CiscoCatalyst4500系列交换机功能应用与安全解决方案.docx
《CiscoCatalyst4500系列交换机功能应用与安全解决方案.docx》由会员分享,可在线阅读,更多相关《CiscoCatalyst4500系列交换机功能应用与安全解决方案.docx(61页珍藏版)》请在冰豆网上搜索。
CiscoCatalyst4500系列交换机功能应用与安全解决方案
(三)三层交换机其他安全配置……………………………………………………………………38
CiscoCatalyst4500系列交换机功能应用与安全解决方案
一、CiscoCatalyst4500系列交换机概述
1、功能概述
Cisco®Catalyst®4500系列交换机(图1)将无阻塞第二到四层交换与最优控制相集成,有助于为部署关键业务应用的大型企业、中小型企业(SMB)和城域以太网客户提供业务永续性。
CiscoCatalyst4500系列凭借众多智能服务将控制扩展到网络边缘,其中包括先进的服务质量(QoS)、可预测性能、高级安全性和全面的管理。
它提供带集成永续性的出色控制,将永续性集成到硬件和软件中,缩短了网络停运时间,有助于确保员工的效率、公司利润和客户成功。
CiscoCatalyst4500系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支,提高了投资回报(ROI),从而在延长部署寿命的同时降低了拥有成本。
图1CiscoCatalyst4500系列交换机
图1
2、技术融合
在当今竞争高度激烈的业务环境中,融合网络在帮助机构通过提高生产效率、组织灵活性和降低运营成本,从而获得竞争优势方面起着重要作用。
将数据、话音和视频集成在单一(基于IP的)网络上,需要一个能区分各种流量类型并根据其独特需求加以管理的交换基础设施。
CiscoCatalyst4500系列与CiscoIOS相结合,提供了一种可实现先进功能和控制的基础设施。
3、最优控制
CiscoCatalyst4500系列为所有将集成以解决业务问题的应用提供了网络基础设施。
通过集成永续性扩展智能网络服务,可控制所有流量类型并实现最短停运时间。
CiscoCatalyst4500系列凭借以下特性提供了这种控制能力。
4、集成永续性
通过CiscoCatalyst4500系列的冗余交换管理引擎(不到一秒内实现故障转换)功能(CiscoCatalyst4507R和Catalyst4510R交换机)、基于软件的故障容许、冗余风扇和1+1电源冗余,最大限度地缩短了网络停运时间。
所有CiscoCatalyst4500系列机箱中都具备以太网电源(PoE),简化了网络设计,并限制了IP电话实施中的故障点数目。
5、高级QoS
集成的基于第二到四层的QoS和流量管理功能,在32000个QoS策略条目的基础上,对关键任务和时间敏感型流量进行了分类和优先排序。
CiscoCatalyst4500系列可以利用基于主机、网络和应用信息的入口和出口策略控制器机制,对高带宽流量进行整形和速率限制。
6、可预测性能
CiscoCatalyst4500系列在硬件中为第二到四层流量提供了高达102Mpps的线速转发速率。
交换性能与支持的路由或第三层高级服务数量无关。
7、高级安全性能
对荣获专利的思科第二层安全特性的支持,可防止恶意服务器的安全违规,以及可能截获密码及数据的“中间人”攻击。
此外,它还支持第二到四层过滤和监督,以防来自恶意网络攻击者的流量进入网络。
8、全面的管理
CiscoCatalyst4500系列为所有端口的配置和控制提供了基于Web的管理功能,因而可以集中管理重要网络特性,如可用性和响应能力等。
9、可扩展架构
融合通过消除分立的话音、视频和数据基础设施,降低了网络整体拥有成本,简化了管理和维护。
CiscoCatalyst4500系列的模块化架构具有可扩展性和灵活性,无需多平台部署,最大限度地降低了维护开支。
为进一步延长客户网络设备的使用寿命,CiscoCatalyst4500系列提供了以下特性:
线卡的向后兼容性
客户可灵活地在已有机箱中将线卡升级到更高速度的接口,不必更换整个机箱,
为未来特性提供更大发展空间。
10、延长了增加投资的时间。
CiscoCatalyst4500系列架构的设计配备了大量的硬件资源,可支持针对您网络需求的未来特性。
您只需进行简单的CiscoIOS软件升级,就可获得多种硬件支持的特性,无需全面的机箱升级。
11、CiscoCatalyst4500系列产品线
