CISCO图书馆设计方案.doc

北京外国语大学图书馆 设计方案 北京万联讯通科技有限公司 目录 1 总体概括 3 1.1 设计原则 3 1.2 设计规范及依据 4 2 总体设计方案 6 2.1 核心交换机的设计 6 2.2 双链路冗余的设计 6 2.3 虚拟交换机的设计 6 3.1 划分VLAN的必要性 7 3.2 VLAN规划 9 3.3 网络拓扑图 10 4 网络安全设计 10 4.1 网络安全概述 10 4.2 防火墙的部署 11 5 总体方案优势 13 5.1 大规模的市场应用 13 5.2 全网IPv6的扩展支持 14 5.3 设备清单 15 6 产品资料 16 6.1 防火墙 16 6.2 6509交换机 17 6.3 入侵检测模块 21 6.4 网络服务模块 22 7 实施服务 23 8 支持服务 27 1 总体概括 北京外国语大学图书馆建于1941年，前身为延安外国语学校图书馆。 图书馆由南馆和北馆组成，面积约一万平方米，内设阅览座位1000席。馆藏文献包括英、法、俄、德、西、日、阿等33个语种，文献总量约92万册，中外文期刊1200多种，各种音像资料8000多件，已初步形成了以语言、文学、文化为主要资料的馆藏特色。近年来，随着我校学科建设的发展，法律、外交、经济、新闻等方面的文献资料也在稳步增加。 图书馆现设文献资源建设部、编目部、流通阅览一部、流通阅览二部、自动化技术部、信息咨询部及图书馆办公室七个部门。馆内还设有“教育部北京外国语大学文科文献信息中心”、“华北地区外语教学资料中心”、“澳大利亚研究中心”、“英语研究资料中心”、“美国学研究中心”。本馆48名工作人员中，有高级职称11名，中级职称26名。现任图书馆馆长是博士生导师郭栖庆教授。 图书馆南馆全部为外文藏书，采用了大平面、全开架、借阅合一的管理摸式。 图书馆局域网采用北京大学研制的NLIS图书馆集成管理系统和SUN公司硬件产品为主干设备的网络环境。设有供读者检索的计算机44台，电子阅览室机位60个，向全校读者提供文献借阅、信息咨询、文献复制、多媒体信息、网上检索以及读者培训等服务。 北京外国语大学图书馆在为本校服务的同时，每年接待全国各地研究生以上层次的读者来馆查阅外语资料并提供复印。我馆“英语研究资料中心”对全社会开放。 北京外国语大学图书馆“十·五”建设总体目标是：从现在起到2005年，逐步将图书馆建成馆藏文献合理、有专业特色的中型研究型数字图书馆。在文献保障、信息建设、服务水平和队伍素质等方面都达到国内先进水平。随着“211”工程的实施，校园网的建设，图书馆的情报信息服务将会得到进一步发展。我们全馆上下将齐心协力，把我馆建成自己感到自豪、别人感到羡慕、读者感到满意的信息中心，努力为北京外国语大学的教学与科研乃至全国和全世界的外语教学与科研做出应有的贡献。 1.1 设计原则 为构建高质量的网络，在网络建设中要坚持以下原则 1. 高可靠性：网络的稳定可靠是应用系统正常运行的关键，保证在网络设计中选用高可靠性的网络产品设备，充分考虑冗余、容错和备份能力，同时合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的可靠运行。 2. 技术先进性：在保证满足基本业务应用的同时，又要体现出网络的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到网络应用的现状和未来发展趋势。 3. 高性能：骨干网络的性能是整个网络良好运行的基础，在设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。 4. 标准开放性：支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络之间的平滑连接互通，以及将来网络的扩展。 5. 可扩展性：根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。 6. 可管理性：选用先进的网络管理平台，具有对设备、端口等的管理及流量统计分析，并可提供故障自动报警。 7. 安全性：制订统一的网络安全策略，整体考虑网络平台的安全性。做到业务数据的安全传递和网络设备不受黑客攻击。 