广州市财政局计算机网络工程页.doc

广州市财政局计算机网络工程(50页) 作者： 日期：广州市财政局网络方案本方案采用的第三层交换设备是CISCO CATALYST 6506，有6个网络模块插槽，包含2个超级引擎主处理模块漕和4个接口模块插槽，目前只使用了2个超级引擎主处理模块插槽和1个48口10/100M接口模块插槽，还有3个接口模块插槽未用。将来的扩充有很大余地。服务器连接在这1个接口模块上。接口模块有有多种类型可选，可随时根据实际需要加以配置。本方案采用的第二层交换设备是CISCO CATALYST 6009, 有9个网络模块插槽，包含2个超级引擎主处理模块漕和7个接口模块插槽，目前只使用了1个超级引擎主处理模块插槽和5个10/100M接口模块插槽，还有1个超级引擎主处理模块插槽和2个接口模块插槽未用。将来的扩充有很大余地。所有的信息点直接连接到10/100M接口模块上，根据网卡速率可以在10M和100M之间选者1种速率。6506和6009的电源、风扇、时钟模块、接口模块、超级引擎主处理模块都可以互换，网络的可用性大大提高，同时也减少了备品备件的种类和数量。6506和6009之间用千兆以太网连接，服务器和6506之间用100M以太网连接，微机、工作站和网络打印机于6009之间采用10M或100M以太网连接。可以提供高速的TCP/IP，NOVELLIPX，WINDOWS NT，WINDOW98/95网络互通。 目录第1章 需求分析与设计原则61.1 项目概况61.2 网络设计的总体要求61.3 网络设计的技术要求61.3.1 主干层网络承载能力71.3.2 接入能力71.3.3 可靠性和自愈能力81.3.4 拥塞控制与服务质量保障81.3.5 网络的扩展能力91.3.6 与其他网络的互联91.3.7 通信协议的支持91.3.8 网络管理与安全体系9第2章 主干技术选择102.1 各种宽带技术102.2 千兆以太网(GIGABIT ETHERNET，GE)102.3 GE与其他宽带技术的比较11第3章 广州市财政局内部网解决方案143.1 设计思想143.2 广州市财政局内部网组网方案143.2.1 网络拓扑结构143.2.2 网络主干第三层交换机153.2.3 网络主干第二层交换机153.3 主要网络设备性能及技术说明153.4 网络管理及安全性建议：政策网络213.5 网络增值业务283.6 网络系统扩充方案29第4章 方案特点和优点304.1 业务特点304.2 高可用性304.3 广泛使用的产品304.4 Cisco 特有的技术优点304.4.1 DEBUG/诊断功能304.4.2 网上邻居功能304.4.3 千兆通道技术可实现高效的并行链路传输314.4.4 快速链路恢复技术314.4.5 网络端口分析功能314.4.6 安全性31第5章 技术支持和技术服务CISCO335.1 CISCO全天热线技术支持(TAC)335.2 CISCO先期硬件更换服务(RMA)345.3 软件升级345.4 CISCO电子技术支持系统(CCO)34第6章 技术支持和技术服务XX35第7章 系统实施方案407.1 系统实施原则407.2 组织机构407.3 项目实施细节417.3.1 项目经理制度417.3.2 项目组417.3.3 场地考察417.3.4 货物交付和接收417.3.5 进度会议417.3.6 验收测试427.3.7 技术咨询和服务427.3.8 一年现场维护427.3.9 技术培训427.3.10 用户文档43第8章 网络管理448.1 网管中心的设置和职责448.1.1 节点维护管理终端448.2 网管中心的功能45第9章 附件519.1 网络结构图519.2 设备清单及报价519.3 公司介绍错误！未定义书签。第1章 需求分析与设计原则1.1 项目概况随着计算机网络技术的进步，网络用户的所有传统业务和新型业务都将在数据网中传输，使投资和营运成本大为下降，并进一步推动政府上网的建设步伐。广州市财政局由2幢大楼组成一个院区网络基本设施，有400多个信息点，需要把这些信息点连接起来实现内部办公功能。内部网主干将由1台高速第三层交换机组成，并连接2台高速第二层交换机，由第二层交换连接各种PC、工作站和网络打印机。广州市财政局内部网系统的目标是提供内部用户的高速网络连接，并可以快速连接市公共信息平台或INTERNET。1.2 网络设计的总体要求广州市财政局内部网在总体上需满足以下几个原则：u 先进性。采用世界先进的第2/3层交换机，提供高速的网络传输。u 普遍性。采用的设备和网络方案是经典的、成熟的、已被普遍应用的。u 统一性。必须遵循技术规范方案及规划，科学地统一建设。u 可扩充性。必须随着需求的变化，充分留有扩充余地。u 安全性及可管理性。应注意保证整个系统的可管理性和整个系统的安全性、可靠性。1.3 网络设计的技术要求根据上述总体要求，在技术上必须提供相应的支持和保证。整个网络在技术上定位为千兆以太网主干网络，以光纤和双绞线为主要传输介质，因而对网络协议透明，但可以配置成以IP协议为主的高速IP网络。