海口香格里拉国宾馆网络系统建议设计方案

1、海口香格里拉国宾馆网络系统建议设计方案广州市晓通网络科技有限公司二O一O年十二月目录1引言11.1宾馆介绍11.2设计要求11.3设计原则12设计内容22.1总体设计要求22.2局域网设计32.3网络设计32.4数据交换网络42.4.1核心交换区42.4.2互联网接入区52.4.3办公区52.4.4客房区52.5无线部署52.5.1轻型接入点协议62.5.2集中型无线局域网控制器73用户认证103.1有线用户认证103.2无线用户认证113.2.1802.1x 概述113.2.2可扩展验证协议 (EAP) 验证类型123.2.3数据保密144产品介绍144.1Catalyst 4500141

2、引言1.1 宾馆介绍海口香格里拉国宾馆位于海南省海口市，古朴的建筑屹立于椰林之中，面朝蔚蓝大海，洁白的沙滩。建筑面积6000，建筑的古典气息与大自然浑然一体,室内设计结合新古典主义的设计手法并将大自然的元素融入其中，追求尊贵、典雅，体现低调奢华装饰效果，使之成为海南省最高标准的政务酒店。海口国宾馆位于海口市秀英区滨海大道256号，北侧临海地块，建筑用地面积约84865.6平方米（约130亩），总建筑面积为75314.69平方米。由主楼及地下室（地下1层、地上10层）、总统楼（地下1层、地上3层）、6栋别墅（私家别墅3栋、客房别墅3栋）；海边婚礼堂1栋（各楼层具体分布见平面图所示）；按国际五星级

3、酒店标准设计，由香格里拉国际酒店管理集团负责管理。1.2 设计要求根据本项目系统数据量及传输的特点，采用技术先进成熟的千兆以太网作为网络的骨干，通过快速以太网实现10/100M到用户桌面的交换速率，保证数据有效和可靠传输，并且还具有良好的扩展性，同时满足今后骨干网络平滑升级到万兆。网络中还应采用先进的网管系统，实现信息流程的科学管理，使整个网络的效率达到最佳状态；采用流行的TCP/IP协议，同时可以对网络设备进行监控管理。同时采取各种有效的方法最大限度保证网络中心的数据安全性，特别是对复杂广泛的外部网络访问用户的安全控制以及VPN的接入。1.3 设计原则海口香格里拉国宾馆网络设计，在总体上首先

4、需满足实用性、先进性、高可靠性、先进性、高安全性、可维护性、可扩展性和灵活性等原则。 实用性充分满足现在及将来5年内的各种需求，真正为海口香格里拉国宾馆的日常运作、管理决策及信息交流提供强有力的支持。 高可靠性一个实用的系统同时必须是可靠的，本设计通过合理而先进的网络系统设计及软、硬件的优化选型，以保证系统的可靠性与容错性，避免灾难性事故发生。 先进性本系统同时存在多种应用，数据交换将是大量的，因此要求系统具有很大的带宽。本设计将充分应用现有成熟的先进技术，选用先进的设备，提供高性能的系统，采用先进的软件技术，为永亨银行提供可靠、高效的服务。 高安全性在设计中，充分利用网络硬件、网络软件及系统

5、提供的各种安全措施，既保证用户仅能高效、快速地访问权限范围内的系统资源，安全访问Internet，也能有效地阻止用户之间的非法侵入、非授权访问、互联网上黑客的攻击，保证各部门重要数据的安全性，同时，也保证Internet的私密性。 可维护性系统开通后，维护工作将是一个长期的工作，考虑到管理维护的可视化、层次化及控制的实时性，本设计将充分利用相应的图形化网络管理技术，真正做到系统的所有资源状况一目了然，能充分保证将设备故障控制在有限范围，保证整个整个网络正常运行。 同时，通过培训建立、健全用户的系统管理员队伍等相应手段降低维护工作量及难度，从而达到保证运行可靠及节省费用的目的。 可扩展性和灵活性

6、网络技术是不停发展的，用户的应用需求也是发展和变化的。在设计中，我们将充分考虑网络应用系统扩展升级的潜在要求，以及对各种不同结构、不同协议、不同标准的网络及设备的支持，保证本系统能适应网络系统及应用系统的扩展和升级。在满足上述一般网络设计要求的基础上，网络系统还需要满足可靠性、QoS、扩展性、网络互联、通信协议、网管与安全等方面的要求。2 设计内容本设计方案按照海口香格里拉国宾馆的设计要求，分别描述海口香格里拉国宾馆网络系统的各个功能模块。2.1 总体设计要求海口香格里拉国宾馆计算机网络系统设计要求要求分为两套网络：宾馆管理网（内网）和客房宽带网络（外网），两套网络通过VLAN隔离。图1是海口

7、香格里拉国宾馆网络系统的建议组网架构：图2：网络拓扑图2.2 局域网设计采用国际标准TCP/IP协议，所选用的设备和技术符合国际标准；采用核心层、接入层两层的部署模式，核心层与接入层采用千兆连接，接入层与终端信息点采用百兆连接，其中重要服务器直接与核心交换机连接；核心层采用千兆以太网技术，核心交换机冗余配置、与接入交换机之间实现链路容错等功能，同时具备万兆的平滑扩展能力；接入层要求支持堆叠，支持两个千兆上行口，本期每台接入交换机至少配置1个千兆上行口。2.3 网络设计Internet信息交流：可通过多个运营商提供Internet接入服务，同时通过Internet实现资源共享、信息流转、开展网上

