XX市公安局网络建设方案

XX公安局网络改造方案XX公安局网络改造方案目 录1方案概述32网络系统设计依据和原则42.1 设计依据42.2 基本需求分析42.3 网络设计中考虑的基本因素62.4 设计原则62.5 技术原则83 网络系统方案说明103.1 目前网络现状分析103.2 网络系统改造目标123.2.1 信息点分布133.2.2网络结构设计143.2.3 IP地址和VLAN的设计143.2.4 网段地址分配143.2.5 网络设备地址分配153.2.6 客户机地址分配153.2.7 网络设备管理153.3 网络安全管理163.4 网管软件设置163.5 防病毒设置164方案的优点和特点简述174.1 方案改造的优点174.2 方案特点174.3 清晰的网络结构、层次化的设计174.4 高带宽、高性能184.5 高可靠性184.6 可扩展性184.7 对IP多广播的支持194.8 IP QOS的支持194.9 一体化的方便的网络管理和策略型管理194.10一体化的安全解决方案195设备选型、系统功能及产品说明205.1 Cisco 4500系列交换机205.2 Catalyst 3750 交换机245.3 Catalyst 2960 交换机315.4 设备选型分析43网络系统1 方案概述一个网络系统包括计算机硬件、软件和网络设备。尽管网络系统的初期投资要高于单机的安装费用，而网络带来的高生产率有效地保护了投资。网络可以优化生产流程，消除重复，减少由于缺少协调造成的错误，改善系统的稳定性。计算机和网络技术正以前所未有的速度发展，所以，任何网络系统的设计和安装不仅要满足目前的应用需要，也要能适用于新的技术和标准，如更快的处理器、更快的网络和更广泛的联接选择。因此，任何网络实施之前的规划、设计成为一个不可忽视的关键环节。XX公安局办公大楼对网络系统的要求是极高的，由于该单位职能的特殊性，对网络设计具有一定的特殊要求。除了方便办公外，对网络安全也不同于一般的办公环境。故我们在设计网络结构时就对该大楼按有关规定在物理上分为内网和外网，将内部办公网与外部网从物理上进行了隔离，以确保网络和网络信息的安全。外网不在本次改造范围之类，内网则是本次网络改造的重点，通过本期网络改造后，使孝感公案局以业务为中心，立足公安系统工作的现实和发展，建成覆盖全市各公安系统的专用信息网络，实现并满足数据、语音和视频图像信息的传输交换，建设并不断完善网络体系和运行管理体系，建设网络应用平台、推进业务应用建设，满足XX公安局信息化要求及提高工作效率的需要，为整合信息资源奠定基础。2 网络系统设计依据和原则2.1 设计依据本网络系统设计依据是： 国际标准协会(OSI)的Ethernet的七层协议。 国际标准IEEE 802.3。 网络系统策略规划(QOS/COS)。 第三层交换行业标准PPL3。 IEEE 802.1x （计划在将来的软件中支持） 10BaseT、100BaseTX和1000BastT端口上的IEEE 802.3x全双工 IEEE 802.1D生成树协议 IEEE 802.1p CoS优先级 IEEE 802.1Q VLAN IEEE 802.3 10BaseT规范 IEEE 802.3u 100BaseTX规范 IEEE 802.3ab 1000BaseT规范 IEEE 802.3z 1000BaseX规范 1000BaseX（GBIC） 1000BaseSX 1000BaseLX/LH RMON I和II标准2.2 基本需求分析在XX公安局大楼的网络设计中，我们考虑了客户如下基本需求：2.2.1 高带宽现在的网络应用基本是多媒体信息的应用，需要支持数据、话音、视像多媒体的传输能力，在技术上要达到当前的国际先进水平。要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。2.2.2 高性能、高可靠性网络系统应具有高性能、高可靠性，具体到大楼局域网，要求考虑采用先进的千兆以太网，同时要求有物理层、数据链路层和网络层的备份技术。2.2.3 可扩展性和可升级性系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。2.2.4 易管理、易维护由于此网络系统规模庞大，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品，以便于管理和维护。2.2.5 安全性网络系统应具有良好的安全性，由于大楼内有多个业务部门和应用系统，并要与其它大楼互联，网络系统应支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。2.2.6 QOS保证当今网络中多媒体的应用越来越多，这类应用对服务质量的要求较高，新的网络系统应能保证QOS，以支持这类应用。2.2.7 IP Multicast由于网络中存在许多广播信息，往往会占用大量的带宽资源。所以在本项目中，网络系统应能支持IP Multicast，可以减少网络中不必要的广播，节省主干的带宽。