三门峡水利枢纽局工程设计方案

29/29水利枢纽局办公网设计方案***网络科技2007年１０月第一章网络系统结构设计4公司背景4现状与需求分析4第二章网络总体设计6网络改造方式6企业主干网分析6拓扑结构:6网络结构7第三章设备选型8核心层/分布层设备9接入层设备9结论10第四章网络的规划11实用性设计11开放性设计11可靠性设计11安全性设计12先进性设计12可扩展设计13IP的地址规划13路由策略13企业网络VLAN的实现14第五章远程接入14使用DDN专线实现总部与分支机构互连14用IPSECVPN实现总部与移动办公、家庭办公互连15VPN特点15方案优势/特点15第七章培训15培训目的15培训方式16第八章售后服务与技术支持16支持服务（7*24小时）16远程拨入分析17现场支持服务17系统预防性定期维护服务17产品介绍19Catalyst6500系列19Catalyst3560-48交换机23Catalyst2950交换机24CiscoSecurePIX525防火墙26Cisco3640路由器29网络系统结构设计公司背景黄河明珠（集团）是在水利枢纽管理局的基础上，于1996年5月根据水利部建立现代企业制度试点单位要求整体改制成立的国有独资公司。主要负责和故县两座水利枢纽的管理和运行维护，承担着黄河防洪、防凌、灌溉、供水、调水调沙、发电等任务。目前，集团公司已形成了以电力生产为支撑，融电站运行管理、水电施工、机电检修、金属冶炼、宾馆旅游、监理咨询、国际贸易、房地产开发为一体的大型企业集团。

