南京市建筑規(guī)劃設(shè)計(jì)研究院設(shè)計(jì)方案

南京市建筑規(guī)劃設(shè)計(jì)研究院方案設(shè)計(jì)技術(shù)方案目錄1概述 51.1項(xiàng)目背景 51.2建筑規(guī)劃設(shè)計(jì)研究院信息化需求與應(yīng)對 51.3思科智能化信息網(wǎng)絡(luò)的整體思想 62方案總體設(shè)計(jì) 72.1技術(shù)方案總體設(shè)計(jì)目標(biāo) 72.1.1高可用性 72.1.2高安全性 82.1.3可擴(kuò)展性 82.1.4可管理性 82.1.5先進(jìn)性 82.2技術(shù)方案設(shè)計(jì)原則 92.2.1層次化原則 92.2.2標(biāo)準(zhǔn)化原則 102.3建筑規(guī)劃設(shè)計(jì)研究院網(wǎng)絡(luò)架構(gòu)設(shè)計(jì) 102.3.1整體網(wǎng)絡(luò)拓樸結(jié)構(gòu)設(shè)計(jì) 102.3.2網(wǎng)絡(luò)系統(tǒng)功能 122.3.3核心層設(shè)計(jì) 132.3.4接入層設(shè)計(jì) 152.3.5網(wǎng)絡(luò)高可靠性設(shè)計(jì) 172.3.6數(shù)據(jù)中心設(shè)計(jì) 252.3.7IP語音網(wǎng)絡(luò)方案設(shè)計(jì) 322.3.8IP網(wǎng)絡(luò)視頻方案 36多接口高清終端 383建筑規(guī)劃設(shè)計(jì)研究院安全設(shè)計(jì) 433.1安全防護(hù)體系設(shè)計(jì)思想 433.2思科智能安全網(wǎng)絡(luò)平臺概述 443.3基礎(chǔ)網(wǎng)絡(luò)平臺的安全 453.3.1網(wǎng)絡(luò)基礎(chǔ)設(shè)施的集成安全防護(hù) 453.3.2安全域隔離與網(wǎng)絡(luò)出口 503.4思科云安全架構(gòu)－企業(yè)新一代的安全數(shù)據(jù)中心 534企業(yè)商業(yè)的統(tǒng)一通信與協(xié)作解決方案 554.1思科統(tǒng)一通信系統(tǒng)概述 554.1.1思科統(tǒng)一通信系統(tǒng) 554.1.2IP電話 564.1.3協(xié)作軟終端(Jabber)設(shè)計(jì) 594.1.4思科統(tǒng)一通信客戶端 684.1.5企業(yè)在網(wǎng)狀態(tài)和即時消息 694.1.6語音和統(tǒng)一消息 694.1.7多媒體會議 704.1.8移動解決方案 704.1.9客戶聯(lián)系解決方案 714.1.10管理解決方案 724.2企業(yè)園區(qū)統(tǒng)一通信系統(tǒng)的設(shè)計(jì)與部署 724.2.1統(tǒng)一通信系統(tǒng)架構(gòu) 724.2.2撥號方案規(guī)劃 754.2.3內(nèi)網(wǎng)中防火墻穿越的解決 774.2.4統(tǒng)一通信系統(tǒng)的管理 775思科統(tǒng)一無線網(wǎng)絡(luò) 805.1思科統(tǒng)一無線網(wǎng)絡(luò)架構(gòu)概述 805.2實(shí)時的射頻自動監(jiān)測（CleanAir) 815.3ClientLink技術(shù)——更好地保證802.11a/g終端的高速穩(wěn)定鏈接 845.4VideoStream技術(shù)——更好保證高質(zhì)量組播視頻應(yīng)用 865.5BandSelect技術(shù)——將雙頻用戶自動引導(dǎo)到干擾更小的5G頻段 885.6無線定位的應(yīng)用 896思科統(tǒng)一計(jì)算UCS介紹 906.1思科統(tǒng)一計(jì)算系統(tǒng)（UCS）簡介 906.2思科統(tǒng)一計(jì)算與虛擬化概述 926.3思科UCSManager簡介 946.4數(shù)據(jù)中心技術(shù)(UCS系統(tǒng))能力比較 976.5思科C系列機(jī)架式服務(wù)器 997.思科BYOD解決方案 1027.1概述 1027.1.1ISE簡介 1027.1.2ISE功能特性 1037.2方案架構(gòu) 1047.2.1網(wǎng)絡(luò)拓?fù)?1047.2.2架構(gòu)描述 1057.3ISE策略服務(wù)引擎 1067.3.1身份和訪問策略控制 1067.3.2認(rèn)證和授權(quán)策略 1077.3.3終端健康狀態(tài)檢查 1077.3.4訪客服務(wù)和BYOD自助服務(wù) 1087.3.5終端設(shè)備的識別 1097.3.6集中管理 1117.4分階段部署 1117.4.1監(jiān)控模式 1117.4.2低影響模式 1127.4.3高安全模式 1138.服務(wù)質(zhì)量設(shè)計(jì) 1148.1QoS基本概念 1148.2QoS標(biāo)準(zhǔn)的進(jìn)展 1158.3QoS架構(gòu)模型 1168.4QoS實(shí)現(xiàn)技術(shù) 1178.5帶寬管理 1198.6帶寬高效利用技術(shù) 1228.7園區(qū)網(wǎng)中的QoS 1238.8廣域網(wǎng)的QOS 1238.9建筑規(guī)劃設(shè)計(jì)研究院QoS解決方案 1249結(jié)束語用戶為什么選擇思科 1251概述1.1項(xiàng)目背景1.2建筑規(guī)劃設(shè)計(jì)研究院信息化需求與應(yīng)對應(yīng)對越來越嚴(yán)峻的信息化時代挑戰(zhàn)，企業(yè)需要網(wǎng)絡(luò)的強(qiáng)大支持能力。傳統(tǒng)的園區(qū)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，業(yè)務(wù)控制網(wǎng)絡(luò)一般是分離的。早些時候，控制設(shè)備生產(chǎn)廠商沒有統(tǒng)一、可靠的標(biāo)準(zhǔn)滿足實(shí)時數(shù)據(jù)傳輸?shù)囊?，所以大家各自為陣，形成專用的網(wǎng)絡(luò)，導(dǎo)致了生產(chǎn)控制網(wǎng)絡(luò)與數(shù)據(jù)網(wǎng)絡(luò)是不兼容。生產(chǎn)控制網(wǎng)絡(luò)需要通過專門的網(wǎng)關(guān)與企業(yè)網(wǎng)絡(luò)相連，二者之間交換的數(shù)據(jù)非常少，網(wǎng)絡(luò)的效率低下。而者，網(wǎng)關(guān)設(shè)備昂貴，花費(fèi)了企業(yè)大量的開支。由于需要專門技能的工程師維護(hù)，維護(hù)成本也相當(dāng)高。當(dāng)前，比較明智的做法是，通過IP網(wǎng)絡(luò)統(tǒng)一連接業(yè)務(wù)控制設(shè)備。由于以太網(wǎng)標(biāo)準(zhǔn)應(yīng)用廣泛，已經(jīng)被生產(chǎn)控制廠商采納，絕大多數(shù)生產(chǎn)控制設(shè)備都支持以太網(wǎng)。從安全、可靠性的角度考慮，通過虛網(wǎng)（VLAN）技術(shù)，可以在邏輯上將業(yè)務(wù)控制網(wǎng)絡(luò)系統(tǒng)與辦公、財(cái)務(wù)、研究部分等網(wǎng)絡(luò)相對隔離，保證業(yè)務(wù)控制網(wǎng)絡(luò)安全、可靠運(yùn)行。這樣，IP網(wǎng)絡(luò)成了園區(qū)企業(yè)網(wǎng)絡(luò)的通用協(xié)議，企業(yè)的ERP、OA、數(shù)據(jù)庫、虛擬桌面、研究等系統(tǒng)，全部建立在IP網(wǎng)絡(luò)之上。進(jìn)一步，網(wǎng)絡(luò)的功能向應(yīng)用端擴(kuò)展，不只是提供簡單的數(shù)據(jù)傳輸功能。通集成一些過通用的共享應(yīng)用和資源服務(wù)、虛擬化的組件，簡化應(yīng)用系統(tǒng)的開發(fā)，優(yōu)化系統(tǒng)設(shè)計(jì)。1.3思科智能化信息網(wǎng)絡(luò)的整體思想網(wǎng)絡(luò)已經(jīng)成為所有企業(yè)應(yīng)用的基礎(chǔ)。思科公司基于自身在協(xié)議優(yōu)化、路由交換以及多業(yè)務(wù)集成方面的專業(yè)經(jīng)驗(yàn)，提出了面向應(yīng)用的網(wǎng)絡(luò)架構(gòu)，將一些普遍使用的服務(wù)集成至網(wǎng)絡(luò)中，從而更加方便的向應(yīng)用提供這些服務(wù)。具體地說，在網(wǎng)絡(luò)基礎(chǔ)設(shè)備層的基礎(chǔ)上，可以將安全服務(wù)、移動服務(wù)、存儲服務(wù)、語音和協(xié)作服務(wù)、計(jì)算服務(wù)、身份識別服務(wù)等虛擬化，通過中間件和應(yīng)用平臺統(tǒng)一提供給應(yīng)用層。方便企業(yè)構(gòu)建及時消息、統(tǒng)一消息、多媒體會議、IP呼叫中心、IP電話、視頻傳輸?shù)葏f(xié)作應(yīng)用，亦可以將這些服務(wù)集成到OA、CRM、ERP、SCM、研發(fā)管理、E-Learning等系統(tǒng)當(dāng)中。以上我們看到網(wǎng)絡(luò)在功能方面向高層應(yīng)用擴(kuò)展的路徑。下面，我們從一個企業(yè)的角度，看看網(wǎng)絡(luò)建設(shè)的發(fā)展過程。