CiscoCatalyst4500系列包括四种机箱选择:
CiscoCatalyst4510R(10插槽)、Catalyst4507R(7插槽)、Catalyst4506(6插槽)和Catalyst4503(3插槽)。
12、设备通用架构
CiscoCatalyst4500系列具有一个通用架构,采用了现有CiscoCatalyst4000系列的线卡,可扩展到384个10/100或100BASE-FX快速以太网端口,或384个10/100/1000BASE-T或1000BASE-LX千兆位以太网端口。
CiscoCatalyst4500系列与现有CiscoCatalyst4000系列线卡和交换管理引擎兼容,延长了它在融合网络中的部署寿命。
13、CiscoCatalyst4500系列交换机的特点
CiscoCatalyst4500系列为企业LAN接入、小型骨干网、第三层分布点和集成化SMB及分支机构部署提供了先进的高性能解决方案。
其优势包括:
(1)性能
CiscoCatalyst4500系列提供了带宽可随端口的添加而扩展的高级交换解决方案,采用了领先的特定应用集成电路(ASIC)技术,提供线速第二到三层10/100或千兆位交换。
第二层交换以全面的线卡兼容性提供了模块化交换管理引擎灵活性,可扩展到136Gbps、102mpps。
第三到四层交换基于思科快速转发,也可扩展到136Gbps、102mpps。
(2)端口密度
CiscoCatalyst4500系列可达到一个机箱中384个铜或光纤以太网端口的网络组件连接要求。
Catalyst4500系列支持业界最高密度的10/100/1000自动检测,自动协商从网络边缘直接到桌面计算机的千兆位以太网连接。
可选万兆位以太网上行链路端口有助于实施高密度千兆位以太网到桌面部署和交换机间应用。
(3)交换管理引擎冗余性
CiscoCatalyst4507R和Catalyst4510R交换机支持1+1交换管理引擎冗余,实现集成永续性。
冗余交换管理引擎可缩短网络停运时间,实现业务连续性和提高员工效率。
在状态化切换(SSO)的支持下,第二个交换管理引擎作为备用,可在主交换管理引擎发生故障时,在不到一秒的时间内接管一切。
此外,也支持CiscoIOS软件中的不间断转发(NSF)感知特性,可与支持NSF的设备互操作,在因交换管理引擎切换而更新路由信息时,可继续转发分组。
A、SupervisorEngineII-Plus——以入门级价格提供增强的第二层特性,
适用于小型第二层配线间以及简单的第三层QoS和安全性。
B、SupervisorEngineII-Plus-TS——在SupervisorEngineII-Plus的基础上增加了20个线速千兆以太网(GE)端口(12个千兆以太网PoE铜线端口、8个千兆以太网SFP光端口)。
只在Catalyst4503机箱中支持。
C、SupervisorEngineIV——中等配线间和第三层网络,提供增强的安
全特性和第三层路由(EIGRP,OSPF,IS-IS协议,BGP)。
D、SupervisorEngineV——高级性能和先进特性,在Catalyst4510R
机箱中支持242个端口。
E、SupervisorEngineV-10GE——在SupervisorEngineV的基础上添
加了两条万兆以太网上行链路和NetFlow。
在Catalyst4510R机箱中
最多支持384个端口。
(4)以太网电源(PoE)
CiscoCatalyst4500系列支持802.3af标准和思科预标准电源,以便在10/100或10/100/1000端口上提供PoE,使客户可支持电话、无线基站、摄像机和其他设备。
此外,PoE允许企业在单一电源系统上隔离关键设备—所以整个系统可由备用的不间断电源(UPS)支持。
所有新CiscoCatalystPoE线卡可同时在每个端口上支持15.4W。
这些卡与所有CiscoCatalyst4500系列机箱和交换管理引擎兼容。
(5)高级安全特性
CiscoCatalyst4500系列上支持802.1x、访问控制列表(ACL)、SecureShell(SSH)协议、动态ARP检测(DAI)、源IP防护和专用虚拟LAN(PVLAN)等安全特性,可增强网络中的控制能力和灵活性。
通过有选择地或全部实施上述特性,网络管理员可防止对于服务器或应用的未授权访问,允许不同的人能以不同的许可权来使用同一PC。
(6)CiscoIOS软件网络服务
