CiscoCatalyst2960系列交換機(jī)產(chǎn)品概述Cisco?Catalyst?2960系列智能以太網(wǎng)交換機(jī)是一個(gè)全新的、固定配置的獨(dú)立設(shè)備系列，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，可為入門級(jí)企業(yè)、中型市場(chǎng)和分支機(jī)構(gòu)網(wǎng)絡(luò)提供增強(qiáng)LAN服務(wù)。Catalyst2960系列具有集成安全特性，包括網(wǎng)絡(luò)準(zhǔn)入控制(NAC)、高級(jí)服務(wù)質(zhì)量(QoS)和永續(xù)性，可為網(wǎng)絡(luò)邊緣提供智能服務(wù)。CiscoCatalyst2960系列提供：為網(wǎng)絡(luò)邊緣提供了智能特性，如先進(jìn)的訪問控制列表(ACL)和增強(qiáng)安全特性雙介質(zhì)上行鏈路端口提供了千兆以太網(wǎng)上行鏈路靈活性，可以使用銅纜或光纖上行鏈路端口—每個(gè)介質(zhì)上行鏈路端口都有一個(gè)10/100/1000以太網(wǎng)端口和一個(gè)小型可插拔(SFP)千兆以太網(wǎng)端口，在使用時(shí)其中一個(gè)端口激活，但不能同時(shí)使用這兩個(gè)端口通過高級(jí)QoS、精確速率限制、ACL和組播服務(wù)，實(shí)現(xiàn)了網(wǎng)絡(luò)控制和帶寬優(yōu)化通過多種驗(yàn)證方法、數(shù)據(jù)加密技術(shù)和基于用戶、端口和MAC地址的網(wǎng)絡(luò)準(zhǔn)入控制，實(shí)現(xiàn)了網(wǎng)絡(luò)安全性通過思科網(wǎng)絡(luò)助理，簡(jiǎn)化了網(wǎng)絡(luò)配置、升級(jí)和故障診斷使用Smartports自動(dòng)配置特定應(yīng)用配置CiscoCatalyst2960系列包括以下交換機(jī)（如圖1所示）：CiscoCatalyst2960-24TT：24個(gè)10/100以太網(wǎng)端口和2個(gè)10/100/1000固定以太網(wǎng)上行鏈路端口；1機(jī)架單元(RU)CiscoCatalyst2960-48TT：48個(gè)10/100以太網(wǎng)端口和2個(gè)10/100/1000固定以太網(wǎng)上行鏈路端口；1RUCiscoCatalyst2960-24TC：24個(gè)10/100以太網(wǎng)端口和2個(gè)雙介質(zhì)上行鏈路端口；1RUCiscoCatalyst2960-48TC：48個(gè)10/100以太網(wǎng)端口和2個(gè)雙介質(zhì)上行鏈路端口；1RUCiscoCatalyst2960G-24TC：24個(gè)10/100/1000以太網(wǎng)端口，其中4個(gè)為雙介質(zhì)端口；1RU圖1CiscoCatalyst2960系列交換機(jī)CiscoCatalyst2960系列軟件鏡像提供了一系列豐富的智能服務(wù)，包括高級(jí)QoS、速率限制和ACL。SFP千兆以太網(wǎng)端口可安裝多種SFP收發(fā)器，包括Cisco1000BASE-SX、1000BASE-LX、1000BASE-BX、1000BASE-ZX、100BASE-FX、100BASE-LX10、100BASE-BX和粗波分多路復(fù)用(CWDM)SFP收發(fā)器。千兆以太網(wǎng)千兆以太網(wǎng)以1000Mbps的速度，提供了可滿足新網(wǎng)絡(luò)和擴(kuò)展網(wǎng)絡(luò)的需求的帶寬，消除了瓶頸，提升了性能，同時(shí)提高了現(xiàn)有基礎(chǔ)設(shè)施投資的回報(bào)。目前，工作人員都對(duì)網(wǎng)絡(luò)有著更高需求，在網(wǎng)絡(luò)上同時(shí)運(yùn)行多個(gè)應(yīng)用。