8、宽带多媒体业务、WEB信息发布、电子邮件和信息查询等服务。2.4 数据交换网络2.4.1 核心交换区海口香格里拉国宾馆核心交换区作为整个网络的核心，需要连接不同的功能区域，实现数据的高速转发功能。由于性能是该功能区最关键的因素，所以必须选用高性能的三层交换机，用以高效转发网络数据。同时，作为网络中最核心的设备，该设备是否正常运行直接影响所有区域间的互相访问，如果核心网络出现故障中断的话，会直接影响酒店日常业务的开展，所以设备运行稳定性也是选择核心交换机的一个关键指标。根据网络设计的原则，在网络建设中，根据实际应用和长远设计，为保证整个系统的高效率、高安全性、高可靠性和高稳定性，来保障网络的高可

9、用性，网络中心采用两台思科高性能的路由交换机Catalyst4507R+E，设计为双核心的互为备份容错互连结构，各楼层交换机分别采用千兆双链路上联核心区，分别连接两台核心交换机。在核心层两台Catalyst4500之间做1000兆链路聚合，在全双工的模式下可以达到4000兆，该功能把两个设备之间的多条线路绑定成一条逻辑的线路，不仅提高了网络带宽，而且当其中一条线路失效以后，剩余的链路可以继续进行所有数据的转发，不影响网络的正常运行，避免了回路的形成，还增强冗余备份和负载均衡。采用两台核心交换机Catalyst4500做双机互为容错备份充分体现了网络系统的高可靠性，启用HSRP、VRRP协议等技

10、术；HSRP和VRRP协议通过在两台互备份的交换机上对每个VLAN用户提供一个统一的虚拟网关IP地址，相应VLAN用户设置PC网关地址时就设置成为该虚拟网关IP，用户工作时并不用关心真正负责数据传输的交换机，在真正负责用户数据传输的交换机出现故障时HSRP协议可以自动地把用户数据的转发工作转移到另一台交换机，不仅实现了设备间的备份功能，而且不必更改用户的网络设置。双核心双链路交换系统不存在单点故障，是一种高级别交换完全冗余的容错方案，这样即使其中一条链路断线或一个主干交换机发生故障，都能在用户觉的极短的时间内启用备份恢复数据传递，从而保证网络系统的高可靠性和稳定性。基于以上考虑，我们建议选用两

11、台Cisco 4507R+E交换机组成海口香格里拉国宾馆网络的核心交换机。两台Cisco 4507R+E交换机通过HSRP协议，组成一台逻辑交换机为其他设备提供数据传输服务，即使其中一台核心交换机因为故障而中断，另外一台核心交换机仍然可以继续提供数据传输服务，不会对海口香格里拉国宾馆的业务造成影响。2.4.2 互联网接入区酒店需要为客人及工作人员提供互联网服务，在提供互联网接入同时需要保证线路的可靠性，安全性，避免因为访问互联网而带来的安全风险。互联网接入会带来众多的安全风险，如网络入侵，蠕虫攻击，病毒感染，钓鱼攻击等，为了保护酒店内部的运行安全，避免信息泄露，防止因为机器中毒对网络造成的影响

12、，我们建议选用Cisco ASA5500系列防火墙进行安全防护。为了保证互联网访问的稳定可靠，建议使用两个运营商的互联网接入线路，保证互联网接入的高可用性，避免因为一个运营商链路出现故障而影响使用。2.4.3 办公区酒店办公区为酒店办公网提供接入，为办公用户提供访问其他网络的途径，提供打印机及文件共享等服务。我们选择使用Cisco 2960交换机为办公区提供高可靠的接入。2.4.4 客房区客房区为客户提供网络接入服务，我们建议选择使用Cisco 2960系列交换机作为客房的接入，配合无线接入区的无线覆盖，这样可以为客户提供一个满意的网络接入环境。2.5 无线部署为了全面地满足酒店的RF管理需求

13、，思科设计了一个集中、简便的集中WLAN架构。它的核心组件是 “分离MAC”体系，即将对802.11数据和管理协议的处理，以及接入点功能分别部署于一个轻型接入点和一个集中WLAN控制器（下图所示）。更加特别的是，对时间敏感的活动例如信标处理、与客户端的握手、介质访问控制（MAC）层封装和RF监控都是由接入点处理的。所有其他活动都由WLAN控制器处理，它需要具备整个系统的可见度。这包括802.11管理协议、帧转换和桥接功能，以及对于用户移动、安全、QoS和可能更加重要的是实时RF管理的系统级策略。 图2：典型的MAC地址分离思科无线局域网控制器具备的实时RF管理对于思科轻型无线解决方案具有重要的

