三门峡水利枢纽局工程方案.doc

三门峡水利枢纽局办公网三门峡水利枢纽局办公网 设计方案设计方案 郑州郑州 网络科技有限公司网络科技有限公司 20072007 年 月年 月 第一章第一章网络系统结构设计网络系统结构设计 4 公司背景 4 现状及需求分析 4 第二章第二章 网络总体设计网络总体设计 6 网络改造方式 6 企业主干网分析 6 拓扑结构 6 网络结构 7 第三章第三章 设备选型设备选型 8 核心层 分布层设备 9 接入层设备 9 结论 10 第四章第四章 网络的规划网络的规划 11 实用性设计 11 开放性设计 11 可靠性设计 11 安全性设计 12 先进性设计 12 可扩展设计 13 IP 的地址规划 13 路由策略 13 企业网络 VLAN 的实现 14 第五章第五章 远程接入远程接入 14 使用 DDN 专线实现总部与分支机构互连 14 用 IPSEC VPN 实现总部与移动办公 家庭办公互连 15 VPN 特点 15 方案优势 特点 15 第七章第七章 培训培训 15 培训目的 15 培训方式 16 第八章第八章 售后服务与技术支持售后服务与技术支持 16 电话支持服务 7 24 小时 16 远程拨入分析 17 现场支持服务 17 系统预防性定期维护服务 17 产品介绍 19 Catalyst 6500 系列 19 Catalyst 3560 48 交换机 23 Catalyst 2950 交换机 24 Cisco Secure PIX 525 防火墙 26 Cisco 3640 路由器 29 第一章第一章 网网络系统结构设计络系统结构设计 公司背景公司背景 三门峡黄河明珠 集团 有限公司是在三门峡水利枢纽管理局的基础上 于 1996 年 5 月根 据水利部建立现代企业制度试点单位要求整体改制成立的国有独资公司 主要负责三门峡和故县 两座水利枢纽的管理和运行维护 承担着黄河防洪 防凌 灌溉 供水 调水调沙 发电等任务 目前 集团公司已形成了以电力生产为支撑 融电站运行管理 水电施工 机电检修 金属冶炼 宾馆旅游 监理咨询 国际贸易 房地产开发为一体的大型企业集团 截止 2006 年底 集团公司现有职工 3522 人 离退休职工 790 人 集团公司总部设有 12 个机 关部门 下设 3 个分公司和 10 个子公司 截止到 2006 年底 集团公司总资产达到 18 42 亿元 年经济总收入近 9 亿元 近年来 集团公司先后荥获了 全国厂务公开民主管理先进单位 全 国农林水利系统和谐企业 全国农林水利系统五一劳动奖状 等多项省部级以上称号 目前 集团公司旧的办公网是在 2002 年建立的 设备老化 已不能适应企业发展的需要 现需 要对公司整个办公网进行升级改造 以适合当前网络的需求 现状及需求分析现状及需求分析 旧网网络架构如图所示 原有的主干网络采用二层设计 设备属于比较早期的产品 Cisco3500 以 100M 端口连 接下级交换机及HUB 用户接入主要采用 10M 以太网交换机和集线器 总部与分公司目前 没有数据连接 整个总部网络设备有一条 2M 专线通过 Cisco2511 与 Internet 相连接 另一 条专线 512K 专线与郑州黄委会连接 WEB 服务器 E mail 服务器 FTP 服务器 数据库服务 器主要集中于中心机房 各子网分别通过 100M 双绞线访问中心机房的服务器群 通过中心路由 器与外界连接 旧网不足及需求分析如下 1 中心交换采用 CISCO3500 出现故障就会影响网络的应用 带宽有限 2 原先需要网络的人数少 经过多年的发展员工数量巨增 网络速度也已跟不上实际应 用需要的速度 接入层采用集线器设备与中心交换机相连接 集线器是一个半双工 的设备 产生许多广播 经常出现延时过大 丢包率高的现象 再加上许多新的应 用的逐步引入 对网络的依赖和带宽的需求会越来越高 3 在旧网络公司中 总部与分公司没有数据连接 由于业务的扩展 分公司都希望企 业总部能够与各分支机构互联互通 更好的与总公司进行信息交流 4 各种服务器放置在内网上 没有一点点的安全防护 内部人员 黑客对内部关键 数据的非法访问对公司的数据造成极大的危险 网络上的病毒的入侵 也 是一大要害 综上所述所因 就需要对原有网络进行升级改造 第二章第二章 网络总体设计网络总体设计 网络改造方式网络改造方式 企业主干网分析企业主干网分析 目前 网络技术发展迅速 用户需求千差万别 厂商产品丰富多彩 但就其从用户 网络的应用需求类型特点 网络技术的发展水平来说 通常目前主干网的技术策略有五 种 即 快速以太网 FDDI ATM 千兆以太网 万兆以太网 快速以太网及 FDDI 主干带宽限于100M 对于企业局域网主干而言已不在考虑之列 ATM 交换骨干 OC 3 155Mbps 或 OC 12 622Mbps 网络设备的价格通常比较 高 而且采用ATM 势必需运用ATM 以太网仿真技术 将会增加交换的延时并影响 多媒体对服务质量的保证 千兆以太网的第3 层交换骨干技术成熟 千兆以太网在企业网 园区网 城域网 和局域网骨干上取代了传统的ATM 千兆以太网交换骨干技术特点是 具有高速数据传输带宽 1Gbps 提供高速 交换能力 易于网络移植 易于维护 简单易于管理 具有良好的性能价格比 在选型时考虑到千兆以太网已成为局域网主干技术策略的事实上的标准 