CISCO图书馆设计方案.doc

CISCO图书馆设计方案1.1 设计原则为构建高质量的网络，在网络建设中要坚持以下原则1. 高可靠性：网络的稳定可靠是应用系统正常运行的关键，保证在网络设计中选用高可靠性的网络产品设备，充分考虑冗余、容错和备份能力，同时合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的可靠运行。2. 技术先进性：在保证满足基本业务应用的同时，又要体现出网络的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到网络应用的现状和未来发展趋势。3. 高性能：骨干网络的性能是整个网络良好运行的基础，在设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。4. 标准开放性：支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络之间的平滑连接互通，以及将来网络的扩展。5. 可扩展性：根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。6. 可管理性：选用先进的网络管理平台，具有对设备、端口等的管理及流量统计分析，并可提供故障自动报警。7. 安全性：制订统一的网络安全策略，整体考虑网络平台的安全性。做到业务数据的安全传递和网络设备不受黑客攻击。8. 经济性：在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。1.2 设计规范及依据规范、标准及设计依据GB/DL中华人民共和国国家标准CCC中国产品强制认证标准RoHS电子信息产品污染控制管理办法计算机信息系统安全保护等级划分准则（GB17859）安全防范系统验收规则（GA308）计算机信息系统安全保护条例交通管理信息系统建设框架民用建筑电气设计规范（JGJ/T16-92）供电系统设计规范（GB50052-95）低压电气设计规范（GB5005495）工业企业通讯设计规范（GBJ42-81）工业企业通信接地设计规范（GBJ115-87）电气装置安装工程接地装置、施工及验收规范（GBT50169） IEEE802.3以太网规范安全防范工程程序与要求（GA/T75）中华人民共和国安全防范行业标准（GA/T74-94）信息技术设备（包括电气事务设备）安全规范（GB4943-1995）电子计算机机房设计规范（GB50174-93）计算机场地技术条件（GB288789）电工电子产品基本环境试验规程试验方法（GB2423.1/2/3-89）电磁兼容试验和测量技术浪涌(冲击)抗扰度试验（GB/T17626.5-1999）电子测量仪器可靠性试验（GB11463-89）信息技术设备抗扰度限值和测量方法（GB/T17618-1998）电子测量仪器振动试验（GB6587.4-86）工业企业通信设计规范(GBJ42-81)市内电话线路工程设计规范(YDJ8-85)ANSI / EIA / TIA 569 (CSA T530) 商业办事处路径和空间结构标准ANSI /TIA /EIA-607 (CSA T527) 商业办事处接地线和耦合线标准ANSI / TIA / EIA-568-A (CSA T529-95) 商业办事处通讯布线标准ANSI / TIA / EIA-606 (CSA T528) 商业通讯布线结构管理标准TIA / EIA-TSB67无屏蔽双绞线UTP端到端系统功能检测ISO11801 建筑物综合布线规范2 总体设计方案2.1 核心交换机的设计本次网络建设中我们选用的为思科6509E系列核心交换机，在众多品牌中，此系列交换机也为高端核心交换机，在使用中，能完全满足用户方对核心交换机的需求，在本次网络设计中终端部分分为两部分，一：安全访问，二：互联网络接入。在两部分网络中，互联网络访问的接入有运营商完成，之间的安全防护有内网的安全产品完成。而如何能够更好的实现这两部分网络平稳，则必须在核心交换机中划分VLAN。2.2 双链路冗余的设计系统设计采用双链路冗余设计思想，排除单点故障，所有的接入设备为10/100/100T的接入方式，上联为万兆上联，协议为trunk，根据下面的VLAN设计，将不同的网络段地址按需分配。2.3 虚拟交换机的设计VSS是一种网络系统虚拟化技术，将两台Cisco Catalyst 6500系列交换机组合为单一虚拟交换机，从而提高运营效率、增强不间断通信，并将系统带宽容量扩展到1.4Tbps。在初始阶段，VSS将使两台物理Cisco Catalyst 6500系列交换机作为单一逻辑虚拟交换机运行，称为虚拟交换系统 1440（VSS1440）。