北京人民广播电台项目建议书

1、北京人民广播电台项目建议书生成日期2009年9月17日初始版本0.1制作者Team状态草案修订日志目录第一部分 前言31.1 网络现状31.2 设计原则3第二部分 方案42.1 方案一：52.1.1 安全总体设计52.1.2 冗余62.1.3 性能和可管理72.1.4 网络增值82.1.5 总结102.2 方案二：102.2.1 网络总体设计112.2.2 网络可管理性122.2.3 网络增值业务12第三部分 设备简介123.1 CiscoWorks的简介123.1.1 典型网络的部署133.1.2资产管理133.2无线局域网控制器143.2.1智能RF管理153.2.2严格的安全性163.3

2、 Cisco 7204183.3.1产品简介183.3.2关键特性和优点183.4 Cisco ASA 5550自适应安全设备203.5 Cisco Catalyst 2960概述213.5.1千兆以太网223.5.2网络智能性223.5.3增强安全性233.5.4高级QoS243.5.5管理25第一部分 前言本项目建议书来自对于北京广播电台的不完全认识。仅从规划和实际技术角度讨论项目的拓扑和其他可能变化。1.1 网络现状北京广播电台网络经过五年的建设，已经具有相当的规模。网络规划基本合理，设备功能清晰。根据现有掌握的资料来看，网络大致分为以下几个部分：网络接入层。该层面包含了两个功能，一个是

3、网络安全用的行为审计设备，另外一个是流量均衡设备。行为审计设备用以限制内部和外部使用者的行为，某些具有明显恶意行为的数据包将会使用签名比对的方式进行查找并且丢弃，同时提供了针对某些协议和应用的封闭能力，可能包括下载工具和流媒体。流量均衡设备目前使用Radwear的主动型流量均衡器，设备通过对外散布ICMP小包，并且统计回环延时的方式来确定前往特定目的地的最佳路径。网络核心层。网络核心层使用Cisco 7600路由器作为核心路由器。设备上使用FWSM用以提升内部网络的安全性，提升网络对于内部攻击的抵御能力；同时作为对外网络的第二道防线，也会起到积极作用。核心路由器上使用的NAM模块有助于管理员准

4、确的统计流经设备各接口的数据类型，对于判断网络应用的发展和发现网络威胁的早期特征具有积极意义。核心交换使用Cisco Catalyst 6509进行。设备划分VLAN，并使用三层路由的方式汇聚接入层的数据。网络边缘层。网络边缘层主要是各楼层接入交换机组成。接入交换机汇聚客户流量，并在网络二层防护方面发挥积极作用。1.2 设计原则为了能够进一步提升网络的运作水平，包括容错、均衡和可管理能力，使得网络能更好的适应未来基于应用的交付，决定利用这次机会，对整个网络进行重新的改造。改造本着适度超前，着眼今后5年实际网络发展的原则，为今后更加复杂的网络应用和面对更加严峻的网络安全形势，做好充分的准备。网络

5、改造遵循以下原则进行l 开放性标准化严格按照行业标准进行设计，使网络系统具有较长的生命力和扩展能力，满足未来升级的要求。在网络设计中充分考虑设备对标准的支持，保证与多厂商的设备互连的能力。l 高性能扩展性高性能、大容量网络设施可保证对多种高速网络技术，如：千兆以太网、快速以太网和ATM等的支持。方案中所推荐的各级网络设备能针对各类业务提供适合的带宽。模块化设备的使用更会提高网络系统的扩展能力。 l 安全性可靠性核心设备须具有强大的冗余和容错功能，重要部件（如电源、核心交换引擎等）采用冗余备份设计。采用多级网络安全的设计思路，推荐使用设备内置的安全功能，能配合专业的安全产品（如防火墙）还能有效地

6、阻止外部的非法入侵和内部的非授权操作。l 可管理性和可维护性采用先进完善的网络管理和监控工具，对网络实现一体化管理。通过对网络性能的监控及时改善网络性能。l 设备的先进性和成熟性在网络通讯技术和计算机技术发展日新月异的今天，网络的选择既要遵循新技术的发展方向，采用最新科技水平，使项目具备国内乃至国际领先的地位，又要兼顾技术上的成熟性，保证系统整体性能，使整体投资达到最佳。第二部分 方案为了能够更好的满足需求，现特别准备了两套方案，以供选择。第一套方案倾向高性能和高可靠性，目标是满足今后至少5年网络情况的发展，网络设计有全冗余链路，拥有极高的故障恢复和负载可控特性。第二套方案倾向于应用交付，注重