14、意义。它是思科产品的一项独有特色。思科无线局域网控制器可以利用动态算法，创建一个完全自行配置、优化和治愈的环境，让思科WLAN适用于提供安全、可靠的业务应用。这是通过执行下列RRM功能实现的：l 无线资源监控l 动态信道分配l 干扰检测和避免l 动态发射功率控制l 覆盖盲区检测和纠正l 客户端和网络负载均衡2.5.1 轻型接入点协议酒店无线解决方案采用LWAPP协议，即翻译为轻型接入点协议，WLAN领域的趋势是向集中智能和集中控制发展。使用一个WLAN控制器系统来为大量轻型接入点创建和执行策略。通过集中这些设备的智能特性，整个无线企业中对WLAN运营至关重要的安全性、移动性、服务质量 (QoS

15、)和其他功能都可得到有效管理。此外，通过分离接入点和控制器的功能，IT人员能简化管理、提高性能并使大型无线网络更为安全。图3：轻型WLAN系统集中RF管理和策略控制随着更多供应商移植到层次化设计，并用轻型接入点构建更大型的网络，市场上需要一种管理轻型接入点如何与WLAN系统通信的标准化协议。这也正是互联网工程任务小组（IETF）最新规范草案，即轻型接入点协议（LWAPP）的作用所在。凭借LWAPP，能部署功能最多、具更高灵活性的大型多供应商无线网络。2.5.2 集中型无线局域网控制器网络方案中建议选用的思科无线局域网控制器适用于酒店无线局域网部署，并提供了系统级无线局域网功能，如安全策略、入侵

16、防御、RF管理、服务质量(QoS)和移动性。它们与Cisco 1140系列轻型接入点和思科无线控制系统(WCS)软件共用，可支持关键的无线应用。从语音和数据服务到地点跟踪，WLAN控制器提供了必要的控制能力、可扩展性和可靠性，以便IT经理能构建从分支机构到主园区的安全、企业级无线网络。思科无线局域网控制器可平稳地集成入现有企业网络中。它们使用轻型接入点协议（LWAPP），与Cisco 1140系列轻型接入点在任意第二层（以太网）或第三层（IP）基础设施上通信。这种新型IETF标准有助于确保接入点和无线局域网控制器间的通信安全，可完全自动地支持重要的无线局域网配置和管理功能，从而实现经济有效的无

17、线局域网运营。图4：思科无线控制器图5：思科无线控制器部署方式思科无线局域网控制器使酒店能为支持关键业务应用的端到端无线局域网系统，创建和实施策略。多个WLAN控制器可自动相互发现，并在它们之间无缝协调WLAN服务。以这种方式，思科无线局域网控制器可作为单一无缝系统运行，提供一个有数千AP的可扩展WLAN网络。从语音和数据服务到地点跟踪，WLAN控制器提供了必要的控制能力、可扩展性和可靠性，以便IT经理能构建安全的企业级无线网络。Cisco 5500系列无线局域网控制器适用于大中型机构，这里推荐的WLC 5508带有8个千兆以太网端口，可支持500个接入点。此外，每个5500 WLAN控制器均

18、支持一个可选冗余电源，以确保最高可靠性。所有思科WLAN控制器都配备了用于自适应实时RF管理的内嵌软件。思科WLAN系统使用即将荣获专利的无线资源管理(RRM)算法，来实时发现空中无线资源使用的变化并作出调整。这些调整以类似于路由协议为IP网络计算最佳拓扑的方式，为无线网络创建最优拓扑。图6：思科无线控制器部署方式思科无线局域网控制器所管理的特定智能RF功能包括：1、 动态信道分配802.11信道可根据不断变化的RF情况进行调整，以优化网络覆盖范围和性能。2、 干扰检测和避免该系统可检测干扰并重新调整网络，以避免性能问题。3、 负载均衡此系统对多个接入点提供了自动的用户负载均衡，即使负载量很大

19、，也能获得最优网络性能。4、 覆盖盲区检测和修复无线资源管理(RMM)软件可发现覆盖盲区，并尝试通过调整接入点的功率输出来修复它们。5、 动态功率控制该系统可动态调整各接入点的功率输出，来适应不断变化的网络情况，以确保达到预期的无线性能和可靠性。无线局域网控制器支持实时应用思科无线局域网系统提供最佳性能来支持语音等实时应用。思科无线局域网控制器可迅速在接入点和多个控制器间切换，在不干扰客户端服务的情况下平稳移动。智能的队列和争用管理机制可高效管理无线频谱空间。此外，思科无线局域网控制器在使用802.11i安全时，支持PKC，可提供实时性能和移动性。思科也支持兼容Wi-Fi多媒体(WMM)、基本

20、符合新兴IEEE 802.11e标准的QoS功能。一旦最终标准得到批准，通过一次软件升级，即可完全符合最终标准。无线局域网控制器支持移动性思科无线局域网控制器使用户可在接入点、交换机，甚或路由子网间漫游。无论用户漫游到何处，安全和QoS上下文信息都一直跟随着用户，以确保移动不会影响性能、可靠性或保密性。思科无线局域网控制器无需对现有基础设施或客户端设备作任何修改，即可实现移动性。因此，思科无线局域网系统易于部署，其拥有和运营均经济高效。无线局域网控制器为企业提供可靠性思科为关键任务型无线网络提供了最高水平的可靠性。在接入点发生故障时，无线局域网控制器可自动调整邻近接入点的功率，以覆盖故障接入点

