IDC中心建設(shè)方案

XXX公司 數(shù)據(jù)中心建設(shè)項目 方案 建議書 江蘇鴻信系統(tǒng)集成有限公司 2008 年 7月 目 錄 第一部分、 XXX 公司數(shù)據(jù)中心簡介 . 3 1.1 、 XXX 公司概況 . 3 1.2 、項目背景 . 3 1.3、設(shè)計原則 . 3 1.3.1、高效實用性 . 4 1.3.2、先進性、成熟性 . 4 1.3.3、開放與標準化原則 . 4 1.3.4、可擴展性及易升級性 . 5 1.3.5、良好的可管理性和可維護性 . 5 1.3.6、具有最佳的性能價格比 . 5 1.3.7、具有高可靠性和安全性 . 5 1.4、 XXX 公司數(shù)據(jù)中心建設(shè)整體目標 . 8 1.5、可行性分析 . 8 1.5.1、技術(shù)方面的可行性 . 8 1.5.2、經(jīng)濟方面的可行性 . 9 第二部分、 XXX 公司數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)解決方案 . 9 2.1、網(wǎng)絡(luò)現(xiàn)狀與需求分析 . 9 2.2、 XXX 公司數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)目標 . 10 2.3、設(shè)計的依據(jù)與原則 . 10 2.3.1、設(shè)計依據(jù) . 10 2.3.2、設(shè)計原則 .11 2.4、 XXX 公司數(shù)據(jù)中心設(shè)計方案 . 13 2.4.1、總體結(jié)構(gòu) . 13 2.4.2、核心交換模塊 . 14 2.4.3、廣域網(wǎng)接入模塊 . 16 2.4.4、數(shù)據(jù)庫服務(wù)器與中間業(yè)務(wù)服務(wù)器接入模塊 . 17 2.4.6、外聯(lián)網(wǎng)絡(luò)接入模塊 . 17 2.4.7、帶內(nèi)帶外網(wǎng)絡(luò)管理接入模塊 . 18 2.5、高性能與高可靠性設(shè)計 . 21 2.5.1、高性能設(shè)計 . 21 2.5.2、高可靠性設(shè)計 . 23 2.7、 XXX 公司數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化服務(wù)（此處為相應(yīng)設(shè)備的亮點技術(shù)，根據(jù)具體項目不同編寫） . 28 2.7.1、 CISCO Nexus7000 虛擬多機技術(shù) . 28 2.7.1、 CISCO 6509 交換機 VSS 技術(shù) . 28 2.7.2、 FWSM 虛擬化技術(shù)及應(yīng)用 . 30 2.8、 XXX 公司中心網(wǎng)絡(luò) IP 地址設(shè)計（ IP 地址 規(guī)劃，根據(jù)具體項目，具體設(shè)計，一般初期僅做初步描述） . 31 2.9、 XXX 公司中心網(wǎng)絡(luò)路由協(xié)議設(shè)計（路由設(shè)計，根據(jù)具體項目具體設(shè)計，一般初期僅做初步描述） . 31 2.10、 XXX 公司中心網(wǎng)絡(luò)安全設(shè)計（此處為相應(yīng)安全的設(shè)備及技術(shù)，根據(jù)具體項目不同編寫） . 31 2.10.1、 CISCO6500 及 CISCO7600 防火墻模塊 . 31 2.11、 XXX 公司中心網(wǎng)絡(luò) QoS 設(shè)計（ QOS 設(shè)計，根據(jù)實際情況設(shè)計，一般初期僅做初步描述） . 34 2.12、 XXX 公司數(shù)據(jù)中心網(wǎng)絡(luò)管理設(shè)計（根據(jù)項目使用網(wǎng)管工具編寫） . 35 2.13、設(shè)備概述（此處為相應(yīng)的設(shè)備描述，根據(jù)不同項目，使用的不同設(shè)備描述） . 41 2.13.1、 CISCO 7010 核心交換機 . 41 2.13.2、 CSICO 7609 邊緣路由器 . 44 2.13.3、 CSICO 4948-10GE 邊緣交換機 . 45 第三部分、 XXX 公司數(shù)據(jù)中心割接方案（割接方案，根據(jù)項目內(nèi)容確定有無割接） . 46 3.1、實施方案目標（此處為割接的最終目標） . 46 3.2、實施前的準備工作 . 46 3.2.1、實施方案中涉及設(shè)備配置做必要的備份； . 46 3.2.2 割接實施中新增光路，尾纖布放及板卡資源調(diào)配： . 47 3.3、具體實施方案 . 48 3.3.1、大區(qū)與雨花 IDC7609 接入路由器之間的協(xié)議調(diào)整 . 48 3.3.2、當(dāng)前 XXX 網(wǎng)絡(luò)拓撲及應(yīng)用： . 48 3.3.3、實施前后路由情況比較； . 48 3.4、割接實施的必要回退 . 49 3.5、總結(jié) . 50 3.6、機房無憂（以下內(nèi)容為公司相應(yīng)的服務(wù)產(chǎn)品介紹，根據(jù)客戶情況，可選擇相應(yīng)產(chǎn)品進行推薦。） . 50 3.7、網(wǎng)管專家（以下內(nèi)容為公司相應(yīng)的服務(wù)產(chǎn)品介紹，根據(jù)客戶情況，可選擇相應(yīng)產(chǎn)品進行推薦。） . 53 第一部分、 XXX 公司數(shù)據(jù)中心簡介 1.1 、 XXX公司概況 此處添加客戶公司介紹。 1.2 、 項目背景 此處添加該項目的背景情況。 1.3、 設(shè)計原則 XXX 公司 數(shù)據(jù)中心的建設(shè)將是一項關(guān)系到 XXX 公司 的重大網(wǎng)絡(luò)工程，它的設(shè)計必須遵循以下原則： 1.3.1、 高效實用性 作為一個系統(tǒng)，實用性永遠是放在第一位的。我們的根本原則就是能最大限度地滿足 XXX 公司 數(shù)據(jù)中心系統(tǒng)建設(shè)實際的需要。