7、较低的购置成本和较强的通用性。2.1 方案一：本方案着眼高性能和高可靠性，更换主链路设备，提升内部设备安全水平和可控制水平。使用Cisco基于ASA算法的新一代防火墙，同时内置IPS模块，除了能够很好的解决目前网络威胁，也可以为今后大量面对Internet的服务器提供良好的保障。整体网络拓扑本网络拓扑较大的改动了网络现有状态。由于无法验证现在网络上使用的UTM设备的具体作用因此将此设备暂时当作网桥看待，所有的流量直接穿越UTM，并在UTM上执行原有策略。2.1.1 安全总体设计安装两台携带IPS的Cisco 5540防火墙。带有IPS作用的一大好处，就是可以借助独立的IPS硬件，来完成丰富的数

8、据检测功能。Cisco防火墙是业界领先的设备，基于签名的数据包过滤技术可以非常容易的发现已知的攻击行为，并能进行极深度数据包检查，避免夹杂在数据包当中针对特定系统的语义攻击，更大限度的自外而内保护网络安全。同时照顾到未来的服务器群组，ASA提供了双上下文环境来保证两台设备的双Active状态。通过链路检查和状态复制，ASA可以保证在任何一台设备实效的情况下仍能保证数据的正常转发。IPS模块可以成倍的提高防火墙对于攻击的抵抗能力。因为北京广播电台从社会学上，属于社会地标组织，极其容易受到攻击。因此，相对于A/S结构的防火墙冗余，AA结构更容易面对恶劣环境。额外的，带有多上下文环境的ASA还可以提

9、供ASR。这种不对称状态技术可以帮助数据包及时往返路径不一致的时候，也仍然可以从另外一台防火墙返回网络。2.1.2 冗余链路以下，使用两台F5 LC1500链路负载均衡器，用以实现智能网络均衡负载能力。基于大量的实际工程经验，F5 LC1500均衡器使用SRTT算法来确认链路的使用状况。通过不间断的对数据包的监视，设备就可以了解足够多的线路状态信息。相比较而言，Radware的Echo技术大量的消耗自身的上游设备资源，严重的增加了网络设备处理数据包的负担。一般认为，网络设备在处理小型数据包时候将会付出更多的网络资源。核心进行小幅的调整，用以提高整个网络的可靠性水平和可管理能力。为两台设备购置次

10、级备份设备，以求在不显著增加成本的前提下，大幅度提高网络应对突发故障或者设备崩溃的能力。为Cisco7600进行备份的设备是Cisco 7204VXR，7204是紧凑型ISP边缘路由器，拥有NPE200/400等各型号的高速处理器，并能够部分兼容Cisco 7600的板卡，并且总造价不高，可以极大地提升网络可控水平，当网络遭受严重物理破坏或者极端攻击时候，拥有足够的处理能力来进行平滑和处理。同时，将核心设备上的防火墙模块转移到Cisco Catalyst 6509上，新购买NAM模块安装到Cisco6509上，用以提供更为详细的流量统计报告。2.1.3 性能和可管理作为三层交换的核心设备，65

11、09拥有至少720G的传输能力，并且高效的三层交换能力可以使得6509比7600路由器更加适合处理这种大量用户数据简单汇聚的工作。FWSM经过小心的配置，可以更为有效的工作在这种环境下。同时，购买第二块引擎和电源，以便于从物理结构上增加设备的可靠程度。当接口数目不足的情况下，可以购买另外的接口板，确保所有内部用户都在FWSM的控制之下。同样的，在Cisco6509上也添加IDS模块。作为Cisco安全网络不可或缺组成部分，应用在内部网络的IDS将会和FWSM一起，一次性永久解决内部网络访问控制问题。历年的网络安全会议强调，网络中来自受信任区域的网络攻击占到网络攻击总数的80%，尽管可以有集团化