33.1 划分VLAN的必要性VLAN是建立在各种交换技术基础之上的。所谓交换实质上只是物理网络上的一个控制点，它由软件进行管理，所以允许用户利用软件功能灵活地配置资源，管理网络。利用交换设备中的虚网功能，不必改变网络的物理基础，即可重新配置网络。采用虚网功能，网络性能可以获得较大的改善： 1.虚网技术能对工作组业务进行过滤，有效地分割通信量，因而能更好地利用带宽，提高网络总的吞吐量。 2.采用虚网技术可以将不同楼层或不同房间的设备组成一个网段而不用更改布线，因为虚网技术是从逻辑角度而非物理角度来划分子网的，所以采用虚网技术能减轻系统的扩容压力，将迁移费用降至最小。 3.采用虚网技术能有效隔离网络设备，增加网络的安全性和保密性。虚拟网络的安全策略采用的主要协议为IEEE802.1Q，此协议结合有鉴别和加密技术以确保整个网络内部数据的保密性和完整性。 4.虚网技术能对属于同一工作组的用户提供广播服务，但与传统的局域网协议所不同的是，虚拟局域网能限制广播的区域，从而节省网络带宽。5.虚拟局域网可以建立在不同的物理网络上，用封装的办法支法支持不同的网络协议络协议，如SNMP、NMP、IPX、TCP/IP、IEEE802.33等，兼容性非常好性非常好。6.虚拟网络中的主要应用技术为“虚网中继”，VLAN Trunking特有技术的采用也成成为了必然。必然。简而言之，VLAN Trunking主要是通过一条高速全双工通道来实现将将一个LAN Switch端口所划分的不同VLAN与其它LAN Switch中各自相应的VLAN成员进行线路复用连接的技术。VLAN Trunking技术的采用，既节省了信道数据量，又提高了可靠性，并便于管理及方便连接，提高了整个网络吞吐量和性能指标。其原理如下图所示：如果采用VLAN trunking 的技术，则V1、V2、V3均可通过一条全双工的100Mbps，即200Mbps的速率与上级LAN Switch进行互通并经过位于树根部的路由器进行路由与其它的VLAN进行通讯。VLAN trunking技术的优点在于采用一条高速通道连接，提高了通道的使用效率，如在，如在V2，V3无数据量的情况下，V1可以独占此100M带宽；并且可以使得线路的连接变得简单，从而大大提高可靠性与易维护性。3.2 VLAN规划我们建议按不同的业务使用主体来规划整个图书馆VLAN资源，也可以按照楼层的布局划分不同德VLAN.为了减小广播域，建议VLAN终结在核心交换机上，每个VLAN内的主机数量原则上不要超过80台，建议每个VLAN内的PC机数量控制在50台以内。VLAN的划分可以依据不同的业务进行也可以依据用户所处网络的物理结构进行，后者主要是从网络性能角度出发，而前者还兼顾了网络安全性可控性的需要。将端口分配给VLAN的方式有两种，分别是静态的和动态的。静态VLAN：形成静态VLAN过程是将端口强制性地分配给VLAN的过程。确定哪些端口属于哪些特定的VLAN，然后将VLAN静态映射到端口。这是将端口映射到VLAN的一种最通用的方法。对于办公用户相对集中的区域，建议采用这种部署方式，将VLAN部署在用户对应的汇聚交换机端口上。动态VLAN：我们知道，VLAN常常被规划用于对“资源访问权限”的分组，不同的VLAN具有不同的访问权限，每个VLAN内有一个IP地址网段，不同的VLAN/IP地址段的用户，具有不同的访问资源的权限。用户权限数据一般存储在CAMS中，CAMS根据用户端的权限归类，在认证通过之后向二层交换机作动态的VLAN ID下发配置。此时，二层交换机要支持VLAN的动态配置功能。从广播控制角度出发，为了保障网络的高可用和高性能，我们建议在进行具体VLAN规划时，同一个广播域内（一个VLAN）的通信主机不要超过250台，最好控制在50台以内，对于主机数量超过50的业务部门，我们通过二层隔离，三层交换的方式来解决。管理VLAN：作为特殊VLAN 的典型，建议保留VLAN1作为管理VLAN，管理VLAN覆盖到全网的每一台交换机，但在第三层接口上，需要与其他业务VLAN进行有效的隔离。网管工作站建议另外设置一个VLAN，例如VLAN ID=4000,VLAN4000与VLAN1在第三层上相通，同时，部分业务VLAN可以访问VLAN4000，从而实现网管的分布式监控布局。VLAN1和VLAN4000的第三层路由接口处设置访问控制列表，只有特定的主机或者只有网管VLAN可以直接访问每一台设备，其他均在过滤之列。对于服务器建议单独设置在一个VLAN中。本次建议在图书馆网络中采用静态VLAN划分方案来部署。