截止2006年底，集团公司现有职工3522人，离退休职工790人。集团公司总部设有12个机关部门，下设3个分公司和10个子公司。截止到2006年底，集团公司总资产达到18.42亿元，年经济总收入近9亿元。近年来，集团公司先后荥获了“全国厂务公开管理先进单位”、“全国农林水利系统和谐企业”“全国农林水利系统五一劳动奖状”等多项省部级以上称号。目前,集团公司旧的办公网是在2002年建立的,设备老化,已不能适应企业发展的需要.现需要对公司整个办公网进行升级改造，以适合当前网络的需求。现状与需求分析旧网网络架构如图所示：原有的主干网络采用二层设计,设备属于比较早期的产品，Cisco3500以100M端口连接下级交换机与HUB。用户接入主要采用10M以太网交换机和集线器。总部与分公司目前没有数据连接。整个总部网络设备有一条2M专线通过Cisco2511与Internet相连接，另一条专线512K专线与黄委会连接。WEB服务器、E-mail服务器、FTP服务器，数据库服务器主要集中于中心机房，各子网分别通过旧网不足与需求分析如下:中心交换采用CISCO3500，出现故障就会影响网络的应用、带宽有限。原先需要网络的人数少,经过多年的发展员工数量巨增,网络速度也已跟不上实际应用需要的速度，接入层采用集线器设备与中心交换机相连接，集线器是一个半双工的设备。产生许多广播。经常出现延时过大、丢包率高的现象。再加上许多新的应用的逐步引入，对网络的依赖和带宽的需求会越来越高.在旧网络公司中,总部与分公司没有数据连接。由于业务的扩展，分公司都希望企业总部能够与各分支机构互联互通，更好的与总公司进行信息交流.各种服务器放置在网上，没有一点点的安全防护，部人员、黑客对部关键数据的非法访问对公司的数据造成极大的危险，网络上的病毒的入侵，也是一大要害。综上所述所因，就需要对原有网络进行升级改造。第二章网络总体设计网络改造方式企业主干网分析目前，网络技术发展迅速，用户需求千差万别，厂商产品丰富多彩。但就其从用户网络的应用需求类型特点，网络技术的发展水平来说，通常目前主干网的技术策略有五种，即：快速以太网；FDDI；ATM；千兆以太网；万兆以太网。快速以太网与FDDI主干带宽限于100M，对于企业局域网主干而言已不在考虑之列。ATM交换骨干(OC－3155Mbps或OC－12622Mbps)网络设备的价格通常比较高，而且采用ATM势必需运用ATM以太网仿真技术，将会增加交换的延时并影响多媒体对服务质量的保证。千兆以太网的第3层交换骨干技术成熟，千兆以太网在企业网、园区网、城域网和局域网骨干上取代了传统的ATM。千兆以太网交换骨干技术特点是：具有高速数据传输带宽(1Gbps)，提供高速交换能力；易于网络移植、易于维护；简单易于管理；具有良好的性能价格比。在选型时考虑到千兆以太网已成为局域网主干技术策略的事实上的标准，为广大用户所选择，在建设企业主干网时将技术策略定位于千兆以太网技术。拓扑结构:根据对旧网的调研情况，结合局方本次项目改造需求，我们建议按以下方式进行网络改造：改造后的骨干网络连接。改造后网络详细结构示意图为：网络结构公司网络采用核心层、汇聚层与接入层三层网络模型，提高网络的扩展性。采用思科系统公司的多层交换机Catalyst650６做为核心，负责全网的信息交换。整个网络分为办公大楼、明珠宾馆和黄河大坝三个办公区，由于每个办公区下辖节点与部门较多，业务应用比较复杂，所以配置一台CatalystS3560（三层）交换机作为骨干平台，上行千兆连接核心层6506，下行采用百兆连接接入层的S2950。S3560支持Vlan的划分，提供办公区VLAN间的路由，减少中心交换机的负担。每个工作区再选用CISCO公司的Catalyst2950(二层)交换机5台。采用100M的5类UTP连接接入相应的部门。部大流量服务器通过千兆网卡于核心交换机相连提接高性能。网络安全与管理在安全方面：配置了一台CiscoSecurePIX525防火墙，有了DMZ区，对外服务器放在DMZ区提高网的安全性，可以防止黑客对部关键数据的非法访问和病毒的入侵。外部互联：（1）将与黄委会512K的DDN专线升级为2M。（2）新增加2M的DDN专线与故县水库和铝厂进行远程连。移动办公用户：移动办公用户访问公司总部访问量较小，从经济上考虑，采用IPSECVPN技术通过Internet实现移动用户远程接入．第三章设备选型对此次的改造，我们提出整体设备选型。主要围绕以下几点：***电子改造后的网络具有以下特点：·高性能，全交换－1000Mbps连接高流量服务器－骨干连接采用1000Mbps－100Mbps连接桌面用户－线速核心第三层交换，使路由器专注于处理网络流量,灵活，高效，可靠的网络连接－支持多种广域网链路：DDN，IPSECVPN等·可扩展性强－空余的GBIC插槽提供低成本的千兆连接－核心采用模块化交换机，具有更强的扩充能力－分布层与接入层交换机可通过千兆堆叠扩充用户数－模块化路由器有更多插槽，可更多地扩充新功能，端口种类和数目·系统安全，性高－专门的软硬件集成防火墙解决方案－－CiscoSecurePIX525防火墙－虚拟专网VPN与支持各种加密算法－按需划分虚拟网络，管理得心应手·综合的网络管理－基于CiscoIOS的统一的人机命令界面核心层/分布层设备对于网络的核心层的设备建议采用大容量且具备智能的多层交换功能特性，根据网络技术的发展与产品应用的定位，建议核心设备拥有超过62G的高容量，充分满足目前和未来发展用户的网络需求，同时提供快速的智能处理过程。在设备的处理结构上，要采用结构化的设计，在高速大容量的总线带宽下，还要提供分布式的处理与结构化的设计，核心不允许有集中式处理机制的存在，这样才避免因个别端口的拥塞而导致整个设备失去控制，对于核心的每个模块要支持热插拔，并且根据将来的扩展要预留扩展槽位。为了保证核心网络的高可用性不允许满配置的核心设备对网络的负载进行单一的规模化，在网络的扩展时，核心设备应支持分担负载的能力。这样才能使整个核心网络大大提升工作效率。从网络的发展角度上考虑，核心设备要支持对用户的安全认证与鉴别的能力与手段，对网络用户的安全鉴别主要包括：基于VLANID、IP地址、MAC地址来识别宽带用户的网络信息。所有的其它智能用户管理与流控的功能，在智能的多层交换机中已经可以做到。对于核心智能的交换设备支持802.1x＼DHCPRelay与分中心的边缘设备配合进行用户的识别可对整个网络用户的认证，体现智能网络带来的整体应用价值。这样既保证网络的兼容性与开放性也能保证网络的安全性与高可用性。接入层设备接入层设备是接入用户终端的产品，结点相对来说较多。因此要选择一些端口密度大，从设备的硬件配置上讲，支持总线的堆叠功能，这样相当于可以增加背板的带宽,大楼的各个汇聚的扩展提供方便。