12、放病毒软件或者防毒墙存在，但是我们仍然无法忽视来自受信任区域发起攻击所带来的严重后果。两套IDS与防火墙、核心路由器和核心交换机进行联动，确保可以准确及时的消除网络攻击带来的隐患。2.1.4 网络增值为了更好的管理北京广播电台内部的瘦AP，实现给予802.1X的接入认证和无缝漫游，应该购置无线局域网控制器以完成这个工作。单独购买的无线局域网控制器拥有很好的部署灵活性。结合预认证和功率分布分析等等功能，可以为用户提供非常好的无线接入体验。基于802.1X的质询则可以大幅度减少无线网络需要人工配制的项目的数量，拥有OTP或者密码的用户可以接入内网，而其他用户则只能限制在一个较小的区域内。核心网络的

13、设备以及Cisco防火墙上，使用包括逆向路径校验和复杂队列技术、深度数据包检查，来彻底的进行网络流量的人工控制。逆向路径结合bogonACL过滤技术可以大幅减少网络欺骗攻击的数量和效果，避免使用虚假地址的TCP SYN攻击给服务器带来的难以估量的压力；相对的，复杂队列技术可以保证关键业务可以首先通过，特别是在未来可能实现对外的流媒体服务器，或者是内部进行的视频会议等等，都可以直接从中得益，面对过量的攻击压力的时候，复杂队列技术是保证网络正常工作的唯一途径。深度数据包检查可以结合IPS一同使用。必要时侯，使用ZBF来进一步强化网络的整体安全性。深度数据报检测可以检查数据包的七层载荷，避免畸形数据

14、包对于网络的毁灭性打击。网络管理使用CiscoWorksLMS群件。群件使用Cisco定义设备特性集，可以准确的绘制网络拓扑，精确描述设备间电缆连接状况；同时，具有强大的记录功能，基于SNMP的Trap和CiscoWorks轮询确保了数据的完整性。现在网络的接入曾交换机还在使用部分的3Com设备，建议本次统一更换为Cisco设备，除了拥有更好的性能，也为了能够使用CiscoWorks更好的管理，今后也可以成为网络NAC体系的一部分。Cisco MARS成为本方案当中最后可以可选件。MARS是Cisco威胁联动部件的核心设备。它可以工作在签名和简档两种模式中，因此具有非常低的误报和对新形态攻击的

15、敏感性双重优点。结合网络中的IPS/IDS，NAM模块，MARS具有更加丰富和准确的数据源，因此可以发挥更好的作用。2.1.5 总结此方案具有较高的一次性造价，但是从长远来看，网络的基本形态不论是从单体设备性能，还是冗余能力，或者是人为可控的管理能力上而言，相对于现在都有很大的提升。多业务设备选择和针对安全的强化，将会使得网络能够更好的适应今后网络的发现。纵观网络发展史，老旧网络的衰落和换代无一不是应用交付程序的暴发性增长所致。而这种增长对于商用型网络而言，没有任何意义。类似迅雷，Emule和BT的应用，将会给网络带来极其沉重的压力。因此，对于商用网络核心业务的保护和对应用交付程序的控制，就成

16、为网络能长治久安和稳定运行的基石。网络中大量部署的IDS和防火墙，将会准确的捕捉这些应用的发展，尽早的将这些应用控制在管理者手中。2.2 方案二：本方案着眼较低改造成本。较低的改造成本往往意味着较低的行政审批压力，相比较而言可以更加容易的开展工作。相应的，网络的可扩展性将会受到一定程度的制约，相对于前面一种方案而言，扩展性会有所降低。2.2.1 网络总体设计现在的网络拓扑更多的问题集中在网络出口。仅从现在的拓扑而言，网络出口并没有专职的防火墙来提供对网络的保护。同时，尽管网络链路实现了冗余，但是链路冗余设备却产生了新的单点故障；核心的Cisco7600尽管具有FWSM，和NAM，但是无法监控到

17、Cisco6509上产生的流量。为了能尽快地修正这些明显的缺陷，应当进行设备的添置，但不涉及对于网络结构的修改。首先的，核心路由器和核心交换机统一购置双引擎，以便从设备层面提供冗余能力。通常的，核心网络设备会面临最为险恶的网络应用环境，因此必须要对核心实行板卡级或者设备级冗余，来提升网络本身的稳定性。2.2.2 网络可管理性Cisco基于SSO的切换可以在设备运行期间，保存所有路由表和转发任务，实现秒级切换，并且不会中断转发和所有邻接关系。同时，将Cisco7609的FWSM和NAM模块全部安装到Cisco6509上，直接连接的用户也全部转移到Cisco6509上，实现接入层和网络路由决策层的

