目录
1
项目综述 ......................................................................................................................... 2 1.1 1.2 1.3 1.4 1.5 1.6 1.7 2 2.1 2.2 2.2.1 2.2.2 2.2.3 2.3 2.3.1 2.4 2.4.1 2.5 2.5.1 2.5.2 2.5.3 2.6 2.7 2.7.1 2.7.2 2.7.3 2.7.4 2.8 2.9 3 3.1 3.2 4
综述 ................................................................................................................................... 2 项目建设背景 ................................................................................................................... 3 项目概况 ........................................................................................................................... 3 项目建设目标 ................................................................................................................... 3 项目建设内容 ................................................................................................................... 4 项目设计目标 ................................................................................................................... 4 网络通讯系统设计原则.................................................................................................... 5 总体网络设计概述 ........................................................................................................... 7 核心层网络设计 ............................................................................................................. 10 设计拓扑图 ................................................................................................................. 11 实现原理 ..................................................................................................................... 11 核心层网络设计亮点 ................................................................................................. 12 接入层设计 ..................................................................................................................... 16 接入层设计拓扑 ......................................................................................................... 16 生产网数据中心设计 ..................................................................................................... 17 设计拓扑 ..................................................................................................................... 17 网络设备清单 ................................................................................................................. 18 办公网网络设备清单 ................................................................................................. 18 办公网无线设备清单 ................................................................................................. 20 交易网网络设备清单 ................................................................................................. 21 总体路由规划 ................................................................................................................. 23 交易中心网整体安全设计.............................................................................................. 26 控制平面保护 ............................................................................................................. 27 数据平面保护 ............................................................................................................. 28 管理平面保护 ............................................................................................................. 29 身份认证层面保护 ..................................................................................................... 30 软件模块化设计 ............................................................................................................. 30 设计方案绿色环保 ......................................................................................................... 32 虚拟交换系统VSS 1440技术 ......................................................................................... 32 模块化IOS软件 .............................................................................................................. 34
网络整体设计方案 ........................................................................................................... 7
重点技术介绍 ................................................................................................................ 32
3.3 ENERGYWISE智能电源管理 ................................................................................................... 38 产品描述 ....................................................................................................................... 44 4.1 CATALYST6509E交换机.......................................................................................................... 44 4.2 VS-S720-10G引擎 ................................................................................................................ 47 4.3 CATALYST3750交换机 ........................................................................................................... 55
1
1
1项目综述
1.1 综述
随着计算机技术和现代通讯技术的迅速发展,先进的科学技术及设备不断的应用到各个领域。人们的信息化意识不断加强,现代化信息企业对信息的自动化处理手段的需求也越来越强烈。计算机网络的发展与普及,使网络已经成为现代化信息企业的一项基础设施,而企业也越来越多的利用并依赖于这个基础设施,同时也对企业网络发展提出了新的要求。
首先,我们看到众多的网络连接请求让时不时就造成拥塞的低速窄带退出了企业舞台,基于语音、视频的产品及服务更要求网络高速宽带不断升级;企业规模的扩大,交换机、路由器等基础网络设备被普遍采用,随之而来的是设备的管理、员工的培训以及设备故障的处理修复等,对一个企业来说,他们希望更多的关注是在提高自己市场竞争力的产品和服务上,对于设备的操作管理当然是越智能越简单越好,同时还要求一旦设备出了故障能提供紧急后备措施去保障他们日常工作业务的正常运行。
其次,企业员工移动性、家庭办公的出现与兴起、企业更多的要求与客户供应商无缝的进行连接,这些对网络接入提出了无线等新技术要求,对数据资料的集中存储提出高速、大容量的要求,对企业服务器提出更高的性能要求。
此外,还有一个很重要的安全问题。从第一次病毒的爆发、第一次攻击的出现到今天,企业网络就一直承受着成几何倍数增长的来自网络内部和周边的安全威胁。相信大家对过去一年出现的、也许还亲身体验到危害性的 MyDoom、Bagle.B、Slammer等蠕虫病毒以及“冲击波”还记忆犹新,他们无孔不入,周期越来越短、蔓延速度越来越快,动辙就导致计算机系统的崩溃、网络的瘫痪;同时,黑客也在不断的企图窥视,也许不经意的一次机密的泄漏导致的可能是上亿的经济损失;而严重的安全性攻击甚至还会导致企业公众形象的破坏,给企业带来法律上的责任,乃至客户丧失对企业的信心,造成无法估量的成本损失。
可见安全问题将导致业务的损失和生产效率的下降,已经成为企业网络中的当务之急,尤其是过去那种常规病毒软件、防火墙的被动性让安全问题依然严峻,
2
而 VPN、V3PN、无线等新技术的出现、语音视频等关系企业竞争力的新产品新服务的推出,又为安全问题带来新的挑战。
所以现在的网络迫切需要一个立体的、深层次的防护体系,最为理想的是拥有一个如人对疾病的免疫一样的对病毒、攻击等具有免疫力的自动防御系统,打破目前的疲与应付局面,化被动为主动
1.2 项目建设背景
2007年5月10日,国务院正式批准建设交易中心,在现有交易市场基础上重组的交易中心,将从区域性的市场升级为国家级的交易中心。
1.3 项目概况
为了适应国家信息基础设施建设的需要,提高中国(太原)煤炭交易中心的经营效率,建设新一代适应网络发展趋势的中国(太原)煤炭交易中心计算机网络通讯系统,实现视频、语音、数据统一平台的多业务信息传输势在必行。
中国(太原)煤炭交易中心网络由外网(包括办公网和VIP客房)和内网(交易网)两个物理分离的网络组成。办公网和VIP客房同时接入一个核心网络,通过对核心网络逻辑安全隔离和设置实现网络层安全,核心层与接入设备之间以千兆双链路连接。
1.4 项目建设目标
交易中心将以电子交易平台为核心,建立全国统一交易市场,为煤焦供应商、煤焦需方以及运输单位提供一站式交易平台。
交易中心作为全方位、多层次、大纵深的交易电子商务平台,它是信息流、交易流、物资流、资金流的综合、分解、协调、汇集的网络平台,具有信息、交易、配送、结算、商检、保险、仲裁等诸项功能。
交易中心提供权威、详实的信息;提供先进、可靠的电子报价及交易系统;提供安全、便捷的电子结算系统;提供最优物流配送方案;提供丰富的金融、信用、保险、仲裁等电子商务配套服务;通过与工商、税务、质检、物流等相关方
3
面的合作,提供一站式办理各种手续;提供帐户余额查询、交易纪录、资金转存、资金结算、统计与分析报告、网上会议及咨询等全线程电子商务专业化服务。
交易中心发展的目标是建成国内最大型的行业电子B2B商务交易平台,立足辐射全国,整合国内供应链及其价格体系,进而跻身世界最大的商品交易所行列,在国际能源市场发出声音并逐步形成价格。借助中心的电子商务平台实现交易从传统的商务模式向新型商务运作模式转变,建成行业主要的交易销售渠道和信息发布中心,同时不断创新交易市场的交易规则及服务功能,通过科学严谨的规则和便捷周到的服务,实现交易市场的可持续发展。