2.2.8 符合国际标准选用符合国际标准的系统和产品，可以保证系统具有较长的生命力和扩展能力， 满足将来系统升级的要求。2.3 网络设计中考虑的基本因素2.3.1 网络的高性能和可扩展性 网络拓扑和地址空间的层次化结构 优先级技术2.3.2 网络的高可靠性 部分网状拓扑结构 动态路由协议 交换机热备份技术 拨号接入技术2.3.3 网络的灵活性 多协议支持 可变长子网掩码(VLSM)技术 可伸缩的产品系列2.3.4 网络的安全性 VLAN的划分 加密技术(Encryption) Internet访问的安全性（防火墙）2.4 设计原则根据用户的需求和我们的经验，我们认为在网络的设计过程中应该遵循下面的一些原则：l 根据网络的应用决定网络的架构网络系统的构造提供了信息传输的载体，它的目的是使应用系统上的数据可靠、有效地在各客户机及服务器之间传输，也就是说，应根据应用系统的需要来决定网络的架构。因此，构造网络时决不仅仅是构造一个通道，而是从满足应用系统的需要为出发点，通过应用系统的功能分布（包括声音、图形、图像等多媒体）来决定网络上的数据流量、数据流和路由选择。建立统一的建网模式，保证在具体连网时可根据实际情况灵活组网。l 技术先进整个XX公安局大楼网络的建设是一项耗资巨大的工程，所以要用长远眼光规划。在保证网络可靠性的前提下，要充分利用先进技术，满足现有的需求，并考虑潜在的扩充，使之在一定时期内保持较先进的水平。l 可靠性大楼网络系统的可靠性十分必要。在网络系统中不仅要求网络能安全运转，同时要求网络设备具有容错能力。由于XX公安局大楼中有很多系统在同时运行,所以在整体网络的设计上，我们充分考虑用户计算机网与其他网络系统的连接，并考虑有效的、多重的安全措施，使其能够与其他网络进行有效的信息传输的同时，又能防止不法分子的攻击。应从如下几个方面来实现网络的可靠与容错： 网络互连设备具有一定的冗余功能。这将体现在网络互连设备的关键部件、总线、电源热切换等方面的恰当选择。 优秀的网管软件应实现对网络的实时配置，实时发现网络故障，故障隔离诊断，网络性能优化，网络安全保护，以最大的限度提高全网络的无故障时间。 人员的配置与安排应能保证一天二十四小时，一星期七天都有网管操作员在监督网络运行，并且有一套完整和有效的错误处理机制。l 保护投资由于网络建设不是一蹴而成的事情,而是一个长期的建设过程。对于目前投资的网络产品，应考虑到硬件上的投资，对于某些应用状况良好的应用软件，亦应加以保护。l 可扩展性网络的建设一定要考虑到将来的扩充和升级，避免设备的重复投资，造成人力、物力的大量浪费。我们的网络设计在保证网络的先进性的同时，选择具有良好扩展性和升级能力的网络设备，设计出具有良好扩展性的网络拓扑，以保证网络系统的可扩展性及升级能力。l 遵从标准我们网络设计的目的是将这些原有的各式各样的设备通过高性能的网络，连接到各种服务器上，组成分布式的计算环境使其成为提高服务水平的重要基础。因此必须坚持开放性，采用大多数厂家支持的国际标准协议，才能把原有的大多数计算机连接起来，将来引进计算机和网络设备才能有较大的选择余地。在网络设计上我们从多方面来实现网络的开放性和标准化： 网络协议应选用已成为工业标准的 TCP/IP协议，世界上很多著名的大型计算机网络均采用TCP/IP实现网络互连。 网络互连设备应支持多种协议，能与其他厂家设备互操作。 网管软件应支持已被广泛接受的工业标准的SNMP协议。2.5 技术原则l 层次化设计模块化网络设计方法的目标在于把一个大型的网络元素划分成一个个互连的网络层次。实质上，模块化方式把网络划分为一个个子网，因此网络节点和流量变得更容易管理。层次化的设计方法同时也使网络的扩展更容易处理，因为新的子网模块和新的网络技术能被更容易集成进整个系统中，而不破坏已存在的骨干网。层次设计方法可为网络带来以下三个优点： 层次性网络的可扩展性可扩展性是在包交换网络连接中使用层次性设计的主要优点。层次性网络具有更多的可扩展性是因为它可以让你用模块化方式扩展网络，而不会遇到非层次性网络或平面性网络很快所遇上的问题。但是，层次性网络同时也提出了一定的问题需要仔细考虑。这些问题包括：虚电路的费用，层次设计（尤其是网状拓扑）的内在复杂联系，以及需要额外的路由器接口来划分网络层次。为了获得层次性网络结构的优点，你必须使你的网络层次结构充分与你所在地区的拓扑相符合。设计取决于你所使用的包交换模式，以及你所想要的容错能力、网络性能和网络造价。 层次性网络的可管理性使网络简单化通过把网络元素划分为小单元、层次化，降低了整个网络的复杂性。这种网络单元的划分使故障诊断变得清晰和简单了，同时还可以提供防止广播风暴、路由循环等其他潜在问题的内在保护机制。使设计更灵活层次化设计使得骨干网和分布网之间的包交换形式更具灵活性。很多网络都得益于使用混合方式来构造整个网络架构。在大多数情况下，可在骨干网部分使用专线而在区域网或本地网接入部分使用包交换服务。