8. 经济性：在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。 1.2 设计规范及依据 规范、标准及设计依据 GB/DL——中华人民共和国国家标准 CCC——中国产品强制认证标准 RoHS——电子信息产品污染控制管理办法 《计算机信息系统安全保护等级划分准则》（GB17859） 《安全防范系统验收规则》（GA308） 《计算机信息系统安全保护条例》 《交通管理信息系统建设框架》 《民用建筑电气设计规范》（JGJ/T16-92） 《供电系统设计规范》（GB50052-95） 《低压电气设计规范》（GB50054—95） 《工业企业通讯设计规范》（GBJ42-81） 《工业企业通信接地设计规范》（GBJ115-87） 《电气装置安装工程接地装置、施工及验收规范》（GB／T50169） IEEE802.3以太网规范 《安全防范工程程序与要求》（GA/T75） 《中华人民共和国安全防范行业标准》（GA/T74-94） 《信息技术设备（包括电气事务设备）安全规范》（GB4943-1995） 《电子计算机机房设计规范》（GB50174-93） 《计算机场地技术条件》（GB2887—89） 《电工电子产品基本环境试验规程试验方法》（GB2423.1/2/3-89） 《电磁兼容试验和测量技术浪涌(冲击)抗扰度试验》（GB/T17626.5-1999） 《电子测量仪器可靠性试验》（GB11463-89） 《信息技术设备抗扰度限值和测量方法》（GB/T17618-1998） 《电子测量仪器振动试验》（GB6587.4-86） 工业企业通信设计规范(GBJ42-81) 市内电话线路工程设计规范(YDJ8-85) ANSI / EIA / TIA 569 (CSA T530) 商业办事处路径和空间结构标准 ANSI /TIA /EIA-607 (CSA T527) 商业办事处接地线和耦合线标准 ANSI / TIA / EIA-568-A (CSA T529-95) 商业办事处通讯布线标准 ANSI / TIA / EIA-606 (CSA T528) 商业通讯布线结构管理标准 TIA / EIA-TSB－67无屏蔽双绞线UTP端到端系统功能检测 ISO11801 建筑物综合布线规范 2 总体设计方案 2.1 核心交换机的设计 本次网络建设中我们选用的为思科6509E系列核心交换机，在众多品牌中，此系列交换机也为高端核心交换机，在使用中，能完全满足用户方对核心交换机的需求，在本次网络设计中终端部分分为两部分，一：安全访问，二：互联网络接入。在两部分网络中，互联网络访问的接入有运营商完成，之间的安全防护有内网的安全产品完成。而如何能够更好的实现这两部分网络平稳，则必须在核心交换机中划分VLAN。 2.2 双链路冗余的设计 系统设计采用双链路冗余设计思想，排除单点故障，所有的接入设备为10/100/100T的接入方式，上联为万兆上联，协议为trunk，根据下面的VLAN设计，将不同的网络段地址按需分配。 2.3 虚拟交换机的设计 VSS是一种网络系统虚拟化技术，将两台Cisco® Catalyst® 6500系列交换机组合为单一虚拟交换机，从而提高运营效率、增强不间断通信，并将系统带宽容量扩展到1.4Tbps。在初始阶段，VSS将使两台物理Cisco Catalyst 6500系列交换机作为单一逻辑虚拟交换机运行，称为虚拟交换系统 1440（VSS1440）。 3 3.1 划分VLAN的必要性 VLAN是建立在各种交换技术基础之上的。所谓交换实质上只是物理网络上的一个控制点，它由软件进行管理，所以允许用户利用软件功能灵活地配置资源，管理网络。利用交换设备中的虚网功能，不必改变网络的物理基础，即可重新配置网络。采用虚网功能，网络性能可以获得较大的改善： 1.虚网技术能对工作组业务进行过滤，有效地分割通信量，因而能更好地利用带宽，提高网络总的吞吐量。 2.采用虚网技术可以将不同楼层或不同房间的设备组成一个网段而不用更改布线，因为虚网技术是从逻辑角度而非物理角度来划分子网的，所以采用虚网技术能减轻系统的扩容压力，将迁移费用降至最小。 3.采用虚网技术能有效隔离网络设备，增加网络的安全性和保密性。