为广大用 户所选择 在建设企业主干网时将技术策略定位于千兆以太网技术 拓扑结构拓扑结构 根据对旧网的调研情况 结合局方本次项目改造需求 我们建议按以下方式进行网络改造 改造后的骨干网络连接 改造后网络详细结构示意图为 网络结构网络结构 公司网络采用核心层 汇聚层与接入层三层网络模型 提高网络的扩展性 1 采用思科系统公司的多层交换机 Catalyst 650 做为核心 负责全网的信息交换 2 整个网络分为办公大楼 明珠宾馆和黄河大坝三个办公区 由于 每个办公区 下辖节点及 部门较多 业务应用比较复杂 所以配置 一台 Catalyst S3560 三层 交换机 作 为骨干平台 上行千兆连接核心层6506 下行采用百兆连接接入层的 S2950 S3560 支持 Vlan 的划分 提供办 公区内 VLAN 间的路由 减少中心交换 机的负担 每个 工作区再 选用 CISCO 公司的 Catalyst 2950 二层 交换机 5 台 采用 100M 的 5 类 UTP 连接接入相应的部门 3 内部大流量服务器通过千兆网卡于核心交换机相连提接高性能 4 网络安全及管理在安全方面 配置了一台 Cisco Secure PIX 525防火墙 有了 DMZ 区 对 外服务器放在 DMZ 区提高内网的安全性 可以防止黑客对内部关键数据的非法访问和病 毒的入侵 5 外部互联 1 将与郑州黄委会 512K 的 DDN 专线升级为 2M 2 新增加 2M 的 DDN 专线与故县水库和山西铝厂进行远程连 6 移动办公用户 移动办公用户访问公司总部访问量较小 从经济上考虑 采用 IPSEC VPN 技术通过 Internet 实现 移动用户 远程 接入 第三章第三章 设备选型设备选型 对此次的改造 我们提出整体设备选型 主要围绕以下几点 对此次的改造 我们提出整体设备选型 主要围绕以下几点 电子改造后的网络具有以下特点 高性能 全交换 1000Mbps 连接高流量服务器 骨干连接采用1000Mbps 100Mbps 连接桌面用户 线速核心第三层交换 使路由器专注于处理网络流量 灵活 高效 可靠的网 络连接 支持多种广域网链路 DDN IPSEC VPN 等 可扩展性强 空余的 GBIC 插槽提供低成本的千兆连接 核心采用模块化交换机 具有更强的扩充能力 分布层及接入层交换机可通过千兆堆叠扩充用户数 模块化路由器有更多插槽 可更多地扩充新功能 端口种类和数目 系统安全 保密性高 专门的软硬件集成防火墙解决方案 Cisco Secure PIX 525 防火墙 虚拟专网VPN 及支持各种加密算法 按需划分虚拟网络 管理得心应手 综合的网络管理 基于 Cisco IOS 的统一的人机命令界面 核心层核心层 分布层设备分布层设备 对于网络的核心层的设备建议采用大容量且具备智能的多层交换功能特性 根据网络技术的 发展与产品应用的定位 建议核心设备拥有超过 62G 的高容量 充分满足目前和未来发展用户 的网络需求 同时提供快速的智能处理过程 在设备的处理结构上 要采用结构化的设计 在高速大容量的总线带宽下 还要提供分布式 的处理与结构化的设计 核心不允许有集中式处理机制的存在 这样才避免因个别端口的拥塞而 导致整个设备失去控制 对于核心的每个模块要支持热插拔 并且根据将来的扩展要预留扩展槽 位 为了保证核心网络的高可用性不允许满配置的核心设备对网络的负载进行单一的规模化 在 网络的扩展时 核心设备应支持分担负载的能力 这样才能使整个核心网络大大提升工作效率 从网络的发展角度上考虑 核心设备要支持对用户的安全认证与鉴别的能力与手段 对网络 用户的安全鉴别主要包括 基于 VLAN ID IP 地址 MAC 地址来识别宽带用户的网络信息 所 有的其它智能用户管理与流控的功能 在智能的多层交换机中已经可以做到 对于核心智能的交 换设备支持 802 1x DHCP Relay 与分中心的边缘设备配合进行用户的识别可对整个网络用户的 认证 体现智能网络带来的整体应用价值 这样既保证网络的兼容性与开放性也能保证网络的安 全性与高可用性 接入层设备接入层设备 接入层设备是接入用户终端的产品 结点相对来说较多 因此要选择一些端口密度大 从设备的硬件配置上讲 支持总线的堆叠功能 这样相当于可以增加背板的带宽 大楼的各 个汇聚的扩展提供方便 支持 1000M 的上联与端口捆绑 以便将更多的接入交换机汇聚到高速 的核心网络上 结论结论 CISCO 公司网络产品的卓越的性能价格比 高可用性 兼容性以及 CISCO 公司为各行各业 提供的成功网络解决方案早已为全球 IT 用户所知 网络建设首选 CISCO 产品已经成为业界主流 通过以上分析 结合局方设备现状和需求 同时考虑设备统一管理的原则 我们建议此次改造建 设新增设备选择 CISCO 公司产品 骨干层设备选择 CISCO catalyst 650 多层千兆交换机 分布 层大流量的采用 CISCO35 0 三层 交换机 接入层采用 cisco2950 二层 做为接入层设备 以满足改造后网络性能需要 详细配置情况为 详细配置情况为 设备名称数量单台配置情况 CICSO 6500 引擎 III 多层千 兆交换模块 1 台 多层 机箱 Cisco Catalyst 6506 1 个引擎 III 多层千兆模块 冗余电源 32 端口 10 