北京人民廣播電臺項目建議書

1、北京人民廣播電臺項目建議書生成日期2009年9月17日初始版本0.1制作者Team狀態(tài)草案修訂日志目錄第一部分 前言31.1 網(wǎng)絡現(xiàn)狀31.2 設計原則3第二部分 方案42.1 方案一：52.1.1 安全總體設計52.1.2 冗余62.1.3 性能和可管理72.1.4 網(wǎng)絡增值82.1.5 總結(jié)102.2 方案二：102.2.1 網(wǎng)絡總體設計112.2.2 網(wǎng)絡可管理性122.2.3 網(wǎng)絡增值業(yè)務12第三部分 設備簡介123.1 CiscoWorks的簡介123.1.1 典型網(wǎng)絡的部署133.1.2資產(chǎn)管理133.2無線局域網(wǎng)控制器143.2.1智能RF管理153.2.2嚴格的安全性163.3

2、 Cisco 7204183.3.1產(chǎn)品簡介183.3.2關鍵特性和優(yōu)點183.4 Cisco ASA 5550自適應安全設備203.5 Cisco Catalyst 2960概述213.5.1千兆以太網(wǎng)223.5.2網(wǎng)絡智能性223.5.3增強安全性233.5.4高級QoS243.5.5管理25第一部分 前言本項目建議書來自對于北京廣播電臺的不完全認識。僅從規(guī)劃和實際技術角度討論項目的拓撲和其他可能變化。1.1 網(wǎng)絡現(xiàn)狀北京廣播電臺網(wǎng)絡經(jīng)過五年的建設，已經(jīng)具有相當?shù)囊?guī)模。網(wǎng)絡規(guī)劃基本合理，設備功能清晰。根據(jù)現(xiàn)有掌握的資料來看，網(wǎng)絡大致分為以下幾個部分：網(wǎng)絡接入層。該層面包含了兩個功能，一個是

3、網(wǎng)絡安全用的行為審計設備，另外一個是流量均衡設備。行為審計設備用以限制內(nèi)部和外部使用者的行為，某些具有明顯惡意行為的數(shù)據(jù)包將會使用簽名比對的方式進行查找并且丟棄，同時提供了針對某些協(xié)議和應用的封閉能力，可能包括下載工具和流媒體。流量均衡設備目前使用Radwear的主動型流量均衡器，設備通過對外散布ICMP小包，并且統(tǒng)計回環(huán)延時的方式來確定前往特定目的地的最佳路徑。網(wǎng)絡核心層。網(wǎng)絡核心層使用Cisco 7600路由器作為核心路由器。設備上使用FWSM用以提升內(nèi)部網(wǎng)絡的安全性，提升網(wǎng)絡對于內(nèi)部攻擊的抵御能力；同時作為對外網(wǎng)絡的第二道防線，也會起到積極作用。核心路由器上使用的NAM模塊有助于管理員準

4、確的統(tǒng)計流經(jīng)設備各接口的數(shù)據(jù)類型，對于判斷網(wǎng)絡應用的發(fā)展和發(fā)現(xiàn)網(wǎng)絡威脅的早期特征具有積極意義。核心交換使用Cisco Catalyst 6509進行。設備劃分VLAN，并使用三層路由的方式匯聚接入層的數(shù)據(jù)。網(wǎng)絡邊緣層。網(wǎng)絡邊緣層主要是各樓層接入交換機組成。接入交換機匯聚客戶流量，并在網(wǎng)絡二層防護方面發(fā)揮積極作用。1.2 設計原則為了能夠進一步提升網(wǎng)絡的運作水平，包括容錯、均衡和可管理能力，使得網(wǎng)絡能更好的適應未來基于應用的交付，決定利用這次機會，對整個網(wǎng)絡進行重新的改造。改造本著適度超前，著眼今后5年實際網(wǎng)絡發(fā)展的原則，為今后更加復雜的網(wǎng)絡應用和面對更加嚴峻的網(wǎng)絡安全形勢，做好充分的準備。網(wǎng)絡

5、改造遵循以下原則進行l(wèi) 開放性標準化嚴格按照行業(yè)標準進行設計，使網(wǎng)絡系統(tǒng)具有較長的生命力和擴展能力，滿足未來升級的要求。在網(wǎng)絡設計中充分考慮設備對標準的支持，保證與多廠商的設備互連的能力。l 高性能擴展性高性能、大容量網(wǎng)絡設施可保證對多種高速網(wǎng)絡技術，如：千兆以太網(wǎng)、快速以太網(wǎng)和ATM等的支持。方案中所推薦的各級網(wǎng)絡設備能針對各類業(yè)務提供適合的帶寬。模塊化設備的使用更會提高網(wǎng)絡系統(tǒng)的擴展能力。 l 安全性可靠性核心設備須具有強大的冗余和容錯功能，重要部件（如電源、核心交換引擎等）采用冗余備份設計。采用多級網(wǎng)絡安全的設計思路，推薦使用設備內(nèi)置的安全功能，能配合專業(yè)的安全產(chǎn)品（如防火墻）還能有效地

6、阻止外部的非法入侵和內(nèi)部的非授權操作。l 可管理性和可維護性采用先進完善的網(wǎng)絡管理和監(jiān)控工具，對網(wǎng)絡實現(xiàn)一體化管理。通過對網(wǎng)絡性能的監(jiān)控及時改善網(wǎng)絡性能。l 設備的先進性和成熟性在網(wǎng)絡通訊技術和計算機技術發(fā)展日新月異的今天，網(wǎng)絡的選擇既要遵循新技術的發(fā)展方向，采用最新科技水平，使項目具備國內(nèi)乃至國際領先的地位，又要兼顧技術上的成熟性，保證系統(tǒng)整體性能，使整體投資達到最佳。第二部分 方案為了能夠更好的滿足需求，現(xiàn)特別準備了兩套方案，以供選擇。第一套方案傾向高性能和高可靠性，目標是滿足今后至少5年網(wǎng)絡情況的發(fā)展，網(wǎng)絡設計有全冗余鏈路，擁有極高的故障恢復和負載可控特性。第二套方案傾向于應用交付，注重