方案所推薦的主要技術(shù)和產(chǎn)品具有成熟、穩(wěn)定、實用的特點，并充分滿足XXX 公司 各個下屬單位接入的需要。 1.3.2、 先進性、成熟性 作為一個系統(tǒng)，先進性是系統(tǒng)賴以生存發(fā)展的基礎(chǔ)。只有先進的系統(tǒng)，才能充分發(fā)揮計算機的能力，才能發(fā)展，才能體現(xiàn)良好的低投入高產(chǎn)出的投資收益。 方案所推薦的 千兆 /萬兆 以太網(wǎng)技術(shù)及多層交換 負載均衡等 技術(shù)是目前世界上先進的網(wǎng)絡(luò)技術(shù)。 （此處添加與項目相關(guān)的關(guān)鍵性技術(shù)亮點的名稱，） 1.3.3、 開放與標準化原則 只有開放的系統(tǒng)，才能充分發(fā)揮計算機的能力，只有堅持標準化的系統(tǒng)，才能保護用戶的投資，才能體現(xiàn)良好的可擴展性和互操作能力。 從國內(nèi)外的一些系統(tǒng)建設(shè)的實際經(jīng)驗和教訓(xùn)來看，開放性與標準化原則如不能保證，則會在系統(tǒng)的使用階段出現(xiàn)后期使用的維護困難，系統(tǒng)維護費用加大，甚至必須重復(fù)投資等問題。為了與這些專用系統(tǒng)互聯(lián)，所耗費的代價甚至與新建系統(tǒng)不相上下，形成了一種“食之無味，棄之可惜”的“雞肋”現(xiàn)象。 本系統(tǒng)是一個開放的系統(tǒng)，網(wǎng)絡(luò)產(chǎn)品具開放性，采用 TCP/IP 協(xié)議作為主協(xié)議。主要產(chǎn)品，如服務(wù) 器，網(wǎng)絡(luò)等都支持開放的CLIENT/SERVER 結(jié)構(gòu)，并且，所選產(chǎn)品都遵循相應(yīng)的標準。 1.3.4、 可擴展性及易升級性 面對中國 IT 的飛速發(fā)展，系統(tǒng)的計算機設(shè)備和網(wǎng)絡(luò)設(shè)備必須有非常好的擴充性。并且，隨著世界網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，主干網(wǎng)絡(luò)設(shè)備應(yīng)能平滑升級。因此，在設(shè)計中，應(yīng)當(dāng)保證系統(tǒng)結(jié)構(gòu)模塊化，軟硬件平臺可以積木式拚裝，如：交換機可通過添加功能模塊擴充交換能力和 服務(wù)能力 等等。服務(wù)器類的設(shè)備也應(yīng)選用擴充性極強的設(shè)備。 1.3.5、 良好的可管理性和可維護性 XXX 公司 數(shù)據(jù)中心系統(tǒng)是由多種設(shè)備組成的較為復(fù)雜的系統(tǒng)，因此我們著重考慮所選產(chǎn)品具有良好的可管理性和可維護性，所選產(chǎn)品具有良好的可管理性和可維護性。 1.3.6、 具有最佳的性能價格比 我們仔細分析討論了 XXX 公司 數(shù)據(jù)中心 的需求，力求設(shè)計緊貼用戶需求，在設(shè)計上尋求最佳的性能價格比。 1.3.7、 具有高可靠性和安全性 本方案所采用的主要產(chǎn)品采用可靠性設(shè)計，服務(wù)器采用高可靠性技術(shù)。力求系統(tǒng)安全、可靠、穩(wěn)定的運行。系統(tǒng)的安全性是保證整個系統(tǒng)正常運轉(zhuǎn)的前提條件和基礎(chǔ)，也是 XXX 公司 數(shù)據(jù)中心系統(tǒng)的重要要求之一。 1）系統(tǒng)安全 用戶口令、存取權(quán)限體系完善，系統(tǒng)具有基本的安全管理 機制，如：用戶標識、口令檢查、存取權(quán)限制度，為滿足這一需求，選用NT 操作系統(tǒng)，其多用戶、多任務(wù)，適于大系統(tǒng)的維護管理，并且提供了完備的權(quán)限管理功能，符合 C2 安全級標準。此外，選用客戶 /服務(wù)器體系結(jié)構(gòu)，數(shù)據(jù)可統(tǒng)一保存在服務(wù)器上，有利于系統(tǒng)數(shù)據(jù)的安全保密和一致性，保證系統(tǒng)的正常運行。除操作系統(tǒng)的安全性以外，大型關(guān)系數(shù)據(jù)庫的權(quán)限管理和應(yīng)用程序也為系統(tǒng)提供了相應(yīng)的安全機制。 2）硬件設(shè)備安全分析 環(huán)境安全 運行環(huán)境中具有防靜電、避雷、溫度、濕度、防火等方面的安全措施。故在整個系統(tǒng)設(shè)計中，要嚴格按照機房設(shè)計標準 建造機房，并對計算機系統(tǒng)采用不間斷電源（ UPS）保護，確保整個系統(tǒng)在運行過程中，造成不必要的系統(tǒng)損壞。 硬件設(shè)備安全性 在網(wǎng)絡(luò)主設(shè)備及主服務(wù)器的選擇上，考慮到其可靠性，如：網(wǎng)絡(luò)接口冗余、支持熱插拔、電源可實現(xiàn)均衡負載和冗余、熱備份等。 3）軟件安全保密 操作系統(tǒng)、系統(tǒng)程序、應(yīng)用軟件運行穩(wěn)定，在應(yīng)用軟件開發(fā)中，遵循安全、可靠、實用的原則，在充分利用現(xiàn)有的系統(tǒng)支持軟件基礎(chǔ)上，進行應(yīng)用軟件的設(shè)計、開發(fā)。 權(quán)限控制體系完備：根據(jù) NT 操作系統(tǒng)的權(quán)限管理體系，可建立完善的權(quán)限管理機制。 防病毒、防非法入侵：主機系統(tǒng) 采用的是具有很強防病毒干擾能力的操作系統(tǒng)，利用其嚴格權(quán)限管理機制，可以防止病毒、防非法入浸。 4）數(shù)據(jù)安全 備份策略 若有備份系統(tǒng)，可及時將數(shù)據(jù)從運行系統(tǒng)中傳送到備份系統(tǒng)。另外，對關(guān)鍵數(shù)據(jù)要定期作磁帶備份，以保證數(shù)據(jù)的安全完整。 