?？谙愀窭锢瓏e館網(wǎng)絡系統(tǒng)建議設計方案

1、?？谙愀窭锢瓏e館網(wǎng)絡系統(tǒng)建議設計方案廣州市曉通網(wǎng)絡科技有限公司二O一O年十二月目錄1引言11.1賓館介紹11.2設計要求11.3設計原則12設計內容22.1總體設計要求22.2局域網(wǎng)設計32.3網(wǎng)絡設計32.4數(shù)據(jù)交換網(wǎng)絡4核心交換區(qū)4互聯(lián)網(wǎng)接入?yún)^(qū)5辦公區(qū)5客房區(qū)52.5無線部署5輕型接入點協(xié)議6集中型無線局域網(wǎng)控制器73用戶認證103.1有線用戶認證103.2無線用戶認證11802.1x 概述11可擴展驗證協(xié)議 (EAP) 驗證類型12數(shù)據(jù)保密144產品介紹144.1Catalyst 4500141 引言1.1 賓館介紹?？谙愀窭锢瓏e館位于海南省?？谑?，古樸的建筑屹立于椰林之中，面朝蔚藍

2、大海，潔白的沙灘。建筑面積6000，建筑的古典氣息與大自然渾然一體,室內設計結合新古典主義的設計手法并將大自然的元素融入其中，追求尊貴、典雅，體現(xiàn)低調奢華裝飾效果，使之成為海南省最高標準的政務酒店。?？趪e館位于?？谑行阌^(qū)濱海大道256號，北側臨海地塊，建筑用地面積約84865.6平方米（約130畝），總建筑面積為75314.69平方米。由主樓及地下室（地下1層、地上10層）、總統(tǒng)樓（地下1層、地上3層）、6棟別墅（私家別墅3棟、客房別墅3棟）；海邊婚禮堂1棟（各樓層具體分布見平面圖所示）；按國際五星級酒店標準設計，由香格里拉國際酒店管理集團負責管理。1.2 設計要求根據(jù)本項目系統(tǒng)數(shù)據(jù)量及傳

3、輸?shù)奶攸c，采用技術先進成熟的千兆以太網(wǎng)作為網(wǎng)絡的骨干，通過快速以太網(wǎng)實現(xiàn)10/100M到用戶桌面的交換速率，保證數(shù)據(jù)有效和可靠傳輸，并且還具有良好的擴展性，同時滿足今后骨干網(wǎng)絡平滑升級到萬兆。網(wǎng)絡中還應采用先進的網(wǎng)管系統(tǒng)，實現(xiàn)信息流程的科學管理，使整個網(wǎng)絡的效率達到最佳狀態(tài)；采用流行的TCP/IP協(xié)議，同時可以對網(wǎng)絡設備進行監(jiān)控管理。同時采取各種有效的方法最大限度保證網(wǎng)絡中心的數(shù)據(jù)安全性，特別是對復雜廣泛的外部網(wǎng)絡訪問用戶的安全控制以及VPN的接入。1.3 設計原則?？谙愀窭锢瓏e館網(wǎng)絡設計，在總體上首先需滿足實用性、先進性、高可靠性、先進性、高安全性、可維護性、可擴展性和靈活性等原則。

4、16; 實用性充分滿足現(xiàn)在及將來5年內的各種需求，真正為?？谙愀窭锢瓏e館的日常運作、管理決策及信息交流提供強有力的支持。Ø 高可靠性一個實用的系統(tǒng)同時必須是可靠的，本設計通過合理而先進的網(wǎng)絡系統(tǒng)設計及軟、硬件的優(yōu)化選型，以保證系統(tǒng)的可靠性與容錯性，避免災難性事故發(fā)生。Ø 先進性本系統(tǒng)同時存在多種應用，數(shù)據(jù)交換將是大量的，因此要求系統(tǒng)具有很大的帶寬。本設計將充分應用現(xiàn)有成熟的先進技術，選用先進的設備，提供高性能的系統(tǒng)，采用先進的軟件技術，為永亨銀行提供可靠、高效的服務。Ø 高安全性在設計中，充分利用網(wǎng)絡硬件、網(wǎng)絡軟件及系統(tǒng)提供的各種安全措施，既保證用戶僅能高效、快

5、速地訪問權限范圍內的系統(tǒng)資源，安全訪問Internet，也能有效地阻止用戶之間的非法侵入、非授權訪問、互聯(lián)網(wǎng)上黑客的攻擊，保證各部門重要數(shù)據(jù)的安全性，同時，也保證Internet的私密性。Ø 可維護性系統(tǒng)開通后，維護工作將是一個長期的工作，考慮到管理維護的可視化、層次化及控制的實時性，本設計將充分利用相應的圖形化網(wǎng)絡管理技術，真正做到系統(tǒng)的所有資源狀況一目了然，能充分保證將設備故障控制在有限范圍，保證整個整個網(wǎng)絡正常運行。 同時，通過培訓建立、健全用戶的系統(tǒng)管理員隊伍等相應手段降低維護工作量及難度，從而達到保證運行可靠及節(jié)省費用的目的。Ø 可擴展性和靈活性網(wǎng)絡技術是不停發(fā)展

6、的，用戶的應用需求也是發(fā)展和變化的。在設計中，我們將充分考慮網(wǎng)絡應用系統(tǒng)擴展升級的潛在要求，以及對各種不同結構、不同協(xié)議、不同標準的網(wǎng)絡及設備的支持，保證本系統(tǒng)能適應網(wǎng)絡系統(tǒng)及應用系統(tǒng)的擴展和升級。在滿足上述一般網(wǎng)絡設計要求的基礎上，網(wǎng)絡系統(tǒng)還需要滿足可靠性、QoS、擴展性、網(wǎng)絡互聯(lián)、通信協(xié)議、網(wǎng)管與安全等方面的要求。2 設計內容本設計方案按照海口香格里拉國賓館的設計要求，分別描述?？谙愀窭锢瓏e館網(wǎng)絡系統(tǒng)的各個功能模塊。2.1 總體設計要求?？谙愀窭锢瓏e館計算機網(wǎng)絡系統(tǒng)設計要求要求分為兩套網(wǎng)絡：賓館管理網(wǎng)（內網(wǎng)）和客房寬帶網(wǎng)絡（外網(wǎng)），兩套網(wǎng)絡通過VLAN隔離。圖1是?？谙愀窭锢瓏e館網(wǎng)絡