7、較低的購置成本和較強的通用性。2.1 方案一：本方案著眼高性能和高可靠性，更換主鏈路設備，提升內(nèi)部設備安全水平和可控制水平。使用Cisco基于ASA算法的新一代防火墻，同時內(nèi)置IPS模塊，除了能夠很好的解決目前網(wǎng)絡威脅，也可以為今后大量面對Internet的服務器提供良好的保障。整體網(wǎng)絡拓撲本網(wǎng)絡拓撲較大的改動了網(wǎng)絡現(xiàn)有狀態(tài)。由于無法驗證現(xiàn)在網(wǎng)絡上使用的UTM設備的具體作用因此將此設備暫時當作網(wǎng)橋看待，所有的流量直接穿越UTM，并在UTM上執(zhí)行原有策略。2.1.1 安全總體設計安裝兩臺攜帶IPS的Cisco 5540防火墻。帶有IPS作用的一大好處，就是可以借助獨立的IPS硬件，來完成豐富的數(shù)

8、據(jù)檢測功能。Cisco防火墻是業(yè)界領先的設備，基于簽名的數(shù)據(jù)包過濾技術可以非常容易的發(fā)現(xiàn)已知的攻擊行為，并能進行極深度數(shù)據(jù)包檢查，避免夾雜在數(shù)據(jù)包當中針對特定系統(tǒng)的語義攻擊，更大限度的自外而內(nèi)保護網(wǎng)絡安全。同時照顧到未來的服務器群組，ASA提供了雙上下文環(huán)境來保證兩臺設備的雙Active狀態(tài)。通過鏈路檢查和狀態(tài)復制，ASA可以保證在任何一臺設備實效的情況下仍能保證數(shù)據(jù)的正常轉(zhuǎn)發(fā)。IPS模塊可以成倍的提高防火墻對于攻擊的抵抗能力。因為北京廣播電臺從社會學上，屬于社會地標組織，極其容易受到攻擊。因此，相對于A/S結(jié)構(gòu)的防火墻冗余，AA結(jié)構(gòu)更容易面對惡劣環(huán)境。額外的，帶有多上下文環(huán)境的ASA還可以提

9、供ASR。這種不對稱狀態(tài)技術可以幫助數(shù)據(jù)包及時往返路徑不一致的時候，也仍然可以從另外一臺防火墻返回網(wǎng)絡。2.1.2 冗余鏈路以下，使用兩臺F5 LC1500鏈路負載均衡器，用以實現(xiàn)智能網(wǎng)絡均衡負載能力。基于大量的實際工程經(jīng)驗，F(xiàn)5 LC1500均衡器使用SRTT算法來確認鏈路的使用狀況。通過不間斷的對數(shù)據(jù)包的監(jiān)視，設備就可以了解足夠多的線路狀態(tài)信息。相比較而言，Radware的Echo技術大量的消耗自身的上游設備資源，嚴重的增加了網(wǎng)絡設備處理數(shù)據(jù)包的負擔。一般認為，網(wǎng)絡設備在處理小型數(shù)據(jù)包時候?qū)冻龈嗟木W(wǎng)絡資源。核心進行小幅的調(diào)整，用以提高整個網(wǎng)絡的可靠性水平和可管理能力。為兩臺設備購置次

10、級備份設備，以求在不顯著增加成本的前提下，大幅度提高網(wǎng)絡應對突發(fā)故障或者設備崩潰的能力。為Cisco7600進行備份的設備是Cisco 7204VXR，7204是緊湊型ISP邊緣路由器，擁有NPE200/400等各型號的高速處理器，并能夠部分兼容Cisco 7600的板卡，并且總造價不高，可以極大地提升網(wǎng)絡可控水平，當網(wǎng)絡遭受嚴重物理破壞或者極端攻擊時候，擁有足夠的處理能力來進行平滑和處理。同時，將核心設備上的防火墻模塊轉(zhuǎn)移到Cisco Catalyst 6509上，新購買NAM模塊安裝到Cisco6509上，用以提供更為詳細的流量統(tǒng)計報告。2.1.3 性能和可管理作為三層交換的核心設備，65

11、09擁有至少720G的傳輸能力，并且高效的三層交換能力可以使得6509比7600路由器更加適合處理這種大量用戶數(shù)據(jù)簡單匯聚的工作。FWSM經(jīng)過小心的配置，可以更為有效的工作在這種環(huán)境下。同時，購買第二塊引擎和電源，以便于從物理結(jié)構(gòu)上增加設備的可靠程度。當接口數(shù)目不足的情況下，可以購買另外的接口板，確保所有內(nèi)部用戶都在FWSM的控制之下。同樣的，在Cisco6509上也添加IDS模塊。作為Cisco安全網(wǎng)絡不可或缺組成部分，應用在內(nèi)部網(wǎng)絡的IDS將會和FWSM一起，一次性永久解決內(nèi)部網(wǎng)絡訪問控制問題。歷年的網(wǎng)絡安全會議強調(diào)，網(wǎng)絡中來自受信任區(qū)域的網(wǎng)絡攻擊占到網(wǎng)絡攻擊總數(shù)的80%，盡管可以有集團化