防止傳輸、存取錯誤 選用具有可靠傳輸能力的網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)協(xié)議采用 TCP/IP 協(xié)議，該協(xié)議支持可靠的數(shù)據(jù)傳輸，可以在收到數(shù)據(jù)的同時，進行差錯檢測，并在發(fā)現(xiàn)錯誤時建立重傳過程。 防止信息泄漏 由于采用符合國際標準的 C2安全級操作系統(tǒng)和大型關(guān)系數(shù)據(jù)庫，可以做到操作系統(tǒng)、數(shù)據(jù)庫 、應(yīng)用程序三級保護。 保證數(shù)據(jù)完整性 系統(tǒng)結(jié)構(gòu)選用 Client/Server 體系結(jié)構(gòu)，數(shù)據(jù)庫選用大型關(guān)系數(shù)據(jù)庫，系統(tǒng)數(shù)據(jù)統(tǒng)一存放在主機數(shù)據(jù)庫中，并配有數(shù)據(jù)庫提供的數(shù)據(jù)恢復(fù)、錯誤處理功能，可充分保證數(shù)據(jù)的一致性和完整性。 1.4、 XXX公司 數(shù)據(jù)中心建設(shè)整體目標 整個系統(tǒng)的建設(shè)，應(yīng)用是關(guān)鍵。 通過建立信息系統(tǒng)的基礎(chǔ)結(jié)構(gòu)，進而全面實現(xiàn)辦公自動化、網(wǎng)絡(luò)化、電子化、全面信息共享。信息系統(tǒng)的建設(shè)是 XXX 公司 信息化進程中的一個里程碑，它提高了 XXX 公司 在行政和管理方面的效率，并且利用網(wǎng)絡(luò)為 XXX 公司 龐大用戶群提供優(yōu)質(zhì) 的多元化服務(wù)，因而推動和加速了整個 行 業(yè)的信息化發(fā)展。 1.5、 可行性分析 目標和方案的可行性，可從以下幾個方面進行分析： 1.5.1、 技術(shù)方面的可行性 技術(shù)人員具有所需的技術(shù)水平 ， 能夠高效的管理和運維數(shù)據(jù)中心網(wǎng)絡(luò) ； 基礎(chǔ)管理技術(shù)滿足系統(tǒng)開發(fā)要求； 組織系統(tǒng)可以合理組織人、財、物及提供售后服務(wù)支持； 硬件可滿足本系統(tǒng)需要； 軟件可滿足本系統(tǒng)需要； 1.5.2、 經(jīng)濟方面的可行性 數(shù)據(jù)中心 建設(shè)的投入是一項復(fù)雜的綜合性工程，建設(shè)時間長，投資費用高，因此，必須做到項目的總體規(guī)劃，分系統(tǒng)、分步驟進行，并考慮前后建設(shè)的連 續(xù)性，避免重復(fù)性投資和資源浪費。對于計劃投入開展的項目，要預(yù)算充分，按期達標。 第二部分、 XXX 公司 數(shù)據(jù)中心 網(wǎng)絡(luò)系統(tǒng)解決方案 2.1、 網(wǎng)絡(luò) 現(xiàn)狀與 需求分析 此處添加客戶公司目前的網(wǎng)絡(luò)拓撲圖 XXX 公司 目前數(shù)據(jù)中心建于 XXX，目前承擔(dān)整個集團數(shù)據(jù)交換與存儲的重任。 現(xiàn)有網(wǎng)絡(luò)拓撲結(jié)構(gòu)如上。 隨著 XXX 公司 的建設(shè)，現(xiàn)需在園區(qū)內(nèi)建設(shè)一全新數(shù)據(jù)中心，用以在園區(qū)全面啟動時順利接管原數(shù)據(jù)中心的數(shù)據(jù)交換與存儲重任 。 XXX 公司 數(shù)據(jù)中心的建設(shè)是為 XXX 公司 辦公、管理提供服務(wù)的，網(wǎng)絡(luò)系統(tǒng)建設(shè)主要目標是在 XXX 公司 管轄范圍內(nèi)， 采用國際標準網(wǎng)絡(luò)協(xié)議，建立在 XXX 公司 內(nèi)聯(lián)網(wǎng)（ BDFZ-Intranet）并通過高速信道與各地市分公司、中國互聯(lián)網(wǎng)（ China-NET）相連，同時建設(shè)信息資源管理中心。 2.2、 XXX公司 數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)目標 XXX 公司 數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)目標是將 XXX 公司 的各種 PC 機、工作站等，通過高性能的網(wǎng)絡(luò)，連接到各種服務(wù)器上，組成分布式的計算環(huán)境，使其成為提高辦公、管理水平必不可少的網(wǎng)絡(luò)支撐環(huán)境。 本著建設(shè)一流數(shù)據(jù)中心的精神，我們提出了以下 XXX 公司 網(wǎng)絡(luò)建設(shè)目標： 內(nèi)部信息發(fā)布： XXX 公司 向各地分公司發(fā)布規(guī)章制度、規(guī)劃 、計劃、通知等公開信息等。 2）電子郵件： XXX 公司 內(nèi)部的電子郵件的發(fā)送與接受。 3）文件傳輸： XXX 公司 內(nèi)部的文本文件、圖象文件、語音文件等發(fā)送與接收。 4）資源共享：文件共享、數(shù)據(jù)庫共享 等。 6）接入因特網(wǎng)：通過 專線 接入 ChinaNet、 Internet，對外發(fā)布信息。 2.3、 設(shè)計的依據(jù)與原則 2.3.1、 設(shè)計依據(jù) 1）中國教學(xué)和科研計算機網(wǎng)絡(luò)（ CERNET）工程技術(shù)規(guī)范書 2）中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 3）有關(guān)的網(wǎng)絡(luò)技術(shù)國際標準 4） RFC 有關(guān)文件 2.3.2、 設(shè)計原則 1） 開放原則 采用開放標準； 采用開放技術(shù)； 采用開放結(jié)構(gòu)； 采用開放系統(tǒng)組件； 2）可靠原則 設(shè)計結(jié)果穩(wěn)定可靠，具有高 MIBF（平均無故障時間）和 MTBR（平均無故障率），采用開放用戶接口。 3）實用原則 實用有效是最主要的設(shè)計目標，設(shè)計結(jié)果能滿足需求行之有效。