18、分离，提高网络控制层面的灵活性。由于现在出口的Radware设备使用小包探测链路形态，给出口的UTM设备增加了很多负担，在UTM设备不能替换的情况下，将Radware设备更换为使用SRTT算法的F5设备。减轻网络设备负担也有助于提升整体网络的稳定性。2.2.3 网络增值业务由于下属交换机和无线AP众多，也增加了接入用户管理的挑战。为了避免由此产生的巨大的管理开销，使用基于Cisco ACS服务器的dot1x质询认证，来识别用户身份和设备。以此限制用户接入的能力和水平。同样的，由于成本限制，不能在外链路上使用高端防火墙，因此采用天融信的行为管理设备，限制用户可以访问的Internet网络资源。天

19、融信作为国内行为管理起步最早的企业，其行为特征数据库的更新也是首屈一指，通过不断的更新数据库，行为管理设备可以识别和管理更多的网络数据流量。为了更好的适应网络统一化管理的目标，下属接入交换机也视情况改为Cisco制造的型号，以便于识别和管理。除了主链路配置有区别，其他的诸如准入控制，复杂队列技术，CiscoWorks等等，均和上述方案相同。第三部分 设备简介3.1 CiscoWorks的简介CiscoWorks Local Network Management Solution (LMS)是Cisco的一个端到端的网络管理解决方案。它是包含有两到三个分支办公室的小型网络管理的理想解决方案。Ci

20、scoWorks LMS是广泛的、低成本并且友好的解决方案，提供了强大的监视和配置能力，也提供了网络管理和简单的网络管理功能。基于广受欢迎的Internet标准，CiscoWorks LMS允许网络管理员更有效率的管理网络，这一切仅仅通过一个简单的机遇浏览器的界面就能够在任何时间任何地点登陆并且管理网络。CiscoWorks LMS提供了足以完成配置、监视和解决路由器、交换机或者其他应用程序问题的工具，能快速的控制由于人为因素而导致的错误。商业用户使用CiscoWork SNMS，能够帮助他们有效的提升网络性能和减少网络中端时间（给予监视和问题解决工具），并能使得网络配置恢复到配置之前的状态。

21、3.1.1 典型网络的部署今天来自商业用户的挑战就是保证网络具有很高的可用时间和迅速的故障解决能力。CiscoWorksLMS不仅仅可以进行普通的网络管理任务，最主要的是，他们还能协助用户进行配置或者重新配置复杂并且多变的网络。一般而言，管理一个小型的网络，需要及时地管理并清查网络基础设备的变化，定期升级运行在本地和远程设备的软件镜像，执行配置更改，优化网络的利用率，部署策略以适应组织新的计划。当然，这是一个具有挑战性的任务，特别是在大多数组织面临的预算和人力资源有限的情况下。CiscoWorksLMS支持用户监控、管理和部署新的网络设备并使它们在很短的时间运行起来，很多其他的针对网络部署方面

22、的特性。3.1.2资产管理CiscoWorks LMS 提供了非常全面的设备生命周期的管理工具，包括设备的硬件和安装在上面的软件。只需要很少的配置工作就可以使得这个工具有效的运行起来，比如可能需要修改密码和设备集名称，就会被自动的记录在案，而不用人为的去创建触发器或者进行其他的操作。利用CiscoWorks LMS可以使得管理任务的自动化。CiscoWorks LMS提供了用户跟踪网络设备配置修改的工具。当网络规模逐渐增大，设备可以使用带有新的特性和升级了性能的操作系统来适应，比如新版本的Cisco IOS/Cisco Catalyst OS。经常更新这些程序可以保证网络安全和稳定的运行。 C

23、iscoWorks LMS提供了一个非常简单但是功能强大的管理窗口来管理整个网络的基础设施，并且不仅仅局限于Cisco的设备，包括了PC机，服务器和其他的应用程序，并为纪录和管理这些公用的基础设施开辟了有一条新的途径。用户开始不需要使用很多彼此不相关的应用程序来管理他们的网络了。3.2无线局域网控制器思科无线局域网控制器适用于企业无线局域网部署，并提供了系统级无线局域网功能，如安全策略、入侵防御、RF管理、服务质量(QoS)和移动性。它们与Cisco 1000系列轻型接入点和思科无线控制系统(WCS)软件共用，可支持关键的无线应用。从语音和数据服务到地点跟踪，WLAN控制器提供了必要的控制能力

