惠州市西威研发中心网络技术
设计方案
设计单位:广东立沃信息科技有限公司
日期:2012年3月18日
目录
1. 网络系统概述................................................................................................................1
2. 系统设计依据................................................................................................................1
3. 系统设计原则................................................................................................................2
4. 系统基本描述................................................................................................................3
5. 网络系统规划................................................................................................................4
5.1 层次化设计......................................................................................................................4
5.2 冗余性设计......................................................................................................................5
5.3 VLAN设计..........................................................................................................................6
5.4 IP规划..............................................................................................................................7
5.5 路由规划..........................................................................................................................9
5.6 双机热备与生成树相结合设计.....................................................................................13
6. 无线网络系统规划.......................................................................................................19
6.1 技术选型........................................................................................................................19
6.2 无线网络结构................................................................................................................20
6.2.1 无线控制器...........................................................................................................21
6.2.2 无线AP.................................................................................................................21
6.2.3 POE交换机...........................................................................................................22
6.3 无线网络规划................................................................................................................22
6.3.1 信号覆盖规划.......................................................................................................22
6.3.2 频率规划...............................................................................................................23
6.3.3 频率复用...............................................................................................................24
6.3.4 AP容量规划.........................................................................................................25
6.3.5 负载均衡...............................................................................................................25
7. 内网安全......................................................................................................................26
7.1 BPDUGUARD....................................................................................................................26
7.2 DHCP保护......................................................................................................................27
7.3 ARP欺骗攻击.................................................................................................................32
7.4 静态IP地址的威胁与源IP地址欺骗..........................................................................34
7.5 访问控制安全................................................................................................................36
7.6 UDLD单向链路检测......................................................................................................37
7.7 802.1X认证.....................................................................................................................37
7.8 端口安全........................................................................................................................38
7.9 思科无线安全解决方案................................................................................................39
8. 产品选型......................................................................................................................48
8.1 品牌选择........................................................................................................................48
8.1.1 思科品牌的优势...................................................................................................48
8.1.2 思科交换机的优势...............................................................................................49
8.1.3 思科一体化无线网络技术优势...........................................................................50
8.2 核心交换机WS-C4507R+E............................................................................................51
8.2.1 概述.......................................................................................................................51
8.2.2 融合.......................................................................................................................52
8.2.3 安全的不间断服务...............................................................................................52
8.2.4 可扩展的架构.......................................................................................................53
8.2.5 产品优势...............................................................................................................54
8.3 接入层交换机WS-C2960-48TC-L..................................................................................57
8.3.1 产品概述...............................................................................................................57
8.3.2 重要特性和优势...................................................................................................58
8.3.3 适用客户...............................................................................................................58
8.4 无线控制器AIR-CT2504-50-K9.................................................................................59
8.4.1 产品概述...............................................................................................................59
8.4.2 产品特性...............................................................................................................59
8.4.3 Cisco2500系列无线控制器的优势:.................................................................60
8.5 无线APAIR-LAP1041N-E-K9..........................................................................................61
8.5.1 提供快速、可靠的连接.......................................................................................61
8.5.2 关键任务接入点...................................................................................................62
8.5.3 交互式多媒体接入点...........................................................................................62
8.5.4 入门级802.11n无线........................................................................................63
8.6 POE供电交换机WS-C2960-24PC-L...............................................................................64
9. 产品参数说明..............................................................................................................65
9.1 核心交换机....................................................................................................................65