CiscoCatalyst4500系列交换机提供能增强公司网络的成熟的第二到三层特性。
这些特性可满足大中型企业的先进的联网要求,因为它们已根据多年来客户的反馈意见进行了改进。
(7)投资保护
CiscoCatalyst4500系列灵活的模块化架构为LAN接入层或分支机构网络提供了经济有效的接口升级。
已部署了采用较早交换管理引擎版本的CiscoCatalyst4503和Catalyst4506交换机、现在需要更高性能和增强特性的客户,可方便地升级到CiscoCatalyst4500系列SupervisorEngineII-Plus、Catalyst4500系列SupervisorEngineV-10GE、Catalyst4500SupervisorEngineIV或Catalyst4500SupervisorEngineV。
Catalyst4500系列各成员间的备件可兼容,Catalyst4003和Catalyst4006机箱提供了电源和交换线卡通用性,降低了整体部署、移植和支持成本。
(8)功能透明的线卡
CiscoCatalyst4500系列系统只需添加一个新的交换管理引擎,如CiscoCatalyst4500系列supervisorenginesII-Plus、IV、V或V-10GE,即可轻松地将所有系统端口升级到更高层的交换功能。
无需更换现有线卡和布线,就可以实现更高层的功能增强。
(a)交换管理引擎
A、SupervisorEngineII-Plus——以入门级价格提供增强的第二层特性,
适用于小型第二层配线间以及简单的第三层QoS和安全性。
B、SupervisorEngineII-Plus-TS——在SupervisorEngineII-Plus的基
础上增加了20个线速千兆以太网(GE)端口(12个千兆以太网PoE
铜线端口、8个千兆以太网SFP光端口)。
只在Catalyst4503机箱中
支持。
C、SupervisorEngineIV——中等配线间和第三层网络,提供增强的安
全特性和第三层路由(EIGRP,OSPF,IS-IS协议,BGP)。
D、SupervisorEngineV——高级性能和先进特性,在Catalyst4510R
机箱中支持242个端口。
E、SupervisorEngineV-10GE——在SupervisorEngineV的基础上添
加了两条万兆以太网上行链路和NetFlow。
在Catalyst4510R机箱中
最多支持384个端口。
(b)线卡
A、百兆以太网铜线——百兆以太网线卡包括24端口和48端口连接类型,
都带可任选PoE。
B、百兆以太网光纤——支持多模光纤和单模光纤,以及FX、LX和BX
收发器。
C、千兆以太网铜线——提供24端口或48端口,带或不带PoE。
D、千兆以太网光纤——千兆以太网光纤卡提供高性能千兆以太网上行链
路和服务器群连接。
提供多种端口数和光接口类型(千兆位接口转换
器[GBIC]和SFP光接口
(9)到桌面的千兆位连接
CiscoCatalyst4500系列已提供众多的1000-Mbps桌面和服务器交换解决方案。
其千兆位解决方案的范围可通过用于Catalyst4500系列的48和24端口三速自动检测和自动协商10/100/1000BASE-T线卡,方便地扩展到桌面。
采用自动检测技术的三速48和24端口模块,无需更换线卡即可将快速以太网桌面在将来移植到千兆位以太网,提供了LAN投资保护。
Catalyst4500系列SupervisorEngineV-10GE提供了两条为10/100/1000BASE-T到桌面汇聚而优化的线速万兆位以太网上行链路。
(10)基于硬件的组播
协议独立型组播(PIM)、密集和疏松模式、互联网小组管理协议(IGMP)和思科群组管理协议支持基于标准和经思科技术增强的高效多媒体联网,且对性能无影响。
(11)CiscoNetFlow服务
用于SupervisorEngineIV和V的CiscoNetFlow服务卡支持硬件中的统计数据获取,用于基于流量和基于VLAN的统计监控。
针对关键任务应用的带宽保护
当部署CiscoCatalyst4500系列SupervisorEnginesII-Plus、IV、V或V-10GE时,在实施QoS或安全特性时不会降低转发性能;Catalyst4500系列平台继续以全线速转发分组。
(12)到桌面的光纤连接
CiscoCatalyst4500系列24和48端口100BASE-FX线卡提供了光纤电缆设施的安全性和永续性,使之极适于有距离限制、入侵漏洞或RF干扰的网络。
