网络可扩展方案.docx
- 文档编号:4137328
- 上传时间:2022-11-28
- 格式:DOCX
- 页数:18
- 大小:292.68KB
网络可扩展方案.docx
《网络可扩展方案.docx》由会员分享,可在线阅读,更多相关《网络可扩展方案.docx(18页珍藏版)》请在冰豆网上搜索。
网络可扩展方案
1.可扩展方案
概述
今天的企业网络
在今天市场经济的条件下,所有的企业,无论其规模大小,都会面临新的机遇和挑战。
企业应用网络技术,能够在提高企业运作效率的基础上,最终增加经济效益和增强竞争能力。
在瞬息万变的市场上,网络应用可以帮助企业决策者运筹帷幄,充分利用各种信息资源,优化企业资源配置,扩大各个产业的市场空间,减少了传统商务流程的环节,极大地提高了劳动生产率。
置身于网络经济时代,任何企业,无论其规模大小,都必须适应新的潮流。
企业内部的网络已经成为提升核心竞争力的关键因素,越来越多的企业都已经充分意识到这一点,加快构建自身的信息网络。
通过利用网络技术,现代的企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通,这直接关系到企业能否获得关键的竞争优势。
企业网络的重要性,使得网络的可靠性、可扩展性、可管理性和安全性都受到了空前的重视。
特别是网络的扩展性,更是不同程度的影响着可靠性、管理性和安全性。
良好的扩展性就意味着网络具备良好的持续改进能力。
业务的不断发展,接入用户数的增多,数据流量的加大,这些都对网络提出扩展升级的需求。
网络扩展要求
网络的升级扩展包括以下方面:
接入能力扩展
接入能力是指交换机接入用户数的能力。
这种扩展要求通常出现在网络边缘,由于用户数目的增加,现有交换机端口数目不够,需要进行端口数目的扩展
处理能力扩展
处理能力是指交换机的数据转发能力,一般是指三层转发能力。
这种要求通常出现在网络的汇聚层或核心层。
随着用户业务的发展,业务数据流较大时,或对业务数据流有较多的QOS或安全策略时,交换机的转发能力不足就会影响业务。
带宽扩展
带宽扩展通常出现在不同的网络层次间,如接入层和汇聚层,汇聚层和核心层。
由于桌面接入的主流都已经是100MB,而100MB交换机的上联端口通常为1000MB,在满负荷情况下,也才能满足10个端口的线速上联,而现在交换机动辄24口,48口,因此在某些情况下,需要进行上联带宽的扩展。
平滑扩展
随着用户对网络的依赖性越来越强,网络的中断可能会给用户带来巨大的损失。
即使是要进行网络的扩展升级,用户也希望不要对现存的网络有影响。
这就要求网络的扩展具有平滑不中断的特性。
同时,在网络扩展中,能够保护原有设备的投资,不造成投资浪费
Cisco®Catalyst®6500系列交换机扩展
可扩展性能
∙利用分布式思科快速转发平台提供业界最高的LAN交换机性能--400mpps
∙支持多种思科快速转发部署方式和交换矩阵速率,可为配线间、核心网络、数据中心、广域网边缘部署以及电信运营商网络提供最优配置
∙支持多种扩展模块
模块扩展
Cisco®Catalyst®6500系列交换支持众多模块进行扩展升级。
防火墙模块
CiscoCatalyst®6500交换机和Cisco7600系列路由器的防火墙服务模块(FWSM)是一种高速的、集成化的服务模块,可以提供业界最快的防火墙数据传输速率:
5Gb的吞吐量,100000CPS,以及一百万个并发连接。
在一个设备中最多可以安装四个FWSM,因而每个设备最高可以提供20Gb的吞吐量。
作为世界领先的CiscoPIX防火墙系列的一部分,FWSM可以为大型企业和服务供应商提供无以伦比的安全性、可靠性和性能。
FWSM采用了CiscoPIX技术,并且运行CiscoPIX操作系统(OS)--一个实时的、牢固的嵌入式系统,可以消除安全漏洞,防止各种可能导致性能降低的损耗。
这个系统的核心是一种基于自适应安全算法(ASA)的保护机制,它可以提供面向连接的全状态防火墙功能。
利用ASA,FWSM可以根据源地址和目的地地址,随机的TCP序列号,端口号,以及其他TCP标志,为一个会话流创建一个连接表条目。
FWSM可以通过对这些连接表条目实施安全策略,控制所有输入和输出的流量。
硬件性能
5Gbps
一百万个并发连接
每秒建立和断开超过10万个连接
无线控制服务模块
∙适用于Catalyst6500的无线局域网控制器
∙每个模块最多支持300个轻型接入点,能支持10,000多个无线客户端设备,提供了出色的企业可扩展性