思科公司根據(jù)自己對網(wǎng)絡(luò)的深刻理解和把握，提出了行業(yè)智能化信息網(wǎng)絡(luò)發(fā)展三個階段的藍(lán)圖：第一階段實(shí)現(xiàn)網(wǎng)絡(luò)的整合，將數(shù)據(jù)、語音、視頻、移動、存儲、服務(wù)器統(tǒng)一到一個網(wǎng)絡(luò)平臺，企業(yè)可以從網(wǎng)絡(luò)基礎(chǔ)設(shè)施獲取更多價值；第二階段服務(wù)的整合，讓資源的虛擬化，從而更加有效、靈活地利用聯(lián)網(wǎng)的資源；第三階段實(shí)現(xiàn)應(yīng)用的優(yōu)化，網(wǎng)絡(luò)以應(yīng)用為導(dǎo)向，用戶可以隨時以任何方式訪問他們所需要的應(yīng)用和信息。2方案總體設(shè)計(jì)2.1技術(shù)方案總體設(shè)計(jì)目標(biāo)2.1.1高可用性對于園區(qū)網(wǎng)企業(yè)的生產(chǎn)網(wǎng)絡(luò)，高可用性是進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)的基本目標(biāo)。高可用性是指一方面要保證導(dǎo)致網(wǎng)絡(luò)不可用的設(shè)備故障時間極短，另一方面，還要要保證網(wǎng)絡(luò)能夠滿足各類數(shù)據(jù)傳輸?shù)男枨?，不會因性能下降而?dǎo)致不可接受的響應(yīng)時間；在達(dá)到高可用性的目標(biāo)網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)結(jié)合起來，充分考慮到生產(chǎn)網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來發(fā)展趨勢。設(shè)計(jì)中將采用高可靠性的網(wǎng)絡(luò)產(chǎn)品和完備的網(wǎng)絡(luò)備份策略來滿足可靠性的要求，對于不同層次的設(shè)備和線路進(jìn)行不同級別的可靠性設(shè)計(jì)，使網(wǎng)絡(luò)具有故障自愈的能力。可靠性設(shè)計(jì)不僅包括網(wǎng)絡(luò)設(shè)備等物理設(shè)計(jì)的可靠性，同時包括路由等邏輯設(shè)計(jì)的可靠性。企業(yè)園區(qū)企業(yè)的骨干網(wǎng)絡(luò)的可用性應(yīng)當(dāng)達(dá)到99.999%的目標(biāo)。2.1.2高安全性特殊的生產(chǎn)型業(yè)務(wù)性質(zhì)決定了網(wǎng)絡(luò)安全對于企業(yè)園區(qū)企業(yè)有著極為重要的意義，在網(wǎng)絡(luò)設(shè)計(jì)過程中采用一體化的網(wǎng)絡(luò)安全設(shè)計(jì)思想，從而充分保證網(wǎng)核心骨干、匯聚、邊緣接入多個部分網(wǎng)絡(luò)訪問的高安全性，將來可以實(shí)現(xiàn)到自防御網(wǎng)絡(luò)體系的平滑升級。2.1.3可擴(kuò)展性業(yè)務(wù)的發(fā)展對網(wǎng)絡(luò)的需求是不斷變化的，網(wǎng)絡(luò)應(yīng)用系統(tǒng)為了滿足這些需求也會隨之變化。面對不斷變化的情況和需求，網(wǎng)絡(luò)應(yīng)當(dāng)能夠作出快速和有效的反應(yīng)。因此，網(wǎng)絡(luò)必須具備良好的可擴(kuò)展性，應(yīng)支持核心業(yè)務(wù)系統(tǒng)的不斷擴(kuò)展，適應(yīng)未來業(yè)務(wù)的發(fā)展和變化。同時，網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)當(dāng)能夠變化，具有靈活的伸縮能力，網(wǎng)絡(luò)設(shè)備可以擴(kuò)充和升級。2.1.4可管理性隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)的不斷復(fù)雜，網(wǎng)絡(luò)的維護(hù)量隨之增加。整個網(wǎng)絡(luò)的可管理性變得尤為重要。因此，網(wǎng)絡(luò)系統(tǒng)應(yīng)當(dāng)具有統(tǒng)一的可管理性，建立統(tǒng)一的網(wǎng)絡(luò)管理平臺。不僅實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理，同時實(shí)現(xiàn)對網(wǎng)絡(luò)策略的管理和不同協(xié)議的多級維護(hù)。2.1.5先進(jìn)性采用國際領(lǐng)先的網(wǎng)絡(luò)產(chǎn)品和相關(guān)技術(shù)，支持業(yè)界最豐富的網(wǎng)絡(luò)應(yīng)用協(xié)議，支持現(xiàn)有業(yè)務(wù)和將來增加的新業(yè)務(wù)，保證骨干網(wǎng)上各類業(yè)務(wù)可靠傳輸和服務(wù)質(zhì)量，滿足企業(yè)園區(qū)企業(yè)未來業(yè)務(wù)快速發(fā)展的需求。2.2技術(shù)方案設(shè)計(jì)原則2.2.1層次化原則在園區(qū)和數(shù)據(jù)中心企業(yè)未來網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)中，為了實(shí)現(xiàn)一個可管理的、可靠的、高性能網(wǎng)絡(luò)，我們將采用網(wǎng)絡(luò)扁平化的的方法，將網(wǎng)絡(luò)分為核心層、分布層或接入層三個層次進(jìn)行設(shè)計(jì)。這種層次結(jié)構(gòu)劃分方法也是目前國內(nèi)外先進(jìn)網(wǎng)絡(luò)建設(shè)中普遍采用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在這種結(jié)構(gòu)下，兩個層次的網(wǎng)絡(luò)設(shè)備各司其職又相互協(xié)同工作，從而有效保證了整個網(wǎng)絡(luò)的高可靠性、高性能、高安全性和靈活的擴(kuò)展性。拓?fù)浣Y(jié)構(gòu)如下圖所示：其每一層的網(wǎng)絡(luò)設(shè)備功能描述如下：核心層：提供高速的三層交換骨干核心層不進(jìn)行終端系統(tǒng)的連接；核心層少用或不實(shí)施影響高速交換性能的ACL等功能。分布層：作為接入層和核心層的分界層，分布層完成以下的功能：本功能區(qū)VLAN間的路由；IP地址或路由區(qū)域的匯聚；接入層：提供Layer2或Layer3的網(wǎng)絡(luò)接入，通過VLAN定義實(shí)現(xiàn)接入的隔離。網(wǎng)絡(luò)接入層具有以下特點(diǎn)：接入層接入端口規(guī)劃容量根據(jù)實(shí)際使用情況具有一定的擴(kuò)展性；上述每一個層次結(jié)構(gòu)內(nèi)部需要采用冗余的架構(gòu)來保障該層功能的穩(wěn)定可靠。2.2.2標(biāo)準(zhǔn)化原則網(wǎng)絡(luò)設(shè)計(jì)中所用的各種管理信令、接口規(guī)程、協(xié)議須符合國際標(biāo)準(zhǔn)，便于擴(kuò)展和網(wǎng)絡(luò)的互連互通。支持國際上各種通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議和標(biāo)準(zhǔn)等，支持大型的動態(tài)路由協(xié)議，支持策略路由功能。保證與其它網(wǎng)絡(luò)（如互聯(lián)網(wǎng)等）之間的平滑連接。2.3建筑規(guī)劃設(shè)計(jì)研究院網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)2.3.1整體網(wǎng)絡(luò)拓樸結(jié)構(gòu)設(shè)計(jì)總體網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)如下圖:整個網(wǎng)絡(luò)采用層次化設(shè)計(jì)原則，全網(wǎng)分為兩套網(wǎng)絡(luò)為園區(qū)、數(shù)據(jù)中心網(wǎng)絡(luò)。從網(wǎng)絡(luò)的邏輯結(jié)構(gòu)來看，網(wǎng)絡(luò)分為二層，即：核心層、匯聚層或接入層。核心層由2臺核心交換機(jī)組成，核心交換機(jī)之間通過10G萬兆光纖冗余互聯(lián)形成高速萬兆核心層。各匯接入交換機(jī)通過萬兆光纖分別冗余上聯(lián)至核心路由交換機(jī)。網(wǎng)絡(luò)的園區(qū)生產(chǎn)辦公區(qū)域設(shè)計(jì)如下圖所示：整個網(wǎng)絡(luò)核心設(shè)備為兩臺catalyst6509交換機(jī)，接入層采用catalyst3850系列UADP(統(tǒng)一接入數(shù)據(jù)板)POE交換機(jī)。所有區(qū)域進(jìn)行無線信號覆蓋。采用控制器+AP的模式。配合語音路由器和服務(wù)器在內(nèi)網(wǎng)部署IP電話。網(wǎng)絡(luò)交界處采用2臺ASA5585防火墻做防火墻集群.2.3.2網(wǎng)絡(luò)系統(tǒng)功能本方案選用核心10GE萬兆以太網(wǎng)絡(luò)技術(shù)，同時選用了Cisco公司成熟、穩(wěn)定、先進(jìn)的企業(yè)級最高端路由交換機(jī)，并對企業(yè)網(wǎng)絡(luò)進(jìn)行優(yōu)化設(shè)計(jì)，使園區(qū)網(wǎng)絡(luò)系統(tǒng)具備豐富的網(wǎng)絡(luò)系統(tǒng)功能，為企業(yè)生產(chǎn)業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行奠定了堅(jiān)實(shí)的基礎(chǔ)。