24、、可扩展性和可靠性，以便IT经理能构建从分支机构到主园区的安全、企业级无线网络。思科无线局域网控制器可平稳地集成入现有企业网络中。它们使用轻型接入点协议（LWAPP），与Cisco 1000系列轻型接入点在任意第二层（以太网）或第三层（IP）基础设施上通信。这种新型IETF标准有助于确保接入点和无线局域网控制器间的通信安全，可完全自动地支持重要的无线局域网配置和管理功能，从而实现经济有效的无线局域网运营。 思科无线局域网控制器使企业能为支持关键业务应用的端到端无线局域网系统，创建和实施策略。多个WLAN控制器可自动相互发现，并在它们之间无缝协调WLAN服务。以这种方式，思科无线局域网控制器可作

25、为单一无缝系统运行，提供一个有数千AP的可扩展WLAN网络。从语音和数据服务到地点跟踪，WLAN控制器提供了必要的控制能力、可扩展性和可靠性，以便IT经理能构建安全的企业级无线网络。Cisco 4400系列无线局域网控制器适用于大中型机构，有两个型号带2个千兆以太网端口，其配置可支持12、25和50个接入点的4402，以及带4个千兆以太网端口，支持100个接入点的4404。4402具有1个扩展插槽，4404具有2个扩展插槽，可用于在将来添加增强功能，如VPN终结等。此外，每个4400 WLAN控制器均支持一个可选冗余电源，以确保最高可靠性。3.2.1智能RF管理所有思科WLAN控制器都配备了用

26、于自适应实时RF管理的内嵌软件。思科WLAN系统使用即将荣获专利的无线资源管理(RRM)算法，来实时发现空中无线资源使用的变化并作出调整。这些调整以类似于路由协议为IP网络计算最佳拓扑的方式，为无线网络创建最优拓扑。 思科无线局域网控制器所管理的特定智能RF功能包括： 动态信道分配802.11信道可根据不断变化的RF情况进行调整，以优化网络覆盖范围和性能。 干扰检测和避免该系统可检测干扰并重新调整网络，以避免性能问题。 负载均衡此系统对多个接入点提供了自动的用户负载均衡，即使负载量很大，也能获得最优网络性能。 覆盖盲区检测和修复无线资源管理(RMM)软件可发现覆盖盲区，并尝试通过调整接入点的功

27、率输出来修复它们。 动态功率控制该系统可动态调整各接入点的功率输出，来适应不断变化的网络情况，以确保达到预期的无线性能和可靠性。 3.2.2严格的安全性思科无线局域网控制器符合最严格的安全标准，包括： 802.11i Wi-Fi WPA2，WPA和有线等效加密(WEP) 802.1X，带多种可扩展验证协议(EAP)类型受保护EAP (PEAP)，带传输层安全的EAP(EAP-TLS)，带隧道化TLS的EAP (EAP-TTLS)和思科LEAP VPN终结4100系列的可选模块，提供IP安全(IPSec)和第二层隧道协议(L2TP) VPN终结 因此，它堪称业界最全面的无线局域网安全解决方案。

28、在思科无线局域网架构中，接入点可作为无线监控器，向无线局域网控制器通报有关无线域的实时信息。经由思科WCS，可进行准确分析并采取校正措施，从而迅速识别所有安全威胁，并将其提交给网络管理员。 思科提供了唯一能同时进行无线保护和提供无线局域网服务的无线局域网系统。这有助于确保实现完整的无线局域网保护，无需花费重复的设备成本或购买额外的监控设备。思科无线局域网系统最初可作为独立无线入侵防御系统部署，再在稍后重新配置，添加无线局域网数据服务。这使网络管理员能环绕其RF域创建一个“防御屏障”， 抑制未授权无线活动，直至他们作好部署无线局域网服务的准备为止。 无线局域网入侵防御和定位思科无线局域网系统不仅