例如，一位員工通過IP視頻會(huì)議而參加小組會(huì)議，向與會(huì)者發(fā)送一個(gè)10MB的電子表格，將最新營(yíng)銷視頻廣播給整個(gè)小組以供評(píng)估，此外還查詢客戶關(guān)系管理(CRM)數(shù)據(jù)庫(kù)，以獲得最新實(shí)時(shí)反饋。同時(shí)，后臺(tái)開始了一個(gè)多GB的系統(tǒng)備份，并向客戶端提供最新防病毒軟件的升級(jí)。網(wǎng)絡(luò)智能性當(dāng)今的網(wǎng)絡(luò)正在不斷發(fā)展，在網(wǎng)絡(luò)邊緣出現(xiàn)了四種新趨勢(shì)：桌面計(jì)算能力提高帶寬密集型應(yīng)用出現(xiàn)高敏感數(shù)據(jù)在網(wǎng)絡(luò)中擴(kuò)展出現(xiàn)了多種設(shè)備類型，如IP電話、WLAN接入點(diǎn)和IP視頻攝像頭這些新需求正與許多已有關(guān)鍵任務(wù)應(yīng)用爭(zhēng)奪資源。因此，IT專業(yè)人員必須將網(wǎng)絡(luò)邊緣看作有效管理信息和應(yīng)用的提供的關(guān)鍵。隨著公司日益依賴網(wǎng)絡(luò)，將其作為戰(zhàn)略性業(yè)務(wù)基礎(chǔ)設(shè)施，確保網(wǎng)絡(luò)的高可用性、安全性、可擴(kuò)展性和對(duì)它的全面控制就比以前更為重要。通過為L(zhǎng)AN接入添加思科智能功能，客戶現(xiàn)可部署遍布整個(gè)網(wǎng)絡(luò)的智能服務(wù)，從而一致地滿足從桌面到核心再到WAN的要求。通過CiscoCatalyst智能以太網(wǎng)交換機(jī)，思科可幫助公司獲得向其網(wǎng)絡(luò)添加智能服務(wù)的全面優(yōu)勢(shì)。為進(jìn)一步優(yōu)化網(wǎng)絡(luò)運(yùn)行，部署具備以下特性的功能是十分關(guān)鍵的：能使網(wǎng)絡(luò)基礎(chǔ)設(shè)施高度可用以達(dá)到關(guān)鍵時(shí)間要求、可擴(kuò)展以便于公司發(fā)展、高度安全以保護(hù)保密信息，且能區(qū)分和控制流量。增強(qiáng)安全性憑借CiscoCatalyst2960系列提供的廣泛安全特性，企業(yè)可保護(hù)重要信息，防止未授權(quán)人員接入網(wǎng)絡(luò)，確保私密性及維持不間斷運(yùn)行。思科基于身份的網(wǎng)絡(luò)服務(wù)(IBNS)解決方案提供了身份驗(yàn)證、訪問控制和安全策略管理，可保護(hù)網(wǎng)絡(luò)連接和資源。Catalyst2960系列中的IBNS可防止未授權(quán)接入，并確保用戶只獲得其指定權(quán)利。它能動(dòng)態(tài)管理網(wǎng)絡(luò)接入的具體層次。使用802.1x標(biāo)準(zhǔn)和思科安全訪問控制服務(wù)器（ACS），無(wú)論用戶在何處連接到網(wǎng)絡(luò)中，都可在驗(yàn)證基礎(chǔ)上分配到一個(gè)VLAN。此設(shè)置使IT部門能在不影響用戶移動(dòng)性的情況下，以最低管理開銷實(shí)施強(qiáng)大的安全策略。為防止拒絕服務(wù)攻擊和其他攻擊，可用ACL根據(jù)源和目的地MAC地址、IP地址或TCP/UDP端口來(lái)拒絕分組，從而限制對(duì)網(wǎng)絡(luò)敏感部分的訪問。ACL查詢?cè)谟布型瓿桑蚀嗽趯?shí)施基于ACL的安全性時(shí)不會(huì)影響轉(zhuǎn)發(fā)性能。端口安全性可根據(jù)與以太網(wǎng)端口相連的設(shè)備的MAC地址，來(lái)限制以太網(wǎng)端口上的訪問。它也可用于限制插入一個(gè)交換機(jī)端口的總設(shè)備數(shù)目，因此可使交換機(jī)免遭MAC泛洪攻擊，降低了惡意無(wú)線接入點(diǎn)或集線器接入的風(fēng)險(xiǎn)。