9.2 接入层交换机................................................................................................................68
9.3 无线控制器....................................................................................................................69
9.4 无线AP...........................................................................................................................69
9.5 POE供电交换机.............................................................................................................70
第三部分网络系统
1.网络系统概述
为了实现德赛西威研发大楼信息化办公建设目标,需要在大楼内建立一套先进的计算机网络。
该网络采用层次化园区网设计,实现千兆主干交换,百兆到桌面,为新大楼办公人员提供一个先进、可靠、高速、基于标准的数据传输平台,为客户提供信息传输服务;同时要对业务数据进行安全保护,为客户创造一个安全的现代化办公平台。
在有线网络基础之上,另外建立一套企业级的无线网络,为大楼无线终端提供无线接入点,对无线接入用户的身份进行认证,控制无线用户的访问权限,有效保护内网数据安全。
2.系统设计依据
《综合交换机技术规范》(YD/T1123-2001)
《以太网交换机技术要求》(YD/T1099-2005)
《具有路由功能的以太网交换机技术要求》
(YD/T1255-2003) 《以太网交换机设备安全技术要求》(YD/T1627-2007)
《具有路由功能的以太网交换机设备安全技术要求》(YD/T1629-2007)
《计算机软件配置管理计划规划》(GB/T12504-90) 《信息技术开放系统互连命名与编址指导》(GB/Z17976-2000)
《TCP/IP路由技术(第一卷)(第二版)》(JeffDoyle(CCIE#1919)) 《路由器安全技术要求》(GB/T18018-1999)
《信息技术低层安全模型》(GB/T18231-2000)
《信息技术开放系统互连网络层安全协议》(GB/T17963-2000)
3.系统设计原则
计算机网络系统设计必须适应客户各项办公需求应用,又可面向未来信息化
发展的需要,因此必须是高质量的。在设计网络时,需要遵循以下原则:
1)实用性和先进性
采用先进成熟的技术满足德赛西威研发大楼的大规模数据、语音等综合业务
需求,兼顾其他相关的管理需求,尽可能采用先进的网络技术以适应更高的数据、
语音的传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来
信息化的发展的需要。
2)安全可靠性
为保证各项业务应用,网络必须具有高可靠性,尽量避免系统的单点故障。
要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。
在采用硬件备份、冗余等可靠性技术的基础上,在网络设计方案中要应用网络管
理手段,保证接入网络用户身份的合法性以及安全性;采用相关的软件技术提供
较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络
系统的安全可靠性。
3)灵活性和可扩展性
计算机网络系统是一个不断发展的系统,所以它必须具有良好的灵活性和可
扩展性,能够根据德赛西威研发大楼信息化不断深入发展的需要,方便灵活的扩
展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种
通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。
4)开放性和互连性
具备与多种协议计算机通信网络互连互通的特性,确保本计算机网络系统的
基础设施的作用可以充分的发挥。在结构上真正实现开放,基于开放式标准,包
括各种局域网、广域网、计算机等,坚持统一规范的原则,从而为未来的发展奠
定基础。IP地址设计须遵循客户网络TCP/IP地址编码规范;设备及端口模块、
光网卡的选型须满足国内外相关的技术标准,并保证与业界主流的网络设备厂家
的设备互联、互通。
5)经济性和投资保护
应以较高的性能价格比构建本计算机网络系统,使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。
尽可能保留延长已有系统的投资,充分利用以往在资金与技术方面的投入。
6)可管理性
由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。所以在网络设计中,必须建立一套全面的网络管理解决方案。网络设备必须采用智能化,可管理的设备。通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作,从而为办公、管理提供最有力的保障。
4.系统基本描述
宗旨:与客户现有网络的融合与优化,与现有的设备进行无缝兼容,包括相关的所有网络协议;网络设备配件可以与现有网络设备模块通用,减少投资成本。
本网络技术方案采用典型二层组网架构:核心层,接入层。
核心层采用两台核心交换机,保证其中一台设备发生故障不影响整网运行。
接入层交换机通过双上行链路至核心交换机,实现链路的冗余备份及负载均接入层交换机具备强大的终端安全特性,有效从设备终端对内网进行安全防衡。
护。
核心层与原办公大楼两台核心设备进行全连接,四台设备两两相连,实现出口多条链路的冗余性和可靠性,同时能增加出口带宽。
另采用一套企业级的无线网络方案,以方便无线终端在有线网络基础之上,
用户的接入需求;其中采用一台无线控制器对所有AP进行统一管理控制;通过设备智能管理方式,提供一套高质量的,高智能的无线网络方案。
新研发大楼的服务器通过双链路分别与两台核心交换机相连,实现服务器链路的冗余备份和负载均衡。
5.网络系统规划
5.1 层次化设计
核心层:
核心层的主要功能是尽可能快地交换数据。提供了高可靠性,并且能够快速的适用路由选择和拓扑的变更。
提供到核心层资源和接入层设备之间的高速传输服务。
接入层:
包括终端用户工作站、IP电话机以及将设备连接到大厦核心层子模块的数据链路层接入交换机。不仅提供网络接入能力,而且还执行重要服务(例如第2层和第3层广播,多播抑制)、访问控制(例如802.1X、数据包过滤)和QOS等。
5.2 冗余性设计
稳定、可靠的高冗余设计,搭建一个完善的网络平台。
核心层高可靠性拓扑设计:新办公楼两台核心交换机与原办公楼两台核心交换机采用全连接形式(Full-Mesh)。
设备冗余:双核心设计。
硬件冗余:双电源1+1冗余设计。
链路聚合:四台核心交换机互联链路均可采用LACP/PAGP技术。
链路冗余:蓝色箭头代表业务数据走向;橘黄色链路为冗余链路;可以看出当这些冗余链路发生故障时不会影响办公业务的正常运行。其中冗余链路包括核心出口多链路、服务器双上行链路、接入层交换机双上行链路等。
5.3 Vlan设计
VLAN是VirtualLocal Area Network的缩写,中文名是虚拟局域网。虚拟局域网是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物
理位置限制而根据用户需求进行网络分段。
Vlan隔离的优点:
增加了网络的连接灵活性
借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。
控制网络上的安全
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播不会送
到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
规划的依据包括:
基于端口的VLAN
基于端口的VLAN是划分虚拟局域网最简单也是最有效的方法,这实际上是某些交换端口的集合,网络管理员只需要管理和配置交换端口,而不管交换端
口连接什么设备。
基于MAC地址的VLAN
由于只有网卡才分配有MAC地址,因此按MAC地址来划分VLAN实际上是将某些工作站和服务器划属于某个VLAN。事实上,该VLAN是一些MAC地址的集合。当设备移动时,VLAN能够自动识别。网络管理需要管理和配置设备的MAC地址,显然当网络规模很大,设备很多时,会给管理带来难度。
基于第3层的VLAN
基于第3层的VLAN是采用在路由器中常用的方法:IP子网和IPX网络号等。其中,局域网交换机允许一个子网扩展到多个局域网交换端口,甚至允许一
个端口对应于多个子网。
基于策略的VLAN
基于策略的VLAN是一种比较灵活有效的VLAN划分方法。该方法的核心是采用什么样的策略。目前常用的策略有:按MAC地址,按IP地址,按以太网协议类型,按网络的应用等。
结合德赛新研发大楼内业务分类,可以根据不同业务、不同部门、不同应用,进行相应的vlan规划。
5.4 IP规划
IP地址规划遵从四个原则:唯一性、可扩展性、连续性、实意性。IP地址的规划原则,主要考虑其扩展性和连续性这样才能更好的进行地址汇总减少路由条目。同时扩展性要预留一定量的IP地址这样才能满足企业的后期扩容。在满足上述情况下可以考虑分配地址的实意性。在IP地址注意事项中要明确这些地址的作用和需要的个数,例如:互联地址需要2个地址,使用/30的掩码即可,
而如果使用其他范围更大的掩码则会造成IP地址浪费。
重新选取一段私有IP地址规划,不可与原办公大楼地址重叠;新选取的IP地址段进行系统划分;近似区域和类似业务注意连续性,以便进行路由汇总,减少路由表条目,缩短路由收敛时间,提高路由协议计算效率;各个区域及区域下子业务都必须进行IP地址预留;按照一套准则进行IP地址前期规划,看到IP地址,并参照准则,就能定位此IP地址类型。
按照先地理位置后业务进行规划:10.0.地区业务.0/255.255.255.0其中地区占3位,业务占5位。
地区包括000到111,共有8位。
业务包括00000到11111,共有32位。
地区 | IP 地址 |
互联地址 | 0 |
网管地址 | 1 |
一楼用户 | 2 |
二楼用户 | 3 |
三楼用户 | 4 |
无线 | 5 |
……(预留) | ……(预留) |
互联地址业务划分
业务 | IP 地址 |
核心交换机1-核心交换机2 | 0 |
核心交换机1-接入层交换机1 | 1 |
……(预留) | ……(预留) |
网管地址业务划分
业务 | IP 地址 |
核心交换机 | 32 |
接入层交换机 | 33 |
……(预留) | ……(预留) |
一楼用户业务划分
业务 | IP 地址 |
部门A | 64 |
部门B | 65 |
部门C | 66 |
……(预留) | ……(预留) |
以此类推……
例如:IP地址10.0.33.1,从第三位为33可以看出地区代码为1,业务代
码为1,属于核心交换机的网管地址。根据最后一位1,参照IP规划表,可以知
道属于哪一台具体的核心交换机网管地址。
5.5 路由规划
OSPF(OpenShortest Path First开放式最短路径优先)是一个内部网关协议(InteriorGateway Protocol,简称IGP),用于在单一自治系统(autonomoussystem,AS)内决策路由。
OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统(AutonomousSystem),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。
作为一种链路状态的路由协议,OSPF将链路状态广播数据LSA(LinkStateAdvertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与
其相邻的路由器。
OSPF的基本规划:
1)选择合适的私有地址段用于Router-id
在每个OSPF路由器上建立环回接口并使用32位掩码的IP地址;环回接口地址在OSPF网络中的发布应该根据实际情况而定;一般情况下不要在OSPF网络中发布,以减少路由表项;如果需要将环回口地址作为管理使用,可以考虑发
布;为保证OSPF运行的稳定性,建议在进行网络规划时应该确定网络中各OSPF路由器RouterID的分配方案,并且在相应路由器上进行手工指定
2)OSPF区域划分
从网络的拓扑结构来看:
如果网络的拓扑结构是树状或星型结构,可以考虑使用缺省路由+静态路由的方式。如果网络的拓扑结构是网状并且任意两台三层交换机都有互通的需求,则应该使用OSPF动态路由协议。所以本方案核心区域采用OSPF路由协议。
3)互联vlan
交换机互联启用三层链路,单独引用互联vlan。不允许业务vlan通过,有效保证业务数据的安全。
4)被动接口
在任何不需要形成OSPF邻居的接口上,配置OSPF被动接口。
5)配置接口bandwidth与物理带宽一致,以确保OSPFCost 能反映真实的 链路带宽;
6)配置点对点以太网的OSPF网络类型为点对点,以加快收敛速度;7)将业务网段发布到OSPF进程;
8)缺省路由引入到OSPF进程;
OSPF协议的优点:
1) OSPF是真正的LOOP-FREE(无路由自环)路由协议。源自其算法本身的 优点。(链路状态及最短路径树算法)
2) OSPF收敛速度快:能够在最短的时间内将路由变化传递到整个自治系统。3) 提出区域(area)划分的概念,将自治系统划分为不同区域后,通过区域之 间的对路由信息的摘要,大大减少了需传递的路由信息数量。也使得路由信 息不会随网络规模的扩大而急剧膨胀。
4) 将协议自身的开销控制到最小。
用于发现和维护邻居关系的是定期发送的是不含路由信息的hello报文,非常短小。包含路由信息的报文时是触发更新的机制。(有路由变化时才会发送)。但为了增强协议的健壮性,每1800秒全部重发一次。
在广播网络中,使用组播地址(而非广播)发送报文,减少对其它不运行ospf 的网络设备的干扰。
在各类可以多址访问的网络中(广播,NBMA),通过选举DR,使同网段 的路由器之间的路由交换(同步)次数由O(N*N)次减少为O(N)次。
提出STUB区域的概念,使得STUB区域内不再传播引入的ASE路由。在ABR(区域边界路由器)上支持路由聚合,进一步减少区域间的路由信息 传递。
在点到点接口类型中,通过配置按需播号属性(OSPFover On Demand Circuits),使得ospf不再定时发送hello报文及定期更新路由信息。只在网络拓扑真正变化时才发送更新信息。
5) 通过严格划分路由的级别(共分四极),提供更可信的路由选择。
6) 良好的安全性,ospf支持基于接口的明文及md5验证。
7)OSPF适应各种规模的网络,最多可达数千台。工程调测当中,可以根据客户意愿,通过调整不同链路开销值,进行不同数据流分流,相同数据流负载均衡等。自由灵活,贴近客户需求。
5.6 双机热备与生成树相结合设计
核心交换机采用HSRP(热备份路由器协议),各个楼层交换机与核心交换机采用MSTP(MultipleSpanning Tree Protocol,多生成树协议),将两者结合在一起,才能建立一套高可靠高稳定的网络架构。
1)HSRP(热备份路由协议)
热备份协议(HSRP)的设计目标是支持特定情况下IP流量失败转
移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用
失败的情形下仍能维护路由器间的连通性。换句话说,当源主机不能动态知道第
一跳路由器的IP地址时,HSRP协议能够保护第一跳路由器不出故障。
HSRP:热备份协议(HSRP:HotStandby Router Protocol),是cisco平
台一种特有的技术,是cisco的私有协议。
该协议中含有多种路由器,对应一个。HSRP协议只支持一个路
由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到
该虚拟路由器上。
负责转发数据包的路由器称之为活动路由器(ActiveRouter)。一旦主动路
由器出现故障,HSRP将激活备份路由器(StandbyRouters)取代主动路由器。
HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个
虚拟的IP地址作为网络系统的地址。如果主动路由器出现故障,备份
路由器(StandbyRouters)承接主动路由器的所有任务,并且不会导致主机连