支持1000M的上联与端口捆绑，以便将更多的接入交换机汇聚到高速的核心网络上。结论CISCO公司网络产品的卓越的性能价格比、高可用性、兼容性以与CISCO公司为各行各业提供的成功网络解决方案早已为全球IT用户所知，网络建设首选CISCO产品已经成为业界主流。通过以上分析，结合局方设备现状和需求，同时考虑设备统一管理的原则，我们建议此次改造建设新增设备选择CISCO公司产品。骨干层设备选择CISCOcatalyst650６多层千兆交换机，分布层大流量的采用CISCO35６0（三层）交换机,接入层采用cisco2950（二层）做为接入层设备，以满足改造后网络性能需要。详细配置情况为：设备名称数量单台配置情况CICSO6500引擎III多层千兆交换模块1台（多层）机箱：CiscoCatalyst6506；1个引擎III多层千兆模块冗余电源；32端口10/100自适应以太网模块和8端口千兆位以太网模块（GBIC插槽）CISCO3560-483台（三层）冗余电源；48个10/100自适应端口/2个GBIC端口CICSO295015台（二层）48个10/100自适应端口/2个GBIC端口CiscoSecurePIX525防火墙1台CISCO36401台高密度的异步接口插槽两个异步/同步串行接口两个以太网口HYPERLINK详细产品资料见附件。第四章网络的规划实用性设计服务器设备和网络设备在技术性能逐步提升的同时，其价格却在逐年的下降，不可能也没必要实现所谓“一步到位”。所以网络方案设计中把握“够用”和“实用”原则。在这个方案设计中根据客户的需求，把旧有的网络升级，旧有网络设备，比如HUB可以用于员工宿舍组建局域网使用。接入层使用CICSO32950,端口密度大,支持vlan的划分，性价比好。目前，使用千兆以太网技术已经可以满足企业的需求。采用的设备是CISCO公司的产品，拥有可靠性，性价比也较好，达到实用、经济和有效的结果。开放性设计网络系统采用开放的标准和技术，IEEE802.1Q，TCP/IP协议，OSPF，其有利于未来网络的系统扩充；有利于与外部网络互通。可靠性设计在网络的可靠性设计中，核心层6500设备之间通过多模千兆光纤连接，共同形成的捆绑链路，来扩充核心层设备之间的中继带宽，冗余电源,达到4G。重要地点办公大楼，科研楼与核心层设备之间通过两条千兆光纤连接形成双链路，当一条链路出线故障时，另一条链路可以启用，这就保证业务不会中断。因为办公大楼的楼层多，接入的端口数多，流量大，采用三层网络设计，通过一台三层的交换机VLAN间路由，减少核心层交换机的负担，通过多种负载平衡技术实现网络链路的冗余连接和故障的快速恢复功能。本方案设计选用CISCO三层交换设备，采用OSPF的等值路由平衡技术来保障汇聚层与核心层设备之间数据的可靠传送,为两层之间数据流量提供合理、安全的负载均衡机制，以提高网络性能。安全性设计网络安全主要是指防止黑客对部关键数据的非法访问和病毒的入侵。在水利枢纽局办公网工程中配置了CiscoSecurePIX525防火墙，它是世界领先的CiscoSecurePIX防火墙系列的组成部分，能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。它所提供的完全防火墙保护以与IP安全（IPsec）虚拟专网（VPN）能力使特别适合于保护企业总部的边界。Internet的发展为企业和专用网络带来了更大的安全风险。把外网的WWW服务服务器放在DMZ区增加了网的安全。CiscoSecurePIX防火墙能够提供空前的安全保护能力，它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法（ASA）。静态安全性虽然比较简单，但与包过滤相比，功能却更加强劲；另外，与应用层代理防火墙相比，其性能更高，扩展性更强。ASA可以跟踪源和目的地址、传输控制协议（TCP）序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时，访问才被允许通过CiscoSecurePIX防火墙。这样做，部和外部的授权用户就可以透明地访问企业资源，而同时保护了部网络不会受到非授权访问的侵袭。现在公司总部提供了通过因特网建立廉价的VPN让合作伙伴互连。PIX525集成了VPN的主要功能-隧道、数据加密、安全性和防火墙，能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。525可以同时连接高达4个VPN层，为用户提供完整的IPsec标准实施方法，其中IPsec保证了性、完整性和认证能力。对于安全数据加密，Cisco的IPsec实现方法全部支持56位数据加密标准（DES）和168位三重DES算法先进性设计本方案是建设一个现代化的网络系统，采用先进而成熟的千兆技术，在一段时间保证其主流地位。网络系统采用当前较先进的技术和设备，如思科的6506，3560等设备，是符合网络未来的发展潮流。可扩展设计本网设计时不仅考虑到近期的需求，同时也为网络的进一步发展留有扩展的余地。网络核心交换机使用模块化的交换机，最大的特点就是易扩展。低下采用二、三层模形的混合，以后公司规模的扩展，可以很方便的将混合模型升级为三层的网络设计模型。IP的地址规划IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于腾飞电子企业网络IP地址的分配，我们将尽可能地利用地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络地址分配与业务流量的均匀分布。每个物理地点划分连续的IP地址，这样核心交换机可以使用路由汇聚减少核心路由表的条目。IP地址空间的分配与合理使用与网络拓扑结构、网络组织与路由策略有非常密切的关系，将对网络的可用性、可靠性与有效性产生显著影响。IP地址的分配需要有足够的灵活性，能够满足各种用户的需要；IP地址的分配采用VLSM技术，保证IP地址的利用效率；采用CIDR技术，这样可以减小路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小；总之，要充分合理利用已申请的地址空间，提高地址的利用效率。路由策略部网关协议采用开放的标准IETF动态路由协议――OSPF（全称为开放最短路径优先）。“开放”表明它是一个公开的协议，由标准协议组织制定，各厂商都可以得到协议的细节。“最短路径优先”是该协议在进行路由计算时执行的算法。OSPF是目前部网关协议中使用最为广泛、性能最优的一个协议，特别适用于大型网络。它具有以下特点：