憑借動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)監(jiān)聽，可以只允許來(lái)自不可信用戶端口的DHCP請(qǐng)求（但不允許響應(yīng)）進(jìn)入網(wǎng)絡(luò)，從而防止DHCP電子欺騙。此外，DHCP接口跟蹤器(選項(xiàng)82)特性可為主機(jī)IP地址請(qǐng)求添加交換機(jī)端口ID，有助于實(shí)現(xiàn)對(duì)于IP地址分配的精確控制。MAC地址通知特性可向管理站發(fā)送報(bào)警，從而監(jiān)控網(wǎng)絡(luò)和跟蹤用戶，以使網(wǎng)絡(luò)管理員知道用戶何時(shí)、從何處進(jìn)入網(wǎng)絡(luò)。SSHv2和SNMPv3對(duì)管理和網(wǎng)絡(luò)管理信息加密，保護(hù)網(wǎng)絡(luò)免遭干擾或竊聽。TACACS+或RADIUS驗(yàn)證實(shí)現(xiàn)了交換機(jī)的集中訪問控制，并限制未授權(quán)用戶改變配置。此外，可在交換機(jī)上配置本地用戶名和密碼數(shù)據(jù)庫(kù)。交換機(jī)控制臺(tái)上的15個(gè)授權(quán)級(jí)別和Web管理界面上的2個(gè)級(jí)別提供了向不同管理員分配不同配置功能級(jí)別的能力?？捎眯院涂蓴U(kuò)展性CiscoCatalyst2960系列配備了強(qiáng)大的特性集，通過組播過濾和旨在第二層網(wǎng)絡(luò)中提供最高可用性的全套生成樹協(xié)議改進(jìn)，實(shí)現(xiàn)了網(wǎng)絡(luò)可擴(kuò)展性及更高可用性。對(duì)標(biāo)準(zhǔn)生成樹協(xié)議的改進(jìn)，如PVST+、UplinkFast和PortFast，可實(shí)現(xiàn)最長(zhǎng)網(wǎng)絡(luò)正常運(yùn)行時(shí)間。PVST+可在冗余鏈路上進(jìn)行第二層負(fù)載共享，以有效使用冗余設(shè)計(jì)中的額外容量。UplinkFast、PortFast和BackboneFast都大大縮減了標(biāo)準(zhǔn)的30到60秒生成樹協(xié)議收斂時(shí)間。Flexlink提供了不到100ms的雙向、快速收斂。對(duì)環(huán)路保護(hù)和網(wǎng)橋協(xié)議數(shù)據(jù)單元（BPDU）保護(hù)的增強(qiáng)避免了生成樹協(xié)議環(huán)路的出現(xiàn)。高級(jí)QoSCiscoCatalyst2960提供了出色的多層QoS特性，確保網(wǎng)絡(luò)流量進(jìn)行了分類和優(yōu)先級(jí)劃分，并以最好的方式避免了擁塞。QoS的配置通過自動(dòng)QoS（AutoQoS）大大得到了簡(jiǎn)化，這是一個(gè)可發(fā)現(xiàn)思科IP電話并自動(dòng)配置交換機(jī)以進(jìn)行正確分類和輸出排序的特性。這優(yōu)化了流量?jī)?yōu)先級(jí)劃分和網(wǎng)絡(luò)可用性，且不會(huì)帶來(lái)復(fù)雜配置的問題。Catalyst2960可對(duì)進(jìn)入的分組分類、再分類、監(jiān)管、標(biāo)記、排序和排程，并能在出口處對(duì)分組排序和排程。分組分類使網(wǎng)絡(luò)元素可區(qū)分不同流量，并根據(jù)第二層和第三層QoS實(shí)施策略。為實(shí)現(xiàn)QoS，Catalyst2960系列交換機(jī)首先確認(rèn)分組或流量組，再使用DSCP字段或802.1p服務(wù)級(jí)別（CoS）字段對(duì)這些組分類和再分類。分類和再分類可根據(jù)源或目的地IP地址、源或目的地MAC地址或者第4層TCP/UDP端口等標(biāo)準(zhǔn)進(jìn)行。