企業(yè)智能化信息網(wǎng)絡(luò)系統(tǒng)功能總結(jié)如下： 高速L2/L3層數(shù)據(jù)傳輸：核心層至匯聚層可選10GE或1GE冗余鏈路，匯聚層至接入層1GE冗余鏈路。 持續(xù)可用性（高可靠性）：核心節(jié)點(diǎn)、匯聚節(jié)點(diǎn)采用冗余雙設(shè)備，核心節(jié)點(diǎn)之間網(wǎng)狀冗余連接，核心節(jié)點(diǎn)和匯聚節(jié)點(diǎn)之間雙鏈路冗余互連，接入節(jié)點(diǎn)雙鏈路冗余上聯(lián)至匯聚節(jié)點(diǎn)，使用高度智能的動態(tài)路由協(xié)議，核心和匯聚設(shè)備均采用雙電源的冗余配備。網(wǎng)絡(luò)系統(tǒng)在設(shè)備級、鏈路級、系統(tǒng)級均具備極高可靠性。 支持MPLSVPN功能：所有核心節(jié)點(diǎn)路由交換機(jī)及所有板卡具備全部MPLS功能，可以為企業(yè)園區(qū)企業(yè)園區(qū)網(wǎng)絡(luò)提供完善的MPLSVPN功能。 提供Multicast組功能：本方案中選用的所有Cisco路由交換機(jī)均具備豐富的組播功能，不僅具備所有其它廠商設(shè)備所有組播功能外，Cisco還提供其它廠商不具備的更優(yōu)化、更高性能的SSM和IGMPv3功能,同時Cisco網(wǎng)絡(luò)系統(tǒng)還提供獨(dú)有的MPLS-VPN內(nèi)組播功能―――該功能對企業(yè)園區(qū)企業(yè)網(wǎng)絡(luò)視頻監(jiān)控業(yè)務(wù)非常有用。方案中選用的CISCO路由交換機(jī)都支持組播管理MIB，可以通過Cisco組播網(wǎng)絡(luò)管理軟件（CMM）進(jìn)行組播管理，可以打消用戶對組播流像是“黑夜行船”無法控制的顧慮。 提供豐富的Qos功能：本網(wǎng)絡(luò)系統(tǒng)提供DiffServQos機(jī)制，避免了瞬時擁塞造成關(guān)鍵業(yè)務(wù)、關(guān)鍵數(shù)據(jù)丟失，確保網(wǎng)絡(luò)系統(tǒng)的持續(xù)可用。 提供了豐富的網(wǎng)絡(luò)安全功能：Cisco網(wǎng)絡(luò)設(shè)備本身具備許多豐富的安全防護(hù)功能，從而使網(wǎng)絡(luò)系統(tǒng)自身具備極高的威脅抵御能力，同時利用ASA自適應(yīng)安全設(shè)備、IPS/IDS入侵檢測設(shè)備，或采用6500平臺上的安全服務(wù)模塊，更進(jìn)一步提高了網(wǎng)絡(luò)系統(tǒng)的安全防御能力。2.3.3核心層設(shè)計(jì)對于企業(yè)生產(chǎn)網(wǎng)絡(luò)的核心層，我們建議采用思科部署在Catalyst6500交換機(jī)平臺上的虛擬交換系統(tǒng)（VSS）技術(shù)進(jìn)行構(gòu)建。Catalyst6500交換機(jī)上采用的虛擬交換系統(tǒng)技術(shù)為IT經(jīng)理設(shè)立了一個新標(biāo)準(zhǔn)，能夠幫助他們在構(gòu)建永續(xù)、高度可用的狀態(tài)化網(wǎng)絡(luò)的同時，優(yōu)化網(wǎng)絡(luò)資源的使用。VSS將在數(shù)據(jù)中心接入層以及園區(qū)和數(shù)據(jù)中心分布層/核心層設(shè)計(jì)中發(fā)揮重要作用。CiscoCatalyst6500系列交換機(jī)虛擬交換系統(tǒng)（VSS）Cisco?Catalyst?6500系列交換機(jī)虛擬交換系統(tǒng)（VSS）是一種網(wǎng)絡(luò)系統(tǒng)虛擬化技術(shù)，將兩臺采用了VirtualSwitchingSupervisor2T的CiscoCatalyst6500系列交換機(jī)組合為單一虛擬交換機(jī)。在VSS中，這兩個交換機(jī)中的管理引擎的數(shù)據(jù)面板和交換陣列能同時激活，因此總系統(tǒng)交換能力可達(dá)4Tbps。VSS成員通過虛擬交換機(jī)鏈路（VSL）連接。VSL在虛擬交換機(jī)成員之間使用標(biāo)準(zhǔn)萬兆以太網(wǎng)連接（多達(dá)8條，以提供冗余性）。通過在VirtualSwitchingSupervisor2T或模塊的任意端口上使用萬兆以太網(wǎng)上行鏈路，即能形成VSL。除在VSS成員間進(jìn)行控制面板通信外，VSL也能傳輸普通用戶流量。VSS支持所有采用集中或分布式（利用DFC4C或DFC4CXL）轉(zhuǎn)發(fā)模式的CiscoCatalyst6500系列交換機(jī)6800系列模塊。VSS有哪些優(yōu)勢？與傳統(tǒng)的L2/L3網(wǎng)絡(luò)設(shè)計(jì)相比，VSS提供了多項(xiàng)顯著優(yōu)勢。大體說來，其優(yōu)勢可歸納為以下三個主要方面： VSS能夠提高運(yùn)營效率-單管理點(diǎn)，包括配置文件和單一網(wǎng)關(guān)IP地址（無需HSRP/VRRP/GLBP）-多機(jī)箱EtherChannel?（MEC）創(chuàng)建了簡單的無環(huán)路拓?fù)浣Y(jié)構(gòu)，不再依靠生成樹協(xié)議（STP）-底層物理交換機(jī)經(jīng)由標(biāo)準(zhǔn)萬兆以太網(wǎng)接口相連，在位置方面提供了靈活的部署選項(xiàng) VSS能夠優(yōu)化不間斷通信-機(jī)箱間狀態(tài)化故障切換不會干擾需要使用網(wǎng)絡(luò)狀態(tài)信息的應(yīng)用。憑借VSS，在一個虛擬交換機(jī)成員發(fā)生故障時，不再需要進(jìn)行L2/L3重收斂，能在一秒內(nèi)實(shí)現(xiàn)確定性虛擬交換機(jī)的恢復(fù)。-與基于生成樹協(xié)議的收斂不同，使用EtherChannel（802.3ad或PAgP）能在一秒內(nèi)完成確定性L2鏈路恢復(fù)。 VSS能夠?qū)⑾到y(tǒng)帶寬容量擴(kuò)展到4Tbps-在冗余CiscoCatalyst6500系列交換機(jī)上激活所有可用的L2帶寬，在EtherChannel基礎(chǔ)上進(jìn)行精確的負(fù)載均衡。-為冗余數(shù)據(jù)中心交換機(jī)上的服務(wù)器網(wǎng)絡(luò)接口卡（NIC）提供基于標(biāo)準(zhǔn)的鏈路匯聚，實(shí)現(xiàn)最高服務(wù)器帶寬吞吐率。消除了因非對稱路由引起的單播洪泛，減少了園區(qū)內(nèi)流量的跳數(shù)，從而節(jié)省了帶寬。2.3.4接入層設(shè)計(jì)接入層建議配置思科UADPASIC的全新思科統(tǒng)一接入網(wǎng)絡(luò)產(chǎn)品：CiscoCatalyst3850統(tǒng)一接入交換機(jī)，內(nèi)建有無線局域網(wǎng)（WLAN）控制器功能業(yè)級的堆疊式交換機(jī)Catalyst3850系列。思科統(tǒng)一接入網(wǎng)絡(luò)架構(gòu)在全新思科統(tǒng)一接入數(shù)據(jù)板（UnifiedAccessDataPlane,UADP）專用集成電路（ASIC）基礎(chǔ)之上，將有線和無線流量的處理工作整合到統(tǒng)一的數(shù)據(jù)板中。這一全新的ASIC能夠高性能、大規(guī)模的處理有線和無線流量，并可為有線和無線網(wǎng)絡(luò)提供一致的服務(wù)，有效簡化網(wǎng)絡(luò)管理員的工作。無線AP的流量可以直接在3850交換機(jī)上終結(jié)，這就意味著終結(jié)CAPWAP數(shù)據(jù)和管理隧道，本地轉(zhuǎn)換無線(802.11)數(shù)據(jù)流量到有線(802.3)流量，反之亦然。該融合同時進(jìn)一步加強(qiáng)了新交換機(jī)的容量，以支持更強(qiáng)大的無線吞吐帶寬，在3850交換機(jī)上高達(dá)40Gbps，對于5760控制器則高達(dá)60Gbps，從而確保網(wǎng)絡(luò)容量應(yīng)對不斷擴(kuò)張的移動數(shù)據(jù)。思科UADPASIC采用了可編程的數(shù)據(jù)板，支持部署軟件定義的網(wǎng)絡(luò)服務(wù)。Catalyst3850系列為有線和無線網(wǎng)絡(luò)提供了統(tǒng)一物理基礎(chǔ)設(shè)施。Catalyst3850交換機(jī)具備集成的有線和無線局域網(wǎng)控制器功能。同時它還具備通用、一致的網(wǎng)絡(luò)智能，有助于加快故障排除速度的全網(wǎng)絡(luò)可視性與分析功能，以及覆蓋整個有線-無線基礎(chǔ)設(shè)施的精細(xì)分層服務(wù)質(zhì)量（QoS）功能。這一通用、一致的智能通過使用統(tǒng)一IOS和統(tǒng)一有線/無線ASIC（思科全新的UADPASIC）實(shí)現(xiàn)。可利用思科StackWisePlus技術(shù)創(chuàng)建一個堆疊帶寬達(dá)到480G（四臺堆疊）的統(tǒng)一堆疊系統(tǒng)，有很強(qiáng)的恢復(fù)能力，它使用單個IP地址、單個Telnet會話、單個命令行界面(CLI)、自動版本檢查、自動配置等提供簡化的管理。StackWisePlus也支持CiscoCatalyst3850系列交換機(jī)中的本地交換功能。