提供容錯設(shè)計，支持故障檢測和恢復(fù)，可管理性強。 4）安全原則 安全措施有效可信，能夠在多個層次上實現(xiàn)安全控制。 5）先進原則 設(shè)計思想先進； 軟硬件設(shè)備先進； 網(wǎng)絡(luò)結(jié)構(gòu)先進。 6）完整性原則 考慮到系統(tǒng)的各方面因素，實現(xiàn)優(yōu)化的網(wǎng)絡(luò)設(shè)計、安全的數(shù)據(jù)管理、 高效的信息處理、友好的用戶界面。 7）高效原則 性能指標高，軟硬件性能充分發(fā)揮。 8）靈活原則 系統(tǒng)配置靈活，備用和可選方案多，能夠適應(yīng)應(yīng)用和技術(shù)發(fā)展需要。 9）可擴展性 能夠在規(guī)模和性能兩個方向上進行擴展，擴展后的性能有大幅度提高。 10）模塊化 每種功能都由一定的模塊來實現(xiàn)，方案只需要選擇不同的模塊，并將這些模 塊做相應(yīng)的配置即可。 2.4、 XXX公司 數(shù)據(jù)中心設(shè)計方案 2.4.1、 總體結(jié)構(gòu) XXX 公司 數(shù)據(jù)中心拓樸圖 XXX 公司 數(shù)據(jù)中心采用兩臺 XXX 系列核心交換機構(gòu)建整個 IDC中心的 核心交換區(qū) ， 在 核心交換區(qū)以下 ， 分為核心數(shù)據(jù)服務(wù)區(qū)與中間業(yè)務(wù)應(yīng)用服務(wù)區(qū)兩大服務(wù)區(qū) ， 以及 XXX 公司 各大區(qū)的接入及廣域網(wǎng)接入等接入?yún)^(qū)組成 。 其中數(shù)據(jù)服務(wù)的小型機區(qū) ， 以兩臺 XXX 交換機為接入交換機 ,接入核心交換區(qū) ， 在 XXX 交換機 上添加防火墻模塊與內(nèi)容交換模塊 ，以實現(xiàn)對小型機的 安全保護、 SSL 卸載和 負 載均衡控制 。 在中間業(yè)務(wù)應(yīng)用服務(wù)器區(qū) ， 以兩臺 XXX 交換機為匯聚交換機 ， 以XXX 為接入交換機 ,為應(yīng)用服務(wù)器提供 接入功能 ,并在 XXX 交換機上添加防火墻模塊與內(nèi)容交換模塊 ,為整個中間業(yè)務(wù)應(yīng)用服務(wù)器群提供保護與負載均衡控制，并且在此區(qū)域內(nèi)通過 ACS,MARS 等設(shè)備 ,提供完善的管理與控制功能。 2.4.2、 核心交換模塊 流量分析 主干網(wǎng)絡(luò)作為 XXX 公司 數(shù)據(jù)中心的運行核心，它決定整個 XXX公司 數(shù)據(jù)中心網(wǎng)絡(luò)的性能。根據(jù)統(tǒng)計，一個運行良好、提供服務(wù)齊全的網(wǎng)絡(luò)中，各子網(wǎng)間的通訊和子網(wǎng)內(nèi)部通訊大約各占 50%；而且隨著多媒體技術(shù)的發(fā)展，多媒體主頁、視頻點播（多點廣播）大量采用，這些都要占有大量主干帶寬；以及虛擬網(wǎng)技術(shù)的采用，傳統(tǒng)子網(wǎng)概念已經(jīng)變化，使得一個子網(wǎng)可以分布于整個網(wǎng)絡(luò)，導(dǎo)致子網(wǎng)內(nèi)部通訊也要通過主干網(wǎng)絡(luò)；因此經(jīng)過主干網(wǎng)絡(luò)的流量將占 80%以上，這就要 求主干網(wǎng)絡(luò)必須具有極高的傳輸速率，最大限度的避免堵塞。作為主要的數(shù)據(jù)通道，主干網(wǎng)絡(luò)的癱瘓就意味著整個網(wǎng)絡(luò)的崩潰，因此主干網(wǎng)絡(luò)必須采用已經(jīng)標準化的技術(shù)，有極高的穩(wěn)定性和冗余度。 網(wǎng)絡(luò)技術(shù)分析 縱觀目前計算機局域網(wǎng)技術(shù)，適合作為高速主干網(wǎng)結(jié)構(gòu)的主要有： 千兆 以太網(wǎng) 千兆以太網(wǎng)是 100Base-T 的真正繼承者。千兆以太網(wǎng)保留了大多數(shù) 100Base-T 的布線規(guī)則和 CSMA/CD媒質(zhì)訪問方式，具有以下特點： 從傳統(tǒng) 100Base-T 以太網(wǎng)的升級較容易、投資少，與現(xiàn)有100Base-T 網(wǎng)的集成也很簡單。 工業(yè)支 持較強，競爭激烈，使產(chǎn)品價格相對較低。 安裝和配置簡單，現(xiàn)有的管理工具依然可用。 支持交換方式，有全雙工方式通訊的產(chǎn)品。 萬兆以太網(wǎng) 萬兆位以太網(wǎng) (10gige)802.3ae 標準已由 ieee 于 2002 年 6 月批準，而且現(xiàn)在已在許多應(yīng)用中進入大量部署階段。在從千兆位以太網(wǎng)到萬兆位以太網(wǎng)的演變過程中，為了適合如此廣泛的可能應(yīng)用，已進行了大量更改。這些更改中，最重要的更改與數(shù)據(jù)編碼方式及萬兆位以太網(wǎng)可以運行的物理連接類型有關(guān)。幀尺寸和格式都保持不變，以便第3 層及更高層協(xié)議仍然完全兼容。 萬兆位以太網(wǎng)設(shè)計用于以 全雙工模式只在點到點（交換）鏈路上運行。這一點反映其作為主干 /核心 （與工作組不同）技術(shù)的角色。萬兆位以太網(wǎng)當(dāng)前不支持自動協(xié)商，因為它被假定用于純?nèi)f兆位以太網(wǎng)安裝。 40G 以太網(wǎng) 建立 XXX 公司 數(shù)據(jù) 中心的網(wǎng)絡(luò)系統(tǒng)應(yīng)高起點，統(tǒng)一全面規(guī)劃，并考慮到將來的擴展與投資的保護；因此，為適應(yīng) XXX 公司 的發(fā)展，以可延展的方式提供更多的帶寬，滿足復(fù)雜的事務(wù)處理能力， XXX公司 數(shù)據(jù) 中心的主干采用領(lǐng)導(dǎo)高速網(wǎng)絡(luò)發(fā)展 -先進交換技術(shù)的 萬兆以太網(wǎng)為主干。 