3.3 网络拓扑图4 网络安全设计4.1 网络安全概述在本次硬件平台建设方案中，防火墙将处于网络建设的最上层，在抵御外部入侵中起着重要的作用，并且在以后应用对外部公共网络开放时，在带宽足够的情况下可以最大限度保持网络速度，并且此次选型用防火墙在以后应用中能够开启IPS功能，抵御47层的攻击，抵挡安全威胁，保护数据安全。所谓安全威胁，就是未经授权，对位于服务器、网络和桌面的数据和资源进行访问，甚至破坏或者篡改这些数据/资源。从安全威胁的对象来看，可以分为网络传送过程、网络服务过程和软件应用过程三类。网络传送过程主要针对数据链路层和网络层协议特征中存在的漏洞进行攻击，如常见的监听、IP地址欺骗、路由协议攻击、ICMP Smurf攻击等；网络服务过程主要针对TCP/UDP以及居于其上的应用层协议进行，如常见的UDP/TCP欺骗、TCP流量劫持、TCP DoS、FTP反弹、DNS欺骗等等；软件应用过程则针对位于服务器/主机上的操作系统以及其上的应用程序，甚至是基于Web的软件系统发起攻击。从安全威胁的手法来看，蠕虫、拒绝服务、监听、木马、病毒都是常见的攻击工具。4.2 防火墙的部署随着网络技术的普及，网络攻击行为出现得越来越频繁。通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。目前，Internet网络上常见的安全威胁分为以下几类：非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。Internet 基于网络协议的防火墙不能阻止各种攻击工具更加高层的攻击 网络中大量的低安全性家庭主机成为攻击者或者蠕虫病毒的被控攻击主机 被攻克的服务器也成为辅助攻击者目前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大厦中用于防止火灾蔓延的隔断墙，Internet防火墙是一个或一组实施访问控制策略的系统，它监控可信任网络（相当于内部网络）和不可信任网络（相当于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处，基于访问控制策略提供安全防护。例如：当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于组织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的连接处时，可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变，但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥，传统防火墙面临更加艰巨的任务，不但需要防护传统的基于网络层的协议攻击，而且需要处理更加高层的应用数据，对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒，必须能够判断出网络蠕虫病毒的特征，把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。造成当前网络“安全危机”另外一个因素是忽视对内网安全的监控管理。防火墙防范了来之外网的攻击，对于潜伏于内部网络的“黑手”却置之不理，很容易造成内网变成攻击的源头，导致内网数据泄密，通过NAT从内部网络的攻击行为无法进行审计。由于对内部网络缺乏防范，当内部网络主机感染蠕虫病毒时，会形成可以感染整个互联网的污染源头，导致整个互联网络环境低劣。 来自内部网络的攻击污染互联网 来自内部网络的蠕虫病毒感染互联网Internet对于网络管理者，不但需要关注来自外部网络的威胁，而且需要防范来自内部网络的恶意行为。防火墙需要提供对内部网络安全保障的支持，形成全面的安全防护体系。本次方案中采用防火墙+IPS方式对整网数据进行2-4层的数据过滤，保护整个内网的数据安全。5 总体方案优势在本次硬件平台搭建过程中，我们使用了全套思科产品，而利用思科组网解决方案的优点有以下几点：5.1 大规模的市场应用凭借思科强大的研发实力、完整的产品线及解决方案，思科取得了良好的市场地位：1. 交换机端口数市场份额31.4，排名第一2. 企业级路由器台数市场份额30，排名第一3. 网络安全设备市场份额排名第二，其中IPS产品市场排名第一 5.2 全网IPv6的扩展支持采用思科解决方案，6509能提供全网的IPv6解决方案，IPv6方面包括以下方面1、 思科6509系列硬件支持IPv6转发，支持完善的IPv6协议以及IPv4/IPv6双栈；2、 思科承建了Cernet 、人民大学、清华大学、北京大学试验网等众多大型IPv6网络，有丰富的项目经验及雄厚的技术实力。