12、放病毒軟件或者防毒墻存在，但是我們?nèi)匀粺o法忽視來自受信任區(qū)域發(fā)起攻擊所帶來的嚴重后果。兩套IDS與防火墻、核心路由器和核心交換機進行聯(lián)動，確保可以準確及時的消除網(wǎng)絡攻擊帶來的隱患。2.1.4 網(wǎng)絡增值為了更好的管理北京廣播電臺內(nèi)部的瘦AP，實現(xiàn)給予802.1X的接入認證和無縫漫游，應該購置無線局域網(wǎng)控制器以完成這個工作。單獨購買的無線局域網(wǎng)控制器擁有很好的部署靈活性。結(jié)合預認證和功率分布分析等等功能，可以為用戶提供非常好的無線接入體驗?；?02.1X的質(zhì)詢則可以大幅度減少無線網(wǎng)絡需要人工配制的項目的數(shù)量，擁有OTP或者密碼的用戶可以接入內(nèi)網(wǎng)，而其他用戶則只能限制在一個較小的區(qū)域內(nèi)。核心網(wǎng)絡的

13、設備以及Cisco防火墻上，使用包括逆向路徑校驗和復雜隊列技術、深度數(shù)據(jù)包檢查，來徹底的進行網(wǎng)絡流量的人工控制。逆向路徑結(jié)合bogonACL過濾技術可以大幅減少網(wǎng)絡欺騙攻擊的數(shù)量和效果，避免使用虛假地址的TCP SYN攻擊給服務器帶來的難以估量的壓力；相對的，復雜隊列技術可以保證關鍵業(yè)務可以首先通過，特別是在未來可能實現(xiàn)對外的流媒體服務器，或者是內(nèi)部進行的視頻會議等等，都可以直接從中得益，面對過量的攻擊壓力的時候，復雜隊列技術是保證網(wǎng)絡正常工作的唯一途徑。深度數(shù)據(jù)包檢查可以結(jié)合IPS一同使用。必要時侯，使用ZBF來進一步強化網(wǎng)絡的整體安全性。深度數(shù)據(jù)報檢測可以檢查數(shù)據(jù)包的七層載荷，避免畸形數(shù)據(jù)

14、包對于網(wǎng)絡的毀滅性打擊。網(wǎng)絡管理使用CiscoWorksLMS群件。群件使用Cisco定義設備特性集，可以準確的繪制網(wǎng)絡拓撲，精確描述設備間電纜連接狀況；同時，具有強大的記錄功能，基于SNMP的Trap和CiscoWorks輪詢確保了數(shù)據(jù)的完整性?，F(xiàn)在網(wǎng)絡的接入曾交換機還在使用部分的3Com設備，建議本次統(tǒng)一更換為Cisco設備，除了擁有更好的性能，也為了能夠使用CiscoWorks更好的管理，今后也可以成為網(wǎng)絡NAC體系的一部分。Cisco MARS成為本方案當中最后可以可選件。MARS是Cisco威脅聯(lián)動部件的核心設備。它可以工作在簽名和簡檔兩種模式中，因此具有非常低的誤報和對新形態(tài)攻擊的

15、敏感性雙重優(yōu)點。結(jié)合網(wǎng)絡中的IPS/IDS，NAM模塊，MARS具有更加豐富和準確的數(shù)據(jù)源，因此可以發(fā)揮更好的作用。2.1.5 總結(jié)此方案具有較高的一次性造價，但是從長遠來看，網(wǎng)絡的基本形態(tài)不論是從單體設備性能，還是冗余能力，或者是人為可控的管理能力上而言，相對于現(xiàn)在都有很大的提升。多業(yè)務設備選擇和針對安全的強化，將會使得網(wǎng)絡能夠更好的適應今后網(wǎng)絡的發(fā)現(xiàn)。縱觀網(wǎng)絡發(fā)展史，老舊網(wǎng)絡的衰落和換代無一不是應用交付程序的暴發(fā)性增長所致。而這種增長對于商用型網(wǎng)絡而言，沒有任何意義。類似迅雷，Emule和BT的應用，將會給網(wǎng)絡帶來極其沉重的壓力。因此，對于商用網(wǎng)絡核心業(yè)務的保護和對應用交付程序的控制，就成

16、為網(wǎng)絡能長治久安和穩(wěn)定運行的基石。網(wǎng)絡中大量部署的IDS和防火墻，將會準確的捕捉這些應用的發(fā)展，盡早的將這些應用控制在管理者手中。2.2 方案二：本方案著眼較低改造成本。較低的改造成本往往意味著較低的行政審批壓力，相比較而言可以更加容易的開展工作。相應的，網(wǎng)絡的可擴展性將會受到一定程度的制約，相對于前面一種方案而言，擴展性會有所降低。2.2.1 網(wǎng)絡總體設計現(xiàn)在的網(wǎng)絡拓撲更多的問題集中在網(wǎng)絡出口。僅從現(xiàn)在的拓撲而言，網(wǎng)絡出口并沒有專職的防火墻來提供對網(wǎng)絡的保護。同時，盡管網(wǎng)絡鏈路實現(xiàn)了冗余，但是鏈路冗余設備卻產(chǎn)生了新的單點故障；核心的Cisco7600盡管具有FWSM，和NAM，但是無法監(jiān)控到