如果本地交換數(shù)據(jù)包進(jìn)入CiscoCatalyst3850系列的某個端口，而其目的地是同一交換機(jī)中的另一個端口，則數(shù)據(jù)包不必遍歷整個堆疊環(huán)，從而提高交換機(jī)的轉(zhuǎn)發(fā)容量。此外，CiscoCatalyst3850系列在業(yè)界率先引入了CiscoStackPower技術(shù)，這個創(chuàng)新的電源互連系統(tǒng)能讓堆疊中的電源作為公共資源，在所有的交換機(jī)之間進(jìn)行共享。使用StackPower電纜（，通過交換機(jī)背面的特殊連接器，可以在StackPower堆疊中配置多達(dá)四臺交換機(jī)。位于接入層的Catalyst3850堆疊交換機(jī)可以通過萬兆光纖主干上連核心交換機(jī)的萬兆端口。該系列交換機(jī)支持三種4端口的上行鏈路網(wǎng)絡(luò)模塊。用戶可以靈活選擇2或者4個10GbE端口(C3850-NM-2-10G)或4個10GbE端口(C3850-NM-4-10G)的網(wǎng)絡(luò)模塊。10GbE上行鏈路模塊提供4個物理端口，各包括2個SFP+和常規(guī)SFP端口。SFP+接口支持10GbE和GbE端口，能讓客戶利用在GbESFP中的投資，并隨業(yè)務(wù)需求的變化升級到10GbE，而不必進(jìn)行訪問交換機(jī)的全面升級。上行鏈路模塊可熱插拔。所有接入交換機(jī)采用2條\4條萬兆光纖線路雙上聯(lián)至核心交換機(jī)。2.3.5網(wǎng)絡(luò)高可靠性設(shè)計(jì)網(wǎng)絡(luò)的可靠性是為了避免單點(diǎn)故障的出現(xiàn)。主要體現(xiàn)在兩個方面：一方面在于網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)，盡量使網(wǎng)絡(luò)上不存在單點(diǎn)故障；另一方面，網(wǎng)絡(luò)設(shè)備必須支持插卡、接口、電源等部件的冗余與熱插拔能力以及支持例如VRRP/HSRP/GLBP等冗余協(xié)議。但是網(wǎng)絡(luò)的可靠性并不是單一設(shè)備可靠性的簡單疊加，它主要包括： 設(shè)備級別的可靠性 鏈路級別的可靠性下面將詳細(xì)介紹思科公司是如何使用獨(dú)特的可靠性機(jī)制和技術(shù)創(chuàng)新來保障企業(yè)用戶關(guān)鍵信息的可靠傳遞。設(shè)備級別的可靠性設(shè)備級別的高可靠性設(shè)計(jì)是網(wǎng)絡(luò)核心設(shè)備選型時最關(guān)鍵因素。此時我們往往只考慮設(shè)備硬件的冗余，忽略了運(yùn)行和存儲于硬件上的軟件、網(wǎng)絡(luò)信息和管理信息。一般情況下，設(shè)備級別的可靠性主要包括：1.物理冗余：提供雙電源、雙引擎、雙交換矩陣和雙時鐘，甚至雙核心設(shè)備。思科的模塊化交換機(jī)，包括Catalyst6500的體系架構(gòu)都是專為保證企業(yè)業(yè)務(wù)彈性而設(shè)計(jì)的，所有關(guān)鍵部件如路由交換引擎、電源、風(fēng)扇均支持1+1或N+1冗余備份，所有的板卡都支持熱插拔，并且采用隔離的無源背板連接各個部件，避免了某些廠商使用有源背板帶來的單點(diǎn)故障問題。2.邏輯冗余：利用EthernetChannel、FastEthernetChannel和GigabitEthernetChannel技術(shù)為設(shè)備間鏈路提供負(fù)載的分擔(dān)和鏈路的冗余；利用VRRP/HSRP/GLBP技術(shù)為第三層路由提供冗余，并利用所形成的虛擬路由器實(shí)現(xiàn)路由器之間的負(fù)載分擔(dān)和冗余操作。后面的章節(jié)會詳細(xì)介紹思科冗余網(wǎng)關(guān)協(xié)議的選擇。3.不間斷轉(zhuǎn)發(fā)（NonstopForwarding，NSF）和狀態(tài)化切換（StatefulSwitchover，SSO）功能：用于維護(hù)路由器中兩個交換引擎之間路由狀態(tài)信息，使主備引擎可以在不中斷網(wǎng)絡(luò)運(yùn)行或丟棄包的情況下進(jìn)行切換；在切換期間，CiscoSSO提供零中斷的第二層連接，而CiscoNSF保證轉(zhuǎn)發(fā)第三層數(shù)據(jù)包時保證不丟失分組，或丟失量最小。分組連續(xù)轉(zhuǎn)發(fā)可以重新建立對等關(guān)系，而無需在整個網(wǎng)絡(luò)中再次收斂路由協(xié)議。Catalyst6500支持NSF/SSO特性。NSF/SSO是制造企業(yè)未來多業(yè)務(wù)融合網(wǎng)絡(luò)必不可少的關(guān)鍵特性，第三方權(quán)威測試機(jī)構(gòu)OPUS實(shí)驗(yàn)室對思科模塊化交換機(jī)的NSF/SSO特性作了嚴(yán)格測試。測試網(wǎng)絡(luò)中部署了思科IP電話系統(tǒng)和無線局域網(wǎng)接入點(diǎn)。測試結(jié)果表明思科NSF/SSO特性充分保證了第二層和第三層的彈性，L2的狀態(tài)在引擎切換過程中保持，L3的路由也不會發(fā)生震蕩。網(wǎng)絡(luò)上的關(guān)鍵業(yè)務(wù)，尤其象IP語音通信這樣的時延敏感應(yīng)用也不會受影響，正在通話的IP電話通話不會掉線，無論此通話是保持在L2范圍內(nèi)還是跨過了L3的網(wǎng)絡(luò)。進(jìn)一步的測試還表明NSF/SSO特性不會降低用戶網(wǎng)絡(luò)的安全性，即在主備引擎切換過程中，所有設(shè)置的安全機(jī)制ACL策略等等都保持工作，不會給外來黑客有可趁之機(jī)。4.在線軟件升級（ISSU）：此功能指的是在升級系統(tǒng)的軟件或軟件模塊不會中斷或影響系統(tǒng)的操作。在線軟件升級功能是思科Catalyst6500系列中的IOS軟件模塊化特性主要有簡化軟件變更、最小化計(jì)劃外宕機(jī)時間和實(shí)現(xiàn)自動化策略控制三個方面的好處：首先，IOS模塊化簡化了軟件變更。通常，企業(yè)IT部門部署新軟件之前都要經(jīng)過驗(yàn)證，規(guī)劃宕機(jī)時間表，最終部署。而模塊化的IOS軟件大大加快了驗(yàn)證速度，減小了軟件兼容風(fēng)險，另外，通過不間斷軟件升級（ISSU）子系統(tǒng)，可以在其他組件正常運(yùn)行的同時更改代碼，從而實(shí)現(xiàn)零宕機(jī)時間。根據(jù)客戶調(diào)查的結(jié)果，企業(yè)可以將驗(yàn)證和部署新軟件的時間從幾個月縮短到幾周，這對于保障關(guān)鍵業(yè)務(wù)，諸如交易平臺、醫(yī)療應(yīng)用、支持音頻和視頻的實(shí)時網(wǎng)絡(luò)服務(wù)等業(yè)務(wù)都非常重要。簡化的軟件變更還大大加強(qiáng)了企業(yè)的網(wǎng)絡(luò)安全水平。其次，通過可自行恢復(fù)的獨(dú)立進(jìn)程，IOS模塊化可以最小化計(jì)劃外宕機(jī)時間。IOS模塊化將不同的進(jìn)程限制在獨(dú)立的受保護(hù)的存儲空間中，這項(xiàng)創(chuàng)新使系統(tǒng)可以單獨(dú)重啟某項(xiàng)進(jìn)程，并提供不同進(jìn)程的狀態(tài)檢測，這樣，出錯的進(jìn)程就可以重新啟動并恢復(fù)到上一個已知的狀態(tài)和配置，而不必重新啟動整個系統(tǒng)。重啟恢復(fù)時間也從數(shù)分鐘縮短到數(shù)毫秒。第三，通過整合內(nèi)置事件管理器（EEM）提供進(jìn)程級別的自動化策略控制。自動化策略控制將耗時的任務(wù)下放給網(wǎng)絡(luò)，讓IT部門可以專注于更有價值的工作。這就幫助企業(yè)減小了"運(yùn)營鴻溝"的不利影響。網(wǎng)絡(luò)管理員可以用思科命令行界面（CLI）或工具通用語言（TCL）代碼來制定策略，這些策略可用于不同方面，包括檢測服務(wù)器上可用的升級補(bǔ)丁，下載補(bǔ)丁，并在預(yù)先指定的時間安裝等。Catalyst6500的在線軟件升級功能極大地增強(qiáng)了網(wǎng)絡(luò)的整體可靠性，從硬件/軟件一體化可靠性的角度幫助客戶提升了整個業(yè)務(wù)的永續(xù)性，是在過去硬件冗余性基礎(chǔ)上的一大進(jìn)步。近一步來說，NSF/SSO、ISSU和Catalyst6500現(xiàn)在擁有的模塊化IOS互相配合工作，可以大大減少用戶計(jì)劃外和計(jì)劃內(nèi)的宕機(jī)時間，并且可以非常方便地進(jìn)行軟件升級、功能升級和Bug修復(fù)等維護(hù)工作。鏈路級別的可靠性網(wǎng)絡(luò)鏈路級可靠性可以分為2層路由鏈路和3層路由鏈路兩個方面：1.更快的鏈路災(zāi)備 快速生成樹：為了解決了物理線路中斷所造成的網(wǎng)絡(luò)終端，我們往往會設(shè)置備份的物理線路，但是它們往往會形成環(huán)路，回路會產(chǎn)生無休止的數(shù)據(jù)路徑，導(dǎo)致網(wǎng)絡(luò)服務(wù)的中斷以及額外的系統(tǒng)管理費(fèi)用。IEEE802.1D生成樹協(xié)議通過從網(wǎng)格化物理拓?fù)浣Y(jié)構(gòu)而構(gòu)建一個無環(huán)路邏輯轉(zhuǎn)發(fā)拓?fù)浣Y(jié)構(gòu)，提供了冗余連接，消除了數(shù)據(jù)流量環(huán)路的威脅。原始生成樹協(xié)議IEEE802.1D通常在50秒內(nèi)就可以恢復(fù)一個鏈接故障[融合時間=(2xForward_Delay)+Max_Age]。