虚拟网络的安全策略采用的主要协议为IEEE802.1Q，此协议结合有鉴别和加密技术以确保整个网络内部数据的保密性和完整性。 4.虚网技术能对属于同一工作组的用户提供广播服务，但与传统的局域网协议所不同的是，虚拟局域网能限制广播的区域，从而节省网络带宽。 5.虚拟局域网可以建立在不同的物理网络上，用封装的办法支法支持不同的网络协议络协议，如SNMP、NMP、IPX、TCP//IP、IEEE802.33等，兼容性非常好性非常好。 6.虚拟网络中的主要应用技术为“虚网中继”，VLAN Trunking特有技术的采用也成成为了必然。必然。简而言之，VLAN Trunking主要是通过一条高速全双工通道来实现将将一个LAN Switch端口所划分的不同VLAN与其它LAN Switch中各自相应的VLAN成员进行线路复用连接的技术。VLAN Trunking技术的采用，既节省了信道数据量，又提高了可靠性，并便于管理及方便连接，提高了整个网络吞吐量和性能指标。其原理如下图所示： 如果采用VLAN trunking 的技术，则V1、V2、V3均可通过一条全双工的100Mbps，即200Mbps的速率与上级LAN Switch进行互通并经过位于树根部的路由器进行路由与其它的VLAN进行通讯。VLAN trunking技术的优点在于采用一条高速通道连接，提高了通道的使用效率，如在，如在V2，V3无数据量的情况下，V1可以独占此100M带宽；并且可以使得线路的连接变得简单，从而大大提高可靠性与易维护性。 3.2 VLAN规划 我们建议按不同的业务使用主体来规划整个图书馆VLAN资源，也可以按照楼层的布局划分不同德VLAN. 为了减小广播域，建议VLAN终结在核心交换机上，每个VLAN内的主机数量原则上不要超过80台，建议每个VLAN内的PC机数量控制在50台以内。 VLAN的划分可以依据不同的业务进行也可以依据用户所处网络的物理结构进行，后者主要是从网络性能角度出发，而前者还兼顾了网络安全性可控性的需要。 将端口分配给VLAN的方式有两种，分别是静态的和动态的。 静态VLAN： 形成静态VLAN过程是将端口强制性地分配给VLAN的过程。确定哪些端口属于哪些特定的VLAN，然后将VLAN静态映射到端口。这是将端口映射到VLAN的一种最通用的方法。对于办公用户相对集中的区域，建议采用这种部署方式，将VLAN部署在用户对应的汇聚交换机端口上。 动态VLAN： 我们知道，VLAN常常被规划用于对“资源访问权限”的分组，不同的VLAN具有不同的访问权限，每个VLAN内有一个IP地址网段，不同的VLAN/IP地址段的用户，具有不同的访问资源的权限。用户权限数据一般存储在CAMS中，CAMS根据用户端的权限归类，在认证通过之后向二层交换机作动态的VLAN ID下发配置。此时，二层交换机要支持VLAN的动态配置功能。 从广播控制角度出发，为了保障网络的高可用和高性能，我们建议在进行具体VLAN规划时，同一个广播域内（一个VLAN）的通信主机不要超过250台，最好控制在50台以内，对于主机数量超过50的业务部门，我们通过二层隔离，三层交换的方式来解决。 管理VLAN： 作为特殊VLAN 的典型，建议保留VLAN1作为管理VLAN，管理VLAN覆盖到全网的每一台交换机，但在第三层接口上，需要与其他业务VLAN进行有效的隔离。网管工作站建议另外设置一个VLAN，例如VLAN ID=4000,VLAN4000与VLAN1在第三层上相通，同时，部分业务VLAN可以访问VLAN4000，从而实现网管的分布式监控布局。VLAN1和VLAN4000的第三层路由接口处设置访问控制列表，只有特定的主机或者只有网管VLAN可以直接访问每一台设备，其他均在过滤之列。 对于服务器建议单独设置在一个VLAN中。 本次建议在图书馆网络中采用静态VLAN划分方案来部署。 3.3 网络拓扑图 4 网络安全设计 4.1 网络安全概述 在本次硬件平台建设方案中，防火墙将处于网络建设的最上层，在抵御外部入侵中起着重要的作用，并且在以后应用对外部公共网络开放时，在带宽足够的情况下可以最大限度保持网络速度，并且此次选型用防火墙在以后应用中能够开启IPS功能，抵御4－7层的攻击，抵挡安全威胁，保护数据安全。 