局网络平台改造建设方案.doc(5)

为避免拒绝服务攻击和其它攻击，可用ACL根据源和目的地MAC地址、IP地址或TCP/UDP端口来拒绝分组，从而限制对网络敏感部分的访问。ACL查询在软件中完成，故此在推进基于ACL的安全性时不会妨碍转发性能。端口安全性可按照与以太网端口相连的设施的MAC地址，来限制以太网端口上的访问。它也可用于限制插入一个交换机端口的总设施数量，因此可使交换机免遭MAC泛洪攻击，降低了恶意无线接入点或集线器接入的风险。凭借动态主机配置协议(DHCP)，可以只禁止来自不可靠用户端口的DHCP请求（但不禁止响应）开启网络，从而避免DHCP电子欺骗。此外，DHCP接口跟踪器(选项82)特点可为主机IP地址请求添加交换机端口ID，有助于推动针对IP地址分配的准确控制。MAC地址通告特性可向管理站发送报警，从而监控网络和追踪客户，以使网络管控员了解客户何时、从何处开启网络。SSHv2和SNMPv3对管控和网络管理信息加密，保护网络免遭干扰或。TACACS+或RADIUS验证实现了交换机的集中访问控制，并限制未授权用户改变配置。此外，可在交换机上配置本地客户名和密码。交换机控制台上的15个授权级别和Web管理界面上的2个级别提供了向不同管理员分配不同配置功能级别的素质。

可用性和可扩展性CiscoCatalyst2960系列采用了超强的特点集，通过组播过滤和以此第二层网络中提供最高可用性的全套生成树协议优化，实现了网络可扩充性及更高可用性。对标准生成树协议的优化，如PVST+、UplinkFast和PortFast，可推动最长网络正常运行时间。PVST+可在冗余链路上进行第二层负载共享，以有效使用冗余设计中的额外容量。UplinkFast、PortFast和BackboneFast都大大降低了标准的30到60秒生成树协议收敛时间。Flexlink提供了不到100ms的双向、快速收敛。对环路保护和网桥协议数据单元（BPDU）保护的提高导致了生成树协议环路的发生。高级QoSCiscoCatalyst2960提供了优异的多层QoS特性，确保网络流量进行了分类和优先级划分，并以最好的方法防止了拥塞。QoS的配置通过手动QoS（AutoQoS）大大受到了简化，这是一个可看到思科IP电话并手动配置交换机以进行恰当分类和输出顺序的特点。这改进了流量优先级划分和网络可用性，且不会带给复杂配置的难题。Catalyst2960可对处于的分组分类、再分类、监管、标记、排序和排程，并能在出口处对分组顺序和排程。

分组分类使网络元素可区别不同流量，并按照第二层和第三层QoS实施思路。为推动QoS，Catalyst2960系列交换机首先确定分组或流量组，再使用DSCP字段或802.1p服务级别（CoS）字段对这种组分类和再分类。分类和再分类可按照源或目的地IP地址、源或目的地MAC地址以及第4层TCP/UDP端口等标准进行。在入口，Catalyst2960也将进行管控，以确认分组是在小组内而是在小组外，标记以改变分类标签，传输或丢弃小组分组，并按照类型对分组顺序。所有端口上都支持控制平面和数据平面ACL，确保每个分组得到恰当的处理。CiscoCatalyst2960支持每端口4个输出队列，使网络管理员能更好地进行控制，为LAN上的各类应用分配优先级。在出口，交换机执行排程和拥塞控制。排程是一种确认队列处理顺序的算法或进程。Catalyst2960系列交换机支持整形循环（SRR）和严格优先级队列。SRR算法有助于推动个性化优先级划分。这些QoS特性使网络管控员能将关键任务和带宽密集型流量划为较高优先级，其中包含企业资源规划（ERP）、语音（IP电话流量）和计算机辅助设计及制造（CAD/CAM）等，而将FTP或电子邮件等对应用划为较低优先级。