7、系統(tǒng)的建議組網(wǎng)架構：圖2：網(wǎng)絡拓撲圖2.2 局域網(wǎng)設計采用國際標準TCP/IP協(xié)議，所選用的設備和技術符合國際標準；采用核心層、接入層兩層的部署模式，核心層與接入層采用千兆連接，接入層與終端信息點采用百兆連接，其中重要服務器直接與核心交換機連接；核心層采用千兆以太網(wǎng)技術，核心交換機冗余配置、與接入交換機之間實現(xiàn)鏈路容錯等功能，同時具備萬兆的平滑擴展能力；接入層要求支持堆疊，支持兩個千兆上行口，本期每臺接入交換機至少配置1個千兆上行口。2.3 網(wǎng)絡設計Internet信息交流：可通過多個運營商提供Internet接入服務，同時通過Internet實現(xiàn)資源共享、信息流轉、開展網(wǎng)上寬帶多媒體業(yè)務、W

8、EB信息發(fā)布、電子郵件和信息查詢等服務。2.4 數(shù)據(jù)交換網(wǎng)絡2.4.1 核心交換區(qū)?？谙愀窭锢瓏e館核心交換區(qū)作為整個網(wǎng)絡的核心，需要連接不同的功能區(qū)域，實現(xiàn)數(shù)據(jù)的高速轉發(fā)功能。由于性能是該功能區(qū)最關鍵的因素，所以必須選用高性能的三層交換機，用以高效轉發(fā)網(wǎng)絡數(shù)據(jù)。同時，作為網(wǎng)絡中最核心的設備，該設備是否正常運行直接影響所有區(qū)域間的互相訪問，如果核心網(wǎng)絡出現(xiàn)故障中斷的話，會直接影響酒店日常業(yè)務的開展，所以設備運行穩(wěn)定性也是選擇核心交換機的一個關鍵指標。根據(jù)網(wǎng)絡設計的原則，在網(wǎng)絡建設中，根據(jù)實際應用和長遠設計，為保證整個系統(tǒng)的高效率、高安全性、高可靠性和高穩(wěn)定性，來保障網(wǎng)絡的高可用性，網(wǎng)絡中心采用

9、兩臺思科高性能的路由交換機Catalyst4507R+E，設計為雙核心的互為備份容錯互連結構，各樓層交換機分別采用千兆雙鏈路上聯(lián)核心區(qū)，分別連接兩臺核心交換機。在核心層兩臺Catalyst4500之間做1000兆鏈路聚合，在全雙工的模式下可以達到4000兆，該功能把兩個設備之間的多條線路綁定成一條邏輯的線路，不僅提高了網(wǎng)絡帶寬，而且當其中一條線路失效以后，剩余的鏈路可以繼續(xù)進行所有數(shù)據(jù)的轉發(fā)，不影響網(wǎng)絡的正常運行，避免了回路的形成，還增強冗余備份和負載均衡。采用兩臺核心交換機Catalyst4500做雙機互為容錯備份充分體現(xiàn)了網(wǎng)絡系統(tǒng)的高可靠性，啟用HSRP、VRRP協(xié)議等技術；HSRP和VR

10、RP協(xié)議通過在兩臺互備份的交換機上對每個VLAN用戶提供一個統(tǒng)一的虛擬網(wǎng)關IP地址，相應VLAN用戶設置PC網(wǎng)關地址時就設置成為該虛擬網(wǎng)關IP，用戶工作時并不用關心真正負責數(shù)據(jù)傳輸?shù)慕粨Q機，在真正負責用戶數(shù)據(jù)傳輸?shù)慕粨Q機出現(xiàn)故障時HSRP協(xié)議可以自動地把用戶數(shù)據(jù)的轉發(fā)工作轉移到另一臺交換機，不僅實現(xiàn)了設備間的備份功能，而且不必更改用戶的網(wǎng)絡設置。雙核心雙鏈路交換系統(tǒng)不存在單點故障，是一種高級別交換完全冗余的容錯方案，這樣即使其中一條鏈路斷線或一個主干交換機發(fā)生故障，都能在用戶覺的極短的時間內啟用備份恢復數(shù)據(jù)傳遞，從而保證網(wǎng)絡系統(tǒng)的高可靠性和穩(wěn)定性?；谝陨峡紤]，我們建議選用兩臺Cisco 45

11、07R+E交換機組成?？谙愀窭锢瓏e館網(wǎng)絡的核心交換機。兩臺Cisco 4507R+E交換機通過HSRP協(xié)議，組成一臺邏輯交換機為其他設備提供數(shù)據(jù)傳輸服務，即使其中一臺核心交換機因為故障而中斷，另外一臺核心交換機仍然可以繼續(xù)提供數(shù)據(jù)傳輸服務，不會對?？谙愀窭锢瓏e館的業(yè)務造成影響。2.4.2 互聯(lián)網(wǎng)接入?yún)^(qū)酒店需要為客人及工作人員提供互聯(lián)網(wǎng)服務，在提供互聯(lián)網(wǎng)接入同時需要保證線路的可靠性，安全性，避免因為訪問互聯(lián)網(wǎng)而帶來的安全風險?；ヂ?lián)網(wǎng)接入會帶來眾多的安全風險，如網(wǎng)絡入侵，蠕蟲攻擊，病毒感染，釣魚攻擊等，為了保護酒店內部的運行安全，避免信息泄露，防止因為機器中毒對網(wǎng)絡造成的影響，我們建議選用Ci

12、sco ASA5500系列防火墻進行安全防護。為了保證互聯(lián)網(wǎng)訪問的穩(wěn)定可靠，建議使用兩個運營商的互聯(lián)網(wǎng)接入線路，保證互聯(lián)網(wǎng)接入的高可用性，避免因為一個運營商鏈路出現(xiàn)故障而影響使用。2.4.3 辦公區(qū)酒店辦公區(qū)為酒店辦公網(wǎng)提供接入，為辦公用戶提供訪問其他網(wǎng)絡的途徑，提供打印機及文件共享等服務。我們選擇使用Cisco 2960交換機為辦公區(qū)提供高可靠的接入。2.4.4 客房區(qū)客房區(qū)為客戶提供網(wǎng)絡接入服務，我們建議選擇使用Cisco 2960系列交換機作為客房的接入，配合無線接入?yún)^(qū)的無線覆蓋，這樣可以為客戶提供一個滿意的網(wǎng)絡接入環(huán)境。2.5 無線部署為了全面地滿足酒店的RF管理需求，思科設計了一個集

