毕业设计(论文)任务书
题目:园区网络规划与设计方案
任务与要求:
网络是现代人最常用的交流平台,是人们获取信息、丰富知识和学习交流的重要渠道,所以网络安全及其解决方案在网络中占有非常重要的地位。通过学习了解对网络安全的认识和解决方案分析,并提交完整解决方案。
时间:2011 年 2 月 24 日至 2010 年 4 月 6 日共7 周
毕业设计(论文)进度计划表
本表作评定学生平时成绩的依据之一。
毕业设计(论文)中期检查记录表
注:此表同学生毕业设计(论文)一起存档
摘要
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。
关键字:网络安全;防御系统;解决方案
Abstract
Along with the rapid development of information technology, many farsighted enterprises realized depends on the advanced technology enterprise itself IT business and operation platform will greatly increase the core competitiveness of the enterprise, the enterprise in brutal competition environment. Management of computer application system, enhance the dependence of computer application system is more dependent on the network. The computer network, the network structure scale unceasingly expands increasingly complex. The computer network and computer application, the normal operation of the system of network security, put forward higher request. Information security should be considered comprehensively, covering the whole level of information system, network, system, application, make a comprehensive prevention data. Information security system models show safety is a dynamic process, a series of technical means shall be complete, safety management through the security of activity.
Key words: network security, Defense system, the solution
绪论 (1)
第一章学校网络需求分析 (2)
第一节校园网络需求概述 (2)
第二节学校环境概述 (2)
一网络功能需求分析 (3)
二网络性能要求 (4)
第二章校园网络总体设计方案 (5)
第一节校园网设计要求 (5)
第二节局域网系统设计方案 (6)
第三节核心层规划 (8)
一汇聚层规划 (10)
二接入层规划 (12)
第四节 VLAN概述 (14)
一 VLAN的作用 (15)
第五节 VPN概述 (15)
一 VPN决解方案 (16)
二 VPN的网络管理 (17)
第三章网络维护 (19)
第一节网络管理..................................................................错误!未定义书签。
第二节远程监控..................................................................错误!未定义书签。
第三节系统结构 (20)
第四章总结 (22)
谢辞 (24)
绪论