1.5 项目建设内容
本着总体设计、分步实施、统一规划、统一建设的原则,本次网络通讯系统建设规划包括煤炭交易网络系统、交易中心办公自动化系统等各应用系统的网络信息系统平台,工程项目具体要求包括: (一) (二) (三) (四)
煤炭交易网络 VIP贵宾客房网络 交易中心办公网络 写字楼外租网络
1.6 项目设计目标
针对交易中心的现有资源,结合企业通信网的发展需要,建立一个高效、多功能、开放、互联、模块化结构、可靠、经济、实用的,集宽带接入、办公自动化、生产调度、监测监控、生产经营、企业管理于一体的综合管理信息网络系统是“总体目标”。根据这个目标进行总体规划和设计,分步实施,逐步实现对交易中心从财力、人力、物力和人力等所有内部各种资源进行全面整合规划,从而达到最佳资源组合,提高企业的市场竞争能力和盈利能力,更好地促进交易中心向前发展。
4
1.7 网络通讯系统设计原则
根据对数据通信网需求的分析,其设计必须考虑以下原则: 安全性 可用性与可靠性 带宽及性能 可管理性 灵活性和可扩充性
安全性----安全性是任何一个网络所必须具备的重要特性,信息安全目前已受到越来越多的重视。以交易中心网络系统涉及不同位置、层次、部门的用户和应用,分别为生产设备和办公接入提供通讯基础平台。为保证网络的安全,避免来自网络内外的恶意或无意的攻击,以及建立自身对于蠕虫的抵抗机制,必须采用完善的安全机制。除了信息数据库本身所具备的安全控制外,从网络结构、网络设备还应提供相应的安全控制机制:
(1) 设备层面:关闭网络设备本身一些不必要的服务进程,如http、bootp
等;
(2) 设备管理层面:使用SSH、SNMPv3等安全管理协议,基于角色权限
的管理访问----不同用户分配不同的管理权限,同时只允许特性的用户管理,并保留历史操作记录;
(3) 网络层面:使用Pvlans、Port Security、DHCP Snooping、DAI、IP Source
Guard、ACL、URPF 等技术实现网络层面的安全保护;
(4) 边界安全区域层面:根据应用业务系统不同划分不同的安全区域,部
署防火墙实现各应用业务系统之间的逻辑隔离,并且保证各应用业务系统之间在策略允许的情况下实现可控的互访,如把生产网和办公网分配到不同安全区域,彼此之间采用防火墙逻辑隔离;
(5) 身份认证层面:通过各种用户验证措施,防止非法或非授权用户访问
办公网和生产网
(6) 广域网安全层面:使用VPN技术对穿越广域网的业务流量进行加密
保护。
5
可用性和可靠性
IP骨干网络担负着整个园区网的信息传输和服务的重任,其可用性和可靠性至关重要。网络的可用性和可靠性,即它的可连续运行性是网络建设必须考虑的首要原则。为此在网络设计上将考虑以下技术要点:
(1) 选择的网络设备必需具有良好的可靠性保证,快速的恢复机制等。 (2) 冗余及负载均衡的电源系统,以及采用不间断电源设备。据研究,电
源故障在实际系统中导致的系统故障比率高达60%之多。
(3) 核心设备配置为可热插拔的模块化设备,并且交换引擎具有不间断切
换能力
(4) 核心层设备需要配置为双机冗余方式。
(5) 网络结构的冗余,确保不因为单条线路的故障而导致整个网络系统的
失效,并且确保在某条线路故障时对系统性能的影响也能最小。 (6) 减少单点故障点。任何位置的单点设备故障导致的通讯失效范围限定
在接入层。
(7) 提供QoS保证,具有良好的队列管理和拥塞控功能。
(8) 负载均衡,网络设备能够根据不同的策略、充分利用不同的网络传输
介质,提供网络负荷均衡功能,以充分利用带宽,以保证可用性。此外,还应具备虚拟路由策略,以保证用户对网络利用的可靠性。 (9) 可靠性还表现在,网络设备应该采用开放的标准的协议和规范,以保
证异种设备之间的可兼容性及可扩展性。 带宽及性能
网络基础设备承担了整个交易中心网络的数据/语音通信,承载办公应用系统,电话系统及生产系统。网络必须具备足够的带宽来支持,因而其带宽及性能的要求较高。此外,随着应用越来越多样化,不同的应用对网络的传输速度、延迟等有着不同的需求,需要具有针对性的优化调整。面向应用的专用流量控制设备是解决目前混合网络基础设施中带宽争用的有效途径。
6
核心交换机作为整个中心网络的核心交换设备,它起着转发,交换整个网络数据流的至关重要的作用,所以要求具备高性能,高可靠性。为确保系统的高性能、高可靠性,网络核心层设备要求支持虚拟交换系统。 可管理性和可维护性
网络的建设必须保证网络运行的可管理性。要求可发现网络拓扑、实时监控网络性能、管理维护设备配置,并可迅速简便地进行网络故障的诊断。以确保网络达到最高的可用性。 灵活性和可扩充性
一个具有灵活可扩充的网络结构对于中长期建设项目而言是极其重要的。系统必须可以满足一次规划分步采购,分步安装实施,分步开通运行,逐一合并入整体网络基础设施,并且在不间断的情况下平滑扩容。
2 网络整体设计方案
2.1 总体网络设计概述
总体网络方案以交易中心此次网络建设总体目标为依据,并严格按照以交易中心网络建设对安全性、三高(高可用性/高可用性/高性能)、可管理性灵活性以及可扩展性等设计原则要求而设计。
基于我们对以交易中心该项目建设总体目标与设计原则的深入研究和深刻理解,并依据我们以往在其它大型网络项目的设计及实施经验,我们对以交易中心此次网络建设提出如下总体设计方案建议:层次化设计、模块化设计、虚拟化设计、设计方案要绿色环保。总体方案设计拓扑图如图3.1和3.2所示:
7
图3.1(办公网拓扑)
8
图3.2(交易网拓扑)
层次化设计:我们拟把以交易中心网络设计为核心/汇聚层和接入层两大部分,并以Catalyst6506E交换机为核心的星形网络拓扑结构。
模块设计:我们拟把以交易中心网络设计为一个模块化的网络,根据用途及功能的不同,把整个园区网设计为厂区生产网、生产网数据中心、厂区办公网、广域网接入及VoIP语音网关和Internet接入安全(其中办公网服务器群设计在Internet接入区内的DMZ子Zone内)五大功能区块,并通过在防火墙部署相应的安全策略或交换机上部署ACL,来实现各功能区块之间的安全可控访问。不仅在网路结构方面我采用模块设计,同时核心交换机Catalyst6509E IOS软件我们也并推荐采用模块化的设计方案,采用IOS模块化设计可以针对每个漏洞安装补丁,而且安装过程不会对正常的分组转发产生任何影响,因此软件
9
模块化提供了很高的可用性和可管理性。
虚拟化设计:我们拟把以交易中心网络设计为一个虚拟化的网络,采用VSS网络系统虚拟化技术,将两台Cisco® Catalyst® 6509E交换机组合为单一虚拟交换机,从而提高运营效率、增强不间断通信,并将系统带宽容量扩展到1.4Tbps(不采用VSS技术时,系统带宽只能达到720G)。
安全性设计:通过设备及网络两个层面的安全保护,各自分工,系统协作,全面部署,从网络到主机,从核心层到分布层、接入层,从控制平面、管理平面和数据平面三个方面实现立体化全面安全防范机制,我们要采取全面的企业安全策略来保护整个网络基础构架和其所连接的系统,即使当攻击,蠕虫和病毒发生时,使我们的网络基础设施也具备相当的抵抗和承受能力。
设计方案节能绿色环保:我们拟把以交易中心网络设计为一个节能绿色环保的网络,最新科技为我所有,我们的方案设计采用端到端的智能电源管理架构技术,使IT 运营和设备能够测量和精确调整能源使用,以显著降低成本。该技术旨在降低所有IT相关设备的能源使用,目前可以降低交换机/路由器设备上所连接的IP电话和无线接入以及交换机/路由器本身的能源使用,以后通过升级或部署相应的功能模块也可以降低非网络设备(比如PC等其它终端)的能源使用,甚至降低非IT设备能源使用(如照明、空调等)。从而为我们节省大量的能源消耗开支。
2.2 核心层网络设计
核心网络采用VSS虚拟化设计方案,虚拟交换系统(VSS)是一种网络系统虚拟化技术,将两台采用了Virtual Switching Supervisor720-10G的Catalyst 6509E交换机组合为单一虚拟交换机。具体实现以及设计架构如图2.2所示,在虚拟交换机成员间采用两个万兆以太网连接(使用虚拟交换机成员
VS-S720-10GE-3C引擎上配备的2个万兆接口,并使用EtherChannel技术把这个万兆万兆接口捆绑成一个Port-channel2),构成一个虚拟交换机链路(VSL),同时把两台Catalyst 6509E配置同一个交换虚拟域内(switch virtual domain 100)。
10
2.2.1 设计拓扑图
图3.3
2.2.2 实现原理
(1) 在一个VSS中,同时激活这两个机箱的数据平面和交换阵列,因此总系统交换
能力可达1440Gbps,同时引擎端口以及双机箱上所有线卡都处于转发状态 ,但只有其中一个虚拟交换机成员有激活的控制平面,如图3.3所示。这两个机箱通过机箱间状态切换(SSO)机制和不间断转发(NSF)保持同步而不是通过传统的HSRP做双机热备,即使某个管理引擎或机箱发生了故障,也能提供不间断通信。
图3.4
11
(2) 采用多机箱EtherChannel(MEC)技术,采用多机箱EtherChannel(MEC)是
一种L2多路径技术。这类EtherChannel形式允许相连节点在构成VSS的两个物理Cisco Catalyst 6500系列交换机间端接EtherChannel,从而创建简单的无环路L2拓扑结构。在VSS拓扑结构中使用MEC,能使所有链路激活,并同时在不采用生成树协议的情况下,提供高度可用的拓扑结构---如图所示接入层交换机的两个上联链路同时负担上下行流量,而采用传统的STP+HSRP技术时,由于生成树(STP)的原因,必定一个上行链路处于block状态。
2.2.3 核心层网络设计亮点
(1) 虚拟交换系统1440----网络系统虚拟化
图3.5
(2) VSS简化VLAN间的流量模式
12
图3.6
(3) 多机箱EtherChannel
图3.7
(4) 简化网络结构
13
图3.8
(5) 机箱间状态故障切换
图3.9
综上所述与传统的L2/L3(STP/HSRP)网络设计相比,VSS提供了出色优势,可分为以下四个大类:
14
1、VSS通过简化网络提高了运营效率,将交换机管理开销降低至少50%。 为Cisco Catalyst 6500虚拟交换机提供单管理点、IP地址和路由实例
- 管理单一配置文件和节点。无需用相同策略配置冗余交换机两次。 - 每VLAN只需一个网关IP地址,而不必像现在这样每VLAN使用三个IP地址。
- 无需再使用HSRP、VRRP和GLBP。
- 能使用CiscoWorks LAN Management System (LMS) 3.0来将Cisco Catalyst 6500虚拟交换机作为单一实体加以集中管理。
多机箱EtherChannel®(MEC)是一种L2多路径技术,创建了简化的无环
路技术,不再采用生成树协议,同时仍能激活以严格防御用户误配置。 灵活的部署选项。底层物理交换机不必共置。这两个物理交换机通过标准
万兆以太网接口相连,因此能位于任何位置,其相隔的距离仅受限于所选的万兆以太网光纤长度。例如,如采用X2-10GB-ER万兆以太网光纤,这两个交换机可相距40公里。 2、VSS能够优化不间断通信。
机箱间状态化故障切换不会干扰需要使用网络状态信息(例如转发表信
息、NetFlow、网络地址转换[NAT]、验证和授权等)的应用。凭借VSS,在一个虚拟交换机成员发生故障时,不再需要进行L2/L3协议重收敛,能在一秒内实现确定性虚拟交换机恢复。
使用EtherChannel(802.3ad或PAgP)能在一秒内完成确定性L2链路恢
复,无需再使用生成树协议来进行链路恢复。 3、VSS能够将系统带宽容量扩展到1.4 Tbps。
在冗余Cisco Catalyst 6500系列交换机上激活所有可用的L2带宽,提
供自动、精确的负载均衡。其链路负载均衡进行了优化,因为它以L2/L3/L4参数等更精确的信息为基础,与生成树协议配置中基于虚拟局域网(VLAN)的负载均衡不同。
15
为冗余数据中心交换机上的服务器网络接口卡(NIC)提供基于标准的链
路汇聚,实现最高服务器带宽吞吐率,并在需要配置专用NIC厂商机制时,增加数据中心中基于标准的组件数目(即服务器NIC)。
最大限度地利用Cisco Catalyst 6500虚拟交换机中所有(132个)万兆
以太网端口。
通过以下措施节约带宽:
- 消除传统园区网设计中非对称路由引起的单播泛洪。
- 使用多机箱EtherChannel增强,来减少园区内流量传输所需的跳数。 4、VSS使用现有多层交换架构。
VSS 使用简化的架构增强了现有多层交换架构,不必从根本上对架构进行
改动,从而能方便地采用技术。
使用现有Cisco Catalyst 6500投资,简化了VSS的部署。非E系列和E
系列Catalyst 6500系列交换机机箱均支持VSS,VSS支持所有Cisco Catalyst 6500系列 6700系列模块。
VSS在Cisco Catalyst 6500虚拟交换机成员间使用基于标准的万兆以太
网连接,支持灵活的距离选项。底层物理交换机无需共置。
2.3 接入层设计
2.3.1 接入层设计拓扑
16
图3.4
厂区生产网和办公网接入层交换机Catalyst3560通过两条光纤(根据距离和交换机远近决定使单模或多模)分别上联到核心交换机Catalyst6509E-1和Catalyst6509E-2上,并在VSS拓扑结构中采用多机箱EtherChannel(MEC)技术,能使所有链路激活,并同时在不采用生成树协议的情况下,提供高度可用的拓扑结构---如图3.4所示接入层交换机的两个上联链路同时负担上下行流量。
安全设计考虑:考虑到生产网数据的安全,目前在交换机上通过部署包过滤技术ACL实现生产网和办公网之间的有效可控访问。
2.4 生产网数据中心设计
2.4.1 设计拓扑
图3.5
生产网数据中心承载着机运系统、MES系统、AVI工控系统等与生产业务息息相关重要应用系统,网络设计的高可靠性、高性能和安全性尤为重要,因此,这也是我们的设计方案时重点考虑的。设计方案如图3.5所示,生产网数据中心网络接入设备我们采用两台Catalyst3750G全千兆级交换机作为服务器的接入设备,
17
两台设备互为冗余备份;同时两台Catalyst3750G分别上联到两台核心交换机Catalyst6509E-1和Catalyst6509E-2上,并采用VSS Catalsyt6509E的多机箱EtherChannel(MEC)技术,能使两条上连链路都激活,提高上连链路的可用带宽;每台服务器也都采用双网卡分别上连到两台Catalyst3750G,因此,从服务器到网络设备甚至链路考虑到冗余性设计,不存在任何单点故障,以保障生产网数据中心的高可用性。
安全设计考虑:考虑到生产网数据中心的安全,我们在设计时不仅考虑在交换机上通过部署包过滤技术ACL实现生产网数据中心和其它非生产网数据中心之间的有效可控访问,同时我们还把办公网服务器部署在Internet接入防火墙的DMZ区,这样设计能够实现用防火墙把办公网服务器和生产网数据中心服务器逻辑隔离,更能进一步防御来自互联网攻击威胁到生产网数据中心服务器(把办公网部署在DMZ区设计详细内容见3.6 Internet安全出口设计部分)。
注:由于此次项目招标不含内网防火墙,所以目前不能通过防火墙隔离数据中心服务器和办公网服务器,只是通过ACL实现简单三层/四隔离 。