使路由器管理更容易由于层次化网络结构使网络分层，相对缩小的网络区域使路由器的邻居或对等通信端量减少，因此时路由器的配置变得简单化。 优化广播和多点广播的流量控制在包交换网络中，减少路由器之间广播信息量的最直接方法就是使用更少数目的路由器组，通过层次化模块设计可以较好地控制网络中的广播。通常在包交换网络中最常见的路由器之间的广播信息流量是路由更新信息，如果在一个区域或一个层次中有太多的路由器，那么就会因为广播的原因而造成网络瓶颈。层次化的网络结构使你可以对区域网向骨干网的广播作出限制。因此，对于XX公安局网络改造工程来说，想要建设成为网络性能优良的、具有很强扩展能力和升级能力的综合网络，那么在网络的设计中就必须采用层次化的网络设计原则。根据这种层次化网络设计思想的原则，我们可以把XX公安局网络改造工程的整个网络体系结构分为以下两个层次：核心层和接入层。l 冗余设计新的计算机网络一旦建成，管理局相当一部分业务都要围绕网络展开。这就对网络系统的可靠性提出了很高的要求。为了确保系统的高可靠性，在整个网络的建设中，我们建议使用冗余的设计方法来提高系统的可靠性。l 线路冗余在中心层节点与分布层之间，两两互相连结。利用STP协议可以保证在正常情况下整个网络不会出现广播风暴，同时一旦其中任何一条主用线路发生故障后，网络能够在几分钟内自动完成新的路径选择。l 设备自身可靠性中心交换机在整个系统中具有很重要的位置，因此必须有可靠性措施。设备应具有以下特点： 冗余引擎 模块支持在线热插拔 双电源 良好的网络管理支持冗余设计与投资多少是个矛盾的关系,所以,在冗余设计时我们考虑到XX公安局大楼的网络规模,主要设备采用双电源和支持在线热插拔技术。我们在XX公安局大楼网络设计中，接入层采用1000M光纤上连到核心交换机，接入层交换机则为用户端提供交换的100M接入。3 网络系统方案说明3.1 目前网络现状分析 在经过全省公安系统2，3级网络改造后，XX公安局使用核心路由器cisco 7304通过 155M POS 电路与省厅相连接，在孝感市与孝昌、云梦、大悟、安陆、汉川、应城6县之间新增10MIPOA电路，改造后的网络实现了孝感公安系统与全省公安系统各单位、各警种之间的计算机网络互联、数据交换、专线电话、视频会议等功能的高速互连。 XX公安局内网使用Catalyst 4006 L2 作为核心交换机，各应用服务器以及整个大楼内所有客户端PC均直接接入在此交换机上。核心4006交换机集联了Catalyst 2950/L2, Catalyst 2948/L3, Catalyst 2948/L3,三台交换机，其中中心的Catalyst 2950上接入了孝南分局、孝南分局三里派出所、孝南分局车站派出所、孝南分局城中派出所、孝南分局书院派出所；开发分局、开发分局航空路派出所；市局消防支队、市局消防中队、市局交警一大队、市局交警一中队、市局交警二中队、市局交警三中队、市局治安拘留所、市局押运公司这些下属单位；孝南Catalyst 2948接入了孝南分局各科室、派出所、市局第一看守所；以及开发分局、消防支队、交警支队的路由；交警Catalyst 2948接入了交警支队各科室；以及孝南分局、开发分局、消防支队的路由。 拓扑图如下：目前网络存在问题：1 网络机房分散，网络设备零散放置且工作环境较差。XX公安局办公大楼共有十层，其中有3个机房，cisco 7304放在九层的东侧机房，但机房环境较差，cisco 7304无机柜放置，连接的尾纤摆放没有入线槽线架，是比较大的安全隐患；Catalyst 4006 核心交换机放在九层西测机房，所有的服务器，以及楼层客户端PC没有规划杂乱的接入到设备中，机柜布线较混乱容易出现断线等故障；中心的Catalyst 2950 放在4楼，与ODF架及光纤混乱放在一起，无机柜，无散热，极易出故障。2 网络设备都已老化淘汰，易出硬件故障。无论从核心交换机catalyst 4006 还是2950以及2948都属于cisco 早期设备，cisco早已停产，产品的维修，以及设备一些配件都难以保证，所以硬件故障出现后难以短时间更换。3 网络结构规划较乱，设备配置不规范，路由非最优路由。核心4006接入重要服务器与楼层客户端PC没有合理规划，混乱接入容易导致重要服务器故障增多；另，4006没有配置3层模块，而且下连的2950也为2层的设备，所以无法合理的配置3层的路由信息，导致下属的各单位的3层路由需要通过下属的2台2948来配置，路由信息非常混乱。4 网络设备管理较差，安全性较差。由于没有网络管理软件，网络管理员管理维护网络设备比较困难，出现问题不能及时发现，网络设备也没有配置相关认证软件，存在非法登陆等安全性问题。3.2 网络系统改造目标 在本次网络设计方案中，所有设备还是均采用业界领先的cisco产品，办公大楼内网选用Catalyst 4507R三层交换机作为核心交换机，Catalyst 4507R无论在处理性能，冗余性能，市场占有率来说都是排在前列，在接入层内网配置接入楼层交换机Catalyst 2960，可以支持内网接入240个终端用户，而且可以方便的扩展到更多的用户。