13、中、簡便的集中WLAN架構。它的核心組件是 “分離MAC”體系，即將對802.11數(shù)據(jù)和管理協(xié)議的處理，以及接入點功能分別部署于一個輕型接入點和一個集中WLAN控制器（下圖所示）。更加特別的是，對時間敏感的活動例如信標處理、與客戶端的握手、介質訪問控制（MAC）層封裝和RF監(jiān)控都是由接入點處理的。所有其他活動都由WLAN控制器處理，它需要具備整個系統(tǒng)的可見度。這包括802.11管理協(xié)議、幀轉換和橋接功能，以及對于用戶移動、安全、QoS和可能更加重要的是實時RF管理的系統(tǒng)級策略。 圖2：典型的MAC地址分離思科無線局域網(wǎng)控制器具備的實時RF管理對于思科輕型無線解決方案具有重要的意義。它是思科產品

14、的一項獨有特色。思科無線局域網(wǎng)控制器可以利用動態(tài)算法，創(chuàng)建一個完全自行配置、優(yōu)化和治愈的環(huán)境，讓思科WLAN適用于提供安全、可靠的業(yè)務應用。這是通過執(zhí)行下列RRM功能實現(xiàn)的：l 無線資源監(jiān)控l 動態(tài)信道分配l 干擾檢測和避免l 動態(tài)發(fā)射功率控制l 覆蓋盲區(qū)檢測和糾正l 客戶端和網(wǎng)絡負載均衡2.5.1 輕型接入點協(xié)議酒店無線解決方案采用LWAPP協(xié)議，即翻譯為輕型接入點協(xié)議，WLAN領域的趨勢是向集中智能和集中控制發(fā)展。使用一個WLAN控制器系統(tǒng)來為大量輕型接入點創(chuàng)建和執(zhí)行策略。通過集中這些設備的智能特性，整個無線企業(yè)中對WLAN運營至關重要的安全性、移動性、服務質量 (QoS)和其他功能都可得

15、到有效管理。此外，通過分離接入點和控制器的功能，IT人員能簡化管理、提高性能并使大型無線網(wǎng)絡更為安全。圖3：輕型WLAN系統(tǒng)集中RF管理和策略控制隨著更多供應商移植到層次化設計，并用輕型接入點構建更大型的網(wǎng)絡，市場上需要一種管理輕型接入點如何與WLAN系統(tǒng)通信的標準化協(xié)議。這也正是互聯(lián)網(wǎng)工程任務小組（IETF）最新規(guī)范草案，即輕型接入點協(xié)議（LWAPP）的作用所在。憑借LWAPP，能部署功能最多、具更高靈活性的大型多供應商無線網(wǎng)絡。2.5.2 集中型無線局域網(wǎng)控制器網(wǎng)絡方案中建議選用的思科無線局域網(wǎng)控制器適用于酒店無線局域網(wǎng)部署，并提供了系統(tǒng)級無線局域網(wǎng)功能，如安全策略、入侵防御、RF管理、服

16、務質量(QoS)和移動性。它們與Cisco 1140系列輕型接入點和思科無線控制系統(tǒng)(WCS)軟件共用，可支持關鍵的無線應用。從語音和數(shù)據(jù)服務到地點跟蹤，WLAN控制器提供了必要的控制能力、可擴展性和可靠性，以便IT經(jīng)理能構建從分支機構到主園區(qū)的安全、企業(yè)級無線網(wǎng)絡。思科無線局域網(wǎng)控制器可平穩(wěn)地集成入現(xiàn)有企業(yè)網(wǎng)絡中。它們使用輕型接入點協(xié)議（LWAPP），與Cisco 1140系列輕型接入點在任意第二層（以太網(wǎng)）或第三層（IP）基礎設施上通信。這種新型IETF標準有助于確保接入點和無線局域網(wǎng)控制器間的通信安全，可完全自動地支持重要的無線局域網(wǎng)配置和管理功能，從而實現(xiàn)經(jīng)濟有效的無線局域網(wǎng)運營。圖4

17、：思科無線控制器圖5：思科無線控制器部署方式思科無線局域網(wǎng)控制器使酒店能為支持關鍵業(yè)務應用的端到端無線局域網(wǎng)系統(tǒng)，創(chuàng)建和實施策略。多個WLAN控制器可自動相互發(fā)現(xiàn)，并在它們之間無縫協(xié)調WLAN服務。以這種方式，思科無線局域網(wǎng)控制器可作為單一無縫系統(tǒng)運行，提供一個有數(shù)千AP的可擴展WLAN網(wǎng)絡。從語音和數(shù)據(jù)服務到地點跟蹤，WLAN控制器提供了必要的控制能力、可擴展性和可靠性，以便IT經(jīng)理能構建安全的企業(yè)級無線網(wǎng)絡。Cisco 5500系列無線局域網(wǎng)控制器適用于大中型機構，這里推薦的WLC 5508帶有8個千兆以太網(wǎng)端口，可支持500個接入點。此外，每個5500 WLAN控制器均支持一個可選冗余電

18、源，以確保最高可靠性。所有思科WLAN控制器都配備了用于自適應實時RF管理的內嵌軟件。思科WLAN系統(tǒng)使用即將榮獲專利的無線資源管理(RRM)算法，來實時發(fā)現(xiàn)空中無線資源使用的變化并作出調整。這些調整以類似于路由協(xié)議為IP網(wǎng)絡計算最佳拓撲的方式，為無線網(wǎng)絡創(chuàng)建最優(yōu)拓撲。圖6：思科無線控制器部署方式思科無線局域網(wǎng)控制器所管理的特定智能RF功能包括：1、 動態(tài)信道分配802.11信道可根據(jù)不斷變化的RF情況進行調整，以優(yōu)化網(wǎng)絡覆蓋范圍和性能。2、 干擾檢測和避免該系統(tǒng)可檢測干擾并重新調整網(wǎng)絡，以避免性能問題。3、 負載均衡此系統(tǒng)對多個接入點提供了自動的用戶負載均衡，即使負載量很大，也能獲得最優(yōu)網(wǎng)絡

19、性能。4、 覆蓋盲區(qū)檢測和修復無線資源管理(RMM)軟件可發(fā)現(xiàn)覆蓋盲區(qū)，并嘗試通過調整接入點的功率輸出來修復它們。5、 動態(tài)功率控制該系統(tǒng)可動態(tài)調整各接入點的功率輸出，來適應不斷變化的網(wǎng)絡情況，以確保達到預期的無線性能和可靠性。無線局域網(wǎng)控制器支持實時應用思科無線局域網(wǎng)系統(tǒng)提供最佳性能來支持語音等實時應用。思科無線局域網(wǎng)控制器可迅速在接入點和多個控制器間切換，在不干擾客戶端服務的情況下平穩(wěn)移動。智能的隊列和爭用管理機制可高效管理無線頻譜空間。此外，思科無線局域網(wǎng)控制器在使用802.11i安全時，支持PKC，可提供實時性能和移動性。思科也支持兼容Wi-Fi多媒體(WMM)、基本符合新興IEEE

