1、 智慧園區(qū)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案目 錄 TOC o 1-2 h z u HYPERLINK l _Toc46866000 第一部分 項(xiàng)目背景 PAGEREF _Toc46866000 h 3 HYPERLINK l _Toc46866001 1.1 項(xiàng)目概述 PAGEREF _Toc46866001 h 3 HYPERLINK l _Toc46866002 1.2 設(shè)計(jì)依據(jù) PAGEREF _Toc46866002 h 3 HYPERLINK l _Toc46866003 1.3 設(shè)計(jì)原則 PAGEREF _Toc46866003 h 4 HYPERLINK l _Toc46866004 第二部分

2、整體需求分析 PAGEREF _Toc46866004 h 7 HYPERLINK l _Toc46866005 2.1 需求分析 PAGEREF _Toc46866005 h 7 HYPERLINK l _Toc46866006 2.2 拓?fù)湟?guī)劃 PAGEREF _Toc46866006 h 8 HYPERLINK l _Toc46866007 2.3 設(shè)計(jì)思想 PAGEREF _Toc46866007 h 8 HYPERLINK l _Toc46866008 第三部分 園區(qū)網(wǎng)絡(luò)設(shè)計(jì) PAGEREF _Toc46866008 h 10 HYPERLINK l _Toc46866009 3.1

3、 園區(qū)網(wǎng)絡(luò)設(shè)計(jì)概述 PAGEREF _Toc46866009 h 10 HYPERLINK l _Toc46866010 3.2 園區(qū)網(wǎng)結(jié)構(gòu)設(shè)計(jì) PAGEREF _Toc46866010 h 11 HYPERLINK l _Toc46866011 3.3 核心層設(shè)計(jì) PAGEREF _Toc46866011 h 15 HYPERLINK l _Toc46866012 3.4 匯聚層設(shè)計(jì) PAGEREF _Toc46866012 h 24 HYPERLINK l _Toc46866013 3.5 接入層設(shè)計(jì) PAGEREF _Toc46866013 h 28 HYPERLINK l _Toc46

4、866014 3.6 外聯(lián)設(shè)計(jì) PAGEREF _Toc46866014 h 34 HYPERLINK l _Toc46866015 3.7 IP地址規(guī)劃原則 PAGEREF _Toc46866015 h 36 HYPERLINK l _Toc46866016 3.8 路由協(xié)議 PAGEREF _Toc46866016 h 37項(xiàng)目背景項(xiàng)目概述公司成立于1983年，是一家在全球范圍內(nèi)提供顯示解決方案和快速服務(wù)支持的創(chuàng)新型科技企業(yè)。公司制造基地分布在深圳、上海、成都、武漢等全國各地，同時(shí)，在美國、德國、韓國、臺(tái)灣、香港等主要發(fā)達(dá)國家與地區(qū)設(shè)有全球營銷網(wǎng)絡(luò)和技術(shù)服務(wù)支持平臺(tái)。而目前建設(shè)中的廈門天馬

5、項(xiàng)目是廈門高新區(qū)著力打造千億元光電產(chǎn)業(yè)集群、強(qiáng)化全國的光電顯示產(chǎn)業(yè)集群試點(diǎn)基地的又一力作。針對(duì)其生產(chǎn)要求，結(jié)合我公司對(duì)于網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的理念和多年來在網(wǎng)絡(luò)工程建設(shè)中的經(jīng)驗(yàn)，以實(shí)現(xiàn)高可靠、高性能、可擴(kuò)充為前提，遵循開放、標(biāo)準(zhǔn)、安全和實(shí)用的原則，追求網(wǎng)絡(luò)性能的最佳化、合理化、節(jié)省費(fèi)用，技術(shù)上的先進(jìn)性與成熟性、實(shí)用性相結(jié)合，為廈門G6網(wǎng)絡(luò)系統(tǒng)提供合理有效的解決方案，滿足其辦公需求，保證在未來的信息化建設(shè)中高效穩(wěn)定運(yùn)行。設(shè)計(jì)依據(jù)數(shù)據(jù)中心由于其特殊性，需嚴(yán)格遵循國家GB標(biāo)準(zhǔn)所定義的電子信息系統(tǒng)機(jī)房設(shè)計(jì)等相關(guān)規(guī)范數(shù)據(jù)中心設(shè)計(jì)規(guī)范GB/T50174-2014電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范GB50174-2008智能

6、建筑設(shè)計(jì)標(biāo)準(zhǔn)GB/T50314-2006民用建筑設(shè)計(jì)通則GB50352-2005電力裝置的繼電保護(hù)和自動(dòng)裝置設(shè)計(jì)規(guī)范GB50062-92高層民用建筑設(shè)計(jì)防火規(guī)范GB50045-95民用建筑電氣設(shè)計(jì)規(guī)范JGJ/T16-92建筑與建筑群綜合布線工程設(shè)計(jì)規(guī)范GB/T50311-2000弱電系統(tǒng)技術(shù)要求GA/T367-2001(2005年版)公共安全工程技術(shù)規(guī)范GB50348-2004電子計(jì)算機(jī)房設(shè)計(jì)規(guī)范GB50174-93建筑物防雷設(shè)計(jì)規(guī)范GB50057-94建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范GB50343-2004工業(yè)與民用電力裝置的接地設(shè)計(jì)規(guī)范GBJ65-83工業(yè)企業(yè)通信接地設(shè)計(jì)規(guī)范GBJ79-85

7、通信管道工程施工及驗(yàn)收規(guī)范GB50374-2006設(shè)計(jì)原則以安全、實(shí)用、冗余、先進(jìn)、適應(yīng)發(fā)展為總建設(shè)原則。1、實(shí)用性原則：以現(xiàn)行需求為基礎(chǔ)，充分考慮發(fā)展的需要來確定規(guī)模。2、冗余性原則：特別注重網(wǎng)絡(luò)硬件系統(tǒng)自身在突發(fā)事件時(shí)的可用性，以冗余備份的設(shè)計(jì)方式加以保障。在核心位置提供設(shè)備級(jí)冗余，在主干設(shè)備與匯聚設(shè)備之間提供可靠的線路及模塊冗余，當(dāng)其中一個(gè)部件因故障停止工作時(shí)，另一部件自動(dòng)接替其工作，并且不引起其他節(jié)點(diǎn)的路由表重新計(jì)算，從而提高網(wǎng)絡(luò)的穩(wěn)定性和可靠性。3、安全性原則：安全性是信息化建設(shè)的基礎(chǔ)保障。出于安全及保密因素，現(xiàn)在信息化建設(shè)工程對(duì)安全性有很高的要求。設(shè)計(jì)的過程中必須依據(jù)國家各種有關(guān)安

8、全法規(guī)政策，對(duì)硬件支撐平臺(tái)的訪問控制、在線監(jiān)視、信息加密等方面進(jìn)行完善考慮，在網(wǎng)絡(luò)建構(gòu)上根據(jù)功能劃分相應(yīng)的區(qū)域，使用如防火墻、入侵檢測、信息過濾等手段，防止非法用戶、非法信息及病毒的入侵和泄密事件的發(fā)生。同時(shí)還要在企業(yè)內(nèi)部建立健全各種相關(guān)安全管理制度，確保全網(wǎng)的安全。4、先進(jìn)性原則：系統(tǒng)采用國際上先進(jìn)的前沿網(wǎng)絡(luò)技術(shù)，滿足今后一段時(shí)期的需要。5、可靠性原則：要保證系統(tǒng)運(yùn)行可靠，極高的平均無故障時(shí)間和極短的設(shè)備修復(fù)時(shí)間。網(wǎng)絡(luò)的運(yùn)行必須保證相當(dāng)高的可靠性，以滿足工作及信息的安全與穩(wěn)定。防止局部故障引起整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓，避免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)故障。6、易維護(hù)原則：系統(tǒng)要易于管理、易于維護(hù)。網(wǎng)絡(luò)需要很高的可

