1.可扩展方案1.1概述1.1.1今天的企业网络在今天市场经济的条件下,所有的企业,无论其规模大小,都会面临新的机遇和挑战。企业应用网络技术,能够在提高企业运作效率的基础上,最终增加经济效益和增强竞争能力。在瞬息万变的市场上,网络应用可以帮助企业决策者运筹帷幄,充分利用各种信息资源,优化企业资源配置,扩大各个产业的市场空间,减少了传统商务流程的环节,极大地提高了劳动生产率。置身于网络经济时代,任何企业,无论其规模大小,都必须适应新的潮流。企业内部的网络已经成为提升核心竞争力的关键因素,越来越多的企业都已经充分意识到这一点,加快构建自身的信息网络。通过利用网络技术,现代的企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通,这直接关系到企业能否获得关键的竞争优势。企业网络的重要性,使得网络的可靠性、可扩展性、可管理性和安全性都受到了空前的重视。特别是网络的扩展性,更是不同程度的影响着可靠性、管理性和安全性。良好的扩展性就意味着网络具备良好的持续改进能力。业务的不断发展,接入用户数的增多,数据流量的加大,这些都对网络提出扩展升级的需求。1.1.2网络扩展要求网络的升级扩展包括以下方面:接入能力扩展接入能力是指交换机接入用户数的能力。这种扩展要求通常出现在网络边缘,由于用户数目的增加,现有交换机端口数目不够,需要进行端口数目的扩展处理能力扩展处理能力是指交换机的数据转发能力,一般是指三层转发能力。这种要求通常出现在网络的汇聚层或核心层。随着用户业务的发展,业务数据流较大时,或对业务数据流有较多的QOS或安全策略时,交换机的转发能力不足就会影响业务。带宽扩展带宽扩展通常出现在不同的网络层次间,如接入层和汇聚层,汇聚层和核心层。由于桌面接入的主流都已经是100MB,而100MB交换机的上联端口通常为1000MB,在满负荷情况下,也才能满足10个端口的线速上联,而现在交换机动辄24口,48口,因此在某些情况下,需要进行上联带宽的扩展。平滑扩展随着用户对网络的依赖性越来越强,网络的中断可能会给用户带来巨大的损失。即使是要进行网络的扩展升级,用户也希望不要对现存的网络有影响。这就要求网络的扩展具有平滑不中断的特性。同时,在网络扩展中,能够保护原有设备的投资,不造成投资浪费1.2Cisco®Catalyst®6500系列交换机扩展可扩展性能利用分布式思科快速转发平台提供业界最高的LAN交换机性能--400mpps支持多种思科快速转发部署方式和交换矩阵速率,可为配线间、核心网络、数据中心、广域网边缘部署以及电信运营商网络提供最优配置支持多种扩展模块1.2.1模块扩展Cisco®Catalyst®6500系列交换支持众多模块进行扩展升级。防火墙模块CiscoCatalyst®6500交换机和Cisco7600系列路由器的防火墙服务模块(FWSM)是一种高速的、集成化的服务模块,可以提供业界最快的防火墙数据传输速率:5Gb的吞吐量,100000CPS,以及一百万个并发连接。在一个设备中最多可以安装四个FWSM,因而每个设备最高可以提供20Gb的吞吐量。作为世界领先的CiscoPIX防火墙系列的一部分,FWSM可以为大型企业和服务供应商提供无以伦比的安全性、可靠性和性能。FWSM采用了CiscoPIX技术,并且运行CiscoPIX操作系统(OS)--一个实时的、牢固的嵌入式系统,可以消除安全漏洞,防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法(ASA)的保护机制,它可以提供面向连接的全状态防火墙功能。利用ASA,FWSM可以根据源地址和目的地地址,随机的TCP序列号,端口号,以及其他TCP标志,为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略,控制所有输入和输出的流量。