通中断现象。
HSRP运行在UDP上,采用端口号1985。路由器转发协议数据包的源地址使
用的是实际IP地址,而并非,正是基于这一点,HSRP路由器间能相互
识别。
随着Internet的日益普及,人们对网络的依赖性也越来越强。这同时对网
络的稳定性提出了更高的要求,人们自然想到了基于设备的备份结构,就像在服
务器中为提高数据的安全性而采用双硬盘结构一样。路由器是整个网络的核心和
心脏,如果路由器发生致命性的故障,将导致本地网络的瘫痪,如果是骨干路由
器,影响的范围将更大,所造成的损失也是难以估计的。因此,对路由器采用热
备份是提高网络可靠性的必然选择。在一个路由器完全不能工作的情况下,它的
全部功能便被系统中的另一个备份路由器完全接管,直至出现问题的路由器恢复
正常,这就是热备份(HotStandby Router Protocol),HSRP-RFC2281
技术要解决的问题。
实现HSRP的条件是系统中有多台路由器,它们组成一个“热备份组”,这个
组形成一个虚拟路由器。在任一时刻,一个组内只有一个路由器是活动的,并由它来转发数据包,如果活动路由器发生了故障,将选择一个备份路由器来替代活动路由器,但是在本网络内的主机看来,虚拟路由器没有改变。所以主机仍然保持连接,没有受到故障的影响,这样就较好地解决了路由器切换的问题。
只有活为了减少网络的数据流量,在设置完活动路由器和备份路由器之后,动路由器和备份路由器定时发送HSRP报文。如果活动路由器失效,备份路由器将接管成为活动路由器。如果备份路由器失效或者变成了活跃路由器,将由另外的路由器被选为备份路由器。
在实际的一个特定的中,可能有多个热备份组并存或重叠。每个热 它有一个Well-known-MAC地址和一个IP地备份组模仿一个虚拟路由器工作,
址。该IP地址、组内路由器的接口地址、主机在同一个子网内,但是不能一样。当在一个局域网上有多个热备份组存在时,把主机分布到不同的热备份组,可以使负载得到分担。
利用一个方案来决定哪个配置了HSRP协议的路由器成为 如果一个路由器的优先级设置的比所有其他路由器的优先级默认的主动路由器。
高,则该路由器成为主动路由器。路由器的缺省优先级是100,所以如果只设置一个路由器的优先级高于100,则该路由器将成为主动路由器。
通过在设置了HSRP协议的路由器之间广播HSRP优先级,HSRP协议选出当前的主动路由器。当在预先设定的一段时间内主动路由器不能发送hello消息时,优先级最高的备用路由器变为主动路由器。路由器之间的包传输对网络上的所有主机来说都是透明的。
配置了HSRP协议的路由器交换以下三种多点广播消息:
Hello———hello消息通知其他路由器发送路由器的HSRP优先级和状态信息,HSRP路由器默认为每3秒钟发送一个hello消息;
Coup———当一个备用路由器变为一个主动路由器时发送一个coup消息;Resign———当主动路由器要宕机或者当有优先级更高的路由器发送hello消息时,主动路由器发送一个resign消息。在任一时刻,配置了HSRP协议的路由器都将处于以下五种状态之一:
Initial———HSRP启动时的状态,HSRP还没有运行,一般是在改变配置或
端口刚刚启动时进入该状态。
Listen———路由器已经得到了虚拟IP地址,但是它既不是活动路由器也不是等待路由器。它一直监听从活动路由器和等待路由器发来的HELLO报文。
Speak———在该状态下,路由器定期发送HELLO报文,并且积极参加活动路由器或等待路由器的竞选。
Standby———当主动路由器失效时路由器准备接管包传输功能。
Active———路由器执行包传输功能。
2)MSTP(多生成树协议)
多生成树(MST)使用修正的快速生成树(RSTP)协议,叫做多生成树协议(MSTP)
MSTP(MultipleSpanning TreeProtocol,多生成树协议)将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载均衡。MSTP兼容STP和RSTP,并且可以弥补STP和RSTP的缺陷。它既可以快速收敛,也能使不同VLAN的流量沿各自的路径分发,从而为冗余链路提供了更好的负载分担机制。
当网络正常运行,业务数据流大致走向如下图所示。
但是由于设备和链路的备份冗余使得网络中出现了物理环路;根据交换机的数据转发原理,那么就会导致数据转发的循环;从而引起广播风暴、MAC转发表不稳定等问题,最终造成网络不可用。
引入生成数协议目的是要在一个存在物理链路环路的二层交换网络上,根据
生成树算法在链路层上阻塞一些端口的报文收发,生成一个逻辑上没有环路的树
状拓扑结构。并在拓扑结构发生变化时能够迅速响应,保证全网的连通性。
生成树经历了一段相当长的发展历程,MSTP是最优的选择方案。
本设计方案采用MSTP(MultipleSpanning Tree Protocol,多生成树协议)。
MSTP设置VLAN映射表(即VLAN和生成树的对应关系表),把VLAN
和生成树联系起来;通过增加“实例”(将多个VLAN整合到一个集合中)这
个概念,将多个VLAN捆绑到一个实例中,以节省通信开销和资源占用率。
MSTP把一个交换网络划分成多个域,每个域内形成多棵生成树,生成树之
间彼此独立。
MSTP将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的
增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程
中实现VLAN数据的负载分担。
MSTP兼容STP和RSTP
3)HSRP与MSTP结合部署
MSTP会通过生成树计算阻塞一条上行链路。HSRP通过双核心维持一个虚
拟网关,实际数据通信是由优先级高的核心交换机完成。此时一定要注意,生成
树主交换机必须和双机热备主核心交换机配置为同一台。
6.无线网络系统规划
6.1技术选型
无线局域网技术经过十几年的发展,已经历了三代技术及产品的发展。 第一代无线局域网主要是采用FatAP(即“胖”AP),每一台AP都要单独进行配置,费时、费力、费成本;
第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置,其管理性和性以及对有线的依赖成为了第一代和第二代WLAN产品发展的瓶颈,由于这一代技术的AP储存了大量的网络和安全的配置,包括加密的钥匙,Radius client的安全密码(secret)等,而AP又是分散在建筑物中的各个位置,一旦AP的配置被盗取读出并修改,其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的,所以当用户接入数量(IPsessions)增多时,无线网的性能会急剧下降,时常会发生掉线或死机情况。在这样的环境下,基于无线交换机技术的第三代WLAN产品应运而生。
第三代无线局域网采用无线交换机和FITAP(即“瘦”AP)的架构,对传统WLAN设备的功能做了重新划分,将密集型的无线网络和安全处理功能转移到集中的WLAN交换机中实现,同时加入了许多重要新功能,诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。,使得无线局域网的网
络性能、网络管理和安全管理能力得以大幅提高。
室内无线覆盖将使用大量无线接入点(AP)提供无线网络接入服务,必须有效实现多个AP的统一策略部署和可靠的安全认证机制,因此,采用FITAP的解决方案,即采用无线控制器结合FITAP与无线网络管理系统的架构。
6.2无线网络结构
根据实际情况,德赛西威研发大楼进行全面无线网络覆盖,需要部署的无线AP数量不少,管理难度大。因此,本次方案将采用无线控制器+FITAP架构建设无线网络,并实现整个无线网络的统一集中式管理。
无线网络建设以现有局域网络为基础,无线控制器部署在中心机房。全网的无线AP均工作在FIT模式,由控制器集中管理,实现安全策略、无线QoS策略统一下发。无线AP由POE交换机进行远程供电,提高设备部署的灵活性。POE交换机通过千兆链路连接局域网骨干,实现无线网络和有线网络的衔接。
整体网络拓扑结构如下图所示:
6.2.1 无线控制器
根据现场的实际考察,本次网络建设需部署20个无线AP。因此,无线控制器必须可管理20个以上无线AP。根据实际规划,选用适合中小型企业和分支机构提供系统级的无线功能的无线控制器。此处选择思科2500系列无线控制器,思科2500系列无线控制器支持5、15、25或50个无线接入点,具有可扩展性。同时该控制器提供了集中式安全策略、无线入侵防御系统(WIPS)功能、荣获大奖的无线射频管理以及语音和视频服务质量(QOS)。
6.2.2 无线AP
考虑到德赛西威研发大楼对无线网络有高稳定性和高安全性的需求,因此,在本方案中,无线AP要遵循最高级别的802.11n性能、覆盖范围和安全性,至
少能提供高达54Mbps的无线接入速度。此外,无线AP要具有较高的发射功率,在使用分布式合路部署时,可以灵活方便地对大楼进行覆盖。无线AP统一工作于Fit模式,由无线控制器统一集中管理,减少管理开销。
本方案中,在大楼某些办公区,由于某些办公房间为封闭区域。因此,通过在每个房间配置全向天线;AP通过射频线缆连接定向天线,实现对各个区域的无线信号覆盖。
6.2.3 POE交换机
由于本次无线网中AP设备数量不少,AP布放位置根据实际覆盖效果而调整,在建筑物上较难进行本地供电。因此在本方案中,无线AP全部由POE交换机进行远程供电。
POE交换机采用思科2900系列POE供电交换机。具体型号为:WS-C2960-24PC-L供电交换机,配置24个百兆以太网电接口和2个千兆光电复用接口,提供高密度的网络接入服务。其交换容量16Gbps,实现无线业务数据的高转发,提高网络整体性能。WS-C2960-24PC-L供电交换机支持全端口POE供电,可实现无线AP高密度接入。
6.3无线网络规划
6.3.1 信号覆盖规划
无线覆盖区域包括德赛西威研发大楼三层区域,对无线网络的性能和稳定性要求较高,无线AP高密度部署。
为了提高无线信号质量,无线AP采用企业级芯片和优化的无线技术构建,有助于扩展无线覆盖范围,提高系统容量和性能。无线AP通过信号覆盖规划如下所示:
楼层 | 放置点 | 覆盖区域 | AP 数量 |
一楼 | 部门经理左外墙 | 部门经理室及周边 | 1 |
| KM 部门经理外墙 | KM 部门经理及周边 | 1 |
背景墙 | 前台区域 | 1 | |
会议室 | 会议室及周边 | 1 | |
改装车库外墙 | 改装车库周边 | 1 | |
PMD 部门经理外墙 | PMD 部门经理及外墙 | 1 | |
二楼 | 左边工作间 | 工作间及周围 | 1 |
左部门经理外墙 | 部门经理及周边 | 1 | |
BU 总经理室外墙 | BU 总经理室及周边 | 1 | |
左办公区 | 左办公区 | 1 | |
样机房 | 样机房及周边 | 1 | |
右工作间 | 右工作间及周边 | 1 | |
右部门经理外墙 | 右部门经理周边 | 1 | |
三楼 | 左测试房外墙 | 左测试房及周边 | 1 |
左办公区 | 左办公区 | 1 | |
暗房外墙 | 暗房及周边 | 1 | |
会议室 | 会议室及ME 工作间 | 1 | |
PVM Bench Test | PVM Bench Test 周边 | 1 | |
部门经理室外墙 | 部门经理室及周边 | 1 | |
右办公区 | 右办公区 | 1 | |
总计 | 20 | ||
6.3.2 | 频率规划 |
目前针对WLAN来讲,2.4G具有3具不重叠的信道,针对5.8G具有5个
不重叠信道。根据实际用户端对无线传输协议标准的支持程度,网络覆盖时需要
对WLAN网络空间进行2.4G与5.8G频率的双重覆盖,从网络规划的角度出发,
主要考虑2.4G与5.8G二个频率的覆盖设计,针对2.4G的频率的信号衰减模型
主要采用如下:PathLoss(dB)= 46 +10* n*Log D(m),而对于5.8G的信号衰减
模型:PathLoss(dB)= 32.4+20*lg f[MHz]+ 20*lgd[KM] +a * d[KM],以上二信号
衰减模型进行网络的设计,到具体网络实施时要进行工勘与优化,而对于信道主
要采用1、6、11三个信道交错使用,具体的面覆盖逻辑示意图如下:
6.3.3 频率复用
针对频率复用的设计与实现主要侧重于重叠区域,考虑到802.11技术中目前业界主要采用DCF的仲裁,这样会导致从网络实施的角度出发,没有办法做到像GSM、3G网络的控制力度,从技术原理的角度出发,没有办法实现很好的频率复用,只能被动做些负载均衡的功能。每个AP具有150Mbps、54Mbps、48Mbps、36Mbps、18Mbps等的覆盖范围,对于54Mbps的覆盖范围不重叠,对于54Mbps与18Mbps就可能进行重叠,可以根据网络侧的负载功能进行实现一定程度的频率复用功能,从网络规划的角度出发,WLAN基本上、下行无线链路复用的处理问题,因为目前都是DCF方式,而从只能结合业务目标实现网络覆盖效果。
6.3.4 AP容量规划
从业界实现的DCF方式来看,没有一个最大用户数的限制,但业界各个厂商进行实现时都基于一定理解的前提下进行默认限制,目前每个AP单射频最大的用户默认限制为64个用户,从网络规划的角度出发,按每个AP支持30个用户进行网络规划。
AP的最大净荷吞吐量为:23Mbps,用户的增加总带带下降量不大,100kbps/用户,按128用户进行规划;300kbps/用户按64用户进行规划;1Mbps/用户按22用户进行规划;
802.11a/b/g能够接入的并发用户数量根据不同的业务要求下的用户数量,从系统能力的角度出发,可以支持64用户接入。
由于802.11a或g物理带宽为54M,除开无线开销,真正可用的带宽为24M,同时,802.11a/b/g采用CSMA/CA技术,接入用户数越多,无线网络的使用效率就越低。因此,建议每个AP接入用户数按30个人来计算。
6.3.5 负载均衡
AP上支持标准的IAPP协议框架,通过负载均衡的部署,可实现在一个热点内用户平均分配到所部署的所有AP上,达到在一个服务区AP接入用户数何
流量的平衡,为用户提供更高的服务质量。具体可部署的负载均衡策略有: 对所有AP设置基于用户数的负载均衡功能,AP通过对接入用户数的统计,与设定AP接入用户数量阀值比较,达到阀值后,不允许新的用户接入。
对所有AP设置基于流量的负载均衡功能,AP通过对接入用户流量的统计,与设定AP上流量漏桶阀值上沿比较,达到阀值后,不允许新的用户接入,少于阀值下沿,再允许新用户接入。
配合网络规划,设置AP群功能,在一个群内的AP通过组播报文实时通报接入用户数量,当发现AP间用户数差值大于设定阀值,接入用户多的AP将部分用户赶下网。
7.内网安全
7.1 BPDUGuard
对于接入端口而言,可能临时新链接一台交换机在其下,而这可能会引起STP拓扑不必要的变化。要防止此问题,可以在接入端口激活BPDUGuard(BPDU保护)来监控是否有BPDU进入。换句话说,如果在启用了portfast的端口上收到BPDU包,那就说明网络存在问题,比如该端口和一个未经授权的设备建立连接。在这种情况下,BPDU防护特性会将这个端口切换进error-disable(关闭)状态。BPDU防护特性可以对网络中的错误做出响应。想让进入error-disable状态的接口重新启用,必须手动进行配置,在服务提供商的网络环境中,BPDU防护特性也常用与防止某个access端口参与生出树协议。
BPDU过滤是通过使用BPDU过滤功能,将能够防止交换机在启用了PortFast特性的接口上发送BPDU。对于配置了PortFast特性的端口,它通常连接到主机设备,因为主机不需要参与STP,所有它将丢弃所接收到的BPDU。通过使用BPDU过滤功能,将能够防止向主机设备发送不必要的BPDU。
交换机支持以每个端口或者整个交换机配置BPDU过滤。
但当某个端口接收到了任何的BPDU,那如果全局配置了BPDU过滤功能,
么交换机将把接口更改回正常的STP操作,也就是它将禁用PortFast和BPDU过滤特性。
如果在接口上明确配置了BPDU过滤功能,那么交换机将不发送任何的BPDU,并且将把接收到的所有BPDU都丢弃。
注意,如果在链接到其他交换机的端口上配置了BPDU过滤,那么就有可能导致桥接环路,所以在部署BPDU过滤时要格外小心。
如果在与启用了BPDU过滤的相同接口上配置了BPDU保护,因为BPDU过滤的优先级高于BPDU保护,所以BPDU保护将不起作用。
7.2 DHCP保护
DHCP支持3种IP地址分配机制:
1)自动分配
DHCP为客户端分配租期为无限长的IP地址。
2)动态分配
DHCP为客户端分配具有一定有效期限的IP地址,到达使用期限后,客户端需要重新申请地址。绝大多数客户端得到的都是这种动态分配的地址。
3)手工分配
网络管理员为某些少数特定的Host绑定固定IP地址,且地址不会过期。
