集团网络方案.doc_三一办公31ppt.com

资源描述

《集团网络方案.doc》由会员分享，可在线阅读，更多相关《集团网络方案.doc（40页珍藏版）》请在三一办公上搜索。

1、丰泰棉业集团网络设备方案陕西博大系统信息技术有限公司2011年10月17日目录一、网络改造方案的背景和目标31.1网络改造的背景31.2网络改造的目标31.3方案总体建设原则41.4 网络建设51.5 方案特点51.5.1高性能的全交换网络51.5.2 支持各种网络协议及应用61.5.3可靠性61.5.4 VLAN的设计61.5.5 易于管理和维护71.5.6 支持多媒体71.5.7 高性能7二、网络设备的选型82.1核心交换机CISCO WS-C3560X如下图所示82.2接入层Cisco 2918系列千兆以太网交换机如下图所示262.3防火墙ASA 5520如下图所示312.4机柜爽

2、通42U如下图所示332.5配线架安普AMP科技(5类24口非屏蔽配线架和理线器) 如下图所示34三、售后服务及培训35一、网络改造方案的背景和目标1.1网络改造的背景现当今是一个网络高速发展的社会，通讯是公司得以发展的基础，数据传输，语音，生产业务都需要一套稳定，高速，安全的网络保证。单位里原有的网络出现诸多与现实使用状况不符的状况，再有用户的需求不断变化，与上游供应商和下游合作伙伴的密切合作，使整个单位与每个部门之间都需要一套运转良好的通信系统来保证信息的畅通。丰泰棉业集团对现有的网络分为三个阶段实施（网络，监控，视频会议），对现有的网络设备和结构需求做相应的建设，故根据设想的网络结构

3、后决定选用网络设备实施以适应现在和以后的环境。1.2网络改造的目标丰泰棉业集团一期网络建设尽量选用成熟的设备，在确保用户正常业务使用的前提下减少用户投资。企业各计算机等终端设备之间良好的连通性是需要满足的基本条件，网络环境就是提供需要通信的计算机设备之间互通的环境，以实现丰富多彩的网络应用如以后的语音和视频支持。随着网络规模的日益扩大，网络设备的数据和种类日益增加，网络应用日益多样化，网络管理也日益重要。良好的网络管理要重视网络管理人力和财力的事先投入，主动控制网络，不仅能够进行定性管理，而且还能够定量分析网络流量，了解网络健康状况。有预见性地发现网络上的问题，并将其消灭于萌芽状态，降低网络故

4、障所带来的损失，使网络管理的投入达到事半功倍的效果。单位网络工程改造项目，为了是原有的网络更加完善，稳定，安全。使网络使用者能更快捷的实现资源共享，访问互联网资源，方便使用者办理各种业务。设计的解决方案在总体建设上采用了与原来网络结合，分层构建，逐层保护的指导原则，利用宽带IP技术，保证网络的互联通信，提供具有一定的QOS的带宽保证，并提供各种部门，保证互放的安全控制；整网采用了有效的QOS处理。同时，由于提供的设备以及网络构架都具有良好的可扩展性，因此可以根据后续的发展需求，在兑现咋又网络方案保留的情况下，通过增加设备来实现网络的稳定与安全。为满足网络建设的高可靠性原则，隔断敏感信息的泄露、

5、黑客侵扰、网络资源非法使用以及计算机病毒等对网络的正常运行构成部门威胁，单位里网络为各部门网上办公和面对社会的资源公开服务提供防火墙保护内网以使本单位网络和信息更加便捷、安全、高效的信息化服务。1.3方案总体建设原则方案总体的原则是为用户提供功能齐全、操作简便、安全稳定的现代安全稳定的IT产品，以备后续升级所需。系统总体的建设目标不仅要满足用户的需求，而且还以最优的系统组合、最便捷的操作，最经济的成本，为用户提供最佳的现代网络设计方案。具体原则如下：n 先进性与可靠性的综合性能采用国内外先进而且成熟和实用的技术，系统的设计应建立在充分满足需求和具有良好的扩充性的基础上。n 标准性建设的系统应选