5.3 设备清单描述型号描述数量核心交换机机箱WS-C6509-ECatalyst 6500 Enhanced 9-slot chassis,15RU,no PS,no Fan Tray2电源WS-CAC-3000WCatalyst 6500 3000W AC power supply4风扇WS-C6509-E-FAN=Catalyst 6509-E Chassis Fan Tray2引擎VS-S720-10G-3CCat 6500 Supervisor 720 with 2 x 10GbE and 3x1GE MSFC3 PFC3C2千兆光板WS-X6724-SFPCatalyst 6500 24-port GigE Mod: fabric-enabled (Req. SFPs)2万兆光板WS-X6716-10G-3CCatalyst 6500 16 port 10 Gigabit Ethernet w/ DFC3C (req X2)4入侵检测模块WS-SVC-IDS2-BUN-K9600M IDSM-2 Mod for Cat2网络分析模块WS-SVC-NAM-2-250SCisco Catalyst 6500 and Cisco 7600 Network Analysis Module2光模块X2-10GB-SR10GBASE-SR X2 Module30软件SV33IS-12233SXICisco CAT6000-VSS720 IOS IP SERVICES2接入交换机交换机WS-C2960S-48TD-LCatalyst 2960S 48 GigE, 2 x 10G SFP+ LAN Base30堆叠模块C2960S-STACKCatalyst 2960S FlexStack Stack Module optional for LAN Base30堆叠线缆CAB-STK-E-0.5M=Cisco Bladeswitch 0.5M stack cable30光模块SFP-10G-SR=10GBASE-SR SFP Module30防火墙防火墙ASA5580-40-10GE-K9ASA 5580-40 Appliance with 4 10GE, Dual AC, 3DES/AES2光模块SFP-10G-SR=10GBASE-SR SFP Module66 产品资料6.1 防火墙Cisco ASA 5500系列概述Cisco ASA 5500系列自适应安全设备是能够为从小型办公室/家庭办公室和中小企业到大型企业的各类环境提供新一代安全性和VPN服务的模块化安全平台。Cisco ASA 5500 系列能为企业提供全面的服务，而且这些服务都可以根据客户对防火墙、入侵防御（IPS）、Anti-X和VPN的要求而特别定制。 Cisco ASA 5500 系列的各版本能够在适当的位置提供适当的安全服务，因而能为企业提供卓越的安全保护。每个版本都包含一套特殊的Cisco ASA 服务，以满足企业网络内特殊环境的要求。随着每个位置安全需求的满足，整体网络安全性也得到了提升。 由于 Cisco ASA 5500 系列支持一个平台上的标准化，因而能降低整体安全运作成本。统一配置环境不仅简化了管理，还降低了人员培训成本。另外，该系列的通用硬件平台还有助于降低备件成本。 每个版本都能满足特定的企业环境需求： 防火墙版：使企业能够安全、可靠地部署关键业务应用和网络。独特的模块化设计能够提供卓越的投资保护，降低运作成本。 IPS版：通过一组防火墙、应用安全性和入侵防御服务，防止关键业务服务器和基础设施遭受蠕虫、黑客及其它威胁的袭击。 Anti-X版：利用全面的安全服务套件，为小型站点或远程站点的用户提供保护。企业级防火墙和VPN服务提供到公司网络的安全连接。来自 Trend Micro 的业内领先的Anti-X服务能够防止客户端系统遭受恶意Web站点以及病毒、间谍软件和诱骗等基于内容的威胁侵袭。 SSL/IPsec VPN版：使远程用户能够安全地访问内部网络系统和服务，为大型企业部署支持VPN集群。安全套接字层（SSL）和IP Security（IPsec）VPN 远程接入技术将Cisco Secure Desktop 等威胁迁移技术与防火墙和入侵防御服务有机地结合在一起，保证VPN流量不会给企业带来威胁。1. 值得信赖的防火墙和威胁防御VPN技术 Cisco ASA 5500 系列建立于值得信赖的Cisco PIX安全设备和Cisco VPN 3000系列集中器技术，ASA5500系列是第一个兼具市场领先的防火墙技术保护，同时提供SSL和IPsec VPN服务的解决方案。