∙第三层快速、安全漫游
∙能够与Catalyst6500防火墙和IDS模块互操作
∙企业可靠性
∙集成RRM
∙零配置部署
∙多层安全
∙入侵检测、定位和隔离
∙移动管理
入侵检测系统服务模块
CiscoIDSM-2是思科入侵检测系统的组成部分。
它可以与其他组件合作,有效地保护您的数据基础设施。
随着安全威胁的复杂性的日益提高,实施有效的网络入侵安全解决方案对于确保高水平的安全保障至关重要。
高水平的安全保障可以确保业务连续性,最大限度地避免入侵可能造成的巨额损失。
思科的集成化网络安全解决方案让机构可以防止他们的联网业务资产受到威胁,提高入侵防范的效率。
这些解决方案中包括第二代思科入侵检测系统(IDS)模块,即IDSM-2,它可以用在广泛部署的CiscoCatalyst系列设备上。
Catalyst系列设备的装机量已经达到数十万台,它是包括防火墙、虚拟专用网(VPN)和入侵检测系统(IDS)服务在内的附加服务的理想平台。
由于认识到这种方式的价值,思科推出了这个第二代模块,以便为那些寻求IDS攻击防范的客户提供独特的优势。
性能指标
∙对450字节的分组的处理能力为600Mbps
∙每秒最多可以支持5000个TCP连接(新到达)
∙最多可以支持50万个并发连接
∙100%警报率
∙在CiscoCatalyst机箱中添加VLAN或者设备不会对Catalyst的性能造成任何影响
∙支持矩阵
网络分析模块
网络管理员依靠各种工具来提供有效的网络管理和监控。
过去,局域网(LAN)交换机已提高了网络性能,但阻碍了网络管理员对交换流量进行监控。
远程监控(RMON)在共享网络上最有效果,在那里,它可以看到所有流量。
LAN交换机需要有力的监控,因为它们会过滤信息流量,以便这些信息只出现在与其发送设备和目的地设备相连的端口上。
这种对不同网段的网络活动“不断提高的可视性”要求,使管理员很难调整网络性能,而且它也给交换网络中的纠错带来了不便。
全球联网领域的领先厂商,思科系统公司推出了一款针对其屡获大奖的高性能Catalyst6500交换机系列的、带网络分析模块(NAM)和全套交换机探针系统的集成化解决方案,可满足交换以太网LAN中多服务网络管理和监控的需要。
CiscoCatalyst6500交换机已具有内置RMON特性,在统计、历史、报警和事件组中获取数据。
附加RMON/RMON2特性需使用网络监控工具。
NAM根据RMON和RMON-2管理信息库(MIB)提供远程监控功能,在所有层收集数据,以便网络管理员可获得实用分析,同于故障隔离和纠正、容量规划和管理、性能管理、应用监控以及调试。
CiscoCatalyst6500NAM是Cisco端到端网络管理和监控解决方案的一部分。
NAM是Cisco集成化语音、视频和数据体系结构(AVVID)的一个元件,在CiscoLAN网络中定义了强大的多服务交换。
随着企业部署融合网络,管理员也需收集有关应用或视频应用的统计数据。
NAM收集一直传输至应用层的数据和语音流的多层信息,有助于简化管理当今复杂多服务交换LAN的任务,这种LAN支持各种数据、语音和视频应用,其中包括系列。
CiscoWorks2000平台中的语音支持也即将出台。
内容交换模块
Cisco内容交换模块(CSM)是一个Catalyst6500线卡,可将客户机流量均衡分配至服务器、防火墙、SSL设备或VPN终端设备。
CSM为企业和互联网服务供应商(ISP)网络提供了一个高性能、经济有效的负载均衡解决方案。
CSM能满足高速内容提供网络的需要,实时跟踪网络会话和服务器负载情况并将每个会话传送至最适当的服务器。
容错型CSM配置保持全状态信息,并提供了关键功能所需的真正无中断故障转换。
内容交换模块的主要特性:
防火墙负载均衡
CSM可逐条连接地在多个防火墙间分布流量,从而允许您扩展防火墙保护,同时确保所有属于特定连接的分组都通过同一防火墙传输。
支持秘密防火墙和常规防火墙。
URL和基于cookie的负载均衡
CSM可根据URL、cookie和HTTP报头域对策略进行全面的常规表达模式匹配。
CSM支持任意URL或cookie格式,无需改进URL/cookie格式即可对现有Web内容进行负载均衡。
网络配置
CSM支持多种不同的网络拓扑类型。
CSM可在混合桥接和路由配置下运行,使流量从相同或不同IP子网上的客户端传送至服务器端。
IP协议支持
CSM符合多种通用IP协议-包括TCP、UDP等。