100 自适应以太网模块和 8 端口 千兆位以太网模块 GBIC 插槽 CISCO3560 483 台 三层 冗余电源 48 个 10 100 自 适应端口 2 个 GBIC 端口 CICSO 295015 台 二层 48 个 10 100 自适应端口 2 个 GBIC 端口 Cisco Secure PIX 525 防火墙1 台 CISCO 36401 台高密度的异步接口插槽 两个异步 同步串行接口 两个以太网口 详细产品资料见附件 第四章第四章 网络的规划网络的规划 实用性设计实用性设计 服务器设备和网络设备在技术性能逐步提升的同时 其价格却在逐年的下降 不可能也没必 要实现所谓 一步到位 所以网络方案设计中把握 够用 和 实用 原则 在这个方案设计 中根据客户的需求 把旧有的网络升级 旧有网络设备 比如 HUB 可以用于员工宿舍内组建局 域网使用 接入层使用 CICSO 32950 端口密度大 支持 vlan 的划分 性价比好 目前 使用千兆 以太网技术已经可以满足企业的需求 采用的设备是 CISCO 公司的产品 拥有可靠性 性价比 也较好 达到实用 经济和有效的结果 开放性设计开放性设计 网络系统采用开放的标准和技术 IEEE802 1Q TCP IP 协议 OSPF 其有利于未来网 络的系统扩充 有利于与外部网络互通 可靠性设计可靠性设计 在网络的可靠性设计中 核心层 6500 设备之间通过多模千兆光纤连接 共同形成的捆绑链 路 来扩充核心层设备之间的中继带宽 冗余电源 达到 4G 重要地点办公大楼 科研楼与核心 层设备之间通过两条千兆光纤连接形成双链路 当一条链路出线故障时 另一条链路可以启用 这就保证业务不会中断 因为办公大楼的楼层多 接入的端口数多 流量大 采用三层网络设计 通过一台三层的交换机 VLAN 间路由 减少核心层交换机的负担 通过多种负载平衡技术实现 网络链路的冗余连接和故障的快速恢复功能 本方案设计选用 CISCO 三层交换设备 采用 OSPF 的等值路由平衡技术来保障汇聚层与核 心层设备之间数据的可靠传送 为两层之间数据流量提供合理 安全的负载均衡机制 以提高网 络性能 安全性设计安全性设计 网络安全主要是指防止黑客对内部关键数据的非法访问和病毒的入侵 在三 门峡水利枢纽局办公网工程中配置了Cisco Secure PIX 525 防火墙 它是世界领先的 Cisco Secure PIX 防火墙系列的组成部分 能够为当今的网络客户提供无与伦比的安全性 可靠性和性 能 它所提供的完全防火墙保护以及 IP 安全 IPsec 虚拟专网 VPN 能力使特别适合于保护 企业总部的边界 Internet 的发展为企业和专用网络带来了更大的安全风险 把外网的 WWW 服务服务器放 在 DMZ 区增加了内网的安全 Cisco Secure PIX 防火墙能够提供空前的安全保护能力 它的保护 机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法 ASA 静态安全性虽然比 较简单 但与包过滤相比 功能却更加强劲 另外 与应用层代理防火墙相比 其性能更高 扩 展性更强 ASA 可以跟踪源和目的地址 传输控制协议 TCP 序列号 端口号和每个数据包的 附加 TCP 标志 只有存在已确定连接关系的正确的连接时 访问才被允许通过 Cisco Secure PIX 防火墙 这样做 内部和外部的授权用户就可以透明地访问企业资源 而同时保护了内部网络不 会受到非授权访问的侵袭 现在公司总部提供了通过因特网建立廉价的 VPN 让合作伙伴互连 PIX 525 集成了 VPN 的主要功能 隧道 数据加密 安全性和防火墙 能够提供一种安全 可扩展的平台来更好 更经济高效地使用公共数据服务来实现远程访问 远程办公和外部网连接 525 可以同时连接高 达 4 个 VPN 层 为用户提供完整的 IPsec 标准实施方法 其中 IPsec 保证了保密性 完整性和认 证能力 对于安全数据加密 Cisco 的 IPsec 实现方法全部支持 56 位数据加密标准 DES 和 168 位三重 DES 算法 先进性设计先进性设计 本方案是建设一个现代化的网络系统 采用先进而成熟的千兆技术 在一段时间内保证其主 流地位 网络系统采用当前较先进的技术和设备 如思科的 6506 3560 等设备 是符合网络未 来的发展潮流 可扩展设计可扩展设计 本网设计时不仅考虑到近期的需求 同时也为网络的进一步发展留有扩展的余地 网络核心 交换机使用模块化的交换机 最大的特点就是易扩展 低下采用二 三层模形的混合 以后公司 规模的扩展 可以很方便的将混合模型升级为三层的网络设计模型 IP 的地址规划的地址规划 IP 地址的合理分配是保证网络顺利运行和网络资源有效利用的关键 对于腾飞电子企业网 络 IP 地址的分配 我们将尽可能地利用地址空间 充分考虑到地址空间的合理使用 保证实现 最佳的网络内地址分配及业务流量的均匀分布 每个物理地点划分连续的 IP 地址 这样核心交换机可以使用路由汇聚减少核心路由表的条 目 IP 地址空间的分配与合理使用与网络拓扑结构 网络组织及路由策略有非常密切的关系 将对网络的可用性 可靠性与有效性产生显著影响 IP 地址的分配需要有足够的灵活性 能够满足各种用户的需要 IP 地址的分配采用 