2. 业内领先的Anti-X服务 将Trend Micro 在互联网边缘的威胁防御和内容控制优势与切实可行的思科解决方案结合在一起，提供全面的防病毒、防间谍软件、文件阻挡、防垃圾邮件、防诱骗、URL阻挡和过滤以及内容过滤服务。3. 高级入侵防御服务 提供主动型全功能入侵防御服务，有效阻止各种威胁，包括蠕虫、应用层攻击、操作系统级攻击、rootkit攻击、间谍软件、对等文件共享和即时消息传送。4. 丰富的管理和监控服务 通过Cisco Adaptive Security Device Manager（ASDM）提供直观的单设备管理和监控服务，通过 Cisco Security Management Suite 提供企业级多设备集中管理服务。5. 降低部署和运作成本 由于Cisco ASA 5500系列提供与现有思科安全解决方案一致的设计和界面，因而能显著降低初始安全部署成本和日常管理成本。首字母缩写SSC：安全服务卡，SSM：安全服务模块，AIP-SSM：高级检测和防御安全服务模块，CSC-SSM：内容安全和控制安全服务模块，4GE-SSM：4Gbps以太网安全服务模块6.2 6509交换机Catalyst 6500系列通过大幅度提高用户生产效率，增强运营控制，并提供史无前例的投资保护，为企业园区和服务供应商网络设置了全新的IP通信和应用支持标准。作为思科最出色的智能多层模块化交换机，Catalyst 6500系列提供了从布线室到核心、数据中心，乃至WAN边缘的安全、融合、端到端服务。Cisco Catalyst 6500系列适用于希望降低总体拥有成本的企业和服务供应商，在一系列机箱配置和LAN/WAN/MAN接口上提供了可扩展性能和端口密度。Cisco Catalyst 6500系列拥有3、6、9和13插槽机箱，以及无与伦比的集成服务模块范围，包括多千兆位网络安全、内容交换、电话和网络分析模块。由于在所有Cisco Catalyst 6500系列机箱中采用了拥有通用模块组和操作系统软件的前瞻性架构，Cisco Catalyst 6500系列提供了高水平的运营一致性，可以优化IT基础设施，增强投资回报。从48至576个10/100/1000端口或1152个10/100端口的以太网布线室，到支持192条1-Gbps或32个10-Gbps中继线的每秒数亿转发速率的网络核心，Cisco Catalyst 6500系列利用冗余路由和转发引擎间的状态化故障转换功能，提供了理想的平台功能，大幅度延长了网络正常运营时间。凭借多个值得信赖的业界首创和领先的特性，Cisco Catalyst 6500系列可以支持3代模块，从而进一步证实了Catalyst 6500的价值和思科的创新承诺。思科新一代Catalyst 6500系列模块和Supervisor Engine 720采用了11种思科开发的全新特定应用集成线路（ASCI）巩固了思科在联网业界的领先地位，提供了无与伦比的投资保护功能。产品规格表1 Cisco Catalyst 6500系列概览特性 Cisco Catalyst 6500系列系统特性 机箱配置 3插槽 6插槽 9插槽 9个垂直插槽 13插槽 背板带宽 32Gbps共享总线 256Gbps交换矩阵 720Gbps交换矩阵 第三层转发性能 Supervisor 1 MSFC：15Mpps Supervisor 2 MSFC：210Mpps Supervisor 720：400Mpps 操作系统 Catalyst OS(CatOS) Cisco IOS CatOS/IOS混合配置 冗余交换管理引擎 支持，支持状态化故障切换 冗余部件 电源（1+1） 交换矩阵（1+1） 可更换时钟 可更换风扇架 高可用性特性 网关负载均衡协议（GLBP） 热备份路由器协议（HSRP） 跨多模块EtherChannel 快速生成树 多生成树 每VLAN快速生成树 快速收敛的第三层协议 最高系统端口密度 10/100/1000以太网 10/100快速以太网 100-BASE-FX千兆位以太网（GBIC）10千兆位以太网（XENPAK） 576个端口，都支持馈线电源 1152个端口，都支持馈线电源 288个端口 194个端口（在交换管理引擎上提供了2个端口） 32个端口 集成WAN模块 FlexWAN(DS0到OC-3) OC-3 POS端口 OC-12 POS端口 OC-12 ATM端口 OC-48 POS/DPT端口 12个模块，带24个端口适配器 192 48 24 24 PSTN接口 数字T1/E1中继端口 FXS接口 高级服务模块 216 864 千兆位防火墙 千兆位VPN 高性能入侵检测 千兆位内容交换模块 高性能SSL端接 千兆位内容服务网关 Cisco Catalyst 6500系列交换管理引擎可以根据交换管理引擎的配置和特定接口模块的功能，支持不同的转发技术，实现不同的转发速率。