6、择符合国际标准的产品，包括各类网络协议标准、操作系统标准、数据库标准及各种应用软件的开发平台标准。n 安全性安全性是网络系统中应考虑的关键问题之一，整个系统应具有可靠的、集中式的安全管理系统，以保证系统的安全运行。n 良好的价格性能比应考虑各类产品的性能价格比，对关键性的产品应以性能的先进性为主要考虑因素，以提高系统的整体水平，对非关键性产品则以实用性为主。n 均衡性原则方案必须提供较好的系统运行效率，不产生系统瓶颈。n 可拓展性原则方案要有合理的层次结构，体现分层、模块化的原则。网络和应用系统要有较大的扩展能力。n 实用性原则方案从应用实际需要出发，为业务管理服务，为经营管理服务，为领导决策

7、服务。n 开放性原则方案必须采用符合标准的设备、国际标准通信协议、标准操作系统、标准网管软件以及有效的安全保障软件等，保证整个系统具有开放特点，增强与异机种、异构网的互联能力。n 可管理性原则从系统设计、设备选型方面，方案都必须考虑到整个系统的可管理性和可维护性，通过智能网管软件可实现动态网络配置，监控网络运行，优化网络。1.4 网络建设网络的建设上采用先进的网络体系结构，把局域网交换技术充分的运用在网络环境下，以恰当的技术分工和组合，构造了一个高效率、可扩展的综合网络系统。图1 升级后网络拓扑结构图1.5 方案特点1.5.1高性能的全交换网络本方案的设计是全100M交换到桌面，由此保证了每

8、个用户设备(PC等)可以独占100Mbps带宽，使多媒体应用的带宽有了保证。在网络中有防火墙保护内网的安全。核心采用cisco 3560X交换结构160 Gbps，包转发率65.5 mpps，1.5.2 支持各种网络协议及应用该网络设计是以太网络，独立于第三层协议，所以支持任何第三层协议，例如，TCP/IP，IPX，AppleTalk，等等。对第二层协议(或不能路由的协议)也完全支持，如SNA，NetBUEI等等。在该网络上可运行几乎所有类型的应用程序，如LotusNotes，各种数据库，仿真终端软件，WindowsNTserver/Windows95/98Client。Novellserv

9、er/client，Unix系统，各种OA软件等等。1.5.3可靠性为了保证批销中心局域网的可靠性，尽量减少由于产品故障造成的网络瘫痪，我们在设计上充分利用了产品和技术的特点，实现了从物理层、链路层到网络层均有冗余备份的高可靠性设计。1.5.4 VLAN的设计对于一个大型的局域网络来说，VLAN的划分是非常重要的功能，它为限制全网范围的广播和多点广播提供了有效的手段。在网络设计中应选择切实可行的技术进行VLAN的灵活划分，能够跨越交换机划分VLAN，高性能地实现VLAN之间的路由，并能提供一些基于VLAN的安全特性。那么在本方案中我们如何实现跨越交换机的VLAN划分呢？我们建议采用的中心网络设

10、备是三层交换机，它采用了千兆级的路由技术，在保存原有路由器所有的功能和特性的基础上，提供了高达线速的处理能力，这使得我们可以很方便的进行全网范围内的VLAN划分和路由。具体如何实现呢？在各分布层交换机上，我们可以根据业务需求或部门基于端口或MAC地址划分不同的VLAN，并使其与IP子网相符合，对于与中心路由交换机相连接的端口，我们将其设为VLAN的Trunk，这样它将传递所有的VLAN信息和数据给相同VTP域的其它交换机，VLAN的Trunking技术可以选择802.1Q。由于中心路由交换机的每个端口都可以识别不同VLAN的802.1Q封包并可以针对不同的VLAN划分不同的子端口(Subint