2.5 网络设备清单
2.5.1 办公网网络设备清单
设备用途 擎 48口千兆光核心交换机 电源 IOS WS-CAC-4000W-INT SV33ISK9O-12233SXI 口板卡 48口千兆电口板卡 防火墙模块 名称 6509机箱引型号 VS-C6509E-S720-10G WS-X6748-SFP WS-X6748-GE-TX WS-SVC-FWM-1-K9= ONLY incl. VSS 描述 Catalyst Chassis+Fan Tray+Sup720-10G; IP Base Catalyst 6500 48-port GigE Mod: fabric-enabled (Req. SFPs) Cat6500 48-port 10/100/1000 GE Mod: fabric enabled, RJ-45 Firewall blade for 6500 and 7600, VFW License Separate 4000W AC PowerSupply, International (cable included) Cisco CAT6000-VSS720 IOS IP SERVICES SSH 数量 2 2 2 2 4 2
18
(MODULAR) - DEFAULT 多模光纤模块 多模光纤模块 单模光纤模块 地下1F配线间交换机 GLC-SX-MM= X2-10GB-SR GLC-LH-SM WS-C2960-24TC-L GLC-SX-MM= WS-C2960-24TC-L 1F配线间交换机 WS-C2960-48TC-L GLC-SX-MM= 2F配线间汇聚交换机 WS-C3750G-12S-S GLC-SX-MM= WS-C2960-24TC-L 2F配线间接楼层接入交换机&AP 4F-9F配线间汇聚交换机 4F-9F配线间接入交换机 3F配线间交换机 WS-C2960-48TC-L GLC-SX-MM= WS-C3750G-12S-S GLC-SX-MM= 入交换机 WS-C2960-48TC-L GLC-SX-MM= GE SFP, LC connector SX transceiver 10GBASE-SR X2 Module GE SFP, LC connector LX/LH transceiver 30 4 4 Catalyst 2960 24 10/100 + 2T/SFP LAN Base Image 2 GE SFP, LC connector SX transceiver 4 Catalyst 2960 24 10/100 + 2T/SFP LAN Base Image 2 Catalyst 2960 48 10/100 + 2 T/SFP LAN Base Image GE SFP, LC connector SX transceiver Catalyst 3750 12 SFP + IPB Image GE SFP, LC connector SX transceiver 1 6 2 24 Catalyst 2960 24 10/100 + 2T/SFP LAN Base Image 3 Catalyst 2960 48 10/100 + 2 T/SFP LAN Base Image GE SFP, LC connector SX transceiver Catalyst 2960 48 10/100 + 2 T/SFP LAN Base Image GE SFP, LC connector SX transceiver Catalyst 3750 12 SFP + IPB Image GE SFP, LC connector SX transceiver Catalyst 2960 48 10/100 + 2 T/SFP LAN Base 1 2 2 20 7 20 WS-C2960-48TC-L GLC-SX-MM= WS-C2960-24TC-L GLC-SX-MM= WS-C3750G-12S-S GLC-SX-MM= Image GE SFP, LC connector SX transceiver 6 12 15F配线间交换机 16F-22F配线间汇聚交换 16F-22F配线间汇聚交换 Catalyst 2960 24 10/100 + 2T/SFP LAN Base Image 1 GE SFP, LC connector SX transceiver Catalyst 3750 12 SFP + IPB Image GE SFP, LC connector SX transceiver Catalyst 2960 48 10/100 + 2 T/SFP LAN Base 2 4 32 WS-C2960-48TC-L GLC-SX-MM= Image GE SFP, LC connector SX transceiver 14 28
19
23F配线间接入交换机 汇聚交换机 汇聚交换机 多模光纤模块 单模千兆模块 地下1F配线楼层接入交换 链路负载均衡 网管 网管软件 链路负载许可 间交换机 1F配线间交换机 2F配线间交换机 多模光纤模块 F5 3600硬件平台 WS-C2960-24TC-L GLC-SX-MM= WS-C3750G-12S-S GLC-SX-MM= GLC-LH-SM Catalyst 2960 24 10/100 + 2T/SFP LAN Base Image 1 GE SFP, LC connector SX transceiver Catalyst 3750 12 SFP + IPB Image GE SFP, LC connector SX transceiver GE SFP, LC connector LX/LH transceiver 2 2 22 4 WS-C2960-24TC-L WS-C2960-24TC-L WS-C2960-24TC-L GLC-SX-MM= F5-BIG-LTM-3600-4G-R Catalyst 2960 24 10/100 + 2T/SFP LAN Base Image 3 Catalyst 2960 24 10/100 + 2T/SFP LAN Base Image 4 Catalyst 2960 24 10/100 + 2T/SFP LAN Base Image 2 GE SFP, LC connector SX transceiver BIG-IP Switch: Local Traffic Manager 3600 4GB ROHS 18 1 F5-ADD-BIG-LC BIG-IP Add-on: Link Controller License 1 CWLMS-3.2-300-K9 LMS 3.2 Small Enterprise I, networks of 100 to 300 devices 1 2.5.2 办公网无线设备清单
名称 地下1F无线AP AIR-PWRINJ4= AIR-LAP1142N-C-K9 1F无线AP AIR-PWRINJ4= AIR-LAP1142N-C-K9 2F无线AP AIR-PWRINJ4= 3F无线AP AIR-LAP1142N-C-K9 Power Injector - 1140 / 1250 Series; Spare 802.11a/g/n Fixed Unified AP; Int Ant;China Cfg 17 9 Power Injector - 1140 / 1250 Series; Spare 802.11a/g/n Fixed Unified AP; Int Ant;China Cfg 17 17 Power Injector - 1140 / 1250 Series; Spare 802.11a/g/n Fixed Unified AP; Int Ant;China Cfg 2 17 型号 AIR-LAP1142N-C-K9 描述 802.11a/g/n Fixed Unified AP; Int Ant;China Cfg 数量 2
20
AIR-PWRINJ4= AIR-LAP1142N-C-K9 4F-9F无线AP AIR-PWRINJ4= AIR-LAP1142N-C-K9 16F-22F无线AP AIR-PWRINJ4= AIR-LAP1142N-C-K9 23F无线AP AIR-PWRINJ4= 1F无线AP 2F配线间交换机 多模光纤模块 控制器硬件平台 控制器接口模块 无线网管软件 无线网管软件授权 无线网管软件光盘 IBM服务器 无线认证系统软件 IBM服务器 WS-C2960G-24TC-L GLC-SX-MM= AIR-CT5508-50-K9 GLC-LH-SM AIR-LAP1142N-C-K9 AIR-PWRINJ4= Power Injector - 1140 / 1250 Series; Spare 802.11a/g/n Fixed Unified AP; Int Ant;China Cfg Power Injector - 1140 / 1250 Series; Spare 802.11a/g/n Fixed Unified AP; Int Ant;China Cfg Power Injector - 1140 / 1250 Series; Spare 802.11a/g/n Fixed Unified AP; Int Ant;China Cfg Power Injector - 1140 / 1250 Series; Spare 802.11a/g/n Fixed Unified AP; Int Ant;China Cfg Power Injector - 1140 / 1250 Series; Spare 9 24 24 70 70 4 4 15 15 Catalyst 2960 24 10/100/1000, 4 T/SFP LAN Base Image GE SFP, LC connector SX transceiver 5508 Series Controller for up to 50 APs GE SFP, LC connector LX/LH transceiver 2 20 2 8 1 1 1 1 1 WCS-STANDARD-K9 WCS Top Level SKU for AP capacity options. WCS-APBASE-50 WCS-CD-K9 CSACS-4.2-WIN-K9 WCS-Standard-K9 50 APs. License Only. CD With Windows And Linux. No License. CiscoSecure ACS 4.2 for Windows 2 2.5.3 交易网网络设备清单
设备用途
名称 型号 描述 21 数量
6509机箱引擎 VS-C6506E-S720-10G 24口千兆光口板卡 48口千兆电口板卡 核心交换机 IOS 多模光纤模块 万兆模块 单模光纤模块 1F配线间交换机 2F配线间汇聚交换机 SV33ISK9O-12233SXI GLC-SX-MM= X2-10GB-SR GLC-LH-SM WS-C2960-24TC-L GLC-SX-MM= WS-C3750G-12S-S GLC-SX-MM= WS-C2960-24TC-L 2F配线间接入交换机 WS-C2960-48TC-L GLC-SX-MM= 3F配线间交换机 4F-9F配线间汇聚交换机 4F-9F配线间接入交换机 16F-22F配线间汇聚交换 WS-C2960-24TC-L WS-C3750G-12S-S GLC-SX-MM= 电源 WS-CAC-4000W-INT 防火墙模块 WS-SVC-FWM-1-K9= WS-X6724-SFP WS-X6748-GE-TX Catalyst Chassis+Fan Tray+Sup720-10G; IP Base ONLY incl. VSS Catalyst 6500 24-port GigE Mod: fabric-enabled (Req. SFPs) Cat6500 48-port 10/100/1000 GE Mod: fabric enabled, RJ-45 Firewall blade for 6500 and 7600, VFW License Separate 4000W AC PowerSupply, International (cable included) Cisco CAT6000-VSS720 IOS IP SERVICES SSH (MODULAR) - DEFAULT GE SFP, LC connector SX transceiver 10GBASE-SR X2 Module GE SFP, LC connector LX/LH transceiver 2 2 2 2 4 2 18 4 4 Catalyst 2960 24 10/100 + 2T/SFP LAN Base Image 1 GE SFP, LC connector SX transceiver Catalyst 3750 12 SFP + IPB Image GE SFP, LC connector SX transceiver 2 2 24 Catalyst 2960 24 10/100 + 2T/SFP LAN Base Image 4 Catalyst 2960 48 10/100 + 2 T/SFP LAN Base Image GE SFP, LC connector SX transceiver 6 20 Catalyst 2960 24 10/100 + 2T/SFP LAN Base Image 1 Catalyst 3750 12 SFP + IPB Image GE SFP, LC connector SX transceiver Catalyst 2960 48 10/100 + 2 T/SFP LAN Base 2 20 WS-C2960-48TC-L GLC-SX-MM= WS-C3750G-12S-S GLC-SX-MM= Image GE SFP, LC connector SX transceiver Catalyst 3750 12 SFP + IPB Image GE SFP, LC connector SX transceiver Catalyst 2960 48 10/100 + 2 T/SFP LAN Base 6 12 4 32 16F-22F配线间汇聚交换 WS-C2960-48TC-L GLC-SX-MM= Image GE SFP, LC connector SX transceiver 14 28
22
