版本可同时支持24个15.4W的全加电端口，实现最高水平的受电设备支持。48端口版本的功率可支持24个15.4W端口、48个7.7W端口，或是它们的任意组合。万兆位以太网支持为千兆位以太网部署增加上行链路带宽 3750系列允许网络管理员在其布线室或集群中逐步添加符合 802.3标准的万兆位以太网连接，进一步增强和优化千兆位以太网