在入口，Catalyst2960也將進(jìn)行監(jiān)管，以確定分組是在小組內(nèi)還是在小組外，標(biāo)記以改變分類標(biāo)簽，傳輸或丟棄小組分組，并根據(jù)類別對(duì)分組排序。所有端口上都支持控制平面和數(shù)據(jù)平面ACL，確保每個(gè)分組得到正確的處理。CiscoCatalyst2960支持每端口4個(gè)輸出隊(duì)列，使網(wǎng)絡(luò)管理員能更好地進(jìn)行控制，為L(zhǎng)AN上的各種應(yīng)用分配優(yōu)先級(jí)。在出口，交換機(jī)執(zhí)行排程和擁塞控制。排程是一種確定隊(duì)列處理順序的算法或進(jìn)程。Catalyst2960系列交換機(jī)支持整形循環(huán)（SRR）和嚴(yán)格優(yōu)先級(jí)隊(duì)列。SRR算法有助于確保個(gè)性化優(yōu)先級(jí)劃分。這些QoS特性使網(wǎng)絡(luò)管理員能將關(guān)鍵任務(wù)和帶寬密集型流量劃為較高優(yōu)先級(jí)，其中包括企業(yè)資源規(guī)劃（ERP）、語(yǔ)音（IP電話流量）和計(jì)算機(jī)輔助設(shè)計(jì)及制造（CAD/CAM）等，而將FTP或電子郵件等對(duì)應(yīng)用劃為較低優(yōu)先級(jí)。例如，下載一個(gè)目的地為交換機(jī)上某一端口的大型文件，而這會(huì)增加目的地為此交換機(jī)上另一端口的語(yǔ)音流量的延遲，這種情況是用戶極為不愿看到的。通過確保語(yǔ)音流量在網(wǎng)絡(luò)中得到正確分類和優(yōu)先級(jí)劃分，可避免此情況。Web瀏覽等其他應(yīng)用則可作為較低優(yōu)先級(jí)對(duì)待。Catalyst2960系列能通過對(duì)思科承諾信息速率（CIR）功能的支持而執(zhí)行速率限制。通過CIR，能以低至8kbps的增量保證帶寬。帶寬的分配根據(jù)若干標(biāo)準(zhǔn)進(jìn)行，包括MAC源地址、MAC目的地地址、IP源地址、IP目的地地址和TCP/UDP端口號(hào)。在需服務(wù)級(jí)別協(xié)議的網(wǎng)絡(luò)環(huán)境中或需控制授予某些用戶的帶寬時(shí)，帶寬分配非常重要。管理新的思科快速設(shè)置特性簡(jiǎn)化了交換機(jī)的初始配置。用戶現(xiàn)可選擇通過Web瀏覽器設(shè)置交換機(jī)，無(wú)需更多復(fù)雜的終端模擬程序和命令行界面（CLI）?？焖僭O(shè)置允許沒有豐富技術(shù)知識(shí)的人員簡(jiǎn)單、快速地設(shè)置交換機(jī)，從而降低了部署成本。思科網(wǎng)絡(luò)助理是一個(gè)基于PC的網(wǎng)絡(luò)管理應(yīng)用，適用于用戶數(shù)目不超過250名的LAN。思科網(wǎng)絡(luò)助理為思科交換機(jī)、路由器和WLAN接入點(diǎn)提供了集中管理。它支持范圍廣泛的CiscoCatalyst智能交換機(jī)－從CiscoCatalyst2960直至CiscoCatalyst4506。通過一個(gè)便于使用的GUI，用戶可以配置和管理多種交換機(jī)功能，啟動(dòng)思科路由器和思科無(wú)線接入點(diǎn)的設(shè)備管理器。只需點(diǎn)擊幾次鼠標(biāo)，即能實(shí)施思科建議的安全性、可用性和QoS特性，無(wú)需查詢具體的設(shè)計(jì)指南。安全向?qū)Э勺詣?dòng)限制對(duì)于有敏感數(shù)據(jù)的服務(wù)器的未授權(quán)訪問。Smartports和向?qū)芄?jié)約網(wǎng)絡(luò)管理員數(shù)小時(shí)的時(shí)間、消除人為錯(cuò)誤，并有助于確保交換機(jī)的配置針對(duì)這些應(yīng)用進(jìn)行了優(yōu)化。思科網(wǎng)絡(luò)助理可從思科網(wǎng)站上免費(fèi)下載。