DHCP租约过程:
攻击类型:
1)DHCP服务器冒充
该安全威胁引起的后果轻则用户终端获取到不一致的IP信息,造成终端之间通信的问题。重则用户终端获取到不安全的IP信息,造成中间人攻击(ARP攻击也是一种中间人攻击)或网络钓鱼。
2)DHCP服务器DOS攻击
DHCP客户端在有意或无意的情况下借助相关攻击软件向网络中发出大量的DHCP请求,直到把DHCP服务器中相应地址池中的地址全部耗尽,从而让DHCP服务器无法响应正常DHCP请求,造成大量客户机无法获取到有效IP地址。
DHCPSnooping技术原理
DHCPSnooping 是一种功能非常强大的保证DHCP服务安全部署的机制;
通过在开启DHCPSnooping 功能的交换机上定义trust端口和untrust端口来实现对DHCPServer冒充攻击的防范;DHCPSnooping 机制使得交换机可以嗅探经过的DHCP报文,控制DHCP报文按照相关的安全策略来操作;DHCPSnooping还提供了一张动态的binding表,绑定表中包含有获取到的IP地址、客户端的MAC地址、租约时间、绑定类型(静态/动态)、VLAN号、端口号等信息。该表可以帮助实现IPSG以及DAI等功能。
Trust端口和Untrust端口:Trust端口允许所有DHCP报文经过,用来连接合法DHCP服务器;Untrust端口不能接受DHCPOFFER和ACK报文,用来连接DHCP客户端。
DHCPSnooping Enabled
SiTrusted
X
DHCP | Rogue |
嗅探DHCP报文
并非所有来自Untrust端口的DHCP请求都被允许通过,交换机还可以比较封装DHCP请求报文的以太网帧头中的源MAC地址和DHCP请求报文内DHCP客户机的硬件地址(即CHADDR字段),只有这两者相同的请求报文才会被转发,否则将被丢弃。这样就防止了DHCP耗竭攻击。
DHCP监听特性还可以对端口的DHCP报文进行限速。通过在每个非信任端口下进行限速,将可以阻止合法DHCP请求报文的广播攻击。
建立DHCP监听绑定表。DHCP监听还有一个非常重要的作用就是建立一张DHCP监听绑定表(DHCPSnooping Binding)。一旦一个连接在非信任端口的客
户端获得一个合法的DHCPOffer,交换机就会自动在DHCP监听绑定表里添加一个绑定条目,内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。
当交换机收到一个DHCPDECLINE或DHCPRELEASE广播报文,并且报文头的源MAC地址存在于DHCP监听绑定表的一个条目中。但是报文的实际接收
端口与绑定表条目中的端口字段不一致时,该报文将被丢弃。
这张表不仅解决了DHCP用户的IP和端口跟踪定位问题,为用户管理提供方便,而且还为后续的IPSG和DAI技术提供动态数据库支持。
DHCP监听绑定表在设备重启后会丢失,需要重新绑定,但可以通过设置将绑定表保存在flash或者tftp/ftp服务器上,待设备重启后直接读取,而不需要客户端再次进行绑定。
非信任端口只允许客户端的DHCP请求报文通过,这里只是相对于DHCP报文来说的。其他非DHCP报文还是可以正常转发的。这就表示客户端可以以静态指定IP地址的方式通过非信任端口接入网络。由于静态客户端不会发送DHCP报文,所以DHCP监听绑定表里也不会有该静态客户端的记录。
信任端口的客户端信息不会被记录到DHCP监听绑定表里。如果有一客户 DHCP端连接到了一个信任端口,即使它是通过正常的DHCP方式获得IP地址,监听绑定表里也不有该客户端的记录。
如果要求客户端只能以动态获得IP的方式接入网络,则必须借助于IPSG和DAI技术。
7.3 ARP欺骗攻击
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞或者实现“manin the middle” 进行ARP重定向和嗅探攻击。
10.1.1.2
DIP:10.1.1.255
SIP:10.1.1.2
10.1.1.3 | 10.1.1.4 |
UsingPrograms to Create IP
SpoofedTraffic
DAI技术原理:
DAI(Dynamicarp inspection,动态arp检测)是一种能够验证网络中ARP数据包是否合法的交换安全特性。
通过DAI,网络管理员能够拦截、记录、和丢弃具有无效MAC地址–IP地址绑定的arp数据包。
该特性的实现也要借助于DHCPsnooping的绑定表或手工配置。
交换机能够检测DAI非信任端口收到的ARP报文,如果其中的mac与IP对应信息与绑定表中的信息一致则认为该ARP报文为合法报文,若不一致则被认为为非法ARP报文并丢弃,且收到该报文的接口进入err-disabled状态,攻击者也就不能继续对网络进行进一步的破坏。
IP: 10.1.1.1 | Not by My | My GW Is | |
Snooping | Binding Table | ||
10.1.1.1 | |||
MAC: 0000.0000.0001 | |||
binding | |||
trust | DAI(untrust) | 10.1.1.2 | |
与与ARP与与与与与与
与ARP与MAC与与
动态ARP检测可以利用DHCPSnooping绑定表(IP+MAC+端口号)检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP),确保应答来自真正的ARP所有者。
Switch(config)#ip arp inspection vlan
在某个vlan启用DAI
Switch(config-if)#ip arp inspection trust
设置为DAI的信任端口(默认为非信任)
Switch(config-if)#ip arp inspection limit rate 0-2048
限制入站ARP包的速率,若超过,则端口进入err-disabled状态Switch#show ip arp inspection interfaces
查看接口下的DAI
Switch#show ip arp inspection vlan vlan-range
查看VLAN下的DAI
7.4 静态IP地址的威胁与源IP地址欺骗
默认情况下,DHCP网络中还可以手工定义IP地址的,许多用户喜欢经常有意或无意的修改自己终端的IP地址,因此就算是有DHCP服务的存在,也会出现IP地址冲突的情况;如果用户手工定义的IP地址是该网段的网关,则引起的危害更大,整个网段都没法连到外网。
IPSG技术原理:
IP源保护(IPSource Guard,简称IPSG)是一种基于IP或IP+MAC的端口流量过滤技术,它可以防止局域网内的IP地址欺骗攻击。IPSG能够确保第2层网络中终端设备的IP地址不会被劫持,而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。
IPSG实施时往往与DHCPSnooping特性一起使用。开启了DHCPSnooping特性的交换机在DHCP客户端与DHCP服务器完成一次IP地址分配后就会更新 如果在Untrust端口上配置IPSG,就相当于在这个接口上加载了DHCP绑定表,
基于端口的ACL(PACL),此时该端口对收到数据流均要进行过滤:收到的数据流只有在其源IP或源IP+源MAC与绑定表中该接口的IP地址一致,才被放
通。
IPSG技术原理
IP源保护只支持第2层端口,其中包括Access端口和Trunk端口。IP源防护的信任端口/非信任端口也就是DHCP监听的信任端口/非信任端口。对于非信任端口存在两种级别的IP流量安全过滤:
基于源IP地址过滤:
根据源IP地址对IP流量进行过滤,只有当源IP地址与IP源绑定条目匹配,流量才允许通过。当端口创建、修改、删除新的IP源绑定条目的时候,IP源地址过滤器将发生变化。为了能够反映IP源绑定的变更,端口PACL将被重新修改并重新应用到端口上。默认情况下,如果端口在没有存在IP源绑定条目的情况下启用了IP源防护功能,默认的PACL将拒绝端口的所有流量(实际上是 。
除DHCP报文以外的所有IP流量) 基于源IP+源MAC地址过滤:
根据源IP地址和源MAC地址对IP流量进行过滤,只有当源IP地址和源MAC地址都与IP源绑定条目匹配,IP流量才允许通过。当以IP和MAC地址作为过滤的时候,为了确保DHCP协议能够正常的工作,还必须启用DHCP监听选项82。对于没有选项82的DHCP报文,交换机不能确定用于转发DHCP服务器响应的客户端主机端口。相应地,DHCP服务器响应将被丢弃,客户机不能获得IP地址。
当交换机只使用“IP源地址过滤”时,IP源保护功能与端口安全功能是相互独立的。端口安全是否开启对于IP源保护功能来说不是必须的。如果同时开启,则两者也只是一种宽松的合作关系,IP源防护防止IP地址欺骗,端口安全防止MAC地址欺骗。
而当交换机使用“源IP和源MAC地址过滤”时,IP源保护功能与端口安全功能是就变成了一种“集成”关系,更确切的说是端口安全功能被集成到IP源防护功能里,作为IP源保护的一个必须的组成部分。在这种模式下,端口安全的违规处理(violation)功能将被关闭。对于非法的二层报文,都将只是被简单的丢弃。
7.5 访问控制安全
信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,但是
为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。
访问控制列表(AccessControlList,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。
ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。例如:某部门要求只能使用WWW这个功能,就可以通过ACL实现;又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。
7.6 UDLD单向链路检测
UDLD可以检测一对光纤链路收发是否存在故障,如果存在单向链路故障容
易导致环路发生
UDLD的工作原理:
周期性发送UDLD二层帧(UDLDhello包),对端会有UDLD的回应,说明链路正常。若三个UDLDhello周期没收到对端UDLD的回应,则认为链路出现单向故障。全局或光纤接口下单独启用:
udld{ aggressive | enable | disable }
Aggressive模式:端口进入到errdisable状态下就不可用了
Enable一般模式:端口进入到undetermined状态并产生syslog,端口仍然可用
7.7 802.1x认证
802.1x协议是基于的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(accessport)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
802.1x系统为典型的Client/Server结构,包括三个功能实体以及一个核心的认证协议。
请求者系统
请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起802.lx认证,认证请求者和客户端二者表达相同含义。
认证系统
认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LANSwitch和AP)上实现802.1x认证。认证系统、认证点和接入设备表达相同含义。
认证服务器系统
认证服务器是为认证系统提供认证服务的实体,建议使用RADIUS服务器来实现认证服务器的认证和授权功能。请求者和认证系统之间运行802.1x定义。
综合IEEE802.1x的技术特点,其具有的优势可以总结为以下几点。
简洁高效:纯以太网技术内核,保持了IP网络无连接特性,不需要进行协议间的多层封装,去除了不必要的开销和冗余;消除网络认证计费瓶颈和单点故障,易于支持多业务和新兴流媒体业务。
容易实现:可在普通L3、L2、IPDSLAM上实现,造价成本低,
保留了传统的网络架构,可以利用现有的RADIUS设备。
安全可靠:在二层网络上实现用户认证,结合MAC、端口、账户、VLAN和密码等;绑定技术具有很高的安全性,在无线局域网网络环境中802.1x结合EAP-TLS,EAP-TTLS,可以实现对WEP证书密钥的动态分配,克服无线局域网接入中的安全漏洞。
行业标准:IEEE标准,和以太网标准同源,可以实现和以太网技术的无缝融合,几乎所有的主流数据设备厂商在其设备,包括、交换机和无线AP上都提供对该协议的支持。在客户端方面WindowsXP内置支持,Linux也提供了对该协议的支持。
应用灵活:可以灵活控制认证的颗粒度,用于对单个用户连接、用户ID或者是对接入设备进行认证,认证的层次可以进行灵活的组合,满足特定的接入技术或者是业务的需要。
7.8 端口安全
当企业网络中的用户流量怀有故意或存在疏忽,那么就可能导致拥塞或DOS攻击,致使网络中断。因此我们需要只允许网络的合法用户,而拒绝其他未授权用户。
端口安全(port-security)是一种控制终端接入的技术,主要是通过在交换机的端口上定义具体的终端MAC地址或者MAC地址的数量来控制交换机允许接入的终端或终端的数量。
Switch(config-if)#switchport port-security
开启port-security。
Switch(config-if)#switchport port-security mac-address mac-address
在接口上绑定终端mac。只有被端口绑定了mac的终端的数据才能通过接口。且该条目在交换机重启时不会丢失。
Switch(config-if)#switchprot prot-security maximumnum
定义端口上允许通过的终端的数量。对于开启了端口安全的端口默认只允许一个通过(自动绑定接口上收到的第一个数据中所包含的mac)。交换机重启条目丢失。
Switch(config-if)#switchport port-security aging time time
定义动态学习Mac地址所持续的时间
Switch(config-if)#switchprot port-security mac-address sticky
定义将端口上动态学习到的mac转换为可粘连的mac,交换机重启条目不会
丢失。
Switch(config-if)#switchport port-security violation ?
Protect丢弃非法数据包,不发警告。
restric丢弃非法数据包,发警告,发出SNMPtrap,同时被记录在syslog日志里。shutdown默认模式,在这种情况下端口立即变为err-disable状态,并且当一个安全端口处关掉端口灯,发出SNMPtrap,同时被记录在syslog日志里。
在error-disable状态,若要恢复正常需在全局下输入errdisablerecovery causepsecure- violation 命令,或者手动的shut再noshut 端口。
7.9 思科无线安全解决方案
CiscoAironet系列--无线自由和企业级性
唯一一件可能比在您的上交换数据更加重要的事情是保障这些数据的
安全。对安全性的担忧导致很多网络管理员不愿意安装无线网络,无论它能给他
们带来多大的好处。不得不在网络安全和用户对于更高的移动性和灵活性之间进
行权衡的企业纷纷选择了安全第一的策略。
现在,无线安全的情况发生了一定的变化,使IT经理们开始可以放心地部署无线局域网(WLAN)。这是因为现在有了思科无线安全套件--一个基于标准的企业级WLAN解决方案。作为网络行业的领导者和无线网络技术的推动者,思科现在使网络管理员可以在不牺牲用户所需要的网络安全的前提下为用户提
供他们所渴求的自由。
思科无线套件建立在IEEE802.1x无线标准的基础之上。它的核心是曾经获得大奖的、兼容IEEE802.11b的CiscoAironet 系列客户端适配器和访问点。
CiscoAironet 系列以其卓越的性能、安全性和可靠性在业界占据了领先地位。
但是,不要光听我们的介绍,让我们来看看别人对它的评价。《世界》杂志发现,与其他三个同类的高端WLAN系统相比,CiscoAironet 系列可以提
供最佳的安全性、方便的管理和最高的灵活性。《网络世界》用下面这段话总结
了它对于CiscoAironet 系列和802.1xCisco LEAP(可扩展身份认证协议
[EAP]CiscoWireless)身份认证的评价:"在结合了用户的登陆信息和定期的重新
认证以后,CiscoLEAP可以提供您所需要的强大的安全性,从而可以有效地保
护您的企业数据,防止黑客进入您的无线局域网…."