交换管理引擎可配置以可选的厂家安装子卡一个用于提供基于硬件的第二层转发的策略特性卡（PFC），以及一个提供第三层功能的多层交换机特性卡（MSFC）。交换管理引擎可以在运行Cisco IOS软件或Cisco Catalyst操作系统的处理器上集中执行运营控制功能，而用于特殊用途的特定应用集成线路（ASIC）则执行桥接和路由功能（基于思科快速转发）、QoS标记和监督，以及访问控制功能。在DFC上采用了相同的ASIC，安装在某些接口模块上的子卡可用于非集中模式的分布式转发，以实现高达400Mpps的系统转发速率（表2）。表2 Cisco Catalyst 6500系列交换管理引擎特性Supervisor Engine 1 Supervisor Engine 2 Supervisor Engine 720 解决方案和市场 布线室 企业分布层、核心和WAN边缘；服务供应商WAN和互联网边缘 企业核心和数据中心；服务供应商城域；无线；国家研究网络；网格计算 支持的转发架构 仅限于集中转发位于交换管理引擎PFCx子卡上的引擎 集中CEF位于交换管理引擎PFCx子卡上的引擎； 分布式CEF位于接口模块DFC子卡上的引擎 集中CEF位于Supervisor Engine 720 PFC3子卡上的引擎； 分布式CEF位于接口模块DFC3子卡上的引擎； 加速CEF位于接口模块ASIC上的引擎 矩阵连接 通过32Gbps共享总线和各模块连接 每插槽16Gbps；到模块的双矩阵连接，每条通道8Gbps全双工 每端口40Gbps； 到模块的双矩阵连接，每条通道20Gbps全双工 最高性能(Mpps) 15Mpps 210Mpps 持续400MppsdCEF720 峰值400MppsaCEF DFC模块 不支持 DFC DFC3 路由处理器 在MSFC2子卡上（可选） 在MSFC2子卡上（可选） MSFC3集成 PFC模块 PFC子卡（可选） PFC2集成 PFC3集成 Cisco Catalyst 6500系列以太网接口模块是专门为布线室、分布层和核心、数据中心应用，以及服务供应商和城域以太网环境而设计的，采用了下列以太网接口类型中的一种： 10/100Mbps铜缆适用于提供带自动协商功能的10/100-Mbps性能和支持IEEE 802.3af以太网电源（馈线电源）的布线室；每个模块96个端口；包标准接口模块和CEF256接口模块。 10/100/1000Mbps千兆位铜缆适用于提供带自动协商功能的10/100/1000-Mbps性能和支持IEEE 802.3af以太网电源（线内电源）的布线室和数据中心；每个模块48个端口；包括标准接口模块、CEF256和CEF720接口模块。 100Mbps光纤适用于安全布线室、远距离路由器和交换机连接；每个模块24个端口；包括标准接口模块和支持CEF256的接口模块 1Gbps适用于提供1Gbps性能的分布层、核心层和数据中心；每个模块48个端口；包括标准接口模块、CEF256、dCEF256和CEF720接口模块 10Gbps适用于在2-端口或4-端口模块中提供10Gbps性能的分布层和核心层；包括CEF256、aCEF720和dCEF720接口模块Cisco Catalyst 6500系列和Cisco Catalyst 7600系列可以利用2种技术支持多种WAN接口： FlexWAN模块采用2个插入端口适配器，可提供多种WAN/MAN协议和特性 光服务模块（OSM）一种专用线卡，提供了多种接口，包括OC-3/STM-1、OC-12/STM-4、OC-48/STM-16、通道化T3、通道化OC-12/STM-4 Pos、千兆位以太网、OC-12/STM-4 ATM和OC-48/STM-16动态分组传输（DPT）FlexWAN模块安装在Cisco Catalyst 6500系列和Cisco Catalyst 7600系列系统内部，将Cisco 7200和7500系列端口适配器（PA）用于广泛的WAN/MAN协议，包括帧中继、ATM、PoS、点到点协议（PPP）和高级数据链路控制（HDLC）。另外，FlexWAN模块提供了各种介质选项，如纯通道和通道化T1/E1、T3/E3、高速服务接口（HSSI）、OC-3 PoS和ATM。OSM线卡配备有卡上网络处理器，为分布式线速IP服务应用提供高速WAN连接。