17、Cisco6509上產(chǎn)生的流量。為了能盡快地修正這些明顯的缺陷，應當進行設備的添置，但不涉及對于網(wǎng)絡結(jié)構(gòu)的修改。首先的，核心路由器和核心交換機統(tǒng)一購置雙引擎，以便從設備層面提供冗余能力。通常的，核心網(wǎng)絡設備會面臨最為險惡的網(wǎng)絡應用環(huán)境，因此必須要對核心實行板卡級或者設備級冗余，來提升網(wǎng)絡本身的穩(wěn)定性。2.2.2 網(wǎng)絡可管理性Cisco基于SSO的切換可以在設備運行期間，保存所有路由表和轉(zhuǎn)發(fā)任務，實現(xiàn)秒級切換，并且不會中斷轉(zhuǎn)發(fā)和所有鄰接關系。同時，將Cisco7609的FWSM和NAM模塊全部安裝到Cisco6509上，直接連接的用戶也全部轉(zhuǎn)移到Cisco6509上，實現(xiàn)接入層和網(wǎng)絡路由決策層的

18、分離，提高網(wǎng)絡控制層面的靈活性。由于現(xiàn)在出口的Radware設備使用小包探測鏈路形態(tài)，給出口的UTM設備增加了很多負擔，在UTM設備不能替換的情況下，將Radware設備更換為使用SRTT算法的F5設備。減輕網(wǎng)絡設備負擔也有助于提升整體網(wǎng)絡的穩(wěn)定性。2.2.3 網(wǎng)絡增值業(yè)務由于下屬交換機和無線AP眾多，也增加了接入用戶管理的挑戰(zhàn)。為了避免由此產(chǎn)生的巨大的管理開銷，使用基于Cisco ACS服務器的dot1x質(zhì)詢認證，來識別用戶身份和設備。以此限制用戶接入的能力和水平。同樣的，由于成本限制，不能在外鏈路上使用高端防火墻，因此采用天融信的行為管理設備，限制用戶可以訪問的Internet網(wǎng)絡資源。天

19、融信作為國內(nèi)行為管理起步最早的企業(yè)，其行為特征數(shù)據(jù)庫的更新也是首屈一指，通過不斷的更新數(shù)據(jù)庫，行為管理設備可以識別和管理更多的網(wǎng)絡數(shù)據(jù)流量。為了更好的適應網(wǎng)絡統(tǒng)一化管理的目標，下屬接入交換機也視情況改為Cisco制造的型號，以便于識別和管理。除了主鏈路配置有區(qū)別，其他的諸如準入控制，復雜隊列技術，CiscoWorks等等，均和上述方案相同。第三部分 設備簡介3.1 CiscoWorks的簡介CiscoWorks Local Network Management Solution (LMS)是Cisco的一個端到端的網(wǎng)絡管理解決方案。它是包含有兩到三個分支辦公室的小型網(wǎng)絡管理的理想解決方案。Ci

20、scoWorks LMS是廣泛的、低成本并且友好的解決方案，提供了強大的監(jiān)視和配置能力，也提供了網(wǎng)絡管理和簡單的網(wǎng)絡管理功能?；趶V受歡迎的Internet標準，CiscoWorks LMS允許網(wǎng)絡管理員更有效率的管理網(wǎng)絡，這一切僅僅通過一個簡單的機遇瀏覽器的界面就能夠在任何時間任何地點登陸并且管理網(wǎng)絡。CiscoWorks LMS提供了足以完成配置、監(jiān)視和解決路由器、交換機或者其他應用程序問題的工具，能快速的控制由于人為因素而導致的錯誤。商業(yè)用戶使用CiscoWork SNMS，能夠幫助他們有效的提升網(wǎng)絡性能和減少網(wǎng)絡中端時間（給予監(jiān)視和問題解決工具），并能使得網(wǎng)絡配置恢復到配置之前的狀態(tài)。

21、3.1.1 典型網(wǎng)絡的部署今天來自商業(yè)用戶的挑戰(zhàn)就是保證網(wǎng)絡具有很高的可用時間和迅速的故障解決能力。CiscoWorksLMS不僅僅可以進行普通的網(wǎng)絡管理任務，最主要的是，他們還能協(xié)助用戶進行配置或者重新配置復雜并且多變的網(wǎng)絡。一般而言，管理一個小型的網(wǎng)絡，需要及時地管理并清查網(wǎng)絡基礎設備的變化，定期升級運行在本地和遠程設備的軟件鏡像，執(zhí)行配置更改，優(yōu)化網(wǎng)絡的利用率，部署策略以適應組織新的計劃。當然，這是一個具有挑戰(zhàn)性的任務，特別是在大多數(shù)組織面臨的預算和人力資源有限的情況下。CiscoWorksLMS支持用戶監(jiān)控、管理和部署新的網(wǎng)絡設備并使它們在很短的時間運行起來，很多其他的針對網(wǎng)絡部署方面

22、的特性。3.1.2資產(chǎn)管理CiscoWorks LMS 提供了非常全面的設備生命周期的管理工具，包括設備的硬件和安裝在上面的軟件。只需要很少的配置工作就可以使得這個工具有效的運行起來，比如可能需要修改密碼和設備集名稱，就會被自動的記錄在案，而不用人為的去創(chuàng)建觸發(fā)器或者進行其他的操作。利用CiscoWorks LMS可以使得管理任務的自動化。CiscoWorks LMS提供了用戶跟蹤網(wǎng)絡設備配置修改的工具。當網(wǎng)絡規(guī)模逐漸增大，設備可以使用帶有新的特性和升級了性能的操作系統(tǒng)來適應，比如新版本的Cisco IOS/Cisco Catalyst OS。經(jīng)常更新這些程序可以保證網(wǎng)絡安全和穩(wěn)定的運行。 C