降低WLAN安全风险
像有线网络一样,没有可以保证提供可以在任何时候阻止任何入侵的、绝对
安全的网络环境。安全保护是一个动态的、连续的过程--而不是静态的。网络管
理员和WLAN设备制造商需要在技术上始终比黑客领先一步。
保障WLAN的安全只是整个企业安全框架的一个组成部分。正如任何一位
无线专家都会告诉你的一样,网络管理员会由于部署WLAN而在一定程度上增
加网络的安全风险。安全专家建议企业在网络中部署多层防御措施,以减轻黑客
攻击的威胁。其他的安全组件包括防火墙、入侵检测系统和分段网络。网络管理
员还可以通过精心地和安装无线网络采取行之有效的安全措施,以及使用安
全专家所开发的网络安全产品和降低风险。这就是为什么思科是用户在部署
WLAN时的理想选择。利用思科无线安全套件的各种最新的、曾经获得大奖的
安全特性,网络管理员可以降低他们的网络所面临的风险,同时加强WLAN的
安全性。
无线技术可以提供移动性和自由,并可以提高员工的工作效率
WLAN的使用率正在以指数速度迅猛增长。今天,很多企业纷纷利用无线
网络来提高员工的工作效率。通过部署一个安全的无线网络,员工可以收发电子
邮件,制定会议日程,以及通过他们的膝上型或者手持式PC访问企业网络--
无论他们是在会议室、同事的室还是在公司设在全球各地的分支机构。
企业还发现,添加一个WLAN也有助于改善公司的运营情况。最近进行的
一项独立调查显示,WLAN使终端用户每天可以多联网1.75个小时,平均每个
用户可以节约70分钟,生产率最高可以提高22%(资料来源:NOPWorld,2001
年11月)。这样的生产率可以为企业的发展提供足够的保障。
思科访问点可以帮助安装了思科客户端适配器的用户在园区范围内自由移
动。思科新推出的无线套件可以确保对所有网络资源的高度安全的、不间断
地访问。可以将黑客拒之门外的安全性
无线网络不同于有线网络,因此企业在向它们的网络添加无线技术时,需要注意网络的安全性和随之而来的管理问题。建筑物之外的区域,甚至某个使用WLAN的员工的住家,都有可能成为网络的一部分。
WLAN的覆盖范围是三维的。这意味着可能会有一些事先没有预料到的区 由于射频范围内的任何人都可以查看网络中传输的分域进入访问点的覆盖范围。
组,传统的物理安全控制已经不足以确保网络的安全。
在采用了WLAN以后,网络的边界发生了变化。访问网络的客户端需要检查他们当前加入的是哪个网络。网络管理人员需要尽快地发现并阻止网络攻击。如果没有采取正确的安全措施,一个采用无线网络的公司最终就会像是在公司停车场中安放了一个没有任何保护的RJ-45端口。
:没有今天,采用WLAN的企业正在部署四种不同级别的WLAN安全措施安全、基本安全、增强安全和专业安全。像所有其他有关安全的部署一样,思科建议企业在选择和部署任何一种WLAN安全解决方案之前先进行网络风险评估。
没有保护
在讨论WLAN安全时,首先从没有安全保护的WLAN开始谈起似乎有些不同寻常,实际上并非如此。有相当多的企业目前仍然没有启用WLAN的安全特性。事实上,根据《华尔街日报》最近的一篇报道,两名黑客携带着一个膝上型和一个外接天线,驱车在硅谷附近窃听空间中的WLAN信号,想看看他们能够获得什么样的数据。结果他们在一些"财富500强"公司附近发现了很好的WLAN访问信号。显然这些公司没有采取任何WLAN安全措施,这使得他们的网络面临着严重的威胁。
思科强烈建议所有企业都启用他们的无线安全特性。在建立任何一个无线网络时都必须启用安全特性。在关闭安全特性的情况下建立一个WLAN就好像一天二十四小时都敞开您的企业的大门。
基本安全保护
尽管不启用WLAN安全特性肯定会给网络带来危险,但是另外一种等级的安全最近也频频见诸报端,因为它们非常容易被攻破--它就是基本安全保护。当您听到WLAN安全受到威胁时,通常指的都是采用静态的有线等同保密
(WEP)密钥的基本安全。静态WEP密钥是一种在会话过程中不发生变化也不
针对各个用户而变化的密钥。网络管理员可以设置一个40位或者128位的静态
WEP密钥,用其进行身份认证和加密,它使得WLAN很容易受到"密码再度使
用"式攻击。
静态WEP密钥对于WLAN上的所有用户都是通用的。这意味着如果某个
无线设备丢失或者被盗,所有其他设备上的静态WEP密钥都必须进行修改,以
保持相同等级的安全性。退一步说,这将给企业网络的管理员带来非常费时费力
的、不切实际的管理任务。
我们建议不要在大型企业中使用静态WEB密钥。像AirSnort这样的破解工
具使攻击者可以主动地监控、接收和分析数据分组,破解静态WEP密钥。这方
面已经发表了很多文章,其中包括加州大学伯克利分校出版的一个白皮书《监听
移动通信:802.11的安全性》(2001年1月)。
尽管基本安全保护好过没有安全保护,但是仍然不足以满足企业的需要。唯
一适于采用基本安全和静态WEP密钥的机构是小型企业和一些数量可能非常有
限的攻击或者培训机构,他们需要建立WLAN供学员使用。所有大中型企业和
培训管理部门都必须利用一种更加安全的方法来保护他们的WLAN网络--增强
的安全解决方案。在选择部署一个基本安全解决方案之前,企业或者机构必须进
行网络风险分析,判断静态WEP密钥是否足以满足它对于WLAN安全的需要。
增强的安全保护
增强安全解决方案利用针对每个用户、每个会话的动态WEP密钥来阻止未
经授权的网络访问。该解决方案建立在802.1x身份认证框架和EAP的基础之上,
可以提供基于用户的身份认证。它弥补了第一代静态WEP密钥和基本安全保护
的所有不足。
为了部署大规模的企业WLAN,网络管理员需要可扩展的、轻松的管理管
理方案,以避免加重人员的工作负担。增强的安全保护可以提供一个这样的解决
方案,同时还可以阻止各种精心策划的被动或者主动的WLAN攻击,消除对于
管理静态WEP密钥的需要。这种强大的企业级WLAN安全解决方案可以将服
务质量和移动性集成到它的框架之中,从而可以支持一组更加丰富的企业级应用。
思科新推出的无线安全套件采用了一种增强的安全解决方案。思科扩展了
EAP,创建了CiscoLEAP,它也被称为EAPCisco Wireless。思科无线安全套件
的企业级安全架构包括双向身份认证、消息完整性检查(MIC)、逐个分组密钥
散列、基于策略的密钥旋转、初始化向量(VI)变化,以及远程拨号用户认证服
务(RADIUS)记账记录的可用性。
因为它是一种增强的安全解决方案,所以网络管理员可以确信,思科无线安
全套件将为他们提供企业级的安全和保护。
专业保护
在某些情况下,企业可能需要端到端的安全性来保护他们的业务应用。管理
员可以利用专业安全保护建立一个虚拟专用网(VPN),让身处公共场所(例如
机场和宾馆)的移动用户可以通过隧道访问企业。为了建立一个安全的VPN,
管理员必须特别注意隧道、加密、分组完整性、防火墙、用户和设备认证,以及网
络管理等。这个解决方案需要一个VPN终端。
大多数企业都不需要在他们的内联网中部署一个专业安全WLAN。有些特
殊行业,例如需要采取广泛的安全措施的金融机构,可能需要部署专业安全解决
方案和增强的安全方案。但是对于绝大多数企业网络来说,思科无线安全套件所
提供的安全更加适用,因为它可以避免建立VPN所需要的开支和费用。
思科的SAFE蓝图可以为那些想要利用EAPCisco Wireless部署一个增强式
安全解决方案或者利用VPN部署一个专业安全解决方案的网络人员提供指
导。SAFE蓝图是一种模块化的方法,可以有效地保障那些指定了安全设计、部
署和管理流程的WLAN网络的安全。
利用思科无线套件免除烦恼
对于正在寻找一个安全的无线的企业来说,采用思科无线安全套件的增
强式安全解决方案正在成为业界最主要的选择。在正确配置和启用了新的思科无
线安全套件的各种特性以后,网络管理员可以确信,他们的数据将会非常安全。
利用双向认证和动态WEP密钥,新的思科无线安全套件为企业局域网管理
员们提供了将无线技术引入网络所需要的信心。它的高度的灵活性使网络管理人
员可以自行选择自己需要的保护等级,并且非常牢固,足以提供一个安全框架,
并围绕这个框架建立整个安全解决方案。它的安全管理非常方便,因而不会加重IT
人员的管理负担。
一个员工要想安全地连接到思科无线安全套件只需要一个CiscoAironet 系列WLAN客户端适配器(访问卡)、启用了安全特性的新型CiscoAironet客户端工具(ACU),以及针对特定的覆盖区域的服务集标识符(SSID)。WLAN基础设施包括一个运行着思科无线安全套件的CiscoAironet 系列访问点和一个认证、授权和记账(AAA)RADIUS服务器。只需点击一个按钮,文件就可以从员工的计算机,通过CiscoAironet WLAN客户端适配器发送到运行着思科无线安全套件并连接到RADIUS服务器的CiscoAironet 访问点。整个过程没有任何不便,
非常安全。
利用新的思科无线安全套件,网络管理人员可以放心地部署一个能够提供强大的企业级WLAN安全的无线解决方案。这个解决方案包括了很多来自于802.11标准的建议,该标准重新定义了WLAN怎样阻止那些对于基于静态WEP的系统来说非常有效的攻击。
只有思科的客户端适配器和访问点拥有各种支持动态WEP密钥生成、双向 以及思科无线安全套件的其他一些优点。在采用了思科基础设认证的增强特性,
施、客户端卡、固件/器/工具和RADIUS服务器,并且启用了思科无线安全套件以后,就可以全面实施下列安全措施。
EAPCisco Wireless
CiscoAironet产品支持IEEE802.1x标准框架和EAP,以及EAP认证类型,例如EAP-TLS和EAPCisco Wireless。与基本的EAP相比,EAPCisco Wireless具有两个重要的优点。
第一个优点是客户端和RADIUS服务器之间的双向认证机制,这可以有效地阻止由伪装的访问点发动的"中间人"式攻击。这也有助于确保只有合法的客户
端才能连接合法的、经过授权的无线访问点。
EAPCisco Wireless的第二个优点是对WLAN的集中式密钥管理。在成功地
认证了客户端的身份以后,RADIUS服务器和客户端将获得一个针对用户的WEP密钥,客户端将在本次登录会话中使用这个密钥。
对网络攻击的高级防范
思科解决方案可以阻止各种攻击。该解决方案可以防范AirSnort攻击和强力攻击,以及通过丢失或者被盗的设备发动的入侵和中间人攻击。
AirSnort攻击
思科无线安全套件可以通过提供针对分组的密钥散列以及针对主动的重置密钥的集中式策略配置阻止"weakIV"式攻击。这些特性可以防止黑客利用weakIV获得足够多的分组以破解密钥。
强力攻击
尽管在理论上存在可能性,但是实际上强力攻击非常难以发起,实际上也不会产生任何效果,这要归功于CiscoAironet针对用户、针对会话的动态WEP密钥和频繁的重置密钥功能。而其他使用基于动态WEP的系统的厂商则很容易受到这种攻击的威胁。
通过丢失或者被盗的设备发动的攻击
思科无线套件可以最大限度地降低由于损失设备和接口卡(NIC)而带来的风险。在我们基于802.1x的架构中,思科的认证对象是用户,而不是NIC卡。
中间人攻击
这种攻击可能是主动式或者被动式的。CiscoAironet的双向认证机制(EAPCiscoWireless)可以阻止这种攻击。企业可以放心地部署思科解决方案,而无须担心来自伪装的访问点的威胁。用户密码和会话密钥在无线链路上决不会用明
文传送。在这种情况下,无须管理员干预,终端用户就可以自动获得一个独特的
会话密钥,从而以一种加密的方式获得对网络的访问。管理员可以通过安排他们的WLAN,根据他们的需要,每隔一段时间重新进行一次身份认证。
IEEE802.11安全任务组(TGi)已经将802.1x和EAP集成到了它的基本安全框架中。在启用了这些802.1x安全特性以后,一个连接到某个访问点的无线客户端只有在用户通过企业RADIUS服务器的身份认证以后才能获得对网络的访问权限。
很多第三方AAARADIUS服务器现在也可以支持CiscoAironet安全框架,包括对EAPCisco Wireless双向认证的支持。这些服务器,加上思科安全访问控制服务器(ACS)和思科访问注册器(AR),可以帮助网络管理员灵活地选择后端服务,而不需要降低WLAN的安全性。
利用针对分组的密钥散列阻止"WeakIV"式攻击
思科无线安全套件可以组织很多类型的攻击,其中包括通过分析一串使用相同密钥的加密流量中的多个不安全的初始化向量而发动的WeakIV式攻击。利用客户端和访问点都支持的高级散列技术,WEP密钥会在每个分组的基础上动态变化,从而有效地阻止这种攻击。IV和WEP密钥都会被散列,以生成一个独特的分组密钥,这可以防止黑客利用不安全的IV获得WEP密钥。