网络至少包括包括如下几个要素：u 网络结构的优化。网络体系结构要体现在网络层的层次化体系结构，可以减少对传统传输体系的依赖。u 包转发的优化。适合大型、高速宽带网络的特征，提供高速包转发机制。u 带宽优化。在合理的QoS控制下，最大限度的利用带宽。u 稳定性优化。最大限度的利用故障恢复方面快速切换的能力，快速恢复网络连接，提供符合高速宽带网络要求的可靠性和稳定性。下面从主干层、接入层、可靠性、QoS、扩展性、网络互联、通信协议、网管与安全等方面论述广州市财政局内部网络的技术要求。1.3.1 主干层网络承载能力主干网1台第三层千兆交换机和2台第二层千兆交换机设备相互连接的带宽为全双工2Gbps,并具备升级至8Gbps（8个千兆连接）的能力。进一步，支持万兆以太网技术以提供更高的带宽。上述连接要求全部为光纤连接。主干网设备第三层交换机的无阻塞第二层交换容量为32Gbps，可以升级至256Gbps，第三层交换能力为15Mpps，可以升级至150Mpps。具备足够的能力满足高速端口之间的无丢包线速交换。第三层交换机可提供82个吉位（1G）光纤端口，百兆位端口数可高达240个。主干网设备的交换模块或接口模块应提供足够的缓存和拥塞控制机制，避免前向拥塞时的丢包。建议的数据包缓存大小为每端口512K字节。1.3.2 接入能力接入的核心是2台第2层交换机，与第三层交换机采用吉位速率连接。网络设计应考虑全网状的设备互连，以提供足够的链路冗余能力、设备冗余能力，以及网络的容灾能力，提供安全可靠的连接服务。第二层交换机向用户计算机采用10M或100M方式交换连接，提供比传统共享网络高得多的带宽。第二层交换机可提供130个吉位光纤端口，384个百兆位端口。第二层交换机具备32G的第二层线速交换能力和15M的第三层交换能力。可以随时变成第三层交换机。1.3.3 可靠性和自愈能力包括链路冗余、模块冗余、设备冗余等要求。u 链路冗余。在主干连接(主干设备之间)具备可靠的线路冗余方式。建议采用负载均衡的冗余方式，即通常情况下两条连接均提供数据传输，并互为备份。主线路切换到备份线路的时间应小于10秒。u 模块冗余。主要设备(的所有模块和环境部件应具备1+1或1：N热备份的功能，切换时间小于3秒。所有模块具备热插拔的功能。系统具备99.999%以上的可用性。u 设备冗余。提供由两台或两台以上设备组成一个虚拟设备备件库的能力。当其中一个设备因故障停止工作时，另一台设备上的模块可以直接用到故障设备上。1.3.4 拥塞控制与服务质量保障拥塞控制和服务质量保障(QoS)是高速网络的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样，网络的数据流量突发是不可避免的，因此，网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。u 业务分类COS。网络设备应支持68种业务分类(COS)。当用户终端不提供业务分类信息时，网络设备应根据用户所在网段、应用类型、流量大小等自动对业务进行分类。u 接入速率控制CAR。接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。u 队列机制QUEUING。具有先进的队列机制进行拥塞控制，对不同等级的业务进行不同的处理，包括时延的不同和丢包率的不同。u 先期拥塞控制WRED。当网络出现真正的拥塞时，瞬间大量的丢包会引起大量TCP数据同时重发，加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术，在网路出现拥塞前就自动采取适当的措施，进行先期拥塞控制，避免瞬间大量的丢包现象。u 资源预留RSVP。对非常重要的特殊应用，应可以采用保留带宽资源的方式保证其QoS。1.3.5 网络的扩展能力网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展，以及网络规模的扩展能力。u 交换容量扩展。交换容量应具备在现有基础上继续扩充48倍容量的能力，以适应业务急速膨胀的现实。u 端口密度扩展。设备的端口密度应能满足网络扩容时设备间互联的需要。u 主干带宽扩展。主干带宽应具备48倍甚至更高的带宽扩展能力，以适应业务急速膨胀的现实。1.3.6 与其他网络的互联u 保证与INTERNET国内国际出口的无缝连接。u 保证与现有网络的无缝互联。u 保证与下属网络或上级网络的无缝互联。1.3.7 通信协议的支持u 可以支持TCP/IP、IPX、DECNET、APPLE-TALK等协议。设备商应提供服务营运级别的网络通信软件和网际操作系统。u 支持RIP、RIPv2、OSPF、IGRP、IS-IS等多种国际标准的路由协议。1.3.8 网络管理与安全体系u 支持整个网络系统各种网络设备的统一网络管理。u 支持故障管理、记帐管理、配置管理、性能管理和安全管理五大功能。u 支持系统级的管理，包括系统分析、系统规划等；支持基于策略的管理，对策略的修改能够立即反应到所有相关设备中。