20、802.11e標準的QoS功能。一旦最終標準得到批準，通過一次軟件升級，即可完全符合最終標準。無線局域網(wǎng)控制器支持移動性思科無線局域網(wǎng)控制器使用戶可在接入點、交換機，甚或路由子網(wǎng)間漫游。無論用戶漫游到何處，安全和QoS上下文信息都一直跟隨著用戶，以確保移動不會影響性能、可靠性或保密性。思科無線局域網(wǎng)控制器無需對現(xiàn)有基礎設施或客戶端設備作任何修改，即可實現(xiàn)移動性。因此，思科無線局域網(wǎng)系統(tǒng)易于部署，其擁有和運營均經(jīng)濟高效。無線局域網(wǎng)控制器為企業(yè)提供可靠性思科為關鍵任務型無線網(wǎng)絡提供了最高水平的可靠性。在接入點發(fā)生故障時，無線局域網(wǎng)控制器可自動調整鄰近接入點的功率，以覆蓋故障接入點原來提供服務的區(qū)域

21、。在單個控制器發(fā)生故障時，接入點可自動找到一個備用無線局域網(wǎng)控制器，來繼續(xù)提供無線服務。思科無線局域網(wǎng)控制器能以N+1冗余拓撲部署，使企業(yè)在擴展其無線網(wǎng)絡的同時，確信他們不會發(fā)生硬件和軟件問題。只有思科無線局域網(wǎng)解決方案能使用戶不必降低可靠性，即能控制無線部署的成本。Cisco 4400系列支持冗余電源，確保即使發(fā)生了電源故障，也可保持系統(tǒng)運行。3 用戶認證3.1 有線用戶認證在傳統(tǒng)的局域網(wǎng)環(huán)境中，只要有物理的連接端口，未經(jīng)授權的網(wǎng)絡設備就可以接入局域網(wǎng)，或者是未經(jīng)授權的用戶可以通過連接到局域網(wǎng)的設備進入網(wǎng)絡。這樣給一些企業(yè)造成了潛在的cisco交換機安全威脅。802.1x協(xié)議與LAN是無縫融

22、合的。802.1x利用了交換LAN架構的物理特性，實現(xiàn)了LAN端口上的設備認證。在認證過程中，LAN端口要么充當認證者，要么扮演請求者。在作為認證者時，LAN端口在需要用戶通過該端口接入相應的服務之前，首先進行認證，如若認證失敗則不允許接入。在作為請求者時，LAN端口則負責向認證服務器提交接入服務申請?；诙丝诘腗AC鎖定只允許信任的MAC地址向網(wǎng)絡中發(fā)送數(shù)據(jù)。來自任何“不信任”的設備的數(shù)據(jù)流會被自動丟棄，從而確保最大限度的cisco交換機安全性。在802.1x協(xié)議中，只有具備了以下三個元素才能夠完成基于端口的訪問控制的用戶認證和授權。Ø 客戶端：一般安裝在用戶的工作站上，當用戶有上

23、網(wǎng)需求時，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序將會送出連接請求。Ø 認證系統(tǒng)：在以太網(wǎng)系統(tǒng)中指認證交換機，其主要作用是完成用戶認證信息的上傳、下達工作，并根據(jù)認證的結果打開或關閉端口。Ø 認證服務器：通過檢驗客戶端發(fā)送來的身份標識來判別用戶是否有權使用網(wǎng)絡系統(tǒng)提供的網(wǎng)絡服務，并根據(jù)認證結果向交換機發(fā)出打開或保持端口關閉的狀態(tài)。3.2 無線用戶認證思科無線解決方案可以通過MAC地址過濾、WEB認證以及EAP認證來實現(xiàn)對非法用戶的控制。擴展認證協(xié)議（EAP），是一個普遍使用的認證機制，它常被用于無線網(wǎng)絡或點到點的連接中。EAP不僅可以用于無線局域網(wǎng)，而且可以用于有

24、線局域網(wǎng)，但它在無線局域網(wǎng)中使用的更頻繁。當EAP被基于802.1x的網(wǎng)絡接入設備（諸如802.11a/b/g ，無線接入點）調用時，現(xiàn)代的EAP方法可以提供一個安全認證機制，并且在用戶和網(wǎng)絡接入服務器之間協(xié)商一個安全的PMK。該PMK可以用于使用TKIP和AES加密的無線會話。3.2.1 802.1x 概述它是一種通過認證保護網(wǎng)絡的端口訪問協(xié)議。此類型的驗證方法在無線環(huán)境中因該媒體的性質而特別有用。如果無線用戶通過 802.1x 網(wǎng)絡訪問驗證，接入點上會打開一個用于通信的虛擬端口。如果驗證不成功，則不會提供虛擬端口，并將阻斷通信。802.1x 驗證分為 3 個基本部分：請求者 - 在無線工作

25、站上運行的軟件客戶端 驗證者 - 無線接入點 認證服務器 - 一個認證數(shù)據(jù)庫，通常是一個 Radius 服務器（例如 Cisco ACS*、Funk Steel-Belted RADIUS* 或 Microsoft* IAS*）EAP (可擴展驗證協(xié)議) 用于在請求者（無線工作站）和驗證服務器（(Microsoft IAS 或其它）之間傳輸驗證信息。實際驗證有 EAP 類型定義和處理。作為驗證者的接入點只是一個允許請求者和驗證服務器之間進行通信的代理。802.1x身份驗證過程：驗證階段：針對本地數(shù)據(jù)庫校驗用戶名和密碼。校驗用戶身份后，開始授權過程。 授權階段：確定是否允許一個請求訪問一個資源。

26、一個 IP 地址被分配給該撥號客戶端。審計階段：收集資源利用的信息，用于趨勢分析、審計、會話時間收費或成本分配 圖5：802.1x認證過程應用哪一類 EAP 或是否應用 802.1x 取決于機構所需的安全級別和所需的額外管理和功能。此處的說明和比較表將幫助減少了解各種可用 EAP 類型的困難。3.2.2 可擴展驗證協(xié)議 (EAP) 驗證類型Ø 由于 WLAN 安全是非常必要，EAP 驗證類型提供了一種更好地保障 WLAN 連接的方式，經(jīng)銷商正在迅速開發(fā)和添加 EAP 驗證類型至他們的 WLAN 接入點。部分最常部署的 EAP 驗證類型包括 EAP-MD-5、EAP-TLS、EAP-P