除思科網(wǎng)絡(luò)助理之外，Catalyst2960系列交換機(jī)還使用CiscoWorksforSwitchedInternetworks等SNMP網(wǎng)絡(luò)管理平臺(tái)實(shí)現(xiàn)了擴(kuò)展管理。通過CiscoWorks，可配置和管理CiscoCatalyst交換機(jī)，提供端到端的設(shè)備、VLAN、流量和策略管理。此外，一款基于Web的管理工具，CiscoWorksResourceManagerEssentials，能進(jìn)行自動(dòng)庫(kù)收集、軟件部署、方便地跟蹤網(wǎng)絡(luò)變化、查看設(shè)備可用性和快速隔離故障區(qū)。表1列出了CiscoCatalyst2960系列的特性和優(yōu)點(diǎn)。表2為硬件規(guī)格，表3為電源規(guī)格，表4列出了管理和標(biāo)準(zhǔn)支持，表5則提供了安全和法規(guī)符合性消息。表1CiscoCatalyst2960系列的特性和優(yōu)點(diǎn)特性優(yōu)點(diǎn)便于使用和部署快速設(shè)置通過Web瀏覽器簡(jiǎn)化了初始配置，無(wú)需更復(fù)雜的終端模擬程序和CLI知識(shí)。利用DHCP，由一個(gè)引導(dǎo)服務(wù)器對(duì)多個(gè)交換機(jī)進(jìn)行自動(dòng)配置，從而簡(jiǎn)化了交換機(jī)的部署。自動(dòng)的QoS（AutoQoS）可以通過發(fā)布用于檢測(cè)思科IP電話、區(qū)分流量類別和配置出口隊(duì)列的接口和全局交換機(jī)命令，簡(jiǎn)化VoIP網(wǎng)絡(luò)的QoS設(shè)置。每個(gè)10/100端口上的自動(dòng)檢測(cè)功能可以檢測(cè)到所連設(shè)備的速度，并自動(dòng)地將該端口設(shè)為10或100Mbps，從而可以在混有10和100Mbps的環(huán)境中簡(jiǎn)化交換機(jī)的部署。所有端口上的自動(dòng)協(xié)商功能可以自動(dòng)地選擇半雙工或者全雙工傳輸模式，以優(yōu)化帶寬。動(dòng)態(tài)端口匯聚協(xié)議（DTP）可以在所有交換機(jī)端口上實(shí)現(xiàn)動(dòng)態(tài)端口匯聚設(shè)置。端口匯聚協(xié)議（PAgP）可以自動(dòng)創(chuàng)建思科快速EtherChannel群組或者千兆位EtherChannel，以便連接到另外一個(gè)交換機(jī)、路由器或者服務(wù)器。端口匯聚控制協(xié)議（LACP）讓用戶可以利用符合IEEE802.3ad的設(shè)備創(chuàng)建以太網(wǎng)通道。這種功能類似于思科EtherChannel技術(shù)和PAgP。DHCP服務(wù)器是一種方便的部署選擇，適于在沒有專用DHCP服務(wù)器的網(wǎng)絡(luò)中分配IP地址。DHCP中繼讓一個(gè)DHCP中繼代理可以將DHCP請(qǐng)求廣播到網(wǎng)絡(luò)DHCP服務(wù)器。1000BASE-SX、1000BASE-LX/LH、1000BASE-ZX、1000BASE-BX、100BASE-FX、100BASE-LX10、100BASE-BX和粗波分（CWDM）物理接口可以通過一個(gè)可以現(xiàn)場(chǎng)更換的SFP模塊，在交換機(jī)部署中提供前所未有的靈活性。為了確保交換機(jī)可以迅速地連接到網(wǎng)絡(luò)，并可以利用最低限度的人為干預(yù)傳輸流量，閃存中存有一個(gè)缺省的配置。如果在銅纜端口上安裝了某種錯(cuò)誤的電纜類型（交叉或者直通），依賴于介質(zhì)的接口交叉（自動(dòng)MDIX）可以自動(dòng)地調(diào)整發(fā)送和接收對(duì)。時(shí)域反射計(jì)（TDR）可診斷并解決銅纜端口上的布線問題?？捎眯院涂蓴U(kuò)展性用于故障備份的出色冗余CiscoUplinkFast和BackboneFast技術(shù)可確?？