为了防止利用IV冲突而发动的攻击,必须在IV发生重复之前更改IV密钥。由于在一个繁忙的网络上IV可能会几个小时重复出现一次,所以管理员可以利用像EAPCisco Wireless这样的机制进行重置密钥操作。
消息完整性检查
对WEP的另外一个担忧是它对重复攻击的抵抗能力。思科无线安全套件可以执行消息完整性检查(MIC)来防止WEP帧受到修改。CiscoAironet WLAN可以利用MIC检测并丢弃那些在传输过程中被(恶意)修改的分组。由于采用了MIC的CiscoAironet产品可以发现并丢弃被修改的分组,所以攻击者无法利用位切换或者主动的重复攻击来欺骗网络以通过身份认证。
面向组播密钥的基于策略的密钥旋转
利用CiscoAironet的密钥旋转系统,WLAN可以支持针对用户、针对会话的密钥和广播密钥。单播密钥的重置超时策略在思科安全ACS(基于Windows)或者CiscoAR(基于UNIX)集中配置。这个密钥旋转过程对于用户来说是透明
的。网络管理人员可以在访问点配置组播密钥旋转策略。
RADIUS记账记录
思科无线套件的另外一个附加特性是能够为每个客户端进程生成详细的RADIUS记账记录。这些记录可以被发送到AAA服务器,用于记录、审计和针对WLAN的使用收取费用。企业还可以利用这些数据审查账目。
尽管没有哪种WLAN安全方法是100%无懈可击的,但是思科无线安全套件
可以为企业环境提供强大的安全性。在采用了思科无线安全套件以后,企业员工
可以安全地使用无线,随时随地投入工作。
对园区和边缘服务的安全WLAN访问
值得您信赖的灵活性
CiscoAironet 系列可以作为一个无线层无缝地集成到现有的网络中,或者重
新创建一个能够迅速地、经济有效地实现移动性的纯无线网络。利用Cisco
Aironet产品,企业可以方便地频繁改动LAN,克服由于较旧的建筑物、租用场
所或者临时性地点所带来的限制。
CiscoAironet系列产品通过了无线以太网兼容性联盟(WECA)的Wi-Fi互
操作性认证,可以与其他IEEE802.11b产品进行无缝的集成。这简化了网络管
理人员和技术支持人员的部署流程。但是同时需要指出的是,思科无线安全套件
只能支持基于思科技术的产品。
无线网络可以带来很好的经济效益
可想而知,您必须根据特定的预算条件来制定每项决策。这就是为什么Cisco
Aironet产品会如此适用于企业网络管理员。随着技术的不断发展,无线网络的
成本将逐渐低于传统有线局域网的成本。这是由于无线网络避免了重新布置房间、
改造建筑物和解决其他一些IT部门每天都必须面对的困难所需要的成本。当网
络需要改动时,网络管理人员只需要在房间中放入另外一台工作站,并装上一个
CiscoAironet客户端卡,就足以增大网络的规模--不需要铺设昂贵的线路。
利用CiscoAironet无线网桥,还可以降低连接远程建筑物的成本。它们可以
在以太网之间提供高速的、长距离的建筑物间无线连接,从而节约大量的时间和
安装专线的成本。
8.产品选型
8.1品牌选择
目前网络设备主流厂家有思科、华为、H3C等。
德赛原有办公楼网络系统均是采用的思科设备,为了符合客户宗旨:与客户
原有网络的融合与优化;与现有设备进行无缝兼容,包括相关的所有网络协议;
网络设备配件可以与原有网络设备模块通用,减少投资成本等。
本次设计方案采用全套思科设备。
8.1.1 思科品牌的优势
思科公司是全球领先的网络解决方案供应商。今天,网络作为一个平台成为了商业、教育、政府和家庭通信不可或缺的一部分,思科的互联网技术正是这些网络的基础。思科的软件、硬件和服务产品能够组成高效的互联网解决方案,从而帮助个人、公司乃至国家提升生产力、改善客户满意度和增强竞争能力。思科几乎成为了互联网的同义词,并成为了互联网商业解决方案提升生产力的典型代表。在思科,我们的信条是:改变人们工作、学习、生活和娱乐的方式。
大品牌
思科系统公司已成为公认的全球网络互连解决方案的领先厂商,其产品分布广泛,包含:路由、交换、安全、无线、语音和视频等,其提供的解决方案是世界各地成千上万的公司、大学、企业和政府部门建立互联网的基础,用户遍及电信、金融、服务、零售等行业以及政府部门和教育机构等。同时,思科系统公司也是建立网络的中间力量,目前互联网上近80%的信息流量经由思科系统公司的产品传递。思科已经成为毋庸置疑的网络领导者。
业界老大
思科公司是美国最成功的公司之一。1984年由斯坦福大学的一对教授夫妇创办,1986年生产第一台路由器,让不同类型的网络可以可靠地互相联接,掀 思科公司每年投入40多亿美元进行技术研发。过去20多年,起了一场通信革命。
思科一只全心全力致力于路由交换,让路由交换技术走到现在的顶峰。不仅在技术研发上思科大有成就,还在全世界做过各种大大小小的成功案例,思科几乎成为了“互联网、网络应用、生产力”的同义词,思科公司在其进入的每一个领域都成为市场的领导者。
质量保证
高可靠性是对网络基础设施最重要的要求之一,其重要性甚至超过了价格。这其中的原因很容易理解:只有高可靠性网络才能有效防止生产率降低和收入损失。事实上,建立高可靠性网络是实现业务永续性的基础。高可靠性不但能防止公司遭受财务和生产率,降低对于故障响应的支持成本,
还能提高客户满意度和忠诚度,这也是思科从创业开始的理念。
8.1.2 思科交换机的优势
卓越的访问和服务水平
在我们联网的业务环境下,必须能够随时随地快速可靠地访问任何资源。思科交换解决方案提供尽可能长的运行时间、高吞吐量、快速部署、增强的访问能力以及自动化操作。思科专家设计指导以及支持服务可帮助您实现所宣传的网络性能。
降低能源成本和资源消耗
思科交换解决方案提供众多绿色IT选项,帮助企业持续获益。其中包括:节能设计;StackPower技术;优化的视频和虚拟化服务
延长的使用年限
Cisco EnergyWise 交换软件将能源管理范围延伸到IT和企业设施(HVAC和照明)。CiscoEnergyWise 可降低高达30%的能源成本,同时减少温室气体排放和碳排放量。
适应业务和IT变化
业务流程和目标始终存在前进的压力。思科交换解决方案可让您迅速应对新的业务要求。可扩展的性能、集成服务以及灵活的配置提供持续、安全、可靠以及简洁的通信,轻松应对各种变化。
落实安全和法规遵从性
思科交换解决方案的设计如今世界上的威胁无处不在,安全访问至关重要。
初衷是保护信息安全、授权用户操作以及防御多种形式的威胁。VLAN、TrustSec、MACsec、防火墙、入侵防御以及控制层面管制等等项目,在思科交换机中只是一些基本安全功能。
提供卓越的投资保护
思科交换解决方案旨在不但满足组织的当前要求,而且还要适应组织的未来发展。可扩展、富含服务的Catalyst和Nexus交换机可以适应新的IT和企业要求。借助交换机监管程序、服务模块、StackWise、基于软件的服务等技术,以及可重复使用或轻松替换的界面组件,可执行渐进式升级。
8.1.3 思科一体化无线网络技术优势
Cisco通过引入基于LWAPP协议(轻型AP协议,IETF的最新草案)的全新无线局域网架构――思科一体化无线网络,将无线局域网技术带到了一个新的发展阶段。这种对无线AP进行集中控制的整体架构具有多种优点,在无线局域网的便利接入、安全无线连接、灵活部署、轻松运营、可视化维护方面,都提供了实用的工具和有效的手段。
思科一体化无线网络整体解决方案是由下列单元构成的有机整体:
运行轻型接入点协议(LWAPP)的接入点:负责射频信号收发和射频扫描(定位和恶意AP扫描,收集信号,分析在控制器)。插上网线是对其唯一的手工操作。
无线局域网控制器:控制所有的无线的运转过程,有线/无线之间的数据 处理等。
网络管理:图形界面管理,输入地理图和障碍信息,可以图示定位、射频信息,记录和审计,图示恶意AP,操作控制控制器的无线操作。一般和控制器一起部署,客户的网管人员可以在WCS上监控和操作整个无线局域网络系统,所有操作以WEB方式完成。
定位服务器:提供定位计算分析,被跟踪定位的设备包括——具备Wi-Fi接口的电脑/手持终端/VoWLAN话机,或是专门的有源RFID标签。
终端:兼容绝大多数厂商的终端设备,没有限制;但是满足CCX(思科兼容扩展计划,目前90%的802.11设备都支持不同版本的CCX)的客户端可以在安全、QoS、无线管理等方面获得更多的好处。
AAA服务器:提供集中认证,可以利用客户原有的RADIUS服务器。
WindowsAD 服务器:可以连接AAA服务器,当控制器到AAA进行认证时,AAA查询AD得到认证结果并返回,达到利用AD集中认证的结果。可以实现在终端上仅仅登陆域就可以实现无线同时认证集成的目的。
8.2核心交换机WS-C4507R+E
8.2.1 概述
采用了CenterFlex技术的CiscoCatalyst 4500 系列交换机能够通过安全、灵活、不间断的通信,提供可以扩展的无阻碍L2-L4层交换,从而帮助部署了关键业务应用的企业、中小企业(SMB)和城域以太网客户实现业务永续性。由于CiscoCatalyst 4500 能够为企业配线间和SMB接入/核心层提供先进的动态服务质量(QoS)功能和配置灵活性,因而能提供可以预测和扩展的高性能。硬件和软件中的集成式永续特性有助于提高网络可用性,以提高劳动力的生产率和企业的盈利能力,并保证客户成功。CiscoCatalyst 4500创新、灵活的集中式系统设计有助于顺利迁移到线速IPv6和万兆以太网。几代CiscoCatalyst 4500 系列的灵活性、可扩展性以及向前和向后兼容性,延长了部署周期,提供了卓越
的投资保护,并降低了总体拥有成本。
8.2.2 融合
在当今竞争异常激烈的商业环境中,由于融合型网络能够提高生产率和组织
灵活性,并降低运营成本,因而能够帮助各机构增强竞争优势。将数据、语音和视频集成在同一个IP网络中,例如统一通信,要求交换基础设施能够分辨各种
流量类型,并根据其独特的要求进行管理。CiscoCatalyst 4500 系列提供的交换基础设施与CiscoIOS® Software 结合在一起,能够提供先进的不间断服务和控制。
8.2.3 安全的不间断服务
CiscoCatalyst 4500系列为将要通过集成解决业务问题的所有应用提供网络基础设施。如果能够利用集成式永续性扩展智能网络服务,将能够有效控制各种流量,而且只需要短时间的计划内和计划外停机。CiscoCatalyst 4500 通过以下措施提供这种控制:
集成式永续性:由于CiscoCatalyst 4500系列采用了冗余管理引擎(一 秒内故障切换)功能、先进的容错软件、完全图像不间断的软件升级服 务(ISSU)、冗余风扇和1+1冗余电源,因而缩短了网络停机时间。另 外,所有CiscoCatalyst 4500 系列机箱都采用了集成式以太网供电 (PoE),从而简化了设计,减少了统一通信的故障点数量。
高级安全性:对已获专利的思科L2安全特性的支持有助于预防来自恶意服务器的攻击以及通过截获密码和数据发动的“中间人”攻击。另外,为消除恶意网络攻击者产生的流量,还支持L2-L4过滤和限速。
通过模块化QoSCLI(MQC)和多达64,000个QoS策略项,先进QoS:
基于L2-L4的集成式QoS和流量管理功能能够识别并优先处理关键业务和时间敏感型流量。CiscoCatalyst 4500 系列可以利于基于主机、网络和应用信息的输入和输出限速器等机制,对带宽密集型流量实施整合和
限速。
全面管理:CiscoCatalyst 4500 系列为所有端口的配置和控制提供基于 Web的管理,以便集中管理关键网络特性,例如可用性和响应能力。
8.2.4 可扩展的架构
由于融合消除了独立的语音、视频和数据基础设施,因而降低了网络的总体
拥有成本,简化了管理和维护。CiscoCatalyst 4500系列的模块化架构具有很高的可扩展性和灵活性,不需要部署多个平台,从而降低了维护费用。为进一步延长客户的网络设备部署周期,CiscoCatalyst 4500 系列提供以下特性:
线路卡的向后兼容性:为增强功能而升级到新管理引擎之后,客户可以
灵活地重用原有线路卡,也可以升级到更高性能的线路卡,而不需要改
动整个系统,从而延缓了资本投入的时间。
顺利的技术迁移:客户可以根据自己的进度顺利迁移到线速IPv6或10千兆以太网。对任意数量的IPv6路径同时部署IPv4和IPv6不会影响整个系统的线速路由能力。E系列管理引擎支持的TwinGig转换器和X2模块以及万兆E系列线路卡,使客户不需要执行管理引擎或线路卡升级,就能够使网络性能从千兆以太网增加到10千兆以太网。
CiscoCatalyst 4500系列架构配备了大量硬件资源,为未来特性留出余量:
以支持未来特性,满足用户的未来网络需求。只需对CiscoIOS Software作简单的升级,就可以在不执行整个系统升级的情况下发挥很多硬件特性的优势。