11、erface)，对于每个子端口设置相应子网的IP地址，实现各子网(VLAN)之间的路由。对于跨主干的VLAN(即不同分布层交换机的端口都属于同一个VLAN)，会出现一个路由器上的两个子端口属于同一IP子网的问题，这时我们可以将这两个子端口设置为一个桥接组(Bridge-Group)，然后为整个桥接组配置一个IP地址，这样就实现了跨主干的VLAN划分，并能保证该VLAN可以同其它VLAN正常地通讯。在不同层次上利用了多种安全措施。数据链路层(第二层)提供划分虚拟网络(VLAN，或称VirtualLAN)的多种方法，利用VLAN实现第二层安全性。例如,可以根据MAC地址划分动态VLAN的技术，利用

12、VMPS(VLANMembershipPolicyServer)技术，可在一台计算机上建立一个统一的用户MAC地址数据库，当用户的PC接入交换机时，交换机检测PC的MAC地址，在用户MAC地址数据库中查找该地址，如果找到，则将该PC划分到指定的VLAN，否则拒绝该用户进入网络。网络层(第三层)及传输层(第四层)交换机中的第三层交换模块可配置ACL(AccessControlList)，可根据IP数据包的源地址，目的地址，端口号，协议类型等信息过滤数据包。这样，当VLAN与VLAN之间通信时，网络管理员可以很好地设置安装控制。1.5.5 易于管理和维护首先，采用以太网技术(包括千兆位，快速10

13、0Mbps以太网，10Mbps以太网)本身就使网络容易管理和使用，不象ATM技术那么复杂和难于管理。1.5.6 支持多媒体考虑了交换机提供对QoS的强大支持，如IPMulticast，流量分类，优先级排队等等。IP多点广播已经成为网络中的一项重要应用，并将越来越普及，它为网络培训等应用提供了技术支持。在一个先进的网络中，应能够提供对IP多点广播的支持。在本方案中，我们所选择的产品均支持PIM、IGMP等多点广播协议，这使网络设备可以识别多点广播申请信息和多点广播数据。1.5.7 高性能该网络主干采用千兆交换技术。二、网络设备的选型2.1核心交换机CISCO WS-C3560X如下图所示产品

14、介绍：Cisco Catalyst 3560-X 系列交换机分别是堆叠式交换机和独立式交换机的企业级产品。这些交换机通过 Cisco StackPower、IEEE 802.3at 增强型以太网供电 (PoE+) 配置、可选网络模块、冗余电源和媒体访问控制安全 (MACsec) 等创新功能，提供无间断连接性、可扩展性、安全性、能效性和易操作性。Cisco Catalyst 3560-X 为实现无边界网络体验，启用了 IP 电话、无线和视频等应用程序，提高了生产效率。Cisco Catalyst 3560-X 系列交换机 24 和 48 10/100/1000 PoE+ 和非 PoE 型

15、号可选的 4 个千兆以太网 (GbE) SFP 或 2 个 10GbE SFP+ 上行链路网络模块业内第一个 PoE+，所有端口上都提供 30W 功率，1 个机架装置 (RU) 的外形设计双冗余，模块化电源和风扇媒体访问控制安全 (MACsec) 的基于硬件的加密 IPv4 和 IPv6 路由、多播路由、高级服务质量 (QoS) 和硬件中的安全功能增强型有限终身保修 (LLW)、下一工作日 (NBD) 硬件备件先行更换和 90 天思科技术支持中心 (TAC) 支持增强型 Cisco EnergyWise，可测量 PoE 设备的实际功耗，进行报告，并降低网络能耗，从而优化运营成本交换

16、机配置所有交换机型号都可以配置可选的 4 个 GbE 或 2 个 10 GbE 网络模块。这些交换机型号提供 LAN Base 或 IP Base 功能集。IP Services 功能集将在订购时或以后通过许可的方式，作为升级选项提供。Cisco Catalyst 3560-X 系列的软件除 IP Base 和 IP Services 功能集外， Cisco Catalyst 3560-X 系列还附带新的 LAN Base 功能集。所有3560-X 系列交换机都提供这三个功能集： LAN Base：增强型智能服务 IP Base：基本企业服务 IP Services：企业服务LAN Base