VLSM 技术 保证 IP 地址的利用效率 采用 CIDR 技术 这样可以减小路由表的大小 加快路由器路由的收敛速度 也可以减小网 络中广播的路由信息的大小 总之 要充分合理利用已申请的地址空间 提高地址的利用效率 路由策略路由策略 内部网关协议采用开放的标准 IETF 动态路由协议 OSPF 全称为开放最短路径优先 开放 表明它是一个公开的协议 由标准协议组织制定 各厂商都可以得到协议的细节 最短路 径优先 是该协议在进行路由计算时执行的算法 OSPF 是目前内部网关协议中使用最为广泛 性 能最优的一个协议 特别适用于大型网络 它具有以下特点 可适应大规模的网络 路由变化收敛速度快 无路由自环 支持变长子网掩码 VLSM 支持等值路由 支持区域划分 提供路由分级管理 支持验证 支持以组播地址发送协议报文 企业网络企业网络 VLAN 的实现的实现 VLAN 即 Virtual LAN 表示虚拟局域网 简称虚网 它依靠逻辑设定将原来物理 上互连的一个局域网络划分为多个虚拟网段 划分的依据可为设备所连的端口 用户节 点的 MAC 地址等 整个网络可以根据管理的要求 地理位置和片区的划分来设置相应的 VLAN 虚拟子网 VLAN 技术可以将不同 VLAN 之间的用户隔离 保证安全性 划分的结果使 得同一虚网内数据可自由通讯 而不同虚网间的数据交流则需要通过具有第三层路由功 能的设备来完成 思科公司的Catalyst 交换机系列都支持VLAN 的设定和 ISL 802 1Q 两种以太 网 VLAN 标识技术 本方案设备从核心层交换机 CISCO catalyst 6500 访问层交换机 到接入层交换机设备都支持 IEEE 802 1Q VLAN 标准 保证了该项技术的顺利实施 这样 通过在接入层交换机为用户配置 不同的 VLAN 进行端口隔离 所有的用户端口只能通过核心交换机来实现互连 办公大楼的访 问层采用 CISCO catalyst 3550 三层交换机 部门之间的 VLAN 信息可以通过它来转发可以减少核 心层交换机的负担 在核心层交换机通过 ACL 访问控制列表 进行相应的控制 使得用户的访 问得到完全的控制 第五章第五章 远程接入远程接入 使用使用 DDN 专线实现总部与分支机构互连专线实现总部与分支机构互连 随着网络的飞速发展 企业总部和各分支机构之间需要实现网络互联 DDN 专线可以提供 稳定 可靠 安全的数据传输 非常适合总部与分支间的互连 用用 IPSEC VPN 实现总部与移动办公 家庭办公互连实现总部与移动办公 家庭办公互连 VPNVPN 特点特点 不限流量 不限网址 包月使用 费用低廉 不需额外的设备或软件 无须缴纳初装费 配置简单 使用方便 可自由访问互联网 安全性高 接入灵活 方案优势方案优势 特点特点 按照以上方案建设的三门峡水利枢纽局办公网 全线使用 CISCO 产品 易管理 安全 性高 在局域网中合理地选择交换产品设计带宽 体现了性能卓越而又经济实用的原则 在 广域网方面 采用 DDN 专线与分支机构相连接 稳定可靠 对于家庭办公和移到办公用户 采用 IPSEC VPN 接入公司总部 即安全可靠 又经济实用 接在基本功能实现的基础上 还用到了 cisco pix525 防火墙 Cisco Works Windows 等技术和产品来保障网络的可靠性 安 全性和易于管理性 第七章第七章 培训培训 为保证三门峡水利枢纽局办公网络项目顺利实施和系统更好运行 让涉及本项目人员能够完 全掌握系统的使用和维护方法 技术等 针对本次系统 提供全面 多样化和针对性的培训 培训目的培训目的 系统管理人员是计算机及网络环境正常运行的守护神 培养自己的系统管理员对于用户来说 是至关重要的 为了保证企业局域网改造项目能稳定 高效地运行 提供全方位的培训 企业建 立一支技术过硬的应用及维护队伍 通过培训 使各级相关人员对系统有充分了解 熟悉系统的 设计原理和工作方式 掌握系统的工作流程和操作方法 在系统出现比较小的故障时 能够进行 正确的故障诊断甚至排除故障 培训方式培训方式 向三门峡水利枢纽局系统管理相关人员提供多种方式的用户培训 充分满足各个层次培训对 象的需求 根据合同 培训方式包括以下几类 1 初级培训 在当地进行系统应用软件的使用方法与日常系统软件维护的集中培训 使用户掌 握系统基本操作和所需功能的使用方法 适用于所有培训对象 2 中级培训 在当地进行的集中培训 在用户掌握系统基本功能使用方法的前提下 为其提供 高级功能的使用方法 多项功能组合使用 常见故障诊断与处理等中级水平的培训内容 3 高级培训 在非本地进行的关于系统维护和性能调整的高级培训 旨在使用户完全彻底掌握 系统 为整个系统的长期稳定运行提供有力保证 第八章第八章 售后服务与技术支持售后服务与技术支持 服务宗旨 为客户提供高度量 高效率的服务与客户保持良好持久的合作关系 服务范围 包括维护 咨询 诊断 优化等服务 为客户提供的热线咨询服务 响应速度 为异地客户提供 2 小时响应服务 为本地客户提供 1 小时响应服务 公司极其重视三门峡水利枢纽局办公网改造项目的建设 根据用户的要求和具体情况 提供 一流的技术和服务 并根据用户的具体要求及实际情况 组织强大的技术力量 制定完善的售后 服务实施计划 建立健全的售后服务制度 提供给客户一整套全面的服务项目 