u 网络设备支持多级管理权限，支持RADIUS、TACACS+等认证机制。u 支持安全监控和控制机制，当发现存在安全漏洞和遭到攻击时，应及时通知网络管理人员，并应自动采取适当的措施予以保护。第2章 主干技术选择2.1 各种宽带技术选择合理的网络主干技术对于一个网络来说十分重要，因为它关系到网络的服务品质和可持续发展的特性。网络主干技术指主干网设备之间的连接技术，宽带网络的主干必须选用相应的宽带主干技术。目前，可供选择的院区宽带技术包括以下几种：u 千兆以太网技术(GE)。最高传输速率为1Gbps，与以太网技术、快速以太网技术向下兼容。u 异步转移模式(ATM技术)。采用信元传输和交换技术，减少处理时延，保障服务质量，使其端口可以支持从E1(2Mbps)到STM-1(155Mbps)、STM-4(622Mbps)、STM-16(2.4Gbps)、STM-64(10Gbps)的传输速率。ATM技术的最大问题是协议过于复杂和太多的信头开销，设备价高而速率有上限（622M，2.5G接口很贵），ATM可以采用的技术有局域网方针、ATM上得多协议MPOA、CLASICALIP OVER ATM、永久虚电路等。ATM本来有很强的服务质量功能，可以实现很好的多媒体传输网，但在与以太网设备互连时，不能体现端到端服务质量，需要在以太网的数据格式和ATM的数据格式间进行转换，效率比较低。GE千兆以太网技术基于传统的成熟稳定的以太网技术，可以与用户的以以太网为主的网络无缝连接，中间不需要任何格式转换，大大提高了数据的转发和处理能力，减少了交换设备的负担。GE可以很轻松地划分虚拟局域网，把分散在各楼层的用户连接起来，提供一个可靠快速的网络。GE的造价比ATM便宜，性能价格比很好，投资的利用率较高。2.2 千兆以太网(GIGABIT ETHERNET，GE)千兆以太网是1998年出台的更高速的以太网标准 IEEE 802.3是10M以太网和100M快速以太网标准的成功扩展，它使用了与以太网相同的碰撞检测（CSMACD）机制、相同的帧结构及帧长，为网络应用提供1000M的传输速率。 千兆以太网作为以太网的升级产品，对10M、100M以太网具有更好的兼容性、易集成性，在技术上也具有更好的协调性；千兆以太网支持全双工和流量控制，在全双工方式下可以实现2Gbps的信息容量，千兆以太网还采用了8023x的端到端的流量控制；千兆以太网利用现有的大量以太网管理标准和工具，所有设备的状态、参数都有统一的形式，故障诊断也同10M、100M设备类似。千兆以太网一经问世就称以传统以太网技术为基础，从以太网和快速以太网升级方便、快捷，最大限度保护用户现有投资，这迎合了以太网用户的心理，很令人心动。由于千兆位以太网采用了许多与传统以太网相同的数据格式和传输协议，因而在从传统的以太网或是快速以太网升级的具体操作中只需增加插件或模块，在新的网络主干之间建立千兆位链路，或是增加千兆位以太网交换机，而将原先的网络主干结构移向下级应用即可。它保护了用户在设备和技术方面的投资，也为园区局域网升级提供了较为合理的解决方案。 千兆以太网标准IEEE802.3z已经通过，各主要网络厂商不断推出一系列的产品，千兆以太网的经济性、兼容性、协调性，千兆以太网丰富的带宽资源和技术的长处，这些决定了千兆以太网在城域主干网应用中必将取得主导地位。 千兆以太网在向下兼容的同时，也没有结束继续发展的步伐。据估计，万兆以太网标准将于2000年底完成。届时，以太网家族将更加发扬广大。2.3 GE与其他宽带技术的比较1保护现有投资(1)能够进一步提高性能；(2)费用最少（包括购置费用和技术支持费用）；(3)对处理新的应用需求和新的数据类型的适应性。2与已有网络的接口 以太网目前有三种类型：10Mbps、100Mbps、1000Mbps。由于世界上有80的网络节点是以太网，并且以上3种网络是向上兼容的，因此，千兆以太网最能保护现有投资。另一方面，人们也可能会说，如果现在将网络换成ATM，尽管初期会有损失或价格昂贵，但从长远看还是很值得的。ATM可将现有网络带宽提高若干数量级。尽管它的发展很慢，但是将ATM用于高速的广域网主干是无可非议的。然而，在慈溪电信宽带网这样的城域网环境中使用ATM的必要性和可竞争性，将比不上易安装、易维护且价格低廉的千兆以太网。未来的宽带网将是数据直接在光纤上传输，ATM的地位将逐步缩减，而以太网作为接入方式将可以一致延续下去。在虚拟网支持中，由于ATM服务开展大多采用永久虚电路（PVC，RFC1483），同一端口产生的2条PVC之间不能直接通讯，必需采用全网状拓扑结构或中心路由器进行转发，显然在扩充性和性能上比不上GE。3后续支持费用对网络支持的费用也非常重要，据估计安装网络只是占组建网络总费用的20。今天的以太网用户在运行以太网时已经取得了很多经验，所有这些经验仍然可用于千兆以太网，他们在跟踪网络最大负载及优化网络性能所做的开发，在千兆以太网也能保留使用。当然网络分析仪必须改进，以便用于帧格式和拓扑结构都不变，而速度提高了的以太网络。千兆以太网用于培训的费用也最少。 