9、管理性，特別是在數(shù)據(jù)、視頻等多業(yè)務(wù)的網(wǎng)絡(luò)系統(tǒng)里，要使用可管理的網(wǎng)絡(luò)設(shè)備，可以識(shí)別關(guān)鍵資源，根據(jù)流量狀況以及網(wǎng)絡(luò)性能配置閾值并為不同的應(yīng)用提供不同的帶寬，使所有的服務(wù)能夠順利完成。隨著系統(tǒng)的投入運(yùn)行和系統(tǒng)資源的不斷增加，網(wǎng)絡(luò)系統(tǒng)應(yīng)具有很好的易維護(hù)性，使管理人員易于維護(hù)，減少不必要的額外勞動(dòng)，提高工作效率。7、易擴(kuò)展原則：設(shè)計(jì)過程中應(yīng)當(dāng)保證在用戶業(yè)務(wù)量和業(yè)務(wù)類型的變化增長的情況下，硬件支撐平臺(tái)能夠方便的升級(jí)并擴(kuò)展，網(wǎng)絡(luò)可以自如地?cái)U(kuò)充容量，支持更多的用戶及應(yīng)用。網(wǎng)絡(luò)平臺(tái)設(shè)計(jì)時(shí)必須按照各種國際通用標(biāo)準(zhǔn)進(jìn)行，以保證各種設(shè)備、網(wǎng)絡(luò)的兼容通用，將來網(wǎng)絡(luò)在實(shí)現(xiàn)擴(kuò)容、升級(jí)時(shí)不會(huì)受到某些廠家專有標(biāo)準(zhǔn)的限制。網(wǎng)絡(luò)結(jié)

10、構(gòu)與網(wǎng)絡(luò)技術(shù)的選擇，要具有相當(dāng)?shù)那罢靶?，以確保隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)能夠平滑地過渡到更先進(jìn)的技術(shù)和設(shè)備，充分保障用戶現(xiàn)有的投資和利益。整體需求分析需求分析根據(jù)前期和客戶溝通匯總的需求，本次項(xiàng)目規(guī)劃涉及網(wǎng)絡(luò)包括：園區(qū)有線網(wǎng)絡(luò)、園區(qū)無線網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)、管理控制網(wǎng)絡(luò)、外聯(lián)網(wǎng)絡(luò)、互聯(lián)網(wǎng)絡(luò)等網(wǎng)絡(luò)。按照模塊化、層次化、區(qū)域化、可擴(kuò)展的規(guī)劃原則，廈門G6總體網(wǎng)絡(luò)可進(jìn)行以下模塊化劃分：園區(qū)網(wǎng)核心交換區(qū)域：VSS系統(tǒng)架構(gòu)，高可靠性和提升網(wǎng)絡(luò)性能;部署冗余無線控制器，實(shí)現(xiàn)無線快速切換園區(qū)網(wǎng)絡(luò)接入?yún)^(qū)域：萬兆光纖主干，通過VSS實(shí)現(xiàn)鏈路的捆綁，提高鏈路利用率，包括有線和無線接入方式.數(shù)據(jù)中心核心交換區(qū)域：V

11、PC+系統(tǒng)架構(gòu)，高性能高擴(kuò)展性數(shù)據(jù)中心主機(jī)接入?yún)^(qū)域：公司辦公業(yè)務(wù)系統(tǒng)的各種服務(wù)器外聯(lián)區(qū)域：雙機(jī)SSL VPN終結(jié)設(shè)備，提供外聯(lián)及接入的高可靠架構(gòu)員工上網(wǎng)區(qū)域：鏈路負(fù)載均衡、防火墻設(shè)備整合應(yīng)用。管理控制區(qū)域：管理控制區(qū)域，主要都由各種服務(wù)器系統(tǒng)組成，是整個(gè)網(wǎng)絡(luò)運(yùn)維管理的核心區(qū)域，網(wǎng)絡(luò)管理系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)及授權(quán)系統(tǒng)、無線覆蓋的管理系統(tǒng)、移動(dòng)終端的認(rèn)證管理系統(tǒng)等網(wǎng)絡(luò)運(yùn)維的管理系統(tǒng)均部署于該區(qū)域拓?fù)湟?guī)劃設(shè)計(jì)思想園區(qū)有線采用兩種方案： 方案一：針對(duì)M3區(qū)采用兩層架構(gòu)，核心采用Cat6807交換機(jī)，接入層采用Cat6800ia交換機(jī),實(shí)現(xiàn)即時(shí)接入。該接入交換機(jī)可提供48端口接入且最大24端口802.3a

12、t 30W供電能力。通過VSS+IA技術(shù)實(shí)現(xiàn)園區(qū)簡化架構(gòu)、提高轉(zhuǎn)發(fā)效率的要求。 方案二：針對(duì)M4廠區(qū)由于受限于光纖等資源情況，需在M4樓部署匯聚設(shè)備；即采用傳統(tǒng)三層架構(gòu)方式園區(qū)無線采用CT5520作為無線控制器，接入層AP采用支持802.11ac的1700/2700系列。無線AP2702E可實(shí)現(xiàn)高密度無線接入。方案中采用FlaxConnect集中認(rèn)證、本地轉(zhuǎn)發(fā)模式。管理控制層使用Cisco ISE作為整網(wǎng)管理控制平臺(tái)，Cisco ISE支持有線無線準(zhǔn)入控制一體化。將無線訪客網(wǎng)絡(luò)通過Cat6807的VRF特性進(jìn)行流量隔離，并指定網(wǎng)關(guān)至深信服AC。深信服AC上對(duì)此網(wǎng)段進(jìn)行Portal認(rèn)證，實(shí)現(xiàn)對(duì)無

13、線訪客的Portal認(rèn)證。園區(qū)網(wǎng)絡(luò)設(shè)計(jì)園區(qū)網(wǎng)絡(luò)設(shè)計(jì)概述 數(shù)據(jù)網(wǎng)絡(luò)對(duì)于提高企業(yè)的生存能力和生產(chǎn)力至關(guān)重要。只有數(shù)據(jù)網(wǎng)絡(luò)能夠提供可靠的信息資源訪問能力，員工在線支持工具才能發(fā)揮優(yōu)勢。 因?yàn)榫W(wǎng)絡(luò)對(duì)于企業(yè)的運(yùn)作和創(chuàng)新如此關(guān)鍵，所以能夠不間斷地通信和訪問資源是提高員工工作效率的基礎(chǔ)。隨著網(wǎng)絡(luò)日益復(fù)雜，以滿足任意設(shè)備、任意連接類型和任意地點(diǎn)的需要，因設(shè)計(jì)不佳、配置繁復(fù)、維修增多或軟硬件故障而導(dǎo)致的停機(jī)風(fēng)險(xiǎn)也在不斷加大。與此同時(shí)，企業(yè)希望通過盡可能快速、高效地利用投資，來找到簡化運(yùn)營、降低成本和提高投資回報(bào)的方法。企業(yè)能夠通過思科所設(shè)計(jì)的智能業(yè)務(wù)平臺(tái)園區(qū)網(wǎng)架構(gòu)，而從多方面受益：基于思科公認(rèn)最佳案例降低部署標(biāo)