比如，下载一个目的地为交换机上某一端口的小型文件，而这会降低目的地对此交换机上另一端口的语音流量的延迟，这种状况是用户极为不愿看见的。通过推动语音流量在网络中受到恰当分类和优先级划分，可防止此状况。Web浏览等其它应用则可成为较低优先级对待。Catalyst2960系列能借助对思科承诺信息速度（CIR）功能的支持而执行速度限制。通过CIR，能以低至8kbps的存量保证带宽。带宽的分配按照若干标准进行，包括MAC源地址、MAC目的地地址、IP源地址、IP目的地地址和TCP/UDP端口号。在需服务级别协议的网络环境中或需控制授予那些用户的带宽时，带宽分配更加重要。管理新的思科快速设定特点简化了交换机的初始配置。用户现可选用通过Web浏览器修改交换机，无需更多复杂的终端模拟程序和命令行界面（CLI）。快速设定允许没有丰富科技常识的人员简单、快速地修改交换机，从而提高了推进成本。思科网络助理是一个基于PC的网络管控应用，适用于客户数量不少于250名的LAN。思科网络助理为思科交换机、路由器和WLAN接入点提供了集中管控。它支持范围广泛的CiscoCatalyst智能交换机－从CiscoCatalyst2960直至CiscoCatalyst4506。

通过一个方便使用的GUI，用户可以配置和管理多种交换机用途，启动思科路由器和思科无线接入点的设施管理器。只需点击几次鼠标，即能推进思科建议的安全性、可用性和QoS特性，无需查询详细的设计手册。安全向导可自动限制对于有敏感数据的服务器的未授权访问。Smartports和向导能节省网络管理员数小时的时间、消除人为错误，并有助于推动交换机的配置对于那些应用进行了改进。思科网络助理可从思科网站上免费下载。除思科网络助理之外，Catalyst2960系列交换机还使用CiscoWorksforSwitchedInternetworks等SNMP网络管控系统推动了扩充管理。通过CiscoWorks，可配置和管理CiscoCatalyst交换机，提供端到端的设施、VLAN、流量和思路管理。此外，一款基于Web的管理软件，CiscoWorksResourceManagerEssentials，能进行自动库搜集、软件推进、方便地追踪网络变化、查看设施可用性和迅速隔离故障区。表1列出了CiscoCatalyst2960系列的特点和缺点。表2为硬件型号，表3为电源型号，表4列出了管控和标准支持，表5则提供了安全和法规符合性消息。

表1CiscoCatalyst2960系列的特点和缺点特性优点便于使用和推进迅速修改通过Web浏览器简化了初始配置，无需更复杂的终端模拟程序和CLI知识。利用DHCP，由一个鼓励服务器对多个交换机进行手动配置，从而简化了交换机的推进。自动的QoS（AutoQoS）可以借助发布用于测试思科IP电话、区分流量类型和配置出口队列的接口和全局交换机命令，简化VoIP网络的QoS设置。每个10/100端口上的手动测试用途可以检查到所连设备的速度，并手动地将该端口设为10或100Mbps，从而可以在混有10和100Mbps的环境中简化交换机的推进。所有端口上的手动协商功能可以自动地选择半双工或者全双工传输方式，以改进带宽。动态端口汇聚协议（DTP）可以在所有交换机端口上推动动态端口汇聚设置。端口汇聚协议（PAgP）可以自动建立思科快速EtherChannel群组以及千兆位EtherChannel，以便连接到此外一个交换机、路由器以及服务器。端口汇聚控制协议（LACP）让用户可以借助符合IEEE802.3ad的设施建立以太网通道。这种功能类似于思科EtherChannel技术和PAgP。

DHCP服务器是一种便捷的推进选择，适于在没有专用DHCP服务器的网络中分配IP地址。DHCP中继让一个DHCP中继代理可以将DHCP请求广播到网络DHCP服务器。1000BASE-SX、1000BASE-LX/LH、1000BASE-ZX、1000BASE-BX、100BASE-FX、100BASE-LX10、100BASE-BX和粗波分（CWDM）物理接口可以借助一个可以现场更换的SFP模块，在交换机推进中提供前所未有的灵活性。为了保证交换机可以快速地联结到网络，并可以借助最低限度的人为干预传输流量，闪存中存有一个缺省的配置。如果在铜缆端口上加装了某些错误的管道类型（交叉甚至直通），依赖于介质的接叉（手动MDIX）可以自动地调整发送和接收对。时域反射计（TDR）可检测并解决铜缆端口上的布线问题。可用性和可扩展性用于故障转储的出色冗余CiscoUplinkFast和BackboneFast技术可保证迅速故障修复，增强网络整体稳定性和可靠性。IEEE802.1w快速生成树协议可以提供独立于生成树计数器的迅速生成树收敛和分布式处理的弊端。PVRST＋可以在每个VLAN生成树的基础上推动快速生成树再次收敛，而不应该推进生成树示例。