4服务质量保证新的Internet/Intranet应用，已开始出现声音和视频等新的数据类型。传统的以太网不适合实时的应用，事实上这也促使了在局域网上使用ATM。ATM的服务质量保证（QoS）给用户提供了理论上的服务级别保证，保证用户实时的传输。因为传统的以太网没有能力根据应用类型提供服务质量保证，所以它曾被认为不适合传输包括声音或视频的多媒体数据，然而最近提出的新协议RSVP可使用网络预留适当带宽来传送多媒体数据。新标准802.1Q（对虚拟桥接网络的标准）和802.1P（对桥接网络中传输的级别及动态多路广播滤波服务的标准）将提供虚拟网能力，并提供在所有网络上传输包的优先级信息，因此唯一支持QoS服务质量保证的ATM优点将会用于所有网络。5兼容性千兆以太网从定义上来讲与传统的以太网及应用最兼容，而ATM需要用局域网仿真来完成信元和数据包之间的转换。同样在今天的ATM还需要RFC1577、IPOA、IPNNI或MPOA来支持IP应用，而千兆以太网却与IP也是兼容的。由于以上原因，千兆以太网是高速内部网的最佳选择。如果选择千兆以太网将要配置大路由器来处理IP路由，下一代的路由器将由当前的每秒钟10万个包发展到每秒钟1000万个包或者叫线速度的路由器。目前的第三层交换机就具有此功能。本方案中网络设备均可作为第3层交换机。第3层交换机通过专用芯片进行硬件级路由，转发能力已突破了传统路由器的限制，而且对集团用户的高速接入能力更强。第3章 广州市财政局内部网解决方案3.1 设计思想在第2章中，我们总结了广州市财政局内部网的总体要求和技术要求，并且在第3章中讨论了为千兆以太网是满足这些要求的最好的技术。这些要求实际上主要反映了广州市财政局在实际运行阶段的需要。在充分研究了目前国际网络界对设计一个院区网所采用的各种网络主干技术,并充分考虑到技术发展的主流和趋势后,我们仍建议挂广州市财政局内部网络从开始就采用宽速以太网。在设备选型上，我们提供业界最先进的CATALYST 6000系列交换机。6000系列采用的三层交换技术为特快包转发技术(CEF)，这种路由处理方式特别适合于包含上百个节点的大型网络；它不会象其他三层交换技术那样，随着网络规模的扩大而处理性能迅速下降。6000系列的系统设计技术已经在CATALYST 5000系列上得到了充分的考验，被证明是成熟稳定而先进的。我们将在本章最后一小节讨论网络扩充方案时，描述最终解决方案。在这种规模的网络中，Cisco的CATALYST 6000不仅比其他解决方案更符合用户的要求，而且在性能价格比方面更体现出优势。3.2 广州市财政局内部网组网方案3.2.1 网络拓扑结构根据需求,在这次网络建设中,主干采用3台高端网络设备,它们之间采用2Gbps高带宽光纤连接,数据包将直接通过光纤,实现高效,高带宽的网络传输.以其中的1台第三层交换机设备为中心,其余2台第二层交换机负责每个信息点的接入。第三层交换机采用1台CISCO CATALYST 6506，第二层交换机采用2台CISCO CATALYST 6009。6506和6009之间采用1000M速率光纤连接，利用最小生成树技术，使得在6506到6009的2个连接上可以实现负 载均 衡。6009间也采用1000M速率光纤连接。这样，用光纤连接可以实现全双工2Gbps的网络传输带宽，同时主干网络连接可以实现自我冗余保护，保证网络主干连接在其中一条出现故障时，另外一条可以在很短的时间内接管数据负载。CISCO独有的BACKBONEFAST技术和UPLINKFAST技术可以在4秒内恢复6009到6506的光纤链路以及6009之间的光纤链路。3.2.2 网络主干第三层交换机 CATALYST 6506 为CISCO目前最先进的以太网交换机，为院区网环境提供高性能、多层交换能力。具有很高的千兆端口密度和10/100M自适应端口密度。由于装备了CISCO IOS，使得它可以提供比CISCO 7500系列高得多的转发能力和路由能力。6506的背板可以由目前的32G升级到256G，多层交换能力也可以从目前的15M升级到150M。6506支持8或16个千兆接口的接口模块和48个10/100自适应的接口模块，最多可以有240个10/100 RJ-45接口或82个千兆接口。千兆接口的传输距离可以根据需要调整。接口类型可以混合。3.2.3 网络主干第二层交换机我们建议用Cisco CATALYST 6009交换机作为与第三层交换机6506连接的核心设备，每台6009到6506有1条1000M光纤连接。双链路之间既是负载均衡(Load Balance)又是冗余背份。6009除了背板不可以扩充外，具有更6506一样的特性。最多可以有384个10/100 RJ-45接口或130个千兆接口。 以太网接入我们建议通过10M或100M速率直接连接到2台6009上。3.3 主要网络设备性能及技术说明Catalyst6000家族-由Catalyst 6500系列和Catalyst6000系列产品组成-向园区网提供一系列新的高性能、多层数据和语音交换解决方案。