2.4.3、 廣域網(wǎng)接入模塊 目前 XXX 公司 XXX 中心與各大區(qū)之間使 用 ATM 鏈路連接，考慮到各大區(qū)的接入模式為 ATM 鏈路，故本次新中心廣域網(wǎng)接入方式同樣選擇 ATM 方式，利用現(xiàn)有 ATM 鏈路與板卡，同時，由于 ATM技術(shù)已經(jīng)處于漸漸被淘汰的情況，電信 MSTP 與 POS 鏈路的快速發(fā)展，考慮到數(shù)據(jù)中心的高擴展性，廣域網(wǎng)接入采用模塊化方式，現(xiàn)選用 ATM 模塊，在日后可方便的且經(jīng)濟的升級為 MSTP 或 POS 方式。 廣域網(wǎng)接入路由器 XXX 與核心交換機 XX 之間采用 10G 光纖鏈路相連，提供極高的數(shù)據(jù)交換能力，為數(shù)據(jù)中心的性能提供強有力的支持。 根據(jù)前面分析，一個多媒體網(wǎng)絡(luò) 60%甚至 80%以上的流量要 經(jīng)過路由，采用傳統(tǒng)的路由方式連接各子網(wǎng)必須導(dǎo)致大量數(shù)據(jù)在路由器上匯集，發(fā)生堵塞，從而導(dǎo)致丟包，會大大限制多媒體應(yīng)用，因此必須采用先進高效的路由技術(shù)，保證整個 XXX 公司 數(shù)據(jù)網(wǎng)絡(luò)在網(wǎng)絡(luò)層暢通無阻。 第三層交換技術(shù)分析 第三層網(wǎng)絡(luò)路由交換機的出現(xiàn)為大型多媒體網(wǎng)絡(luò)提供了新的解決方案。通過使用第三層路由交換機，可以大大提高 IP 包的轉(zhuǎn)發(fā)速度。 第三層交換技術(shù)可以分為兩類：基于包的交換和基于流的交換。 基于包的交換 采用與傳統(tǒng)路由器相近的交換方式，對每一個包進行檢查。目前的第三層交換機憑借先進的 AISC 技術(shù)，對 IP 包 直接進行芯片道路級處理，速度大大高于路由器采用的基于 CPU 的處理方式，能夠提供全線速的轉(zhuǎn)發(fā)，避免發(fā)生堵塞和丟包；同時完全兼容路由器的 RIP 和EIGRP 和 OSPF 協(xié)議，能夠與傳統(tǒng)路由器進行相互的自學(xué)習(xí)，掌握整個網(wǎng)絡(luò)的路由信息。采用基于包交換的第三層交換機，網(wǎng)絡(luò)的配置、設(shè)備和軟件都不需要變動，能夠?qū)崿F(xiàn)基于包的安全控制。 2.4.4、 數(shù)據(jù)庫服務(wù)器 與中間業(yè)務(wù)服務(wù)器 接入模塊 數(shù)據(jù)庫服務(wù)器與中間業(yè)務(wù)服務(wù)器接入設(shè)備采用 XXX 高性能交換機， 成熟的 XXX 交換機曾經(jīng)做為數(shù)據(jù)中心的核心交換機主流產(chǎn)品，其強大的交換能力， 720G 背板帶寬，以及高達 99.99%的高可靠性，使之成為 XXX公司 IDC 中心數(shù)據(jù)庫服務(wù)器與中間業(yè)務(wù)服務(wù)器接入服務(wù)最有力的提供者，此外，依靠 VSS 技術(shù)，將兩臺 XXX 交換機虛擬成一臺交換機，將背板帶寬擴大為 1.44T，同時將可靠性提高到99.999的電信級別。 數(shù)據(jù)庫服務(wù)器與中間業(yè)務(wù)服務(wù)器通過千兆鏈路連接入?yún)R聚交換機XXX 之上，通過 10G 鏈路雙上聯(lián)入核心交換機 XXX，并依靠跨機框鏈路捆綁技術(shù)，將因為鏈路故障造成的倒換 2.4.6、 外聯(lián)網(wǎng)絡(luò)接入模塊 XXX公司 做為中國家電零售業(yè)的領(lǐng)軍企業(yè)，其銀聯(lián)及各大商業(yè)銀行有著相當(dāng) 頻繁的業(yè)務(wù)來往，并且，隨著 XXX公司 企業(yè)多元化發(fā)展，其各實業(yè)公司，都與 IDC中心之間有著平凡的數(shù)據(jù)交換要求，故 XXX公司 IDC中心外聯(lián)網(wǎng)絡(luò)接入系統(tǒng)是其 IDC中心極其重要的一部分，有著極高的數(shù)據(jù)交換要求以及響應(yīng)的安全要求。為此，我們推薦 XXX路由器的外聯(lián)網(wǎng)絡(luò)接入板卡為整個 XXX公司 IDC中心提供外聯(lián)網(wǎng)絡(luò)接入服務(wù)，其好處在于可以靈活的使用 XXX上配置的防火墻等功能模塊，為各種業(yè)務(wù)提供足夠的安全保證 2.4.7、 帶內(nèi)帶外網(wǎng)絡(luò)管理接入模塊 網(wǎng)絡(luò)管理對于一個大型化的網(wǎng)絡(luò)是至關(guān)重要的，同時也具有挑戰(zhàn)性。對 XXX公司 信息 中心的管理主要采用基于 Intel Device View for Web的管理方法，基于 Intel Device View for Windows的管理方法進行輔助管理，而基于 telnet和終端仿真的管理方法作為備用。通過 XXX提供的管理方法，可以設(shè)置完善的管理員安全策略，能夠有效地防止非法用戶竊取管理員權(quán)限，對網(wǎng)絡(luò)進行任何改動。 對于整個 XXX公司 數(shù)據(jù)中心網(wǎng)絡(luò)的管理，我們采用 CISCO WORKS2000作為網(wǎng)絡(luò)管理軟件，它是世界上使用最為廣泛最為成功的網(wǎng)管軟件之一，能對多個廠家提供的支持 SNMP協(xié)議的交 換機、集線器、路由器、打印機、 PC機與工作站進行管理。這樣我們可以查看網(wǎng)絡(luò)上使用的硬件和軟件的清單，診斷并解決遠程工作站的問題，給網(wǎng)絡(luò)用戶快速分發(fā)最新軟件，檢查用戶軟件的 License，檢測客戶機上的病毒，使用加密和解密保證網(wǎng)絡(luò)的安全，監(jiān)視服務(wù)器的性能并能設(shè)定報警值。 由于 IP、存儲和互聯(lián)基礎(chǔ)設(shè)施上的可管理性能夠利用先進的通用管理和診斷工具簡化配置、調(diào)配、監(jiān)控和變更控制，因而能減輕管理負擔(dān)，增強流程的一致性，并改善數(shù)據(jù)中心小組之間的協(xié)作。