当今社会已步入信息社会,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。自从1993年美国政府公布实施“信息高速公路计划”之后,在世界引起巨大反响,许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。
近年来国家加快改革教育体系,以教育为立国之本,建设一个高度发达的国家教育体系。为提高我国教育的现代化、建立先进高效的教育体系。提供更为先进的教育手段,学校很有必要建设一个校园网络管理应用系统,这样可以达到校园资源共享、建立完备的数据交换体系、快速的传递信息等目的[2]。顺应无纸教学,无纸办公的发展趋势,充分利用现代化技术来进一步提高教学质量和办公效率,为培养二十一世纪人才提供一个优良的硬件教学环境。计算机网络的迅速发展和普及,改变了整个信息管理的面貌,使信息管理从以单个计算机为中心发展到以网络为中心,并为计算机技术在工业、商业、教学、科研、管理等领域中的应用提供了一个全新的网络通信环境,也从根本上加强并促进了群体工作成员之间的信息交流、资源共享、科学计算、技术合作及有效管理等,进而推动了管理、科研及教学事业的发展。
第一章学校网络需求分析
第一节校园网络需求概述
早期,各高校的信息化主要集中于多媒体网络教室、公共计算机室的基础设施建设。随着高校校园网、城域网、电子图书馆、远程教育系统、e-learning 培训系统等一系列新项目和新应用在各高校的陆续启动,我国高等教育信息化建设已经进入了一个深化应用的新时期。
高校校园网在建设初期是为了满足教学科研的需要。随着信息时代的到来,广大师生越来越不满足于只能在办公室、实验室上网,他们对在家里、在宿舍高速上网的要求越来越迫切。当今国内高新的校园网建设开始延伸到教学楼、学生宿舍以及教师家属区。区别于以往校园网单纯的教学区群体,当今的校园网还包括了学生宿舍区群体与教工区群体。高校校园网的用户群体开始多元化,用户需求逐渐多样化。
尤其呈爆炸性增长的是学生宿舍区。目前学生宿舍网建设使得学生数量急剧上升,引起接入端口骤增,网络中大量音频与视频数据的存在,势必要求保证网络传输无阻塞,高效地管理庞大的网络并降低网络管理成本也是当务之急。
第二节学校环境概述
本校是一所学院系市属高校是浙江省较早开展高等职业教育的院校之一。学院现有在校生8000余人,教职工500余人。设机电工程、管理工程、信息电子、化学工程、艺术5个系,基础、体育、中专3个部和继续教育学院。学院硬件设施齐全;图书馆总藏书量达39.5万册;教学用计算机共4000余台;中心机房20余个,语音教室八个336座;多媒体教室达上百个;建有校内实验实训室79个。楼群分布主要有:教学楼群分为一至五号教学楼,呈平行分布,平行距离为50米。政行大楼、现代信息大楼(学校网络中心)呈对称分布,两个实验楼群分别分布在政行大楼与现代信息大楼两侧。
为适应教育现代化和学校信息化建设的需要,浙江科技学院准备全面改造整个校园网,旨在为我校师生提供一个先进、可靠、安全的计算机网络教学和科研环境,促进学校与外界的信息交流、资源共享和科研合作,支持学校的教学、科
研和学校各项管理工作。
整个校园网建设覆盖范围主要包括网络中心以及一至五号教学楼、两个实验楼群、电子图书馆、行政楼、现教大楼、学生公寓楼群和教师公寓楼群等等。
第三节校园网络功能分析
一网络功能需求分析
计算机网络的应用很多,最基本的作用是数据通信、资源共享、分布处理。在校园网络建设中具体包括功能以下几点:
1、数据通信:该功能实现计算机与终端、计算机与计算机间的数据传输,包括文字信件、新闻消息、咨询信息、图片资料等。这是计算机网络的基本功能。
2、资源共享:网络上的计算机彼此之间可以实现资源共享,包括硬件、软件和数据。信息时代的到来,资源的共享具有重大的意义。
3、办公自动化OA:按计算机系统结构来看是一个计算机网络,第个办公室相当于一个工作站。它集计算机技术、数据库、局域网、远距离通信技术以及人工智能、声音、图像、文字处理技术等到综合应用技术之大成,是一种全新的信息处理方式。办公自动化系统的核心是通信,其所提供的通信手段主要为数据/声音综合服务、可视会议服务和电子邮件服务。
4、BBS:电子公告板是一种发布并交换信息的在线服务系统。BBS可以使更多的用户通过电话线以简单的终端形式实现互联,从而得到廉价的丰富信息并为其会员提供网上交谈、发布信息讨论问题、传送文件、学习交流等机会和空间。