所谓安全威胁，就是未经授权，对位于服务器、网络和桌面的数据和资源进行访问，甚至破坏或者篡改这些数据/资源。从安全威胁的对象来看，可以分为网络传送过程、网络服务过程和软件应用过程三类。网络传送过程主要针对数据链路层和网络层协议特征中存在的漏洞进行攻击，如常见的监听、IP地址欺骗、路由协议攻击、ICMP Smurf攻击等；网络服务过程主要针对TCP/UDP以及居于其上的应用层协议进行，如常见的UDP/TCP欺骗、TCP流量劫持、TCP DoS、FTP反弹、DNS欺骗等等；软件应用过程则针对位于服务器/主机上的操作系统以及其上的应用程序，甚至是基于Web的软件系统发起攻击。从安全威胁的手法来看，蠕虫、拒绝服务、监听、木马、病毒…都是常见的攻击工具。 4.2 防火墙的部署 随着网络技术的普及，网络攻击行为出现得越来越频繁。通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。目前，Internet网络上常见的安全威胁分为以下几类： 非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。 拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。 信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。 数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。 Internet • 基于网络协议的防火墙不能阻止各种攻击工具更加高层的攻击 • 网络中大量的低安全性家庭主机成为攻击者或者蠕虫病毒的被控攻击主机 • 被攻克的服务器也成为辅助攻击者 目前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大厦中用于防止火灾蔓延的隔断墙，Internet防火墙是一个或一组实施访问控制策略的系统，它监控可信任网络（相当于内部网络）和不可信任网络（相当于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处，基于访问控制策略提供安全防护。例如：当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于组织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的连接处时，可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变，但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥，传统防火墙面临更加艰巨的任务，不但需要防护传统的基于网络层的协议攻击，而且需要处理更加高层的应用数据，对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒，必须能够判断出网络蠕虫病毒的特征，把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。 造成当前网络“安全危机”另外一个因素是忽视对内网安全的监控管理。防火墙防范了来之外网的攻击，对于潜伏于内部网络的“黑手”却置之不理，很容易造成内网变成攻击的源头，导致内网数据泄密，通过NAT从内部网络的攻击行为无法进行审计。由于对内部网络缺乏防范，当内部网络主机感染蠕虫病毒时，会形成可以感染整个互联网的污染源头，导致整个互联网络环境低劣。 • 来自内部网络的攻击污染互联网 • 来自内部网络的蠕虫病毒感染互联网 Internet 对于网络管理者，不但需要关注来自外部网络的威胁，而且需要防范来自内部网络的恶意行为。防火墙需要提供对内部网络安全保障的支持，形成全面的安全防护体系。 本次方案中采用防火墙+IPS方式对整网数据进行2-4层的数据过滤，保护整个内网的数据安全。 5 总体方案优势 在本次硬件平台搭建过程中，我们使用了全套思科产品，而利用思科组网解决方案的优点有以下几点： 5.1 大规模的市场应用 凭借思科强大的研发实力、完整的产品线及解决方案，思科取得了良好的市场地位： 1. 