14、準(zhǔn)化設(shè)計(jì)的成本。多種園區(qū)網(wǎng)可擴(kuò)展性設(shè)計(jì)模式，能滿足各種規(guī)模、位于不同地點(diǎn)的企業(yè)的需求，且升級(jí)方便易行 。為有園區(qū)網(wǎng)連接需求的企業(yè)提供建立統(tǒng)一、穩(wěn)固的園區(qū)網(wǎng)基礎(chǔ)的重要法，可滿足從只有幾名聯(lián)網(wǎng)用戶的小型站點(diǎn)，到擁有多達(dá)幾萬名聯(lián)網(wǎng)用戶的大型站點(diǎn)的廣泛需求。經(jīng)過測試的有線和無線局域網(wǎng)連接集成解決方案，能夠滿足連接、移動(dòng)和性能需求。以方便、安全、經(jīng)濟(jì)高效的方式，在企業(yè)辦公地點(diǎn)為來訪者和承包商提供訪客互聯(lián)網(wǎng)接入。通過正確使用網(wǎng)絡(luò)設(shè)計(jì)、優(yōu)化鏈路拓?fù)浣Y(jié)構(gòu)、平臺(tái)特性和系統(tǒng)安全性，提供永續(xù)、高度可用的網(wǎng)絡(luò)接入功能。精練、簡化的設(shè)計(jì)選項(xiàng)，使得所有的IT人員都能部署和運(yùn)行網(wǎng)絡(luò)。園區(qū)網(wǎng)結(jié)構(gòu)設(shè)計(jì) 依客戶信息統(tǒng)計(jì)，本次項(xiàng)目

15、中園區(qū)網(wǎng)絡(luò)包含有3771個(gè)信息點(diǎn)位，按15%冗余565個(gè)，接入點(diǎn)位按 4336個(gè)設(shè)計(jì)。為滿足高密度的有線接入需求，在邏輯網(wǎng)絡(luò)設(shè)計(jì)中，同樣采用分層設(shè)計(jì)的思路，每一層的任務(wù)都集中在一些特定的功能上，推薦采用三層網(wǎng)絡(luò)設(shè)計(jì)模型，將網(wǎng)絡(luò)設(shè)備按照3個(gè)層次進(jìn)行分組:核心層(corelayer)、匯聚層(distributionlayer)和接入(accesslayer)， 在此次系統(tǒng)設(shè)計(jì)中，我們采用分層設(shè)計(jì)方法，將網(wǎng)絡(luò)的邏輯結(jié)構(gòu)化整為零，分層討論設(shè)計(jì)與實(shí)現(xiàn)的細(xì)節(jié)問題。將網(wǎng)絡(luò)拓?fù)浒凑諏?shí)際結(jié)構(gòu)劃分兩種方案：其一為傳統(tǒng)三個(gè)層次，即核心層、匯聚層和接入層； 其二采用IA架構(gòu)方式。兩種方案各有特色其中三層架構(gòu)設(shè)計(jì)亮點(diǎn)

16、如下： 1、節(jié)約成本流量從接入層流向核心層時(shí)，被收斂在高速的鏈接上；流量從核心層流向接入時(shí)，被發(fā)散到低速鏈接上，因此接入層路由器可以采用較小的設(shè)備。在采用分層設(shè)計(jì)方法之后，各層次負(fù)責(zé)不同的數(shù)據(jù)傳送，不再需要同時(shí)考慮同一個(gè)問題。層次模型模塊化的特性使網(wǎng)絡(luò)中的每一層都能夠很好地利用帶寬，減少了對(duì)系統(tǒng)資源的浪費(fèi)。 但需要注意在此項(xiàng)目內(nèi)并不能展現(xiàn)出其節(jié)約成本優(yōu)勢。2、易于理解采用分成設(shè)計(jì)方法設(shè)計(jì)出來的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)層次結(jié)構(gòu)清楚，結(jié)晰，可以在不同層次上實(shí)施不同難度的管理，降低了管理的成本。 3、易于排錯(cuò)層次模塊化能夠使網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分解成易于理解的子網(wǎng)結(jié)構(gòu)，管理者能夠更方便的確定網(wǎng)絡(luò)故障的范圍，從而更快的排

17、出網(wǎng)絡(luò)故障。那么傳統(tǒng)架構(gòu)除了以上優(yōu)點(diǎn)外也難免暴露了一些問題，如：傳統(tǒng)園區(qū)面臨的問題：管理和配置復(fù)雜每臺(tái)交換機(jī)都是一個(gè)單獨(dú)的管理節(jié)點(diǎn)，數(shù)據(jù)中心園區(qū)交換機(jī)可能多達(dá)幾百臺(tái)，管理和配置復(fù)雜，運(yùn)維風(fēng)險(xiǎn)大樓主交換機(jī)到樓層之間普遍采用傳統(tǒng)STP技術(shù)，二層域較大，很容易導(dǎo)致二層環(huán)路和廣播風(fēng)暴日常變更繁瑣每一次的配置和變更都需要反復(fù)登錄到不同的交換設(shè)備而針對(duì)以上這些問題往往新一代 IA 架構(gòu)卻能很好解決。 新一代園區(qū)架構(gòu)如下圖（VSS+IA 架構(gòu)）：IA接入方案亮點(diǎn)如下： 單一節(jié)點(diǎn)：管理，配置，故障排查；大大簡化運(yùn)維管理 集中部署, 簡便規(guī)劃：VLAN、鏈路捆綁等, 消除環(huán)路 高容錯(cuò)能力：四引擎VSS SSO,

18、 FlexStack+多上聯(lián)部署，大大提高可靠能力 靈活的基礎(chǔ)架構(gòu)：增加網(wǎng)絡(luò)功能、統(tǒng)一服務(wù)、統(tǒng)一接入/核心設(shè)備功能根據(jù)集團(tuán)實(shí)際情況建議才有兩種方案混合方式。核心層設(shè)計(jì) 核心層是互聯(lián)網(wǎng)絡(luò)的高速主干，他的主要任務(wù)是交換數(shù)據(jù)分組，核心層的性能決定了整個(gè)網(wǎng)絡(luò)的整體性能，因此核心層的設(shè)計(jì)成功與否關(guān)系著整個(gè)網(wǎng)絡(luò)的成敗。核心層設(shè)計(jì)原則 核心層的任務(wù)是在網(wǎng)絡(luò)中的任意兩個(gè)節(jié)點(diǎn)之間提供最優(yōu)的傳送路徑，這兩個(gè)節(jié)點(diǎn)可能在不同的子網(wǎng)中，因此，核心層需要提供最佳的路由選擇。核心層的設(shè)計(jì)任務(wù)是高速的傳輸、冗余能力及可靠性，而網(wǎng)絡(luò)的控制功能盡量不在核心層上實(shí)施?？傮w上說，核心層是所有流量的最終承受者和匯聚者，所以對(duì)核心層的設(shè)