5、远程传输:计算机应用的发展,已经从科学计算到数据处理,从单机到网络。分布在很远位置的用户可以互相传输数据信息,互相交流,协同工作。
网络的建设可以大大扩展计算机系统的功能,扩大其应用范围,提高可靠性,为用户提供方便,同时也减少了费用,提高了性能价格比。
综上所述,计算机网络首先是计算机的一个群体,是由多台计算机组成的,每台计算机的工作是独立的,任何一台计算机都不能干预其他计算机的工作,例如启动、关机和控制其运行等;其次,这些计算机是通过一定的通信媒体互连在一起,计算机间的互连是指它们彼此间能够交换信息。网络上的设备包括微机、小型机、大型机、终端、打印机,以及绘图仪、光驱等设备。用户可以通过网络共享设备资源和信息资源。网络处理的电子信息除一般文字信息外,还可以包括
声音和视频信息等。
二网络性能要求
网络的可靠性:网络必须能够保证长期连续的运行,达到24小时不间断,无故障,稳定运行。网络的局部问题不能影响大网络的运行。
网络的可扩展性服务:满足浙江科技学院在将来3~5年的快速增长的需要,骨干节点设备的性能具有向上扩展的能力,以备将来更高带宽和应用的需要。
网络的安全性:保证用户对网络资源访问的合法性,由于整个学院的管理事务都将放在校园网上,不同部门的重要数据将要求绝对安全,可访问与不可访问将严格限制。校园网和互联网之间的数据流也将严格限制。
网络的可管理性:整个校园网将采用集中式管理,能够配置、监视、统计、管理网络的有效运行,并能找出网络节点的故障所在,迅速恢复用户的应用。
网络的实用性:建网时应充分考虑利用和保护现有资源,充分发挥设备效益,要保证系统和应用软件全中文界面且功能完善,界面友好,兼容性强,使用户最方便地实现各种功能。
网络的适应性:采用积木式模块组合和结构化设计,使系统配置灵活,使网络具有强大的可增长性和强壮性,方便管理和维护。
网络的开放性:系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口,以利于网络的维护、扩展升级及与外界信息的沟通。
第二章校园网络总体设计方案
第一节校园网设计要求
1、高性能与技术先进性:校园网网络系统要求具有较高的数据通信能力和较大的带宽;并在主干网上提供较强的可扩展性.为了及时,迅速地处理网络上传送的数据,网络应有较高的网络主干速度.网络设备必须具备高速处理能力,提供高速数据链路,保证网络高吞吐能力,满足各种应用(如:视频会议系统)对网络带宽的需求;在各部门的工作组中采用交换技术,以保证在工作中网络的快速响应速度,用于提供较高的工作效率。
2、高可靠性:网络要求具有高可靠性,高稳定性和足够的冗余,提供拓扑结构及设备的冗余和备份,为了防止局部故障引起整个网络系统的瘫痪,要避免网络出现单点失效.在网络骨干上要提供备份链路,提供冗余路由.在网络设备上要提供冗余配置,设备在发生故障时能以热插拔的方式在最短时间内进行恢复,把故障对网络系统的影响减少到最小。
网络主干交换机等网络结点关键设备必须具备一定的容错能力.关键结点设备运行中出现故障后,能够有效,及时地进行故障恢复;要求结点设备的设置,恢复过程必须在短时间内迅速完成.基本配置的终端方式操作要简单,结点内部的配置内容可以通过笔记本电脑采用TCP/IP协议下载保存,或是上载恢复。
3、安全性:校园网网络作为一个支持众多用户,同时和CERNET存在连接的网络,网络安全性在整个网络中是个很重要的问题,我们应该采用一定手段控制网络的安全性,以保证网络正常运行.网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问.可以用身份认验证,VLAN划分等技术有效地控制内部用户的行为,比如杜绝对IP地址的盗用和侦听用户口令等,同时也能够利用防火墙控制外部人员对网络的访问;网络系统还应具备高度的数据安全性和保密性,能够防止非法侵入和信息泄漏。
4、可管理性:强有力的网管软件是有效地进行网络管理的助手,网管软件应能够支持对网络进行设备级和系统级的管理,并能支持通用浏览器进行网络设备
的管理及配置.灵活的设置每个用户对Internet访问功能,能够对每个用户实行管理;并且能够实现复杂的计费管理。
5、可扩充性:随着用户应用规模的不断扩大,要求网络可以方便地扩充容量,支持更多的用户及应用;随着网络技术的不断发展,网络必须能够平滑地过渡到新的技术和设备,保证用户现有的投资。