23、iscoWorks LMS提供了一個非常簡單但是功能強大的管理窗口來管理整個網(wǎng)絡的基礎設施，并且不僅僅局限于Cisco的設備，包括了PC機，服務器和其他的應用程序，并為紀錄和管理這些公用的基礎設施開辟了有一條新的途徑。用戶開始不需要使用很多彼此不相關的應用程序來管理他們的網(wǎng)絡了。3.2無線局域網(wǎng)控制器思科無線局域網(wǎng)控制器適用于企業(yè)無線局域網(wǎng)部署，并提供了系統(tǒng)級無線局域網(wǎng)功能，如安全策略、入侵防御、RF管理、服務質(zhì)量(QoS)和移動性。它們與Cisco 1000系列輕型接入點和思科無線控制系統(tǒng)(WCS)軟件共用，可支持關鍵的無線應用。從語音和數(shù)據(jù)服務到地點跟蹤，WLAN控制器提供了必要的控制能力

24、、可擴展性和可靠性，以便IT經(jīng)理能構(gòu)建從分支機構(gòu)到主園區(qū)的安全、企業(yè)級無線網(wǎng)絡。思科無線局域網(wǎng)控制器可平穩(wěn)地集成入現(xiàn)有企業(yè)網(wǎng)絡中。它們使用輕型接入點協(xié)議（LWAPP），與Cisco 1000系列輕型接入點在任意第二層（以太網(wǎng)）或第三層（IP）基礎設施上通信。這種新型IETF標準有助于確保接入點和無線局域網(wǎng)控制器間的通信安全，可完全自動地支持重要的無線局域網(wǎng)配置和管理功能，從而實現(xiàn)經(jīng)濟有效的無線局域網(wǎng)運營。 思科無線局域網(wǎng)控制器使企業(yè)能為支持關鍵業(yè)務應用的端到端無線局域網(wǎng)系統(tǒng)，創(chuàng)建和實施策略。多個WLAN控制器可自動相互發(fā)現(xiàn)，并在它們之間無縫協(xié)調(diào)WLAN服務。以這種方式，思科無線局域網(wǎng)控制器可作

25、為單一無縫系統(tǒng)運行，提供一個有數(shù)千AP的可擴展WLAN網(wǎng)絡。從語音和數(shù)據(jù)服務到地點跟蹤，WLAN控制器提供了必要的控制能力、可擴展性和可靠性，以便IT經(jīng)理能構(gòu)建安全的企業(yè)級無線網(wǎng)絡。Cisco 4400系列無線局域網(wǎng)控制器適用于大中型機構(gòu)，有兩個型號帶2個千兆以太網(wǎng)端口，其配置可支持12、25和50個接入點的4402，以及帶4個千兆以太網(wǎng)端口，支持100個接入點的4404。4402具有1個擴展插槽，4404具有2個擴展插槽，可用于在將來添加增強功能，如VPN終結(jié)等。此外，每個4400 WLAN控制器均支持一個可選冗余電源，以確保最高可靠性。3.2.1智能RF管理所有思科WLAN控制器都配備了用

26、于自適應實時RF管理的內(nèi)嵌軟件。思科WLAN系統(tǒng)使用即將榮獲專利的無線資源管理(RRM)算法，來實時發(fā)現(xiàn)空中無線資源使用的變化并作出調(diào)整。這些調(diào)整以類似于路由協(xié)議為IP網(wǎng)絡計算最佳拓撲的方式，為無線網(wǎng)絡創(chuàng)建最優(yōu)拓撲。 思科無線局域網(wǎng)控制器所管理的特定智能RF功能包括： 動態(tài)信道分配802.11信道可根據(jù)不斷變化的RF情況進行調(diào)整，以優(yōu)化網(wǎng)絡覆蓋范圍和性能。 干擾檢測和避免該系統(tǒng)可檢測干擾并重新調(diào)整網(wǎng)絡，以避免性能問題。 負載均衡此系統(tǒng)對多個接入點提供了自動的用戶負載均衡，即使負載量很大，也能獲得最優(yōu)網(wǎng)絡性能。 覆蓋盲區(qū)檢測和修復無線資源管理(RMM)軟件可發(fā)現(xiàn)覆蓋盲區(qū)，并嘗試通過調(diào)整接入點的功

27、率輸出來修復它們。 動態(tài)功率控制該系統(tǒng)可動態(tài)調(diào)整各接入點的功率輸出，來適應不斷變化的網(wǎng)絡情況，以確保達到預期的無線性能和可靠性。 3.2.2嚴格的安全性思科無線局域網(wǎng)控制器符合最嚴格的安全標準，包括： 802.11i Wi-Fi WPA2，WPA和有線等效加密(WEP) 802.1X，帶多種可擴展驗證協(xié)議(EAP)類型受保護EAP (PEAP)，帶傳輸層安全的EAP(EAP-TLS)，帶隧道化TLS的EAP (EAP-TTLS)和思科LEAP VPN終結(jié)4100系列的可選模塊，提供IP安全(IPSec)和第二層隧道協(xié)議(L2TP) VPN終結(jié) 因此，它堪稱業(yè)界最全面的無線局域網(wǎng)安全解決方案。

28、在思科無線局域網(wǎng)架構(gòu)中，接入點可作為無線監(jiān)控器，向無線局域網(wǎng)控制器通報有關無線域的實時信息。經(jīng)由思科WCS，可進行準確分析并采取校正措施，從而迅速識別所有安全威脅，并將其提交給網(wǎng)絡管理員。 思科提供了唯一能同時進行無線保護和提供無線局域網(wǎng)服務的無線局域網(wǎng)系統(tǒng)。這有助于確保實現(xiàn)完整的無線局域網(wǎng)保護，無需花費重復的設備成本或購買額外的監(jiān)控設備。思科無線局域網(wǎng)系統(tǒng)最初可作為獨立無線入侵防御系統(tǒng)部署，再在稍后重新配置，添加無線局域網(wǎng)數(shù)據(jù)服務。這使網(wǎng)絡管理員能環(huán)繞其RF域創(chuàng)建一個“防御屏障”， 抑制未授權無線活動，直至他們作好部署無線局域網(wǎng)服務的準備為止。 無線局域網(wǎng)入侵防御和定位思科無線局域網(wǎng)系統(tǒng)不僅