19、計(jì)以及網(wǎng)絡(luò)設(shè)備的要求都十分嚴(yán)格，核心層的設(shè)備也會(huì)占投資的主要部分。在進(jìn)行核心層設(shè)計(jì)時(shí)，要注意以下幾點(diǎn):(1) 不要在核心層執(zhí)行網(wǎng)絡(luò)策略，盡量避免增加核心層路由器配置的復(fù)雜程度(2) 核心層所有設(shè)備應(yīng)具有足夠的路由信息，保證充分的可達(dá)性。但在設(shè)計(jì)時(shí)應(yīng)考慮路徑的聚合，聚合路徑能夠用來減少核心層路由表的大小，提高效率。(3) 為了保障核心網(wǎng)絡(luò)的可靠性，通常核心層可以采用設(shè)備冗余、模塊冗余和鏈路冗余來達(dá)到可靠性的目標(biāo)。 核心層一般都是由高端三層交換機(jī)或路由器實(shí)現(xiàn)。對(duì)于大型的園區(qū)網(wǎng)或重要部門的局域網(wǎng)，為了保證網(wǎng)絡(luò)的可靠性，核心層一般采用設(shè)備冗余技術(shù)，即多臺(tái)核心交換機(jī)，它們互為備份，也可以實(shí)現(xiàn)負(fù)載均衡。當(dāng)

20、網(wǎng)絡(luò)很小時(shí)，通常核心層只包含一個(gè)三層設(shè)備，該設(shè)備與匯聚層上所有的設(shè)備相連。如果網(wǎng)絡(luò)更小的話，核心層交換機(jī)可以直接與接入層交換機(jī)連接，匯聚層就被壓縮掉了。單核心設(shè)計(jì)的網(wǎng)絡(luò)易于配置和管理，但是其擴(kuò)展性不好，容錯(cuò)能力差，所以在資金足夠的前提下，可以充分考慮設(shè)備冗余，鏈路熔體，提高網(wǎng)絡(luò)的健壯性和自愈性。本方案 采用新一代園區(qū)交換機(jī)C6800，滿足集團(tuán)未來3-5年的網(wǎng)絡(luò)發(fā)展規(guī)模。Cisco Instant Access 即時(shí)接入解決方案 隨著用戶的網(wǎng)絡(luò)需求由傳統(tǒng)的基本聯(lián)通到今天需要滿足豐富的業(yè)務(wù)應(yīng)用，網(wǎng)絡(luò)的架構(gòu)也在隨之而創(chuàng)新改變。為了滿足用戶對(duì)網(wǎng)絡(luò)既能支持豐富的業(yè)務(wù)，又能夠簡單化管理降低TCO的需求，思

21、科“即時(shí)接入”（Instant Access）解決方案應(yīng)運(yùn)而生，該解決方案使傳統(tǒng)的三層網(wǎng)絡(luò)架構(gòu)簡化為一層網(wǎng)絡(luò)架構(gòu)，網(wǎng)絡(luò)管理員可以將園區(qū)網(wǎng)絡(luò)中的建筑作為整合在一起的單一交換機(jī)看待，這樣整個(gè)建筑可以被看做是單一的管理模塊，極大地簡化運(yùn)維管理，減少TCO。該解決方案使思科創(chuàng)新的解決方案，極大地引領(lǐng)市場，區(qū)別于競爭對(duì)手。該解決方案的組成部分包括 Cisco Catalyst 6500 或 6800 核心交換機(jī)和 Cisco Catalyst 6800ia 系列交換機(jī)。可廣泛應(yīng)用在銀行的園區(qū)接入，教育行業(yè)的教學(xué)樓接入，政府行業(yè)的辦公接入等。CiscoCatalyst Instant Access 即時(shí)接

22、入解決方案包含 2 個(gè)部分，分別是：InstantAccess 父交換機(jī)：父交換機(jī)由運(yùn)行在VSS模式下的1-2臺(tái) Cisco Catalyst 6500E 或 6800 系列（6807-XL或6880-X或6880-X-LE）機(jī)箱構(gòu)成，對(duì)于6500E或6807-XL機(jī)箱，需要配置sup2T系列引擎及6904系列線卡，其中6904系列線卡可同時(shí)支持40G模式及10G模式（需配合CVR-CFP-4SFP10G）。6500或6800交換機(jī)需運(yùn)行 VSS 或 VSS Quad-Sup SSO1 模式，而6904線卡需使用10G端口來連接6800IA客戶端線卡，不需要連接6800IA的端口仍然可以工作在

23、40G模式下。 某些部署場景可能在核心層僅使用一臺(tái)6500或6800交換機(jī)。在這種情況下，此交換機(jī)仍然需要在 VSS 模式下進(jìn)行配置和運(yùn)行，所有的功能特性與Standalone模式時(shí)基本一致。我們不建議在核心層僅部署一臺(tái)6500或6800交換機(jī)來使用 Instant Access即時(shí)接入解決方案，因?yàn)殡p機(jī)VSS能提供更好的可靠性。如果已經(jīng)進(jìn)行了此類單機(jī)配置，建議在機(jī)箱中配置 2 個(gè)sup2T引擎(非必備)，以便可在其中一臺(tái)管理引擎出現(xiàn)故障時(shí)提供引擎冗余。InstantAccess 客戶端：客戶端是指Cisco Catalyst 6800IA 交換機(jī)，該交換機(jī)直接作為6500或6800核心交換機(jī)

24、的擴(kuò)展板卡來工作。當(dāng)前的Instant Access 客戶端支持 48 個(gè) 10/100/1000 電接口和 2 個(gè) 10Gbps SFP+上行端口。Instant Access 客戶端的特性及功能如下： 1. 48 個(gè)具有 PoE+ 或非 PoE 選項(xiàng)的10/100/1000 BASE-T 主機(jī)端口 2. 2 個(gè) 10Gbps 上行鏈路端口，2個(gè)專用堆疊端口，支持80Gbps雙向堆疊帶寬 3. 740W PoE 功率：在所有 48 個(gè)端口上完全 PoE (15W) 或在任何 24 個(gè)端口上完全 PoE+ (30W) 4. 最多可堆疊 3-5*個(gè)客戶端，堆疊模式下仍然可作為Instant Ac

25、cess即時(shí)接入客戶端工作 5. Instant Access客戶端交換機(jī)下行端口支持生成樹STP協(xié)議，可任意連接以太網(wǎng)交換機(jī)，PC，服務(wù)器，無線接入點(diǎn)AP，PoE話機(jī)或其他PoE設(shè)施。 6. Instant Access客戶端可以繼承6500或6800核心功能特性，包括但不限于mpls，vpls，GRE，NAT，PBR等，相關(guān)功能配置與6500上原生端口完全一致。除父交換機(jī)和客戶端之外，Instant Access 父交換機(jī)和客戶端之間的 FEX 交換矩陣鏈路還借助跨交換矩陣的 Cisco 10GBase SFP+ 鏈路支持短距、長距多模、長距以及超長距光纖接口（ER模塊支持40公里）。 本

26、項(xiàng)目中由于M3 樓與機(jī)房物理位置是在同一棟樓，網(wǎng)絡(luò)可以不規(guī)劃匯聚層設(shè)備，直接 采用IA方式解決方案。不僅可以簡化網(wǎng)絡(luò)網(wǎng)管，另一方面也可以減少一對(duì)匯聚設(shè)備；也大大提升網(wǎng)絡(luò)的管理維護(hù)工作。 IA 的接入設(shè)備上利用堆疊技術(shù)將兩臺(tái)堆疊起來。有效減少光纖資源的同時(shí)增強(qiáng)了網(wǎng)絡(luò)可靠性。整體IA方案優(yōu)勢如下：核心層網(wǎng)絡(luò)組件Catalyst 6800 系列交換機(jī)通過 Cisco Catalyst 6800 系列交換機(jī)遠(yuǎn)程對(duì)網(wǎng)絡(luò)進(jìn)行有效的擴(kuò)展、虛擬化、保護(hù)和管理。Cisco Catalyst 6800 系列提供功能豐富的高性能平臺(tái)，適合在園區(qū)、數(shù)據(jù)中心、WAN 和城域以太網(wǎng)網(wǎng)絡(luò)部署，為無邊界網(wǎng)絡(luò)奠定了堅(jiān)實(shí)的基礎(chǔ)，