◆可适应大规模的网络；

◆路由变化收敛速度快；

◆无路由自环；

◆支持变长子网掩码(VLSM)；

◆支持等值路由；

◆支持区域划分；

◆提供路由分级管理；

◆支持验证；

◆支持以组播地址发送协议报文。企业网络VLAN的实现VLAN即VirtualLAN，表示虚拟局域网，简称虚网。它依靠逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段，划分的依据可为设备所连的端口、用户节点的MAC地址等。整个网络可以根据管理的要求、地理位置和片区的划分来设置相应的VLAN（虚拟子网），VLAN技术可以将不同VLAN之间的用户隔离，保证安全性。划分的结果使得同一虚网数据可自由通讯，而不同虚网间的数据交流则需要通过具有第三层路由功能的设备来完成。思科公司的Catalyst交换机系列都支持VLAN的设定和ISL、802.1Q两种以太网VLAN标识技术。本方案设备从核心层交换机CISCOcatalyst6500、访问层交换机,到接入层交换机设备都支持IEEE802.1QVLAN标准，保证了该项技术的顺利实施。这样，通过在接入层交换机为用户配置不同的VLAN，进行端口隔离，所有的用户端口只能通过核心交换机来实现互连。办公大楼的访问层采用CISCOcatalyst3550三层交换机,部门之间的VLAN信息可以通过它来转发可以减少核心层交换机的负担,在核心层交换机通过ACL（访问控制列表）进行相应的控制，使得用户的访问得到完全的控制。第五章远程接入使用DDN专线实现总部与分支机构互连随着网络的飞速发展，企业总部和各分支机构之间需要实现网络互联，DDN专线可以提供稳定、可靠、安全的数据传输，非常适合总部与分支间的互连。用IPSECVPN实现总部与移动办公、家庭办公互连VPN特点