原中心2950以及孝南，交警2948可以替换为catalyst 3750 3层交换机，按照各单位合理的规划接入以及路由信息，替换的设备可以利旧来替换cisco 7304与cisco 3640路由器间的HUB。拓扑图如下：3.2.1 信息点分布根据XX公安局大楼信息点分部情况，如下：楼层信息点1F92F133F114F175F136F377F8F39F210F14目前整个大楼内共有信息点119个，以后逐步要扩展到200个点左右，所以每层配置24口的catalyst 2960 则有240个端口，方便以后扩展。3.2.2网络结构设计根据我们的经验和XX公安局对网络的需求，建议采用分层的网络设计方法,把XX公安局大楼的网络分为两层，核心层(第一层)，分布层（第二层）。网络的核心层整合到9楼西侧的计算机网络中心机房。一台cisco4507R交换机是主干网核心的交换平台，分布层设置10台Catalyst 2960交换机，通过千兆光口与Catalyst 4507R连接。各类应用服务器都通过千兆以太网接口（依业务量而定，业务量不大的服务器可以通过百兆快速以太网接口与交换机相连）与核心交换机互连。整个交换平台可以通过一条或几条（备份和负荷分担）快速以太网链路下连到3台catalyst 3750交换机，下属单位则接入到3层的3750上。3.2.3 IP地址和VLAN的设计IP地址是运行IP协议的网络中分配给每台主机的唯一标识，路由协议就是通过IP地址来寻找网络和主机，进而在任两台主机之间准确地传输数据的。理论上讲，任何两台主机的IP地址是不能重复的，否则势必造成路由的混乱，整个网络就难以正常运转了。实际上有一部分IP地址是可以重复使用的，这部分地址被称为“保留地址”，是专门给局域网和城域网内部使用的，与此相对的，那些用于网际通信的必须和主机对应的IP地址被称为“真实地址”。IANA(Intenet Assigned Number Authorit)保留给私有网络专用的地址共有三段：10.0.0.010.255.255.255整个网络A类网段；172.16.0.0172.31.255.255共16个B类网段；172.168.0.0172.168.255.255整个B类网段。使用保留地址不必向地址管理机构申请，任何网络只要内部是私有地址都可以使用这三类地址。在一个大楼网中，一般采用保留地址。所以，XX公安局大楼的网络也采用保留地址。IP地址的分配包括网段地址分配，主机和服务器地址分配，网络设备地址分配和客户机的地址分配。3.2.4 网段地址分配第一个原则是易用。因为采用保留地址，所以IP地址空间不存在问题。所以网段的IP地址的子网掩码可以采用定长方式，一般采用24位或25位的掩码长度。这种分配方式，大大节约了分配和管理的难度。而且直观明了。第二个原则是IP地址和VLAN必须相互匹配。即一个VLAN对应一个IP网段。这种方式可以和第三层交换结合起来。也是最常用的方式。可以采用定点的方式，每个网段的某个区间可以保留给服务器使用。3.2.5 网络设备地址分配网络设备的地址包括端口地址和网管地址。这两种地址可以合而为一，但建议采用分开的方式。对于第二层交换机而言，只存在网管地址，而没有端口地址。对于第三层设备而言，需要分配端口地址和网管地址，端口地址的分配原则和主机地址分配原则是相同的。对于网管地址，建议把所有的网络设备置与同一个IP网段中，并且在VLAN1。3.2.6 客户机地址分配由于客户机数量较大，静态分配是一项工作量非常巨大的任务，同时也难于管理。所以建议采用DHCP的方式。具体参见主机设计部分。3.2.7 网络设备管理随着网络规模的日益扩大，结构的日益复杂，网络管理和维护的难度也越来越大，网络管理已成为系统管理中最基本和最重要的组成部分。网络管理系统的任务是采集网络中的各种设备和设施的工作状态，信息交由网络管理监视和处理，接收网络管理员的管理指令，并向网络设备和设施发出控制指令，控制设备和设施的工作状态。 网络性能管理收集网络运行各种统计信息，例如设备和链路的负载、可用性及可靠性、网络的可用率等，优化网络性能，消除网络中的瓶颈，实现网络流量分布的均匀性，实现各种策略管理。 网络配置管理网络节点部件、端口及路由的配置，收集当前系统状态的有关信息，更改系统的配置等。 网络故障管理：维护并检查错误日志，接受错误检测报告并作出反应，跟踪错误检测报告并作出反应，跟踪及辨认错误，执行诊断测试，纠正错误等。业务量统计：对网络节点、设备等的告警产生、告警内容和告警清除的统计；根据IP地址，统计业务流量和流向，实现对网管人员操作网管设备过程的记录和统计。3.3 网络安全管理包括各种级别、层次的安全防护措施的管理，对网络中各种配置数据必须有保护措施，当网管系统出现故障时，能自动及人工恢复正常工作，不影响网络的正常运行。对cisco设备可采取AAA的认证方式来控制登陆人员及操作权限。3.4 网管软件设置 在每台网络设备上面配置SNMP网络管理协议，在核心交换机Catalyst 4507R上直连一台网管服务器，推荐使用SOLARWINDS网管软件。