Cisco Catalyst 6500系列为包括内容服务、网络监控、安全和电话在内的第四到七层应用提供了扩展服务模块组。 内容服务网关（CSG）为客户计费系统实现了区分计费、用户强制费用结算和活动跟踪等。 内容交换模块（CSM）将高级内容交换集成入Cisco Catalyst 6500系列，提供了缓存、防火墙、Web服务器和其他网络设备的高性能、高可用的负载均衡 网络分析模块（NAM 1和2）提供了网络基础设施的应用级可视性，用于实时流量分析、性能监控和故障排除；利用基于Web的内嵌流量分析器执行流量监控。 防火墙服务模块（FWSM）FWSM允许机箱中的任何端口作为防火墙端口发挥作用，它将状态防火墙安全性集成入网络基础设施。 入侵检测系统模块（IDSM和IDSM-2）以线速从交换机背板获取流量，将IDS功能直接集成入交换机。 IPSec VPN模块（IVSM）提供了基础设施集成IPSec VPN服务，实现了1.9Gbps三重数据加密标准（3DES）性能，8000个活跃隧道，以及每秒60个新隧道建立速度。 SSL服务模块（SSM）卸载有关保护流量的处理器密集型的SSL任务，可以加速SSL性能，提高Web应用的安全性。 通信媒体模块（CMM）提供了灵活的高密度T1和E1网关，允许机构将现有的时分多路复用（TDM）网络连接到IP通信网络，并提供了到PSTN的连接。6.3 入侵检测模块Cisco IDSM-2是思科入侵检测系统的组成部分。它可以与其他组件合作，有效地保护您的数据基础设施。随着安全威胁的复杂性的日益提高，实施有效的网络入侵安全解决方案对于确保高水平的安全保障至关重要。高水平的安全保障可以确保业务连续性，最大限度地避免入侵可能造成的巨额损失。思科的集成化网络安全解决方案让机构可以防止他们的联网业务资产受到威胁，提高入侵防范的效率。这些解决方案中包括第二代思科入侵检测系统（IDS）模块，即IDSM-2，它可以用在广泛部署的Cisco Catalyst系列设备上。Catalyst系列设备的装机量已经达到数十万台，它是包括防火墙、虚拟专用网（VPN）和入侵检测系统（IDS）服务在内的附加服务的理想平台。由于认识到这种方式的价值，思科推出了这个第二代模块，以便为那些寻求IDS攻击防范的客户提供独特的优势。图1 Cisco IDSM-2Cisco IDSM-2可以提供下列特性和优点： 思科是唯一可以提供一个交换机内置IDS解决方案的厂商，这种解决方案可以通过VLAN访问控制列表（VACL）获取功能来提供对数据流的访问权限。VACL可以支持无限个VLAN。 通过被动的、综合的操作提供透明的操作。这种操作方式可以通过VACL获取功能和交换机端口分析工具/远程SPAN（RSPAN/SPAN）检测分组的复本，而且如果设备需要维护，因为它并不位于交换机转发路径上，因而它不会导致网络性能降低或者中断。 体积只占一个机架单元，在Cisco Catalyst设备中只占用一个插槽，从而使它成为能够有效地支持所有Catalyst设备（从有三个插槽的Catalyst 6503到这个系列中最大的设备）的平台，并让用户可以根据自己的需要，同时安装多个模块，为更多的VLAN和流量提供保护 每秒500Mb（Mbps）的IDS检测能力可以提供高速的分组检查功能，让用户可以为各种类型的网络和流量提供更多的保护 多种用于获取和响应的技术，包括SPAN/RSPAN和VACL获取功能，以及屏蔽和TCP重置功能，从而让用户可以监控不同的网段和流量，同时让产品可以采取及时的措施，以消除威胁 使用与曾获大奖的Cisco IDS网络设备相同的程序代码，让用户可以将单一的管理技术作为标准，并让安装、培训、操作和支持变得更加便捷，同时可以利用Cisco IDS的全面的攻击识别能力和特征库 重要的管理技术（例如Cisco VMS 2.1安全产品包提供的支持，以及内置的Cisco IDS设备管理器（IDM）、IDS事件浏览器（IEV）本地管理功能和CLI支持）让IDSM-2更加便于管理，更加善于检测和响应威胁，同时就潜在的攻击向管理人员发出警报。此外，这个新的产品还让管理人员可以更加方便地在范围广泛、多样化的网络上管理多个设备 6.4 网络服务模块网络管理员依靠各种工具来提供有效的网络管理和监控。过去，局域网（LAN）交换机已提高了网络性能，但阻碍了网络管理员对交换流量进行监控。远程监控（RMON）在共享网络上最有效果，在那里，它可以看到所有流量。LAN交换机需要有力的监控，因为它们会过滤信息流量，以便这些信息只出现在与其发送设备和目的地设备相连的端口上。这种对不同网段的网络活动“不断提高的可视性”要求，使管理员很难调整网络性能，而且它也给交换网络中的纠错带来了不便。