可以帮助客户最 大限度的减少故障时间 达到系统连续健壮运行的目标 针对上述目标 公司向三门峡水利枢纽局办公网项目提供如下服务 电话支持服务 电话支持服务 7 247 24 小时 小时 没有次数限制 只要您对系统存在问题 请即刻拨打我们的服务热线电话 对于我们的工作 人员 您的电话将享有最高的优先级 我们将优先处理您的电话求助 直至得到令您满意的结果 专业的技术工程师和完善的电话处理及升级程序能保证快速有效的支持 电话指导和远程诊断 普通的问题立即解决 有一定复杂度的问题 在 15 分钟内响应 必要时 由专业技术人员到现 场解决 远程拨入分析远程拨入分析 统计分析表明 IT 行业的系统失败有不低于 70 的情况属于软件和配置问题 而远程拨入方 式将大大提高诊断速度与工作效率 节省维护费用 现在的网络发展也使这一手段成为可能 在用户允许的前提下 我们的工程师将通过安全 VPN 进行远程拨入分析 快速而直接地对系统进行诊断与故障排除 现场支持服务现场支持服务 当您的系统被确诊为硬件故障时 我们的现场工程师会带同相应的替换备件立即赶赴现场进 行紧急维修 我们的承诺是 搭乘最近的车次 必要时专车前往 使您的系统故障时间被压缩 到最小 在服务期限内 所有故障备件 物理损伤除外 的更换均是免费的 即已经包含在总体的服 务费用之中 不再另行收取备件费用 系统预防性定期维护服务系统预防性定期维护服务 公司认为 防患于未然胜于亡羊补牢 公司系统维护及技术支持服务的核心不仅是 故障 维修 将风险和问题消灭在萌芽阶段的 系统预防性维护 更是公司服务的重要环节 公司工程师定期对系统进行一次预防性维护 通过对系统的检查 维护 诊断 公司工程师 能及时发现问题隐患 通过保养 工程改变 系统调整 安装 PTF 修正性软件 等手段 使系统 保持稳定高效地运行 不定期对用户的故障进行汇总 经分析总结后 整理成整体故障和解决建 议及预防建议 并及时提供给用户 公司工程师对客户服务系统进行定期预防性维护内容简要说明如下 机房环境的检测 机器硬件的全面诊断 检查系统错误的历史记录 检查系统性能 为用户建立专门用户档案 将系统配置及网络环境记录在案 将每次服务内容记录在案并汇报 公司及用户有关服务信息 联系人员记录在案等 详细产品资料见附件 产品介绍产品介绍 CatalystCatalyst 65006500 系列系列 Catalyst 6500 系列具有许多业界领先的功能 获得了许多 业界第一 称号 它同时支持三 代模块 这些模块不但能不断提升 Catalyst 6500 的用户价值 也同时体现出思科对于创新的关 注 思科的新一代 Catalyst 6500 系列模块和交换引擎 Supervisor Engine 720 包含思科新开发 的 11 种应用专用集成电路 ASIC 它不但扩展了思科在网络界的领先地位 还能提供无与伦 比的投资保护 CiscoCisco CatalystCatalyst 65006500 系列的优点系列的优点 Cisco Catalyst 6500 系列不但能为企业和电信运营商提供市场领先的服务 性能 端口密 度和可用性 还能提供无与伦比的投资保护能力 包括 最长的网络正常运行时间 利用平台 电源 控制引擎 交换矩阵和集成网络服务冗余 性提供 1 3 秒的状态故障切换 提供应用和服务连续性统一在一起的融合网络环境 减 少关键业务数据和服务的中断 全面的网络安全性 将切实可行的数千兆位级思科安全解决方案集成到现有网络中 包 括入侵检测 防火墙 VPN 和 SSL 可扩展性能 利用分布式转发体系结构提供高达 400Mpps 的转发性能 能够适应未来发展并保护投资的体系结构 在同一种机箱中支持三代可互换 可热插拔 的模块 以提高 IT 基础设施利用率 增大投资回报 并降低总体拥有成本 操作一致性 3 插槽 6 插槽 9 插槽和 13 插槽机箱配置使用相同的模块 Cisco IOS Software Cisco Catalyst Operating System Software 以及可以部署在网络任意地方 的网络管理工具 卓越的服务集成和灵活性 将安全和内容等高级服务与融合网络集成在一起 提供从 10 100 和 10 100 1000 以太网到万兆以太网 从 DS0 到 OC 48 的各种接口和密度 并能 够在任何部署项目中端到端地执行 在端到端在端到端 CiscoCisco Catalyst6500Catalyst6500 系列部署中的操作一致性系列部署中的操作一致性 3 插槽 6 插槽 9 插槽和 13 插槽机箱配置使用相同的模块 软件和网络管理工具 可部署在网络的任意地方 从布线室到核心 数据中心和广域网边缘 为降低备件和培训成本 与 Cisco 7xxx 路由器系统使用相同的广域网端口适配器 PA 用户可以自行选择所有控制引擎上支持的 Cisco IOS Software 和 Cisco Catalyst Operating System 确保顺利地从 Cisco Catalyst 5000 系列 Cisco 7500 系列移植到 Cisco Catalyst 6500 系列 提高网络正常运行时间 提高网络弹性提高网络正常运行时间 提高网络弹性 提供数据包丢失保护 能够从网络故障中快速恢复 能够在冗余控制引擎间实现快速的 1 3 秒状态故障切换 