交换机端口数市场份额31.4％，排名第一 2. 企业级路由器台数市场份额30％，排名第一 3. 网络安全设备市场份额排名第二，其中IPS产品市场排名第一 5.2 全网IPv6的扩展支持 采用思科解决方案，6509能提供全网的IPv6解决方案，IPv6方面包括以下方面 1、 思科6509系列硬件支持IPv6转发，支持完善的IPv6协议以及IPv4/IPv6双栈； 2、 思科承建了Cernet 、人民大学、清华大学、北京大学试验网等众多大型IPv6网络，有丰富的项目经验及雄厚的技术实力。 5.3 设备清单 　 描述 型号 描述 数量 核心交换机 机箱 WS-C6509-E Catalyst 6500 Enhanced 9-slot chassis,15RU,no PS,no Fan Tray 2 电源 WS-CAC-3000W Catalyst 6500 3000W AC power supply 4 风扇 WS-C6509-E-FAN= Catalyst 6509-E Chassis Fan Tray 2 引擎 VS-S720-10G-3C Cat 6500 Supervisor 720 with 2 x 10GbE and 3x1GE MSFC3 PFC3C 2 千兆光板 WS-X6724-SFP Catalyst 6500 24-port GigE Mod: fabric-enabled (Req. SFPs) 2 万兆光板 WS-X6716-10G-3C Catalyst 6500 16 port 10 Gigabit Ethernet w/ DFC3C (req X2) 4 入侵检测模块 WS-SVC-IDS2-BUN-K9 600M IDSM-2 Mod for Cat 2 网络分析模块 WS-SVC-NAM-2-250S Cisco Catalyst 6500 and Cisco 7600 Network Analysis Module 2 光模块 X2-10GB-SR 10GBASE-SR X2 Module 30 软件 SV33IS-12233SXI Cisco CAT6000-VSS720 IOS IP SERVICES 2 接入交换机 交换机 WS-C2960S-48TD-L Catalyst 2960S 48 GigE, 2 x 10G SFP+ LAN Base 30 堆叠模块 C2960S-STACK Catalyst 2960S FlexStack Stack Module optional for LAN Base 30 堆叠线缆 CAB-STK-E-0.5M= Cisco Bladeswitch 0.5M stack cable 30 光模块 SFP-10G-SR= 10GBASE-SR SFP Module 30 防火墙 防火墙 ASA5580-40-10GE-K9 ASA 5580-40 Appliance with 4 10GE, Dual AC, 3DES/AES 2 光模块 SFP-10G-SR= 10GBASE-SR SFP Module 6 6 产品资料 6.1 防火墙 Cisco ASA 5500系列概述 Cisco® ASA 5500系列自适应安全设备是能够为从小型办公室/家庭办公室和中小企业到大型企业的各类环境提供新一代安全性和VPN服务的模块化安全平台。Cisco ASA 5500 系列能为企业提供全面的服务，而且这些服务都可以根据客户对防火墙、入侵防御（IPS）、Anti-X和VPN的要求而特别定制。 Cisco ASA 5500 系列的各版本能够在适当的位置提供适当的安全服务，因而能为企业提供卓越的安全保护。每个版本都包含一套特殊的Cisco ASA 服务，以满足企业网络内特殊环境的要求。随着每个位置安全需求的满足，整体网络安全性也得到了提升。 由于 Cisco ASA 5500 系列支持一个平台上的标准化，因而能降低整体安全运作成本。统一配置环境不仅简化了管理，还降低了人员培训成本。另外，该系列的通用硬件平台还有助于降低备件成本。 每个版本都能满足特定的企业环境需求： · 防火墙版：使企业能够安全、可靠地部署关键业务应用和网络。