汇聚交换机 楼层接入交换机 链路负载均衡 接入交换机 汇聚交换机 多模光纤模块 单模千兆模块 B1配线间交换机 WS-C3750G-12S-S GLC-SX-MM= GLC-LH-SM Catalyst 3750 12 SFP + IPB Image GE SFP, LC connector SX transceiver GE SFP, LC connector LX/LH transceiver 2 14 4 WS-C2960-24TC-L Catalyst 2960 24 10/100 + 2T/SFP LAN Base Image 1 Catalyst 2960 24 10/100 + 2T/SFP LAN Base Image 2 Catalyst 2960 24 10/100 + 2T/SFP LAN Base Image 2 GE SFP, LC connector SX transceiver 10 1F配线间交换 WS-C2960-24TC-L 2F配线间交换 WS-C2960-24TC-L 多模光纤模块 GLC-SX-MM= F5 1600硬件平台 F5-BIG-LC-1600-4G-R BIG-IP Switch: Link Controller 1600 4GB ROHS 2 接入交换机 WS-C2960G-24TC-L Catalyst 2960 24 10/100/1000, 4 T/SFP LAN Base Image 2 2.6 总体路由规划
根据以交易中心网络项目系统集成管理要求和业界主流的设计方案,建议以交易中心网络采用开放最短路径优先协议(Open Shortest Path first,OSPF)作为全网的路由协议。OSPF是由Internet工程任务组IETF开发的路由选择协议。OSPF协议是一个链路状态协议,正如它的命名所描述的,OSPF使用Dijkstra最短路径优先算法 (SFP),而且是开放的标准。这里所说的开放是指它不属于任何一个厂商或组织所私有。
像所有的链路状态协议一样,OSPF协议和距离矢量协议相比,一个主要的改善就在于它的快速收敛,这样使OSPF协议可以支持更大型的互连网络并且不容易受到有害路由选择信息的影响。OSPF协议的其它一些特性有:
使用了区域的概念,这样可以有效地减少路由选择协议对路由器的CPU
23
和内存的占用,划分区域还可以降低路由选择协议的通信量,这使构建一个层次化的互连网络拓扑成为可能;
完全无类别地处理地址问题,排除了像不连续的子网这样的有类别路由选
择协议的问题;
支持物类别的路由选择表查询,VLSM和用来进行有效的地址管理的超网
技术;
支持无大小限制的,任意的度量值;
支持使用多条路由路径的效率更高的等价负载均衡;
使用保留的组播地址来减小对不宣告OSPF报文的设备的影响; 持更安全的路由选择认证; 使用可以跟踪外部路由的路由标记。
SPF算法是OSPF路由协议的基础。SPF算法有时也被称为Dijkstra算法,这是因为最短路径优先算法SPF是Dijkstra发明的。SPF算法将每一个路由器作为根(ROOT)来计算其到每一个目的地路由器的距离,每一个路由器根据一个统一的数据库会计算出路由域的拓扑结构图,该结构图类似于一棵树,在SPF算法中,被称为最短路径树。在OSPF路由协议中,最短路径树的树干长度,即OSPF路由器至每一个目的地路由器的距离,称为OSPF的Cost,其算法为:Cost = 100×106/链路带宽 。在这里,链路带宽以bps来表示。也就是说,OSPF的Cost 与链路的带宽成反比,带宽越高,Cost越小,表示OSPF到目的地的距离越近。举例来说,FDDI或快速以太网的Cost为1,2M串行链路的Cost为48,10M以太网的Cost为10等。
在大型企业网络中选用OSPF路由协议的原因主要是:
对于OSPF路由协议,路由表中表示目的网络的参数为Cost,该参数为一虚拟值,与网络中链路的带宽等相关,也就是说OSPF路由信息不受物理设备跳数限制。并且,OSPF路由协议还支持TOS(Type of Service)路由,因此,OSPF比较适合应用于大型网络中。
24
OSPF是一种链路状态的路由协议,当网络比较稳定时,网络中的路由信息是比较少的,并且其广播也不是周期性的,因此OSPF路由协议即使是在大型网络中也能够较快地收敛。
OSPF路由协议支持路由验证,只有互相通过路由验证的路由器之间才能交换路由信息。并且OSPF可以对不同的区域定义不同的验证方式,提高网络的安全性。
OSPF路由协议对负载分担的支持性能较好。OSPF路由协议支持多条Cost相同的链路上的负载分担,目前一些厂家的路由器支持6条链路的负载分担。
在OSPF路由协议中,每一个区域中的路由器都按照该区域中定义的链路状态算法来计算网络拓扑结构,这意味着每一个区域都有着该区域独立的网络拓扑数据库及网络拓扑图。对于每一个区域,其网络拓扑结构在区域外是不可见的,同样,在每一个区域中的路由器对其域外的其余网络结构也不了解。这意味着OSPF路由域中的网络链路状态数据广播被区域的边界挡住了,这样做有利于减少网络中链路状态数据包在全网范围内的广播,也是OSPF将其路由域或一个AS划分成很多个区域的重要原因。
需要注意的是:
在OSPF路由协议中存在一个骨干区域(Backbone),该区域包括属于这
个区域的网络及相应的路由器,骨干区域必须是连续的,同时也要求其余区域必须与骨干区域直接相连。骨干区域一般为区域0,其主要工作是在其余区域间传递路由信息。所有的区域,包括骨干区域之间的网络结构情况是互不可见的,当一个区域的路由信息对外广播时,其路由信息是先传递至区域0(骨干区域),再由区域0将该路由信息向其余区域作广播。 一个骨干区域Area 0必须位于所有区域的中心,其余所有区域必须与骨干区域直接相连。但是,也存在一个区域无法与骨干区域建立物理链路的可能性,在这种情况下,我们可以采用虚拟链路。虚拟链路使该区域与骨干区域间建立一个逻辑联接点,该虚拟链路必须建立在两个区域边界路由器之间,并且其中一个区域边界路由器必须属于骨干区域。
OSPF路由协议要求骨干区域Area 0必须是连续的,但是,骨干区域也会
出现不连续的情况,例如,当我们想把两个OSPF路由域混合到一起,并
25
且想要使用一个骨干区域时,或者当某些路由器出现故障引起骨干区域不连续的情况,在这些情况下,我们可以采用虚拟链路将两个不连续的区域0连接到一起。这时,虚拟链路的两端必须是两个区域0的边界路由器,并且这两个路由器必须都有处于同一个区域的端口。
2.7 交易中心网整体安全设计
我们在方案设计时考虑到以交易中心网对安全性需求,充分利用本次招标设备自身的特性,通过设备及网络两个层面的安全保护,各自分工,系统协作,全面部署,从网络到主机,从核心层到分布层、接入层,从控制平面、数据平面、管理平面和身份认证四个个方面实现立体化全面安全防范机制如下图3.8所示,我们要采取全面的企业安全策略来保护整个网络基础构架和其所连接的系统,即使当攻击,蠕虫和病毒发生时,使我们的网络基础设施也具备相当的抵抗和承受能力。
26
图3.8
2.7.1 控制平面保护
部署控制平台保护:即使是最健全的软件设施和硬件架构面对拒绝服务(DoS)攻击也存在漏洞。DoS攻击属恶意行为,旨在用毫无价值的信息流充塞网络基础设施,使其陷入瘫痪,它们会伪装成某种控制分组,发往控制平面的处理器。我们通过在所支持的设备上部署控制平面监管功能(CPP),可以配置用于识别某种类型流量,当其达到某种阈值水平时予以限制可进行全面限制。CPP可以在即使是在DDoS攻击发生的时候也确保对控制层面的访问。 另外还通过在网络设备上部署相应的策略,预留CPU和内存,该特性使网络设备在可能是由于攻击所造成的高负载情况下,依然能够保持运行。
27
部署安全高效的交换转发机制CEF:CEF是一种高级的第三层IP交换技术。可以在网络的任何地方使用CEF,特别是在企业骨干网的交换方面。在核心交换机上部署CEF,提供其了高性能和伸缩性,用来对付网络规模的不断加大和稳定增长的数据流量,此外CEF是一种分散式交换机制,它随着接口卡数量和安装在路由器中带宽的变化而线性地变化。和常规的快速交换路由相比较,CEF可以使用较少的内存容量来实现数据包的转发,这样,就可以节省更多处理器的资源,使得处理器能够专用于第三层的服务,比如提高服务质量(QoS)和加密功能等。
2.7.2 数据平面保护
部署端口安全控制合理MAC地址:限制单个端口所连接MAC地址的数目可以有效防止类似macof工具和SQL蠕虫病毒发起的攻击,macof可被网络用户用来产生随机源MAC地址和随机目的MAC地址的数据包,可以在不到10秒的时间内填满交换机的CAM表。通过在交换机上部署端口安全(Port Security)和动态端口安全功能可被用来阻止MAC泛滥攻击。例如交换机连接单台工作站的端口,可以限制所学MAC地址数为1;连接IP电话和工作站的端口可限制所学MAC地址数为3:IP电话、工作站和IP电话内的交换机。通过在交换机上部署端口安全功能,网络管理员也可以静态设置每个端口所允许连接的合法MAC地址,实现设备级的安全授权。动态端口安全则设置端口允许合法MAC地址的数目,并以一定时间内所学习到的地址作为合法MAC地址。
部署DHCP窥探保护DHCP服务正常工作:为了防止DHCP server的冒充和DHCP server的DOS攻击等类型的攻击,同时也为了防止有些用户随便指定地址,造成网络地址冲突,通过在交换机上部署DHCP侦听(DHCP Snooping)功能,可有效阻止此类攻击,当打开此功能,所有用户端口除非特别设置,被认为不可信任端口,不应该作出任何DHCP响应,因此欺诈DHCP响应包被交换机阻断,合法的DHCP服务器端口或上连端口应被设置为信任端口。
部署动态ARP检查确保“合法”ARP信息传递:为了防止中间人攻击,确保“合法”ARP信息传递,通过在交换机上部署动态ARP检查(DAI,Dynamic ARP Inspection)来防止这类攻击,它可以帮助保证接入交换机只传递“合法的”的
28
ARP请求和应答信息。DHCP Snooping监听绑定表包括IP地址与MAC地址的绑定信息并将其与特定的交换机端口相关联,动态ARP检测(DAI-Dynamic ARP Inspection)可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP),确保应答来自真正的ARP所有者。交换机通过检查端口纪录的DHCP绑定信息和ARP应答的IP地址决定是否真正的ARP所有者,不合法的ARP包将被删除。
部署IP源地址保护阻止DoS、蠕虫和木马攻击:在交换机上部署IP源地址保护(IP Source Guard)功能后,可以根据DHCP侦听记录的IP绑定表动态产生PVACL,强制来自此端口流量的源地址符合DHCP绑定表的记录,这样攻击者就无法通过假定一个合法用户的IP地址来实施攻击了,这个功能将只允许对拥有合法源地址的数据保进行转发,合法源地址是与IP地址绑定表保持一致的,它也是来源于DHCP Snooping绑定表。因此,DHCP Snooping功能对于这个功能的动态实现也是必不可少的,对于那些没有用到DHCP的网络环境来说,该绑定表也可以静态配置。 IP Source Guard不但可以配置成对IP地址的过滤也可以配置成对MAC地址的过滤,这样,就只有IP地址和MAC地址都于DHCP Snooping绑定表匹配的通信包才能够被允许传输。此时,必须将 IP源地址保护IP Source Guard与端口安全Port Security功能共同使用,并且需要DHCP服务器支持Option 82时,才可以抵御IP地址+MAC地址的欺骗。
部署丰富的访问控制:通过在网络设备上部署ACL包过滤技术,能够读取第二/三/四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 网络中的节点类型主要分为资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
2.7.3 管理平面保护
基于角色权限的管理访问:基于角色的CLI接入特性使网络管理员可以定义“浏览权限”,即一组运行指令和配置功能,提供了对设备的可选或部分接入限
29
制。浏览权限限制了用户对命令行界面 (CLI)和配置信息的访问,并可以定义可接受的指令和可视的配置信息。基于角色的CLI接入的应用包括网络管理员为安全人员提供对于某种功能的接入能力。此外,SDM还提供了管理员浏览和只读浏览、防火墙策略和VPN远程出厂缺省设置。用户通过基于角色的特定接入功能登陆SDM, 只可以浏览限于其角色的GUI屏幕。
Console 和Telnet 的安全管理:我们在网络设备部署本地AAA认证,提供了对网络设备对于Console,Telnet管理访问的验证、授权和记帐 (AAA)网络安全服务。
部署SNMP版本3安全管理协议:简单网络管理协议 3 (SNMPv3)是一种基于标准的互操作网络管理协议。SNMPv3将网络分组的验证和加密功能相结合,提供了安全的设备接入能力。SNMPv3提供的安全特性如下:
信息完整性 -- 确保了分组在传输中不受干扰 验证 -- 确定信息来源的可靠性
加密 -- 保护分组内容,使其免受未授权设备窥视
安全Shell管理保护:Secure Shell 2 (SSHv2)提供了强大的全新验证和加密功能,在网络设备上部署SSHv2远程管理方式,提供了增强的网络设备远程管理方案。
2.7.4 身份认证层面保护
通过在园区网上部署AD以及AAA认证授权技术可有效防止非法或非授权用户访问办公网和生产网。
2.8 软件模块化设计
采用Catalyst 6509E IOS软件模块化设计,通过在最需要网络可用性的环境中提供故障抑制和更快的故障恢复速度,为网络可用性树立了新的标准。这项针对Catalyst 6500的创新可以让网络管理员在不影响网络可用性的情况下,逐步安装新的补丁,以满足迫切的需求――例如修复严重的安全漏洞。 而且,通过将
30
这些功能与Catalyst 6500上的嵌入式事件管理器(EEM)的监控、自动响应功能结合,可以简化网络运营。 IOS软件模块化的组成结构:
采用IOS模块设计的优点: 1、控制和数据平面的分离
控制平面→通过MSFC上的CPU管理路由协议更新和管理流量等控制流量 数据平面→通过PFC/DFC上ASIC进行的实际数据分组转发 2、软件模块化的可用性
模块化进程:多个控制平面功能已被模块化,其中涵盖了一些最常用的功 能,如IOS-Base、routing等
补丁安装支持:软件模块化将支持针对公开宣布的安全漏洞的补丁。补 丁将在维护包中提供,其中包含了多组补丁 3、最大限度地缩短计划内停机时间
子系统运行中软件升级(ISSU):因为可以针对每个漏洞安装补丁,而且安装过程
不会对正常的分组转发产生任何影响,所以代码验证和部署的速度将会大幅加快。 4、最大限度地缩短计划外停机时间
受保护内存:每个进程和相关子系统都“位于”一个单独的内存空间之中。 故障抑制:发生在一个进程中的故障不会影响系统的其他部分。
可重启进程:如果处理器或者子系统进入某个异常状态时,用户可以根据
31
操作要求,方便地自动或者手动重启受影响的进程。
2.9 设计方案绿色环保
为了应对能源成本、环境问题和政府规定等要求,市场对可持续发展的、“环保型”企业IT 运营的需求日益加大。测量功耗和控制能源输出的方法目前是全球企业关注的焦点,所有客户都在找寻降低能源成本,提高运营效率的解决方案。
我们拟对以交易中心网采用一个全新的能源管理架构设计方案,使IT 运营和设备能够测量和精确调整能源使用,以显著降低成本。旨在降低所有连接至思科网络的设备的能源使用,包括从IP 电话和无线接入点等POE设备,以后通过升级可以支持IP的建筑和照明控制器。利用基于智能网络的方案,使IT 和建筑物设施运营能够了解、优化和控制整个公司基础设施的功耗,并可潜在地影响任意用电设备。
3 重点技术介绍
3.1 虚拟交换系统VSS 1440技术
为什么应该关注虚拟交换系统(VSS)1440?