Catalyst 6000系列为了满足骨干/分布层和服务器集合环境中对千兆端口密度、可扩展性、高可用性以及多层交换的不断增长的需求而设计，它是Catalyst 4000和5000系列以及8500系列交换机的补充，这些产品分别继续提供首要的布线室和网络核心层的解决方案。Catalyst家族的各成员一起提供广泛的智能园区网解决方案，使企业Intranet实现多点广播、关键任务的数据和语音应用。Catalyst 6000系列提供卓越的可扩展性和性能价格比，支持高接口密度、高性能、高可用性等特性。与应用智能、服务质量(QoS)机制以及安全性结合在一起，用户可以更高小高效地利用其网络，增加终端业务(多点广播、ERP应用)，而不会影响网络性能。采用CiscsoAssure，网络策略可根据2、3、4层信息(如特定用户、IP地址或应用)提供端到端应用。主要优点可扩展的端口密度Catalyst 6000家族由Catalyst 6000系列、Catalyst 6500系列组成。这两个系列均支持6和9个插槽的版本，提供广泛的配置和价格/性能比选择。Catalyst 6000和Catalyst 6500系列交换机还支持广泛的接口类型和密度，包括支持高达384个10/100以太网、192个100FX快速以太网端口和130个千兆比特以太网端口-业界最高的端口数量。客户还使用FastEtherChannel或GigabitEtherChannel，集合八个物理快速以太网或千兆以太网链路，实现高达16Gbps的逻辑连接。Catalyst 6000系列提供业界领先的千兆以太网骨干网解决方案，以满足当今要求最高的、快速增长的企业Intranet的需求。可扩展的交换性能Catalyst 6500系列结构支持可扩展到256Gbps的交换带宽和可扩展到150Mbps的多层交换能力。对于那些不需要Catalyst 6500系列的性能的客户来说，Catalyst 6000系列提供更经济高效的解决方案。它可将底板带宽扩展至32Gbps，将多层交换能力扩展至15Mbps。为保护投资，两种交换机支持同一套Supervisor、接口线路板和电源，提供广泛的性能价格/比选择。CiscoIOS和CiscoAssure提供的Intranet服务Catalyst 6000家族支持与Catalyst 5000家族相同的软件结构，提供业界领先的基于Cisco IOS的服务。Cisco IOS提供整套软件业务，负责管理网络安全性，分配并实施QoS，提供增值的、实现高网络弹性的业务。Cisco IOS 还为CiscoWorks 2000与Cisco资源管理器两者的集成、整个Catalyst产品系列均支持的基于Web的管理工具提供管理架构。PIM、Internet组管理协议(IGMP)、Cisco组管理协议(CGMP)、GARP多点发送注册协议实现的高效的Internet多媒体和多点广播支持为多媒体和多点广播应用提供端到端的可扩展带宽。这些服务将数据只传送给加入多点广播组的用户，而不影响其他用户。QoS策略利用2、3、4层信息(如IP、Cisco ISL、802。1p帧的优先比特位或4层端口号)来执行。在Catalyst 6000系列交换机内，可配置门限的多种队列采用WRED、WRR、业务类型/业务级别(ToS/CoS)映射机制，以确保数据包在第2层和第3层边界传输时，QoS得到维护。资源预留协议(RSVP)优先映射亦可使用，以确保及时提供时间敏感的Intranet的应用。Intranet的安全性通过安全端口过滤功能受到支持，使个别的端口仅允许某些指定工作站的接入。TACACS+和IP允许清单防止对安全管理环境中的交换机进行非法访问。访问控制表(ACL)防止非法用户闯入网络。MD5路由鉴别还用于防止欺诈路由选择更新。移动性-转移、增加、更换-使用动态主机配置协议(DHCP)和域名系统(DNS)受到支持，并与动态VLAN功能一起实现最佳的、可扩展性能，而无需考虑地点。话音还可在传统数据端口，即以太网上受到支持。如同”双网络”的设计原理-一个用于数据，另一个用于话音-如今开辟了一种将话音和数据合并到一个网络中的方法。Catalyst 6000系列可采用相同的策略机制来保证话音数据业务穿过网络。它还有另一个优势-网络管理者可更高效的利用现有资源，同时通过简化网络结构，降低了运营费用。新级别的网络弹性Catalyst 6000家族支持多级别网络弹性和可服务性，旨在处理关键任务应用。为确保系统高可靠性，Catalyst 6000家族支持设备级容错，包括以下选项:l 冗余Supervisorl 冗余、负载分担电源(AC和DC)l 冗余共享风扇l 冗余系统时钟l 冗余上行链路l 冗余交换光纤(仅用于Catalyst 6500系列)包括电源、风扇、Supervisors、线路板模块、交换背板(仅用于Catalyst 6500系列)在内的所有系统单元都可热插拔，如元件可增加、转移或替换，而不会导致无关数据流的业务中断。在双重Supervisor配置中，Cisco Fast Switchover为了保护关键应用，可在几秒钟内将交换机控制转移到冗余Supervisor上。