21、原来提供服务的区域。在单个控制器发生故障时，接入点可自动找到一个备用无线局域网控制器，来继续提供无线服务。思科无线局域网控制器能以N+1冗余拓扑部署，使企业在扩展其无线网络的同时，确信他们不会发生硬件和软件问题。只有思科无线局域网解决方案能使用户不必降低可靠性，即能控制无线部署的成本。Cisco 4400系列支持冗余电源，确保即使发生了电源故障，也可保持系统运行。3 用户认证3.1 有线用户认证在传统的局域网环境中，只要有物理的连接端口，未经授权的网络设备就可以接入局域网，或者是未经授权的用户可以通过连接到局域网的设备进入网络。这样给一些企业造成了潜在的cisco交换机安全威胁。802.1x协

22、议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性，实现了LAN端口上的设备认证。在认证过程中，LAN端口要么充当认证者，要么扮演请求者。在作为认证者时，LAN端口在需要用户通过该端口接入相应的服务之前，首先进行认证，如若认证失败则不允许接入。在作为请求者时，LAN端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃，从而确保最大限度的cisco交换机安全性。在802.1x协议中，只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。 客户端：一般安装在用户的工作站上，当用

23、户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。 认证系统：在以太网系统中指认证交换机，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。 认证服务器：通过检验客户端发送来的身份标识来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。3.2 无线用户认证思科无线解决方案可以通过MAC地址过滤、WEB认证以及EAP认证来实现对非法用户的控制。扩展认证协议（EAP），是一个普遍使用的认证机制，它常被用于无线网络或点到点的连接中。EAP不仅可以用于无线局域网，而且可以用于有线局域网，但它在无

24、线局域网中使用的更频繁。当EAP被基于802.1x的网络接入设备（诸如802.11a/b/g ，无线接入点）调用时，现代的EAP方法可以提供一个安全认证机制，并且在用户和网络接入服务器之间协商一个安全的PMK。该PMK可以用于使用TKIP和AES加密的无线会话。3.2.1 802.1x 概述它是一种通过认证保护网络的端口访问协议。此类型的验证方法在无线环境中因该媒体的性质而特别有用。如果无线用户通过 802.1x 网络访问验证，接入点上会打开一个用于通信的虚拟端口。如果验证不成功，则不会提供虚拟端口，并将阻断通信。802.1x 验证分为 3 个基本部分：请求者 - 在无线工作站上运行的软件客户

25、端 验证者 - 无线接入点 认证服务器 - 一个认证数据库，通常是一个 Radius 服务器（例如 Cisco ACS*、Funk Steel-Belted RADIUS* 或 Microsoft* IAS*）EAP (可扩展验证协议) 用于在请求者（无线工作站）和验证服务器（(Microsoft IAS 或其它）之间传输验证信息。实际验证有 EAP 类型定义和处理。作为验证者的接入点只是一个允许请求者和验证服务器之间进行通信的代理。802.1x身份验证过程：验证阶段：针对本地数据库校验用户名和密码。校验用户身份后，开始授权过程。 授权阶段：确定是否允许一个请求访问一个资源。一个 IP 地址被

26、分配给该拨号客户端。审计阶段：收集资源利用的信息，用于趋势分析、审计、会话时间收费或成本分配 图5：802.1x认证过程应用哪一类 EAP 或是否应用 802.1x 取决于机构所需的安全级别和所需的额外管理和功能。此处的说明和比较表将帮助减少了解各种可用 EAP 类型的困难。3.2.2 可扩展验证协议 (EAP) 验证类型 由于 WLAN 安全是非常必要，EAP 验证类型提供了一种更好地保障 WLAN 连接的方式，经销商正在迅速开发和添加 EAP 验证类型至他们的 WLAN 接入点。部分最常部署的 EAP 验证类型包括 EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-Fast 和

27、Cisco LEAP。 EAP-MD-5 (消息摘要) 质询是一种提供基本级别 EAP 支持的 EAP 验证类型。EAP-MD-5 通常不建议用于无线 LAN 执行，因为它可能衍生用户密码。它仅提供单向验证 - 无法进行无线客户端和网络之间的互相验证。更为重要的是，它不提供衍生动态、按对话有限对等保密 (WEP)密钥的方法。 EAP-TLS (传输层安全) 提供为客户端和网络提供基于证书及相互的验证。它依赖客户断和服务器方面的证书进行验证，可用于动态生成基于用户和通话的 WEP 密钥以保障 WLAN 客户端和接入点之间的通信。EAP-TLS 的不足之处在于必须由客户端和服务器端双方管理证书。对

28、于较大的 WLAN 安装，则是比较重的任务。 EAP-TTLS (隧道传输层安全）是由 Funk Software and Certicom 开发的，作为 EAP-TLS 的扩展。此安全方法通过加密通道（或“隧道”）为客户端和网络之间提供基于证书的相互验证，同时作为衍生动态及按用户和对话的 WEP 密钥。与 EAP-TLS 不同，EAP-TTLS 仅需要服务器方面的证书。 EAP-FAST (通过安全隧道灵活认证) 是由 Cisco 开发的。相互验证是通过 PAC （保护访问资格）而非使用证书实现的，它可以通过认证服务器进行动态管理。PAC 既可手动也可自动配备（一次配发）到客户端。手动配备是