27、從而讓您能夠隨時(shí)隨地任意連接。擴(kuò)展性能與網(wǎng)絡(luò)服務(wù)已針對(duì) 1GB 和 10GB 服務(wù)優(yōu)化，提供更高的插槽容量（高達(dá) 880 GB）和交換容量（高達(dá) 11.4 TB）智能服務(wù)，支持 Catalyst 6800 DNA 和應(yīng)用策略基礎(chǔ)架構(gòu)控制器企業(yè)模塊 (APIC-EM)利用 Catalyst 即時(shí)訪問簡化操作借助全面的有線、無線和 VPN 安全性，保證用戶和應(yīng)用程序的高度安全提供較大的表，可實(shí)現(xiàn)可擴(kuò)展部署，并具有受保護(hù)的控制平面。虛擬交換系統(tǒng)激活冗余 Catalyst 6800 系統(tǒng)間的所有可用帶寬，并消除不對(duì)稱路由支持機(jī)箱間狀態(tài)故障切換，并提供決定性的次秒級(jí)恢復(fù)提供單點(diǎn)管理功能無需第一跳彈性協(xié)議

28、 (FHRP)，支持簡化的無環(huán)路拓?fù)渚W(wǎng)絡(luò)虛擬化通過提供分段、路徑隔離、隱私、有限命運(yùn)共享、成員資格定義和地址空間分離技術(shù)來實(shí)現(xiàn)基礎(chǔ)架構(gòu)整合使用 IP/MPLS 技術(shù)提供端到端網(wǎng)絡(luò)虛擬化。安全通過 Cisco TrustSec 識(shí)別（802.1x 套件）、標(biāo)記 (SGT)、加密 (MacSec) 并實(shí)施（安全組訪問控制列表）支持網(wǎng)絡(luò)設(shè)備準(zhǔn)入控制 (NDAC) 和端點(diǎn)準(zhǔn)入控制 (EAC)通過 TrustSec 入口/出口反射器提供投資保護(hù)集成服務(wù)與運(yùn)營效率通過下一代集成服務(wù)模塊幫助統(tǒng)一、簡化和有效利用網(wǎng)絡(luò)通過模塊化設(shè)計(jì)方便多代組件集成于一個(gè)機(jī)箱上通過交換端口分析器 (SPAN)/遠(yuǎn)程交換端口分析器

29、 (RSPAN) 監(jiān)控網(wǎng)絡(luò)上的交機(jī)，并通過加密遠(yuǎn)程 SPAN (ERSPAN) 將分析器實(shí)際連接至網(wǎng)絡(luò)上的幾乎任何端口通過靈活的入口采樣 Netflow 和 CPU 保留 Netflow 導(dǎo)出實(shí)現(xiàn)應(yīng)用可見性通過連接管理處理器 (CMP) 提供映像恢復(fù)和控制臺(tái)記錄功能通過迷你端口分析器提供板載數(shù)據(jù)包捕獲功能Catalyst 6800ia 系列交換機(jī) 思科推出針對(duì)園區(qū)網(wǎng)絡(luò)的變革性部署和運(yùn)營方式。Cisco Catalyst即時(shí)接入解決方案可顯著簡化園區(qū)網(wǎng)絡(luò)運(yùn)營，變革業(yè)務(wù)轉(zhuǎn)型模式，從而在園區(qū)內(nèi)制造創(chuàng)新機(jī)遇。Cisco Catalyst 即時(shí)接入可通過具備功能和配置一致性的單一接觸點(diǎn)，支持 IT 即時(shí)

30、部署接入交換機(jī)。該解決方案的組成部分包括 Cisco Catalyst 6500 或 6800 核心交換機(jī)和 Cisco Catalyst 6800ia 系列交換機(jī)。其中，Cisco Catalyst 6800ia 接入交換機(jī)連接到 Cisco Catalyst 6500 或 6800 交換機(jī)，整個(gè)配置的作用相當(dāng)于一臺(tái)具有單一管理域的擴(kuò)展交換機(jī)。同時(shí)，這些接入交換機(jī)可支持增強(qiáng)型以太網(wǎng)供電 (PoE+)，并且可堆疊在一起實(shí)現(xiàn)更高的端口密度和恢復(fù)能力。IT 可在整個(gè)或部分園區(qū)網(wǎng)絡(luò)上靈活部署 Cisco Catalyst 即時(shí)接入解決方案。同時(shí)，IT 可以重復(fù)使用當(dāng)前的網(wǎng)絡(luò)布線基礎(chǔ)設(shè)施以部署該解決方

31、案。產(chǎn)品概述 通過 Cisco Catalyst 6800ia 解決方案，網(wǎng)絡(luò)管理員可以將園區(qū)網(wǎng)絡(luò)中的建筑作為整合在一起的單一交換機(jī)看待。這樣，整個(gè)建筑可以被看作是單一的管理模塊。Cisco Catalyst 6800ia 解決方案由 Cisco Catalyst 6500/6800 父交換機(jī)進(jìn)行管理， 可實(shí)現(xiàn)園區(qū)以太網(wǎng)網(wǎng)絡(luò)各個(gè)接入層和分布層之間的功能一致性。Cisco Catalyst 6800ia 是 Cisco Catalyst 6500/6800 父交換機(jī)的擴(kuò)展產(chǎn)品。Cisco Catalyst 6800ia 解決方案支持多機(jī)箱 EtherChannel 和堆疊，具備極大的彈性。在 C

32、isco Catalyst 6800ia 解決方案中，Cisco Catalyst 6800ia 交換機(jī)和 Cisco Catalyst 6500/6800 父交換機(jī)之間的鏈路不使用生成樹協(xié)議。同時(shí)，該解決方案支持虛擬交換系統(tǒng) VSS。Cisco Catalyst 6800ia 交換機(jī)不執(zhí)行任何本地?cái)?shù)據(jù)包轉(zhuǎn)發(fā)任務(wù)。系統(tǒng)會(huì)將來自 Cisco Catalyst 6800ia 交換機(jī)主機(jī)端口（下行鏈路端口）的所有流量發(fā)送至即時(shí)接入父交換機(jī)，父交換機(jī)會(huì)制定這些流量的所有交換和轉(zhuǎn)發(fā)決策，以將其轉(zhuǎn)發(fā)至目的地。Cisco Catalyst 6800ia 交換機(jī)繼承即時(shí)接入解決方案內(nèi)的父交換機(jī)的特性和功能。如

33、果將 Cisco Catalyst 6500 系列管理引擎 2T 視為即時(shí)接入父交換機(jī)，Cisco Catalyst 6800ia 客戶端交換機(jī)會(huì)繼承管理引擎 2T 的所有功能，包括安全組標(biāo)記 (SGT)、安全組訪問控制列表 (SGACL)、增強(qiáng)型內(nèi)部網(wǎng)關(guān)路由協(xié)議 (EIGRP)、IPv6、媒體跟蹤、多協(xié)議標(biāo)簽交換 (MPLS) 等： 48 千兆以太網(wǎng)端口 集成的 FlexStack-Plus 功能（可提供高達(dá) 80 Gbps 堆疊帶寬） 支持一個(gè)堆疊至多包含三個(gè)交換機(jī) 2 個(gè) 10G 增強(qiáng)型小型封裝熱插撥 (SFP+) 上行鏈路 Cisco Catalyst 6800ia 外部 RPS 電源