Catalyst 6500交换机上采用的虚拟交换系统技术为IT经理设立了一个新标准,能够帮助他们在构建永续、高度可用的状态化网络的同时,优化网络资源的使用。VSS将在数据中心接入层以及园区和数据中心分布层/核心层设计中发挥重要作用。
需要解决哪些问题?
传统的园区和数据中心网络是使用多层网络拓扑结构设计的。这些网络类型有以下缺点:
网络和服务器复杂,从而导致运营效率低、运营开支高。 无状态的网络级故障切换会延长应用恢复时间和业务中断时间。 使用率低下的资源降低了投资回报(ROI),提高了资本开支。 Cisco Catalyst 6500系列交换机虚拟交换系统(VSS)1440
32
Cisco® Catalyst® 6500系列交换机虚拟交换系统(VSS)1440是一种网络系统虚拟化技术,将两台采用了Virtual Switching Supervisor 720-10G VSS的Cisco Catalyst 6500系列交换机组合为单一虚拟交换机。在VSS中,这两个交换机中的管理引擎的数据面板和交换阵列能同时激活,因此总系统交换能力可达1440Gbps。
VSS成员通过虚拟交换机链路(VSL)连接。VSL在虚拟交换机成员之间使用标准万兆以太网连接(多达8条,以提供冗余性)。通过在Virtual Switching Supervisor 720-10G或WS-X6708-10G模块的任意端口上使用万兆以太网上行链路,即能形成VSL。除在VSS成员间进行控制面板通信外,VSL也能传输普通用户流量。
VSS支持所有采用集中或分布式(利用DFC3C或DFC3CXL)转发模式的Cisco Catalyst 6500系列交换机6700系列模块。
VSS 1440有哪些优势?
与传统的L2/L3网络设计相比,VSS 1440提供了多项显著优势。大体说来,其优势可归纳为以下三个主要方面:
VSS能够提高运营效率
单管理点,包括配置文件和单一网关IP地址(无需HSRP/ VRRP/GLBP)
o 多机箱EtherChannel® (MEC)创建了简单的无环路拓扑结构,不再
依靠生成树协议(STP)
o
33
o
底层物理交换机经由标准万兆以太网接口相连,在位置方面提供了灵活的部署选项
VSS能够优化不间断通信
机箱间状态化故障切换不会干扰需要使用网络状态信息的应用。凭借VSS,在一个虚拟交换机成员发生故障时,不再需要进行L2/L3重收敛,能在一秒内实现确定性虚拟交换机的恢复。
o 与基于生成树协议的收敛不同,使用EtherChannel(802.3ad或
PAgP)能在一秒内完成确定性L2链路恢复。
o
VSS能够将系统带宽容量扩展到1.4 Tbps
在冗余Cisco Catalyst 6500系列交换机上激活所有可用的L2带宽,在EtherChannel基础上进行精确的负载均衡。
o 为冗余数据中心交换机上的服务器网络接口卡(NIC)提供基于标准
的链路汇聚,实现最高服务器带宽吞吐率。
o
消除了因非对称路由引起的单播洪泛,减少了园区内流量的跳数,从而节省了带宽。
3.2 模块化IOS软件
Cisco IOS软件模块化
用于Catalyst 6500的Cisco IOS软件模块化通过在最需要网络可用性的环境中提供故障抑制和更快的故障恢复速度,为网络可用性树立了新的标准。这些环境包括网络中的各单故障点――从数据中心到企业配线间。
这项针对Catalyst 6500的创新可以让网络管理员在不影响网络可用性的情况下,逐步安装新的补丁,以满足迫切的需求――例如修复严重的安全漏洞。
而且,通过将这些功能与Catalyst 6500上的嵌入式事件管理器(EEM)的监控、自动响应功能结合,可以简化网络运营。
34
图1 CiscoIOS软件模块化的组成结构
优势
图2 软件模块化的优势
在思科的首要企业平台上率先推出!
Cisco IOS软件模块化可以通过动态地将模块化子系统组合到多个模块化运行进程中,增强Cisco IOS的功能
高可用性基础设施可以判断在发生故障时应当采取什么措施:重启进程还是切换到一个备用交换管理引擎 最大限度地缩短计划外停机时间
受保护内存:每个进程和相关子系统都“位于”一个单独的内存空间之中 故障抑制:发生在一个进程中的故障不会影响系统的其他部分。 可重启进程:如果处理器或者子系统进入某个异常状态时(例如,持续等
待另外一个进程发来的信号),用户可以根据操作要求,方便地自动或者手动重启受影响的进程。
最大限度地缩短计划内停机时间
35
子系统运行中软件升级(ISSU):因为可以针对每个漏洞安装补丁,而且
安装过程不会对正常的分组转发产生任何影响,所以代码验证和部署的速度将会大幅加快。
软件模块化的可用性
丰富的功能:在目前用于Catalyst 6500系列的Cisco IOS软件 12.2SX
版本的功能的基础上,软件模块化提供了很高的可用性和可管理性。 操作一致性:软件模块化为支持新的功能添加了一些新的命令。但是其他
的CLI、SNMP MIB和系统日志信息都与以前的Cisco IOS版本保持一致。 模块化进程:多个控制平面功能已被模块化,其中涵盖了一些最常用的功
能。模块化进程的例子包括(但不仅限于):
o o o o o o o o o o o
路由进程
互联网守护进程 原始IP处理 TCP进程 UDP进程 CDP进程
系统日志守护进程
所有嵌入式事件管理器组件 文件系统 介质驱动器 安装管理器
补丁安装支持:软件模块化将支持针对公开宣布的安全漏洞的补丁。补丁
将在维护包中提供,其中包含了多组补丁。
支持的配置:用于Catalyst 6500的Cisco IOS软件模块化将于2005年
第四季度推出,它将支持Catalyst 6500 Supervisor Engine 720系统。对Catalyst 6500 Supervisor 32系统的支持将于2006年第一季度实现。 嵌入式事件管理器
嵌入式事件管理器(EEM)是对Cisco IOS基础设施的一项强大改进。根据预先定义的事件,它可以在本地系统上执行指定的操作。这些操作的触发事件和各个步
36
骤本身都可以利用工具命令语言(TCL)脚本设定。这使得用户可以自由地根据自己的需求定义触发事件和所采取的措施。
因为EEM是Cisco IOS基础设施的一部分,所以即使在与中央管理站的连接暂时中断时,它也可以独立执行任务。EEM的组成结构可以分为三个部分:
事件检测器 策略引擎
嵌入式事件管理器服务器
事件检测器可以被视为操作系统的不同部分中的传感器。这些事件检测器可以触发包含定制操作的脚本的执行。事件检测器可以根据CLI输入、计数器、资源阈值、计时器服务,SNMP和SYSLOG信息,以及路由协议事件等,发出事件信息。如需查看事件检测器的完整列表,请参阅EEM文档。
策略引擎的作用是将用户定义的策略绑定到系统中。策略引擎为此提供了两个界面:
TCL脚本 CLI应用小程序
策略引擎的工具命令语言(TCL)脚本提供了一个TCL界面。尽管系统中包含了一些预定义的脚本,但是网络操作人员可以利用TCP脚本界面添加一些他们自己的脚本,从而让系统按照他们自己的需要执行操作。可供执行的操作包括从收集指定命令的输出到对交换机的全面补丁管理的多项任务。
嵌入式事件管理器最终将所有这些部分组合到一起。事件检测器会将它们的输出发送到EEM服务器,而后者会利用策略引擎执行操作。
软件模块化和EEM的结合带来了更加强大的功能。EEM本身就是一个模块化进程,可以根据进程行为执行操作。例如,在进程崩溃时,相关信息(例如崩溃暂存信息和内存分配信息)会被存储在本地或者一个集中服务器,以便于分析崩溃原因。在此基础上,交换机会向网络管理员发出一个警报。管理员随后可以进行更加深入的分析,或者联系思科技术支持中心(TAC)。
37
3.3 EnergyWise智能电源管理
简介
为了应对能源成本、环境问题和政府规定等要求,市场对可持续发展的、“环保型”企业IT 运营的需求日益加大。测量功耗和控制能源输出的方法目前是全球企业关注的焦点,所有客户都在找寻降低能源成本,提高运营效率的解决方案。
EnergyWise 是一个全新的能源管理架构,使IT 运营和设备能够测量和精确调整能源使用,以显著降低成本。EnergyWise旨在降低所有连接至思科网络的设备的能源使用,包括从IP 电话和无线接入点等POE设备到支持IP 的建筑和照明控制器。它利用基于智能网络的方案,使IT 和建筑物设施运营能够了解、优化和控制整个公司基础设施的功耗,并可潜在地影响任意用电设备。
本白皮书介绍了企业可以怎样利用EnergyWise和思科网络更好地了解机构的用电情况,对其进行优化,以降低能源成本(见图1)。
图1 EnergyWise 优化和成本节省
传统IT 电源管理
今天,许多客户都非常关注如何降低与企业IT 设备有关的功耗成本。这通常包括比较设备效率、功耗和所需设备总量,除此之外,没有其他方法。企业专业人士缺乏检测所有网络连接设备功耗的整体方法。这是个复杂的问题,因为构建系统的责任是由传统的设施团队承担的,他们只管理供热、制冷和照明资源。思科网络能源成本节省优化能源许多客户意识到,为控制供热、制冷和照明而保留
38
不同网络的成本非常高,因此他们将建筑物控制设备与IP融合,并采用思科网络。这两个团队间的交互通常发生在调整网络配线间大小或实施冗余电源系统时。许多时候,配线间的电力基础设施都过大,因为对设备在真实操作环境下的真实功耗并不清楚。这经常导致安装过大的不间断电源(UPS)和过多的制冷设备。配线间的这一不正确的设计提高了初始部署成本,导致系统运营效率长期不足。如能了解包括交换机、路由器、IP 电话、PC、监视摄像头和无线接入点在内的IT 相关设备功耗,大多数客户都能从这些现实的信息中获益。EnergyWise为IT 专业人士了解用电情况,调整能源成本,提供了一个全新的方案。 EnergyWise 电源管理
EnergyWise 是一个电源管理架构,旨在测量功耗和优化电源使用,从而实现企业有效供电。IT 专业人士能够快速地优化建筑物中的功耗,实现即时的成本节省和明确的投资回报。
EnergyWise 能够测量当前的功耗,自动采取行动优化用电水平,并建议要实现成本节省应消耗的能源量。在了解功耗后,即可利用Cisco EnergyWise网络协议提供的能源使用命令和控制功能进行调节。通过每个配线间、建筑物楼层或园区建筑物功耗的实际浏览功能,每个地点的功耗能够轻松地显示出来(见图2)。
图2 EnergyWise 优化的供电和验证
39
端到端EnergyWise 智能
EnergyWise 网络被用于智能和主动地管理功耗,它还能统一地实施策略,以提供较低的功耗。通过提供耗电的浏览功能,以及根据业务需求,将设备从永续运行转换至永续可用,EnergyWise能够监控、管理和降低能源使用。通过将思科网络用于实现可扩展性和通信,EnergyWise 提供了控制功能和协调的电源管理功能。例如,当员工步入建筑物时,一系列事件能够提高建筑物运营效率。员工的胸牌访问能够触发办公室电话通电、确保无线接入点覆盖、计算机启动和办公室温度调节至适当的数值。因此,通过在不需要时关闭组件,使EnergyWise 的用户节省了能源。
在许多情况下,为建筑物中的各类设备配备了专用的独立管理系统,一个管理系统用于建筑物控制,一个用于电话,另一个用于接入点。今天,大量系统需要集成在一起,以便对事件的电源管理进行协调。不同系统的集成既难以实现,也并非经常使用。EnergyWise 网络策略能够控制设备的能源管理,无需将一系列系统集成在一起,并相互协调。上述方案的一项主要优势就是协调,思科网络能够作为信息代理,允许系统以同步的方式进行通信,既降低了复杂性和成本,也确保了节省功耗。图3 所示为EnergyWise 支持的一个典型思科网络,包括管理层和终端。
图3 EnergyWise 支持的网络
40
EnergyWise 成本节省
利用EnergyWise 实现的成本节省是非常显著的。在许多国家,企业节省能源是政府规定的,而如果确实节省了能源,则能够获得财政奖励。与当今典型的园区建筑物或分支机构相比,仅仅由控制IT用电设备所实现的节省就是非常可观的。自2009年1月27日起,客户将能在Cisco.com上,利用Cisco GreenCalculator 计算有关企业IT DS 的详细成本节省。 EnergyWise 的工作机理
EnergyWise 为用户提供了一个基于网络的架构流程,使其能够及时发现、监控、优化、建议和协调企业的能源需求。EnergyWise 是一个基于高度智能网络的解决方案,能够提供信