此外,CSM还支持更高级的协议,包括HTTP、FTP、Telnet、动态名称服务器(DNS)和简单邮件传输协议(SMTP)。
UserSessionStickiness
在涉及加密或电子商务时,最终用户一直被引导至同一服务器是非常重要的,这一服务器应是用户购物车所处于的服务器或加密隧道终止的服务器。
CSM的UserSessionStickiness能根据安全套接字层(SSL)会话ID、IP地址、cookie或HTTP重定向,一直将用户引导回同一服务器。
配置上限
∙共32个VLAN(客户机和服务器)
∙4000个虚拟服务器
∙4000个服务器群
∙16000个实际服务器
∙4000个探针
∙16000个访问控制列表(ACL)项
性能总结
连接
∙1,000,000条同时TCP连接
∙每秒建立200,000条连接――第4层1
吞吐量
∙共每秒4Gb综合(客户到服务器和服务器到客户)吞吐量
∙前向(客户到服务器)每秒1GB吞吐量
语音通信介质模块
思科通信介质模块(CMM)是一个CiscoCatalyst6500模块,提供了灵活的高密度的T1和E1网关,允许机构将其现有TDM网络连至其IP通信网络并提供到PSTN的连接,同时利用通过使用IP通信而带来的新机遇。
CiscoCMM模块推出了CiscoCatalyst6500系列的一个新模块化板。
CMM现随6端口T1和6端口E1端口适配器提供。
CiscoCatalyst6500系列提供了最佳产品和服务,来帮助客户迁移至一个全融合园区网络,实现语音、视频和数据集成,用于每一台式机上的全集成IP通信。
使用IP融合网络基础设施而非传统PBX提供语音支持。
这大大提高了语音在整体基础设施开支中语的利用率,降低了投资和运行成本,并开创了支持新应用的创新环境。
主要特性和优点
CiscoAVVID网络基础设施的主要元件之一,CMM系列允许企业将经济有效、无缝的网络基础设施扩展至其网络中的所有地点。
投资保护--可现场升级的模块化元件,允许客户能方便地更换或改变接口端口适配器,而无需对整个模块的"整体升级"。
CMM可实现扩展和可适应性,以满足不断发展的要求并最大限度地利用6500插槽。
基于CiscoIOS--提供了用于思科网关的熟悉、标准的界面。
CiscoIOS为该平台提供了坚固性和丰富特性。
CiscoIOS可在新服务出台时方便其在IP通信网络中的部署。
可靠性--CMM模块上的热插拔功能几乎无需或根本不必中断服务,即可在处于工作状态的CiscoCatalyst6500交换机上执行硬件维护。
在热插拔期间,CMM可以拔下、插入或更换,而只会影响拆除的卡上正在处理的呼叫。
作为CMM的一部分,客户可插入一系列端口适配器,以在单一CiscoCatalyst6500插槽中获得多种功能。
异常流量防护模块
思科®异常流量防护模块是一个集成的服务模块在CiscoCatalyst6500系列交换机和Cisco7600系列路由器,提供大量的防御分布式拒绝服务(DDoS)攻击的一个强大而广泛的解决方案。
单一异常流量防护模块提供了对千兆线速处理攻击流量的平台。
在异常流量防护模块中采用了独特的“按需”部署模型,转移和过滤有目标地址流量,同时又不影响其他流量。
集成多层的防御范围内异常流量防护模块,使其能识别并阻止恶意攻击流量,同时允许合法流量继续流入他们原来的目的地。
即使在攻击之中,业务同样不间断地继续下去。
表1.思科异常流量防护模块功能
特性
描述
性能
选项一:
1Gbps
•每模块吞吐量1Gbps
•升级到150,000动态过滤
•1,500,000并发连接
•500个防护区(differentpoliciesandbaselines[contexts])
•30并发防护区
•延迟和抖动小于1ms
选项二:
3Gbps
•每模块吞吐量3Gbps
•升级到150,000动态过滤
•4,500,000并发连接
•500个防护区(differentpoliciesandbaselines[contexts])
•50并发防护区
•延迟和抖动小于1ms
Clustering
选项一:
Clustering1-Gbpsmodules
•使用等成本多路径路由
•非特殊负载均衡要求
•升级到6个模块每Catalyst6509/Cisco7609机箱
•升级到10个模块每Catalyst6513/Cisco7613机箱
选项二:
Clustering3-Gbpsmodules
•使用等成本多路径路由