降低功耗:CiscoCatalyst 4500系列的功耗很低,因为它采用了集中式硬 件架构设计。
8.2.5 产品优势
CiscoCatalyst 4500系列为企业局域网接入、小型骨干网、L3分布点和集成式SMB和分支机构提供先进的高性能解决方案。其优点包括:
1)性能
CiscoCatalyst 4500提供的高级交换解决方案不但能随着端口的增加扩充带宽,还采用了业内领先的应用专用集成电路(ASIC)技术,能够提供线速L2-L310/100或千兆交换能力。由于L2交换提供模块化管理引擎灵活性和全面的线路卡兼容性,因而能将性能扩展到320Gbps和250Mpps。利用CiscoExpress Forwarding,L3-L4交换也可以扩展到320Gbps和250Mpps。交换性能与路由项或支持的高级L3服务的数量无关。
为关键业务应用提供带宽保护:利用QoS或安全特性,在部署CiscoCatalyst 4500 系列管理引擎时,将不会降低转发性能,CiscoCatalyst 4500 系列平台将继续以完全线速转发。
2)端口密度
CiscoCatalyst 4500 系列能够满足机箱中388个以太网端口的网络组件连接要求。CiscoCatalyst 4500 系列支持从网络边缘直接到桌面计算机的业内密度最高的10/100/1000自适应、自协商千兆以太网。万兆以太网上行链路端口支持高密度千兆以太网到桌面部署和交换机到交换机应用。CiscoCatalyst 4500 系列的可热插拔、易于使用的模块化交换解决方案不但能降低复杂性,还能容易地支
持当今网络中不断变化的桌面环境。
3)以太网供电(PoE)
CiscoCatalyst 4500 系列为10/100或10/100/1000端口支持802.3afPoE 标准,以帮助客户支持电话、无线基站、视频摄像机及其他设备。利用PoE,不需要提供新插座和昂贵的电路就能将设备放置在适合的位置。不仅如此,PoE还 以便整个系统都能得到不间断电源允许企业专门为关键设备配备一台电源系统,
(UPS)备份的支持。
所有CiscoCatalyst 4500 系列PoE线路卡的每个端口都可以同时获得15.4瓦(W)的功率。这些卡不但支持IEEE标准,包括可选电源分类,还支持思科准标准电源实施方案,以保证与现有思科供电设备的向后兼容性。这些卡与任何CiscoCatalyst 4500 系列机箱和管理引擎都兼容。最重要的是,CiscoCatalyst 4500 系列提供的电源和附件能够同时为任何完全加载机箱的每个端口提供15.4W功率。
4)投资保护
由于CiscoCatalyst 4500系列采用了灵活的模块化架构,因而能够为局域网接入或分支机构网络提供经济高效的接口升级。如果客户部署了配有老管理引擎的CiscoCatalyst 4500 交换机,但想提高性能和增强特性,可以容易地升级到CiscoCatalyst 4500 系列SupervisorEngine II-Plus、CiscoCatalyst 4500 系列SupervisorEngine II-Plus-TS、CiscoCatalyst 4500 系列SupervisorII-Plus-10GE、CiscoCatalyst 4000/4500 Supervisor Engine IV、CiscoCatalyst 4000/4500
SupervisorEngine V、CiscoCatalyst 4500 系列SupervisorEngine V-10GE 或者CiscoCatalyst 4500系列SupervisorEngine 6-E。由于CiscoCatalyst 4500 系列机箱之间的备件兼容性支持电源和交换线路卡的通用化,因而能降低总部署、迁移
和支持成本。
5)功能上透明的线路卡
只需添加新的管理引擎,CiscoCatalyst 4500 系列系统就可以容易地将所有系统端口升级到更高交换功能。与迁移过程中需要执行全面设备升级的传统交换
产品不同,该系统不需要更换老线路卡和布线就可以增强所有系统端口的功能。这种架构优势延长了CiscoCatalyst 4500 系列线路卡的有用部署时间。
6)一致的软件架构
由于采用了一致的CiscoCatalyst 软件和用户界面,用户可以利用掌握的知识,通过CiscoCatalyst 2960、3560、4500和6500系列交换机以及CiscoCatalyst 3750 交换机的结合发展基础设施。
7)Cisco IOS Software 网络服务
CiscoCatalyst 4500 系列交换机提供能够增强公司网络的成熟的企业级L2-L3特性。这些特性能够满足大中型企业的高级网络需求,因为它们是多年来根据客户的意见和建议改进的结果。
8)高级安全性
在CiscoCatalyst 4500 系列上支持多种安全特性,例如802.1x、访问控制列s表(ACL)、安全Shell(SSH)协议、单播RPF(uRPF)、端口安全性、动态ARP检测(DAI)、IPSource Guard、控制平面限速、802.1x不可访问认证回避、802.1x单向控制端口、MAC认证回避、多域认证和专用虚拟局域网(PVLAN),以便增强网络控制和灵活性。如果有选择地或者全部采用这些特性,网络管理员不但能防止非法访问服务器或应用,
让不同的人用不同的权限使用同一台PC,还能防止网络入侵者通过盗窃用户名和密码访问交换机,或者防止出现有意或意外广播风暴。
9)基于硬件的组播
独立于协议的组播(PIM)、密集模式和稀疏模式、互联网小组管理协议(IGMP)、组播侦听器识别(MLD)侦听和思科组管理协议支持基于标准的经
过思科技术增强的高效多媒体网络,而且不会降低性能。
10)可管理性
CiscoCatalyst 4500 系列得到了CiscoWorks产品线的支持,提供的创新工具能够集中管理主要网络特性,例如可用性、响应能力、永续性和安全性,以便建立智能交换基础设施。通用模块化QoS命令行界面(CLI)不但能简化策略流量图的创建,还能为大、小型CiscoCatalyst 交换机提供一致的界面。网络运作可以通过基于Web、GUI和CLI的灵活管理方式得到增强。最重要的是,每台CiscoCatalyst 4500 系列交换机都有思科服务和支持解决方案作后盾。
11)思科NetFlow服务
为SupervisorEngine IV 和SupervisorEngine V 开发的思科NetFlow服务卡支持硬件中捕获的统计数据,以便执行基于流和基于VLAN的统计监控。企业可以输出、汇总和分析这些数据,以便为电信运营商和企业客户提供病毒检测
和消除、网络流量统计、基于使用率的网络计费、网络规划、网络监控和数据挖掘功能。注意:SupervisorEngine V-10GE 上支持的NetFlow已经集成在硬件中,因而不再需要NetFlow服务卡。
12)千兆到桌面
CiscoCatalyst 4500 系列已经提供了很多1000Mbps桌面和服务器交换解决方案。利用为CiscoCatalyst 4500 系列开发的48端口和24端口三速自适应、自协商10/100/1000BASE-T线路卡,千兆解决方案的范围很容易扩展到桌面。三速48端口和24端口模块,再加上自适应技术,能够提供局域网投资保护,因为在未来,快速以太网桌面无需更换线路卡就能迁移到千兆以太网。
8.3接入层交换机WS-C2960-48TC-L
8.3.1产品概述
Cisco®Catalyst® 2960系列智能以太网交换机是一个全新、独立的固定配置设备系列,为入门级企业、中型市场和分支机构网络提供了桌面10/100快速以太网和10/100/1000千兆以太网连接,有助于实现增强LAN服务。Catalyst2960系列软件提供了集成安全特性,包括网络准入控制(NAC),以及先进的服务质量(QoS)和永续性,为网络边缘提供了智能服务。
该系列还包括为网络管理员提供的硬件增强,如有具有双介质(dual-purpose)的千兆以太网上行链路配置,使网络管理员可以使用铜缆或光纤上行链路。此外,还包括一个24端口千兆以太网产品,用于加速网络上的桌面千兆位(GTTD)连接。
产品特点:
思科入门级企业和中型市场10/100和10/100/1000解决方案集成了面向 网络边缘的智能交换功能
双重功能的上行链路提供了千兆以太网上行链路灵活性,使网络管理员 可以使用铜缆或光纤上行链路
为网络边缘提供了更多的智能特性,如更先进的访问控制列表(ACL)和 增强安全特性
广泛的交换机产品系列,通用架构可以支持10/100和10/100/1000连接采用思科创新的ASIC设计和软件组件,有助于确保特性和命令行与最
新的CiscoIOS® 软件版本(12.2S)保持一致
8.3.2重要特性和优势
通过先进的服务质量(QoS)、精确速率限制、ACL和组播服务,实现了 网络控制和带宽优化
通过多种验证方法、数据加密技术和基于用户、端口和MAC地址的NAC, 实现了网络安全
利用思科网络助理,Catalyst2960系列可以作为中型市场或分支机构解 决方案的一部分,轻松进行配置、升级和故障诊断
CiscoSmartports使网络管理员可以根据端口所连的设备进行端口的自动 配置
8.3.3适用客户
Catalyst2960系列的适用客户如下:
需要入门级智能服务的企业和中型市场客户
对包括QoS、增强安全和可用性等智能特性和功能感兴趣的客户从前购买过Catalyst2950G、Catalyst2950T或Catalyst2970交换机的客 户
8.4无线控制器AIR-CT2504-50-K9
8.4.1 产品概述
Cisco®2500系列无线控制器能为中小型企业和分支机构提供系统级的无线功能。Cisco2500系列无线控制器是一款以提供出色的802.11n性能为目标的入门级控制器产品,支持CiscoAironet®无线接入点之间的实时通信,以简化无线网络的部署和运作。
作为思科统一无线网络的组成部分,该控制器提供了集中式安全策略、无线入侵防御系统(wIPS)功能、荣获大奖的无线射频管理以及语音和视频服务质量(QoS)。凭借出色的802.11n性能和可扩展性,2500系列能够随网络需求的增长进行灵活扩展,从而降低总体拥有成本。
Cisco2500系列无线控制器的基于可管理的无线接入点的数量进行授权许可,提供了5、15、25或50个无线接入点的灵活选项。用户能够以5或25为增量单位添加更多无线接入点。
8.4.2 产品特性
1)中小型企业与分支机构控制器
最多可支持50个无线接入点和500个无线客户端支持802.11n,吞吐率最高可达500Mbps
支付卡行业(PCI)认证,适用于扫描仪和信息亭部署2)许可灵活性与投资保护
可在将来增加更多无线接入点授权许可证
3)全面的安全性
在无线接入点和无线控制器之间提供全面的无线接入点控制与配置 (CAPWAP)加密
可检测恶意无线接入点和拒绝服务攻击
管理帧保护功能,可检测恶意用户并向网络管理员发出告警
4)CleanAir技术
能够检测、分类、定位并减轻无线射频干扰,为802.11n网络提供性能 保护。
8.4.3 Cisco2500系列无线控制器的优势:
高性能:可提供媲美有线网络的速度和非阻塞802.11n网络性能。
无线射频管理:通过系统级CiscoCleanAir技术集成,跨各控制器提供有关影响网络性能的无线射频干扰的历史和实时信息。
全面的端到端安全性:提供符合无线接入点控制与配置(CAPWAP)的数据报传输层安全(DTLS)加密,确保基于远程广域网/局域网链路在接入点和控制器之间实现全线速加密。
支持统一通信,支持用户通过消息传送、在网状态信息和会议端到端语音:
功能加强协作;支持所有的思科统一通信无线IP电话,提供经济有效的实时语音服务。
高性能视频:将CiscoVideoStream技术集成到思科medianet框架中,优化了无线局域网上的视频应用交付。
PCI集成:属于支付卡行业(PCI)认证架构的一部分,非常适合采用了扫描仪和信息亭等交易数据应用的零售客户使用。
:企业可以在非高峰业务时段关闭无线接入点的无线电模块以降低节能环保
能耗。
8.5无线APAIR-LAP1041N-E-K9
8.5.1 提供快速、可靠的连接
思科®Aironet®接入点提供了行业领先的性能,有助于实现安全可靠的无线连接。无论您是需要面向小型企业的入门级无线产品,还是覆盖数千个位置的关键任务解决方案,思科提供了广泛的接入点产品组合,旨在满足所有行业、业务类型和拓扑结构的特定需求。
以便支持规模性和移动大多数接入点均可以独立或基于控制器的模式购买,