息,控制网络设备和终端间的功耗。 发现
该网络能够发现EnergyWise 能管理、监控其功耗,并采取控制功耗行为的设备。Energy-
Wise支持的终端能够直接与思科交换机和路由器通信,交流电源使用情况,并按照一天中的时间段策略在某些时间段丢弃负载。EnergyWise 网络协议能够利用独特的邻接关系功能,定位和列出连接到思科网络的设备的功耗。EnergyWise 网络协议类似于IP 路由协议,允许网络利用网络级的方案和查询机制快速找寻功耗。设备间存在一种母子关系,即一台设备能够为邻近设备提供所需电量。就供热、通风和空调(HVAC)控制器报告所连接空气处理器的功耗而言,这一机制可能是有价值的。 监控
EnergyWise能够利用一种独特的域命名系统从一组设备中查询信息,远比当今现行的传统网络管理功能要简单。思科交换机有一个管理界面,因此,IT或设备应用软件能够通过网络以一种智能的方式进行通信。该管理界面利用标准CLI、SNMP或TCP,支持思科和第三方
41
管理系统对网络基础设施和所连设备的功耗进行监控、优化和协调。 优化
EnergyWise能够应用时间策略控制功耗。这些策略能够根据设备类型、设备位置、设备优先级和其他参数来实施。EnergyWise协议中设置有优先级和用电水平,支持终端根据基于
网络的信号做出精确调整。设备的优先级使EnergyWise系统能够了解一台设备是否应该受信号的影响而优化功耗。 最高优先级设备不会丢弃负载,而低优先级设备则能关闭或降低功耗。功率电平使EnergyWise系统能够告诉设备它所应达到的功耗状态。例如, EnergyWise管理系统发送的信息将把低优先级设备调整至睡眠状态,而拥有高优先级的IP 电话则不会关闭。通过节能以及调整配线间规模和建立适当数量的资源这些优化措施,能够节省成本,为客户提供长期和短期成本节省。 建议
EnergyWise查询机制能够在任意设定的时间为建筑物内客户的功耗和功耗调整提供建议。查询机制能够概述一组设备的功率或根据设备位置检索某个设备的功率信息。例如EnergyWise 能够提供一系列园区建筑物中所有休息室电话的功耗信息。EnergyWise 能够让客户了解,在不实际变更网络的前提下,改变网络中某些设备的用电水平所带来的能源节省。如果用电超出了客户规定的阈值,则自动生成报警。 调整
用户能够验证和更改EnergyWise 策略,确保企业的节能目标得以实现。在EnergyWise 中,利用可扩展框架,协调工作十分简便。Cisco EnergyWise支持的网络智能允许域中的一台交换机查询网络中一组设备的用电量。这一基于网络的查询机制提供了可扩展性,无需让管理系统直接联系所有终端。例如,思科交换机的一次查询能更改EnergyWise 域内所有IP 电话的优先级或获取其功耗信息。这一智能是由网络生成的,它了解连接的设备及其所处的位置,使查询结果能够
42
发送回提出请求的交换机和上传至管理工作站。EnergyWise 支持的所有设备都采用一种通用的信息格式进行交流,从而简化能源管理。借助管理系统和网络间、客户端间和网络设备间的身份验证功能,EnergyWise 维护网络安全(见图4)。
图4 EnergyWise 智能网络框架
EnergyWise:不仅限于IT
通过与其他思科产品和合作伙伴产品相结合,EnergyWise 能够扩展至通用架构,包括建筑物内所有能源使用设备的控制和优化。这些融合的系统包括供热、空调、照明、安全等。
EnergyWise 支持智能的负载管理;它实现了动态负载丢弃。凭借EnergyWise,客户能够监控和管理电网不稳定周期和用电高峰期的功率。EnergyWise 是向网络设备提供仪器工具所迈出的第一步,实现了“智能负载”。此举是非常有价值的,因为办公建筑消耗了美国大约三分之一的能源。电力占据了建筑中能源成本的近80%。
43
EnergyWise 是一个创新解决方案,通过降低整个公司基础设施的能源消耗,利用网络智能地推动公司的可持续发展,从而帮助客户积极地管理和降低功耗。EnergyWise能够充分利用网络的实力,发现、管理和降低能耗,削减能源成本。
4 产品描述
4.1 Catalyst6509E交换机
Cisco Catalyst 6506不但能为企业和电信运营商提供市场领先的服务、性能、端口密度和可用性,还能提供无与伦比的投资保护能力,包括:
最长的网络正常运行时间--利用Cisco IOS软件模块化、平台、电源、
交换管理引擎、交换矩阵和集成网络服务冗余性,提供1~3秒的状态化故障切换,提供应用和服务连续性统一在一起的融合网络环境,减少关键业务数据和服务的中断。
全面的网络安全性--将切实可行的数千兆位级思科安全解决方案集成
到现有网络中,包括入侵检测、防火墙、VPN和SSL。
可扩展性能--利用分布式转发架构提供高达400mpps的转发性能。 能够适应未来发展并保护投资的架构--在同一种机箱中支持三代可互
换、可热插拔的模块,以提高IT基础设施利用率,增大投资回报,并降低总拥有成本;
卓越的服务集成和灵活性--将安全、无线局域网服务和内容等高级服务
与融合网络集成在一起,提供从10/100和10/100/1000以太网到万兆以太网,从DS0到OC-48的各种接口和密度,并能够在任何部署项目中端到端地执行。
在端到端Cisco Catalyst 6500系列部署中的操作一致性
可部署在网络的任意地方--从配线间到核心网络、数据中心和WAN边缘 与Cisco 7xxx系列路由器系统使用相同的WAN端口适配器(PA),从而降
低备件配备和培训成本
44
用户可以自行选择所有交换管理引擎上支持的Cisco IOS软件和Cisco
Catalyst操作系统,确保顺利地从Cisco Catalyst 5000系列和Cisco 7500系列移植到Cisco Catalyst 6500系列 延长网络正常运行时间,提高网络永续性
提供分组丢失保护,能够从网络故障中快速恢复
能够在冗余交换管理引擎间实现快速的1~3秒状态化故障切换 提供可选、冗余的高性能Cisco Catalyst 6500系列Supervisor Engine
720、无源背板、多模块Cisco EtherChannel技术、IEEE 802.3ad链路汇聚、完全的IEEE 802.1s和热备份路由器协议/虚拟路由器冗余协议(HSRP/VRRP)高可用特性
采用Cisco IOS软件模块化的 Cisco Catalyst 6500系列通过演进式的
软件基础设施 改进,提高了运营效率,最大限度地缩短了停机时间。通过让模块化的Cisco IOS子系统作为独立进程运行,这个重要的创新可以: 通过可自行恢复的进程来最大限度地缩短计划外停机时间 通过子系统运行中软件升级(ISSU),简化软件改动
通过集成嵌入式事件管理器(EEM),实现进程级的自动策略控制 集成高性能的网络安全和网络管理
不需要部署外部设备,直接在6500机箱内部署集成式的千兆位网络服务模块,可简化网络管理,降低网络的总成本。这些网络服务模块包括:
千兆位防火墙模块--提供接入保护
高性能入侵检测系统(IDS)模块--提供入侵检测保护
千兆位网络分析模块--提供可管理性更高的基础设施和全面的远程监
控(RMON)支持
高性能SSL模块--提供安全的高性能电子商务流量终结
千兆位VPN和基于标准的IP安全(IPSec)模块--降低互联网和园区间
连接的成本
能感知网络内容和网络应用的第二到七层交换服务
45
集成化内容交换模块(CSM)能够为Cisco Catalyst 6500系列提供功能
丰富、高性能的服务器和防火墙网络负载均衡,以提高网络基础设施的安全性、可管理性和强大控制
集成化、多千兆位SSL加速模块与CSM结合在一起,能提供高性能的电子
商务解决方案
集成化、多千兆位防火墙和CSM能提供安全的高性能数据中心解决方案 基于网络的应用识别(NBAR)等软件特性可提供增强网络管理和带宽使用
控制机制 可扩展性能
利用分布式思科快速转发平台提供业界最高的LAN交换机性能--
400mpps
支持多种思科快速转发部署方式和交换矩阵速率,可为配线间、核心网络、
数据中心、广域网边缘部署以及电信运营商网络提供最优配置 多协议第三层路由可满足传统的网络要求,并能够为企业网络提供平稳的
过渡机制
为企业级和电信运营商级路由表提供硬件支持
(利用Cisco Catalyst 6500系列Supervisor Engine 720)硬件支持
IPv6,并提供无与伦比的高性能服务
为大型企业级和电信运营商级路由表提供硬件支持
硬件支持的MPLS提供了企业VPN服务,加速了与新型高速电信运营商的核心基础设施和城域以太网部署的顺利集成 ; 的数据、语音和视频服务
在所有Cisco Catalyst 6500系列平台上提供集成式IP通信
提供10/100和10/100/1000线卡,可借助子卡进行现场升级以支持以太
网供电
支持预标准思科馈线电源和基于标准的IEEE 802.3af以太网供电(PoE) 可为公共电话网(PSTN)接入、传统电话、传真和PBX连接提供高密度的
T1/E1和FXS的VoIP语音网关接口 支持高性能的IP组播视频和音频应用
46
为有效地部署可扩展的企业融合网络提供必备的集成管理功能 提供大型关键业务配线间、核心企业网络和分发网络需要的端口密度和接
口类型
每台设备可提供576个10/100/1000M铜线千兆位端口或1152个10/100
以太网端口
率先推出业界第一个96端口10/100 RJ-45模块,配备对802.3af PoE
的可选、现场可升级支持 提供多达192个千兆以太网端口
率先推出业界第一个万兆以太网、通道化OC-48密集OC-3 POS 通过在Cisco Catalyst 6500系列FlexWAN线卡上使用Cisco 7xxx系列
端口适配器提供投资保护 ,支持从T1/E1到OC-48 的WAN接口 提供与其它核心路由器兼容的高速WAN、ATM和SONET接口 通过单一设备实现WAN汇聚以及园区和城域连接管理 提供最高投资保护
高度灵活的模块化架构,在同一机箱内支持多代模块互操作 可升级的交换管理引擎能在将来添加第三层路由或转发功能
所有交换管理引擎均支持Cisco IOS软件和Cisco Catalyst操作系统软
件
10/100 Mbps和10/100/1000 Mbps以太网模块具有可现场升级的馈线电
源,提供了可扩展的IP电话和无线计算 在部署选项中,将不断添加新服务模块
包括Cisco Catalyst 6500系列网络安全、内容交换和语音功能 未来的模块将提高性能、增加端口密度并包括更多服务
4.2 VS-S720-10G引擎
在硬件中采用了万兆以太网上行链路和IPv6的Cisco® Catalyst® 6500系列Virtual Switching Supervisor Engine 720 在业界首开了先河。这款全新的管理引擎结合了高密度上行链路、系统虚拟化、更高吞吐率和可扩展性能及丰富的
47
IP特性集。它是Cisco VSS 1440虚拟交换系统的一个关键组件,能够提供高可用性、出色运营效率和更高带宽,且部署十分简便。
配备万兆以太网上行链路的Cisco Virtual Switching Supervisor Engine 720具有一个新转发引擎,将其上一代产品,即Cisco Catalyst 6500系列Supervisor Engine 720的所有功能,与系统虚拟化和更高吞吐率集成在一起。在提供新特性的同时,配备万兆以太网上行链路的Cisco Virtual Switching Supervisor Engine 720还支持全部三代的Cisco Catalyst 6500系列接口和服务模块,继续为思科客户提供了投资保护。
Cisco Virtual Switching Supervisor Engine 720包括:
2个基于X2的万兆以太网端口,适用于高密度接入层和汇聚区域,如数
据中心、局域网园区和骨干区域等。
2个千兆以太网小型可插拔(SFP)端口和1个10/100/1000千兆以太网
端口,提供更高灵活性。即使是在冗余配置中,Cisco Virtual Switching Supervisor Engine 720中的所有链路也能同时激活,从而将管理引擎的吞吐率从48Mpps提高到82Mpps。因此,IPv4流量的总系统吞吐率能增至450Mpps,IPv6流量的总系统吞吐率能增至225Mpps。