不限流量，不限网址，包月使用，费用低廉；

不需额外的设备或软件，无须缴纳初装费；

配置简单，使用方便，可自由访问互联网；安全性高，接入灵活；方案优势/特点按照以上方案建设的水利枢纽局办公网，全线使用CISCO产品，易管理，安全性高。在局域网中合理地选择交换产品设计带宽，体现了性能卓越而又经济实用的原则；在广域网方面，采用DDN专线与分支机构相连接，稳定可靠。对于家庭办公和移到办公用户采用IPSECVPN接入公司总部，即安全可靠，又经济实用。接在基本功能实现的基础上，还用到了ciscopix525防火墙、CiscoWorksWindows等技术和产品来保障网络的可靠性、安全性和易于管理性。第七章培训为保证水利枢纽局办公网络项目顺利实施和系统更好运行，让涉与本项目人员能够完全掌握系统的使用和维护方法，技术等，针对本次系统，提供全面、多样化和针对性的培训。培训目的系统管理人员是计算机与网络环境正常运行的守护神，培养自己的系统管理员对于用户来说是至关重要的。为了保证企业局域网改造项目能稳定、高效地运行，提供全方位的培训，企业建立一支技术过硬的应用与维护队伍。通过培训，使各级相关人员对系统有充分了解，熟悉系统的设计原理和工作方式，掌握系统的工作流程和操作方法。在系统出现比较小的故障时，能够进行正确的故障诊断甚至排除故障。培训方式向水利枢纽局系统管理相关人员提供多种方式的用户培训，充分满足各个层次培训对象的需求，根据合同，培训方式包括以下几类：1、初级培训：在当地进行系统应用软件的使用方法与日常系统软件维护的集中培训，使用户掌握系统基本操作和所需功能的使用方法。适用于所有培训对象。2、中级培训：在当地进行的集中培训，在用户掌握系统基本功能使用方法的前提下，为其提供高级功能的使用方法、多项功能组合使用、常见故障诊断与处理等中级水平的培训容。3、高级培训：在非本地进行的关于系统维护和性能调整的高级培训。旨在使用户完全彻底掌握系统，为整个系统的长期稳定运行提供有力保证。第八章售后服务与技术支持服务宗旨：为客户提供高度量、高效率的服务与客户保持良好持久的合作关系。服务围：包括维护、咨询、诊断、优化等服务，为客户提供的热线咨询服务。响应速度：为异地客户提供2小时响应服务；为本地客户提供1小时响应服务。公司极其重视水利枢纽局办公网改造项目的建设，根据用户的要求和具体情况，提供一流的技术和服务，并根据用户的具体要求与实际情况，组织强大的技术力量，制定完善的售后服务实施计划，建立健全的售后服务制度，提供给客户一整套全面的服务项目，可以帮助客户最大限度的减少故障时间，达到系统连续健壮运行的目标。针对上述目标，公司向水利枢纽局办公网项目提供如下服务：支持服务（7*24小时）没有次数限制：只要您对系统存在问题，请即刻拨打我们的服务热线.对于我们的工作人员，您的将享有最高的优先级，我们将优先处理您的求助，直至得到令您满意的结果；专业的技术工程师和完善的处理与升级程序能保证快速有效的支持。指导和远程诊断，普通的问题立即解决，有一定复杂度的问题，在15分钟响应，必要时，由专业技术人员到现场解决。远程拨入分析统计分析表明，IT行业的系统失败有不低于70%的情况属于软件和配置问题，而远程拨入方式将大大提高诊断速度与工作效率，节省维护费用。现在的网络发展也使这一手段成为可能。在用户允许的前提下，我们的工程师将通过安全VPN进行远程拨入分析，快速而直接地对系统进行诊断与故障排除。现场支持服务当您的系统被确诊为硬件故障时，我们的现场工程师会带同相应的替换备件立即赶赴现场进行紧急维修。我们的承诺是：搭乘最近的车次（必要时专车前往），使您的系统故障时间被压缩到最小。在服务期限，所有故障备件（物理损伤除外）的更换均是免费的，即已经包含在总体的服务费用之中，不再另行收取备件费用。系统预防性定期维护服务公司认为“防患于未然胜于亡羊补牢”。公司系统维护与技术支持服务的核心不仅是“故障维修”，将风险和问题消灭在萌芽阶段的“系统预防性维护”更是公司服务的重要环节。公司工程师定期对系统进行一次预防性维护。通过对系统的检查、维护、诊断，公司工程师能与时发现问题隐患；通过保养、工程改变、系统调整、安装PTF(修正性软件)等手段，使系统保持稳定高效地运行。不定期对用户的故障进行汇总，经分析总结后，整理成整体故障和解决建议与预防建议，并与时提供给用户。公司工程师对客户服务系统进行定期预防性维护容简要说明如下： -机房环境的检测 -机器硬件的全面诊断-检查系统错误的历史记录-检查系统性能-为用户建立专门用户档案-将系统配置与网络环境记录在案-将每次服务容记录在案并汇报-公司与用户有关服务信息、联系人员记录在案等（详细产品资料见附件）产品介绍Catalyst6500系列Catalyst6500系列具有许多业界领先的功能，获得了许多"业界第一"称号。它同时支持三代模块，这些模块不但能不断提升Catalyst6500的用户价值，也同时体现出思科对于创新的关注。思科的新一代Catalyst6500系列模块和交换引擎SupervisorEngine720包含思科新开发的11种应用专用集成电路（ASIC），它不但扩展了思科在网络界的领先地位，还能提供无与伦比的投资保护。