27、EAP、EAP-Fast 和 Cisco LEAP。 Ø EAP-MD-5 (消息摘要) 質詢是一種提供基本級別 EAP 支持的 EAP 驗證類型。EAP-MD-5 通常不建議用于無線 LAN 執(zhí)行，因為它可能衍生用戶密碼。它僅提供單向驗證 - 無法進行無線客戶端和網(wǎng)絡之間的互相驗證。更為重要的是，它不提供衍生動態(tài)、按對話有限對等保密 (WEP)密鑰的方法。 Ø EAP-TLS (傳輸層安全) 提供為客戶端和網(wǎng)絡提供基于證書及相互的驗證。它依賴客戶斷和服務器方面的證書進行驗證，可用于動態(tài)生成基于用戶和通話的 WEP 密鑰以保障 WLAN 客戶端和接入點之間的通信。EAP-T

28、LS 的不足之處在于必須由客戶端和服務器端雙方管理證書。對于較大的 WLAN 安裝，則是比較重的任務。Ø EAP-TTLS (隧道傳輸層安全）是由 Funk Software and Certicom 開發(fā)的，作為 EAP-TLS 的擴展。此安全方法通過加密通道（或“隧道”）為客戶端和網(wǎng)絡之間提供基于證書的相互驗證，同時作為衍生動態(tài)及按用戶和對話的 WEP 密鑰。與 EAP-TLS 不同，EAP-TTLS 僅需要服務器方面的證書。 Ø EAP-FAST (通過安全隧道靈活認證) 是由 Cisco 開發(fā)的。相互驗證是通過 PAC （保護訪問資格）而非使用證書實現(xiàn)的，它可以通過

29、認證服務器進行動態(tài)管理。PAC 既可手動也可自動配備（一次配發(fā)）到客戶端。手動配備是通過磁盤或可靠的網(wǎng)絡分發(fā)方法配送到客戶端。自動配備是指帶內、以無線方式分發(fā)。Ø LEAP (輕型可擴展驗證協(xié)議) 是一種 EAP 驗證類型，主要用于 Cisco Aironet WLAN。它使用動態(tài)生成的 WEP 密鑰對數(shù)據(jù)傳輸進行加密，并支持相互驗證。至于其所有權，Cisco 已通過 Cisco Compatible Extensions 計劃，將 LEAP 授權給其它制造商許可使用。 Ø PEAP (受保護的可擴展驗證協(xié)議)通過 802.11 無線網(wǎng)絡提供了一種安全傳輸驗證數(shù)據(jù)的方法，包

30、括傳統(tǒng)的密碼保護協(xié)議。PEAP 通過使用 PEAP 客戶端和驗證服務器之間的“隧道”來實現(xiàn)。同競爭對手標準“隧道傳輸層安全”(TTLS) 一樣，PEAP 使用服務器單邊證書來驗證無線 LAN 客戶端，從而簡化了安全無線 LAN 的執(zhí)行和管理。Microsoft、Cisco 和 RSA Security 都開發(fā)了 PEAP。表2. 802.1x EAP閱讀上述討論和表格，不難得出以下結論：Ø MD5 不常用，因為它只執(zhí)行單向驗證，更重要的是它不支持自動分配和轉動 WEP 密鑰，無法減輕手動 WEP 密鑰維護的管理負擔。Ø TLS 非常安全，但需要在各個無線工作站上安裝客戶端證

31、書。維護 PKI 基礎結構時，除了維護 WLAN 本身以外，還需要其它管理方面的專門技術和時間。 Ø TTLS 通過與 TLS 建立通道來解決證書問題，除去了在客戶端安裝證書的麻煩。因此，此類型通常是首選項。TTLS 主要由 Funk 銷售，而且需為請求者和驗證服務器軟件付費。 Ø LEAP 歷史悠久，但先前由 Cisco 專有（僅與 Cisco 無線適配器一起使用），Cisco 已通過 Cisco Compatible Extensions 計劃，將 LEAP 授權給其它制造商許可使用。在 LEAP 用于驗證時，應執(zhí)行強密碼政策。 Ø EAP-FAST 現(xiàn)在可用

32、于不能實行強密碼政策和不想配置驗證證書的企業(yè)。最新的 PEAP 與 EAP-TTLS 的工作原理類似，不需要客戶端證書。PEAP 由 Cisco 和 Microsoft 提供支持，可以從 Microsoft 免費獲得。如果想要從 LEAP 轉換為 PEAP，Cisco 的 ACS 驗證服務器可以運行這兩種類型。3.2.3 數(shù)據(jù)保密數(shù)據(jù)保密是通過在傳輸前使用保密鍵對數(shù)據(jù)進行加密，然后在接收端再進行解密 (恢復普通數(shù)據(jù))而實現(xiàn)的。有線對等加密（WEP）提供的安全性較弱；因此，目前已開發(fā)出其他更好的保護無線數(shù)據(jù)的方法（如 WPA 和 WPA2）。Ø WPA*（Wi-Fi* 保護訪問）Wi-

33、Fi 聯(lián)盟在 2003 年底引入了此基于標準的解決方案，作為其應對 802.11i 修訂的要求，開發(fā)更穩(wěn)健的無線 LAN 安全解決方案的成果。WPA 包括 802.1x 認證和 TKIP 加密 (更強和更安全形式的 WEP 加密）。 Ø WPA2*（Wi-Fi 保護訪問 2）Wi-Fi 聯(lián)盟在 2004 年底發(fā)布了這一第二代 WPA 安全方案。像 WPA 一樣，WPA2 也包含 802.1x 認證。根據(jù) 802.11i 修訂，WPA2 使用高級加密標準（AES）保護數(shù)據(jù)保密。Ø WPA 個人和 WPA2 個人對于無認證服務器的小辦公室和家庭用戶而言，訪問授權是通過使用預共享

34、的密鑰（PSK）決定的。預共享密鑰是十六進制字符串或口令，接入點和所有客戶端間的預共享密鑰必須匹配。使用 WPA 個人或 WPA2 個人方法時，沒有可用的 802.1x 安全類型。4 產品介紹4.1 Catalyst 4500系列交換機Catalyst 4500E作為世界最暢銷的模塊化交換機，性能有了新的提升：Ø 2.6倍的性能提升，交換能力達到848Gbps，每插槽帶寬達48Gbps Ø IOS XE 操作系統(tǒng)的可擴展性Ø Flexible NetFlow技術提供更高性能的應用Ø 802.1ae TrustSec 的提供以太網(wǎng)的逐跳加密Ø 完