凭借增强的阵列功能,能在一秒内完成故障切换,从而快速切换到备用管
理引擎。配备万兆以太网上行链路的Cisco Virtual Switching Supervisor Engine 720需要Cisco IOS® 软件的支持。
此外,配备万兆以太网上行链路的Cisco Virtual Switching Supervisor Engine 720继续提供基于硬件的特性集,支持传统IP转发、L2和L3 MPLS VPN和MPLS以太网(EoMPLS)以及服务质量(QoS)和安全特性。
图1 Cisco Virtual Switching Supervisor Engine 720的特性
48
图2 使用Cisco VSS 1440实现系统虚拟化
使用Cisco VSS 1440实现系统虚拟化 核心上游和下游邻居将把VSS看作单一L2交换节点或单一L3路由节点,从而层 减少L2/L3控制协议流量 分布单管理点 层 管理员将使用单管理点配置和管理VSS,这其中包括用于两台物理交换机的单一整合配置文件 接入多机箱EtherChannel提供链路捆绑,来端接这两台物理Cisco Catalyst 6500层 机箱 在其中一台交换机发生问题时,即使链路捆绑实际上是在两台机箱上终接的,也能看作仅在另一台交换机上终接。 VSS 1440的系统虚拟化技术将多个Cisco Catalyst 6500系列交换机整合为单一虚拟交换机,将系统带宽容量扩展到1.4 Tbps。该创新有助于弥补IT资源分配缺口和应用集成缺口,改进思科服务导向网络架构(SONA)和思科园区通信网
49
络(CCF)框架。Cisco VSS 1440,与作为关键实施组件的720-10G-VSS一起,为客户网络提供了以下优势:
提高运营效率:Cisco VSS 1440使用多机箱EtherChannel,无需再进行
HSRP/VRRP/GLBP配置,允许客户使用基于标准的汇聚机制,在冗余交换机上组合服务器网络接口卡(NIC)。因为多个Cisco Catalyst 6500系列交换机被看作一个虚拟交换机,管理开销至少降低了50%。使用Cisco VSS 1440后,每个VLAN只需一个网关IP地址,而现在每VLAN则需要三个IP地址。
Cisco VSS 1440非常灵活,能部署在多个不同的地理位置。CiscoWorks将两个Cisco Catalyst交换机作为单一虚拟交换机,进一步简化了Cisco VSS 1440的管理。
优化不间断通信:Cisco VSS 1440使用多机箱EtherChannel进行链路故
障切换,无需进行L2和L3协议收敛。藉此,能在一秒内实现确性虚拟交换机恢复,避免对依靠网络状态信息(如转发表信息、NetFlow、NAT、身份验证或授权)运行的应用造成干扰。
将系统带宽容量扩展到1.4 Tbps:通过使用冗余Cisco Catalyst 650系
列交换机上所有可用的L2带宽,提供自动、精确的负载均衡。Cisco VSS 1440消除了因园区中不对称路由造成的单播洪泛现象,并能最大限度地发挥虚拟交换机中的所有万兆以太网端口的作用。
使用现有多层交换架构:与许多新技术不同,Cisco VSS 1440使用客户
现有的Cisco Catalyst 6500系列投资,支持基于标准的万兆以太网连接,从而简化了部署。Cisco Catalyst 6500系列交换机间基于标准的万兆以太网连接支持灵活的连接距离。此外,CiscoWorks 局域网管理解决方案(LMS)管理工具将当前的交换机配置转变为更为简单的VSS 1440配置,也使部署更为简便。
提供高插槽效率:利用管理引擎中内置的两个基于X2的万兆以太网上行
链路,该系统节约了插槽,能支持更多集成服务或高密度机箱。
50
提高吞吐率:配备万兆以太网上行链路的Cisco Virtual Switching
Supervisor Engine 720能同时激活所有千兆以太网和万兆以太网链路。对于冗余系统(机箱中采用双管理引擎的系统)也是如此,因此将管理引擎的吞吐率提高到了82 Mpps。藉此,IPv4流量的系统吞吐率能增至450 Mpps,IPv6流量的系统吞吐率能增至225 Mpps。
增强永续性:配备万兆以太网上行链路的Cisco Virtual Switching
Supervisor Engine 720 包括交换矩阵功能,能在一秒内实现故障切换,从而更快速地切换到备用管理引擎。
表1 配备万兆以太网上行链路的Cisco Virtual Switching Supervisor Engine 720的特性 特性 配备万兆以太网上行链路的配备万兆以太网上行链路的Cisco Virtual Switching Cisco Virtual Switching Supervisor Engine 720 (PFC Supervisor Engine 720 (PFC 3C) 3CXL) 支持 支持 支持 Cisco VSS 1440 MAC 项 96,000 96,000 IP 路由 256,000 (IPv4); 128,000 1,000,000 (IPv4); 500,000 (IPv6) (IPv6) IPv4 路由 硬件中 硬件中 高达450 Mpps 高达450 Mpps IPv6路由 硬件中 高达225 Mpps 硬件中 高达225 Mpps L2桥接 硬件中 高达450 Mpps 硬件中 高达450 Mpps NetFlow项 128,000 256,000 MPLS 硬件中的MPLS支持L3 VPN 硬件中的MPLS支持L3 VPN和EoMPLS隧道的使用 和EoMPLS隧道的使用 多达1024个虚拟路由和转 多达1024个VRF,每系统发实例(VRF),每系统共共1,000,000条路由 256,000 条路由 GRE NAT 硬件中 硬件辅助 硬件中 硬件辅助
51
配备万兆以太网上行链路的Cisco Virtual Switching Supervisor Engine 720 凭借其硬件功能和支持,以及对千兆以太网和万兆以太网上行链路的混用,体现了出色灵活性,能满足网络各部分的要求。该管理引擎能用于多种应用,包括:
企业骨干(核心层/分布层)和数据中心:配备万兆以太网上行链路的
Cisco Virtual Switching Supervisor Engine 720提供了高密度上行链路、系统虚拟化、增强安全性、丰富的QoS,以及可扩展的千兆以太网和万兆以太网性能,适用于企业核心层/分布层应用和数据中心。 园区网接入、以太网广域网和城域以太网:配备万兆以太网上行链路的
Cisco Virtual Switching Supervisor Engine 720提供了强大的安全特性集。通过支持单键式AutoSecure、CPU限速、多路径uRPF 和多种802.1x扩展等特性,强化了系统安全性。对于基于硬件的QoS机制、基于硬件的GRE隧道和访问控制列表 (ACL)的广泛特性支持,能帮助客户构建高性能、特性丰富的园区网络、城域汇聚网络和各种广域网边缘网络。 配备万兆以太网以太网上行链路的Cisco Virtual Switching Supervisor Engine 720简化了万兆以太网移植,通过支持Cisco VSS 1440和将系统带宽扩展到1.4 Tbps,提供了系统虚拟化优势。Cisco Virtual Switching Supervisor Engine 720支持所有Cisco Catalyst 6500系列接口模块类型(典型、CEF256、dCEF256和CEF720),且提供对于MPLS和IPv6的硬件支持,使其成为所有网络地点的出色选择。配备万兆以太网上行链路的Cisco Virtual Switching Supervisor Engine 720能同时激活所有链路(包括冗余管理引擎链路),这在业界尚属首例,提供了更高转发性能(82 Mpps)和系统吞吐率,并经由VSS 1440实现了系统虚拟化。
表2配Cisco Virtual Switching Supervisor Engine 720的产品规格。 产品 规格 机箱 Cisco Catalyst 6503-E, 6504-E, 6506, 6506-E, 6509, 6509-E, 兼容6509-NEB-A, 6513 性 Cisco 7604, 7609, 7613 所需配备
E机箱支持 Cisco Virtual Switching Supervisor Engine 720 o 2500W AC 或 DC 电源 52
的风 非E机箱需配备: 扇架o 高速风扇 和最o 2500W AC或 DC电源 低电源 插槽在机箱中占用以下插槽: 要求 3插槽机箱:插槽1和2 4插槽机箱:插槽1和2 6插槽机箱:插槽5和6 9插槽机箱:插槽5和6 13插槽机箱:插槽7和8 软件兼容性 Cisco Catalyst 6500系列 o Cisco IOS 12.2(33)SXH 和更高版本 Cisco 7600系列 o Cisco IOS 12.2(33)SXH和更高版本 协议 L3路由协议,BGPv4,OSPF,IS-IS,RIP,分布式FIB交换,思科发现协议,ICMP 组播转发,PIM(稀疏和密集模式), (S,G), (*,G), 在硬件中支持双向PIM 全面的MPLS支持 思科群组管理协议和互联网群组管理协议(IGMP)侦听 内存 Cisco Virtual Switching Supervisor Engine 720 3C分别为路由处理器和交换处理器提供1 GB DRAM Cisco Virtual Switching Supervisor Engine 720 3CXL分别为路由处理器和交换处理器提供1 GB DRAM 为交换处理器提供1 GB紧凑型闪存,为路由处理器提供64 MB引导闪存 存储选项 上行链路端口 控制台端口 USB端口 可靠
可擦除存储:256 MB, 512 MB, 1 GB (紧凑型闪存) 2个万兆光(X2)端口,2个千兆以太网SFP端口,1个可选10/100/100 RJ-45端口 1个 (RS-232) 1个主机和1个设备端口 虚拟交换系统(VSS) 53
性和可用性 快速软件升级 RPR+ 状态切换 + 不间断转发(SSO + NSF) 在线增删(OIR)热插拔 快速阵列切换 MIB MPLS LDP MIB, MPLS LSR MIB, MPLS-TE MIB, MPLS VPN MIB;如需了解更多信息,请参见软件版本说明 如需了解更多信息,请浏览以下MIB:http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml 网络CiscoWorks 管理 物理 (H x W x D): 1.6 x 15.3 x 16.3 in. (4.0 x 37.9 x 40.3 cm) 规格 重量:11.5 lb; 12.5lb(带光端口和SFP端口) 功耗 Cisco Virtual Switching Supervisor Engine 720 3C (包括PFC3C): 338W Cisco Virtual Switching Supervisor Engine 720 3CXL (包括PFC3CXL): 363W 环境参数 工作温度: 32到104°F (0到40°C) 存储温度: –40到158°F (–40到70°C) 工作相对湿度,非冷凝:10到90% 非工作相对湿度,非冷凝:10到95% MTBF: 85,000小时(已证实) FCC Part 15 (CFR 47) Class A ICES-003 Class A EN 55022 Class A CISPR 22 Class A AS/NZS 3548 Class A VCCI Class A EN 55024 EN300 386 EN 50082-1 EN 61000-3-2 EN 61000-3-3 EN 61000-6-1 CISPR24 UL 60950 54 符合的EMI和EMC 法规 符合
的安全法规 CAN/CSA-C22.2 NO. 60950 EN 60950 IEC 60950 表3列出了Cisco Virtual Switching Supervisor Engine 720的订购信息。如需订购,请访问思科订购主页。