29、可发现恶意设备或潜在的无线威胁，而且能对这些设备定位。这使系统管理员能快速评估威胁级别，立即按需采取措施来抵御威胁。 基于身份的联网IT人员必须在保护无线局域网的同时支持大量不同的用户访问权限、设备格式和应用要求。思科无线局域网系统使企业可为无线用户或用户组提供不同的安全策略。 这其中包括：- 第二层安全功能802.1x (PEAP, LEAP, TTLS), WPA, 802.11i (WPA2)和L2TP- 第三层（和更高层次）的安全功能IPSec, web验证- VLAN分配- 访问控制列表（ACL）IP限制，协议类型，端口和差分服务代码点(DSCP)数值- QoS多个服务级别，带宽减少

30、，流量整形和RF利用- 验证、授权和记帐(AAA)/RADIUS用户连接策略和权限管理 网络准入控制(NAC)实施客户端配置和行为策略，以确保只有拥有适当安全工具的终端用户设备才能访问网络。 安全移动在移动环境中保持最高安全水平。这包括随用户移动而移动的VPN，无需重新建立安全隧道。此外，思科已开发了主动密钥缓存(PKC)，这是802.11i标准的扩展、802.11r标准的前身，可通过AES加密和RADIUS验证实现安全漫游。 访客隧道为访客接入公司网络提供更高安全性。它可确保访客如不首先通过公司防火墙，就无法接入公司网络。3.3 Cisco 72043.3.1产品简介拥有出色性价比的Cisc

31、o 7200系列路由器可以提供很多网络服务加速解决方案，如通过网关连接到WAN和Internet的地区和分支办公室、企业和服务供应商的远地集中（多个分散地点通过一个中央地点实现互连）、要求IBM数据中心连接的地点、要求能够将以上所有功能结合起来实现多服务语音、视频和数据的多功能能力的地点。 Cisco 7200的一个关键优势是其模块化特性。在7200系列的配置中，客户可以选择4种处理引擎、一个4或6插槽多服务机箱、不同的输入/输出（I/O）控制器以及多种LAN和WAN端口适配器，这使7200系列能够提供大量不同的配置，以满足不同的网络需求。Cisco 7201VXR和7206VXR机箱最高可以

32、提供1 Gbps的背板带宽，并包括了集成的多服务交换（MIX）功能。端口适配器覆盖了多种LAN和WAN连接，端口总数最高可以达到48个，并提供单电源或双电源。这种模块化设计在使客户获得自己所需要的性能和容量的同时，还为客户提供了投资保护和有保证的扩展途径。 3.3.2关键特性和优点实现服务集中的理想选择-DSL、ISDN、有线、无线和移动通信 基于IP传真/语音、帧中继或ATM的全面多服务网关功能 高性能交换-支持高速介质和高密度配置：通过其基于RISC和SRAM配置的系统处理器，Cisco 7200每秒钟最高可以交换30万个数据包 全面支持基于高性能网络服务的Cisco IOS软件及其增强功

33、能-高速执行包括服务质量、安全性、压缩和加密在内的多种网络服务 高端口密度-提供高端口密度和广泛的LAN和WAN介质支持，显著地减少了每端口成本，并允许实现灵活的配置 公共端口适配器-使用与Cisco 7500通用接口处理器（VIP）一样的端口适配器，简化了贮存备件并保护了客户在接口上的投资 组网解决方案因其模块化、灵活性和出色的性价比，7200系列在多种网络解决方案中都扮演着关键的角色。 宽带集中 7200系列最高可以在2000个L2TP隧道上处理8000个使用点对点协议的用户（每机箱），同时具备世界级的路由选择和服务选择网关功能，这使7200系列成为宽带端接的一站式选择。 服务质量 720

34、0系列拥有广泛的网络服务和接口选项，对于在您的网络中实现服务质量的需要来说，7200系列是领先的边缘选件。 MPLS 没有一家公司象Cisco这样一直在发展多协议标记交换（MPLS），而对一个MPL内核来说，Cisco 7200系列是最好的标记交换机或边缘路由器。由于对MOLS VP的行业标准支持，当您的网络对MPLS主干的可扩展性、灵活性和性能提出要求时，7200系列可以提供强大的行业同盟。 VPN 对于为专用WAN或VPN应用寻求可以得到硬件辅助的、高性能的隧道服务和加密服务的客户来说，7200系列是理想的点对点虚拟专网（VPN）路由器选择。 多服务 7200系列在一个多服务平台上实现了最