3.5 防病毒设置在内网核心交换机Catalyst 4507R上直连一台瑞星防病毒服务器，安装瑞星防病毒服务器软件，所有的内网计算机都将病毒库升级服务器指定为该防病毒服务器，即可实现病毒库的实时更新，从而建立网络防病毒系统。4方案的优点和特点简述4.1 方案改造的优点对整体的网络带宽和数据传输的性能都大大的提高了,CISCO Catalyst 4507R作为核心交换机,解决了核心的带宽不够和自己性能所造成的种种问题,而且4507R上两个引擎互为热备,不会因为一个引擎down掉而导致全网瘫痪,然后在孝南分局,(开发分局,派出所,消防支队),交警支队等各干路部署一台CISCO Catalyst 3750汇聚交换机,可以让各分局通独自拥有三层交换的功能,可以随这需求进行各分局的隔离和一些必要的策略,同时也可以把分担核心交换的数据流,比如孝南分局的内部不同部门有不同的地址,其内部的数据可直接进行三层交换,这可以通过汇聚交换机CISCO Catalyst 3750来现,而不像以前的老方案通过核心CISCO 4006进行三层转发.这样既增加了核心交换机CPU负担也降低了核心交换机的性能.楼层交换机更换为CISCO2950等网络设备都已老化淘汰，都属于cisco 早期设备，cisco早已停产，易出硬件故障，产品的维修，以及设备一些配件都难以保证，如果出现坏机会造成相应接入的网络瘫痪,还要另花资金去购买新的设备,这时时间上不允许的.这会直接影响到各分局的办公效率.我们还可以利用旧的cisco 2950去代替cisco7304至cisco3640的HUB,在成本上面也是很有优势,在核心配置双引擎是非常有必要的,不会因为主引擎down掉导致全网瘫痪造成的经济损失,备用引擎会立刻启动,主备之间的切换只需几百毫秒,接入直接换新设备,以免带有安全隐患而且又没有维保的设备带来较大的损失和负面影响.4.2 方案特点本方案充分利用了cisco公司提供的丰富的网络功能和强大的性能，在网络设计中考虑了各方面因素，使本方案具有以下特点：4.3 清晰的网络结构、层次化的设计在本方案中，我们对XX公安局大楼的网络设计是一个高效的二级交换的结构，即主干千兆，接入层100M到桌面的高速交换结构。中心机房工作站与服务器可通过1000M接入网络，保证访问的极高响应速率。楼层局域网通过高速千兆骨干网连接构成网络核心交换机，整个网络结构清晰，流量分布合理，便于管理和扩展。4.4 高带宽、高性能方案中选择了cisco较先进的产品Catalyst 4507R多层交换机,作为骨干交换机的Catalyst 4507R的高速交换背板，最高包转发率，同时采用了当今网络界的一些最先进技术和基于标准的PIM、IGMP广播组管理协议、IPQOS技术等，优化了网络的流量和处理能力，共同保证了网络和高性能。4.5 高可靠性整个网络方案选用了高可靠性的网络设备，并在设计上层物理层、链路层到网络层均采用备份冗余式的设计，保证了网络运行的可靠性。网络的主干是十分重要的部分，必须要保证长时间的不间断运行。在网络的主干配备双交换机以保证主干的正常运行，在XX公安局大楼使用两台Catalyst 4507R高性能交换机组成一个具有高可靠性、高性能、高带宽的交换主干。Cisco Catalyst系列交换机的运行可靠度为99.999%，可满足设备的长时间不间断运行。4.6 可扩展性下面将逐步对网络中最重要的部分：核心、主干和楼层的网络连接的扩展性作出分析。4.6.1核心的扩展性Catalyst 4507R是具有7个插槽的交换机，目前方案中的配置只用了4个，未来可加其它端口和功能模块。4.6.2 主干链路的扩展性目前大楼局域网采用的是以千兆以太网为主干的网络，通过Ether Channel技术可将多条千兆链路捆绑，达到链路带宽扩展的目的，Catalyst 4507R间最多可以捆绑多条千兆以太网链路。4.6.3 二级交换机扩展性根据用户需求，目前配备的内网10/100Mbps用户端口数为240个；由于二级交换机采用cisco可堆迭的Catalyst 2960，可以通过交换机的堆迭来扩展网络规模。所以，此方案的整体设计可满足用户目前的需求和将来的远景规划。4.7 对IP多广播的支持由于视频会议及其他相关应用的需求（如VOD等），网络设备对IP Multicast 的支持极为重要，cisco在IP多点广播的支持和应用方面一直处于网络界领先的位置，cisco的Catalyst 4507R, Catalyst 3750, Catalyst 2960等对PIM、IGMP和CGMP等协议有良好的支持。4.8 IP QOS的支持独特的队列技术和IP优先级技术为XX公安局的网络应用提供了QOS保证。可以想见，随着XX公安局业务的发展，如视频会议、网上阅览、办公系统等等，特别是实时业务的增加，网络对IP QOS的支持将决定这些应用系统正常运作。Catalyst 4507R可根据2、3、4层信息(如IP、802.1p帧的优先比特位或4层端口号) 提供端到端应用。