34、冗余 適用于各種控制臺(tái)管理的小型 USB 端口和以太網(wǎng)端口 Cisco Catalyst 6800ia 系列中的所有端口均支持 MACsec 硬件 與 IEEE 802.3at 兼容的 PoE+ 可在每個(gè)端口提供高達(dá) 30W 的功率 提供高達(dá) 740W 的 PoE/PoE+ 整合功率預(yù)算 IEEE 802.3az 節(jié)能以太網(wǎng) (EEE) 可在所有交換機(jī)端口上實(shí)現(xiàn)動(dòng)態(tài)節(jié)能 支持動(dòng)態(tài)功率映射，以擴(kuò)展至 740W PoE+ 功率匯聚層設(shè)計(jì) 匯聚層又稱為分布層，它是網(wǎng)絡(luò)核心層與接入層之間的分界點(diǎn)。1.匯聚層的任務(wù)匯聚層的主要任務(wù)是提供與流量控制、安全及路由相關(guān)的策略，具體內(nèi)容如下:(1) 定義廣播和組

35、播域:(2) 執(zhí)行安全和網(wǎng)絡(luò)策略，包括地址翻譯和防火墻策略(3) VLAN之間的路由選擇:(4) 部門或者工作組級(jí)的訪問；(5) 布線間連接的匯聚和需要進(jìn)行的各種介質(zhì)轉(zhuǎn)換。匯聚層設(shè)計(jì)原則 設(shè)計(jì)匯聚層時(shí)，主要考慮的是如何保證提供流量控制及安全控制的策略。通常需要考慮的主要因素有QoS、靜態(tài)或者動(dòng)態(tài)路由的選擇、地址過濾等。而對(duì)這些因素的綜合考慮最后會(huì)轉(zhuǎn)化為交換機(jī)的選擇。. 從物理位置上看匯聚層交換機(jī)屬于樓宇交換機(jī)，或者說是各樓層的核心交換機(jī)。從邏輯上看，它可以是應(yīng)用系統(tǒng)的匯聚。匯聚層可以通過兩條上行線路連接到核心層，以保證線路的冗余。在近幾年的產(chǎn)品設(shè)計(jì)中，匯聚層交換機(jī)的上行端口一般是千兆光口，下行

36、端口為百兆電口，連接到接入層交換機(jī)。 匯聚層的交換機(jī)目前大多數(shù)選用三層交換機(jī)(也可以選擇二層交換機(jī))。最終用戶發(fā)出的流量直接影響匯聚層交換機(jī)的選擇。如果選擇三層交換機(jī)，則可在全網(wǎng)的設(shè)計(jì)上體現(xiàn)分布式路由思想，以減輕核心層交換機(jī)的路由壓力，有效地進(jìn)行路由流量的均衡。如果匯聚層設(shè)備選擇二層設(shè)備，則核心層交換機(jī)的路由壓力會(huì)增加，核心層交換機(jī)的投資將加大。匯聚層網(wǎng)絡(luò)組件Cisco Nexus 3500系列 交換機(jī) Cisco Nexus 3000 系列交換機(jī)為 1、10 和 40 千兆位以太網(wǎng)交換機(jī)的全面組合，根據(jù)芯片內(nèi)交換 (SoC) 架構(gòu)構(gòu)建。2011 年 4 月推出，該系列已通過配對(duì)高性能和具有性

37、能可視性、自動(dòng)化和時(shí)間同步創(chuàng)新的低延遲，確立了其自身作為高頻交易、高性能計(jì)算和大數(shù)據(jù)環(huán)境領(lǐng)域的領(lǐng)導(dǎo)者地位。 Cisco Nexus 3500 平臺(tái)概述Cisco Nexus 3500 平臺(tái)通過包括創(chuàng)新的 Algorithm Boost（或 Algo Boost）技術(shù)進(jìn)一步擴(kuò)展了 Cisco Nexus 3000 系列的領(lǐng)導(dǎo)地位。交換機(jī)應(yīng)用專用集成電路 (ASIC) 中內(nèi)置的 Algo Boost 技術(shù)使 Nexus 3548 能夠?qū)崿F(xiàn)卓越的第 2 層和第 3 層交換延遲，低于 200 納秒 (ns)。此外，Algo Boost 包含多項(xiàng)延遲、轉(zhuǎn)發(fā)功能和性能可見性創(chuàng)新： 無中斷網(wǎng)絡(luò)地址轉(zhuǎn)換 (N

38、AT)在許多金融貿(mào)易環(huán)境中，外貿(mào)訂單必須來自供應(yīng)商的 IP 空間，要求 NAT 存于網(wǎng)絡(luò)之間的邊界處。Cisco Nexus 3500 平臺(tái)可為 IPv4 單播路由數(shù)據(jù)包執(zhí)行 NAT，而不產(chǎn)生任何其他延遲。 活動(dòng)的緩沖區(qū)監(jiān)測即使在最低延遲的交換機(jī)上，數(shù)據(jù)包也會(huì)在擁塞期間產(chǎn)生毫秒或更長的延遲。今天的交換機(jī)未充分告知管理員有關(guān)此擁塞的存在，為他們解決此條件的能力設(shè)置了瓶頸，導(dǎo)致性能不理想。之前的緩沖利用監(jiān)測技術(shù)完全以輪詢間隔高于 100 毫秒的軟件輪詢算法為基礎(chǔ)，其會(huì)丟失重要的擁塞事件。與之相反，Algo Boost 加速了硬件中緩沖利用數(shù)據(jù)的收集，允許 10 納秒或更快的采樣間隔。 高級(jí)流量鏡像

39、Cisco Nexus 3500 平臺(tái)上的 Algo Boost 技術(shù)不僅通過支持交換端口分析器 (SPAN) 和封裝遠(yuǎn)程 SPAN (ERSPAN) 技術(shù)加快了網(wǎng)絡(luò)故障排除，而且通過增強(qiáng)功能促進(jìn)了服務(wù)中網(wǎng)絡(luò)監(jiān)控，包括以下 功能： 應(yīng)用用戶可配置的過濾器將捕獲的流量降低到指定流或協(xié)議 捕獲符合條件數(shù)據(jù)包的樣本，如每一千個(gè)中有一個(gè) 用戶定義閾值后，截?cái)鄶?shù)據(jù)包 在已捕獲數(shù)據(jù)包的 ERSPAN 標(biāo)題中插入納秒級(jí)別的時(shí)間戳具有每秒脈沖* (PPS) 輸出的 IEEE 1588 PTP 建立并保持同步、精確定時(shí)解決方案的功能是成功調(diào)配和管理高性能交易網(wǎng)絡(luò)和應(yīng)用程序的基礎(chǔ)。使用 IEEE 1588 PTP