29、通过磁盘或可靠的网络分发方法配送到客户端。自动配备是指带内、以无线方式分发。 LEAP (轻型可扩展验证协议) 是一种 EAP 验证类型，主要用于 Cisco Aironet WLAN。它使用动态生成的 WEP 密钥对数据传输进行加密，并支持相互验证。至于其所有权，Cisco 已通过 Cisco Compatible Extensions 计划，将 LEAP 授权给其它制造商许可使用。 PEAP (受保护的可扩展验证协议)通过 802.11 无线网络提供了一种安全传输验证数据的方法，包括传统的密码保护协议。PEAP 通过使用 PEAP 客户端和验证服务器之间的“隧道”来实现。同竞争对手标准“隧

30、道传输层安全”(TTLS) 一样，PEAP 使用服务器单边证书来验证无线 LAN 客户端，从而简化了安全无线 LAN 的执行和管理。Microsoft、Cisco 和 RSA Security 都开发了 PEAP。表2. 802.1x EAP阅读上述讨论和表格，不难得出以下结论： MD5 不常用，因为它只执行单向验证，更重要的是它不支持自动分配和转动 WEP 密钥，无法减轻手动 WEP 密钥维护的管理负担。 TLS 非常安全，但需要在各个无线工作站上安装客户端证书。维护 PKI 基础结构时，除了维护 WLAN 本身以外，还需要其它管理方面的专门技术和时间。 TTLS 通过与 TLS 建立通道来

31、解决证书问题，除去了在客户端安装证书的麻烦。因此，此类型通常是首选项。TTLS 主要由 Funk 销售，而且需为请求者和验证服务器软件付费。 LEAP 历史悠久，但先前由 Cisco 专有（仅与 Cisco 无线适配器一起使用），Cisco 已通过 Cisco Compatible Extensions 计划，将 LEAP 授权给其它制造商许可使用。在 LEAP 用于验证时，应执行强密码政策。 EAP-FAST 现在可用于不能实行强密码政策和不想配置验证证书的企业。最新的 PEAP 与 EAP-TTLS 的工作原理类似，不需要客户端证书。PEAP 由 Cisco 和 Microsoft 提供支

32、持，可以从 Microsoft 免费获得。如果想要从 LEAP 转换为 PEAP，Cisco 的 ACS 验证服务器可以运行这两种类型。3.2.3 数据保密数据保密是通过在传输前使用保密键对数据进行加密，然后在接收端再进行解密 (恢复普通数据)而实现的。有线对等加密（WEP）提供的安全性较弱；因此，目前已开发出其他更好的保护无线数据的方法（如 WPA 和 WPA2）。 WPA*（Wi-Fi* 保护访问）Wi-Fi 联盟在 2003 年底引入了此基于标准的解决方案，作为其应对 802.11i 修订的要求，开发更稳健的无线 LAN 安全解决方案的成果。WPA 包括 802.1x 认证和 TKIP

33、加密 (更强和更安全形式的 WEP 加密）。 WPA2*（Wi-Fi 保护访问 2）Wi-Fi 联盟在 2004 年底发布了这一第二代 WPA 安全方案。像 WPA 一样，WPA2 也包含 802.1x 认证。根据 802.11i 修订，WPA2 使用高级加密标准（AES）保护数据保密。 WPA 个人和 WPA2 个人对于无认证服务器的小办公室和家庭用户而言，访问授权是通过使用预共享的密钥（PSK）决定的。预共享密钥是十六进制字符串或口令，接入点和所有客户端间的预共享密钥必须匹配。使用 WPA 个人或 WPA2 个人方法时，没有可用的 802.1x 安全类型。4 产品介绍4.1 Catalys

34、t 4500系列交换机Catalyst 4500E作为世界最畅销的模块化交换机，性能有了新的提升： 2.6倍的性能提升，交换能力达到848Gbps，每插槽带宽达48Gbps IOS XE 操作系统的可扩展性 Flexible NetFlow技术提供更高性能的应用 802.1ae TrustSec 的提供以太网的逐跳加密 完全的向后兼容性l 概述采用了 CenterFlex 技术的Cisco Catalyst 4500 系列交换机能够通过安全、灵活、不间断的通信，提供可以扩展的无阻碍L2-L4层交换，从而帮助部署了关键业务应用的企业、中小企业（SMB）和城域以太 网客户实现业务永续性。由于 Ci

35、sco Catalyst 4500 能够为企业配线间和SMB 接入/核心层提供先进的动态服务质量（QoS）功能和配置灵活性，因而能提供可以预测和扩展的高性能。硬件和软件中的集成式永续特性有助于提高网络可用 性，以提高劳动力的生产率和企业的盈利能力，并保证客户成功。Cisco Catalyst 4500创新、灵活的集中式系统设计有助于顺利迁移到线速 IPv6 和万兆以太网。几代 Cisco Catalyst 4500 系列的灵活性、可扩展性以及向前和向后兼容性，延长了部署周期，提供了卓越的投资保护，并降低了总体拥有成本。Cisco Catalyst 4500 系列（图1）包括四种机箱：Cisco