表3 订购信息 产品编号 产品说明 VS-S720-10G-3C(=) 配备2个万兆以太网端口和MSFC3 PFC3C的Cisco Catalyst 6500系列 Virtual Switching Supervisor Engine 720 VS-S720-10G-3CXL配备2个万兆以太网端口和MSFC3 PFC3C XL 的Cisco (=) Catalyst 6500系列Virtual Switching Supervisor Engine 720 WS-F6K-PFC3CXL= Cisco Catalyst 6500 系列 Supervisor Engine 720 PFC-3CXL X2-10GB-LR 10GBASE-LR X2模块 X2-10GB-SR 10GBASE-SR X2模块 X2-10GB-ER 10GBASE-ER X2模块 X2-10GB-LX4 10GBASE-LX4 X2模块 X2-10GB-CX4 10GBASE-CX4 X2模块 GLC-T 1000BASE-T SFP GLC-BX-D 1000BASE-BX SFP 1490NM GLC-BX-U 1000BASE-BX SFP 1310NM GLC-LH-SM 千兆以太网SFP, LC连接器, LX/LH收发器 GLC-SX-MM 千兆以太网SFP, LC连接器, SX收发器 GLC-ZX-SM 1000BASE-ZX SFP MEM-C6K-CPTFL1G Cisco Catalyst 6500系列Supervisor Engine 720/Supervisor Engine 32 1GB紧凑型闪存 MEM-C6K-CPTFL512M Cisco Catalyst 6500系列Supervisor Engine 720/Supervisor Engine 32 512 MB紧凑型闪存 MEM-C6K-CPTFL256M Cisco Catalyst 6500 系列Supervisor Engine 720/Supervisor Engine 32 256 MB紧凑型闪存 4.3 Catalyst3750交换机
思科新推出的Cisco Catalyst 3750系列交换机是一个创新的产品系列,它结合业界领先的易用性和最高的冗余性,里程碑地提升了堆叠式交换机在局域网中的工作效率。这个新的产品系列采用了最新的思科StackWise技术,不但实现高达32Gbps的堆叠互联,还从物理上到逻辑上使若干独立交换机在堆叠时集成在
55
一起,便于用户建立一个统一、高度灵活的交换系统--就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。
对于中型组织和企业分支机构而言,Cisco Catalyst 3750系列可以通过提供配置灵活性,支持融合网络模式,已经自动配置智能化网络服务,降低融合应用的部署难度,适应不断变化的业务需求。此外,Cisco Catalyst 3750系列针对高密度千兆位以太网部署进行了专门的优化,其中包含多种可以满足接入、汇聚或者小型网络骨干网连接需求的交换机。
图1 Cisco Catalyst 3750系列交换机
配置Cisco Catalyst 3750G-24TS--24个以太网10/100/1000端口和4条SFP上行链路
Cisco Catalyst 3750G-24T--24个以太网10/100/1000端口
Cisco Catalyst 3750-48TS--48个以太网10/100端口和4条SFP上行链路 Cisco Catalyst 3750-24TS--24个以太网10/100端口和2条小型可插拔(SFP)上行链路
Cisco Catalyst 3750系列可以使用标准多层软件镜像(SMI)或者增强多层软件镜像(EMI)。SMI功能集包括先进的服务质量(QoS)、速率限制、访问控制列表(ACL)和基本的静态和路由信息协议(RIP)路由功能。EMI可以提供一组更加丰富的企业级功能,包括先进的、基于硬件的IP单播和组播路由。
思科StackWise技术--可堆叠弹性的新标准
思科StackWise技术是一种针对千兆位以太网优化的、先进的堆叠架构。该技术的设计目的是及时地对设备添加、移除和重新部署做出反应,同时保持稳定的性能。
56
利用特殊的堆叠互联电缆和堆叠软件,思科StackWise技术最多可以将9台单独的Cisco Catalyst 3750交换机连接到一个统一的逻辑单元中。堆叠相当于一个单一的交换单元,由一个从成员交换机中选出的主交换机管理。主交换机可以自动地创建和升级所有的交换信息和可选的路由表。一个工作中的堆叠可以在不中断服务的情况下,添加新的成员或者移除旧的成员。主要特性和优点
可用性--不中断的第二层和第三层性能
Cisco Catalyst 3750系列可以提高可堆叠交换机的可用性。每个交换机可以充当主控制器和转发处理器。堆叠中的每台交换机都可以充当一个主交换机,从而为网络控制创建了一种1:N的可用性机制。在某个单元发生故障时(尽管发生这种情况的可能性很小),所有其他单元都可以继续转发流量和保持正常运行。
便于使用--\"即插即用\"配置
一个工作中的堆叠可以自行管理和配置。在用户添加或者移除交换机时,主交换机会自动地更新所有的路由表,及时地反应堆叠结构的变化。升级信息将同时发送给堆叠的所有成员。
可扩展性--快速以太网到千兆位以太网
Cisco Catalyst 3750系列最多可以将9个交换机堆叠在一起,构成一个统一的逻辑单元,其中总共包含468个以太网10/100端口或者252个以太网10/100/1000端口。各个10/100和10/100/1000单元可以根据网络的需要任意组合。
混和搭配的交换机类型--根据您扩建网络的速度支付相应的费用
堆叠可以由Cisco Catalyst 3750交换机的任意组合构成。需要混用10/100和10/100/1000端口的客户可以逐步地发展接入环境,即只为他们需要的功能付费。
智能组播--将融合网络的效率提高到一个新的水平
利用思科StackWise技术,Cisco Catalyst 3750系列可以为组播应用(例如视频)提供更高的效率。每个数据分组只需要在堆叠互联上发送一次,从而可以为更多的数据流提供更加有效的支持。
出色的服务质量--覆盖堆栈和线速
57
Cisco Catalyst 3750系列可以提供千兆位以太网速度和智能化的服务,从而可以保持所有数据的平稳传输--即使在十倍于正常网络速度时。业界领先的标记、分类和调度机制可以为数据、语音和视频流量提供业界最佳的性能--全部都以线速提供。
安全性--对接入环境的精确控制
Cisco Catalyst 3750系列支持一组针对连接性和接入控制、全面的安全功能,其中包括ACL、身份认证、端口级安全和基于身份识别的的、支持802.1x及其扩展的网络服务。
单一IP管理--多台交换机共享一个IP地址
每个Cisco Catalyst 3750系列堆叠都作为一个统一的对象进行管理,拥有一个单一的IP地址。单一IP管理可以支持故障检测、虚拟LAN创建和更改、安全和QoS控制等功能。
大型帧--为要求很高的应用提供支持
Cisco Catalyst 3750系列可以在10/100/1000配置上支持大型帧,为那些需要使用很大数据帧的高级数据和视频应用提供支持。
支持Ipv6(需要未来软件升级来启动功能)--为将来做好准备
Catalyst 3750可以通过基于硬件的Ipv6路由,获得最大限度的性能。随着网络设备的增长和对于更大的地址空间和更高的安全性的需求变得日益迫切,Catalyst 3750将可以满足人们的需求。
管理选项
Cisco Catalyst 3750系列可以提供一个用于精确配置、出色的命令行界面(CLI)和用于根据预设模板进行快速配置的思科集群管理套件(CMS)软件,这是一种基于Web的工具。此外,CiscoWorks也可以在整个网络范围内对Cisco Catalyst 3750系列进行管理。
图2 Cisco Catalyst 3750系列
58
出色的可管理性 Cisco IOS CLI支持可以为所有的思科路由器和Cisco Catalyst桌面交换机提供通用的用户界面和指令集。 思科智能电源管理实施了IEEE 802.3af可选电源分类特性及一系列思科改进,对提供给每个以太网供电端口的电源进行细化控制。 服务保障代理(SAA)支持可以在整个LAN中进行服务级别的管理。 用于接入、路由和VLAN部署的交换数据库管理器模板让管理员可以根据针对部署的特定需求,方便地将内存增加到最大限度,以实现所需要的功能。 VLAN端口汇聚可以从任何一个端口创建,利用基于标准的802.1Q标记或者思科交换机间链路(ISL)VLAN架构。 每个交换机或者堆叠最多可以支持1024个VLAN,每个交换机最多可以支持128个生成树实例。 支持4000个VLAN ID。 语音VLAN可以通过将语音流量放在一个单独的VLAN上,简化电话安装步骤,实现更加方便的管理和诊断。 思科VTP可以在所有交换机中支持动态的VLAN和动态的端口汇聚配置。 CGMP服务器功能让一个交换机可以充当客户交换机的CGMP路由器。需要EMI。 IGMPv3监听功能可以让客户端迅速地加入或者退出组播流,将带宽很高的视频流量只限制于发出请求的用户。 远程交换端口分析器(RSPAN)让管理员可以从一个第二层交换网络中的任何一台交换机远程监控同一个网络中另外一台交换机上的端口。 为了加强对流量的管理、监控和分析,内嵌远程监控(RMON)软件代理支持4个RMON群组(历史、统计、警报和事件)。 第二层跟踪路由程序可以通过确定某个分组从源到目的地所经过的物理途径,降低诊断难度。 所有九个RMON群组都可以通过一个RMON端口获得支持,
59
它允许用户从一个单一的网络分析器或者RMON监测器监控某个端口、某组端口或者整个堆叠的流量。 DNS可以通过用户指定的设备名称解析IP地址。 TFTP可以通过从一个集中地点下载升级软件,降低软件升级的管理成本。 NTP可以为内联网中的所有交换机提供准确的、统一的时间。 每个端口上的多功能LED可以显示端口状态;半双工和全双工模式;10BASE-T、100BASE-T和1000BASE-T指示,交换机等级状态LED可以用于显示系统、冗余电源、带宽的利用率,它们可以提供一个全面的、方便的可视管理系统。 思科网络助理是一个免费、基于Windows的用于,简化了用户数不超过250的网络的管理。它支持从Cisco Catalyst 2950到Cisco Catalyst 4506的范围广泛的Cisco Catalyst智能交换机。凭借思科网络助理,客户可管理Cisco Catalyst交换机,并启动思科集成多业务路由器(ISR)和Cisco Aironet WLAN接入点的设备管理器。 易于使用的图形化界面提供了集群和堆叠的拓扑图和前面板视图。 思科AVVID向导只需要用户输入少量信息,就可以自动地配置交换机,使其以最优的方式处理不同类型的流量:语音、视频、组播和高优先级数据。 它提供了一个安全向导,以限制未经授权的用户对于应用、服务器和网络的访问。 在Cisco Catalyst交换机上升级Cisco IOS软件只需单击鼠标即可完成。 思科网络助理支持多层功能配置,例如路由协议、ACL和QoS参数。 多设备和多端口配置功能让管理员可以通过同时设置多个交换机和端口的特性,节约大量的时间。 针对用户定制的界面让用户可以更改轮询周期、表格视图和其他设置。 警报通知功能可以针对网络故障和警报阈值自动发出电子邮件通知。 思科网络助理 思科快速设置 思科快速设置特性通过Web浏览器简化了交换机的初始配置,无需更多复杂的终端模拟程序和对于命令行界面(CLI)的了解。 Web界面允许没有丰富技术知识的人员简单、快速地设置交换机,从而降低了部署成本。 CiscoWorks
CiscoWorks网络管理软件可以提供基于单个端口、单个交换60
支持 机的管理功能,为思科路由器、交换机和集线器提供一个通用的管理界面。 SNMP v1、v2c和v3,以及Telnet接口支持,可以提供全面的段内管理。一个基于CLI的管理控制台可以提供精确的段外管理。 Cisco Discovery Protocol 1和2可以建立一个能够自动发现交换机的CiscoWorks网络管理基站。 CiscoWorks LAN管理解决方案支持Cisco Catalyst 3560系列。
61
因篇幅问题不能全部显示,请点此查看更多更全内容