當(dāng)設(shè)計(jì)此協(xié)議時，這種停機(jī)還是可接受的，但是當(dāng)前的關(guān)鍵任務(wù)應(yīng)用（如語音和視頻）卻要求更快速的網(wǎng)絡(luò)融合。為加速網(wǎng)絡(luò)融合并解決與生成樹和虛擬LAN（VLAN）交互相關(guān)的地址可擴(kuò)展性限制的問題，IEEE委員會開發(fā)了兩種新標(biāo)準(zhǔn)：在IEEE802.1w中定義的快速生成樹協(xié)議（RSTP）和在IEEE802.1s中定義的多生成樹協(xié)議（MST）。如果使用適當(dāng)?shù)脑挘琑STP能將在連接故障和恢復(fù)時所需的重新配置和恢復(fù)服務(wù)時間，減少到低于秒的量級，并保持同基于STP設(shè)備的兼容性。RSTP可以保證在一個橋接/交換、橋接端口或LAN發(fā)生故障之后，其連接性的快速恢復(fù)。一個新的根端口可以快速轉(zhuǎn)換至傳送端口狀態(tài)。在LAN中橋接與轉(zhuǎn)換之間明確的應(yīng)答，允許指定端口快速轉(zhuǎn)換至傳送端口狀態(tài)，此時，橋接端口可被配置在橋接/交換重新初始化時直接轉(zhuǎn)換為傳送端口狀態(tài)。當(dāng)特定的橋接端口連接于LAN邊緣的一個LAN段時，這一點(diǎn)將十分有用，例如在該LAN段沒有其它的橋接或交換可用的情況時。Catalyst全線交換機(jī)均支持IEEE802.1w和IEEE802.1s協(xié)議。 PortFast：生成樹協(xié)議會運(yùn)行在交換機(jī)的所有端口上，但接入層交換機(jī)的許多端口連接著工作站或服務(wù)器，這些點(diǎn)到點(diǎn)連接是不會出現(xiàn)環(huán)路的。PortFast技術(shù)將這類端口從STP的計(jì)算中排除出去。當(dāng)主機(jī)連接到交換機(jī)時，啟動PortFast的端口將直接成為轉(zhuǎn)發(fā)狀態(tài)，避免了STP計(jì)算造成用戶在最初一段時間不能使用網(wǎng)絡(luò)的情況，將工作站或服務(wù)器連接上網(wǎng)的時間減至最短。針對Access端口跳過listening-learning階段。 UplinkFast：當(dāng)接入層交換機(jī)有兩條鏈路連接匯聚層設(shè)備時，如果出現(xiàn)環(huán)路肯定會有一條鏈路在STP計(jì)算時被阻斷掉。在主鏈路斷掉時，被生成樹阻斷的端口需要重新進(jìn)行計(jì)算，在經(jīng)過50秒后被打開參與用戶數(shù)據(jù)的轉(zhuǎn)發(fā)。在訪問層交換機(jī)上啟動UplinkFast功能后，如果交換機(jī)在直連的主鏈路上檢測到失效，那么交換機(jī)會立即將被阻斷的備份端口打開轉(zhuǎn)發(fā)數(shù)據(jù)，通常情況下只需要2到4秒鐘的時間。這樣就可以通過UplinkFast提高交換網(wǎng)絡(luò)的收斂速度。 BackboneFast：匯聚層交換機(jī)與主干交換機(jī)之間為保證鏈路的可靠性，往往會形成環(huán)形鏈路，環(huán)形鏈路上某個鏈路或接口的故障會引起生成樹的重新計(jì)算。在主鏈路斷掉時，被生成樹阻斷的端口需要重新進(jìn)行計(jì)算，在經(jīng)過20秒的最大等待時間（Max_Age）后進(jìn)入偵聽（listening）狀態(tài)，在經(jīng)過30秒后被打開參與用戶數(shù)據(jù)的轉(zhuǎn)發(fā)。在匯聚層交換機(jī)上啟動BackboneFast功能后，如果交換機(jī)在非直連的主鏈路上，即迂回鏈路上檢測到失效，交換機(jī)快速收斂去掉最大等待時間（Max_Age）20秒，因此可以節(jié)省生成樹的計(jì)算時間至8~30秒。 增強(qiáng)功能：UDLD（線路單向連通問題自動診斷功能），用于檢測光纖或銅纜以太網(wǎng)鏈路上的故障。由于生成樹具有單向的BPDU流，對這種故障相當(dāng)敏感。在一個端口突然不能發(fā)送BPDUs的時候，引起鄰居的STP狀態(tài)改變，導(dǎo)致鄰居的“blocking”端口切換到“forwarding”狀態(tài)。由于原forwarding端口仍然可以接收包，從而引起環(huán)路。因此，UDLD可以監(jiān)視物理電纜的配置，并將通過“ErrDisabled”狀態(tài)將配置不正確的端口給down掉。避免出現(xiàn)單向連接，當(dāng)檢測到一個因?yàn)榻橘|(zhì)或端口故障導(dǎo)致的單向連接時，將端口shutdown并標(biāo)識為“ErrDisabled”狀態(tài)，同時產(chǎn)生一個syslog信息。2.更全的鏈路捆綁 CiscoPAgP和IEEE802.3ad：PAgP是一個用于在檢查Channel兩端的參數(shù)的一致性以及在出現(xiàn)增加鏈路或鏈路失效時的重新適配的一個管理協(xié)議，PAgP協(xié)議控制每個獨(dú)立的物理或邏輯端口打成Channel的行為，如果一個Channel中的某個鏈路失效（撥掉光纖或光纖斷了）了，agport會進(jìn)行更新，流量會在現(xiàn)有的端口上重新進(jìn)行hash計(jì)算，不會有包丟失。源自思科ISL的802.3ad把兩個或多個Link捆綁成邏輯的虛擬的單一通道，子Link之間提供自動流量負(fù)載平衡和冗余，很大程度上會簡化系統(tǒng)集成，減少升級骨干網(wǎng)絡(luò)的投資。 點(diǎn)到點(diǎn)的冗余連接在重新建立的鏈路仍可進(jìn)行負(fù)載均衡，鏈路恢復(fù)時間小于1秒3.更強(qiáng)大的路由災(zāi)備 VRRP/HSRP：虛擬路由器冗余協(xié)議/熱備份路由器協(xié)議，實(shí)現(xiàn)VRRP/HSRP的條件是系統(tǒng)中有多臺路由器，它們組成一個“熱備份組”，這個組形成一個虛擬路由器。在任一時刻，一個組內(nèi)只有一個路由器是活動的，并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動路由器發(fā)生了故障，將選擇一個備份路由器來替代活動路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機(jī)看來，虛擬路由器沒有改變。所以主機(jī)仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。 GLBP：網(wǎng)關(guān)負(fù)載平衡協(xié)議，相對于HSRP與VRRP，GLBP具有很多的優(yōu)點(diǎn)，在保護(hù)第一個跳動路由器的同時能在所有可用路徑上分配分組負(fù)載，使得網(wǎng)絡(luò)帶寬的利用率更高。以前，如果主路由器或路徑中出現(xiàn)錯誤，則第一個跳動冗余功能只能在備份WAN路徑上轉(zhuǎn)發(fā)分組。GLBP可使組中的任一路由器擔(dān)當(dāng)備份作用，并能簡化配置。最大的區(qū)別是在HSRP和VRRP中同一個GROUP中只有一個路由器在轉(zhuǎn)發(fā)流量，其余路由器只是起備份作用，而在GLBP中，同一個GROUP的所有路由器（最多4個）可以同時轉(zhuǎn)發(fā)流量。這樣就起到了負(fù)載均衡的作用。系統(tǒng)級可靠性系統(tǒng)級可靠性是指軟件重新加載或升級時，系統(tǒng)重新啟動對網(wǎng)絡(luò)運(yùn)行所造成的影響。系統(tǒng)級可靠性在組網(wǎng)的過程中往往容易忽略，但是對于主干網(wǎng)絡(luò)設(shè)備來說，連接中斷所造成的影響會很快波及整個網(wǎng)絡(luò)。因此，盡可能大的縮短系統(tǒng)軟件的加載時間才可以有效提供系統(tǒng)級可靠性。2.3.6數(shù)據(jù)中心設(shè)計(jì)數(shù)據(jù)中心的發(fā)展正在經(jīng)歷從整合，虛擬化到自動化的演變，基于云計(jì)算的數(shù)據(jù)中心是未來的更遠(yuǎn)的目標(biāo)。整合是基礎(chǔ)，虛擬化技術(shù)為自動化、云計(jì)算數(shù)據(jù)中心的實(shí)現(xiàn)提供支持。數(shù)據(jù)中心的虛擬化有很多的技術(shù)優(yōu)點(diǎn)：可以通過整合或者共享物理資產(chǎn)來提高資源利用率，調(diào)查公司的結(jié)果顯示，全球多數(shù)的數(shù)據(jù)中心的資源利用率在15%～20%之間，通過整合、虛擬化技術(shù)可以實(shí)現(xiàn)50%～60%的利用率;通過虛擬化技術(shù)可以實(shí)現(xiàn)節(jié)能高效的綠色數(shù)據(jù)中心，如可以減少物理設(shè)備、電纜，空間、電力、制冷等的需求;可以實(shí)現(xiàn)對資源的快速部署以及重部署以滿足業(yè)務(wù)發(fā)展需求。數(shù)據(jù)中心虛擬化的簡單示意圖。數(shù)據(jù)中心的資源，包括\o"服務(wù)器"服務(wù)器資源、I/O資源、\o"存儲"存儲資源組成一個資源池，通過上層的管理、調(diào)度系統(tǒng)在智能的虛擬化的\o"網(wǎng)絡(luò)"網(wǎng)絡(luò)結(jié)構(gòu)上實(shí)現(xiàn)將資源池中的資源根據(jù)應(yīng)用的需求分配到不同的應(yīng)用處理系統(tǒng)。虛擬化數(shù)據(jù)中心可以實(shí)現(xiàn)根據(jù)應(yīng)用的需求讓數(shù)據(jù)中心的物理IT資源流動起來，更好的為應(yīng)用提供資源調(diào)配與部署。