另外，可管理性功能還能向管理應(yīng)用提供網(wǎng)絡(luò)設(shè)備的流量和接口信息，以便操作 人員能夠查看實時和歷史網(wǎng)絡(luò)狀態(tài)。另外，操作人員還能利用思科或第三方管理工具實現(xiàn)網(wǎng)絡(luò)的配置、監(jiān)控和排障。 思科數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)提供先進的通用管理接口、功能和工具，不但能顯著提高數(shù)據(jù)中心管理人員的運營效率，降低復(fù)雜性，縮短學(xué)習(xí)周期，還能提高服務(wù)水平，加快解決問題的進程。利用基于角色的訪問控制，管理員可以將特定資源的管理控制分配給專人負責(zé)。 思科數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)包含五大可管理性： 簡單網(wǎng)絡(luò)管理協(xié)議（ SNMP V3） 在 IP交換和路由網(wǎng)絡(luò)、存儲網(wǎng)絡(luò)和光網(wǎng)上支持統(tǒng)一的 MIB格式，能夠改善配置、資產(chǎn)管理和變更管理。 嵌入式管理代理能夠簡化可管理性 支持基于策略的自適應(yīng)管理，能夠在問題造成重大影響之前就快速予以解決，而且能夠簡化服務(wù)實施。例如，為 Cisco Catalyst 6500 系列平臺開發(fā)的新型 CiscoView 設(shè)備管理器代理能夠改善基于策略的端到端配置。 相似的 Cisco IOS軟件和 SAN OS命令行界面 在管理器與設(shè)備之間提供一致的通信。 標準通用信息模型和可擴展標記語言（ XML） API 通用高級診斷功能 簡化存儲網(wǎng)絡(luò)中第三方系統(tǒng)管理的實施。 簡化實時監(jiān)控、歷史統(tǒng)計數(shù)據(jù)收集和報告。 另外思科安全監(jiān)控 、分析和響應(yīng)系統(tǒng)（思科安全 MARS）是一款基于設(shè)備的全功能解決方案，可提供針對您現(xiàn)有安全部署的、前所未有的了解和控制能力。思科安全 MARS是思科安全管理生命周期的一個關(guān)鍵組件，可幫助您的安全和網(wǎng)絡(luò)機構(gòu)識別、管理和抵御安全威脅。它可充分利用您現(xiàn)有的網(wǎng)絡(luò)和安全投資，來識別、隔離被攻擊的組件和建議對其精確刪除的方式。它也有助于保持內(nèi)部策略符合性，可作為整體法規(guī)符合性解決方案工具中一個不可缺少的部件。 安全和網(wǎng)絡(luò)管理員所面臨的問題有： 安全和網(wǎng)絡(luò)信息過載 性能不佳的攻擊和故障識別、優(yōu)先級劃分和響應(yīng) 更高攻擊先進程 度、速度和修復(fù)成本 滿足法規(guī)符合性和審查要求 較少的安全人員和預(yù)算 思科安全 MARS可通過以下功能滿足其需要： 集成網(wǎng)絡(luò)智能，進行網(wǎng)絡(luò)異常事件和安全事件的先進關(guān)聯(lián) 察看校正后的事件并自動執(zhí)行調(diào)查 通過全面充分利用網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施來防御攻擊 監(jiān)控系統(tǒng)、網(wǎng)絡(luò)和安全運行來幫助企業(yè)達到法規(guī)符合性 以最低 TCO提供一個易于部署和使用的、可擴展的設(shè)備 2.5、 高性能與高可靠性設(shè)計 2.5.1、高性能設(shè)計 在 XXX 公司 數(shù)據(jù)中心網(wǎng)絡(luò)中， 主干線采用的是萬 兆位，因此需要主干設(shè)備要有較高的交換能力，擁有 思科一代高密度萬 兆位連 接，滿足蘇寧電器數(shù)據(jù)網(wǎng)絡(luò)中的高通信量工作站、工作組和服務(wù)器的需求。通過現(xiàn)有銅線線纜或光纖集合工作站服務(wù)器群可以提高多媒體應(yīng)用的運行速度，同時減少瓶頸并提供非堵塞性能。提供第二、第三、第四層無堵塞性能，強大的帶寬整形功能和八個 802.1 優(yōu)先級排隊，以實現(xiàn)完善的第二、第三、第四層通信控制，最大的介質(zhì)靈活性，保護了超 5 類線基礎(chǔ)設(shè)施投資，并以光纖 GBIC 突破了距離的限制。 在 XXX 公司 數(shù)據(jù)中心網(wǎng)絡(luò)中，采用的第三層交換機是基于包進行交換的，能夠進行分布路由，為了避免發(fā)生堵塞，第三層交換機必須能夠提供接近交換速度的路由 能力。另外為了在整個網(wǎng)絡(luò)上實現(xiàn)虛擬網(wǎng)劃分，第三層交換機還必須支持分布式的虛擬網(wǎng)設(shè)置。在關(guān)鍵子網(wǎng)，保證與主干網(wǎng)絡(luò)高速通道的足夠帶寬，以及冗余連接。 根據(jù)以上分析，我們充分考慮了系統(tǒng)的性能價格比，采用了具有高可擴展性和 穩(wěn)定性、最標準的思科公司的全套網(wǎng)絡(luò)產(chǎn)品?？紤]到主干網(wǎng)絡(luò)設(shè)備具有萬 兆以太的交換能力，同時支持鏈路匯聚功能，以保證網(wǎng)絡(luò)的帶寬，另外還要支持 VLAN 劃分，提供靈活活的網(wǎng)絡(luò)配置。并且在蘇寧電器數(shù)據(jù)中心將要使用大量的光纜布線 。 2.5.2、高可靠性設(shè)計 2.5.2.1、拓樸冗余 XXX 公司 中心拓樸在設(shè)計 階段就充分考慮線路的冗余問題，以保證數(shù)據(jù)中心網(wǎng)絡(luò)的高可靠性。 在 XXX 公司 中心內(nèi)，所有核心設(shè)備之間鏈路 都采用雙鏈路冗余備份設(shè)計，保證在某一條鏈路故障時，不影響整個數(shù)據(jù)中心的數(shù)據(jù)交換業(yè)務(wù)。 鏈路冗余 在 數(shù)據(jù) 中心的交換機之間的連接均采用 Ether Channel的設(shè)計以保證鏈路的冗余。 