29、可發(fā)現(xiàn)惡意設備或潛在的無線威脅，而且能對這些設備定位。這使系統(tǒng)管理員能快速評估威脅級別，立即按需采取措施來抵御威脅。 基于身份的聯(lián)網(wǎng)IT人員必須在保護無線局域網(wǎng)的同時支持大量不同的用戶訪問權限、設備格式和應用要求。思科無線局域網(wǎng)系統(tǒng)使企業(yè)可為無線用戶或用戶組提供不同的安全策略。 這其中包括：- 第二層安全功能802.1x (PEAP, LEAP, TTLS), WPA, 802.11i (WPA2)和L2TP- 第三層（和更高層次）的安全功能IPSec, web驗證- VLAN分配- 訪問控制列表（ACL）IP限制，協(xié)議類型，端口和差分服務代碼點(DSCP)數(shù)值- QoS多個服務級別，帶寬減少

30、，流量整形和RF利用- 驗證、授權和記帳(AAA)/RADIUS用戶連接策略和權限管理 網(wǎng)絡準入控制(NAC)實施客戶端配置和行為策略，以確保只有擁有適當安全工具的終端用戶設備才能訪問網(wǎng)絡。 安全移動在移動環(huán)境中保持最高安全水平。這包括隨用戶移動而移動的VPN，無需重新建立安全隧道。此外，思科已開發(fā)了主動密鑰緩存(PKC)，這是802.11i標準的擴展、802.11r標準的前身，可通過AES加密和RADIUS驗證實現(xiàn)安全漫游。 訪客隧道為訪客接入公司網(wǎng)絡提供更高安全性。它可確保訪客如不首先通過公司防火墻，就無法接入公司網(wǎng)絡。3.3 Cisco 72043.3.1產(chǎn)品簡介擁有出色性價比的Cisc

31、o 7200系列路由器可以提供很多網(wǎng)絡服務加速解決方案，如通過網(wǎng)關連接到WAN和Internet的地區(qū)和分支辦公室、企業(yè)和服務供應商的遠地集中（多個分散地點通過一個中央地點實現(xiàn)互連）、要求IBM數(shù)據(jù)中心連接的地點、要求能夠?qū)⒁陨纤泄δ芙Y(jié)合起來實現(xiàn)多服務語音、視頻和數(shù)據(jù)的多功能能力的地點。 Cisco 7200的一個關鍵優(yōu)勢是其模塊化特性。在7200系列的配置中，客戶可以選擇4種處理引擎、一個4或6插槽多服務機箱、不同的輸入/輸出（I/O）控制器以及多種LAN和WAN端口適配器，這使7200系列能夠提供大量不同的配置，以滿足不同的網(wǎng)絡需求。Cisco 7201VXR和7206VXR機箱最高可以

32、提供1 Gbps的背板帶寬，并包括了集成的多服務交換（MIX）功能。端口適配器覆蓋了多種LAN和WAN連接，端口總數(shù)最高可以達到48個，并提供單電源或雙電源。這種模塊化設計在使客戶獲得自己所需要的性能和容量的同時，還為客戶提供了投資保護和有保證的擴展途徑。 3.3.2關鍵特性和優(yōu)點實現(xiàn)服務集中的理想選擇-DSL、ISDN、有線、無線和移動通信 基于IP傳真/語音、幀中繼或ATM的全面多服務網(wǎng)關功能 高性能交換-支持高速介質(zhì)和高密度配置：通過其基于RISC和SRAM配置的系統(tǒng)處理器，Cisco 7200每秒鐘最高可以交換30萬個數(shù)據(jù)包 全面支持基于高性能網(wǎng)絡服務的Cisco IOS軟件及其增強功

33、能-高速執(zhí)行包括服務質(zhì)量、安全性、壓縮和加密在內(nèi)的多種網(wǎng)絡服務 高端口密度-提供高端口密度和廣泛的LAN和WAN介質(zhì)支持，顯著地減少了每端口成本，并允許實現(xiàn)靈活的配置 公共端口適配器-使用與Cisco 7500通用接口處理器（VIP）一樣的端口適配器，簡化了貯存?zhèn)浼⒈Ｗo了客戶在接口上的投資 組網(wǎng)解決方案因其模塊化、靈活性和出色的性價比，7200系列在多種網(wǎng)絡解決方案中都扮演著關鍵的角色。 寬帶集中 7200系列最高可以在2000個L2TP隧道上處理8000個使用點對點協(xié)議的用戶（每機箱），同時具備世界級的路由選擇和服務選擇網(wǎng)關功能，這使7200系列成為寬帶端接的一站式選擇。 服務質(zhì)量 720

34、0系列擁有廣泛的網(wǎng)絡服務和接口選項，對于在您的網(wǎng)絡中實現(xiàn)服務質(zhì)量的需要來說，7200系列是領先的邊緣選件。 MPLS 沒有一家公司象Cisco這樣一直在發(fā)展多協(xié)議標記交換（MPLS），而對一個MPL內(nèi)核來說，Cisco 7200系列是最好的標記交換機或邊緣路由器。由于對MOLS VP的行業(yè)標準支持，當您的網(wǎng)絡對MPLS主干的可擴展性、靈活性和性能提出要求時，7200系列可以提供強大的行業(yè)同盟。 VPN 對于為專用WAN或VPN應用尋求可以得到硬件輔助的、高性能的隧道服務和加密服務的客戶來說，7200系列是理想的點對點虛擬專網(wǎng)（VPN）路由器選擇。 多服務 7200系列在一個多服務平臺上實現(xiàn)了最