焖俟收匣謴?fù)，增強(qiáng)網(wǎng)絡(luò)整體穩(wěn)定性和可靠性。IEEE802.1w快速生成樹協(xié)議可以提供獨(dú)立于生成樹計(jì)數(shù)器的快速生成樹收斂和分布式處理的好處。PVRST＋可以在每個(gè)VLAN生成樹的基礎(chǔ)上實(shí)現(xiàn)快速生成樹重新收斂，而不需要部署生成樹實(shí)例。思科網(wǎng)絡(luò)助理軟件所實(shí)現(xiàn)的命令交換機(jī)冗余讓用戶可以指定一個(gè)備用命令交換機(jī)，在主命令交換機(jī)發(fā)生故障時(shí)接管集群管理功能。單向連接檢測(cè)協(xié)議（UDLD）和主動(dòng)UDLD讓用戶可檢測(cè)或者禁用單向連接，以避免生成樹環(huán)路等問題的發(fā)生。交換機(jī)端口自動(dòng)恢復(fù)（可禁止）可以自動(dòng)嘗試重新建立由于網(wǎng)絡(luò)錯(cuò)誤而禁用的連接。思科冗余電源系統(tǒng)675（RPS675）支持可以為最多6個(gè)思科網(wǎng)絡(luò)設(shè)備提供出色的內(nèi)部電源冗余，從而提高容錯(cuò)性和網(wǎng)絡(luò)正常運(yùn)行時(shí)間。通過思科千兆位EtherChannel技術(shù)和思科快速EtherChannel技術(shù)，帶寬匯聚分別可以達(dá)到8Gbps和800Mbps，從而可以增強(qiáng)容錯(cuò)性，可以為交換機(jī)之間，以及交換機(jī)到路由器和單個(gè)服務(wù)器之間，提供更高的總帶寬。內(nèi)部集成的CiscoIOS軟件功能有助于優(yōu)化帶寬基于單個(gè)端口的廣播、組播和單播風(fēng)暴控制可以防止發(fā)生故障的基站降低整個(gè)系統(tǒng)的性能。IEEE802.1d生成樹協(xié)議支持冗余的骨干網(wǎng)連接和無(wú)環(huán)路的網(wǎng)絡(luò)，從而可以簡(jiǎn)化網(wǎng)絡(luò)配置，提高容錯(cuò)性。PVST+可以在冗余連接上實(shí)現(xiàn)第二層負(fù)載共享，從而可以有效地利用冗余設(shè)計(jì)中的額外容量。IEEE802.1sMSTP可以建立針對(duì)單個(gè)VLAN的生成樹實(shí)例，從而可以在冗余連接上實(shí)現(xiàn)第二層負(fù)載共享。輸出承諾速率（ECR）保證可以實(shí)現(xiàn)負(fù)載均衡和冗余。ARP可以與專用VLAN邊緣共用，最大限度地減少?gòu)V播，增加可用帶寬。VLAN1最小化讓用戶可以在任何一個(gè)VLAN端口匯聚連接上禁用VLAN。VTP修剪功能可以通過僅在用于連接目的地設(shè)備的端口匯聚連接上進(jìn)行廣播流量泛洪，限制VTP端口匯聚連接的帶寬使用。IGMPv3監(jiān)聽功能可以讓客戶端迅速地加入或者退出組播流，將占用帶寬很高的視頻流量只限提供給發(fā)出請(qǐng)求的用戶。IGMP過濾可過濾出非授權(quán)用戶并限制每端口的同時(shí)組播流數(shù)，以提供組播驗(yàn)證。MVR可以連續(xù)不斷地在一個(gè)組播VLAN中發(fā)送組播流，同時(shí)由于帶寬和安全原因?qū)?shù)據(jù)流和用戶VLAN隔離開。QoS和控制高級(jí)QoS提供了802.1pCoS和DSCP現(xiàn)場(chǎng)分類，可以利用源和目的地IP地址、源和目的地MAC地址或者第四層TCP/UDP端口號(hào)進(jìn)行基于單個(gè)分組的標(biāo)記和重新分類。所有端口上的思科控制平面和數(shù)據(jù)平面QoSACL可以確保在單個(gè)分組的基礎(chǔ)上進(jìn)行正確的標(biāo)記。每個(gè)端口的4個(gè)輸出隊(duì)列讓用戶可以對(duì)堆疊中最多四種流量類型進(jìn)行不同的管理。SRR調(diào)度確保了用戶可以通過智能化地服務(wù)于輸入和輸出隊(duì)列，為數(shù)據(jù)流量提供不同的優(yōu)先級(jí)。