6、VLAN划分:在网络主干中要支持三层交换及VLAN划分.根据管理以及各部门智能的分配或用户定义的其它策略进行相应的VLAN的灵活划分,在整个网络中使用虚拟网技术,以提高网络的安全性和灵活性.网络中心设备和骨干设备能够提供线速的VLAN之间的路由和高性能的第三层的数据包的处理。
7、对多媒体应用的支持:校园网要求具有数据,图像,话音等多媒体实时通讯能力;并在主干网上提供足够的带宽和可保证的服务质量,满足大量用户对带宽的基本需要,并保留一定的余量供突发的数据传输使用,最大可能地降低网络传输的延迟.整个网络在服务质量(QoS),预留宽带设置,合理进行带宽管理方面应提供优良的品质。
第二节局域网系统设计方案
局域网交换系统设计的主要模型是三层交换结构模型,即把整个网络设计成为核心层、汇聚层、接入层,三层之间以树形结构连接。核心层的主要作用是以尽可能快的速度传输数据包,所以高的交换能力是核心层交换设备的主要考虑因素;汇聚层的主要作用是与核心层和接入层连接,提供交换通道,实现三层交换和其他控制,汇聚层交换机要求综合智能能力较强;接入层的作用是接入用户端工作站,接入层交换机通常放置于分配线间,对于接入层交换机而言,主要考虑的因素是价格、上连接能力等。
校园网采用光纤为通信介质,采用高速以太网,星型连接,建设中心节点:网络中心。核心层采用两台第三层路由交换机,这两台路由器之间使用链路聚合技术。校内主干千兆,部分主干百兆。选用第三层路由交换机作为交换核心,第三层交换机可以提供线速路由,是解决Internet应用造成路由瓶颈问题的一种可行方案。汇聚层每个子网采用两台三层交换机汇接到网络信息中心的核心交换机上。接入层交换机与对应汇聚层两台交换机分别相连。
在此设计中有一个大的缺点:就是在核心与汇聚之间为了提供冗余,都采用两个相同的核心与汇聚交换机,这样的冗余拓扑设计使用网络具有容错能力,不会因为单个链路、端口或连网设备失效而导致整个网络的瘫痪。但是基于交换机的冗余拓扑,容易受到广播风暴、帧的反复传和介质访问控制数据库不稳定的影响。所以在网络设计中采用生成树协议(STP)来防止这些情况的发生。并且在两个核心交换机之间采用链路聚合,设备之间传输带宽为全双工,使困扰网络设计和实施的瓶颈问题得到一定程度上的解决。
一校园网的拓扑结构图
图 3.1
图 3.2
第三节核心层规划
核心层考虑到核心层应该具有数据快速转发、路由等主要功能,采用Cisco 6500系列三层交换机,配置第三层路由功能模块。核心层节点间可通过若干千兆端口以Channel方式互联,每个核心层节点通过千兆端口与所有汇聚层Cisco Catalyst 3750三层千兆以太网交换机互联,组成星形结构,有助于获得安全保障,同时可提高带宽,以便为用户提供安全高速的数据传输通道。
Catalyst 6500是专为满足对千兆位密度、数据和语音集成、LAN/WAN/MAN 集中、可扩展性、高可用性、以及主干/分布、服务器整合和服务供应商环境中智能多层交换的不端增长的需求而设计的。提供了出色的可扩展性和性能/价格比,能够支持广泛的接口密度、性能以及高可用性选项。Cisco Catalyst 6500系列能够通过多种机箱配置和LAN/WAN/MAN接口提供可扩展的性能和端口密度。
Cisco Catalyst 6500系列交换机提供3插槽、6插槽、9插槽和13插槽的机箱,以及多种集成式服务模块,包括数千兆位网络安全性、内容交换、语音和网络分析模块。从48端口到576端口的10/100/1000以太网布线室到能够支持192个1Gbps或32个10Gbps骨干端口,提供每秒数亿个数据包处理能力的网络核心,Cisco Catalyst 6500系列能够借助冗余路由与转发引擎之间的故障切换功能提高网络正常运行时间。
Cisco Catalyst 6500系列的优点:
1、在端到端Cisco Catalyst6500系列部署中的操作一致性
3插槽、6插槽、9插槽和13插槽机箱配置使用相同的模块、软件和网络管理工具。可部署在网络的任意地方--从布线室到核心、数据中心和广域网边缘。
提高网络正常运行时间,提高网络弹性,提供数据包丢失保护,能够从网络故障中快速恢复,能够在冗余控制引擎间实现快速的1~3秒状态故障切换,提供可选的高性能Cisco Catalyst 6500系列Supervisor Engine 720、无源背板、多引擎的冗余;并可利用Cisco EtherChannel技术、IEEE 802.3ad链路汇聚、IEEE 802.1s/w和热备份路由器协议/虚拟路由器冗余协议(HSRP/VRRP)达到高可用性。