还可配置门限的多种队列采用WRED、 WRR、业务类型业务级别(ToSCoS)映射机制，以确保数据包在第2层和3层边界传输时，QoS得到维护。由于支持多种QOS机制，如路由策略、RSVP（资源预留）、CAR、WRED、WFQ，CustomQueue，PriorityQueue,TrafficShaping（流量整型）等，应用这些QOS机制可最大限度提高多服务的性能。4.9 一体化的方便的网络管理和策略型管理无需更多的投资就可以对整个网络进行统一的管理，能够方便的进行VLAN划分、流量监控等一系列网络管理工作。4.10一体化的安全解决方案在方案中我们提供了动态VLAN、多层交换技术和端口捆绑等一系列有助于实现安全策略的独特技术，同时cisco还有众多的硬件和软件的安全产品，为XX公安局大楼提供一个全方位的网络解决方案。5设备选型、系统功能及产品说明以下是本方案中所采用的cisco各个产品的说明。5.1 Cisco 4500系列交换机Cisco Catalyst 4500系列交换机(如图)将无阻塞第二到四层交换与最优控制相集成，有助于为部署关键业务应用的大型企业、中小型企业（SMB）和城域以太网客户提供业务永续性。Cisco Catalyst 4500系列凭借众多智能服务将控制扩展到网络边缘，其中包括先进的服务质量 (QoS)、可预测性能、高级安全性和全面的管理。它提供带集成永续性的出色控制，将永续性集成到硬件和软件中，缩短了网络停运时间，有助于确保员工的效率、公司利润和客户成功。Cisco Catalyst 4500系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支，提高了投资回报（ROI），从而在延长部署寿命的同时降低了拥有成本。l 投资保护Cisco Catalyst 4500系列交换机的主要组件是可以升级和现场更换的，包括线卡、交换管理引擎、电源和风扇。1999年只作为第二层设备推出的Catalyst 4000系列线卡不但能与当前的Catalyst 4500系列完全兼容，还可以完全升级到第三层交换。l 缩短网络停运时间冗余的电源、交换管理引擎、风扇以及功能透明的线卡能够为关键业务网络奠定坚实的基础。l 网络安全Cisco Catalyst 4500系列可以在不降低交换性能的情况下提供先进的检测功能，防止网络遭受第二层以上的网络袭击。l 可扩展性Cisco Catalyst 4500可以在一个机箱内扩展到384个10/100/1000以太网供电（PoE）端口。l IP电话此机箱支持安全的大型PoE部署。l 融合利用融合型语音、视频和数据网络，各企业不但能提高生产率和机构灵活性，还能降低成本，因而能获得极高的竞争优势。Cisco Catalyst 4500系列交换机产品线机箱引擎插槽线卡插槽最高端口数Catalyst 450312116Catalyst 450615242Catalyst 4507R25244Catalyst 4510R28388l Cisco Catalyst 4000和4500系列交换管理引擎 Supervisor Engine II-Plus - 以入门级价格提供增强的第二层特性，适用于小型第二层配线间以及简单的第三层QoS和安全性。 Supervisor Engine II-Plus-TS - 在 Supervisor Engine II-Plus的基础上增加了20个线速千兆以太网（GE）端口（12个千兆以太网PoE铜线端口、8个千兆以太网SFP光端口）。只在Catalyst 4503机箱中支持。 Supervisor Engine IV - 中等配线间和第三层网络、提供增强的安全特性和第三层路由（EIGRP，OSPF，IS-IS协议，BGP）。 Supervisor Engine V - 高级性能和先进特性，在Catalyst 4510R机箱中支持242个端口。 Supervisor Engine V-10GE - 在Supervisor Engine V的基础上添加了两条万兆以太网上行链路和NetFlow。在Catalyst 4510R机箱中最多支持384个端口。 l 线卡 百兆以太网铜线 - 百兆以太网线卡包括24端口和48端口连接类型，都带可任选PoE。 百兆以太网光纤 - 支持多模光纤和单模光纤，以及FX、LX和BX收发器。 千兆以太网铜线 - 提供24端口或48端口，带或不带PoE。 千兆以太网光纤 - 千兆以太网光纤卡提供高性能千兆以太网上行链路和服务器群连接。提供多种端口数和光接口类型（千兆位接口转换器GBIC和SFP光接口）。 l 集中式架构为实现特性丰富的线速性能，明智的以太网交换机厂商采用了三重内容可定址内存（TCAM）。Cisco Catalyst 4500系列交换机使用独立TCAM资源，以独立于线速智能服务处理的方式处理第三层路由。其架构让每个功能和特性都拥有大量专用TCAM空间，以保证获得出色性能。