數(shù)據(jù)中心虛擬化發(fā)展的第一個階段是通過整合實(shí)現(xiàn)\o"服務(wù)器"服務(wù)器和應(yīng)用的虛擬化服務(wù)，這階段的數(shù)據(jù)中心也是很多公司已經(jīng)做的或正要做的。在這一階段，數(shù)據(jù)中心虛擬化實(shí)現(xiàn)的是區(qū)域內(nèi)的虛擬化，表現(xiàn)為數(shù)據(jù)中心的服務(wù)如網(wǎng)絡(luò)服務(wù)、\o"安全"安全服務(wù)、邏輯服務(wù)還是與物理服務(wù)器的部署相關(guān)聯(lián);虛擬機(jī)上的VLAN與網(wǎng)絡(luò)交換層上的VLAN對應(yīng);存儲LUN以類似映射到物理服務(wù)器的方式映射到虛擬機(jī)。如下圖。數(shù)據(jù)中心虛擬化發(fā)展的第二個階段是通過虛擬主機(jī)遷移技術(shù)(VM'sMobility)實(shí)現(xiàn)跨物理服務(wù)器的虛擬化服務(wù)。如下圖。在這個階段，實(shí)現(xiàn)了數(shù)據(jù)中心內(nèi)的跨區(qū)域虛擬化，虛擬機(jī)可以在不同的物理服務(wù)器之間切換，但是，為滿足虛擬機(jī)的應(yīng)用環(huán)境和應(yīng)用需求，需要網(wǎng)絡(luò)為應(yīng)用提供智能服務(wù)，同時還需要為虛擬化提供靈活的部署和服務(wù)。思科在下一代的數(shù)據(jù)中心設(shè)計(jì)中采用統(tǒng)一交換的以太網(wǎng)架構(gòu)，思科數(shù)據(jù)中心統(tǒng)一交換架構(gòu)的愿景圖如下。改進(jìn)之前的數(shù)據(jù)中心物理上存在幾個不同的網(wǎng)絡(luò)系統(tǒng)，如局域網(wǎng)架構(gòu)、SAN網(wǎng)絡(luò)架構(gòu)、高層的計(jì)算網(wǎng)絡(luò)架構(gòu)、管理控制網(wǎng)絡(luò)架構(gòu)，各個網(wǎng)絡(luò)上采用的技術(shù)不同，如局域網(wǎng)主要采用以太網(wǎng)技術(shù)，SAN網(wǎng)絡(luò)主要采用FiberChannel技術(shù)。而在思科的下一代統(tǒng)一交換架構(gòu)數(shù)據(jù)中心中，數(shù)據(jù)中心的服務(wù)器資源、存儲資源、網(wǎng)絡(luò)服務(wù)等都通過統(tǒng)一的交換架構(gòu)連接在一起，數(shù)據(jù)中心只有一個物理網(wǎng)絡(luò)架構(gòu)，可以實(shí)現(xiàn)動態(tài)的資源調(diào)配，提升效率和簡化操作。統(tǒng)一交換架構(gòu)下數(shù)據(jù)中心的虛擬化如下圖。統(tǒng)一交換架構(gòu)下數(shù)據(jù)中心虛擬化簡化了數(shù)據(jù)中心的管理和運(yùn)維，實(shí)現(xiàn)了真正的任意IT資源之間的靈活連接，實(shí)現(xiàn)了統(tǒng)一的I/O，在統(tǒng)一的I/O上可以實(shí)現(xiàn)最新的萬兆網(wǎng)、無丟失(FCoE)、低延時的數(shù)據(jù)中心以太網(wǎng)技術(shù)。統(tǒng)一交換架構(gòu)下數(shù)據(jù)中心虛擬化為未來的進(jìn)一步的虛擬化和基于云計(jì)算的數(shù)據(jù)中心提供了平臺。數(shù)據(jù)中心虛擬化架構(gòu)包括數(shù)據(jù)中心前端虛擬化、服務(wù)器虛擬化、數(shù)據(jù)中心后端虛擬化。如下圖。思科設(shè)計(jì)數(shù)據(jù)中心時采用分層、分區(qū)的設(shè)計(jì)方式，層次設(shè)計(jì)包括核心層、匯聚層、接入層，接入層的不同功能的服務(wù)器位于不同的區(qū)域，服務(wù)器經(jīng)過每個區(qū)域的匯聚層連接到核心層。數(shù)據(jù)中心前端虛擬化是指對服務(wù)器網(wǎng)絡(luò)接口之前的數(shù)據(jù)中心基于以太網(wǎng)的網(wǎng)絡(luò)架構(gòu)的虛擬化。服務(wù)器虛擬化指在一臺物理服務(wù)器上為多個應(yīng)用需求實(shí)現(xiàn)多個虛擬機(jī)，并且實(shí)現(xiàn)區(qū)域內(nèi)資源的動態(tài)調(diào)配、遷移，服務(wù)器虛擬化技術(shù)的實(shí)現(xiàn)需要網(wǎng)絡(luò)的支持配合。數(shù)據(jù)中心后端虛擬化指通過虛擬化技術(shù)將服務(wù)器和存儲資源更好的調(diào)配使用起來。數(shù)據(jù)中心后端虛擬化后端虛擬化的主要內(nèi)容如下圖。包括虛擬化服務(wù)器、HBAs，統(tǒng)一輸入輸出/Fabrics、存儲等。后端虛擬化可以優(yōu)化資源的使用、增加靈活性和敏捷能力、簡化管理、減少TCO。傳統(tǒng)的基于應(yīng)用/部門的SAN存儲網(wǎng)絡(luò)的架構(gòu)如下圖?？傮w上看各個SAN網(wǎng)絡(luò)如一座座的孤島，每個島上的端口都過量，需要管理大量的交換機(jī)，并且他們的資源無法共享。整合的VSAN存儲網(wǎng)絡(luò)架構(gòu)如下圖。它是一個供所有應(yīng)用系統(tǒng)使用的公用存儲網(wǎng)絡(luò)，能夠做到：最大化端口利用率，無需多余擴(kuò)展端口;減少整體交換設(shè)備數(shù)量，降低管理復(fù)雜度;更靈活的配置存儲資源，提高資源利用率;為未來的存儲虛擬化打下基礎(chǔ)。最終應(yīng)對越來越多的云服務(wù)虛擬化需求，數(shù)據(jù)中心設(shè)計(jì)拓?fù)淙缦?2.3.7IP語音網(wǎng)絡(luò)方案設(shè)計(jì)一，思科協(xié)作平臺BusinessEdition6000優(yōu)勢具有豐富的功能，為中型公司特別優(yōu)化的企業(yè)級協(xié)作解決方案。支持5個應(yīng)用服務(wù)運(yùn)行在一個思科UCSC220M3服務(wù)器上，可以支持到1000個用戶，100個聯(lián)絡(luò)中心座席和50個分支節(jié)點(diǎn)，高可靠性，可以通過第二臺思科UCS或者思科MCS服務(wù)器來作為Cluster。簡化管理，通過使用CiscoPrimeUnifiedProvisioningManager實(shí)現(xiàn)。吸引人的低“入門”門檻，捆綁許可證免費(fèi)提供VMware和CiscoPrimeUnifiedProvisioningManager多種可選包，例如思科統(tǒng)一聯(lián)絡(luò)中心CiscoUnifiedContactCenterExpress和CiscoWebExMeetingCenter。極好的投資保護(hù)－可以靈活升級到正常的CUCM。圖2.BE6000的應(yīng)用二，思科BE6000典型部署模型和架構(gòu)圖3.BE6000的部署模型根據(jù)建筑規(guī)劃設(shè)計(jì)研究院的統(tǒng)一通信系統(tǒng)的需求，我們提供了一個基于UCSC220M3平臺作為CUCM的集中呼叫處理的解決方案。由于思科統(tǒng)一通訊解決方案的彈性擴(kuò)展體系，可以從較小的規(guī)模和應(yīng)用逐步擴(kuò)展到大型規(guī)模和復(fù)雜應(yīng)用，所以為建筑規(guī)劃設(shè)計(jì)研究院提供的統(tǒng)一通訊系統(tǒng)提供了靈活快速的實(shí)施方案。思科統(tǒng)一通訊解決方案在保證可靠性和穩(wěn)定性的前提下，又不失其先進(jìn)性。根據(jù)我們對該統(tǒng)一通訊網(wǎng)絡(luò)功能定位的分析，我們認(rèn)為思科提供的解決方案是最合適的方案，并且還具有如下的優(yōu)點(diǎn)和特點(diǎn)：基于建筑規(guī)劃設(shè)計(jì)研究院統(tǒng)一的網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)、話音等多種業(yè)務(wù)，大大降低通信費(fèi)用，同時能夠提供更多提高生產(chǎn)效率的新型應(yīng)用。高可靠性，CUCM可支持冗余的配置，并利用思科的CUCMCluster技術(shù)，確保如發(fā)生CUCM服務(wù)故障，用戶的通訊不受影響。高擴(kuò)展性、部署靈活。既可采用全網(wǎng)集中式管理和呼叫控制，又可實(shí)施以二級分支機(jī)構(gòu)為基礎(chǔ)的基于用戶權(quán)限的多級控制和管理，隨著業(yè)務(wù)發(fā)展的需求，各級分支機(jī)構(gòu)語音網(wǎng)關(guān)（媒體網(wǎng)關(guān)）的設(shè)備分布今后可以平滑透明進(jìn)行部署，如在地市級分支機(jī)構(gòu)本地設(shè)置或者共享上級省分支機(jī)構(gòu)的網(wǎng)關(guān)設(shè)備。而全網(wǎng)集中式管理和分布式管理的靈活結(jié)合，大大降低了系統(tǒng)實(shí)施、運(yùn)營、維護(hù)、擴(kuò)展、管理等一系列成本。經(jīng)大量客戶實(shí)施驗(yàn)證的先進(jìn)、成熟、穩(wěn)定、可靠性，兼容多家廠商設(shè)備，保證今后系統(tǒng)投資成本以及與第三方語音通信系統(tǒng)或者第三方應(yīng)用的快速集成。端到端集成式安全、有服務(wù)質(zhì)量保證的統(tǒng)一通訊解決方案，提供更全面的技術(shù)支持和售后服務(wù)。