全球联网领域的领先厂商，思科系统公司推出了一款针对其屡获大奖的高性能Catalyst 6500交换机系列的、带网络分析模块（NAM）和全套交换机探针系统的集成化解决方案，可满足交换以太网LAN中多服务网络管理和监控的需要。Cisco Catalyst 6500交换机已具有内置RMON特性，在统计、历史、报警和事件组中获取数据。附加RMON/RMON2特性需使用网络监控工具。NAM根据RMON和RMON2 管理信息库（MIB）提供远程监控功能，在所有层收集数据，以便网络管理员可获得实用分析，同于故障隔离和纠正、容量规划和管理、性能管理、应用监控以及调试。Cisco Catalyst 6500 NAM是Cisco端到端网络管理和监控解决方案的一部分。NAM是Cisco集成化语音、视频和数据体系结构（AVVID）的一个元件，在Cisco LAN网络中定义了强大的多服务交换。随着企业部署融合网络，管理员也需收集有关应用或视频应用的统计数据。NAM收集一直传输至应用层的数据和语音流的多层信息，有助于简化管理当今复杂多服务交换LAN的任务，这种LAN支持各种数据、语音和视频应用，其中包括H.323系列。Cisco Works 2000平台中的语音支持也即将出台。 Catalyst 6500 NAM占用任意Cisco Catalyst 6500系列机箱的一个完全插槽。NAM基于一个在533MHZ中央处理单元（CPU）上运行的专用RMON/RMON2高性能引擎。该处理器上驻留着32KB的第1层高速缓存和128KB的第2层高速缓存。模块上存在的另256MB SDRAM（不可升级）超出了RMON/RMON2引擎的大型内存需求。NAM支持可与所有已有Catalyst 6500系列线路模块共用、不依赖于插槽的体系结构。NAM已包括全面监控所需的所有特性集。NAM可从数据和语音流收集统计信息，简化整体管理并降低开支成本。它使用交换端口分析器（SPAN）或远程SPAN（RSPAN）来接收来自物理端口、虚拟LAN（VLAN）、以太通道和Netflow数据输出帧的数据。它同时监控多个交换机端口或VLAN，为每个数据源提供独立RMON/RMON2统计数据。NAM为每个VLAN保持一套专用的RMON和RMON2 MLB组数据表。NAM使用简单网络管理协议（SNMP）将所收集的统计数据上载至基于图形化用户界面（GUI）的流量管理应用，如Cisco TrafficDirector等。NAM与所有符合IETF RFC的RMON/RMON2网络管理软件完全兼容。它提供了与管理应用间的可靠通信，即便是模块因CPU过载或缓存过度运行而丢弃了分组，其性能也不会受到影响。NAM由包括TrafficDirector综合网络流量监控和纠错在内的CiscoWorks 2000 LAN管理捆绑包全面支持。NAM在监督器模块发生故障、备用监控器接替时将每个数据源与新信息相对比，从而实现Catalyst 6500平台的弹性体系结构。NAM假定数据源仍有效且所有正在进行的收集未丢失也未遭破坏。7 实施服务实施服务在本项目中，主要安装交换机以及防火墙，包括以下实施服务内容：l 分析、评估图书馆的软件，应用及网络环境的设计，量身定制，最优化地设计满足用户实际需求的高可用性网络交换机。l 网络交换机的安装配置及配合业务上线l 确保业务系统在新的设备上正常运行；l 培训，使用户能对主机、交换机能做简单维护管理和性能监控。实施步骤方案实施阶段1：分析与计划目标 将项目的建设目标，需求与其应用和业务环境协调一致 准备实施主机、交换机和安全系统的客户环境 评估硬件，软件及应用的兼容性关键成果 经用户方和思科公司共同确认的项目实施计划 硬件、软件及应用兼容性的确认任务描述 项目开工会议 / 介绍 实施客户环境评估 完成客户环境评估报告 分析数据中心的详细硬件基础设施 分析硬件单点故障 完成项目实施计划，并和用户讨论确定方案实施阶段2：配置与集成目标 交换机的安装于配置 主机识别到系统 业务系统在新系统上启用运行关键成果 交换机机安装报告 业务系统运行报告 相关资料存档任务描述 安装配置交换机机 业务加载 建立配置文档方案实施阶段3：测试及知识移交目标 对业务系统进行测试 根据业务运行情况适当对性能调优 培训 建立日常维护手册及相关制度 实现知识和文档移交关键成果 测试报告 培训结果 维护手册 项目文档提交任务描述 系统性能测试 系统调优 人员培训 实现知识移交 项目验收 项目正式结束项目实施组织各组织的结构及其职责：组织名称组织构成职责范围项目经理1人公司将指派具有丰富项目管理经验的项目经理。负责项目的实施，组织、协调并监督各工程组的工作情况及进度，对项目领导组负