Cisco Catalyst 4500系列的主要特性和优势特性 功能和说明 优势 机箱 模块化3、6、7和10插槽Cisco Catalyst 4500系列机箱 支持交换管理引擎(Cisco Catalyst 4507R和Catalyst 4510R上可支持2个)，带集成PoE的电源。 提供了具备高级集成永续性的通用架构，可以根据园区内联网的要求标准化。 状态化切换(SSO)和不间断转发(NSF)感知 提供双交换管理引擎，故障转换可在不到一秒内完成。保持第二层会话。路由事件期间，继续第三层转发。 大幅度缩短了网络停机时间，有助于确保业务的持续性和提高生产效率。 灵活的交换模块基于标准、自动检测和自动协商 提供众多接口选择：10/100Mbps 以太网和10/100/1000、1000Mbps千兆位以太网或10000Mbps 万兆位以太网。 支持IP园区的LAN带宽扩展，可在扩展网络时提供方便的移植。 64Gbps容量背板 (Cisco Catalyst 4503) 每秒转发超过4800万64字节以太网分组。 可以满足一个系统所有接口以线速全面运行的吞吐量要求。 100Gbps容量背板 (Cisco Catalyst 4506和Catalyst 4507R) 为线速、无阻塞 75 mpps转发提供了充足的容量。 可以满足一个系统所有接口以线速全面运行的最糟糕情况下的吞吐量要求（无阻塞矩阵要求配备Supervisor Engine II-Plus、IV或V或 V-10GE)。 136Gbps容量背板 (Cisco Catalyst 4510R) 为线速、无阻塞102 mpps转发提供了充足的容量，支持多达8个接口模块。 无阻塞、高密度应用。 集成Cisco IOS软件增强了第三层交换(Cisco Catalyst 4000/4500 supervisor engines IV和V) 以千兆位速度提供基于ASIC的IP路由。 提供了网络流量的第三层子网控制功能；成熟的路由协议。 多层QoS 为第二层CoS和第三层ToS、流量整形、共享、监督和带动态缓冲限制（DBL）的拥塞避免机制，提供了QoS功能。在每个端口上提供了多个队列。 为网络流量优先排序提供了集中控制功能；可方便地创建和管理策略，以保护关键任务应用。 入口和出口监督(Cisco Catalyst supervisor engines II-Plus、IIPlus-TS、IV、V和V-10GE) 在每个端口基础上，在入口识别分组，在出口重新分类和重新标记分组。 根据用户定义的流量分类方法，提供了精确的流量控制功能，确保了QoS策略的实施。 集成 PoE 为连接到支持PoE的Cisco Catalyst 4500系列交换机端口的设备提供电源。设备包括IP电话、接入点、摄像机和其他符合思科或IEEE 802.3af标准的设施。 为桌面提供了单一线路；无需办公间不间断电源（UPS）。 全面的安全性 802.1x，用于基于身份的网络服务 使用经过思科增强的802.1x协议，无论用户位于何处或使用什么设备，网络都可根据用户登陆信息来授予许可权。 允许不同的人员使用相同PC，但拥有不同功能，以便用户无论采用何种方式登陆网络，都只能获得他们指定的权利防止了未授权访问。 ACL 仅限用户访问网络的指定区域，防止对于所有其他应用和信息的未授权访问。 防止针对服务器和应用的未授权访问；只允许指定用户访问特定服务器。 专用VLAN 防止用户看到其他人在同一交换机上生成的流量。 有助于确保同一交换机上用户的保密性。 受密码保护的管理界面 需密码来通过Telnet或SSH进行本地或远程访问。 提供针对未授权配置修改的保护。 5.2 Catalyst 3750 交换机u 产品概述思科新推出的Cisco Catalyst 3750系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个新的产品系列采用了最新的思科StackWise技术，不但实现高达32Gbps的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统-就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。对于中型组织和企业分支机构而言，Cisco Catalyst 3750系列可以通过提供配置灵活性，支持融合网络模式，已经自动配置智能化网络服务，降低融合应用的部署难度，适应不断变化的业务需求。此外，Cisco Catalyst 3750系列针对高密度千兆位以太网部署进行了专门的优化，其中包含多种可以满足接入、汇聚或者小型网络骨干网连接需求的交换机。图1 Cisco Catalyst 3750系列交换机u 产品简介对于中型机构和企业分支机构来说， Cisco Catalyst 3750系列通过提供配置灵活性、支持融合网络模式及自动进行智能网络服务配置，简化了融合应用的部署，并可针对不断变化的业务需求进行调整。此外，Cisco Catalyst 3750系列针对高密度千兆位以太网部署进行了优化，包括多种交换机，以满足接入、汇聚或小型网络骨干连接需求。 