CiscoCatalyst6500系列的优点CiscoCatalyst6500系列不但能为企业和电信运营商提供市场领先的服务、性能、端口密度和可用性，还能提供无与伦比的投资保护能力，包括：最长的网络正常运行时间--利用平台、电源、控制引擎、交换矩阵和集成网络服务冗余性提供1～3秒的状态故障切换，提供应用和服务连续性统一在一起的融合网络环境，减少关键业务数据和服务的中断。全面的网络安全性--将切实可行的数千兆位级思科安全解决方案集成到现有网络中，包括入侵检测、防火墙、VPN和SSL。可扩展性能--利用分布式转发体系结构提供高达400Mpps的转发性能。能够适应未来发展并保护投资的体系结构--在同一种机箱中支持三代可互换、可热插拔的模块，以提高IT基础设施利用率，增大投资回报，并降低总体拥有成本；操作一致性--3插槽、6插槽、9插槽和13插槽机箱配置使用一样的模块、CiscoIOSSoftware、CiscoCatalystOperatingSystemSoftware以与可以部署在网络任意地方的网络管理工具。卓越的服务集成和灵活性--将安全和容等高级服务与融合网络集成在一起，提供从10/100和10/100/1000以太网到万兆以太网，从DS0到OC-48的各种接口和密度，并能够在任何部署项目中端到端地执行。在端到端CiscoCatalyst6500系列部署中的操作一致性3插槽、6插槽、9插槽和13插槽机箱配置使用一样的模块、软件和网络管理工具可部署在网络的任意地方--从布线室到核心、数据中心和广域网边缘为降低备件和培训成本，与Cisco7xxx路由器系统使用一样的广域网端口适配器(PA)用户可以自行选择所有控制引擎上支持的CiscoIOSSoftware和CiscoCatalystOperatingSystem，确保顺利地从CiscoCatalyst5000系列、Cisco7500系列移植到CiscoCatalyst6500系列。提高网络正常运行时间，提高网络弹性提供数据包丢失保护，能够从网络故障中快速恢复能够在冗余控制引擎间实现快速的1～3秒状态故障切换提供可选的高性能CiscoCatalyst6500系列SupervisorEngine720、无源背板、多引擎的冗余；并可利用CiscoEtherChannel技术、IEEE802.3ad链路汇聚、IEEE802.1s/w和热备份路由器协议/虚拟路由器冗余协议（HSRP/VRRP）达到高可用性集成式高性能的网络安全性和网络管理不需要部署外部设备，直接在6500机箱部署集成式的千兆位的网络服务模块，以简化网络管理，降低网络的总体成本。这些网络服务模块包括：数千兆位防火墙模块--提供接入保护高性能入侵检测系统（IDS）模块--提供入侵检测保护千兆位网络分析模块--提供可管理性更高的基础设施和全面的远程超级（RMON）支持高性能SSL模块--提供安全的高性能电子商务流量终结千兆位VPN和基于标准的IPSecurity（IPSec）模块--降低的互联网和部专网的连接成本。能感知网络容和网络应用的第2～7层交换服务集成式容交换模块（CSM）能够为CiscoCatalyst6500系列提供功能丰富的高性能的服务器和防火墙网络负载平衡连接，以提高网络基础设施的安全性、可管理性和强大控制集成式数千兆位的SSL加速模块与CSM结合在一起，能提供高性能的电子商务解决方案集成式数千兆位的防火墙和CSM能提供安全的高性能数据中心解决方案基于网络的应用识别（NBAR）等软件特性可提供增强网络管理和QoS控制机制。可扩展的性能利用分布式CiscoExpressForwardingdCEF720平台提供业界最高的交换机性能--400Mpps支持多种CiscoExpressForwarding（CEF）实现方式和交换矩阵速率。在布线室、核心、数据中心、广域网边缘部署以与电信运营商网络均可提供最优配置。丰富的第3层网络服务多协议第3层路由支持满足了传统的网络要求，并能够为企业网络提供平滑的过渡机制硬件支持的从企业级到电信运营商级的大规模路由表硬件支持IPv6，并提供高性能的IPv6服务在硬件中提供MPLS与MPLS/VPN的支持，可应用在高速电信运营商的网络核心和城域以太网，提供丰富的MPLS服务。增强的数据、语音和视频服务在所有CiscoCatalyst6500系列平台上提供集成式IP通信提供10/100和10/100/1000接口模块，借助在接口模块增加电源子卡就可让这些接口模块提供在线的电源，提供IEEE802.3af的支持，保护今天的投资提供高密度的T1/E1和FXS的VoIP语音网关接口，可与公共网（PSTN）、传统的、和PBX连接，提供VoIP服务。支持高性能的IP组播视频和音频应用提供一个统一管理的、经济的、可灵活扩展的网络。最高的接口灵活性、可扩展性和端口密度满足大型关键业务布线室、企业核心层和分布层需要的端口密度和接口类型每台设备可提供576个支持语音的，具有在线电源的10/100/1000M铜线接口提供192个GBIC千兆位以太网接口率先推出业界第一个万兆以太网接口，和可提供高密度的OC-3POS接口的通道化的OC-48接口。通过系列FlexWAN模块上使用Cisco7xxx系列端口适配器(PA)，CiscoCatalyst6500可支持T1/E1～OC-48广域网接口，具有很高的投资保护能力机箱从3插槽（6503）、6插槽（6506）、9插槽（6509）到13插槽（6513）。高速广域网接口提供与其它核心路由器兼容的高速广域网、ATM和SONET接口单一平台实现广域网汇聚以与园区网和城域连接管理