35、高的性能和DS1密度-使客户能够集成自己的语音和数据网络，以简化这两个并行网络的维护并减少其运行成本。所有7200系列VXR机箱提供的集成TDM交换功能都可以支持通过一个单一多用途设备升级到IP语音网络。除了集成TDM交换，7200系列还提供了多种通道化接口，这些端口可以同时部分实现语音通道配置和数据通道配置。 加速高接触IP服务 使用NSE-1引擎的7200系列是从Cisco并行快速转发（PXF）专利中受益的第一个平台，能够在一条硬件加速路径上实现线速高接触服务。当引入新服务时，只需通过简单的软件升级就可以将其合并到您的拥有PXF功能的网络之中。3.4 Cisco ASA 5550自适应安全

36、设备Cisco ASA 5550自适应安全设备在一个可靠的单机架单元设备中为大型企业和电信运营商网络提供了具备主用/主用高可用性和光纤及千兆以太网连接的大量千兆级安全服务。利用其8个千兆以太网接口、4个SFP光纤接口*和多达200个的VLAN，企业可以将网络分成多个高性能分区，从而提高安全性。Cisco ASA 5550自适应安全设备可随着企业网络安全要求的提高而扩展，从而提供了强大的投资保护功能和服务可扩展性。企业能扩大其 IPSec 和SSL VPN 容量，以支持更多的移动员工、远程地点和业务合作伙伴。通过安装一个SSL VPN升级许可证，企业能在每个Cisco ASA 5550上支持50

37、00个SSL VPN对；基本平台上支持5000个IPSec VPN对。Cisco ASA 5550的集成VPN集群和负载均衡功能可提高VPN容量和永续性。 Cisco ASA 5550在一个集群中能支持10个设备，从而使每个集群最多可支持50,000个SSL VPN对或50,000个IPSec VPN对。利用 Cisco ASA 5550 自适应安全设备的可选安全环境功能, 企业可在一个设备中部署多达50个虚拟防火墙，实现部门级或每用户安全策略分区控制，同时降低管理和支持总成本。该系统共提供12个千兆以太网端口，其中8个能随时提供服务。企业可选择铜缆或光纤连接，从而为数据中心、园区或企业边缘连

38、接提供了灵活性。特性说明防火墙吞吐率 高达 1.2 G bps VPN 吞吐率 高达 425 Mbps 并发连接 650,000 IPSec VPN 对 5,000 SSL VPN 对许可证级别*10 、 25 、 50 、 100 、 250 、 500 、 750 、 1000 、 2500 和 5000 安全环境 高达50个*接口 8 个千兆以太网端口、 4 个 SFP 光纤端口和 1 个快速以太网端口 虚拟接口 (VLAN) 250 可扩展性 VPN 集群与负载均衡 高可用性 主用 / 主用 , 主用 / 备用 3.5 Cisco Catalyst 2960概述Cisco Cataly

39、st 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LAN服务。Catalyst 2960系列具有集成安全特性，包括网络准入控制(NAC)、高级服务质量(QoS)和永续性，可为网络边缘提供智能服务。Cisco Catalyst 2960系列提供： 为网络边缘提供了智能特性，如先进的访问控制列表 (ACL)和增强安全特性 双介质上行链路端口提供了千兆以太网上行链路灵活性，可以使用铜缆或光纤上行链路端口每个介质上行链路端口都有一个10/100/1000以太网端口和一个小型可插拔(SFP)千兆以太网

40、端口，在使用时其中一个端口激活，但不能同时使用这两个端口 通过高级QoS、精确速率限制、ACL和组播服务，实现了网络控制和带宽优化 通过多种验证方法、数据加密技术和基于用户、端口和MAC地址的网络准入控制，实现了网络安全性 通过思科网络助理，简化了网络配置、升级和故障诊断 使用Smartports自动配置特定应用 Cisco Catalyst 2960系列软件镜像提供了一系列丰富的智能服务，包括高级QoS、速率限制和ACL。SFP千兆以太网端口可安装多种SFP收发器，包括Cisco 1000BASE-SX、1000BASE-LX、1000BASE-BX、1000BASE-ZX、100BASE-