Cisco Catalyst 3750系列可采用标准多层软件镜像（SMI）或增强多层软件镜像（EMI）。SMI特性集包括高级服务质量(QoS)、限速、访问控制列表(ACL)，以及基本静态和路由信息协议(RIP)路由功能。EMI则提供了更为丰富的企业级特性集，包括先进的基于硬件的IP单播和组播路由Cisco Catalyst 3750G-48TS48个以太网10/100/1000端口和4条SFP上行链路Cisco Catalyst 3750系列可采用标准多层软件镜像（SMI）或增强多层软件镜像（EMI）。SMI特性集包括高级服务质量(QoS)、限速、访问控制列表(ACL)，以及基本静态和路由信息协议(RIP)路由功能。EMI则提供了更为丰富的企业级特性集，包括先进的基于硬件的IP单播和组播路由。u Cisco StackWise技术实现可堆叠永续性新标准Cisco StackWise技术是一种针对千兆位以太网而优化的重要堆叠架构。该技术的设计旨在保持稳定性能的同时进行交换机的添加、拆除和重部署。Cisco StackWise技术使用特殊的堆叠互联电缆和堆叠软件，可将最多9个独立Cisco Catalyst 3750交换机整合到单一逻辑单元中，由从中选出的主交换机管理。主交换机自动创建和更新所有交换和可选路由表。工作中的堆叠能在不影响服务的情况下接收新成员或拆除旧成员。u 主要特性和优势l 易于使用“即插即用”配置工作中的堆叠可进行自管理和自配置。在添加或拆除交换机时，主交换机自动将堆叠上运行的Cisco IOS软件版本加载到新交换机上，加载全局配置参数，并更新所有路由表来反映变化。更新同时普遍地应用于堆叠的所有成员。Cisco Catalyst 3750系列可将9个交换机堆叠为单一逻辑单元，共提供468个以太网或PoE 10/100端口，或468个以太网10/100/1000端口或PoE 10/100/1000端口，或是9个万兆位以太网端口。随着网络需求的发展，能以任意组合添加10/100、 10/100/1000和万兆位以太网端口。l 通过降低运营成本而实现投资回报对全局配置参数的Cisco IOS软件版本自动检查和加载提供了第一级的运营时间节约。在发生停运时实现第二级节约。当您将一个发生故障的交换机从现有交换机堆叠中拆除，并将其换为另一交换机时，主交换机将认为这是一次维护停运，无需用户干预，即可自动重载以前交换机的端口级配置。这使 IT经理可让远程地点的当地人员执行维护任务，而不必花费大量成本地派遣技术人员前往现场。 l 混合和匹配交换机类型随您对网络的扩展而付费堆叠可用Cisco Catalyst 3750交换机的任意组合来创建。需混合10/100和10/100/1000端口、PoE和布线室汇聚功能的客户可以逐步开发接入环境，只为他们所需的性能付费。当需要增加上行链路容量时，您可方便地升级您的带宽，只需向堆叠添加一个万兆位以太网版本，另外，您也可在现有光纤上将您的千兆位以太网链路升级为万兆位以太网。 l 可用性第二层和第三层的不间断性能Cisco Catalyst 3750系列提高了可堆叠交换机的可用性。每个交换机既可作为主控制器，也可作为转发处理器运行。堆叠中的每个交换机都可作为主交换机，为网络控制创建了一个1:N可用性体系。万一有一个设备发生故障，其他所有设备会继续转发流量，维持运行。l 智能组播为融合网络提高新效率水平凭借Cisco StackWise技术，Cisco Catalyst 3750效率为视频等组播应用提供了更高效率。每个数据分组仅被在背板上处理一次，从而为更多数据流提供更为有效的支持。l 出色的服务质量以线速在整个堆叠上提供Cisco Catalyst 3750系列以千兆位以太网速度提供了使一切顺畅运行的智能服务其速度甚至达到了普通网速的10倍。业界领先的标记、分类和排队机制为数据、话音和视频流量提供了最佳性能且均以线速提供。l 网络安全性对于接入环境的精细控制Cisco Catalyst 3750系列支持用于连接和接入控制的全面安全特性集，包括ACL、身份验证、端口级安全性，以及带802.1x 和扩展、基于身份的网络服务。这一全面的特性集不仅有助于防御外部攻击，而且还可保护网络免遭“中间人”攻击，这是当前业务环境中的一个主要安全问题。l 简单的IP管理多个交换机，一个地址每个Cisco Catalyst 3750系列堆叠都作为单一对象管理，采用单一IP地址。对于故障检测、VLAN创建和修改、网络安全及QoS控制等活动，进行单一IP管理。l 巨型帧支持高要求应用Cisco Catalyst 3750系列支持10/100/1000配置中的巨型帧，用于需极大型帧的高级数据和视频应用。Catalyst 3750 系列在硬件中支持IPv6路由，可实现最高性能。随着网络设备的增多，对于更大型编址和更高安全性的需求日益关键，Catalyst 3750系列将作好满足这些需求的准备。 l 标准PoE支持顺畅地添加IP通信Cisc