处理保密信息或提供电子商务的企业客户或政府机构将受益于这些线卡的安全优势。
14、CiscoCatalyst4500系列的主要特性
特性
功能和说明
优势
箱
模块化3、6、7和10插槽CiscoCatalyst4500系列机箱
支持交换管理引擎(CiscoCatalyst4507R和Catalyst4510R上可支持2个),带集成PoE的电源。
提供了具备高级集成永续性的通用架构,可以根据园区内联网的要求标准化。
状态化切换(SSO)和不间断转发(NSF)感知
提供双交换管理引擎,故障转换可在不到一秒内完成。
保持第二层会话。
路由事件期间,继续第三层转发。
大幅度缩短了网络停机时间,有助于确保业务的持续性和提高生产效率。
灵活的交换模块—基于标准、自动检测和自动协商
提供众多接口选择:
10/100Mbps以太网和10/100/1000、1000Mbps千兆位以太网或10000Mbps万兆位以太网。
支持IP园区的LAN带宽扩展,可在扩展网络时提供方便的移植。
64Gbps容量背板(CiscoCatalyst4503)
每秒转发超过4800万64字节以太网分组。
可以满足一个系统所有接口以线速全面运行的吞吐量要求。
100Gbps容量背板(CiscoCatalyst4506和Catalyst4507R)
为线速、无阻塞75mpps转发提供了充足的容量。
可以满足一个系统所有接口以线速全面运行的最糟糕情况下的吞吐量要求(无阻塞矩阵要求配备SupervisorEngineII-Plus、IV或V或V-10GE)。
136Gbps容量背板(CiscoCatalyst4510R)
为线速、无阻塞102mpps转发提供了充足的容量,支持多达8个接口模块。
无阻塞、高密度应用。
集成CiscoIOS软件增强了第三层交换(CiscoCatalyst4000/4500supervisorenginesIV和V)
以千兆位速度提供基于ASIC的IP路由。
提供了网络流量的第三层子网控制功能;成熟的路由协议。
多层QoS
为第二层CoS和第三层ToS、流量整形、共享、监督和带动态缓冲限制(DBL)的拥塞避免机制,提供了QoS功能。
在每个端口上提供了多个队列。
为网络流量优先排序提供了集中控制功能;可方便地创建和管理策略,以保护关键任务应用。
入口和出口监督(CiscoCatalystsupervisorenginesII-Plus、IIPlus-TS、IV、V和V-10GE)
在每个端口基础上,在入口识别分组,在出口重新分类和重新标记分组。
根据用户定义的流量分类方法,提供了精确的流量控制功能,确保了QoS策略的实施。
集成PoE
为连接到支持PoE的CiscoCatalyst4500系列交换机端口的设备提供电源。
设备包括IP电话、接入点、摄像机和其他符合思科或IEEE802.3af标准的设施。
为桌面提供了单一线路;无需办公间不间断电源(UPS)。
全面的安全性
802.1x,用于基于身份的网络服务
使用经过思科增强的802.1x协议,无论用户位于何处或使用什么设备,网络都可根据用户登陆信息来授予许可权。
允许不同的人员使用相同PC,但拥有不同功能,以便用户无论采用何种方式登陆网络,都只能获得他们指定的权利—防止了未授权访问。
ACL
仅限用户访问网络的指定区域,防止对于所有其他应用和信息的未授权访问。
防止针对服务器和应用的未授权访问;只允许指定用户访问特定服务器。
专用VLAN
防止用户看到其他人在同一交换机上生成的流量。
有助于确保同一交换机上用户的保密性。
受密码保护的管理界面
需密码来通过Telnet或SSH进行本地或远程访问。
提供针对未授权配置修改的保护。
15、CiscoCatalyst4500系列交换机的优点
(1)安全、强大——通过冗余组件提供高可靠性
(2)服务中升级——热插拔和删除组件
(3)千兆以太网的价格——比可堆叠设备更为经济有效(大于48个端口)
(4)自适应性——不需要大规模升级就能提供万兆以太网上行链路
(5)极高的安全性——利用CiscoCatalyst集成式安全特性,能够提供思
科最全面的局域网接入保护
(6)战略性思科平台——已安装了400,000多个机箱
(7)集中式体系结构——简洁、扩展能力强、性能高
(8)支持IP语音
(9)投资保护
(10)是目前部署最广泛的模块化交换机
16、CiscoCatalyst4500系列的应用
(1)采用以太网骨干的多层交换企业网络