硬件性能5Gbps一百万个并发连接每秒建立和断开超过10万个连接无线控制服务模块适用于Catalyst6500的无线局域网控制器每个模块最多支持300个轻型接入点,能支持10,000多个无线客户端设备,提供了出色的企业可扩展性第三层快速、安全漫游能够与Catalyst6500防火墙和IDS模块互操作企业可靠性集成RRM零配置部署多层安全入侵检测、定位和隔离移动管理入侵检测系统服务模块CiscoIDSM-2是思科入侵检测系统的组成部分。它可以与其他组件合作,有效地保护您的数据基础设施。随着安全威胁的复杂性的日益提高,实施有效的网络入侵安全解决方案对于确保高水平的安全保障至关重要。高水平的安全保障可以确保业务连续性,最大限度地避免入侵可能造成的巨额损失。思科的集成化网络安全解决方案让机构可以防止他们的联网业务资产受到威胁,提高入侵防范的效率。这些解决方案中包括第二代思科入侵检测系统(IDS)模块,即IDSM-2,它可以用在广泛部署的CiscoCatalyst系列设备上。Catalyst系列设备的装机量已经达到数十万台,它是包括防火墙、虚拟专用网(VPN)和入侵检测系统(IDS)服务在内的附加服务的理想平台。由于认识到这种方式的价值,思科推出了这个第二代模块,以便为那些寻求IDS攻击防范的客户提供独特的优势。性能指标对450字节的分组的处理能力为600Mbps每秒最多可以支持5000个TCP连接(新到达)最多可以支持50万个并发连接100%警报率在CiscoCatalyst机箱中添加VLAN或者设备不会对Catalyst的性能造成任何影响支持矩阵网络分析模块网络管理员依靠各种工具来提供有效的网络管理和监控。过去,局域网(LAN)交换机已提高了网络性能,但阻碍了网络管理员对交换流量进行监控。远程监控(RMON)在共享网络上最有效果,在那里,它可以看到所有流量。LAN交换机需要有力的监控,因为它们会过滤信息流量,以便这些信息只出现在与其发送设备和目的地设备相连的端口上。这种对不同网段的网络活动“不断提高的可视性”要求,使管理员很难调整网络性能,而且它也给交换网络中的纠错带来了不便。全球联网领域的领先厂商,思科系统公司推出了一款针对其屡获大奖的高性能Catalyst6500交换机系列的、带网络分析模块(NAM)和全套交换机探针系统的集成化解决方案,可满足交换以太网LAN中多服务网络管理和监控的需要。CiscoCatalyst6500交换机已具有内置RMON特性,在统计、历史、报警和事件组中获取数据。附加RMON/RMON2特性需使用网络监控工具。NAM根据RMON和RMON-2管理信息库(MIB)提供远程监控功能,在所有层收集数据,以便网络管理员可获得实用分析,同于故障隔离和纠正、容量规划和管理、性能管理、应用监控以及调试。CiscoCatalyst6500NAM是Cisco端到端网络管理和监控解决方案的一部分。NAM是Cisco集成化语音、视频和数据体系结构(AVVID)的一个元件,在CiscoLAN网络中定义了强大的多服务交换。随着企业部署融合网络,管理员也需收集有关应用或视频应用的统计数据。NAM收集一直传输至应用层的数据和语音流的多层信息,有助于简化管理当今复杂多服务交换LAN的任务,这种LAN支持各种数据、语音和视频应用,其中包括H.323系列。CiscoWorks2000平台中的语音支持也即将出台。内容交换模块Cisco内容交换模块(CSM)是一个Catalyst6500线卡,可将客户机流量均衡分配至服务器、防火墙、SSL设备或VPN终端设备。CSM为企业和互联网服务供应商(ISP)网络提供了一个高性能、经济有效的负载均衡解决方案。CSM能满足高速内容提供网络的需要,实时跟踪网络会话和服务器负载情况并将每个会话传送至最适当的服务器。容错型CSM配置保持全状态信息,并提供了关键功能所需的真正无中断故障转换。内容交换模块的主要特性:防火墙负载均衡CSM可逐条连接地在多个防火墙间分布流量,从而允许您扩展防火墙保护,同时确保所有属于特定连接的分组都通过同一防火墙传输。