17、功能集提供增强型智能服务，包括全面的 2 层功能。除所有的 LAN Base 功能外，IP Base 功能集还提供基本企业服务。IP Base 也支持路由访问、StackPower 和 MACsec。IP Services 功能集提供完整的企业服务，包括高级的第3层功能，如增强型内部网关路由协议 (EIGRP)、优先开放最短路径 (OSPF)、边界网关协议 (BGP)、协议无关多播 (PIM) 和 IPv6 路由（如 OSPFv3 和 EIGRPv6）。IP Services 功能集还包括 Embedded Event Manager (EEM) 和IP 服务级协议 (SLA) 启动器功能

18、。所有软件功能集都支持高级安全、QoS 和管理功能。IP Services 功能集仅在订购时或以后通过许可的方式，作为升级选项提供；没有专用的 IP Services 交换机型号。客户可以通过 Cisco IOS软件激活，以透明的方式升级 Cisco Catalyst 3560-X 系列交换机中的软件功能集。软件激活授权并启用 Cisco IOS 软件功能集。当接通交换机的电源时，Cisco IOS 软件会检查交换机中的一个特殊文件，称为许可文件。Cisco IOS 软件将根据许可类型激活相应的功能集。可以更改或升级许可类型，以便激活不同功能集。Cisco StackWise Plus

19、技术Cisco StackWise Plus 技术构建在大获成功的、业界领先的 StackWise 技术上，StackWise 技术是针对千兆以太网进行优化的首选堆叠架构。StackWise 技术旨在维护恒定性能的同时，对添加、删除和重新部署作出响应。堆叠如同单个交换装置，由从成员交换机中选出的主交换机进行管理。主交换机会自动创建并更新所有的交换和可选路由表。工作堆叠可以在不中断服务的情况下，接受新成员或删除旧成员。StackWise 可创建一个由多达九台交换机组成的统一系统，有很强的恢复能力，它使用单个IP 地址、单个Telnet 会话、单个命令行界面 (CLI)、自动版本检查、自动

20、配置等提供简化的管理。StackWise Plus 支持 StackWise 的所有功能，可以在电源共享模式或冗余模式下部署 StackPower。在电源共享模式下，会聚合堆叠中所有电源的电力，在堆叠中的交换机间进行分配。在冗余模式下，会计算堆叠的总电力预算，但排除最大电源的瓦数。该电源的功率会保存起来，一旦某个电源出现故障，可以维持交换机和附加设备的电源供给，从而实现网络的无间断运行。如果一个电源出现故障， StackPower 的模式就会随之变为电源共享模式。StackPower能让客户仅在堆叠的任何交换机中添加一个额外的电源，即可为堆叠中的任何成员提供冗余电力，或者在共享池中添加

21、更多电力。有了 StackPower，就不需要外部冗余功率系统，也不需要在所有堆叠成员中安装双电源。网络模块图显示带有 4 个 GbE 或 2 个 10GbE SFP+ 接口的网络模块。Cisco Catalyst 3560-X 系列交换机支持可选的用于上行链路端口的网络模块。默认交换机配置不包括上行链路模块，客户可以在购买交换机时灵活选择 4 个 GbE 端口 (3KX-NM-1G) 或 2 个 10GbE 端口 (3KX-NM-10G) 的网络模块。10GbE 上行链路模块提供 4 个物理端口，各包括 2 个 SFP+ 和常规 SFP 端口。SFP+ 接口支持 10GbE 和 GbE