独特的模块化设计能够提供卓越的投资保护，降低运作成本。 · IPS版：通过一组防火墙、应用安全性和入侵防御服务，防止关键业务服务器和基础设施遭受蠕虫、黑客及其它威胁的袭击。 · Anti-X版：利用全面的安全服务套件，为小型站点或远程站点的用户提供保护。企业级防火墙和VPN服务提供到公司网络的安全连接。来自 Trend Micro 的业内领先的Anti-X服务能够防止客户端系统遭受恶意Web站点以及病毒、间谍软件和诱骗等基于内容的威胁侵袭。 · SSL/IPsec VPN版：使远程用户能够安全地访问内部网络系统和服务，为大型企业部署支持VPN集群。安全套接字层（SSL）和IP Security（IPsec）VPN 远程接入技术将Cisco Secure Desktop 等威胁迁移技术与防火墙和入侵防御服务有机地结合在一起，保证VPN流量不会给企业带来威胁。 1. 值得信赖的防火墙和威胁防御VPN技术 Cisco ASA 5500 系列建立于值得信赖的Cisco PIX安全设备和Cisco VPN 3000系列集中器技术，ASA5500系列是第一个兼具市场领先的防火墙技术保护，同时提供SSL和IPsec VPN服务的解决方案。 2. 业内领先的Anti-X服务 将Trend Micro 在互联网边缘的威胁防御和内容控制优势与切实可行的思科解决方案结合在一起，提供全面的防病毒、防间谍软件、文件阻挡、防垃圾邮件、防诱骗、URL阻挡和过滤以及内容过滤服务。 3. 高级入侵防御服务 提供主动型全功能入侵防御服务，有效阻止各种威胁，包括蠕虫、应用层攻击、操作系统级攻击、rootkit攻击、间谍软件、对等文件共享和即时消息传送。 4. 丰富的管理和监控服务 通过Cisco Adaptive Security Device Manager（ASDM）提供直观的单设备管理和监控服务，通过 Cisco Security Management Suite 提供企业级多设备集中管理服务。 5. 降低部署和运作成本 由于Cisco ASA 5500系列提供与现有思科安全解决方案一致的设计和界面，因而能显著降低初始安全部署成本和日常管理成本。 首字母缩写 SSC：安全服务卡，SSM：安全服务模块，AIP-SSM：高级检测和防御安全服务模块，CSC-SSM：内容安全和控制安全服务模块，4GE-SSM：4Gbps以太网安全服务模块 6.2 6509交换机 Catalyst 6500系列通过大幅度提高用户生产效率，增强运营控制，并提供史无前例的投资保护，为企业园区和服务供应商网络设置了全新的IP通信和应用支持标准。作为思科最出色的智能多层模块化交换机，Catalyst 6500系列提供了从布线室到核心、数据中心，乃至WAN边缘的安全、融合、端到端服务。 Cisco Catalyst 6500系列适用于希望降低总体拥有成本的企业和服务供应商，在一系列机箱配置和LAN/WAN/MAN接口上提供了可扩展性能和端口密度。Cisco Catalyst 6500系列拥有3、6、9和13插槽机箱，以及无与伦比的集成服务模块范围，包括多千兆位网络安全、内容交换、电话和网络分析模块。 由于在所有Cisco Catalyst 6500系列机箱中采用了拥有通用模块组和操作系统软件的前瞻性架构，Cisco Catalyst 6500系列提供了高水平的运营一致性，可以优化IT基础设施，增强投资回报。从48至576个10/100/1000端口或1152个10/100端口的以太网布线室，到支持192条1-Gbps或32个10-Gbps中继线的每秒数亿转发速率的网络核心，Cisco Catalyst 6500系列利用冗余路由和转发引擎间的状态化故障转换功能，提供了理想的平台功能，大幅度延长了网络正常运营时间。 凭借多个值得信赖的业界首创和领先的特性，Cisco Catalyst 6500系列可以支持3代模块，从而进一步证实了Catalyst 6500的价值和思科的创新承诺。思科新一代Catalyst 6500系列模块和Supervisor Engine 720采用了11种思科开发的全新特定应用集成线路（ASCI）－巩固了思科在联网业界的领先地位，提供了无与伦比的投资保护功能。 