拓?fù)鋱D如下:2.3.8IP網(wǎng)絡(luò)視頻方案系統(tǒng)配置清單序名稱產(chǎn)品圖片型號備注1高清會議終端主會場大會議室2高清一體式終端主會場小會議室3高清一體式終端主會場小會議室4高清視頻終端分會場會議室5高清MCU主會場核心機(jī)房高清MCU優(yōu)勢思科高清MCU采用業(yè)界領(lǐng)先的端口全編全解技術(shù)，可以實(shí)現(xiàn)終端采用任意呼叫速率、任意呼叫方式、任意視頻分辨率等接入同一個會議中，實(shí)現(xiàn)低帶寬終端會影響高帶寬的視頻質(zhì)量，真正實(shí)現(xiàn)全編全解，帶給用戶更好的視頻效果。高清終端優(yōu)勢CISCOPrecision1080P攝像機(jī)CISCOPrecision1080P具有目前視頻通信業(yè)界最佳的視頻效果，隨時捕捉到傳神的視頻圖像：全高清輸出接口：HDMI、HD-SDI全高清能力：1080P、720P分辨率下60/50/30/25幀/秒圖像捕捉能力自動吊裝（自動識別，無需手動設(shè)置）12倍光學(xué)變焦增強(qiáng)白平衡、自動人臉識別功能。高清視頻線纜可以延長至80米多接口高清終端CISCO全系列終端支持?jǐn)?shù)字高清接口：HDMI和DVI-I：數(shù)字視頻接口HDMI/DVI-I支持1080P/720P高清HD顯示適應(yīng)飛速發(fā)展的數(shù)字顯示技術(shù)避免多次數(shù)/模轉(zhuǎn)換，大幅度提升圖像質(zhì)量越來越多的投影和顯示設(shè)備支持?jǐn)?shù)字視頻接口通過DVI-I電纜兼容現(xiàn)有模擬VGA接口豐富的接口對用戶的實(shí)際意義：通過多種視音頻接口，連接各種視音頻外設(shè)，如調(diào)音臺、立體聲音箱、平板顯示器、投影機(jī)、文本攝像機(jī)、PC、DVD機(jī)等，使會議內(nèi)容和手段變得豐富。借助豐富的音視頻接口，用戶還可以實(shí)現(xiàn)大屏幕的直接輸出，實(shí)現(xiàn)氣勢恢宏的視覺效果。CISCO提供HDMI數(shù)字接口：CISCO提供高清數(shù)字接口，HDMI(High-DefinitionMultimediaInterface)：高清多媒體接口。首個支持在單線纜上傳輸，不經(jīng)過壓縮的全數(shù)字高清晰度、多聲道音頻和智能格式與控制命令數(shù)據(jù)的數(shù)字接口。HDMI傳輸帶寬完全滿足傳輸1080P60幀/秒的高清視頻，并且在今后相當(dāng)長一段時間內(nèi)都可以提供對更高清晰度視頻格式的支持。傳統(tǒng)的AV復(fù)合和色差接口都需要獨(dú)立分開音頻和視頻數(shù)據(jù)線來傳輸信號，同為數(shù)字接口的DVI接口則并不支持音頻傳輸，目前唯有HDMI具備了在一條數(shù)據(jù)線上同時傳送影音信號的能力。會議雙流功能在雙視頻流傳輸中，第二路流可以是PC畫面、幻燈片、輔助攝像頭或電子白板等，在傳輸PC畫面時，能夠支持最高1280*720分辨率。當(dāng)召開會議時，CISCO終端、MCU均嚴(yán)格遵循ITU-TH.239雙流標(biāo)準(zhǔn)(基于CiscoDuoVideo標(biāo)準(zhǔn)制定)，并且同時支持IEFTBFCP雙流格式?？蓪?shí)現(xiàn)完全數(shù)字信號的清晰的數(shù)據(jù)畫面?zhèn)鬏?。ITU-TH.239標(biāo)準(zhǔn)雙流協(xié)議IEFTBFCP標(biāo)準(zhǔn)雙流協(xié)議支持雙流動態(tài)或靜態(tài)視頻流發(fā)送、接收數(shù)據(jù)分辨率可至1280*720終端動態(tài)雙流分辨率可至720P(1280×720)終端數(shù)字DVI-I接口即插即用，實(shí)現(xiàn)無損的數(shù)字信號傳輸CiscoSX20/C20SD產(chǎn)品TheCiscoTelePresenceSX20是集時尚輕巧外觀與強(qiáng)大功能與一體的視頻通信系統(tǒng)。SX20是業(yè)界第一款支持1080P60幀的視會議終端產(chǎn)品。同時還具有內(nèi)置多點(diǎn)選項(xiàng)及4倍變焦與12倍變焦兩種鏡頭選擇，確保用戶以最合適的價格來適應(yīng)房間與功能的需求。C20特點(diǎn)：576p30幀(主通道/運(yùn)動模式)或者720p10幀(雙通道/清晰模式)平滑升級至1080p，隨用戶增長而增長先進(jìn)(in-Touch,Multiway,大規(guī)模部署等.)簡單部署，使用方便與客戶完美結(jié)合部署CiscoSX20/C20SD/MCU53103建筑規(guī)劃設(shè)計(jì)研究院安全設(shè)計(jì)3.1安全防護(hù)體系設(shè)計(jì)思想從系統(tǒng)角度來看，網(wǎng)絡(luò)安全不是一個簡單的產(chǎn)品問題，網(wǎng)絡(luò)安全首先是個系統(tǒng)問題。從技術(shù)角度而言，網(wǎng)絡(luò)安全主要應(yīng)考慮以下幾個方面：1.設(shè)備安全——網(wǎng)絡(luò)中應(yīng)該重點(diǎn)保護(hù)的設(shè)備，設(shè)備出現(xiàn)安全問題時對整個網(wǎng)絡(luò)的影響力，以及設(shè)備本身對安全攻擊的抵抗和處理能力。2.身份鑒別與授權(quán)——身份包括鑒別和授權(quán)。鑒別回答了“你是誰”和“你在哪？”這兩個問題，授權(quán)回答“你可以訪問什么”。需要對身份機(jī)制謹(jǐn)慎部署，否則即便是最嚴(yán)謹(jǐn)?shù)陌踩呗砸灿锌赡鼙槐荛_。3.邊界安全——邊界安全涉及到防火墻種類的功能，決定網(wǎng)絡(luò)的不同區(qū)域允許或拒絕何種業(yè)務(wù)，特別是在Internet和主干網(wǎng)或撥入網(wǎng)之間。4.數(shù)據(jù)的保密性和完整性——數(shù)據(jù)的保密性指的是確保只有獲準(zhǔn)能夠閱讀數(shù)據(jù)的實(shí)體以有效的形式閱讀數(shù)據(jù)，而數(shù)據(jù)完整性指的是確保數(shù)據(jù)在傳輸過程中未被改動。5.安全監(jiān)測——為檢驗(yàn)安全基礎(chǔ)設(shè)施的有效性，應(yīng)經(jīng)常進(jìn)行定期的安全審查，包括新系統(tǒng)安裝檢查，發(fā)現(xiàn)惡意入侵行為，出現(xiàn)的特殊問題(拒絕業(yè)務(wù)攻擊)以及對安全策略是否全面遵守等方面。6.策略管理——由于網(wǎng)絡(luò)安全涉及到以上的多個方面，每一個方面都使用多種產(chǎn)品和技術(shù)，對這些產(chǎn)品進(jìn)行集中有效的管理可以幫助網(wǎng)絡(luò)管理者有效地部署和更新自己的安全策略。具有一個統(tǒng)一的安全策略對安全防范的實(shí)施非常有幫助，Cisco在網(wǎng)絡(luò)方面提出一個完整的安全解決方案。3.2思科智能安全網(wǎng)絡(luò)平臺概述下圖描述了思科提出的企業(yè)園區(qū)智能安全網(wǎng)絡(luò)平臺的整體架構(gòu)：在這個架構(gòu)中，思科通過新一代的無邊界網(wǎng)絡(luò)安全解決方案，為企業(yè)園區(qū)企業(yè)的生產(chǎn)網(wǎng)絡(luò)、營銷服務(wù)網(wǎng)絡(luò)、研發(fā)網(wǎng)絡(luò)、供應(yīng)鏈網(wǎng)絡(luò)以及企業(yè)數(shù)據(jù)中心等五大核心業(yè)務(wù)網(wǎng)絡(luò)提供完善的安全防御保障機(jī)制。3.3基礎(chǔ)網(wǎng)絡(luò)平臺的安全3.3.1網(wǎng)絡(luò)基礎(chǔ)設(shè)施的集成安全防護(hù)思科網(wǎng)絡(luò)自身安全解決方案，通過網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的主要組成部分－網(wǎng)絡(luò)設(shè)備的安全保護(hù)，各自分工，系統(tǒng)協(xié)作，全面部署，從網(wǎng)絡(luò)到主機(jī)，從核心層到分布層、接入層，我們要采取全面的企業(yè)安全策略來保護(hù)整個網(wǎng)絡(luò)基礎(chǔ)構(gòu)架和其所連接的系統(tǒng)，即使當(dāng)攻擊，蠕蟲和病毒發(fā)生時，思科的網(wǎng)絡(luò)基礎(chǔ)設(shè)施要具備相當(dāng)?shù)牡挚购统惺苣芰?，在自動適應(yīng)“變化”的基礎(chǔ)上，充分利用網(wǎng)絡(luò)基礎(chǔ)平臺的優(yōu)勢，協(xié)助專門的安全系統(tǒng)，定位問題，提供數(shù)據(jù)，有效隔離，快速清楚，確保整體網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。設(shè)備的安全訪問權(quán)限1.用戶口令的認(rèn)證，可通過Cisco設(shè)備進(jìn)行本地認(rèn)證或Radius、TACACS2.用戶級別的劃分，將可進(jìn)入到設(shè)備的管理用戶分為多個級別，對不同級別的用戶具有不通的訪問權(quán)限。3.設(shè)置log記錄，對網(wǎng)絡(luò)設(shè)備的任何有效配置和改動均需要相應(yīng)的記錄。對于用戶口令安全方面的考慮，建議采用集中管理的方式，在企業(yè)信息中心配置CiscoSecure訪問控制器，所有設(shè)備的用戶名、口令、權(quán)限控制都統(tǒng)一管理，避免因分散式管理帶來的安全漏洞和管理的復(fù)雜性。在用戶的資格認(rèn)證方面，有四種常用的認(rèn)證方式，分別是：1.固定用戶名/口令；2.時效用戶名/口令；3.