22、端口，能让客户利用在 GbE SFP 中的投资，并随业务需求的变化升级到 10GbE，而不必进行访问交换机的全面升级。上行链路模块可热插拔。10GbE 网络模块可用在表 3 所示的任何组合中。表. 10GbE 网络模块的配置10GbE 网络模块10GbE SFP+ 端口GbE SFP 端口200412MACsecCisco Catalyst 3560-X 系列交换机通过在 IEEE 802.1AE 中定义的 MACsec 集成硬件支持，来提供极高的安全性。MACsec 使用加密密钥化的带外方法，在有线网络上提供 MAC 层加密。MACsec Key Agreement (MKA) 协议提

23、供必需的会话密钥，并管理配置时加密所需的密钥。使用 802.1x Extensible Authentication Protocol (EAP) 框架成功完成身份验证后，会实施 MKA 和 MACsec。在 Cisco Catalyst 3560-X 系列交换机中，使用 MACsec 只能保护用户/下行链路端口（交换机和 PC 或 IP 电话等端点设备之间的链路）。双冗余模块化电源Cisco Catalyst 3560-X 系列交换机支持双冗余电源。交换机默认会附带一个电源，可以在订购交换机时或以后另外购买电源。如果只安装一个电源，它就应该始终位于电源托架 1 中。图.双冗余电源表显示

24、这些交换机中提供的不同电源以及可达 PoE 功率。增强型以太网供电 (PoE+)除了 PoE 802.3af 之外，Cisco Catalyst 3560-X 系列交换机还支持 PoE+（IEEE 802.3at 标准），可在每个端口提供高达 30W 的功率。部署时引入 Cisco IP 电话、Cisco Aironet 无线 LAN (WLAN) AP 或任何与 IEEE 802.3af 兼容的终端设备，Cisco Catalyst 3560-X 系列交换机可以降低总拥有成本。有了 PoE，就无需为每个启用 PoE 的设备提供插墙式电源，也无需购置更多电缆，设计更多电路，而这些在 IP

25、电话和 WLAN 部署中则是必需的。表 5 显示不同的 PoE 需求所对应的电源组合。表. PoE 和 PoE+ 的电源要求24 端口 PoE 交换机48 端口 PoE 交换机PoE（每个端口 15.4W）1 个 C3KX-PWR-715WAC1 个 C3KX-PWR-1100WAC或2 个 C3KX-PWR-715WACPoE+（每个端口 30W）1 个 C3KX-PWR-1100WAC或2 个 C3KX-PWR-715WAC2 个 C3KX-PWR-1100WAC或1 个 C3KX-PWR-1100WAC 和1 个 C3KX-PWR-715WACeXpandable 电源系统 (XPS)

26、 2200XPS 2200（将来提供）是下一代冗余电源系统 (RPS)。除了包括 RPS 所提供的功能，它还支持 Cisco StackPower 技术，从而提供增强型服务。当用于 Cisco Catalyst 3560-X 时，它提供 RPS 功能， XPS支持双冗余电源和风扇。可以将多达九台交换机连接到XPS2200，而且它可以同时为两台出现故障的交换机提供电力支持（要使用适当规格的电源）。XPS 2200 中使用的电源与Cisco Catalyst 3560-X 系列交换机中支持的电源相同。XPS 2200 完全可配置，可以设置在多台交换机发生故障时，提供电力的优先级。Cisco Ca

27、talyst 3560-X 系列交换机支持思科无边界网络体验思科无边界网络架构提供全新的工作空间体验，让您安全、可靠、透明地从任何地点，使用任何设备，将任何人连接到任何资源。思科无边界网络架构可应对主要IT和业务挑战，它使得与员工和客户的交互更加紧密，从而营造真正的无边界体验。只有使用专为满足全球工作空间需要设计的智能网络元素，才能使无边界体验梦想成真。Cisco Network Access是该架构的主要组件，支持多种无边界网络服务，如移动性、安全性、MediaNet、EnergyWise 和易操作性等，从而提高生产效率和运营效率。网络访问一旦智能化，它就会知道用户的身份以及用户位于网络