35、全的向后兼容性l 概述采用了 CenterFlex 技術的Cisco Catalyst 4500 系列交換機能夠通過安全、靈活、不間斷的通信，提供可以擴展的無阻礙L2-L4層交換，從而幫助部署了關鍵業(yè)務應用的企業(yè)、中小企業(yè)（SMB）和城域以太 網(wǎng)客戶實現(xiàn)業(yè)務永續(xù)性。由于 Cisco Catalyst 4500 能夠為企業(yè)配線間和SMB 接入/核心層提供先進的動態(tài)服務質量（QoS）功能和配置靈活性，因而能提供可以預測和擴展的高性能。硬件和軟件中的集成式永續(xù)特性有助于提高網(wǎng)絡可用 性，以提高勞動力的生產率和企業(yè)的盈利能力，并保證客戶成功。Cisco Catalyst 4500創(chuàng)新、靈活的集中式系統(tǒng)

36、設計有助于順利遷移到線速 IPv6 和萬兆以太網(wǎng)。幾代 Cisco Catalyst 4500 系列的靈活性、可擴展性以及向前和向后兼容性，延長了部署周期，提供了卓越的投資保護，并降低了總體擁有成本。Cisco Catalyst 4500 系列（圖1）包括四種機箱：Cisco Catalyst 4510R-E （10個插槽）、Cisco Catalyst 4507R-E（7個插槽）、Cisco Catalyst 4506-E （6個插槽）和 Cisco Catalyst 4503-E （3個插槽）。Cisco Catalyst 4500 系列采用統(tǒng)一的架構，并使用 能夠擴展到 388 個以太網(wǎng)

37、端口的現(xiàn)有Cisco Catalyst 4000 系列線路卡。由于 Cisco Catalyst 4500 E 系列能夠與現(xiàn)有 Cisco Catalyst 4000 和4500 系列線路卡兼容，因而擴展了在融合型網(wǎng)絡中部署的范圍。Cisco Catalyst 4500 系列包括“典型”管理引擎和線路卡，以及新開發(fā)的“E系列”管理引擎和線路卡。典型管理引擎和線路卡的每個線路卡插槽提供6千兆交換容量，轉發(fā)性能為 102Mpps。新開發(fā)的E系列管理引擎和線路卡提供很多增強特性，包括每個線路卡插槽24千兆交換容量，以及250Mpps的總轉發(fā)性能。圖6：Catalyst 4500機箱l 融合在當今競爭

38、異常激烈的商業(yè)環(huán)境中，由于融合型網(wǎng)絡能夠提高生產率和組織靈活性，并降低運營成本，因而能夠幫助各機構增強競爭優(yōu)勢。 將數(shù)據(jù)、語音和視頻集成在同一個IP網(wǎng)絡中，例如統(tǒng)一通信，要求交換基礎設施能夠分辨各種流量類型，并根據(jù)其獨特的要求進行管理。Cisco Catalyst 4500 系列提供的交換基礎設施與Cisco IOS® Software 結合在一起，能夠提供先進的不間斷服務和控制。l 安全的不間斷服務Cisco Catalyst 4500 系列為將要通過集成解決業(yè)務問題的所有應用提供網(wǎng)絡基礎設施。如果能夠利用集成式永續(xù)性擴展智能網(wǎng)絡服務，將能夠有效控制各種流量，而且只需要短時間的計

39、劃內和計劃外停機。Cisco Catalyst 4500 通過以下措施提供這種控制： 集成式永續(xù)性：由于 Cisco Catalyst 4500 系列采用了冗余管理引擎（一秒內故障切換）功能（Cisco Catalyst 4507R-E 和 4510R-E 交換機）、先進的容錯軟件、完全圖像不間斷的軟件升級服務（ISSU）、冗余風扇和1+1冗余電源，因而縮短了網(wǎng)絡停機時間。另外，所有 Cisco Catalyst 4500 系列機箱都采用了集成式以太網(wǎng)供電（PoE），從而簡化了設計，減少了統(tǒng)一通信的故障點數(shù)量。 高級安全性：對已獲專利的思科L2安全特性的支持有助于預防來自惡意服務器的攻擊以及通

40、過截獲密碼和數(shù)據(jù) 發(fā)動的“中間人”攻擊。另外，為消除惡意網(wǎng)絡攻擊者產生的流量，還支持L2-L4過濾和限速。 先進QoS：通過模塊化 QoS CLI（MQC）和多達64,000個 QoS 策略項，基于L2-L4的集成式QoS和流量管理功能能夠識別并優(yōu)先處理關鍵業(yè)務和時間敏感型流量。Cisco Catalyst 4500 系列可以利于基于主機、網(wǎng)絡和應用信息的輸入和輸出限速器等機制，對帶寬密集型流量實施整合和限速。 全面管理：Cisco Catalyst 4500 系列為所有端口的配置和控制提供基于 Web 的管理，以便集中管理關鍵網(wǎng)絡特性，例如可用性和響應能力。 l 可擴展的架構由于融合消除了獨

41、立的語音、視頻和數(shù)據(jù)基礎設施，因而降低了網(wǎng)絡的總體擁有成本，簡化了管理和維護。Cisco Catalyst 4500 系列的模塊化架構具有很高的可擴展性和靈活性，不需要部署多個平臺，從而降低了維護費用。為進一步延長客戶的網(wǎng)絡設備部署周期，Cisco Catalyst 4500 系列提供以下特性： 線路卡的向后兼容性：為增強功能而升級到新管理引擎之后，客戶可以靈活地重用原有線路卡，也可以升級到更高性能的線路卡，而不需要改動整個系統(tǒng)，從而延緩了資本投入的時間。 順利的技術遷移：客戶可以根據(jù)自己的進度順利遷移到線速 IPv6 或 10 千兆以太網(wǎng)。對任意數(shù)量的 IPv6 路徑同時部署 IPv4 和

42、IPv6 不會影響整個系統(tǒng)的線速路由能力。E系列管理引擎支持的 TwinGig 轉換器和 X2 模塊以及萬兆E系列線路卡，使客戶不需要執(zhí)行管理引擎或線路卡升級，就能夠使網(wǎng)絡性能從千兆以太網(wǎng)增加到10 千兆以太網(wǎng)。 為未來特性留出余量：Cisco Catalyst 4500系列架構配備了大量硬件資源，以支持未來特性，滿足用戶的未來網(wǎng)絡需求。只需對Cisco IOS Software作簡單的升級，就可以在不執(zhí)行整個系統(tǒng)升級的情況下發(fā)揮很多硬件特性的優(yōu)勢。 降低功耗：Cisco Catalyst 4500系列的功耗很低，因為它采用了集中式硬件架構設計。 l Cisco Catalyst 4500系列

43、的優(yōu)勢Cisco Catalyst 4500系列為企業(yè) 局域網(wǎng) 接入、小型骨干網(wǎng)、L3分布點和集成式SMB和分支機構提供先進的高性能解決方案。其優(yōu)點包括： 性能：Cisco Catalyst 4500 提供的高級交換解決方案不但能隨著端口的增加擴充帶寬，還采用了業(yè)內領先的應用專用集成電路（ASIC）技術，能夠提供線速L2-L3 10/100或千兆交換能力。由于L2交換提供模塊化管理引擎靈活性和全面的線路卡兼容性，因而能將性能擴展到 320Gbps和250Mpps。利用 Cisco Express Forwarding，L3-L4交換也可以擴展到320Gbps和250Mpps。交換性能與路由項或