一次性口令；4.令牌卡/軟令牌。這四種方式中，在資格認(rèn)證的可靠性方面，以第一種最低，第四種最高，在使用的方便性方面，則以第四種最低，第一種最高。可見安全和易用是一對矛盾體，要獲得較高的安全性，就需要犧牲一些易于使用性。大型制造企業(yè)啟用ERP和MES系統(tǒng)后，對網(wǎng)絡(luò)安全性的要求會更高，因此我們建議采用安全性較高的令牌卡或軟令牌方式，對企業(yè)管理人員，特別是高級管理用戶進(jìn)行嚴(yán)格的資格認(rèn)證，保證系統(tǒng)的安全性。在資格認(rèn)證上，為防止他人非法盜用、破壞口令，除采用高可靠性的令牌卡方式外，還可以設(shè)置撥入者在輸入N次口令仍失敗后帳戶失效，并及時向系統(tǒng)管理員通知。CiscoISE同時支持TACACS+和RADIUS，為二者提供同等功能，客戶可以自由選擇。在本方案中，我們建議用戶選擇TACACS+，它比RADIUS具有更好的安全性和伸縮性。核心網(wǎng)絡(luò)設(shè)備的控制平面監(jiān)管為了阻止偽裝成特定類型的控制數(shù)據(jù)包直插網(wǎng)絡(luò)心臟的類似威脅，CiscoIOS軟件在Catalyst6500交換機(jī)上提供了可編程的監(jiān)管功能，以限制目的地為控制層面處理器的流量的速度。這個名為“控制層面監(jiān)管(CoPP)”的特性可用于識別特定類型的流量并對其進(jìn)行完全或一定程度的限制，防止路由處理器CPU過載死機(jī)。端口安全控制技術(shù)PortSecurityMAC泛濫攻擊的原理和危害交換機(jī)主動學(xué)習(xí)客戶端的MAC地址，并建立和維護(hù)端口和MAC地址的對應(yīng)表以此建立交換路徑，這個表就是通常我們所說的CAM表。CAM表的大小是固定的，不同的交換機(jī)的CAM表大小不同。MAC/CAM攻擊是指利用工具產(chǎn)生欺騙MAC，快速填滿CAM表，交換機(jī)CAM表被填滿。黑客發(fā)送大量帶有隨機(jī)源MAC地址的數(shù)據(jù)包，這些新MAC地址被交換機(jī)CAM學(xué)習(xí)，很快塞滿MAC地址表，這時新目的MAC地址的數(shù)據(jù)包就會廣播到交換機(jī)所有端口，交換機(jī)就像共享HUB一樣工作，黑客可以用sniffer工具監(jiān)聽所有端口的流量。此類攻擊不僅造成安全性的破壞，同時大量的廣播包降低了交換機(jī)的性能。防范方法限制單個端口所連接MAC地址的數(shù)目可以有效防止類似macof工具和SQL蠕蟲病毒發(fā)起的攻擊，macof可被網(wǎng)絡(luò)用戶用來產(chǎn)生隨機(jī)源MAC地址和隨機(jī)目的MAC地址的數(shù)據(jù)包，可以在不到10秒的時間內(nèi)填滿交換機(jī)的CAM表。CiscoCatalyst交換機(jī)的端口安全(PortSecurity)和動態(tài)端口安全功能可被用來阻止MAC泛濫攻擊。例如交換機(jī)連接單臺工作站的端口，可以限制所學(xué)MAC地址數(shù)為1；連接IP電話和工作站的端口可限制所學(xué)MAC地址數(shù)為3：IP電話、工作站和IP電話內(nèi)的交換機(jī)。通過端口安全功能，網(wǎng)絡(luò)管理員也可以靜態(tài)設(shè)置每個端口所允許連接的合法MAC地址，實(shí)現(xiàn)設(shè)備級的安全授權(quán)。動態(tài)端口安全則設(shè)置端口允許合法MAC地址的數(shù)目，并以一定時間內(nèi)所學(xué)習(xí)到的地址作為合法MAC地址。通過配置PortSecurity可以控制：端口上最大可以通過的MAC地址數(shù)量端口上學(xué)習(xí)或通過哪些MAC地址對于超過規(guī)定數(shù)量的MAC處理進(jìn)行違背處理端口上學(xué)習(xí)或通過哪些MAC地址，可以通過靜態(tài)手工定義，也可以在交換機(jī)自動學(xué)習(xí)。交換機(jī)動態(tài)學(xué)習(xí)端口MAC，直到指定的MAC地址數(shù)量，交換機(jī)關(guān)機(jī)后重新學(xué)習(xí)。目前較新的技術(shù)是StickyPortSecurity，交換機(jī)將學(xué)到的mac地址寫到端口配置中，交換機(jī)重啟后配置仍然存在。對于超過規(guī)定數(shù)量的MAC處理進(jìn)行處理一般有三種方式：Shutdown：端口關(guān)閉。Protect：丟棄非法流量，不報警。Restrict：丟棄非法流量，報警。DHCP窺探保護(hù)DHCPSnooping采用DHCPserver可以自動為用戶設(shè)置網(wǎng)絡(luò)IP地址、掩碼、網(wǎng)關(guān)、DNS、WINS等網(wǎng)絡(luò)參數(shù)，簡化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。但在DHCP管理使用上也存在著一些另網(wǎng)管人員比較問題，常見的有： DHCPserver的冒充。 DHCPserver的DOS攻擊。有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突。由于DHCP的運(yùn)作機(jī)制，通常服務(wù)器和客戶端沒有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存在多臺DHCP服務(wù)器將會給網(wǎng)絡(luò)照成混亂。由于不小心配置了DHCP服務(wù)器引起的網(wǎng)絡(luò)混亂也非常常見。黑客利用類似Goobler的工具可以發(fā)出大量帶有不同源MAC地址的DHCP請求，直到DHCP服務(wù)器對應(yīng)網(wǎng)段的所有地址被占用，此類攻擊既可以造成DOS的破壞，也可和DHCP服務(wù)器欺詐結(jié)合將流量重指到意圖進(jìn)行流量截取的惡意節(jié)點(diǎn)。DHCP服務(wù)器欺詐可能是故意的，也可能是無意啟動DHCP服務(wù)器功能，惡意用戶發(fā)放錯誤的IP地址、DNS服務(wù)器信息或默認(rèn)網(wǎng)關(guān)信息，以此來實(shí)現(xiàn)流量的截取。DHCPSnooping技術(shù)DHCPSnooping技術(shù)是DHCP安全特性，通過建立和維護(hù)DHCPSnooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。通過截取一個虛擬局域網(wǎng)內(nèi)的DHCP信息，交換機(jī)可以在用戶和DHCP服務(wù)器之間擔(dān)任就像小型安全防火墻這樣的角色，“DHCP監(jiān)聽”功能基于動態(tài)地址分配建立了一個DHCP綁定表，并將該表存貯在交換機(jī)里。在沒有DHCP的環(huán)境中，綁定條目可能被靜態(tài)定義，每個DHCP綁定條目包含客戶端地址（一個靜態(tài)地址或者一個從DHCP服務(wù)器上獲取的地址）、客戶端MAC地址、端口、VLANID、租借時間、綁定類型（靜態(tài)的或者動態(tài)的）。如下表所示：GigabitEthernet1/0/7這張表不僅解決了DHCP用戶的IP和端口跟蹤定位問題，為用戶管理提供方便，而且還供給動態(tài)ARP檢測(DAI)和IPSourceGuard使用。防范方法為了防止這種類型的攻擊，CatalystDHCP偵聽(DHCPSnooping)功能可有效阻止此類攻擊，當(dāng)打開此功能，所有用戶端口除非特別設(shè)置，被認(rèn)為不可信任端口，不應(yīng)該作出任何DHCP響應(yīng)，因此欺詐DHCP響應(yīng)包被交換機(jī)阻斷，合法的DHCP服務(wù)器端口或上連端口應(yīng)被設(shè)置為信任端口。首先定義交換機(jī)上的信任端口和不信任端口，對于不信任端口的DHCP報文進(jìn)行截獲和嗅探，DROP掉來自這些端口的非正常DHCP響應(yīng)應(yīng)報文。IP源地址保護(hù)技術(shù)IPSourceGuard常見的欺騙攻擊的種類和目的黑客經(jīng)常使用的另一手法是IP地址欺騙。常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙，其目的一般為偽造身份或者獲取針對IP/MAC的特權(quán)。此方法也被廣泛用作DOS攻擊，目前較多的攻擊是：PingOfDeath、Synflood、ICMPUnreacheableStorm。如黑客冒用A地址對B地址發(fā)出大量的ping包，所有ping應(yīng)答都會返回到B地址，通過這種方式來實(shí)施拒絕服務(wù)(DoS)攻擊，這樣可以掩蓋攻擊系統(tǒng)的真實(shí)身份。富有侵略性的TCPSYN洪泛攻擊來源于一個欺騙性的IP地址，它是利用TCP三次握手會話對服務(wù)器進(jìn)行顛覆的又一種攻擊方式。一個IP地址欺騙攻擊者可以通過手動修改地址或者運(yùn)行一個實(shí)施地址欺騙的程序來假冒一個合法地址。另外病毒和木馬的攻擊也會使用欺騙的源IP地址。互聯(lián)網(wǎng)上的蠕蟲病毒也往往利用欺騙技術(shù)來掩蓋它們真實(shí)的源頭主機(jī)。防范方法CatalystIP源地址保護(hù)(IPSourceGuard)功能打開后，可以根據(jù)DHCP偵聽記錄的IP綁定表動態(tài)產(chǎn)生PVACL，強(qiáng)制來自此端口流量的源地址符合DHCP綁定表的記錄，這樣攻擊者就無法通過假定一個合法用戶的IP地址來實(shí)施攻擊了，這個功能將只允許對擁有合法源地址的數(shù)據(jù)保進(jìn)行轉(zhuǎn)發(fā)，合法源地址是與I