40、，Cisco Nexus 3000 系列交換機(jī)可為現(xiàn)有網(wǎng)絡(luò)架構(gòu)中的應(yīng)用程序提供高度準(zhǔn)確精密的時(shí)間同步，而無需投資和部署單獨(dú)的定時(shí)網(wǎng)絡(luò)。 部署 IEEE 1588 PTP 的網(wǎng)絡(luò)管理員經(jīng)常發(fā)現(xiàn)很難測量每臺(tái)設(shè)備同步的準(zhǔn)確性。為了協(xié)助這項(xiàng)工作，Cisco Nexus 3500 平臺(tái)包括可用于測量主時(shí)鐘定時(shí)偏差的 1-PPS 輸出端口。 接入層設(shè)計(jì) 接入層為用戶提供在本地網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)的能力，它是最終用戶的網(wǎng)絡(luò)接入點(diǎn)。它以共享、獨(dú)享或交換帶寬的方式為用戶提供入網(wǎng)的接口。接入層通過接入交換機(jī)的上行端口(100Mbit/s快速以太網(wǎng)、千兆以太網(wǎng))連接到匯聚層。接入層一般通過二層交換技術(shù)宋實(shí)現(xiàn)。接入層的目標(biāo)

41、接入層直接面對(duì)各個(gè)信息節(jié)點(diǎn)的接入的訪問。這一層應(yīng)當(dāng)包括如下功能:(1) 到匯聚層的工作組連接；(2) 建立單獨(dú)的沖突域 (分段) ；(3) 共享式帶寬或交換式帶寬；(4) 提供靈活的用戶接入及擴(kuò)展。在一個(gè)園區(qū)網(wǎng)絡(luò)中，接入層需要考慮的因素有用戶數(shù)量、用戶帶寬需求和安全控制等，同時(shí)接入層也有QoS及安全方面的要求。接入層設(shè)備需要具有以下特性:(1) 能夠提供多網(wǎng)絡(luò)接入端口，擁有更加靈活的端口性能，如線纜自適應(yīng)功能。(2) 能夠提供較遠(yuǎn)程的用戶接入功能，如實(shí)現(xiàn)超長距離的以太網(wǎng)接入特性。(3) 能夠提供高速的上聯(lián)端口，支持長距離的連接。(4) 能夠兼容和識(shí)別來自于上層網(wǎng)絡(luò)的一些功能，如不同的VLAN信

42、息，支持IEEE802.1Q的標(biāo)記。(5) 提供用戶的最終控制。例如設(shè)置靜態(tài)的MAC地址映射功能，便于管理。接入層設(shè)計(jì)和設(shè)備選型Cisco Catalyst 2960-X 系列交換機(jī)Cisco Catalyst 2960-X 系列交換機(jī)是可堆疊的固定配置千兆以太網(wǎng)交換機(jī)， 能為園區(qū)和分支機(jī)構(gòu)應(yīng)用提供企業(yè)級(jí)接入。該系列產(chǎn)品旨在通過簡化運(yùn)營 來降低總擁有成本，可借助智能 服務(wù)和各種高級(jí) Cisco IOS 軟件功能，實(shí)現(xiàn)可擴(kuò)展、 安全且高效的業(yè)務(wù)運(yùn)營。重要產(chǎn)品特性 Cisco Catalyst 2960-X 交換機(jī)具有以下特性：24 或 48 個(gè)具有線速轉(zhuǎn)發(fā)性能的千兆以太網(wǎng)端口 千兆位小型封裝熱插

43、拔 (SFP) 或 10G SFP+ 上行鏈路FlexStack Plus 可堆疊最多 8 個(gè)交換機(jī)，實(shí)現(xiàn) 80 Gbps 的堆疊吞吐量（可選） 增強(qiáng)型以太網(wǎng)供電 (PoE+) 支持，可提供高達(dá) 740W 的 PoE 預(yù)算更低的功耗以及高級(jí)能源管理功能USB 和以太網(wǎng)管理接口，有助于簡化運(yùn)營帶有集成 NetFlow-Lite 的應(yīng)用可視性和容量規(guī)劃LAN Base 或 LAN Lite Cisco IOS 軟件功能 Cisco Catalyst 2960-XR 型號(hào)還提供：電源恢復(fù)能力（通過可選的第二個(gè)可現(xiàn)場更換電源提供）具有動(dòng)態(tài)路由和第 3 層功能的 IP Lite Cisco IOS 軟件

44、Catalyst 2960-XR IP-Lite 交換機(jī)中提供極高性能的 IP 路由：支持 IP 單播路由協(xié)議（包括靜態(tài)、路由信息協(xié)議第 1 版 RIPv1、RIPv2 和 RIPng），以實(shí)現(xiàn)小型網(wǎng)絡(luò) 路由應(yīng)用。 支持高級(jí) IP 單播路由協(xié)議 (OSPF for Routed Access) 以實(shí)現(xiàn)可擴(kuò)展 LAN 的負(fù)載平衡和構(gòu)建。 硬件中支 持 IPv6 路由 (OSPFv3)，以實(shí)現(xiàn)最大性能。等成本的路由有助于在堆疊中實(shí)現(xiàn)第 3 層負(fù)載平衡和冗余?；诓呗缘穆酚?(PBR) 能夠促進(jìn)數(shù)據(jù)流的重定向，不論配置何種路由協(xié)議，都能實(shí)現(xiàn)卓越控制。熱待機(jī)路由協(xié)議 (HSRP) 和虛擬路由器冗余協(xié)議

45、 (VRRP) 為路由鏈路提供動(dòng)態(tài)負(fù)載平衡和故障轉(zhuǎn)移。支持用于 IP 組播的協(xié)議無關(guān)組播 (PIM)，包括 PIM 稀疏模式 (PIM-SM)、PIM 密集模式 (PIM-DM)、PIM 稀 疏-密集模式和源特定組播 (SSM)。網(wǎng)絡(luò)安全 Cisco Catalyst 2960-X 系列交換機(jī)提供了一系列安全功能，以限制對(duì)網(wǎng)絡(luò)的訪問并降低威脅，包括：Cisco TrustSec 使用 SXP 簡化整個(gè)網(wǎng)絡(luò)的安全性和策略實(shí)施。 全面的 802.1X 功能：能控制對(duì)網(wǎng)絡(luò)的訪問，包括靈活身份驗(yàn)證、802.1x 監(jiān)控模式和 RADIUS 授權(quán)更改。IPv6 第一跳安全保護(hù)：增強(qiáng)了激增的 IPv6 設(shè)備

46、（尤其是 BYOD 設(shè)備）的第 2 層和第 3 層網(wǎng)絡(luò)訪問。 它可以防御非法路由器公告、地址欺騙、假冒 DHCP 應(yīng)答以及由 IPv6 技術(shù)帶來的其他風(fēng)險(xiǎn)。設(shè)備傳感器和設(shè)備分類器：啟用無縫多設(shè)備配置文件，包括 BYOD 設(shè)備。它們還啟用思科身份服務(wù)引擎(ISE)， 以調(diào)配基于身份的安全策略（僅在 2960-XR SKU 中支持 ISE）。 思科威脅防御：其特色是包括端口安全、動(dòng)態(tài) ARP 檢測和 IP 源保護(hù)。專用 VLAN：通過在第 2 層將流量分段、將廣播段轉(zhuǎn)換為非廣播多訪問類似段，對(duì)公共段中 主機(jī)之間的流量 進(jìn)行限制。該功能僅在 IP-Lite 功能集中提供。 私有 VLAN 邊界：在交