Ethernet Channel設(shè)計原則 網(wǎng)絡(luò)連接 Channel設(shè)計原則 核心設(shè)備之間互連 2*10GE 核心與分布設(shè)備互連 2*10GE 分布設(shè)備之間互連 2*10GE 分布與接入設(shè)備互連 2*10GE 交換冗 余 交換區(qū)域的可靠性通過 STP 實現(xiàn)。被 STP 阻斷的邏輯鏈路在線路或設(shè)備出現(xiàn)故障的情況下可以自動釋放，形成新的拓撲結(jié)構(gòu)，保證網(wǎng)絡(luò)數(shù)據(jù)的正常傳輸。 網(wǎng)關(guān)冗余 HSRP（熱備份路由協(xié)議）是為網(wǎng)絡(luò)接入設(shè)備提供三層網(wǎng)關(guān)冗余的技術(shù)。配置的 HSRP 網(wǎng)關(guān)向接入設(shè)備提供虛擬 IP 和 MAC 地址，并使用 hello 檢測 HSRP 成員狀態(tài)，確保網(wǎng)關(guān)冗余。 分布層設(shè)備在連接普通接入時采用 HSRP； HSRP 優(yōu)先級策略與 STP 的根網(wǎng)橋主備設(shè)置一致； HSRP 設(shè)置 Preempt ，確保高優(yōu)先級網(wǎng)關(guān)為激活狀態(tài) 路由冗余 網(wǎng)絡(luò)物理鏈路的冗 余設(shè)計為路由協(xié)議選擇備份連接提供了基礎(chǔ)。 網(wǎng)絡(luò)使用 OSPF 路由協(xié)議根據(jù)網(wǎng)絡(luò)鏈路的 metric 計算最短路徑。當(dāng)設(shè)備或連接因故障中斷時， OSPF 會自動重新計算網(wǎng)絡(luò)路徑，并使用正常的連接保障數(shù)據(jù)通訊。 考慮運行維護的簡單性，配合 STP 的 Root Primary 定義和 HSRP Primary 定義，在網(wǎng)絡(luò)設(shè)計上，將通過 metric 的調(diào)整，在分布層和核心層將數(shù)據(jù)流引導(dǎo)到冗余網(wǎng)絡(luò)結(jié)構(gòu)的一側(cè)，而當(dāng)設(shè)備或連接因故障中斷時， OSPF 會自動重新計算網(wǎng)絡(luò)路徑，并使用正常的連接保障數(shù)據(jù)通訊。 2.5.2.2、設(shè)備冗余 考慮到數(shù)據(jù)中心的特點，在 XXX 公司 中心設(shè)計初期，就對設(shè)備冗余做了充分的考慮，核心設(shè)備采用可靠性最高的雙機熱備份模式，關(guān)鍵設(shè)備全部雙機熱備份，保證單一設(shè)備故障時，數(shù)據(jù)中心業(yè)務(wù)不受任何影響，徹底解決單點故障問題。 引擎冗余 數(shù)據(jù)中心的核心的交換機和路由器都使用兩塊冗余引擎，在兩塊冗余引擎上使用 SSO 的切換方式。 SSO 切換方式只需要 3 秒左右就可以完成切換，并且不用重新初始化板卡 。 網(wǎng)絡(luò)連接 RPR RPR+ SSO SSO+NFS 備份引擎自動切換 是 是 是 是 同步 startup-config 是 是 是 是 同步 running-config 否 是 是 是 同步 RIB&FIB 否 否 是 是 同步二層鏈路狀態(tài) 否 否 是 是 同 步 路 由 協(xié) 議Session 否 否 否 是 切換時間 長 較短 短 短 復(fù)雜程度 低 較低 中 高 電源冗余 信息中心的網(wǎng)絡(luò)設(shè)備都需要支持兩種電源冗余工作模式，建議使用 Redundant 模式（默認設(shè)置）。 Combined 模式一般用于電源更換或升級等特殊情況。 模塊和端口冗余 模塊和端口冗余的通用原則 同一機箱優(yōu)先使用高編號槽位； 同一模塊優(yōu)先使用高編號 端口； 上連鏈路優(yōu)先使用高編號端口、下連鏈路優(yōu)先使用低編號端口，互連鏈路盡量使用引擎上自帶的端口； 確保 Channel中的兩個端口端口使用不同模塊，由于核心交換機只配置了一塊 10GE 端口模塊， 20GE Channel 只能使用同一模塊的端口。 2.5.2.3、端口的可靠性 端口是網(wǎng)絡(luò)設(shè)備互連的通道，思科提供多種端口功能協(xié)議。為了保障網(wǎng)絡(luò)設(shè)備連接的可靠性，路由交換機端口應(yīng)根據(jù) 數(shù)據(jù) 中心的通訊模式設(shè)計。 協(xié)議 路由端口（非Trunk） Trunk 交換端口 Vlan 交換端口 Auto-Negotiation 禁止 禁止，手工設(shè)置 禁止 DTP 禁止 啟用 禁止 PAgP 啟用 啟用 禁止 UDLD 啟用 啟用 禁止 Vlan 無 Trunk 模式，自動協(xié)商 接入模式 CDP 啟用 啟用 禁止 2.7、 XXX 公司 數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化服務(wù) （此處為相應(yīng)設(shè)備的亮點技術(shù)，根據(jù)具體項目不同編寫） 2.7.1、 CISCO Nexus7000 虛擬多機技術(shù) Cisco Nexus 7000 系列交換機虛擬 多機技術(shù) 是一種網(wǎng)絡(luò)系統(tǒng)虛擬化技術(shù)，將 一 臺 Cisco Nexus 7000 系列交換機 物理的劃分為多個實體主機，通過對硬件資 源，如控制引擎，交換背板的物理劃分，實現(xiàn)將一臺 Nexus 7000 系列交換 機劃分為 多個虛擬實體，以實現(xiàn)不同業(yè)務(wù)在核心層的隔離，并且，當(dāng) Cisco Nexus 7000 在滿足數(shù)據(jù)中心本身的交換需求后，仍有大量資源空閑時，可以將空閑資源劃分出來另作他用，有效的提高 Cisco Nexus 7000 做為網(wǎng)絡(luò)核心的利用率，從而從側(cè)面提升 Cisco Nexus 7000 的性能價格比。 