最高投资保护高度灵活的模块化体系结构，在同一机箱支持多代模块互操作所有引擎上都支持CiscoIOSSoftware和CiscoCatalystOperatingSystemSoftware10/100Mbps和10/100/1000Mbps以太网模块可现场升级为随线供电的模块，可让用户在需要时升级实现IP技术和无线局域网连接可在各种应用场合中添加的不断推出的网络服务模块包括CiscoCatalyst6500系列网络安全性、容交换和语音功能未来的模块将进一步提高性能、端口密度，并推出其它服务适用于城域以太网广域网服务802.1Q和802.1Q隧道（QinQ）提供点到点和点到多点以太网服务EoMPLS的功能提供了VLAN的透传功能，大幅提升MPLS骨干网中的以太网服务扩展能力通过在第2层和第3层QoS功能中提供速率限制和流量整形，可在城域以太网服务中提供分级的带宽服务增强的生成树协议、IEEE802.1s、IEEE802.1w和CiscoEtherChannelIEEE802.3ad链路汇聚功能提供了网络超高的可用性。Catalyst3560-48交换机Catalyst3560-48智能化以太网交换机产品概述CiscoCatalyst3560系列智能化以太网交换机是一个新型的、可堆叠的、多层企业级交换机系列，可以提供高水平的可用性、可扩展性、安全性和控制能力，从而提高网络的运行效率。因为具有多种快速以太网和千兆以太网配置，因此Catalyst3560系列既可以作为一个功能强大的接入层交换机，用于中型企业的布线室；也可以作为一个骨干网交换机，用于中型网络。客户有史以来第一次可以在整个网络中部署智能化的服务，例如先进的服务质量（QoS），速度限制，Cisco安全访问控制列表，多播管理和高性能的IP路由同时保持了传统LAN交换的简便性。Catalyst3560系列中嵌了Cisco集群管理套件（CMS）软件，该软件使用户可以利用一个标准的Web浏览器同时配置和诊断多个Catalyst桌面交换机并为其排除故障。CiscoCMS软件提供了新的配置向导，它可以大幅度简化整合式应用和网络级服务的部署。两个置的千兆以太网端口可以支持多种GBIC收发器，包括CiscoGigaStack、GBIC、1000BaseT、1000BaseSX、1000BaseLX/LH和1000BaseZXGBIC。基于双GBIC的千兆以太网实施方案可以为客户提供高度的部署灵活性使客户可以在目前先部署一种堆栈和上行链路配置，然后可以在将来移植这种配置。高水平的堆栈弹性还可以通过下列技术实现：两个冗余千兆以太网上行链路，一条冗余的GagaStackTMGBIC回送线路，用于高速上行链路和堆栈互联故障恢复的UplinkFast和CrossStackUplinkFast技术，用于上行链路负载均衡的PerVLAN生成树+（PVST+）。这样的千兆以太网灵活性使Catalyst3550系列成为针对以太网优化的CiscoCatalyst6500系列核心LAN交换机最理想的LAN边缘补充产品。3560-48中含有标准多层软件镜像（SMI）或者增强型多层软件镜像（EMI）。EMI提供了一组更加丰富的企业级功能，包括基于硬件的IP单播和多播路由，虚拟LAN（VLAN）间的路由，路由访问控制列表（RACL）和热备用路由器协议（HSRP）。在刚开始部署时，增强型多层软件镜像升级工具包为用户提供了升级到EMI的灵活性。Catalyst2950交换机CiscoCatalyst2950CiscoCatalyst2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列，提供了线速快速以太网和千兆位以太网连接。这是一款最廉价的Cisco交换产品系列，为中型网络和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列，Catalyst2950系列在网络或城域接入边缘实现了智能服务。Catalyst2950拥有48个10/100端口以与2个基于GBIC的千兆比特以太网端口。置的千兆比特以太网端口适合插入多种GBIC收发器，包括CiscoGigaStack(tm)GBIC，1000BaseSX,1000BaseLX/LH和1000BaseZXGBIC。基于GBIC的双千兆比特以太网的实现为客户提供了巨大的配置灵活性，它允许客户实现当今典型的堆叠和上行链路配置，同时保留将来对这一配置进行修改的选项。Catalyst2950交换机是多种网络应用中实现桌面连接的理想选择。Catalyst2950交换机能够以较低的每端口价格向个人用户和服务器提供专用的10Mbps或100Mbps带宽。这三种桌面交换机都拥有基于GBIC的双千兆比特以太网端口，能够为千兆比特以太网上行链路或GigaStackGBIC堆叠解决方案提供一个极为灵活的、可扩展的解决方案。无论在桌面上还是在配线室里，这些交换机都很容易配置，并且能够得到CiscoIOS软件的支持。利用Cisco交换机集群多设备管理技术，对Catalyst交换机的管理能够变得更加方便。主要特性和优点杰出的性能：48个10BaseT/100BaseTX自适应端口，每个端口可以为个人用户、服务器或工作组提供最高200Mbps的带宽，用来支持带宽密集应用。两个置的、基于GBIC的千兆比特以太网端口能够为千兆比特以太网骨干、千兆比特以太网服务器或交换机之间提供高达4Gbps的集合带宽。10.8-Gbps交换网和高达8.0-Mpps的转发速度，能够保证数据包到每个10BaseT/100BaseTX端口和千兆比特以太网端口的高性能转发。