提供可选的高性能 Cisco Catalyst 6500 系列 Supervisor Engine 720 无源背板 多 引擎的冗余 并可利用 Cisco EtherChannel 技术 IEEE 802 3ad 链路汇聚 IEEE 802 1s w 和热备份路由器协议 虚拟路由器冗余协议 HSRP VRRP 达到高可用性 集成式高性能的网络安全性和网络管理集成式高性能的网络安全性和网络管理 不需要部署外部设备 直接在 6500 机箱内部署集成式的千兆位的网络服务模块 以简化网 络管理 降低网络的总体成本 这些网络服务模块包括 数千兆位防火墙模块 提供接入保护 高性能入侵检测系统 IDS 模块 提供入侵检测保护 千兆位网络分析模块 提供可管理性更高的基础设施和全面的远程超级 RMON 支持 高性能 SSL 模块 提供安全的高性能电子商务流量终结 千兆位 VPN 和基于标准的 IP Security IPSec 模块 降低的互联网和内部专网的连接 成本 能感知网络内容和网络应用的第能感知网络内容和网络应用的第 2 2 7 7 层交换服务层交换服务 集成式内容交换模块 CSM 能够为 Cisco Catalyst 6500 系列提供功能丰富的高性能的 服务器和防火墙网络负载平衡连接 以提高网络基础设施的安全性 可管理性和强大控 制 集成式数千兆位的 SSL 加速模块与 CSM 结合在一起 能提供高性能的电子商务解决方案 集成式数千兆位的防火墙和 CSM 能提供安全的高性能数据中心解决方案 基于网络的应用识别 NBAR 等软件特性可提供增强网络管理和 QoS 控制机制 可扩展的性能可扩展的性能 利用分布式 Cisco Express Forwarding dCEF720 平台提供业界最高的交换机性能 400Mpps 支持多种 Cisco Express Forwarding CEF 实现方式和交换矩阵速率 在布线室 核 心 数据中心 广域网边缘部署以及电信运营商网络均可提供最优配置 丰富的第丰富的第 3 3 层网络服务层网络服务 多协议第 3 层路由支持满足了传统的网络要求 并能够为企业网络提供平滑的过渡机制 硬件支持的从企业级到电信运营商级的大规模路由表 硬件支持 IPv6 并提供高性能的 IPv6 服务 在硬件中提供 MPLS 及 MPLS VPN 的支持 可应用在高速电信运营商的网络核心和城域以 太网 提供丰富的 MPLS 服务 增强的数据 语音和视频服务增强的数据 语音和视频服务 在所有 Cisco Catalyst 6500 系列平台上提供集成式 IP 通信 提供 10 100 和 10 100 1000 接口模块 借助在接口模块内增加电源子卡就可让这些接口 模块提供在线的电源 提供 IEEE 802 3af 的支持 保护今天的投资 提供高密度的 T1 E1 和 FXS 的 VoIP 语音网关接口 可与公共电话网 PSTN 传统的电 话 传真和 PBX 连接 提供 VoIP 服务 支持高性能的 IP 组播视频和音频应用 提供一个统一管理的 经济的 可灵活扩展的网络 最高的接口灵活性 可扩展性和端口密度最高的接口灵活性 可扩展性和端口密度 满足大型关键业务布线室 企业核心层和分布层需要的端口密度和接口类型 每台设备可提供 576 个支持语音的 具有在线电源的 10 100 1000M 铜线接口 提供 192 个 GBIC 千兆位以太网接口 率先推出业界第一个万兆以太网接口 和可提供高密度的 OC 3 POS 接口的通道化的 OC 48 接口 通过系列 FlexWAN 模块上使用 Cisco 7xxx 系列端口适配器 PA Cisco Catalyst 6500 可支持 T1 E1 OC 48 广域网接口 具有很高的投资保护能力 机箱从 3 插槽 6503 6 插槽 6506 9 插槽 6509 到 13 插槽 6513 高速广域网接口高速广域网接口 提供与其它核心路由器兼容的高速广域网 ATM 和 SONET 接口 单一平台实现广域网汇聚以及园区网和城域连接管理 最高投资保护 高度灵活的模块化体系结构 在同一机箱内支持多代模块互操作 所有引擎上都支持 Cisco IOS Software 和 Cisco Catalyst Operating System Software 10 100Mbps 和 10 100 1000Mbps 以太网模块可现场升级为随线供电的模块 可让用户在 需要时升级实现 IP 电话技术和无线局域网连接 可在各种应用场合中添加的不断推出的网络服务模块 包括 Cisco Catalyst 6500 系列网络安全性 内容交换和语音功能 未来的模块将进一步提高性能 端口密度 并推出其它服务 适用于城域以太网广域网服务适用于城域以太网广域网服务 802 1Q 和 802 1Q 隧道 QinQ 提供点到点和点到多点以太网服务 EoMPLS 的功能提供了 VLAN 的透传功能 大幅提升 MPLS 骨干网中的以太网服务扩展能力 通过在第 2 层和第 3 层 QoS 功能中提供速率限制和流量整形 可在城域以太网服务中提 供分级的带宽服务 增强的生成树协议 IEEE 802 1s IEEE 802 1w 和 Cisco EtherChannel IEEE 802 3ad 链路汇聚功能提供了网络超高的可用性 