41、FX、100BASE-LX10、100BASE-BX和粗波分多路复用 (CWDM) SFP收发器。3.5.1千兆以太网千兆以太网以1000 Mbps的速度，提供了可满足新网络和扩展网络的需求的带宽，消除了瓶颈，提升了性能，同时提高了现有基础设施投资的回报。目前，工作人员都对网络有着更高需求，在网络上同时运行多个应用。例如，一位员工通过IP视频会议而参加小组会议，向与会者发送一个10MB的电子表格，将最新营销视频广播给整个小组以供评估，此外还查询客户关系管理(CRM)数据库，以获得最新实时反馈。同时，后台开始了一个多GB的系统备份，并向客户端提供最新防病毒软件的升级。3.5.2网络智能性当今的网

42、络正在不断发展，在网络边缘出现了四种新趋势： 桌面计算能力提高 带宽密集型应用出现 高敏感数据在网络中扩展 出现了多种设备类型，如IP电话、WLAN接入点和IP视频摄像头 这些新需求正与许多已有关键任务应用争夺资源。因此，IT专业人员必须将网络边缘看作有效管理信息和应用的提供的关键。随着公司日益依赖网络，将其作为战略性业务基础设施，确保网络的高可用性、安全性、可扩展性和对它的全面控制就比以前更为重要。通过为LAN接入添加思科智能功能，客户现可部署遍布整个网络的智能服务，从而一致地满足从桌面到核心再到WAN的要求。通过Cisco Catalyst智能以太网交换机，思科可帮助公司获得向其网络添加智

43、能服务的全面优势。为进一步优化网络运行，部署具备以下特性的功能是十分关键的：能使网络基础设施高度可用以达到关键时间要求、可扩展以便于公司发展、高度安全以保护保密信息，且能区分和控制流量。3.5.3增强安全性凭借Cisco Catalyst 2960系列提供的广泛安全特性，企业可保护重要信息，防止未授权人员接入网络，确保私密性及维持不间断运行。思科基于身份的网络服务(IBNS)解决方案提供了身份验证、访问控制和安全策略管理，可保护网络连接和资源。Catalyst 2960系列中的IBNS可防止未授权接入，并确保用户只获得其指定权利。它能动态管理网络接入的具体层次。使用802.1x标准和思科安全访

44、问控制服务器（ACS），无论用户在何处连接到网络中，都可在验证基础上分配到一个VLAN。此设置使IT部门能在不影响用户移动性的情况下，以最低管理开销实施强大的安全策略。为防止拒绝服务攻击和其他攻击，可用ACL根据源和目的地MAC地址、IP地址或TCP/UDP端口来拒绝分组，从而限制对网络敏感部分的访问。ACL查询在硬件中完成，故此在实施基于ACL的安全性时不会影响转发性能。端口安全性可根据与以太网端口相连的设备的MAC地址，来限制以太网端口上的访问。它也可用于限制插入一个交换机端口的总设备数目，因此可使交换机免遭MAC泛洪攻击，降低了恶意无线接入点或集线器接入的风险。凭借动态主机配置协议(DH

45、CP)监听，可以只允许来自不可信用户端口的DHCP请求（但不允许响应）进入网络，从而防止DHCP电子欺骗。此外，DHCP接口跟踪器(选项82) 特性可为主机IP地址请求添加交换机端口ID，有助于实现对于IP地址分配的精确控制。MAC地址通知特性可向管理站发送报警，从而监控网络和跟踪用户，以使网络管理员知道用户何时、从何处进入网络。SSHv2和SNMPv3对管理和网络管理信息加密，保护网络免遭干扰或窃听。TACACS+或RADIUS验证实现了交换机的集中访问控制，并限制未授权用户改变配置。此外，可在交换机上配置本地用户名和密码数据库。交换机控制台上的15个授权级别和Web管理界面上的2个级别提供了向不同管理员分配不同配置功能级别的能力。3.5.4高级QoSCisco Catalyst 2960提供了出色的多层QoS特性，确保网络流量进行了分类和优先级划分，并以最好的方式避免了拥塞。QoS的配置通过自动QoS（Auto QoS）大大得到了简化，这是一个可发现思科IP电话并自动配置交换机以进行正确分类和输出排序的特性。这优化了流量优先级划分和网络可用性，且不会带来复杂配置的问题。Catalyst 2960可对进入的分组分类、再分类、监管、标记、排序和排程，并能在出口处对分组排序和排程。分组分类使网络元素可区分不同流量，并根据