加權(quán)隊(duì)尾丟棄（WTD）可以在發(fā)生中斷之前，為輸入和輸出隊(duì)列提供擁塞避免功能。嚴(yán)格優(yōu)先級(jí)排序可以確保優(yōu)先級(jí)最高的分組先于所有其他流量獲得服務(wù)。高度精確的QoS功能不會(huì)對(duì)性能造成任何影響。精確的速率限制思科CIR功能能夠以低達(dá)1Mbps的精確度保障帶寬。速率限制基于源和目的地IP地址、源和目的地MAC地址、第四層TCP/UDP信息或者這些字段的任意組合，并利用QoSACL（IPACL或者M(jìn)ACACL）、級(jí)別圖和策略圖提供。利用輸入策略控制和輸出整形，可以方便地管理來(lái)自于基站或者上行鏈路的異步上行和下行數(shù)據(jù)流。每個(gè)快速以太網(wǎng)或者千兆以太網(wǎng)端口最多可以支持64個(gè)匯總或者單獨(dú)策略控制器。安全覆蓋整個(gè)網(wǎng)絡(luò)的安全功能IEEE802.1x可以實(shí)現(xiàn)動(dòng)態(tài)的、基于端口的安全，提供用戶身份認(rèn)證功能。帶有VLAN分配功能的IEEE802.1x可以為某個(gè)特定的用戶提供一個(gè)動(dòng)態(tài)的VLAN，而無(wú)論用戶連接到什么地方。支持語(yǔ)音VLAN的IEEE802.1x允許一個(gè)IP電話接入語(yǔ)音VLAN，而無(wú)論端口是否經(jīng)過授權(quán)。IEEE802.1x和端口安全可以對(duì)端口進(jìn)行身份認(rèn)證，并能管理所有MAC地址的網(wǎng)絡(luò)接入權(quán)限，包括客戶端的訪問權(quán)限。具有來(lái)賓VLAN的IEEE802.1x允許沒有IEEE802.1x客戶端的來(lái)賓對(duì)來(lái)賓VLAN進(jìn)行有限的網(wǎng)絡(luò)訪問。用于第二層接口的、基于端口的ACL（PRAC）讓用戶可以將安全策略用于各個(gè)交換機(jī)端口。單播MAC過濾可通過一個(gè)匹配MAC地址來(lái)防止轉(zhuǎn)發(fā)任意類型的分組。未知單播和組播端口阻塞可過濾出交換機(jī)還未學(xué)會(huì)如何轉(zhuǎn)發(fā)的分組，實(shí)現(xiàn)緊密控制。SSHv2和SNMPv3可以通過在Telnet和SNMP連接中加密管理員流量，提供網(wǎng)絡(luò)安全。由于美國(guó)出口法律的限制，SSHv2和SNMPv3的加密版本需要一種特殊的加密軟件。SPAN端口上的雙向數(shù)據(jù)支持讓思科安全入侵檢測(cè)系統(tǒng)（IDS）可以在檢測(cè)到某個(gè)入侵者時(shí)采取行動(dòng)。TACACS+和RADIUS身份認(rèn)證可以對(duì)交換機(jī)進(jìn)行集中控制，并防止未經(jīng)授權(quán)的用戶更改配置。MAC地址通知讓管理員可以在網(wǎng)絡(luò)添加或者刪除用戶時(shí)獲得通知。DHCP監(jiān)聽讓管理員可確保IP地址到MAC地址的一致映射。這可用于防止試圖破壞DHCP綁定數(shù)據(jù)庫(kù)的攻擊，并對(duì)進(jìn)入交換機(jī)端口的DHCP流量限速。DHCP接口跟蹤器（選項(xiàng)82）可為主機(jī)IP地址請(qǐng)求附上交換機(jī)端口ID。端口安全可以根據(jù)MAC地址，保障對(duì)某個(gè)接入或者匯聚端口的訪問權(quán)限。在一段特定的時(shí)間之后，老化功能可以將MAC地址從交換機(jī)中刪除，以便讓另外一個(gè)設(shè)備連接到同一個(gè)端口?？尚胚吔缈梢栽诩尤胍粋€(gè)IT電話時(shí)提供QoS優(yōu)先級(jí)設(shè)置，并在該IP電話被移除時(shí)禁用信任設(shè)置，從而防止惡意用戶盜用網(wǎng)絡(luò)的優(yōu)先級(jí)策略?？刂婆_(tái)訪問權(quán)限的多級(jí)安全可以防止未經(jīng)授權(quán)的用戶更改交換機(jī)配置。