28、何处。它知道哪种设备正与网络连接，从而自动调配网络，以保证 QoS 和交付。它具有服务感知能力，因此可优化用户体验。只有通过智能化网络访问，企业才能安全、透明地实现网络无边界。企业可以节省能源，简化运营，提高业务效率，并优化总拥有成本。Cisco Network Access for Borderless 解决方案着重以下几个方面：可持续性易操作性无边界安全性无边界体验可持续性Cisco Catalyst 3560-X 交换解决方案通过可测量的功率效率、集成的服务和持续的创新（如Cisco EnergyWise，一个通过定制策略监控和节省能源的企业级解决方案），实现更为环保的实践

29、应用。Cisco EnergyWise 技术与 Cisco Catalyst交换机相结合，降低了温室气体 (GhG)的排放，节省了能源成本并提高了业务可持续性。 Cisco Catalyst 3560-X 系列交换机的可持续性功能包括以下功能集： Cisco EnergyWise 技术高效的交换机运行智能化电源管理Cisco EnergyWise 技术Cisco EnergyWise 是一个添加到固定配置交换机上的创新架构，通过降低整个公司基础设施的能耗而推动全公司发展的可持续性。同时，二者的结合也会影响世界各地基础设施建设所排放50%以上的全球温室气体，这远远高于对IT行业所生成的2%温

30、室气体的影响。Cisco EnergyWise 能让公司测量网络基础设施和网络附加设备的功耗，并通过特定策略来管理功耗，从而降低功耗，节省成本，同时潜在影响所有的通电设备。EnergyWise 技术采用高度智能，基于网络的方式进行消息通信，可以测量和控制网络设备与端点之间的能源。网络发现思科EnergyWise可管理设备，监控其能耗，并根据业务规则采取措施以降低能耗。EnergyWise使用创新的域命名系统查询并汇总来自大量设备的信息，因此比传统网络管理功能更简单。Cisco EnergyWise 的管理界面采用网络作为统一结构，使设施和网络管理应用程序既可与端点通信，也可彼此相互通信。管理界

31、面使用标准的SNMP或 TCP来集成思科和第三方管理系统。高效的交换机运行由思科设计和研发的 Cisco Catalyst 3560-X 系列交换机可在最佳的节能、低功率状态下运行，从而实现业内一流的功率管理和功耗能力。Cisco Catalyst 3560-X 端口具有节能模式，不用的端口可以进入低功耗状态。StackPower 能让客户仅在堆叠的任何交换机中添加一个额外的电源，即可为堆叠中的任何成员提供冗余电力，或者在共享池中添加更多电力。智能化以太网供电管理Cisco Catalyst 3560-X 系列 PoE 型号支持思科 IP 电话和思科 Aironet WLAN AP（每个端

32、口可提供高达30W 的功率）以及任何与 IEEE 802.3af 兼容的终端设备。 CDP 版本 2 能让 Cisco Catalyst 3560-X 系列交换机在与思科支持的设备（如 IP 电话或 AP）连接时，协商一种比 IEEE 分类更精细的功率设置。每端口能耗命令使客户可以指定各个端口的最大功率设置。每端口 PoE 电源传感功能可以测量实际消耗的电力，以便更加智能地控制通电设备。 PoE MIB 可主动让客户看到功率使用情况，允许客户设置不同的功率级别阈值。易操作性Cisco Catalyst 3560-X 系列交换机可通过以下功能，帮助降低运营成本： Cisco Catalys

33、t 智能操作易于使用的部署和控制功能高级、智能的网络管理工具Cisco Catalyst 智能操作Cisco Catalyst 智能操作是一整套功能，可用来简化 LAN 部署、配置和故障排除。除自适应、永不无间断的技术（如 StackWise 和 StackPower）外，Cisco Catalyst 智能操作还支持零接触安装和更换交换机，快速升级，以及简化故障排除，同时降低运营成本。Cisco Catalyst 智能操作是包括 Smart Install、Auto Smartports、Smart Configuration 和 Smart Troubleshooting 在内的一系列