产品规格 表1 Cisco Catalyst 6500系列概览 特性 Cisco Catalyst 6500系列 系统特性 机箱配置 · 3插槽 · 6插槽 · 9插槽 · 9个垂直插槽 · 13插槽 背板带宽 · 32Gbps共享总线 · 256Gbps交换矩阵 · 720Gbps交换矩阵 第三层转发性能 · Supervisor 1 MSFC：15Mpps · Supervisor 2 MSFC：210Mpps · Supervisor 720：400Mpps 操作系统 · Catalyst OS(CatOS) · Cisco IOS · CatOS/IOS混合配置 冗余交换管理引擎 · 支持，支持状态化故障切换 冗余部件 · 电源（1+1） · 交换矩阵（1+1） · 可更换时钟 · 可更换风扇架 高可用性特性 · 网关负载均衡协议（GLBP） · 热备份路由器协议（HSRP） · 跨多模块EtherChannel · 快速生成树 · 多生成树 · 每VLAN快速生成树 · 快速收敛的第三层协议 最高系统端口密度 10/100/1000以太网 10/100快速以太网 100-BASE-FX千兆位以太网（GBIC） 10千兆位以太网（XENPAK） · 576个端口，都支持馈线电源 · 1152个端口，都支持馈线电源 · 288个端口 · 194个端口（在交换管理引擎上提供了2个端口） · 32个端口 集成WAN模块 FlexWAN(DS0到OC-3) OC-3 POS端口 OC-12 POS端口 OC-12 ATM端口 OC-48 POS/DPT端口 · 12个模块，带24个端口适配器 · 192 · 48 · 24 · 24 PSTN接口 数字T1/E1中继端口 FXS接口 高级服务模块 · 216 · 864 · 千兆位防火墙 · 千兆位VPN · 高性能入侵检测 · 千兆位内容交换模块 · 高性能SSL端接 · 千兆位内容服务网关 Cisco Catalyst 6500系列交换管理引擎可以根据交换管理引擎的配置和特定接口模块的功能，支持不同的转发技术，实现不同的转发速率。 交换管理引擎可配置以可选的厂家安装子卡－一个用于提供基于硬件的第二层转发的策略特性卡（PFC），以及一个提供第三层功能的多层交换机特性卡（MSFC）。 交换管理引擎可以在运行Cisco IOS软件或Cisco Catalyst操作系统的处理器上集中执行运营控制功能，而用于特殊用途的特定应用集成线路（ASIC）则执行桥接和路由功能（基于思科快速转发）、QoS标记和监督，以及访问控制功能。在DFC上采用了相同的ASIC，安装在某些接口模块上的子卡可用于非集中模式的分布式转发，以实现高达400Mpps的系统转发速率（表2）。 表2 Cisco Catalyst 6500系列交换管理引擎 特性 Supervisor Engine 1 Supervisor Engine 2 Supervisor Engine 720 解决方案和市场 · 布线室 · 企业分布层、核心和WAN边缘；服务供应商WAN和互联网边缘 · 企业核心和数据中心；服务供应商城域；无线；国家研究网络；网格计算 支持的转发架构 · 仅限于集中转发－位于交换管理引擎PFCx子卡上的引擎 · 集中CEF－位于交换管理引擎PFCx子卡上的引擎； · 分布式CEF－位于接口模块DFC子卡上的引擎 · 集中CEF－位于Supervisor Engine 720 PFC3子卡上的引擎； · 分布式CEF－位于接口模块DFC3子卡上的引擎； · 加速CEF－位于接口模块ASIC上的引擎 矩阵连接 · 通过32Gbps共享总线和各模块连接 · 每插槽16Gbps；到模块的双矩阵连接，每条通道8Gbps全双工 · 每端口40Gbps； · 到模块的双矩阵连接，每条通道20Gbps全双工 最高性能(Mpps) · 15Mpps · 210Mpps · 持续400Mpps－dCEF720 · 峰值400Mpps－aCEF DFC模块 · 不支持 · DFC · DFC3 路由处理器 · 在MSFC2子卡上（可选） · 在MSFC2子卡上（可选） · MSFC3集成 PFC模块 · PFC子卡（可选） · PFC2集成 · PFC3集成 Cisco Catalyst 6500系列以太网接口模块是专门为布线室、分布层和核心、数据中心应用，以及服务供应商和城域以太网环境而设计的，采用了下列以太网接口类型中的一种： · 10/100Mbps铜缆－适用于提供带自动协商功能的10/100-Mbps性能和支持IEEE 802.3af以太网电源（馈线电源）的布线室；每个模块96个端口；包标准接口模块和CEF256接口模块。 · 10/100/1000Mbps千兆位铜缆－适用于提供带自动协商功能的10/100/1000-Mbps性能和支持IEEE 802.3af以太网电源（线内电源）的布线室和数据中心；每个模块48个端口；包括标准接口模块、CEF256和CEF720接口模块。 · 100Mbps光纤－适用于安全布线室、远距离路由器和交换机连接；每个模块24个端口；包括标准接口模块和支持CEF256的接口模块 · 1Gbps－适用于提供1Gbps性能的分布层、核心层和数据中心；每个模块48个端口；包括标准接口模块、CEF256、dCEF256和CEF720接口模块 · 10Gbps－适用于在2-端口或4-端口模块中提供10Gbps性能的分布层和核心层；包括CEF256、aCEF720和dCEF720接口模块 Cisco Catalyst 6500系列和Cisco Catalyst 7600系列可以利用2种技术支持多种WAN接口： · FlexWAN模块－采用2个插入端口适配器，可提供多种WAN/MAN协议和特性 · 光服务模块（OSM）－一种专用线卡，提供了多种接口，包括OC-3/STM-1、OC-12/STM-4、OC-48/STM-16、通道化T3、通道化OC-12/STM-4 Pos、千兆位以太网、OC-12/STM-4 ATM和OC-48/STM-16动态分组传输（DPT） FlexWAN模块安装在Cisco Catalyst 6500系列和Cisco Catalyst 7600系列系统内部，将Cisco 7200和7500系列端口适配器（PA）用于广泛的WAN/MAN协议，包括帧中继、ATM、PoS、点到点协议（PPP）和高级数据链路控制（HDLC）。另外，FlexWAN模块提供了各种介质选项，如纯通道和通道化T1/E1、T3/E3、高速服务接口（HSSI）、OC-3 PoS和ATM。 OSM线卡配备有卡上网络处理器，为分布式线速IP服务应用提供高速WAN连接。 Cisco Catalyst 6500系列为包括内容服务、网络监控、安全和电话在内的第四到七层应用提供了扩展服务模块组。 · 内容服务网关（CSG）－为客户计费系统实现了区分计费、用户强制费用结算和活动跟踪等。 · 内容交换模块（CSM）－将高级内容交换集成入Cisco Catalyst 6500系列，提供了缓存、防火墙、Web服务器和其他网络设备的高性能、高可用的负载均衡 · 网络分析模块（NAM 1和2）－提供了网络基础设施的应用级可视性，用于实时流量分析、性能监控和故障排除；利用基于Web的内嵌流量分析器执行流量监控。 · 防火墙服务模块（FWSM）－FWSM允许机箱中的任何端口作为防火墙端口发挥作用，它将状态防火墙安全性集成入网络基础设施。 · 入侵检测系统模块（IDSM和IDSM-2）－以线速从交换机背板获取流量，将IDS功能直接集成入交换机。 · IPSec VPN模块（IVSM）－提供了基础设施集成IPSec VPN服务，实现了1.9Gbps三重数据加密标准（3DES）性能，8000个活跃隧道，以及每秒60个新隧道建立速度。 · SSL服务模块（SSM）－卸载有关保护流量的处理器密集型的SSL任务，可以加速SSL性能，提高Web应用的安全性。 · 通信媒体模块（CMM）－提供了灵活的高密度T1和E1网关，允许机构将现有的时分多路复用（TDM）网络连接到IP通信网络，并提供了到PSTN的连接。 6.3 入侵检测模块 Cisco IDSM-2是思科入侵检测系统的组成部分。它可以与其他组件合作，有效地保护您的数据基础设施。随着安全威胁的复杂性的日益提高，实施有效的网络入侵安全解决方案对于确保高水平的安全保障至关重要。高水平的安全保障可以确保业务连续性，最大限度地避免入侵可能造成的巨额损失。 思科的集成化