所有系统单元都可现场替换，从而实现了最大服务性和最少的网络停机时间。为达到网络级弹性，Catalyst 6000系列交换机使用基于perVLAN的生成树技术支持自动故障恢复，还使用Ciscso Fast EtherChannel或千兆比特EtherChannel技术支持负载均衡，实现更快速的链路收敛。具有更高可用性的负载平衡还可使用Ciscoc多模块通道来适应，来自不同线路板的端口可集成为高带宽链路。Catalyst 6000家族的交换机还能在3层路径上进行负载平衡。为实现最大可用性，Catalyst 6000家族交换机支持热备路由协议(HSRP)，在出现灾难性故障时，快速切换到备份系统。强大的管理Catalyst 6000系列提供了一套综合管理工具以提供网络中所需要的能见度和控制。用CiscoWorks 2000强大的网管应用软件进行管理，Catalyst系列交换机可提供端到端设备、VLAN、流量和策略管理。与CiscoWorks 2000结合在一起，Cisco资源管理器-一种基于Web的管理工具-可提供自动库存数据收集，软件应用，轻松地跟踪网络变化，观察设备的可用性，迅速隔离错误情况。策略管理是通过将交换机上的智能、内置工具与Ciscoworks 2000结合在一起而实现。CiscoWorks 2000将向所有Cisco网络业务(包括QoS、多点广播、安全性、网络弹性和用户移动性)提供策略管理。策略管理采用Cisco虚拟管理策略服务器(VMPS)而实施。所有Catalyst 6000家族交换机中都有VMPS，能为所有Cisco网络服务提供实施策略所需的数据库信息。Catalyst 6000家族交换机上的智能、内置工具，包括支持Cisco发现协议(提供网络拓扑发现和映射)和Cisco虚拟中继协议(VTP)，在所有交换机上支持动态VALN和动态中继线配置。每个端口上的内置智能远程监控(RMON)工具提供强大的业务监视和控制-每一端口支持四个RMON组，包括统计、历史记录、事件和告警组。增强型交换端口分析器(ESPAN)功能使用户能通过取样器或RMON Switohprobe产品，将任一端口或VLAN上的业务反映到另一个以太网或可快速以太网端口上，以便于分析。为实现集中式管理与监控，SPAN端口还可通过中继线路从远端主机上进行配置。NetFlow技术-Cisco IOS的一部分-还可收集详细的业务统计信息进行网络工程设计和战略性网络规划。24口电话机/传真机接口模块可以直接连接电话机或传真机，构成一个电话交换机。8口的E1语音接口，可以连接到大型程控交换机或电信电话网，提供IP语音的传输平台，省去多余的语音网关。FlexWan模块上可以直接加插7500系列和7200系列上的所有端口适配器，支持所有的广域网应用。对本地、带外管理的支持通过与控制台/辅助接口连接的终端或modem提供。远程带内管理通过简单网络管理协议(SNMP)、Telnet客户机、BOOTP和跟踪文件传输协议(TFTP)实现。投资保护Catalyst 6000家族支持许多旨在保护客户投资的特性。Catalyst 6000与6500系列均支持相同的线路模板、管理程序、电源，实现公用零部件和经济高效的性能升级。所有千兆以太网端口均支持接口的灵活性，这样，接口要求变化时不再需要更换模块，简单的GBIC变换即可完成。而且，由于Catalyst 6000家族采用业界领先的软件和Catalyst家族的基础设施，客户可运用其对现有的Cisco IOS GWSI和GRM工具的知识，不用再学习一种新的命令行接口(CLI)或管理系统。为保护客户在现有设备的投资，Cisco提供Technology Migration Program (TMP)，作为一个重要的工具，它能在购买新设备时提供折旧，降低网络升级成本。Cisco TMP可用来使用户经济高效地升级到新的Catalyst 6000家族交换机。总结Catalyst 6000系列交换机扩大了Catalyst家族，为园区骨干网提供了高性能多层解决方案。与Cisco IOS 结合在一起，Catalyst 6500系列和6000系列均提供所需的基础设施，支持高容量千兆比特交换以及多层智能，从而高效地管理网络流量。技术规程标准网络协议l IEEE802.1Q，802.1P，802.3Xl 以太网:IEEE802.3，10BaseT，和10BaseFLl 快速以太网:IEEE8023u.，100BaseTX，100BaseFXl 千兆比特以太网:IEEE802.3z网络管理CWSI图形用户界面(GUI)管理，包括但不限于:l CiscoViewl VlanDireotor软件l TrafpoDireotor软件l Cisco发现协议l VIPl SNMP代理V。1(RFC 1155-1157)l SNMP Pv2cl Cisco workgroup管理信息库(MIB)l 以太网MIB(RFC 1643)l 以太网续接器MIB(RFC 1516)l SNMP MIB II(RFC 1213)l RMON (RFC 1757)l 接口表(RFC 1573)l 网桥MIB (RFC 1493)l SMT 7。