36、 Catalyst 4510R-E （10个插槽）、Cisco Catalyst 4507R-E（7个插槽）、Cisco Catalyst 4506-E （6个插槽）和 Cisco Catalyst 4503-E （3个插槽）。Cisco Catalyst 4500 系列采用统一的架构，并使用 能够扩展到 388 个以太网端口的现有Cisco Catalyst 4000 系列线路卡。由于 Cisco Catalyst 4500 E 系列能够与现有 Cisco Catalyst 4000 和4500 系列线路卡兼容，因而扩展了在融合型网络中部署的范围。Cisco Catalyst 4500 系列

37、包括“典型”管理引擎和线路卡，以及新开发的“E系列”管理引擎和线路卡。典型管理引擎和线路卡的每个线路卡插槽提供6千兆交换容量，转发性能为 102Mpps。新开发的E系列管理引擎和线路卡提供很多增强特性，包括每个线路卡插槽24千兆交换容量，以及250Mpps的总转发性能。图6：Catalyst 4500机箱l 融合在当今竞争异常激烈的商业环境中，由于融合型网络能够提高生产率和组织灵活性，并降低运营成本，因而能够帮助各机构增强竞争优势。 将数据、语音和视频集成在同一个IP网络中，例如统一通信，要求交换基础设施能够分辨各种流量类型，并根据其独特的要求进行管理。Cisco Catalyst 4500

38、系列提供的交换基础设施与Cisco IOS Software 结合在一起，能够提供先进的不间断服务和控制。l 安全的不间断服务Cisco Catalyst 4500 系列为将要通过集成解决业务问题的所有应用提供网络基础设施。如果能够利用集成式永续性扩展智能网络服务，将能够有效控制各种流量，而且只需要短时间的计 划内和计划外停机。Cisco Catalyst 4500 通过以下措施提供这种控制： 集成式永续性：由于 Cisco Catalyst 4500 系列采用了冗余管理引擎（一秒内故障切换）功能（Cisco Catalyst 4507R-E 和 4510R-E 交换机）、先进的容错软件、完全

39、图像不间断的软件升级服务（ISSU）、冗余风扇和1+1冗余电源，因而缩短了网络停机时间。另外，所有 Cisco Catalyst 4500 系列机箱都采用了集成式以太网供电（PoE），从而简化了设计，减少了统一通信的故障点数量。 高级安全性：对已获专利的思科L2安全特性的支持有助于预防来自恶意服务器的攻击以及通过截获密码和数据 发动的“中间人”攻击。另外，为消除恶意网络攻击者产生的流量，还支持L2-L4过滤和限速。 先进QoS：通过模块化 QoS CLI（MQC）和多达64,000个 QoS 策略项，基于L2-L4的集成式QoS和流量管理功能能够识别并优先处理关键业务和时间敏感型流量。Cisc

40、o Catalyst 4500 系列可以利于基于主机、网络和应用信息的输入和输出限速器等机制，对带宽密集型流量实施整合和限速。 全面管理：Cisco Catalyst 4500 系列为所有端口的配置和控制提供基于 Web 的管理，以便集中管理关键网络特性，例如可用性和响应能力。 l 可扩展的架构由于融合消除了独立的语音、视频和数据基础设施，因而降低了网络的总体拥有成本，简化了管理和维护。Cisco Catalyst 4500 系列的模块化架构具有很高的可扩展性和灵活性，不需要部署多个平台，从而降低了维护费用。为进一步延长客户的网络设备部署周期，Cisco Catalyst 4500 系列提供以

41、下特性： 线路卡的向后兼容性：为增强功能而升级到新管理引擎之后，客户可以灵活地重用原有线路卡，也可以升级到更高性能的线路卡，而不需要改动整个系统，从而延缓了资本投入的时间。 顺利的技术迁移：客户可以根据自己的进度顺利迁移到线速 IPv6 或 10 千兆以太网。对任意数量的 IPv6 路径同时部署 IPv4 和 IPv6 不会影响整个系统的线速路由能力。E系列管理引擎支持的 TwinGig 转换器和 X2 模块以及万兆E系列线路卡，使客户不需要执行管理引擎或线路卡升级，就能够使网络性能从千兆以太网增加到10 千兆以太网。 为未来特性留出余量：Cisco Catalyst 4500系列架构配备了大

42、量硬件资源，以支持未来特性，满足用户的未来网络需求。只需对Cisco IOS Software作简单的升级，就可以在不执行整个系统升级的情况下发挥很多硬件特性的优势。 降低功耗：Cisco Catalyst 4500系列的功耗很低，因为它采用了集中式硬件架构设计。 l Cisco Catalyst 4500系列的优势Cisco Catalyst 4500系列为企业 局域网 接入、小型骨干网、L3分布点和集成式SMB和分支机构提供先进的高性能解决方案。其优点包括： 性能：Cisco Catalyst 4500 提供的高级交换解决方案不但能随着端口的增加扩充带宽，还采用了业内领先的应用专用集成电路