服务方面的独特需求。控制器能够简化网络部署、运行和管理流程,帮助降低总运营支出。它们可帮助网络管理员以简单、高效的方式,远程配置和监控任意数量的接入点。控制器必须支持语音、位置、访客服务和高级安全性。此外,基于控制器的接入点还支持可实现安全的移动远程办公(OfficeExtend),以及允许接入点在难以连接的位置动态创建无线连接的企业无线网状网(Enterprise 。WirelessMesh)
带有独立接入点的无线网络是一款不需要控制器的低成本、入门级解决方案。它非常适用于少于20个接入点的小型网络,而且提供了基本的无线功能,同时可通过添加控制器来灵活地扩展和添加服务。
思科提供了三种类型的接入点:关键任务、交互式多媒体和业务就绪
关键任务:思科CleanAir技术为需要随时访问网络资源和交互式多媒体
应用的大中型企业,提供了最高级别的802.11n性能、覆盖范围和安全性。该
屡获殊荣的行业领先技术提供了具备自修复和自优化功能的无线网络,有助于减
轻无线干扰造成的影响,从而提供最可靠的无线覆盖范围。
交互式多媒体:这种类型的思科Aironet接入点提供了增强的802.11n性
能,是使用语音、视频、高级安全性和位置追踪等移动服务的大中型企业的理想
选择。
业务就绪:这种类型的接入点为中小企业和分支机构中的无线数据和视频提
供了入门级802.11n解决方案。
8.5.2 关键任务接入点
在当前的业务环境中,无线网络的优势不仅仅是便捷,它还具备关键任务的
特征。无线网络在共享频谱中运行,其中包括在企业环境中争夺带宽的不同应用
和设备。IT经理需要更好地了解他们的无线频谱,以便管理无线射频干扰问题,
并防止意外宕机事故的发生。
采用CleanAir技术的思科Aironet2500 系列接入点能够自动、连续地检测、
分类、定位和消除RF干扰。CleanAir可使您访问关于无线网络中所有设备和
资产的实时与历史信息。现在您可以执行相关的策略,快速采取措施以根据智能
信息改进网络性能。
借助CleanAir技术,零售商可打造安全的信用卡交易环境、医院可通过无线
患者护理和机密医疗记录的安全传输来提高效率,而高等院校则可以通过
Wi-Fi语音服务来提高校园安全性。关键任务类别中的思科Aironet接入点提
供了最高的性能和可扩展性,能够支持当前及未来的业务通信。
8.5.3 交互式多媒体接入点
随着对企业无线网络需求的增长,包括用户增加、更加多样化的设备以及更
多的多媒体应用,大中型企业需要高性能的接入点解决方案。思科Aironet1140 系列接入点针对语音和视频等延迟敏感性应用提供了增强的802.11n性能和覆盖范围。
它们采用企业级芯片和优化的无线技术构建,有助于扩展无线覆盖范围,提高系统容量和性能。面向交互式媒体的思科Aironet接入点不支持CleanAir技术;但是它们可提供卓越的RF性能,以支持强大的移动体验,并且包括下列特性:
思科ClientLink技术针对传统802.11ag客户端提高可靠性和覆盖范围。
思科BandSelect技术可在混合客户端环境中改进客户端的5-GHz连接能力。思科VideoStream技术可提高组播多媒体应用的性能。
思科Aironet1140 系列接入点是下列环境的理想选择:教育机构内的教室和宿舍;零售业中的库存管理;医疗保健和制造业中的资产跟踪。
借助CiscoAironet 1040 系列无线接入点,实现可靠且可预测的802.11n无线覆盖。所用笔记本电脑和移动设备的性能相当于802.11a/g网络的六倍,可
提升员工的工作效率。
8.5.4 入门级802.11n无线
小型企业、分支机构及办事处均能享受企业级性能的优势。1040系列既能为企业级无线网络提供可靠连接,还可根据公司需求的提升调整覆盖范围。
1040系列的其他优势如下:
设计精巧,可与企业环境完美融合。
支持标准802.3af以太网供电。
优化了天线和射频,为您提供强大的移动体验。
实现自我修复功能自动化,可减少盲区,保持客户端稳定连接。
,可让您提前10天通知以替换硬件。
8.6POE供电交换机WS-C2960-24PC-L
支持以太网供电(PoE)的Cisco®Catalyst® 2960系列交换机是CiscoCatalyst 2960系列固定配置独立式交换机系列的新成员,面向中小企业和大企业的小型分支机构网络。该系列产品包括两个CiscoCatalyst 2960 PoE交换机和一个CiscoCatalyst 2960受电端设备(PD)交换机,通过PoE输入端口接收上游PoE设备提供的电力。
支持PoE的CiscoCatalyst 2960系列交换机使您能够连接以太网受电端设备,包括思科IP电话、无线接入点和视频摄像头。支持PoE的CiscoCatalyst 2960系列机型支持思科准标准的PoE并满足IEEE802.3af标准。CiscoCatalyst 2960-24PC-L能够同时完全支持24个功耗15.4瓦的PoE端口。
PoE帮助您避免为支持PoE的设备安装墙上电源,且无需在部署IP电话和WLAN时投入大量资金添加电线和电路。此外,PoE交换机还无需为运行IP设备而购买电源插接器和PoE跨接线。
支持PoE的CiscoCatalyst 2960系列交换机提供以下优势:
最多支持功耗是15.4瓦的24个端口,提供到PoE设备的无缝连接,包 括思科IP电话、CiscoAironet® 无线局域网接入点以及符合IEEE 802.3af标准的任何终端设备。
支持思科发现协议(CDP)第2版,允许交换机在连接IP电话或接入点等Ciscopowered产品时协商提供比IEEE规范粒度更细的电源设置。
通过PoEMIB能够主动查看电源使用情况,并使您能够设置不同的用电
阈值。
链路层发现协议(LLDP和LLDP-MED)添加了对IEEE802.1AB链路层发 现协议的支持,以便在多厂商网络中实现互操作性。
网络配置、思科IOS®软件更新和故障排除功能都能轻松使用内嵌的设 备管理软件和思科网络助理。
这些交换机利用了IOS软件丰富的功能,包括全面的第2层局域网特性、 智能服务质量(QoS)保证、全面的安全保护和网络管理特性。
有限的终生硬件保修。
免费软件更新。
出现了多种设备类型,如IP电话、WLAN接入点和IP视频摄像头
9.产品参数说明
9.1核心交换机
核心交换机采用WS-C4507R+E
功能类别 | 技术指标 |
基本联通 | 模块化机箱端口,插槽数7 槽 |
10/100/1000Base-Tx 以太网端口96 个 | |
配置引擎模块1 块,型号:WS-X45-SUP6L-E | |
引擎模块配置万兆以太网端口2 口(思科Twin Gig 转换器模块: 可将万兆以太网X2 接口转换成两个千兆以太网SFP 接口,) | |
配置千兆光纤端口板卡1 块,型号:WS-X4624-SFP-E,板卡千兆端口数量24 口 | |
配置千兆电口端口板卡1 块,型号:WS-X4648-RJ45-E,板卡千 兆电口数量48 口 | |
支持硬件IPV6 | |
支持以下所有路由协议:RIP/RIP2,EIGRP,OSPF,BGPV4 | |
处理能力 | Cisco Catalyst 4507R-E 配备Supervisor Engine 6-E 的每机箱 性能支持280 Gbps 和 210Mpps |
| 引擎模块集中提供320Gbps交换容量,IPV4吞吐量高达250Mpps, IPV6 性能125Mpps |
线卡插槽的带宽容量48Gbps(全双工96Gbps | |
Switch Virtual Interface 支持数量2K | |
支持55,000 个单播MAC 地址 | |
配置热备的1+1 全冗余电源模块,型号:PWR-C45-1300ACV | |
可靠性 | 状态化切换支持的不间断转发(NSF/SSO);支持ISSU |
802.3ad | |
单向链路检测(UDLD) 和积极 UDLD | |
TACACS+ 和 RADIUS,允许集中控制交换机 | |
VLAN 扩展树协议Plus(PVST+)和VLAN 级快速扩展树协议(PVRST) | |
高级安全性 | 所有端口都支持标准和扩展ACL |
| VLAN 管理策略服务器(VMPS)客户端思科NAC L2 802.1X |
全面管理 | 用统一控制台端口和统一IP 地址管理所有系统特性 |
9.2接入层交换机
接入层交换机采用思科WS-C2960-48TC-L
功能类别 | 技术指标 |
设备类型 | 智能交换机 |
内存 | 64MB |
交换方式 | 存储-转发 |
背板带宽(Gbps) | 16Gbps |
包转发率 | 10.1Mpps |
接口 | 48 10/100 + 2 T/SFP LAN Base Image |
VLAN 支持 | 支持,支持动态vlan,可基于MAC 地址进行vlan 划分 |
MAC 地址表 | 8K |
UDLD | 支持单向连接检测协议 |
端口聚合 | 支持端口聚合 |
线缆检测 | 时域反射计(TDR)可诊断并解决铜缆端口上的布线问题 |
网络标准 | IEEE 802.3、IEEE 802.3u、IEEE 802.1x、IEEE 802.1Q、IEEE 802.1p、IEEE 802.1D、IEEE 802.1s、IEEE 802.1w、IEEE 802.3ad、 IEEE 802.3z、IEEE 802.3 |
模块化插槽数 | 2 |
电源 | 可以支持电源冗余 |
IGMP | 支持IGMPV3 和IGMP 组播过滤,支持IGMPV3 监听功能 |
带宽控制 | 支持带宽控制,控制颗粒小于1Mbps;可以基于源和目的IP 地址、第四层TCP/UDP 信息或者这些字段任意组合 |
HDCP | 支持DHCP 监听;支持对进入交换机端口的DHCP 流量限速 |
SPAN/RSPAN | 支持本地端口镜像,支持远程的端口镜像 |
安全特性 | 支持802.1X 身份认证;支持用于二层接口的基于端口的ACL;支持radius 和tacacs+ |
生成树协议 | 支持portfast、uplinkfast 和backbone 技术 |
指示面板 | 每端口状态:连接完整性、禁用、活动、速度、全双工,系统状态: 系统、RPS、链路状态、链路双工、链路速度 |
重量(Kg) | 3.6 |
尺寸(mm) | 44×445×236mm |
9.3无线控制器
无线控制器选用思科AIR-CT2504-50-K9
功能类别 | 技术指标 |
网络标准 | IEEE 802.11a, 802.11b, 802.11g, 802.11d, 802.11h |
支持AP 数 | 支持50 个AP |
数据吞吐量 | 最高500Mbps |
端口 | 4 个千兆以太网端口 |
安全标准 | WPA; IEEE 802.11i (WPA2, RSN); RFC 1321 MD5 信息摘要算法; RFC 2104 HMAC: 用于信息验证的密钥散列, RFC 2246 TLS 协议版本 1.0, RFC 3280 X.509 PKI 证书和CRL 简况 |
加密 | WEP 和TKIP-MIC: RC4 40, 104 和128 位(静态和共享密钥), SSL 和TLS: RC4 128 位以及RSA 1024 和2048 位, AES: CCM, CCMP |
管理界面 | 基于Web:HTTP/HTTPS, 命令行界面:Telnet, SSH, 串行端口 |
安全功能 | 安全策略、入侵防御、RF 管理、服务质量(QoS)和移动性 |
9.4无线AP
无线AP选用AIR-LAP1041N-E-K9
功能类别 | 技术指标 |
网络标准 | IEEE802.11a、IEEE802.11b、IEEE802.11g、IEEE802.11n |
数据传输率 | |
频率范围 | 2.4GHz,5GHz |
天线 | 集成天线 |
安全性能 | 802.11i、WPA2、WPA |
其它技术参数 | 系统内存:64MB RAM,32MB 闪存 |
9.5POE供电交换机
POE供电交换机选用WS-C2960-24PC-L
功能类别 | 技术指标 |
应用层级 | 二层 |
POE 供电 | 支持 |
包转发率 | 6.5Mbps |
背板带宽 | 16Gbps |
MAC 地址表 | 8K |
端口数量 | 24 个10/100Mbps PoE 端口,2 个两用上行端口 |
传输模式 | 支持全双工 |
网络标准 | IEEE 802.3,IEEE 802.3u,IEEE 802.1x,IEEE 802.1Q,IEEE 802.1p,IEEE 802.1D,IEEE 802.1s,IEEE 802.1w,IEEE 802.3ad, IEEE 802.3z |
内存 | DRAM 内存:64MB |
Vlan | 支持 |
QOS | 支持 |
网络管理 | Web 浏览器,SNMP,CLI |