35、高的性能和DS1密度-使客戶能夠集成自己的語音和數(shù)據(jù)網(wǎng)絡，以簡化這兩個并行網(wǎng)絡的維護并減少其運行成本。所有7200系列VXR機箱提供的集成TDM交換功能都可以支持通過一個單一多用途設備升級到IP語音網(wǎng)絡。除了集成TDM交換，7200系列還提供了多種通道化接口，這些端口可以同時部分實現(xiàn)語音通道配置和數(shù)據(jù)通道配置。 加速高接觸IP服務 使用NSE-1引擎的7200系列是從Cisco并行快速轉(zhuǎn)發(fā)（PXF）專利中受益的第一個平臺，能夠在一條硬件加速路徑上實現(xiàn)線速高接觸服務。當引入新服務時，只需通過簡單的軟件升級就可以將其合并到您的擁有PXF功能的網(wǎng)絡之中。3.4 Cisco ASA 5550自適應安全

36、設備Cisco ASA 5550自適應安全設備在一個可靠的單機架單元設備中為大型企業(yè)和電信運營商網(wǎng)絡提供了具備主用/主用高可用性和光纖及千兆以太網(wǎng)連接的大量千兆級安全服務。利用其8個千兆以太網(wǎng)接口、4個SFP光纖接口*和多達200個的VLAN，企業(yè)可以將網(wǎng)絡分成多個高性能分區(qū)，從而提高安全性。Cisco ASA 5550自適應安全設備可隨著企業(yè)網(wǎng)絡安全要求的提高而擴展，從而提供了強大的投資保護功能和服務可擴展性。企業(yè)能擴大其 IPSec 和SSL VPN 容量，以支持更多的移動員工、遠程地點和業(yè)務合作伙伴。通過安裝一個SSL VPN升級許可證，企業(yè)能在每個Cisco ASA 5550上支持50

37、00個SSL VPN對；基本平臺上支持5000個IPSec VPN對。Cisco ASA 5550的集成VPN集群和負載均衡功能可提高VPN容量和永續(xù)性。 Cisco ASA 5550在一個集群中能支持10個設備，從而使每個集群最多可支持50,000個SSL VPN對或50,000個IPSec VPN對。利用 Cisco ASA 5550 自適應安全設備的可選安全環(huán)境功能, 企業(yè)可在一個設備中部署多達50個虛擬防火墻，實現(xiàn)部門級或每用戶安全策略分區(qū)控制，同時降低管理和支持總成本。該系統(tǒng)共提供12個千兆以太網(wǎng)端口，其中8個能隨時提供服務。企業(yè)可選擇銅纜或光纖連接，從而為數(shù)據(jù)中心、園區(qū)或企業(yè)邊緣連

38、接提供了靈活性。特性說明防火墻吞吐率 高達 1.2 G bps VPN 吞吐率 高達 425 Mbps 并發(fā)連接 650,000 IPSec VPN 對 5,000 SSL VPN 對許可證級別*10 、 25 、 50 、 100 、 250 、 500 、 750 、 1000 、 2500 和 5000 安全環(huán)境 高達50個*接口 8 個千兆以太網(wǎng)端口、 4 個 SFP 光纖端口和 1 個快速以太網(wǎng)端口 虛擬接口 (VLAN) 250 可擴展性 VPN 集群與負載均衡 高可用性 主用 / 主用 , 主用 / 備用 3.5 Cisco Catalyst 2960概述Cisco Cataly

39、st 2960系列智能以太網(wǎng)交換機是一個全新的、固定配置的獨立設備系列，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，可為入門級企業(yè)、中型市場和分支機構(gòu)網(wǎng)絡提供增強LAN服務。Catalyst 2960系列具有集成安全特性，包括網(wǎng)絡準入控制(NAC)、高級服務質(zhì)量(QoS)和永續(xù)性，可為網(wǎng)絡邊緣提供智能服務。Cisco Catalyst 2960系列提供： 為網(wǎng)絡邊緣提供了智能特性，如先進的訪問控制列表 (ACL)和增強安全特性 雙介質(zhì)上行鏈路端口提供了千兆以太網(wǎng)上行鏈路靈活性，可以使用銅纜或光纖上行鏈路端口每個介質(zhì)上行鏈路端口都有一個10/100/1000以太網(wǎng)端口和一個小型可插拔(SFP)千兆以太網(wǎng)

40、端口，在使用時其中一個端口激活，但不能同時使用這兩個端口 通過高級QoS、精確速率限制、ACL和組播服務，實現(xiàn)了網(wǎng)絡控制和帶寬優(yōu)化 通過多種驗證方法、數(shù)據(jù)加密技術和基于用戶、端口和MAC地址的網(wǎng)絡準入控制，實現(xiàn)了網(wǎng)絡安全性 通過思科網(wǎng)絡助理，簡化了網(wǎng)絡配置、升級和故障診斷 使用Smartports自動配置特定應用 Cisco Catalyst 2960系列軟件鏡像提供了一系列豐富的智能服務，包括高級QoS、速率限制和ACL。SFP千兆以太網(wǎng)端口可安裝多種SFP收發(fā)器，包括Cisco 1000BASE-SX、1000BASE-LX、1000BASE-BX、1000BASE-ZX、100BASE-