43、（ASIC）技术，能够提供线速L2-L3 10/100或千兆交换能力。由于L2交换提供模块化管理引擎灵活性和全面的线路卡兼容性，因而能将性能扩展到 320Gbps和250Mpps。利用 Cisco Express Forwarding，L3-L4交换也可以扩展到320Gbps和250Mpps。交换性能与路由项或支持的高级L3服务的数量无关。 为关键业务应用提供带宽保护：利用 QoS 或安全特性，在部署 Cisco Catalyst 4500 系列管理引擎时，将不会降低转发性能，Cisco Catalyst 4500 系列平台将继续以完全线速转发。 端口密度：Cisco Catalyst 450

44、0 系列能够满足机箱中 388个以太网端口的网络组件连接要求。Cisco Catalyst 4500 系列支持从网络边缘直接到桌面计算机的业内密度最高的10/100/1000自适应、自协商千兆以太网。万兆以太网上行链路端口支持高密度千兆以太网到桌 面部署和交换机到交换机应用。Cisco Catalyst 4500 系列的可热插拔、易于使用的模块化交换解决方案不但能降低复杂性，还能容易地支持当今网络中不断变化的桌面环境。 以太网供电（PoE）：Cisco Catalyst 4500 系列为10/100或10/100/1000端口支持802.3af PoE 标准，以帮助客户支持电话、无线基站、视频

45、摄像机及其他设备。利用 PoE，不需要提供新插座和昂贵的电路就能将设备放置在适合的位置。不仅如此，PoE还允许企业专门为关键设备配备一台电源系统，以便整个系统都能得到不 间断电源（UPS）备份的支持。 所有Cisco Catalyst 4500 系列 PoE 线路卡的每个端口都可以同时获得15.4瓦（W）的功率。这些卡不但支持IEEE标准，包括可选电源分类，还支持思科准标准电源实施方案，以保证与现有思 科供电设备的向后兼容性。这些卡与任何 Cisco Catalyst 4500 系列机箱和管理引擎都兼容。最重要的是，Cisco Catalyst 4500 系列提供的电源和附件能够同时为任何完全

46、加载机箱的每个端口提供15.4W功率。 管理引擎冗余性：为实现集成式永续性，Cisco Catalyst 4507R-E 和4510R-E 机箱支持1+1管理引擎冗余性。冗余管理引擎有助于缩短计划内和计划外网络停机时间，改善业务连续性，并提高员工生产率。带状态化切换的不间断转发 （NSF/SSO）能够在管理引擎切换过程中提供连续包转发。NSF/SSO 能够显著提高L2或L3环境中的网络可靠性和可用性。完全图像ISSU为新线路卡、新电源、新特性或缺陷修复提供无影响的快速软件升级，而且不会影响路由 过程，也不会使网络不稳定。即使 Cisco IOS Software 图像正在升级或降级，IP语音也

47、不会掉线。NSF/SSO 和 ISSU 对IP语音（VoIP）等关键业务应用非常重要。 投资保护：由于 Cisco Catalyst 4500 系列采用了灵活的模块化架构，因而能够为 局域网 接入或分支机构网络提供经济高效的接口升级。如果客户部署了配有老管理引擎的 Cisco Catalyst 4500 交换机，但想提高性能和增强特性，可以容易地升级到 Cisco Catalyst 4500 系列 Supervisor Engine II-Plus、Cisco Catalyst 4500 系列 Supervisor Engine II-Plus-TS、Cisco Catalyst 4500 系

48、列 Supervisor II-Plus-10GE、Cisco Catalyst 4000/4500 Supervisor Engine IV、Cisco Catalyst 4000/4500 Supervisor Engine V、Cisco Catalyst 4500 系列 Supervisor Engine V-10GE 或者 Cisco Catalyst 4500系列Supervisor Engine 6-E。由于Cisco Catalyst 4500 系列机箱之间的备件兼容性支持电源和交换线路卡的通用化，因而能降低总部署、迁移和支持成本。 功能上透明的线路卡：只需添加新的管理引擎，C

49、isco Catalyst 4500 系列系统就可以容易地将所有系统端口升级到更高交换功能。与迁移过程中需要执行全面设备升级的传统交换产品不同，该系统不需要更换老线路卡和布线就可以增 强所有系统端口的功能。这种架构优势延长了 Cisco Catalyst 4500 系列线路卡的有用部署时间。 一致的软件架构：由于采用了一致的 Cisco Catalyst 软件和用户界面，用户可以利用掌握的知识，通过 Cisco Catalyst 2960、3560、4500 和 6500 系列交换机以及 Cisco Catalyst 3750 交换机的结合发展基础设施。 Cisco IOS Software

50、网络服务：Cisco Catalyst 4500 系列交换机提供能够增强校园网网络的成熟的企业级L2-L3特性。这些特性能够满足大中型企业的高级网络需求，因为它们是多年来根据客户的意见和建议改进的结果。 高级安全性：在 Cisco Catalyst 4500 系列上支持多种安全特性，例如 802.1x、访问控制列s表（ACL）、安全Shell（SSH）协议、单播RPF（uRPF）、端口安全性、动态ARP检测（DAI）、IP Source Guard、控制平面限速、802.1x 不可访问认证回避、802.1x 单向控制端口、MAC 认证回避、多域认证和专用虚拟局域网（PVLAN），以便增强网络控