思科网络助理工具所推动的命令交换机冗余让用户可以选定一个备用命令交换机，在主命令交换机出现故障时接管集群管理用途。单向连接测试协议（UDLD）和主动UDLD让用户可测试以及禁用单向连接，以防止生成树环路等弊端的出现。交换机端口自动恢复（可允许）可以自动尝试再次完善由于网络错误而禁用的联接。思科冗余电源系统675（RPS675）支持可以为最多6个思科网络设施提供强劲的外部电源冗余，从而降低容错性和网络正常运行时间。通过思科千兆位EtherChannel技术和思科快速EtherChannel技术，带宽汇聚分别可以超过8Gbps和800Mbps，从而可以提高容错性，可以为交换机之间，以及交换机到路由器和单个服务器之间，提供更高的总带宽。内部集成的CiscoIOS软件功能有助于改进带宽基于单个端口的广播、组播和轮询风暴控制可以避免出现故障的基站降低整个平台的功耗。IEEE802.1d生成树协议支持冗余的骨干网联接和无环路的网络，从而可以简化网络配置，提高容错性。PVST+可以在冗余连接上推动第二层负载共享，从而可以有效地运用冗余设计中的额外容量。IEEE802.1sMSTP可以创建对于单个VLAN的生成树示例，从而可以在冗余连接上推动第二层负载共享。

输出承诺速率（ECR）确保可以推动负载均衡和冗余。ARP可以与专用VLAN边缘共用，最大限度地提高广播，增加可用带宽。VLAN1最小化让用户可以在任何一个VLAN端口汇聚连接上禁用VLAN。VTP修剪功能可以借助仅在适于连接目的地设施的端口汇聚连接上进行广播流量泛洪，限制VTP端口汇聚连接的频段使用。IGMPv3用途可以让用户端快速地加入以及退出组播流，将占用带宽很大的视频流量只限提供给发出请求的用户。IGMP过滤可过滤出非授权客户并限制每端口的同时组播流数，以提供组播验证。MVR可以连续不断地在一个组播VLAN中发送组播流，同时因为带宽和安全因素将数据流和用户VLAN隔离开。QoS和控制高级QoS提供了802.1pCoS和DSCP现场分类，可以借助源和目的地IP地址、源和目的地MAC地址以及第四层TCP/UDP端口号进行基于单个分组的标记和再次分类。所有端口上的思科控制平面和数据平面QoSACL可以保证在单个分组的基础上进行恰当的标记。每个端口的4个输出队列让用户可以对堆叠中最多四种流量类型进行不同的管控。SRR调度确保了客户可以借助智能化地服务于输入和输出队列，为数据流量提供不同的优先级。

加权队尾丢弃（WTD）可以在出现中断之前，为输入和输出队列提供拥塞导致功能。严格优先级顺序可以保证优先级最高的分组先于所有其它流量获取服务。高度准确的QoS功能不会对性能产生任何妨碍。精确的速度限制思科CIR功能无法以低达1Mbps的准确度保障带宽。速率限制基于源和目的地IP地址、源和目的地MAC地址、第四层TCP/UDP信息以及那些字段的任意组合，并运用QoSACL（IPACL或者MACACL）、级别图和思路图提供。利用输入策略控制和输出整形，可以便捷地管控来自于基站以及上行链路的轮询上行和回调数据流。每个快速以太网以及千兆以太网网关最多可以支持64个汇总以及单独策略控制器。安全覆盖整个网络的安全功能IEEE802.1x可以推动动态的、基于端口的安全，提供客户身份认证用途。带有VLAN分配功能的IEEE802.1x可以为某个特定的客户提供一个动态的VLAN，而无论用户连接到哪个地方。支持语音VLAN的IEEE802.1x允许一个IP电话接入语音VLAN，而无论端口能否经过授权。IEEE802.1x和端口安全可以对端口进行身份认证，并能管理所有MAC地址的网络接入权限，包括用户端的访问权限。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-131158-5.html