CatalystCatalyst 3560 483560 48 交换机交换机 Catalyst 3560 48 智能化以太网交换机 产品概述产品概述 Cisco Catalyst 3560 系列智能化以太网交换机是一个新型的 可堆叠的 多层企业级交换 机系列 可以提供高水平的可用性 可扩展性 安全性和控制能力 从而提高网络的运行效率 因为具有多种快速以太网和千兆以太网配置 因此 Catalyst 3560 系列既可以作为一个功能强大 的接入层交换机 用于中型企业的布线室 也可以作为一个骨干网交换机 用于中型网络 客户 有史以来第一次可以在整个网络中部署智能化的服务 例如先进的服务质量 QoS 速度限制 Cisco 安全访问控制列表 多播管理和高性能的 IP 路由同时保持了传统 LAN 交换的简便性 Catalyst 3560 系列中内嵌了 Cisco 集群管理套件 CMS 软件 该软件使用户可以利用一个标 准的 Web 浏览器同时配置和诊断多个 Catalyst 桌面交换机并为其排除故障 Cisco CMS 软件提 供了新的配置向导 它可以大幅度简化整合式应用和网络级服务的部署 两个内置的千兆以太网端口可以支持多种 GBIC 收发器 包括 Cisco GigaStack GBIC 1000BaseT 1000BaseSX 1000BaseLX LH 和 1000BaseZX GBIC 基于双 GBIC 的千兆以太网实施方案可以为客户提供高度的部署灵活性使客户可以在目前先部署一种堆 栈和上行链路配置 然后可以在将来移植这种配置 高水平的堆栈弹性还可以通过下列技术实现 两个冗余千兆以太网上行链路 一条冗余的 GagaStackTMGBIC 回送线路 用于高速上行链路和堆 栈互联故障恢复的 UplinkFast 和 CrossStack UplinkFast 技术 用于上行链路负载均衡的 Per VLAN 生成树 PVST 这样的千兆以太网灵活性使 Catalyst 3550 系列成为针对以太网优化 的 Cisco Catalyst 6500 系列核心 LAN 交换机最理想的 LAN 边缘补充产品 3560 48 中含有标准多层软件镜像 SMI 或者增强型多层软件镜像 EMI EMI 提供了一 组更加丰富的企业级功能 包括基于硬件的 IP 单播和多播路由 虚拟 LAN VLAN 间的路由 路由访问控制列表 RACL 和热备用路由器协议 HSRP 在刚开始部署时 增强型多层软件镜 像升级工具包为用户提供了升级到 EMI 的灵活性 CatalystCatalyst 29502950 交换机交换机 Cisco Catalyst 2950 Cisco Catalyst 2950 系列智能以太网交换机是一个固定配置 可堆叠的独立设备系列 提 供了线速快速以太网和千兆位以太网连接 这是一款最廉价的 Cisco 交换产品系列 为中型网络 和城域接入应用提供了智能服务 作为思科最为廉价的交换产品系列 Catalyst 2950 系列在网 络或城域接入边缘实现了智能服务 Catalyst 2950 拥有 48 个 10 100 端口以及 2 个基于 GBIC 的千兆比特以太网端口 内置的 千兆比特以太网端口适合插入多种 GBIC 收发器 包括 Cisco GigaStack tm GBIC 1000Base SX 1000Base LX LH 和 1000Base ZX GBIC 基于 GBIC 的双千兆比特以太网的实现为客户提供了 巨大的配置灵活性 它允许客户实现当今典型的堆叠和上行链路配置 同时保留将来对这一配置 进行修改的选项 Catalyst 2950 交换机是多种网络应用中实现桌面连接的理想选择 Catalyst 2950 交换机 能够以较低的每端口价格向个人用户和服务器提供专用的 10Mbps 或 100Mbps 带宽 这三种桌面 交换机都拥有基于 GBIC 的双千兆比特以太网端口 能够为千兆比特以太网上行链路或 GigaStack GBIC 堆叠解决方案提供一个极为灵活的 可扩展的解决方案 无论在桌面上还是在 配线室里 这些交换机都很容易配置 并且能够得到 Cisco IOS 软件的支持 利用 Cisco 交换机 集群多设备管理技术 对 Catalyst 交换机的管理能够变得更加方便 主要特性和优点主要特性和优点 杰出的性能 48 个 10BaseT 100BaseTX 自适应端口 每个端口可以为个人用户 服务器或工作组提供 最高 200Mbps 的带宽 用来支持带宽密集应用 两个内置的 基于 GBIC 的千兆比特以太网端口能够为千兆比特以太网骨干 千兆比特以 太网服务器或交换机之间提供高达 4Gbps 的集合带宽 10 8 Gbps 交换网和高达 8 0 Mpps 的转发速度 能够保证数据包到每个 10BaseT 100BaseTX 端口和千兆比特以太网端口的高性能转发 4 Mb 共享内存结构通过去除头部信息阻塞现象 最大地减少数据包丢失以及降低多点传 送和广播传输的拥挤现象 保证了最高的吞吐量 所有端口采用全双工运行模式 10 100 端口能够提供最高 200Mbps 的带宽 1000BaseX 端口能够提供最高 2Gbps 的带宽 每个 10 100 和千兆比特以太网端口上的双重优先转发队列 支持网络流量顺序的优先安 排 并通过 IEEE 