2、集成式高性能的网络安全性和网络管理
不需要部署外部设备,直接在6500机箱内部署集成式的千兆位的网络服务模块,以简化网络管理,降低网络的总体成本。这些网络服务模块包括:数千兆位防火墙模块--提供接入保护。高性能入侵检测系统(IDS)模块--提供入侵检测保护。千兆位网络分析模块--提供可管理性更高的基础设施和全面的远程超级(RMON)支持。高性能SSL模块--提供安全的高性能电子商务流量终结。千兆位VPN和基于标准的IP Security(IPSec)模块--降低的互联网和内部专网的连接成本。
3、可扩展的性能
利用分布式转发体系结构提供高达400Mpps的转发性能。支持多种Cisco Express Forwarding(CEF)实现方式和交换矩阵速率。在布线室、核心、数据中心、广域网边缘部署以及电信运营商网络均可提供最优配置。将安全和内容等高级服务与融合网络集成在一起,提供从10/100和10/100/1000以太网到万兆以太网,从DS0到OC-48的各种接口和密度,并能够在任何部署项目中端到端地执行。
4、第3层网络服务
多协议第3层路由支持满足了传统的网络要求,并能够为企业网络提供平滑的过渡机制。硬件支持的从企业级到电信运营商级的大规模路由表,硬件支持IPv6,并提供高性能的IPv6服务,在硬件中提供MPLS及MPLS/VPN的支持,可应用在高速电信运营商的网络核心和城域以太网,提供丰富的MPLS服务。
5、增强的数据、语音和视频服务
在所有Cisco Catalyst 6500系列平台上提供集成式IP通信,提供10/100和10/100/1000接口模块,借助在接口模块内增加电源子卡就可让这些接口模块提供在线的电源,提供IEEE 802.3af的支持,保护今天的投资。提供高密度的T1/E1和FXS的V oIP语音网关接口,可与公共电话网(PSTN)、传统的电话、传真和PBX连接,提供V oIP服务。
6、支持高性能的IP组播视频和音频应用
提供一个统一管理的、经济的、可灵活扩展的网络。最高的接口灵活性、可扩展性和端口密度,满足大型关键业务布线室、企业核心层和分布层需要的端
口密度和接口类型,每台设备可提供576个支持语音的,具有在线电源的10/100/1000M铜线接口。提供192个GBIC千兆位以太网接口,万兆以太网接口,和可提供高密度的OC-3 POS接口的通道化的OC-48接口。
一汇聚层规划
区域汇聚层采用Cisco Catalyst 3750三层全千兆以太网交换机,区域汇聚交换机以双千兆光纤与核心交换机相连,实现接入层与核心层之间的高速、高效中继,提高校园网系统的结构化层次和可管理性;
Cisco Catalyst 3750交换机它结合易用性和最高的冗余性,里程碑地提升了堆叠式交换机在局域网中的工作效率。这个产品系列采用了最新的思科StackWise智能堆叠技术,不但实现高达32Gbps的堆叠互联,还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起,便于用户建立一个统一、高度灵活的交换系统-- 就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。
对于中型组织和企业分支机构而言,Cisco Catalyst 3750可以通过提供配置灵活性,支持融合网络模式,已经自动配置智能化网络服务,降低融合应用的部署难度,适应不断变化的业务需求。此外,Cisco Catalyst 3750系列针对高密度千兆位以太网部署进行了专门的优化,其中包含多种可以满足接入、汇聚或者小型网络骨干网连接需求的交换机。
主要特性和优点
1、便于使用:“即插即用”配置:一个工作中的堆叠可以自行管理和配置。在用户添加或者移除交换机时,主控交换机会自动地更新所有的路由表,及时地反应堆叠结构的变化。升级信息将同时发送给堆叠的所有成员。
2、可扩展性:快速以太网到千兆位以太网:Cisco Catalyst 3750系列最多可以将9个交换机堆叠在一起,构成一个统一的逻辑单元,其中总共包含468个以太网或以太网供电10/100端口或者252个以太网10/100/1000端口、或9个10GB 以太网端口。各个10/100、10/100/1000和10Gb以太网单元可以根据网络的需要任意组合。