3 (RFC 1285)l 增强型SPANl 端口探测与连接操纵l 基于Text的CLI，以熟悉的路由接口为基础l 标准的Cisco IOS 安全功能:口令和TACACS+l 用于网络管理接入的Telnet、TFTP和BOOTPSupervisorEngine指示器与接口控制台/辅助端口通过RJ-45(内孔)数据终端设备(DTE)进行本地或远程连接交换机负载大约从1%至100%3.4 网络管理及安全性建议：政策网络广州市财政局内部网信息点众多，如何将如此规模的网络有效地进行管理和利用，直接影响到网络建设的成功与否。对网络进行有效管理和利用应包括对网络设备的监控，配置和优化，根据网络实际情况，制定相应的网络管理策略以及确保网络运行的安全性。CiscoWorks2000是实现对Cisco网络设备进行监控，配置和优化的统一网络管理平台，它能对几乎所有Cisco的网络产品进行监控，配置和优化；如今的商业应用网络仅仅能够实现对网络设备的监控和管理是远远不够的，在商业应用得网络环境中，更重要的是如何制定一个有效的网络政策来利用和实现网络的商业价值，CiscoAssure政策网络就是帮助网络运营商充分实现智能化网络的商业应用。如今,企业的网络化是企业商务发展的基础条件。内部网、外部网和Internet电子商务等网络商业应用的出台促进了生产力的发展，提供了空前的全球性商业机遇。目前网络中采用的商业应用越来越多(这已成为行业趋势)，商业运作已经开始依赖于智能化网络。因此，企业网络管理者需要可以控制网络的使用以及为不同应用和用户组分配网络资源并划分优先等级的能力。 政策网络的需求网络管理者需要对带宽需求大的网络应用进行政策控制，这些应用往往消耗大量带宽，并增加了昂贵的广域资源开支，这是因为一个运作不当的应用就可能会使业务崩溃。对于政策网络的需求就在激烈的市场竞争中产生了。网络管理者必须针对网络商业应用需求制订专门的政策，将商业需要与所期望的网络行为对应起来。例如，如果某企业正在运行一个企业资源计划(ERP)应用(SAPR/3, Oracle Financials, BAAN, Peoplesoft等)，为了获得战略性的竞争优势，就必须建立一项给予网络资源ERP信息优先权的政策。这项商业政策可以自动地转变为网络操作行为，例如服务质量(QoS)机制，即可使ERP信息先于其他信息进行传输。智能化网络提供了丰富的QoS和安全性能，可实现商业应用。然而对于网络管理者来说，这些特性的使用也许会显行过于复杂。因此，智能化网络中确实需要提供特性的动态自动配置。网络设备应能动态调整，以支持要求日益严格的用户可移动性和新型的应用程序，如Internet网络广播和可同时支持数据、语音和视频的多媒体应用等。通过CiscoAssure政策网络，Cisco可满足用户对政策网络的需求。 CiscoAssure政策网络CiscoAssure政策网络使得商业用户和应用可以使用网络中的智能特性。CiscoAssure政策网络结构以下列四个模块为基础：)包括运行Cisco IOS软件的路由器、转换器和访问服务器等在内的智能网络设备实现和增强了网络中的政策服务。)政策服务。政策服务将商业需求转化为网络配置和服务质量(QoS)、安全性和其它网络服务等有效政策。)注册与目录服务。注册与目录服务可以提供地址、应用档案资料、用户名和其它信息数据储存间的动态连接。)政策管理。政策管理可在网络体系结构中，中央配置，控制服务的政策。 QoS功能多年来，QoS一直是广域网的关键需求。带宽、延迟和延迟变化的需求都是广域网中优先考虑的内容。由于内部网和外部网应用的快速发展对整个网络提出了更高要求，端到端QoS的重要性也在不断增长。QoS可以保护关键任务应用免受多媒体、网络广播及实进视频服务等需要极大带宽的应用的干扰。QoS起到了如下重要作用：1、 保护ERP或自动销售系统等关键任务应用。2、 给予基于销售和工程等业务的用户组以优先权。3、 实现运程教学或桌面电视会议等多媒体应用。网络管理员可能需要就不同的应用提供不同的服务级别。例如，当某位销售管理人员在销售季末输入一个订单，网络单词会识别出这一应用，并将其排充于其它类型的信息之前。目前，CiscoIOS软件中的QoS机制可以帮助网络对各种网络应用和信息类型进行控制和服务。CiscoIOS软件的关键QoS功能包括：、加权随机早期检测(WRED)：避免网络流量的振荡。网络管理员可根据信息流量类型的不同而制订不同的RED政策，WRED可以在网络发生拥挤时对重要的信息类型给予优先处理，而对低优先级的数据，在拥塞发生前就有意的有控制的丢弃一些包。、加权平衡排队(WFQ)：WFQ将信息包分成若干列或类别，然后对信息包的输出进行排程，以满足其带宽分配及延迟要求。WEQ类可根据IP优先权、应用端口、IP协议或引入接口进行指定。、资源保留协议(RSVP)：应用可以使用RSVP对必需的网络资源进行动态的请求和保留，从而满足其特定的QoS要求。