34、功能，可增强运营性能： Cisco Smart Install 是透明的即插即用技术，无需用户干预即可配置 Cisco IOS 软件映像和交换机配置。Smart Install 利用动态 IP 地址分配和其他交换机的帮助来简化安装，提供透明的网络即插即用功能。 Cisco Auto Smartports 在设备与交换机端口连接时提供自动配置功能，从而允许在网络上自动检测设备，并实现即插即用。 Cisco Smart Configuration 为一组交换机提供单点管理，同时新增了将配置文件存档并备份到文件服务器或交换机的能力，以实现无缝的零接触交换机更换。 Cisco Smart Trou

35、bleshooting 是交换机内一系列广泛的调试诊断命令和系统运行状况检查，包括 GenericOnline Diagnostics (GOLD) 和 Onboard Failure Logging (OBFL)。易于使用的部署和控制功能 Embedded Event Manager (EEM) 是一个强大而灵活的功能，支持实时网络事件检测和板载自动化。使用EEM，客户可以根据自身的业务需要，调整网络设备的行为。此功能需要 IP Services 功能集。 IP 服务等级协议 (SLA) 能让客户保证新的关键业务 IP 应用程序，以及使用 IP 网络中的数据、音频和视频的 IP服务。此功能需

36、要 IP Services 功能集。动态主机配置协议 (DHCP) 通过引导服务器自动配置多个交换机，从而简化了交换机部署。 Automatic QoS (AutoQoS) 通过发送接口和全球交换机命令来检测 Cisco IP 电话，分类流量并帮助启用出口队列配置，从而简化了 IP 语音 (VoIP) 网络中的 QoS 配置。 Stacking Master 配置管理和 Cisco StackWise 技术可帮助确保在主交换机收到新的软件版本时，自动升级所有的交换机。自动软件版本检查和更新可帮助确保所有堆叠成员都有相同的软件版本。自动协商（所有端口）可自动选择半双工或全双工传输模式来优

37、化带宽。动态 Trunking 协议 (DTP) 简化所有交换机端口上的动态 Trunking 配置。端口聚合协议 (PAgP) 可自动创建 Cisco Fast EtherChannel 组或 Gb EtherChannel 组，用以链接到其他交换机、路由器或服务器。链路聚合控制协议 (LACP) 允许使用符合 IEEE 802.3ad 标准的设备，创建以太网捆绑。此功能类似于 CiscoEtherChannel 技术和 PAgP。自动介质相关接口交叉 (MDIX) 在安装了错误类型的电缆（交叉电缆或直通电缆）时，可以自动调整传输和接收对。单向链路检测协议 (UDLD) 和 A

38、ggressive UDLD 允许在光纤接口上检测因光纤布线错误或端口故障而导致的单向链路，并禁用该链路。 Switching Database Manager (SDM) 模板可用于访问、路由和 VLAN 部署，能让管理员根据部署所特有的需求，轻松地将内存最大限度地分配给所需功能。本地代理地址解析协议 (ARP) 与私有 VLAN 边界配合使用，可最大限度地降低广播和增加可用带宽。 VLAN1 最小化允许在任何单个 VLAN trunk 上禁用 VLAN1。互联网组管理协议 (IGMP) 用于侦听 IPv4 和 IPv6 MLD v1 和 v2，能让客户端快速加入和脱离多播数据流，使

39、带宽密集型视频流量仅限于请求者。 Multicast VLAN Registration (MVR) 可持续在多播 VLAN 中发送多播数据流，同时还可针对带宽和安全原因，将数据流从用户 VLAN 中分离出来。每端口广播、多播和单播风暴控制可阻止发生故障的终端工作站影响总体系统性能。语音 VLAN 将语音流量保留在单独的 VLAN 上，以便更轻松地进行管理和故障排除，从而简化了电话安装。 Cisco VLAN Trunking 协议 (VTP) 在所有交换机上支持动态 VLAN 和动态 Trunking 配置。 Remote Switch Port Analyzer (RSPAN) 能让