51、制和灵活性。如果有选择地或者全部采用这些特性，网络管理员不但能防止非法访问服务器 或应用，让不同的人用不同的权限使用同一台PC，还能防止网络入侵者通过盗窃用户名和密码访问交换机，或者防止出现有意或意外广播风暴。 基于硬件的组播：独立于协议的组播（PIM）、密集模式和稀疏模式、互联网小组管理协议（IGMP）、组播侦听器识别（MLD）侦听和思科组管理协议支持基于标准的经过思科技术增强的高效多媒体网络，而且不会降低性能。 可管理性：Cisco Catalyst 4500 系列得到了 CiscoWorks 产品线的支持，提供的创新工具能够集中管理主要网络特性，例如可用性、响应能力、永续性和安全性，以便

52、建立智能交换基础设施。通用模块化QoS 命令行界面（CLI）不但能简化策略流量图的创建，还能为大、小型Cisco Catalyst 交换机提供一致的界面。网络运作可以通过基于Web、GUI和CLI的灵活管理方式得到增强。最重要的是，每台 Cisco Catalyst 4500 系列交换机都有思科服务和支持解决方案作后盾。 思科 NetFlow 服务：为 Supervisor Engine IV 和 Supervisor Engine V 开发的思科 NetFlow 服务卡支持硬件中捕获的统计数据，以便执行基于流和基于 VLAN 的统计监控。企业可以输出、汇总和分析这些数据，以便为电信运营商和企

53、业客户提供病毒检测和消除、网络流量统计、基于使用率的网络计费、网络规划、网络监 控和数据挖掘功能。注意： Supervisor Engine V-10GE 上支持的 NetFlow 已经集成在硬件中，因而不再需要 NetFlow 服务卡。 千兆到桌面：Cisco Catalyst 4500 系列已经提供了很多 1000Mbps 桌面和服务器交换解决方案。利用为 Cisco Catalyst 4500 系列开发的48端口和24端口三速自适应、自协商 10/100/1000BASE-T 线路卡，千兆解决方案的范围很容易扩展到桌面。三速48端口和24端口模块，再加上自适应技术，能够提供 局域网 投资

54、保护，因为在未来，快速以太网桌面无需更换线路卡就能迁移到千兆以太网。 Supervisor Engine 6-E 和 Supervisor Engine V-10GE 提供两条为10/100/1000BASE-T至桌面聚合优化的线速 万兆以太网上行链路。 光纤至桌面：Cisco Catalyst 4500 系列100BASE-X 线路卡提供光纤电缆的安全性和永续性特征，使之非常适合在具有距离限制、入侵漏洞或 RF 干扰的网络中使用。需要处理保密信息或提供电子商务的企业客户或政府机构能够享受到这些线路卡带来的安全优势。4.2 Catalyst 2960系列交换机Cisco Catalyst 29

55、60系列智能以太网交换机，它是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和10/100/1000千兆以太网连接，适用于入门级企业、中型市场和分支机构网络，有助于提供增强LAN服务。Catalyst 2960系列具有集成安全特性，包括网络准入控制(NAC)、高级服务质量(QoS)和永续性，可为网络边缘提供智能服务。该系列还包括一系列针对网络管理员所作的硬件改进，包括双介质（或有线）千兆以太网上行链路配置，允许网络管理员使用铜缆端口或光纤上行链路端口。另外，它包括一款24端口千兆以太网交换机，可加速网络中的桌面千兆位(GTTD)传输。图7：Catalyst 2900机箱Cisco Ca

56、talyst 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和10/100/1000千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LAN服务。Cisco Catalyst 2960提供： 集成安全特性，包括网络准入控制(NAC) 高级服务质量(QoS)和永续性 为网络边缘提供智能服务Cisco Catalyst 2960 LAN Base系列可实现： 在网络边缘提供高级访问控制列表 (ACL) 和增强安全性等智能化特性 支持千兆以太网上行链路灵活性的两用上行链路，允许使用铜缆或光纤上行链路；其中每个两用上行端口分别拥有一个10/100/10

57、00以太网端口和一个基于小形可插拔 (SFP) 的千兆以太网端口，每次有一个端口处于激活状态 采用高级QoS、速率限制、ACL和组播服务，提供网络控制和带宽优化 根据用户、端口和MAC地址，并通过多种不同的身份验证方法、数据加密技术和NAC，提供网络安全性 采用Cisco Network Assistant软件，轻松进行网络配置、升级和故障排除 采用Smartports对专业应用进行自动配置 有限终生硬件保修 表1 Cisco Catalyst 2960系列交换机产品编号说明Cisco Catalyst 2960-24TT（WS-C2960-24TT-L） 24个以太网10/100端口和2个10/100/1000 TX上行链路端口 1机架单元（RU）固定配置交换机 提供入门级企业智能服务 安装了LAN基本镜像 Cisco Catalyst 2960-24TC（WS-C2960-24TC-L） 24个以太网10/100端口和2个双介质上行链路端口（10/100/1000BASE-T