802 1p 协议支持数据 话音和视频之间的无缝集成 使用快速以太通道和千兆比特以太通道技术实现的带宽集合提高了容错能力 为交换机 路由器 个体服务器之间的连接提供了 400 Mbps 到 4 Gbps 的集合带宽 基于 GBIC 的千兆比特以太网端口使客户能够在 1000BaseSX 1000BaseLX LH 1000BaseZX 或 Cisco GigaStack 堆叠 GBIC 之间进行选择 以满足自己的连接需要 对端口广播扰动的控制能够防止故障终端通过广播扰动来降低整个系统的性能 安全和冗余 Cisco Uplink Fast 技术确保了快速的故障恢复能力 提高了整个网络的稳定性和可靠 性 支持 TACACS 身份鉴别 可以保证对交换机的集中控制 限制未授权用户修改配置 基于 MAC 的端口级安全保护能力可以防止未授权终端访问交换机 用户可以选择的地址学习模式简化了配置 增强了安全性 控制台对访问的多级安全控制特性能够防止未被授权用户对交换机配置进行修改 IEEE 802 1D 生成树协议支持冗余骨干连接和无环网络 简化了网络配置 提高了容错 能力 支持 GigaStack 堆栈中顶部交换机和底部交换机之间的冗余回环线连接 可选 Cisco 600W 冗余交流电源系统来为多达 4 个单元提供备份电源 这样提高了容错能 力 增加了网络正常工作时间 CiscoCisco SecureSecure PIXPIX 525525 防火墙防火墙 Cisco Secure PIX 525 防火墙 强壮的安全特性强壮的安全特性 Internet 的发展为企业 政府和专用网络带来了更大的安全风险 现有的解决方案如运行 在应用层的基于代理的防火墙具有很多限制条件 包括性能低 需要昂贵的通用平台 使用开放 系统如 UNIX 时本身具有安全风险等 而 Cisco Secure PIX 防火墙能够提供空前的安全保护能力 它的保护机制的核心是能够提 供面向静态连接防火墙功能的自适应安全算法 ASA 静态安全性虽然比较简单 但与包过滤 相比 功能却更加强劲 另外 与应用层代理防火墙相比 其性能更高 扩展性更强 ASA 可以 跟踪源和目的地址 传输控制协议 TCP 序列号 端口号和每个数据包的附加 TCP 标志 只有 存在已确定连接关系的正确的连接时 访问才被允许通过 Cisco Secure PIX 防火墙 这样做 内部和外部的授权用户就可以透明地访问企业资源 而同时保护了内部网络不会受到非授权访问 的侵袭 另外 实时嵌入式系统还能进一步提高 Cisco Secure PIX 防火墙系列的安全性 虽然 UNIX 服务器是广泛采用公开源代码的理想开放开发平台 但通用的操作系统并不能提供最佳的性能和 安全性 而专用的 Cisco Secure PIX 防火墙是为了实现安全 高性能的保护而专门设计 与与 IPsecIPsec 互操作的安全互操作的安全 VPNVPN 从传统上来说 防火墙通过维护所连接网段之间所有连接的静态控制实现了边界安全性 目前 越来越多的客户正在寻求除了提供访问控制以外 还能提供 VPN 服务的防火墙 利用 VPN 远程用户或分布在各地的分支机构能够以更低的成本安全地访问企业网 同时 使用 Internet 访问可以大大降低与以前的专线或其它专用网络相关的电信费用 公司就不需要维护 大型的 Modem 池和访问服务器来处理远程的拨号用户 而这些都是需要花费大量资金并且让管理 员头痛的事情 现在 只需要向 ISP 进行本地呼叫 用户就可以通过 Internet 安全的访问专用 的企业 Intranet PIX 525 实现了在 Internet 或所有 IP 网络上的安全保密通信 它集成了 VPN 的主要功能 隧道 数据加密 安全性和防火墙 能够提供一种安全 可扩展的平台来更好 更经济高效地使 用公共数据服务来实现远程访问 远程办公和外部网连接 525 可以同时连接高达 4 个 VPN 层 为用户提供完整的 IPsec 标准实施方法 其中 IPsec 保证了保密性 完整性和认证能力 对于安 全数据加密 Cisco 的 IPsec 实现方法全部支持 56 位数据加密标准 DES 和 168 位三重 DES 算 法 极高的可靠性极高的可靠性 PIX 防火墙提供了空前的可靠性 其平均无故障时间 MTBF 超过 60000 小时 即使是达到 了这样高的水平 那些 Internet Intranet 或 Extranet 连接是企业生命线的企业还是认识到了 防火墙冗余是一项关键因素 防火墙的每一分钟停止运行都意味着收入 机会或关键信息的损失 Cisco 已经创建了配合 PIX 525 UR 使用的故障切换捆绑程序 能够简单 便宜地满足上述要求 该程序包为企业提供了特别设计在故障切换模式下运行的第二个防火墙 而其价格仅是标准 PIX 525 UR 捆绑件的一小部分 很强的灵活性很强的灵活性 Cisco Secure PIX 525 防火墙支持各种网络接口卡 NIC 标准 NIC 包括单端口或 4 端口 10 100 快速以太网 千兆位以太网 4 16 令牌环和双连接多模 FDDI 卡 另外 PIX 525 还提供多种电源选件 用户可以选择交流或 48V 直流电源 每一种选件都配 有为第二个 故障切换 PIX 系统准备的成对儿产品 从而实现最高的冗余