通过代理RSVP功能，Cisco的路由器可使用RSVP代表那些无RSVP功能的应用对资源发出请求。、IP优先：通过使用现有的IP优先排队机制(如WFQ,WRED等)，IP优先信号在网络中区分QoS。、基于政策的路由选择(PBR)：PBR根据源地址和应用端口等标准为所选的信息包提供了定制的路由路径，并可经由IP优先权对信息包分类并作出标记，这使得主干网路由器可以在拥挤时给予其优先权。 QoS政策由于其静态性质，QoS的配置过去一直非常复杂并且易于出错，因此限定了它只能用于广域网的边缘。QoS的机制也使得它必须在每台设备上手动配置。现在通过CiscoAssure政策网络，政策配置得到了简化，可在网络中实现激活政策，从端到端使用QoS。CiscoAssure政策网络中QoS政策是以应用类型、用户组身份和其它的分类标准，例如时间、日期、甚至网络本身的拓扑结构中衍生出来的物理端口信息等为基础的。这些分类都利用了CisoAssure政策和注册服务以及其它重要的网络信息服务，例如提供拓扑结构和设备信息管理系统等。为了设置QoS政策，网络管理人员使用可以拖放的政策管理图形用户界面(GUI)指定遵循商业规范的政策，然后通过QoS政策服务器创建并激活一个QoS政策绑定。公用开放政策服务(COPS)协议提供政策服务器和智能网络设备内含的CiscosIOS软件之间的政策交换。CiscoIOS软件将政策绑定转化为本地QoS执行机制，如加权平衡排队(WFQ)和加权随机早期抛弃(WRED)等。在政策激活后，指定的通晓政策的网络设备将确认各种通信信息分类，动态地执行适当的政策，无需手动参与。因此，网络管理员可以将精力投入明确商业政策、充分利用智能网络来自动识别和实现政策。 注册服务DNS/DHCP注册产品是一种有效的CiscoAssure政策网络注册服务。DNS/DHCP注册可以根据政策的类型来动态分配地址，并在用户组和政策服务器间建立绑定。例如，财务部可能需要在每天的特定时间或为某种应用类型提供特定服务。这个用户类型与政策服务器的绑定关系可以作为一个有效的机制帮助网络管理员控制网络资源的使用。再举个例子，企业网络管理员需要提供对多媒体应用的支持，但限定这些用户只能在网络的某些部分使用。通过政策的控制，网络管理员可以为特定用户建立政策，限制他们访问多媒体应用的带宽。例如，远程办公室仅支持256KBPS。这个政策保护了与较高带宽应用共享速度较低的远程访问链路的关键任务信息的传输。没有政策的控制，网络关键网络资源就会被带宽需求大的应用或错误应用占据，只有通过QoS政策控制，商业及商业重要应用才能得以保障。 安全性政策安全政策也在企业中扮演了重要角色。安全政策制订了企业资源访问权限的规范。现在，安全政策不仅需要支持企业内的用户，而且也必须支持企业外的用户，如合作伙伴、客户和从Internet对企业资源进行访问的员工等。Cisco提供了全面的安全技术，在以对任何商业行为提供定制的安全解决方案。安全政策对于企业来说极为关键，其中包括园区网安全性能、针对移动用户和家庭办公者的远程访问安全性能以及基于Internet的VPDN和VPN等。现在，Cisco向企业提供的全面安全解决方案包括：CiscoSecure访问控制服务器(ACS)u 通过对远程用户识别和确认，CiscoSecure简化了远程访问政策控制。u CiscoSecure数据库保存所有用户ID、口令和权限。u CiscoSecure访问政策可以访问控制列表(ACL)的形式下载到CiscoAS5300网络访问服务器等网络访问服务上。PIX防火墙和IOS防火墙Cisco PIX防火墙，Cisco IOS防火墙特性保护重要资源免受未许可访问的入侵。许多现有的安全控制机制是建立在静态访问列表(ACL)基础之上的，ACL只能在网络层，最多在传送层进行传送监控。现在，有了关联访问控制(CBAC),动态的应用监测和控制功能得以实现。CBAC在CiscoIOS防火墙特性集中占重要地位。通过检查和跟踪应用层协议状态信息，CBAC增加了智能性。它可以根据会话状态的信息动态地创建或删除ACL条目。同时，CBAC还对信息包控制通道进行监控制通道中的应用特定命令。这是个极为重要的功能，因为许多应用协议(如H.323,FTP,RPC等)都包括多个创建的通道，这正是控制通道中动态协商的结果。加密技术实现了敏感信息的安全传送，杜绝了未授权的查看和修改。Cisco提供了各种基于硬件的加密方案。CiscoIOS软件加密技术已应用于大多数Cisco产品之中，支持56位和40位数字加密标准(DES)。同时，Cisco推出了针对Cisco7200和7500路由器的硬件加密，这提高了高速接口上高吞吐量应用的加密性能。Cisco通过与Internet工程任务组织(IETF)和Microsoft等合用伙伴的共同努力，将端到端标准安全解决方案推向了市场，这其中Cisco具有领导地位。例如，Cisco正在推广IP安全解决方案。IP安全性是IETF的一组草案标准，它是达到IP设备间互操作加密和授权的重要框架。IP安全性将使虚拟专用网络(VPN)和虚拟专用拨号网络(VPDN)等I