3、混和搭配的交换机类型:堆叠可以由Cisco Catalyst 3750交换机的任意组合构成。需要混用10/100、10/100/1000端口以太网供电和布线室汇聚的客户
可以逐步地发展接入环境。当上行链路容量需增加时,客户可向堆叠添加一个配有10GB端口的型号产品,并用已有光纤上的10Gb以太网升级自己的一条千兆位以太网链接,从而方便地升级其带宽。
4、可用性:不中断的第二层和第三层性能:Cisco Catalyst 3750系列可以提高可堆叠交换机的可用性。每个交换机可以充当主控制器和转发处理器。堆叠中的每台交换机都可以充当一个主控交换机,从而为网络控制创建了一种1:N的可用性机制。在某个单元发生故障时(尽管发生这种情况的可能性很小),所有其他单元都可以继续转发流量和保持正常运行。
5、智能组播:利用思科StackWise技术,Cisco Catalyst 3750系列可以为组播应用(例如视频)提供更高的效率。每个数据分组只需要在堆叠互联上发送一次,从而可以为更多的数据流提供更加有效的支持。
6、出色的服务质量:覆盖堆栈和线速:Cisco Catalyst 3750系列可以提供千兆位以太网速度和智能化的服务,从而可以保持所有数据的平稳传输--即使在十倍于正常网络速度时。业界领先的标记、分类和调度机制可以为数据、语音和视频流量提供业界最佳的性能--全部都以线速提供。
7、安全性:对接入环境的精确控制:Cisco Catalyst 3750系列支持一组针对连接性和接入控制、全面的安全功能,其中包括ACL、身份认证、端口级安全和基于身份识别的的、支持802.1x及其扩展的网络服务。
8、单一IP管理:多台交换机共享一个IP地址:每个Cisco Catalyst 3750系列堆叠都作为一个统一的对象进行管理,拥有一个单一的IP地址。单一IP管理可以支持故障检测、虚拟LAN创建和更改、安全和QoS控制等功能。
9、大型帧:为要求很高的应用提供支持:Cisco Catalyst 3750系列可以在10/100/1000配置上支持大型帧,为那些需要使用很大数据帧的高级数据和视频应用提供支持。
10、管理选项:Cisco Catalyst 3750系列可以提供一个用于精确配置、出色的命令行界面(CLI)和用于根据预设模板进行快速配置的思科集群管理套件(CMS)软件,这是一种基于Web的工具。此外,CiscoWorks也可以在整个网络范围内对Cisco Catalyst 3750系列进行管理。
二接入层规划
接入层接入层直接面对用户,可在汇接层交换机下采用若干支持802.1q或ISL VLAN功能的二层交换机,在二层交换机上延伸汇接层交换机的VLAN,从而将用户划分在不同的子网里,防止IP地址欺骗,一方面为了安全,一方面便于计费。
固定安装的线速快速以太网桌面交换机Cisco Catalyst 2950系列,可以为局域网(LAN)提供极佳的性能和功能。这些独立的、10/100自适应交换机能够提供增强的服务质量(QoS)和组播管理特性,所有的这些都由易用、基于Web 的Cisco集群管理套件(CMS)和集成Cisco IOS软件来进行管理。带有10/100/1000 BaseT上行链路的Cisco Catalyst 2950 铜线千兆位,能够利用现有的5类铜线从快速以太网升级到更高性能的千兆位以太网主干。
以线速性能将终端工作站连接到LAN
由于Catalyst 2950具备8.8Gbps的交换背板和最大4.4 Gbps的数据吞吐率,所以在它把终端工作站和用户连接到公司的LAN上时可以在各个端口提供线速连接性能。
Catalyst 2950交换机支持性能增强特性,如Fast EtherChannel(快速以太通道)和GigabitEtherChannel(千兆位以太通道)技术,可在Catalyst 2950交换机、路由器和服务器之间提供最大4 Gbps的高性能带宽。
将LAN移植到千兆速度
Catalyst 2950T-24为桌面连接准备了两个固定10/100/1000 BaseT(铜线千兆位以太网)上行链路端口,同时还有24个10/100端口。这样,就能够把LAN 升级到更高性能的千兆位以太网,而每端口的成本增加量并不大。
特性和关键优点
1、各个端口包括千兆位端口的线速、无阻塞性能。8.8Gbps交换结构和最大660万包/秒的传输速率,能够保证最大的吞吐量。12或24个10BaseT/100BaseTX自适应端口,每个可为单个用户、服务器、工作组提供最大200Mbps的带宽,完全可以支持对带宽需求苛刻的应用。