•非特殊负载均衡要求
•升级到6个模块每Catalyst6509/Cisco7609机箱
•升级到10个模块每Catalyst6513/Cisco7613机箱
表2.产品规格
规格
描述
存储
•7GB内存,1GB闪存
重量
•最小:
3lbkg)
•最大:
5lbkg)
高
•in.(30mm)
宽
•in.(394cm)
深
•in.(415cm)
功率要求
•168Watts
工作温度
•32to104°F(0to40°C)
非工作温度
•-40to167°F(-40to75°C)
湿度
•10to90percent,noncondensing
管理
•安全Web基本图形化
•命令行:
Console,Telnet,SSH
•思科(Riverhead)SNMPMIBandMIBII
•TACACS+
•Syslog
认证
•UL-recognized
•CE
•FCCRulesPart15-compliant
异常流量检测模块
思科®流量异常检测模块是一个集成的服务模块在CiscoCatalyst®6500系列交换机和Cisco7600系列路由器,可以帮助大型企业防范分布式拒绝服务(DDoS)攻击,使用户能够快速了解其他网络发起服务攻击和业务之前阻止受到对网络的攻击。
基于一个独特的,多认证进程架构专利,思科流量异常检测器模块使用最新的攻击行为的分析和识别技术,主动发现和识别各种网络攻击。
通过不断监测受保护的设备,例如网页或电子商务应用服务器流量,思科流量异常检测模块编译详细的配置文件显示单个设备的行为在“正常”的工作情况。
如思科流量异常检测模块从配置文件中发现任何流量存在差异,它认为异常行为产生了潜在的攻击和优先响应用户,发送操作警报启动手动响应,通过触发现有的管理系统,或通过开启异常流量检测服务模块立即开始降低风险。
与思科异常流量防护模块相结合,思科异常流量检测模块有助于业界最全面的DDoS防御系统。
通过多认证进程架构,思科异常流量检测模块和思科异常流量防护模块发现,转移,隔离和删除恶意攻击流量,而不会影响正常合法流量,提供强有力的保护网络和关键业务流量。
表1.思科异常流量检测模块功能
特性
描述
性能
选项一:
1Gbps
•每模块吞吐量1Gbps
•1,500,000并发连接
•500个防护区(differentpoliciesandbaselines[contexts])
•90并发防护区
•延迟和抖动小于1ms
选项二:
2Gbps
•每模块吞吐量2Gbps
•3,000,000并发连接
•500个防护区(differentpoliciesandbaselines[contexts])
•150并发防护区
•延迟和抖动小于1ms
Table2.产品规格
规格
描述
存储
7GB内存,1GB闪存
重量
•最小:
3lbkg)
•最大:
5lbkg)
功率要求
•168Watts
工作温度
32to104°F(0to40°C)
非工作温度
-40to167°F(-40to75°C)
应用控制引擎模块
面向思科Catalyst®6500系列交换机和思科7600系列路由器的思科®应用控制引擎(ACE)模块是新一代应用交换机,为数据中心应用提供了最大的可用性、加速性能及保护。
思科ACE模块允许企业在应用交付领域实现四项重要的IT目标:
∙最大限度地提高应用可用性
∙加速应用性能
∙保护数据中心和关键业务应用的安全性
∙通过减少服务器、负载均衡器和数据中心防火墙的使用量来促进数据中心合并
思科ACE模块将大量的L4负载均衡和L7内容交换技术与领先的边缘加速和安全功能集成在一起,以实现上述目标。
思科ACE的设计亮点以及与同类解决方案的区别之处在于它能够利用虚拟化架构和基于角色的管理机制来简化应用的部署、扩展、加速和保护工作,并降低相关的运行成本。
思科ACE模块提供了业界最佳的可扩展性和吞吐量来管理应用流量,单一模块的吞吐量最大可达16Gbps,单一Catalyst6500交换机机箱中的4个模块最多可提供64Gbps的吞吐量,并可通过购买软件许可证或添加新模块进行升级,从而为IT提供长期投资保护和可扩展性。
此外,通过独特的虚拟化功能,思科ACE还允许IT使用一个思科ACE模块或产品设置并提供多个应用,从而为数据中心的应用设置提高了可扩展性。
思科ACE模块提供极为灵活的应用流量管理,并且能够卸载SSL加密/解密处理以及TCP会话管理等CPU密集型任务,从而大幅度提高了服务器效率。