41、FX、100BASE-LX10、100BASE-BX和粗波分多路復用 (CWDM) SFP收發(fā)器。3.5.1千兆以太網(wǎng)千兆以太網(wǎng)以1000 Mbps的速度，提供了可滿足新網(wǎng)絡和擴展網(wǎng)絡的需求的帶寬，消除了瓶頸，提升了性能，同時提高了現(xiàn)有基礎設施投資的回報。目前，工作人員都對網(wǎng)絡有著更高需求，在網(wǎng)絡上同時運行多個應用。例如，一位員工通過IP視頻會議而參加小組會議，向與會者發(fā)送一個10MB的電子表格，將最新營銷視頻廣播給整個小組以供評估，此外還查詢客戶關系管理(CRM)數(shù)據(jù)庫，以獲得最新實時反饋。同時，后臺開始了一個多GB的系統(tǒng)備份，并向客戶端提供最新防病毒軟件的升級。3.5.2網(wǎng)絡智能性當今的網(wǎng)

42、絡正在不斷發(fā)展，在網(wǎng)絡邊緣出現(xiàn)了四種新趨勢： 桌面計算能力提高 帶寬密集型應用出現(xiàn) 高敏感數(shù)據(jù)在網(wǎng)絡中擴展 出現(xiàn)了多種設備類型，如IP電話、WLAN接入點和IP視頻攝像頭 這些新需求正與許多已有關鍵任務應用爭奪資源。因此，IT專業(yè)人員必須將網(wǎng)絡邊緣看作有效管理信息和應用的提供的關鍵。隨著公司日益依賴網(wǎng)絡，將其作為戰(zhàn)略性業(yè)務基礎設施，確保網(wǎng)絡的高可用性、安全性、可擴展性和對它的全面控制就比以前更為重要。通過為LAN接入添加思科智能功能，客戶現(xiàn)可部署遍布整個網(wǎng)絡的智能服務，從而一致地滿足從桌面到核心再到WAN的要求。通過Cisco Catalyst智能以太網(wǎng)交換機，思科可幫助公司獲得向其網(wǎng)絡添加智

43、能服務的全面優(yōu)勢。為進一步優(yōu)化網(wǎng)絡運行，部署具備以下特性的功能是十分關鍵的：能使網(wǎng)絡基礎設施高度可用以達到關鍵時間要求、可擴展以便于公司發(fā)展、高度安全以保護保密信息，且能區(qū)分和控制流量。3.5.3增強安全性憑借Cisco Catalyst 2960系列提供的廣泛安全特性，企業(yè)可保護重要信息，防止未授權人員接入網(wǎng)絡，確保私密性及維持不間斷運行。思科基于身份的網(wǎng)絡服務(IBNS)解決方案提供了身份驗證、訪問控制和安全策略管理，可保護網(wǎng)絡連接和資源。Catalyst 2960系列中的IBNS可防止未授權接入，并確保用戶只獲得其指定權利。它能動態(tài)管理網(wǎng)絡接入的具體層次。使用802.1x標準和思科安全訪

44、問控制服務器（ACS），無論用戶在何處連接到網(wǎng)絡中，都可在驗證基礎上分配到一個VLAN。此設置使IT部門能在不影響用戶移動性的情況下，以最低管理開銷實施強大的安全策略。為防止拒絕服務攻擊和其他攻擊，可用ACL根據(jù)源和目的地MAC地址、IP地址或TCP/UDP端口來拒絕分組，從而限制對網(wǎng)絡敏感部分的訪問。ACL查詢在硬件中完成，故此在實施基于ACL的安全性時不會影響轉(zhuǎn)發(fā)性能。端口安全性可根據(jù)與以太網(wǎng)端口相連的設備的MAC地址，來限制以太網(wǎng)端口上的訪問。它也可用于限制插入一個交換機端口的總設備數(shù)目，因此可使交換機免遭MAC泛洪攻擊，降低了惡意無線接入點或集線器接入的風險。憑借動態(tài)主機配置協(xié)議(DH

45、CP)監(jiān)聽，可以只允許來自不可信用戶端口的DHCP請求（但不允許響應）進入網(wǎng)絡，從而防止DHCP電子欺騙。此外，DHCP接口跟蹤器(選項82) 特性可為主機IP地址請求添加交換機端口ID，有助于實現(xiàn)對于IP地址分配的精確控制。MAC地址通知特性可向管理站發(fā)送報警，從而監(jiān)控網(wǎng)絡和跟蹤用戶，以使網(wǎng)絡管理員知道用戶何時、從何處進入網(wǎng)絡。SSHv2和SNMPv3對管理和網(wǎng)絡管理信息加密，保護網(wǎng)絡免遭干擾或竊聽。TACACS+或RADIUS驗證實現(xiàn)了交換機的集中訪問控制，并限制未授權用戶改變配置。此外，可在交換機上配置本地用戶名和密碼數(shù)據(jù)庫。交換機控制臺上的15個授權級別和Web管理界面上的2個級別提供了向不同管理員分配不同配置功能級別的能力。3.5.4高級QoSCisco Catalyst 2960提供了出色的多層QoS特性，確保網(wǎng)絡流量進行了分類和優(yōu)先級劃分，并以最好的方式避免了擁塞。QoS的配置通過自動QoS（Auto QoS）大大得到了簡化，這是一個可發(fā)現(xiàn)思科IP電話并自動配置交換機以進行正確分類和輸出排序的特性。這優(yōu)化了流量優(yōu)先級劃分和網(wǎng)絡可用性，且不會帶來復雜配置的問題。Catalyst 2960可對進入的分組分類、再分類、監(jiān)管、標記、排序和排程，并能在出口處對分組排序和排程。分組分類使網(wǎng)絡元素可區(qū)分不同流量，并根據(jù)