44、支持的高級L3服務的數(shù)量無關。 為關鍵業(yè)務應用提供帶寬保護：利用 QoS 或安全特性，在部署 Cisco Catalyst 4500 系列管理引擎時，將不會降低轉發(fā)性能，Cisco Catalyst 4500 系列平臺將繼續(xù)以完全線速轉發(fā)。 端口密度：Cisco Catalyst 4500 系列能夠滿足機箱中 388個以太網(wǎng)端口的網(wǎng)絡組件連接要求。Cisco Catalyst 4500 系列支持從網(wǎng)絡邊緣直接到桌面計算機的業(yè)內密度最高的10/100/1000自適應、自協(xié)商千兆以太網(wǎng)。萬兆以太網(wǎng)上行鏈路端口支持高密度千兆以太網(wǎng)到桌 面部署和交換機到交換機應用。Cisco Catalyst 450

45、0 系列的可熱插拔、易于使用的模塊化交換解決方案不但能降低復雜性，還能容易地支持當今網(wǎng)絡中不斷變化的桌面環(huán)境。 以太網(wǎng)供電（PoE）：Cisco Catalyst 4500 系列為10/100或10/100/1000端口支持802.3af PoE 標準，以幫助客戶支持電話、無線基站、視頻攝像機及其他設備。利用 PoE，不需要提供新插座和昂貴的電路就能將設備放置在適合的位置。不僅如此，PoE還允許企業(yè)專門為關鍵設備配備一臺電源系統(tǒng)，以便整個系統(tǒng)都能得到不 間斷電源（UPS）備份的支持。 所有Cisco Catalyst 4500 系列 PoE 線路卡的每個端口都可以同時獲得15.4瓦（W）的功率

46、。這些卡不但支持IEEE標準，包括可選電源分類，還支持思科準標準電源實施方案，以保證與現(xiàn)有思 科供電設備的向后兼容性。這些卡與任何 Cisco Catalyst 4500 系列機箱和管理引擎都兼容。最重要的是，Cisco Catalyst 4500 系列提供的電源和附件能夠同時為任何完全加載機箱的每個端口提供15.4W功率。 管理引擎冗余性：為實現(xiàn)集成式永續(xù)性，Cisco Catalyst 4507R-E 和4510R-E 機箱支持1+1管理引擎冗余性。冗余管理引擎有助于縮短計劃內和計劃外網(wǎng)絡停機時間，改善業(yè)務連續(xù)性，并提高員工生產率。帶狀態(tài)化切換的不間斷轉發(fā) （NSF/SSO）能夠在管理引擎

47、切換過程中提供連續(xù)包轉發(fā)。NSF/SSO 能夠顯著提高L2或L3環(huán)境中的網(wǎng)絡可靠性和可用性。完全圖像ISSU為新線路卡、新電源、新特性或缺陷修復提供無影響的快速軟件升級，而且不會影響路由 過程，也不會使網(wǎng)絡不穩(wěn)定。即使 Cisco IOS Software 圖像正在升級或降級，IP語音也不會掉線。NSF/SSO 和 ISSU 對IP語音（VoIP）等關鍵業(yè)務應用非常重要。 投資保護：由于 Cisco Catalyst 4500 系列采用了靈活的模塊化架構，因而能夠為 局域網(wǎng) 接入或分支機構網(wǎng)絡提供經(jīng)濟高效的接口升級。如果客戶部署了配有老管理引擎的 Cisco Catalyst 4500 交換機

48、，但想提高性能和增強特性，可以容易地升級到 Cisco Catalyst 4500 系列 Supervisor Engine II-Plus、Cisco Catalyst 4500 系列 Supervisor Engine II-Plus-TS、Cisco Catalyst 4500 系列 Supervisor II-Plus-10GE、Cisco Catalyst 4000/4500 Supervisor Engine IV、Cisco Catalyst 4000/4500 Supervisor Engine V、Cisco Catalyst 4500 系列 Supervisor Engin

49、e V-10GE 或者 Cisco Catalyst 4500系列Supervisor Engine 6-E。由于Cisco Catalyst 4500 系列機箱之間的備件兼容性支持電源和交換線路卡的通用化，因而能降低總部署、遷移和支持成本。 功能上透明的線路卡：只需添加新的管理引擎，Cisco Catalyst 4500 系列系統(tǒng)就可以容易地將所有系統(tǒng)端口升級到更高交換功能。與遷移過程中需要執(zhí)行全面設備升級的傳統(tǒng)交換產品不同，該系統(tǒng)不需要更換老線路卡和布線就可以增 強所有系統(tǒng)端口的功能。這種架構優(yōu)勢延長了 Cisco Catalyst 4500 系列線路卡的有用部署時間。 一致的軟件架構：由

50、于采用了一致的 Cisco Catalyst 軟件和用戶界面，用戶可以利用掌握的知識，通過 Cisco Catalyst 2960、3560、4500 和 6500 系列交換機以及 Cisco Catalyst 3750 交換機的結合發(fā)展基礎設施。 Cisco IOS Software 網(wǎng)絡服務：Cisco Catalyst 4500 系列交換機提供能夠增強校園網(wǎng)網(wǎng)絡的成熟的企業(yè)級L2-L3特性。這些特性能夠滿足大中型企業(yè)的高級網(wǎng)絡需求，因為它們是多年來根據(jù)客戶的意見和建議改進的結果。 高級安全性：在 Cisco Catalyst 4500 系列上支持多種安全特性，例如 802.1x、訪問控制

51、列s表（ACL）、安全Shell（SSH）協(xié)議、單播RPF（uRPF）、端口安全性、動態(tài)ARP檢測（DAI）、IP Source Guard、控制平面限速、802.1x 不可訪問認證回避、802.1x 單向控制端口、MAC 認證回避、多域認證和專用虛擬局域網(wǎng)（PVLAN），以便增強網(wǎng)絡控制和靈活性。如果有選擇地或者全部采用這些特性，網(wǎng)絡管理員不但能防止非法訪問服務器 或應用，讓不同的人用不同的權限使用同一臺PC，還能防止網(wǎng)絡入侵者通過盜竊用戶名和密碼訪問交換機，或者防止出現(xiàn)有意或意外廣播風暴。 基于硬件的組播：獨立于協(xié)議的組播（PIM）、密集模式和稀疏模式、互聯(lián)網(wǎng)小組管理協(xié)議（IGMP）、組播