40、管理员从同一网络的任何其他交换机上，远程监控 2 层交换机网络中的端口。为改进流量管理、监控和分析，嵌入式远程监控 (RMON) 软件代理支持四个 RMON 组：历史记录、统计、告警和事件。 2 层追踪路由可标识数据包从源位置传输到目的地时所采用的物理路径，从而简化了故障排除。简易文件传输协议 (TFTP) 可从一个集中位置下载软件，从而降低了软件升级的管理成本。网络时间协议 (NTP) 为所有内联网交换机提供准确、一致的时间戳。高级、智能的网络管理工具Cisco Catalyst 3560-X 系列交换机提供优异的 CLI来进行详细配置，以及 Cisco 网络助理软件（基于PC的工

41、具）来根据预设模板进行快速配置。此外，CiscoWorks LAN Management Solution (LMS) 支持 Cisco CatalystCisco Catalyst 3560-X 系列交换机，以进行网络范围的管理。Cisco Network AssistantCisco 网络助理是一个基于 PC 的网络管理应用程序，专用于用户数达 250 的中小型企业 (SMB) 网络，可提供集中的网络管理和配置功能。Cisco 网络助理使用 Cisco Smartports 技术来简化初始部署和持续维护。此应用程序还提供一个直观的 GUI，用户可以通过它在 Cisco 交换机、路由器和

42、 AP 之间轻松地应用公共服务，如：配置管理故障排除建议库存报告事件通知网络安全设置密码同步拖放式 Cisco IOS 软件升级无线安全无边界安全性Cisco Catalyst 3560-X 系列交换机提供优异的 2 层威胁防御功能，可以减少人为截取攻击（如 MAC、IP 和 ARP 欺骗）。TrustSec 是无边界安全架构的主要元素，可帮助企业客户通过基于策略的访问控制、身份与角色感知网络、广泛的完整性和机密性来保护网络、数据和资源的安全。通过 Cisco Catalyst 3560-X 系列交换机中的以下功能集，可以启用无边界安全：威胁防御 Cisco TrustS

43、ec 其他高级安全功能威胁防御思科集成安全特性是一个业界领先、提供在 Cisco Catalyst 交换机上的解决方案，可主动保护重要的网络基础设施。思科集成安全特性提供强大、易用的工具，可有效防止最常见且可能存在破坏力的2层安全威胁，从而在整个网络中提供强健的安全性。思科集成安全特性包括端口安全、DHCP 侦听、动态 ARP 检测和 IP 源保护。端口安全性可根据 MAC 地址，保护接入或干线端口的访问安全性。它会限制已知 MAC 地址的数量，从而拒绝MAC 地址扩散。 DHCP 侦听可防止恶意用户欺骗 DHCP 服务器并发出伪造地址。此功能由其他主要安全功能使用，可防止许多其他攻击，

44、如 ARP 中毒。动态 ARP 检测 (DAI) 通过防止恶意用户利用地址解析协议 (ARP) 的不安全特质，帮助确保用户完整性。 IP 源保护通过创建客户端 IP 和 MAC 地址、端口和 VLAN 之间的绑定表，来防止恶意用户欺骗或接管其他用户的 IP 地址。Cisco TrustSecTrustSec 保护对网络的访问，实施安全策略，并提供基于标准的安全解决方案（如 802.1X），从而实现安全的协作和策略合规性。TrustSec 功能反应了思科思想的前瞻性、创新性和对客户成功的承诺。这些新功能包括： IEEE 802.1AE MACsec（具有准标准 802.1X-REV 密钥管理）：业内第一个具有准标准 802.1X-Rev 密钥管理的固定交换机。Cisco Catalyst 3560-X 交换机提供 MACsec 标准，该标准在面向主机的端口上提供2 层线速以太网数据机密性和完整性，以防止人为截取攻击（如欺骗、篡改和重放）。

展开阅读全文