思科ACE旨在成为数据中心服务器和应用的最后一道防线,可进行深层数据包检测并阻断恶意攻击。
集成防火墙使IT人员能够全面地保护数据中心的高价值应用并促进数据中心合并。
表1.思科ACE模块性能和配置
特性
最大性能/配置
全球参数
吞吐量
16Gbps1*,8Gbps1*和4Gbps
数据包传输量/秒
650万个
系统日志传输量/秒
35万个
全球配置
VLAN总数(客户端/服务器)
4000
探查器
4000个,包括ICMP,TCP,UDP,Echo,Finger,DNS,Telnet,FTP,HTTP,HTTPS,SMTP,POP3,IMAP,RADIUS和脚本
ACL条目
最多万个访问控制元素
NAT条目
100万
虚拟分区
250个*,最低配置中包括5个虚拟分区(产品)
SSL吞吐量
4Gbps
SSLTPS
最低配置中包括1000个TPS,可通过购买许可证升级成5000TPS、10,0000TPS或15,000TPS
应用交换性能
最多处理的连接数/秒
万次持续速率的完整交易
并发连接数量
400万
应用交换配置
虚拟服务器
4096
服务器库
16,000
实际服务器
16,000
粘性表中的项
400万
面向应用联网网络模块
思科®Catalyst®6500系列应用定向网络模块是一个服务模块的CiscoCatalyst6500系列交换机。
这是一部分思科应用新型导向网络(AON)之间提供的产品,今天的智能网络及其应用的一个重要衔接点高度分散的基础上,面向服务,和传统的架构。
思科AON技术嵌入到智能网络应用来更好地满足实时可见性,安全性,事件驱动,消息传送,优化交付,以及其他核心集成和部署服务。
思科AON解决方案是一个CiscoCatalyst6500系列的重要组成部分的多业务交换机,它提供创新的安全,整合的布线服务,数据中心的广域网边缘的核心。
思科AON模块可安装在任何CiscoCatalyst6500系列交换机利用交换机的高可用性,安全性充分的利用,以及流量管理功能。
思科AON模块提供业务一致性和降低巩固网络元件和应用基础设施的总拥有成本,并提供集中管理功能。
centralizedmanagementcapabilities.
表1.产品规格
特性
描述
硬件
双核处理器硬件架构加速XML和加密操作。
板载板载内存(4 GB)和磁盘驱动器(40GB)
软件
嵌入CiscoAON软件
兼容平台
在任何CiscoCatalyst6500系列机箱插槽;同时支持光纤和数据总线的架构
可扩展性
多个模块可以部署在相同的机箱和作为一个“虚拟节点管理”
硬件/软件
兼容性
SupervisorEngine720runningCiscoIOS®SoftwareRelease(18)SXE1(minimum)innativemode,orSupervisorEngine2withMultilayerSwitchFeatureCard2(MSFC2)runningCiscoCatalystOperatingSystemRelease
(2)(minimum)inhybridmode
物理尺寸
(HxWxD):
xxin.xxcm)
功率消耗
4A(168W)
环境规格
Operatingtemperature:
32-104°F(0-40°C);Relativehumidity:
10to90%,non-condensing
WebVPN服务模块
表1.功能可用性
特性
描述
可扩展性
•升级到8000用户
•升级到300Mbps
•升级到64SSLVPNvirtualcontextsand64gateways
•升级到4个模块在同一机箱
虚拟化
Abilitytodivideintomultiplecontexts,witheachcontextasacompletelogicalrepresentationoftheWebVPNServicesModule,completewithseparatepoliciesandconfiguration
VRF-Aware
•VRFmapping
•Single-IPmodel(URL-basedorlogin-name-based)
•Multiple-IPmodel
•Per-VRFAAAserver
•Per-VRFDNSserver
•Per-VRFgateway
•Per
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 扩展 方案