52、偵聽器識別（MLD）偵聽和思科組管理協(xié)議支持基于標準的經(jīng)過思科技術增強的高效多媒體網(wǎng)絡，而且不會降低性能。 可管理性：Cisco Catalyst 4500 系列得到了 CiscoWorks 產品線的支持，提供的創(chuàng)新工具能夠集中管理主要網(wǎng)絡特性，例如可用性、響應能力、永續(xù)性和安全性，以便建立智能交換基礎設施。通用模塊化QoS 命令行界面（CLI）不但能簡化策略流量圖的創(chuàng)建，還能為大、小型Cisco Catalyst 交換機提供一致的界面。網(wǎng)絡運作可以通過基于Web、GUI和CLI的靈活管理方式得到增強。最重要的是，每臺 Cisco Catalyst 4500 系列交換機都有思科服務和支持解決方

53、案作后盾。 思科 NetFlow 服務：為 Supervisor Engine IV 和 Supervisor Engine V 開發(fā)的思科 NetFlow 服務卡支持硬件中捕獲的統(tǒng)計數(shù)據(jù)，以便執(zhí)行基于流和基于 VLAN 的統(tǒng)計監(jiān)控。企業(yè)可以輸出、匯總和分析這些數(shù)據(jù)，以便為電信運營商和企業(yè)客戶提供病毒檢測和消除、網(wǎng)絡流量統(tǒng)計、基于使用率的網(wǎng)絡計費、網(wǎng)絡規(guī)劃、網(wǎng)絡監(jiān) 控和數(shù)據(jù)挖掘功能。注意： Supervisor Engine V-10GE 上支持的 NetFlow 已經(jīng)集成在硬件中，因而不再需要 NetFlow 服務卡。 千兆到桌面：Cisco Catalyst 4500 系列已經(jīng)提供了很多

54、1000Mbps 桌面和服務器交換解決方案。利用為 Cisco Catalyst 4500 系列開發(fā)的48端口和24端口三速自適應、自協(xié)商 10/100/1000BASE-T 線路卡，千兆解決方案的范圍很容易擴展到桌面。三速48端口和24端口模塊，再加上自適應技術，能夠提供 局域網(wǎng) 投資保護，因為在未來，快速以太網(wǎng)桌面無需更換線路卡就能遷移到千兆以太網(wǎng)。 Supervisor Engine 6-E 和 Supervisor Engine V-10GE 提供兩條為10/100/1000BASE-T至桌面聚合優(yōu)化的線速 萬兆以太網(wǎng)上行鏈路。 光纖至桌面：Cisco Catalyst 4500 系列

55、100BASE-X 線路卡提供光纖電纜的安全性和永續(xù)性特征，使之非常適合在具有距離限制、入侵漏洞或 RF 干擾的網(wǎng)絡中使用。需要處理保密信息或提供電子商務的企業(yè)客戶或政府機構能夠享受到這些線路卡帶來的安全優(yōu)勢。4.2 Catalyst 2960系列交換機Cisco® Catalyst® 2960系列智能以太網(wǎng)交換機，它是一個全新的、固定配置的獨立設備系列，提供桌面快速以太網(wǎng)和10/100/1000千兆以太網(wǎng)連接，適用于入門級企業(yè)、中型市場和分支機構網(wǎng)絡，有助于提供增強LAN服務。Catalyst 2960系列具有集成安全特性，包括網(wǎng)絡準入控制(NAC)、高級服務質量(QoS

56、)和永續(xù)性，可為網(wǎng)絡邊緣提供智能服務。該系列還包括一系列針對網(wǎng)絡管理員所作的硬件改進，包括雙介質（或有線）千兆以太網(wǎng)上行鏈路配置，允許網(wǎng)絡管理員使用銅纜端口或光纖上行鏈路端口。另外，它包括一款24端口千兆以太網(wǎng)交換機，可加速網(wǎng)絡中的桌面千兆位(GTTD)傳輸。圖7：Catalyst 2900機箱Cisco Catalyst 2960系列智能以太網(wǎng)交換機是一個全新的、固定配置的獨立設備系列，提供桌面快速以太網(wǎng)和10/100/1000千兆以太網(wǎng)連接，可為入門級企業(yè)、中型市場和分支機構網(wǎng)絡提供增強LAN服務。Cisco Catalyst 2960提供：Ø 集成安全特性，包括網(wǎng)絡準入控制(N

57、AC) Ø 高級服務質量(QoS)和永續(xù)性 Ø 為網(wǎng)絡邊緣提供智能服務Cisco Catalyst 2960 LAN Base系列可實現(xiàn)：Ø 在網(wǎng)絡邊緣提供高級訪問控制列表 (ACL) 和增強安全性等智能化特性 Ø 支持千兆以太網(wǎng)上行鏈路靈活性的兩用上行鏈路，允許使用銅纜或光纖上行鏈路；其中每個兩用上行端口分別擁有一個10/100/1000以太網(wǎng)端口和一個基于小形可插拔 (SFP) 的千兆以太網(wǎng)端口，每次有一個端口處于激活狀態(tài) Ø 采用高級QoS、速率限制、ACL和組播服務，提供網(wǎng)絡控制和帶寬優(yōu)化 Ø 根據(jù)用戶、端口和MAC地址，并通

58、過多種不同的身份驗證方法、數(shù)據(jù)加密技術和NAC，提供網(wǎng)絡安全性 Ø 采用Cisco Network Assistant軟件，輕松進行網(wǎng)絡配置、升級和故障排除 Ø 采用Smartports對專業(yè)應用進行自動配置 Ø 有限終生硬件保修 表1 Cisco Catalyst 2960系列交換機產品編號說明Cisco Catalyst 2960-24TT（WS-C2960-24TT-L）· 24個以太網(wǎng)10/100端口和2個10/100/1000 TX上行鏈路端口 · 1機架單元（RU）固定配置交換機 · 提供入門級企業(yè)智能服務 ·

59、安裝了LAN基本鏡像 Cisco Catalyst 2960-24TC（WS-C2960-24TC-L）· 24個以太網(wǎng)10/100端口和2個雙介質上行鏈路端口（10/100/1000BASE-T或SFP） · 1RU固定配置交換機 · 提供入門級企業(yè)智能服務 · 安裝了LAN基本鏡像 Cisco Catalyst 2960-48TT（WS-C2960-48TT-L）· 48個以太網(wǎng)10/100端口和2個10/100/1000 TX上行鏈路端口 · 1RU固定配置交換機 · 提供入門級企業(yè)智能服務 · 安裝了LAN基本鏡像 Cis