当前的领先网络设计在LAN中使用了第二层和第三层服务的结合(CiscoCatalyst4500系列),在分布层和核心网络层使用了第三层路由(Catalyst4500或Catalyst6500系列)。
Catalyst4500系列通过Catalyst4500系列SupervisorEngineIV、V或V-10GE系列,在硬件中支持纯IP路由(在软件中支持互联网分组交换[IPX]协议和AppleTalk),可部署在企业网络中的低密度分布点。
分布层CiscoCatalyst4500系列交换机使用思科快速转发路由引擎,能扩展到136Gbps、102mpps(在Catalyst4500系列SupervisorEngineV-10GE上)。
这有助于在硬件中实现数百万分组/秒的第三层交换吞吐率,且不会影响报头前缀长度。
(2)中型企业和企业分支机构应用
思科系统公司现推出了CiscoCatalyst4500SupervisorIV、V和V-10GE,提供了一种中型企业设计选择,满足了重视价值、正寻找一个灵活、可扩展LAN解决方案的客户的需求。
这些交换管理引擎专门针对中型企业或教育界客户的LAN接入而进行了优化,提供了当前和未来用以管理网络应用的性能和特性。
它们提供无阻塞第二到四层服务,来支持适用于数据、话音和视频融合网络的、永续、智能的多层交换解决方案。
(3)中小型企业和分支机构应用
CiscoCatalyst4500系列提供了一个理想的分支机构解决方案,能满足各种运营机构以及小型企业应用的需要。
CiscoCatalyst4500SupervisorEngineIV添加了增强第三层交换功能和千兆位线速性能,可部署在分支机构骨干网络之中。
CiscoIOS软件在其他交换机和WAN路由器之间提供了稳定的网络连接。
下图为分支机构设计的LAN/WAN体系结构
二、CiscoCatalyst4500系列交换机的解决方案
1、DHCP的解决方案:
(1)不用交换机的DHCP功能而是利用PC的DHCP功能
1.1.在交换机上配置DHCP服务器:
使用命令:
ipdhcp-server192.168.0.69
1.2.在交换机中为每个VLAN设置同样的DHCP服务器的IP地址:
Catalyst4507(Config)#interfaceVlan11
Catalyst4507(Config-vlan)#ipaddress192.168.1.254255.255.255.0
Catalyst4507(Config-vlan)#iphelper-address192.168.0.69
Catalyst4507(Config)#interfaceVlan12
Catalyst4507(Config-vlan)#ipaddress192.168.2.254255.255.255.0
Catalyst4507(Config-vlan)#iphelper-address192.168.0.69
1.3.在DHCP服务器上设置网络地址分别为192.168.1.0、192.168.2.0的作用域,并将这些作用域的“路由器“选项设置为对应VLAN的接口IP地址。
1.4、在DHCP服务器上设置各作用域的主DNS和辅助DNS
(2)利用三层交换机自带的DHCP功能实现多VLAN的IP地址自动分配
配置说明:
2.1.同时为多个VLAN的客户机分配地址
2.2.VLAN内有部分地址采用手工分配的方式
2.3.为客户指定网关、Wins服务器等
2.4.VLAN2的地址租用有效期限为1天,其它为3天
2.5.按MAC地址为特定用户分配指定的IP地址
三层交换机上最终配置如下:
ipdhcpexcluded-address10.1.1.110.1.1.19//不用于动态地址分配的地址ipdhcpexcluded-address10.1.1.24010.1.1.254
ipdhcpexcluded-address10.1.2.110.1.2.19
ipdhcppoolglobal//global是poolname,由用户指定
network10.1.0.0255.255.0.0//动态分配的地址段
domain-name//为客户机配置域后缀
dns-server10.1.1.110.1.1.2//为客户机配置dns服务器netbios-name-server10.1.1.510.1.1.6//为客户机配置wins服务器netbios-node-typeh-node//为客户机配置节点模式(影响名称解释的顺利,如h-