2、在硬件上,每个输出端口支持四个队列。
WRR队列算法确保低优先级端口不会被忽视。严格的优先权安排配置保
证诸如语音等时间敏感的应用能够在交换结构中一直使用快速路径。
3、超级管理能力
简单网络管理协议(SNMP)和Telnet界面可提供综合的带内管理能力,同时,基于CLI的管理控制台可提供详尽的带外管理能力。以每个端口和每个交换机为基础的CiscoWorks Windows网络管理软件能够提供有效的管理能力,可为Cisco路由器、交换机和集线器提供通用的管理界面。内置远程监视(RMON)软件代理程序支持四种RMON组(历史、统计、告警、事件),增强了流量管理、监视和分析能力。交换机端口分析(SPAN)端口利用一个网络分析仪或RMON 探测器监视单个端口的流量。自动配置通过使用一个网络根服务器对网络中的多个交换机进行自动安装配置,从而简化了交换机的配置工作。
4、增强的安全性、管理和集成的Cisco IOS特性
Cisco Catalyst 2950交换机有几个不寻常的特点来提高网络性能、可管理性和安全性。网络管理员可以为每个交换机配置最多64个虚拟LAN(VLAN)来获得更高水平的数据安全性和增强的LAN性能。这就保证了数据包只传送到特定VLAN内的工作站,这样相当于在网络上的各组端口之间建立了一个虚拟防火墙,从而减少了广播传输。VLAN主干可以利用标准的802.1Q VLAN主干结构从任何端口创建。每个VLAN生成树(PVST+)允许用户建立冗余的上行链路,通过多重链路分配流量负载。而这些都是通过标准的生成树协议(STP)无法实现的。使用Catalyst 2950交换机,网络管理员可以实现高水平的端口和控制台安全性能。介质访问控制(MAC)基于地址的端口级安全性可以防止未授权的工作站访问交换机。另外,还可以创建静态和动态地址的访问权限,为管理员提供对网络访问的强大控制能力。交换机控制台的多层访问安全性可防止未授权的用户访问或更改交换机配置;终端访问控制器访问控制系统(TACACS+)验证可集中协调大量网络设备的访问控制。
5、完善的服务质量
Catalyst 2950系列能够提供完善的LAN边缘QoS,。所有的Catalyst 2950交换机支持两种模式的重新分类方法。一种模式基于IEEE 802.1p标准,遵从接入点的服务等级(CoS)值并把数据包分配到合适的队列中。第二种模式,数据包根据由网络管理员分配给接入端口的缺省CoS值来进行重新分类。如果到达
的帧没有CoS值(如未做标记的帧),Catalyst2950交换机就根据网络管理员分配给每个端口的缺省CoS值来进行分类。
一旦数据帧使用上面所说的两种模式分类或重新分类后,即被分配到最合适的输出队列中去。Catalyst 2950交换机支持四种输出队列,使网络管理员在为LAN流量的各种应用指定优先权时更加容易区分和有针对性。严格的优先权分配可以保证诸如语音等时间敏感的应用在通过交换结构时一直使用高速路径。另外,另一种重要的增强措施即加权循环(WRR)策略也能保证低优先级的负载在没有被网络管理员进行优先级配置的情况下,能够得到重视。
这些特性使网络管理员可以把关键任务和时间敏感的流量,如ERP(Oracle,SAP等)、语音(IP电话流量)和CAD/CAM,优于低时间敏感的应用如FTP或e-mail(SMTP)等来设置更高级别的优先权。
6、安全性和冗余性
支持IEEE 802.1x。Cisco快速上行链路技术保证快速的故障恢复(典型值小于3秒),使网络的综合性能更加稳定和可靠。专用VLAN边缘为交换机的端口间提供安全性和隔离性,同时保证语音流量从进入点通过虚拟通道直接传输到汇集设备,而不会被定位到其它无关端口。基于MAC的端口级安全性可以防止未授权的工作站访问交换机。IEEE 802.1D STP对冗余主干连接和无环路网络的支持简化了网络配置过程,提高了容错能力。支持Cisco冗余电源系统300(RPS300),配有最多可达6个单元的内置备份电源,提高了容错能力和网络正常工作时间。控制台访问的多级安全性可以防止未授权的用户修改交换机配置。支持TACACS+验证对交换机的集中控制,防止未授权的用户更改配置。
第四节 VLAN概述
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播