支持秘密防火墙和常规防火墙。URL和基于cookie的负载均衡CSM可根据URL、cookie和HTTP报头域对策略进行全面的常规表达模式匹配。CSM支持任意URL或cookie格式,无需改进URL/cookie格式即可对现有Web内容进行负载均衡。网络配置CSM支持多种不同的网络拓扑类型。CSM可在混合桥接和路由配置下运行,使流量从相同或不同IP子网上的客户端传送至服务器端。IP协议支持CSM符合多种通用IP协议-包括TCP、UDP等。此外,CSM还支持更高级的协议,包括HTTP、FTP、Telnet、动态名称服务器(DNS)和简单邮件传输协议(SMTP)。UserSessionStickiness在涉及加密或电子商务时,最终用户一直被引导至同一服务器是非常重要的,这一服务器应是用户购物车所处于的服务器或加密隧道终止的服务器。CSM的UserSessionStickiness能根据安全套接字层(SSL)会话ID、IP地址、cookie或HTTP重定向,一直将用户引导回同一服务器。配置上限共32个VLAN(客户机和服务器)4000个虚拟服务器4000个服务器群16000个实际服务器4000个探针16000个访问控制列表(ACL)项性能总结连接1,000,000条同时TCP连接每秒建立200,000条连接――第4层1吞吐量共每秒4Gb综合(客户到服务器和服务器到客户)吞吐量前向(客户到服务器)每秒1GB吞吐量语音通信介质模块思科通信介质模块(CMM)是一个CiscoCatalyst6500模块,提供了灵活的高密度的T1和E1网关,允许机构将其现有TDM网络连至其IP通信网络并提供到PSTN的连接,同时利用通过使用IP通信而带来的新机遇。CiscoCMM模块推出了CiscoCatalyst6500系列的一个新模块化板。CMM现随6端口T1和6端口E1端口适配器提供。CiscoCatalyst6500系列提供了最佳产品和服务,来帮助客户迁移至一个全融合园区网络,实现语音、视频和数据集成,用于每一台式机上的全集成IP通信。使用IP融合网络基础设施而非传统PBX提供语音支持。这大大提高了语音在整体基础设施开支中语的利用率,降低了投资和运行成本,并开创了支持新应用的创新环境。主要特性和优点CiscoAVVID网络基础设施的主要元件之一,CMM系列允许企业将经济有效、无缝的网络基础设施扩展至其网络中的所有地点。投资保护--可现场升级的模块化元件,允许客户能方便地更换或改变接口端口适配器,而无需对整个模块的整体升级。CMM可实现扩展和可适应性,以满足不断发展的要求并最大限度地利用6500插槽。基于CiscoIOS--提供了用于思科网关的熟悉、标准的界面。CiscoIOS为该平台提供了坚固性和丰富特性。CiscoIOS可在新服务出台时方便其在IP通信网络中的部署。可靠性--CMM模块上的热插拔功能几乎无需或根本不必中断服务,即可在处于工作状态的CiscoCatalyst6500交换机上执行硬件维护。在热插拔期间,CMM可以拔下、插入或更换,而只会影响拆除的卡上正在处理的呼叫。作为CMM的一部分,客户可插入一系列端口适配器,以在单一CiscoCatalyst6500插槽中获得多种功能。异常流量防护模块思科®异常流量防护模块是一个集成的服务模块在CiscoCatalyst6500系列交换机和Cisco7600系列路由器,提供大量的防御分布式拒绝服务(DDoS)攻击的一个强大而广泛的解决方案。单一异常流量防护模块提供了对千兆线速处理攻击流量的平台。在异常流量防护模块中采用了独特的“按需”部署模型,转移和过滤有目标地址流量,同时又不影响其他流量。集成多层的防御范围内异常流量防护模块,使其能识别并阻止恶意攻击流量,同时允许合法流量继续流入他们原来的目的地。即使在攻击之中,业务同样不间断地继续下去。表1.思科异常流量防护模块功能特性描述性能选项一:1Gbps•每模块吞吐量1Gbps•升级到150,000动态过滤•1,500,00