4-Mb共享存结构通过去除头部信息阻塞现象、最减少数据包丢失以与降低多点传送和广播传输的拥挤现象，保证了最高的吞吐量。所有端口采用全双工运行模式，10/100端口能够提供最高200Mbps的带宽，1000BaseX端口能够提供最高2Gbps的带宽。每个10/100和千兆比特以太网端口上的双重优先转发队列，支持网络流量顺序的优先安排，并通过IEEE802.1p协议支持数据、话音和视频之间的无缝集成。使用快速以太通道和千兆比特以太通道技术实现的带宽集合提高了容错能力，为交换机、路由器、个体服务器之间的连接提供了400-Mbps到4-Gbps的集合带宽。基于GBIC的千兆比特以太网端口使客户能够在1000BaseSX，1000BaseLX/LH，1000BaseZX或CiscoGigaStack堆叠GBIC之间进行选择，以满足自己的连接需要。对端口广播扰动的控制能够防止故障终端通过广播扰动来降低整个系统的性能安全和冗余CiscoUplinkFast技术确保了快速的故障恢复能力，提高了整个网络的稳定性和可靠性。支持TACACS+身份鉴别，可以保证对交换机的集中控制，限制未授权用户修改配置。基于MAC的端口级安全保护能力可以防止未授权终端访问交换机。用户可以选择的地址学习模式简化了配置，增强了安全性。控制台对访问的多级安全控制特性能够防止未被授权用户对交换机配置进行修改。IEEE802.1D生成树协议支持冗余骨干连接和无环网络，简化了网络配置，提高了容错能力。支持GigaStack堆栈中顶部交换机和底部交换机之间的冗余回环线连接。可选Cisco600W冗余交流电源系统来为多达4个单元提供备份电源，这样提高了容错能力，增加了网络正常工作时间。CiscoSecurePIX525防火墙CiscoSecurePIX525防火墙强壮的安全特性Internet的发展为企业、政府和专用网络带来了更大的安全风险。现有的解决方案如运行在应用层的基于代理的防火墙具有很多限制条件，包括性能低、需要昂贵的通用平台、使用开放系统如UNIX时本身具有安全风险等。而CiscoSecurePIX防火墙能够提供空前的安全保护能力，它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法（ASA）。静态安全性虽然比较简单，但与包过滤相比，功能却更加强劲；另外，与应用层代理防火墙相比，其性能更高，扩展性更强。ASA可以跟踪源和目的地址、传输控制协议（TCP）序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时，访问才被允许通过CiscoSecurePIX防火墙。这样做，部和外部的授权用户就可以透明地访问企业资源，而同时保护了部网络不会受到非授权访问的侵袭。另外，实时嵌入式系统还能进一步提高CiscoSecurePIX防火墙系列的安全性。虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台，但通用的操作系统并不能提供最佳的性能和安全性。而专用的CiscoSecurePIX防火墙是为了实现安全、高性能的保护而专门设计。与IPsec互操作的安全VPN从传统上来说，防火墙通过维护所连接网段之间所有连接的静态控制实现了边界安全性。目前，越来越多的客户正在寻求除了提供访问控制以外，还能提供VPN服务的防火墙。利用VPN，远程用户或分布在各地的分支机构能够以更低的成本安全地访问企业网，同时，使用Internet访问可以大大降低与以前的专线或其它专用网络相关的电信费用。公司就不需要维护大型的Modem池和访问服务器来处理远程的拨号用户，而这些都是需要花费大量资金并且让管理员头痛的事情。现在，只需要向ISP进行本地呼叫，用户就可以通过Internet安全的访问专用的企业Intranet。PIX525实现了在Internet或所有IP网络上的安全通信。它集成了VPN的主要功能-隧道、数据加密、安全性和防火墙，能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。525可以同时连接高达4个VPN层，为用户提供完整的IPsec标准实施方法，其中IPsec保证了性、完整性和认证能力。对于安全数据加密，Cisco的IPsec实现方法全部支持56位数据加密标准（DES）和168位三重DES算法。极高的可靠性PIX防火墙提供了空前的可靠性，其平均无故障时间（MTBF）超过60000小时。即使是达到了这样高的水平，那些Internet、Intranet或Extranet连接是企业生命线的企业还是认识到了防火墙冗余是一项关键因素。防火墙的每一分钟停止运行都意味着收入、机会或关键信息的损失。Cisco已经创建了配合PIX525-UR使用的故障切换捆绑程序，能够简单、便宜地满足上述要求。该程序包为企业提供了特别设计在故障切换模式下运行的第二个防火墙，而其价格仅是标准PIX525UR捆绑件的一小部分。很强的灵活性CiscoSecurePIX525防火墙支持各种网络接口卡（NIC）。标准NIC包括单端口或4端口10/100快速以太网、千兆位以太网、4/16令牌环和双连接多模FDDI卡。另外，PIX525还提供多种电源选件，用户可以选择交流或48V直流电源。每一种选件都配有为第二个"故障切换"PIX系统准备的成对儿产品，从而实现最高的冗余和高可用性。主要特性和优点Cisco端到端解决方案的组成部分-允许各公司将经济高效、无缝的网络基础设施扩展到分支机构。最低的拥有成本-安装、配置简单，网络中断时间更少。另外，允许透明地支持Internet多媒体应用，不再需要实际调整和重新配置每一台客户工作站或PC机。非UNIX的