可由用戶選擇的地址學(xué)習(xí)模式可以簡(jiǎn)化配置和加強(qiáng)安全。BPDU保護(hù)裝置可以在接收到用以避免偶然出現(xiàn)的拓?fù)洵h(huán)路的BPDU時(shí)，關(guān)閉支持生成樹協(xié)議PortFast的接口。STRG防止不處于網(wǎng)絡(luò)管理員控制范圍的邊緣設(shè)備成為生成樹協(xié)議根節(jié)點(diǎn)。IGMP過濾可以通過濾除非指定用戶的訪問者，提供組播身份認(rèn)證，限制每個(gè)端口上可用的并發(fā)組播流的數(shù)量。動(dòng)態(tài)VLAN通過部署VMPS客戶端功能而獲得支持，它可以在指定端口加入VLAN方面提供靈活性。動(dòng)態(tài)VLAN可以實(shí)現(xiàn)IP地址的快速指派。思科網(wǎng)絡(luò)助理軟件安全向?qū)Э梢越档桶踩δ艿牟渴痣y度，這些功能可以限制用戶對(duì)于某個(gè)服務(wù)器或者部分或全部網(wǎng)絡(luò)的訪問權(quán)限。支持512個(gè)ACE，分為兩類：安全（384個(gè)安全ACL項(xiàng)和128個(gè)QoS策略），和QoS（128個(gè)個(gè)安全ACL項(xiàng)和384個(gè)QoS策略）。可管理性出色的可管理性CiscoIOSCLI支持可以為所有的思科路由器和CiscoCatalyst桌面交換機(jī)提供通用的用戶界面和指令集。思科服務(wù)保證代理（SAA）支持可以在整個(gè)LAN中進(jìn)行服務(wù)級(jí)別的管理。用于安全和QoS的交換數(shù)據(jù)庫(kù)管理器模板讓管理員可以根據(jù)針對(duì)部署的特定需求，方便地調(diào)整內(nèi)存分配，更好地實(shí)現(xiàn)所需要的功能。VLAN端口匯聚可以利用基于標(biāo)準(zhǔn)的802.1q標(biāo)記，從任何一個(gè)端口創(chuàng)建。每個(gè)交換機(jī)或者堆疊最多可以支持255個(gè)VLAN，每個(gè)交換機(jī)最多可以支持128個(gè)生成樹實(shí)例。支持4000個(gè)VLANID。語(yǔ)音VLAN可以通過將語(yǔ)音流量放在一個(gè)單獨(dú)的VLAN上，簡(jiǎn)化電話安裝步驟，實(shí)現(xiàn)更加方便的管理和診斷。思科VTP可以在所有交換機(jī)中支持動(dòng)態(tài)的VLAN和動(dòng)態(tài)的端口匯聚配置。IGMPv3監(jiān)聽功能可以讓客戶端迅速地加入或者退出組播流，將占用帶寬很高的視頻流量?jī)H傳輸?shù)桨l(fā)出請(qǐng)求的用戶。遠(yuǎn)程SPAN（RSPAN）讓管理員可以從一個(gè)第二層交換網(wǎng)絡(luò)中的任何一臺(tái)交換機(jī)遠(yuǎn)程監(jiān)控同一個(gè)網(wǎng)絡(luò)中另外一臺(tái)交換機(jī)上的端口。為了加強(qiáng)對(duì)流量的管理、監(jiān)控和分析，內(nèi)嵌遠(yuǎn)程監(jiān)控（RMON）軟件代理支持4個(gè)RMON群組（歷史、統(tǒng)計(jì)、警報(bào)和事件）。第二層跟蹤路由程序可以通過確定某個(gè)分組從源到目的地所經(jīng)過的物理途徑，降低診斷難度。所有RMON群組都可以通過一個(gè)RMON端口獲得支持，它允許用戶從一個(gè)單一的網(wǎng)絡(luò)分析器或者RMON監(jiān)測(cè)器監(jiān)控某個(gè)端口、某組端口或者整個(gè)堆疊的流量。DNS可以通過用戶指定的設(shè)備名稱解析IP地址。TFTP可以通過從一個(gè)集中地點(diǎn)下載升級(jí)軟件，降低軟件升級(jí)的管理成本。NTP可以為內(nèi)聯(lián)網(wǎng)中的所有交換機(jī)提供準(zhǔn)確的、統(tǒng)一的時(shí)間。每個(gè)端口上的多功能LE