47、換機(jī)端口之間提供安全性和隔離，從而幫助確保用戶無法在 其他用戶流量上進(jìn)行偵聽。 單播逆向路徑轉(zhuǎn)發(fā) (RPF)：該功能通過丟棄缺少可驗(yàn)證 IP 源地址的 IP 數(shù)據(jù)包，幫助消除格式錯(cuò)誤或偽造 （欺詐）的 IP 源地址引入網(wǎng)絡(luò)所帶來的問題。該功能僅在 IP-Lite 功能集中提供。多域身份驗(yàn)證：使 IP 電話和 PC 可以在同一交換機(jī)端口上進(jìn)行身份驗(yàn)證，同時(shí)將它們放在適當(dāng)?shù)恼Z音和數(shù)據(jù) VLAN 上。訪問控制列表：適用于 IPV6 和 IPv4，提供安全性和 QoS ACE。交換端口分析器 (SPAN)：借助雙向數(shù)據(jù)支持，使思科入侵檢測系統(tǒng) (IDS) 可以在檢測到入侵者時(shí)采取行動(dòng)。TACACS+

48、和 RADIUS 身份驗(yàn)證：可以簡化交換機(jī)的集中控制，限制未經(jīng)授權(quán)的用戶更改配置。MAC 地址通知：在網(wǎng)絡(luò)中添加或刪除用戶時(shí)通知管理員?？刂婆_(tái)訪問的多級(jí)安全性：可避免未經(jīng)授權(quán)的用戶更改交換機(jī)配置。橋接協(xié)議數(shù)據(jù)單元 (BPDU) 保護(hù)：在收到 BPDU 時(shí)，關(guān)閉支持生成樹 PortFast 接口，以避免意外的拓?fù)洵h(huán)路。生成樹根保護(hù) (STRG)：可防止不在網(wǎng)絡(luò)管理員控制范圍內(nèi)的邊緣設(shè)備成為生成樹協(xié)議的根節(jié)點(diǎn)。IGMP 過濾：利用過濾非訂閱用戶來提供組播身份驗(yàn)證，并限制每個(gè)端口可用的并發(fā)組播流數(shù)量。Cross-Stack EtherChannel：能夠在不同的堆疊成員之間配置思科 EtherCha

49、nnel 技術(shù)，從而實(shí)現(xiàn)很強(qiáng)的恢復(fù)能力。 Flexlink：提供融合時(shí)間小于 100 毫秒的鏈路冗余。IEEE 802.1s/w 快速生成樹協(xié)議 (RSTP) 和多實(shí)例生成樹協(xié)議 (MSTP)：提供與生成樹計(jì)時(shí)器無關(guān)的 快速生 成樹融合，同時(shí)提供 2 層負(fù)載平衡和分布式處理的好處。堆疊設(shè)備充當(dāng)單一生成樹節(jié)點(diǎn)。Per-VLAN 快速生成樹 (PVRST+)：能夠以 VLAN 快速生成樹為單位，快速進(jìn)行生成樹重新融合， 而無需 實(shí)現(xiàn)生成樹實(shí)例。思科熱待機(jī)路由器協(xié)議 (HSRP)：支持該協(xié)議以在 2960-XR IP Lite SKU 中創(chuàng)建冗余的、 具有故障防御功能 的路由拓?fù)?。交換機(jī)端口自動(dòng)恢復(fù)

50、 (錯(cuò)誤禁用)：自動(dòng)嘗試重新激活由于網(wǎng)絡(luò)錯(cuò)誤而禁用的鏈路。 電源冗余：2960-XR 型號(hào)上具有一個(gè)可選的第二個(gè)電源，或在 2960-X 型號(hào)上有一個(gè)外置 RPS。 增強(qiáng)的服務(wù)質(zhì)量 Cisco Catalyst 2960-X 系列交換機(jī)提供智能流量管理以保證所有流量均能順利傳輸。靈活的標(biāo)記、 分類和調(diào)度機(jī)制 提供優(yōu)異的數(shù)據(jù)、語音和視頻流量性能，全部都以線速提供。QoS 的主要功能包括：每個(gè)端口上最多八個(gè)出口隊(duì)列（在 2960-X 上或堆疊 2960-XR 時(shí)有四個(gè)）和嚴(yán)格的優(yōu)先權(quán)排隊(duì)， 從而使優(yōu) 先級(jí)最高的數(shù)據(jù)包在所有其他流量之前得到處理整形循環(huán) (SRR) 調(diào)度和加權(quán)尾部丟棄 (WTD) 擁

51、塞避免功能。 基于流的速率限制和每端口高達(dá) 256 個(gè)聚合或單個(gè)速率限制。802.1p 服務(wù)等級(jí) (CoS) 和差分服務(wù)代碼點(diǎn) (DSCP) 分類以數(shù)據(jù)包為單位，按源和目的地 IP 地址、 MAC 地 址或第 4 層 TCP/UDP 端口號(hào)進(jìn)行標(biāo)記和重新分類。外聯(lián)設(shè)計(jì) 目前，任何一個(gè)網(wǎng)絡(luò)都要考慮與Intemet的連接問題。提供高速、安全的Intemet連接是網(wǎng)絡(luò)設(shè)計(jì)必須考慮的問題。對(duì)單個(gè)的遠(yuǎn)程用戶而言，目前有許多遠(yuǎn)程接入技術(shù)可以幫助他們輕松地與公司的網(wǎng)絡(luò)連接，例如PPP、ISDN及DSL等。小型局域網(wǎng)與外部網(wǎng)絡(luò)的連接很簡單，僅需要考慮內(nèi)部網(wǎng)絡(luò)用戶對(duì)外部的訪問，其路由協(xié)議的選擇(靜態(tài)路由或RIP

52、)以及路由器的選擇都很簡單，成本也較低。大型園區(qū)網(wǎng)絡(luò)與外部的連接則要復(fù)雜得多。不僅僅要考慮選擇什么樣的接入技術(shù)，還要考慮安全性等多方面的內(nèi)容。既涉及廣域網(wǎng)服務(wù)提供商、路由器及路由協(xié)議的選擇，還涉及一些廣域網(wǎng)技術(shù)的選擇。1.設(shè)計(jì)目標(biāo)與基本原則 (1) 速率。高傳輸速率是任何一個(gè)網(wǎng)絡(luò)設(shè)計(jì)者都要追求的目標(biāo)，因此在進(jìn)行園區(qū)網(wǎng)絡(luò)的外聯(lián)設(shè)計(jì)時(shí)，設(shè)計(jì)人員要根據(jù)網(wǎng)絡(luò)需求分析的結(jié)果確定與其他網(wǎng)絡(luò)或者Internet的連接速率。從實(shí)際應(yīng)用情況考慮，對(duì)帶寬的追求幾乎是無止境的，所以設(shè)計(jì)人員只能在給定成本的情況下，盡量設(shè)計(jì)較高的帶寬。根據(jù)目前的技術(shù)發(fā)展，能夠提供高帶寬的接入方式主要有:基于以太網(wǎng)的專線接入基于光傳輸?shù)腟DH接入(2) 成本。成本是一個(gè)永恒的話題。實(shí)際上，在很多情況下，沒計(jì)人員需要在性能與成本之間需求折中，或者說，在給定成本的情況下，追求盡可能高的速率與性能。一般來說，通過以太網(wǎng)技術(shù)接入Intemet的成本要低一些，而基于光技術(shù)的接入方式的成本要高得多，無論是一次性的設(shè)備投入還是以后的運(yùn)行成本都比較高。(3) 可靠性。有時(shí)候，用戶對(duì)外部接入的可靠性要求甚至超過了內(nèi)部的