2.7.1、 CISCO 6509 交換機 VSS 技術(shù) Cisco6500 系列交換機虛擬交換系統(tǒng)（ VSS） 1440 是一種網(wǎng)絡(luò)系統(tǒng)虛擬化技術(shù)，將 兩臺采用了 Virtual Switching Supervisor 720-10G VSS的 Cisco Catalyst 6500系列交換機組合為單一虛擬交換機。在 VSS 中，這兩個交換機中的管理引擎的數(shù)據(jù)面板和交換陣列能同時激活，因此總系統(tǒng)交換能力可達 1440Gbps。 VSS 成員通過虛擬交換機鏈路（ VSL）連接。 VSL 在虛擬交換機成員之間使用標準萬兆以太網(wǎng)連接（多達 8 條，以提供冗余性）。通過在 Virtual Switching Supervisor 720-10G或 WS-X6708-10G模塊的任意端口上 使用萬兆以太網(wǎng)上行鏈路，即能形成 VSL。除在 VSS 成員間進行控制面板通信外， VSL 也能傳輸普通用戶流量。 VSS 支持所有采用集中或分布式（利用 DFC3C 或 DFC3CXL）轉(zhuǎn)發(fā)模式的 Cisco Catalyst 6500 系列交換機。 與傳統(tǒng)的 L2/L3 網(wǎng)絡(luò)設(shè)計相比， VSS 1440 提供了多項顯著優(yōu)勢。大體說來，其優(yōu)勢可歸納為以下三個主要方面： VSS 能夠提高運營效率 單管理點，包括配置文件和單一網(wǎng)關(guān) IP 地址（無需 HSRP/ VRRP/GLBP） 多機箱 EtherChannel （ MEC）創(chuàng)建了簡單的無 環(huán)路拓撲結(jié)構(gòu)，不再依靠生成樹協(xié)議（ STP） 底層物理交換機經(jīng)由標準萬兆以太網(wǎng)接口相連，在位置方面提供了靈活的部署選項 VSS 能夠優(yōu)化不間斷通信 機箱間狀態(tài)化故障切換不會干擾需要使用網(wǎng)絡(luò)狀態(tài)信息的應(yīng)用。憑借 VSS，在一個虛擬交換機成員發(fā)生故障時，不再需要進行 L2/L3 重收斂，能在一秒內(nèi)實現(xiàn)確定性虛擬交換機的恢復(fù)。 與基于生成樹協(xié)議的收斂不同，使用 EtherChannel（ 802.3ad或 PAgP）能在一秒內(nèi)完成確定性 L2 鏈路恢復(fù)。 VSS 能夠?qū)⑾到y(tǒng)帶寬容量擴展到 1.4 Tbps 在冗余 Cisco Catalyst 6500 系列交換機上激活所有可用的L2 帶寬，在 EtherChannel基礎(chǔ)上進行精確的負載均衡。 為冗余數(shù)據(jù)中心交換機上的服務(wù)器網(wǎng)絡(luò)接口卡（ NIC）提供基于標準的鏈路匯聚，實現(xiàn)最高服務(wù)器帶寬吞吐率。 消除了因非對稱路由引起的單播洪泛，減少了園區(qū)內(nèi)流量的跳數(shù)，從而節(jié)省了帶寬。 2.7.2、 FWSM虛擬化技術(shù)及應(yīng)用 與思科 6500 交換機 7600 路由器結(jié)合，具有靈活的端口擴展能力。7600路由器配置防火墻模塊后可以將 7600 路由器變成一臺廣域網(wǎng)防火墻。路由器上的所有端口均可以配置不同的安 全級別。 強大的防火墻性能，在單臺 65 系列交換機 7600 路由器上可以插4 塊 FWSM，每塊 FWSM 的吞吐量為 5.5Gbps,四塊合計 22 Gbps。 每個防火墻模塊可支持 256 個虛擬防火墻，為數(shù)據(jù)中心提供了強大的靈活性。 虛擬防火墻的資源可定制，每個虛擬防火墻占用的 CPU、 Memory以及其最大連接數(shù)等資源可以根據(jù)需要來定制，極大的增加了虛擬防火墻的安全性和可用性。 支持高達 256 個 802.1Q 的 VLAN，使大大增加了防火墻的使用靈活性。 工作模式多樣化，支持透明、路由、 NAT、透明路由的混合模式的工作模式 。 支持多臺防火墻主機的集群，支持 Active/Active 模式以及 Standby模式。 支持豐富的 QOS 特性 2.8、 XXX 公司 中心網(wǎng)絡(luò) IP地址設(shè)計 （ IP地址規(guī)劃，根據(jù)具體項目，具體設(shè)計 ，一般初期僅做初步描述 ） 蘇寧電器 IDC 中心網(wǎng)絡(luò) IP 地址的設(shè)計，將根據(jù)現(xiàn)有的業(yè)務(wù)系統(tǒng)進行統(tǒng)一的規(guī)劃與設(shè)計，在實際允許的情況下兼容原有 IP 地址，為日后割接提供準備的基礎(chǔ)。 2.9、 XXX 公司 中心網(wǎng)絡(luò)路由協(xié)議設(shè)計 （路由設(shè)計，根據(jù)具體項目具體設(shè)計 ，一般初期僅做初步描述 ） 蘇寧電器 IDC 中心網(wǎng)絡(luò)路由協(xié)議建議使用 OSPF 協(xié)議與 BGP 協(xié)議， OSPF 協(xié)議做為其應(yīng)用主協(xié)議， BGP 協(xié)議則運行在備份鏈路上，當(dāng)主協(xié)議 OSPF 故障時，則由 BGP 協(xié)議替代，以保證其網(wǎng)絡(luò)的連通性，減少協(xié)議倒換的時間。 2.10、 XXX 公司 中心網(wǎng)絡(luò)安全設(shè)計 （此處為相應(yīng) 安全 的 設(shè)備及技術(shù) ，根據(jù)具體項目不同編寫） 2.10.1、 CISCO6500 及 CISCO7600 防火墻模塊 Cisco6500 交換機和 Cisco 7600 系列路由器的防火墻服務(wù)模塊（ FWSM）是一種高速的、集成化的服務(wù)模塊，可以提供業(yè)界最快的防火墻數(shù)據(jù)傳輸速率： 5Gb 的吞吐量， 100000CPS，以及一百萬個并發(fā)連接。在一個設(shè)備中最多可以安裝四個 FWSM，因而每個設(shè)備最高可以提供 20Gb 的吞吐量。作為世界領(lǐng)先的 Cisco PIX 防火墻系列的一部分， FWSM 可以為大型企業(yè)和服務(wù)供應(yīng)商提供無以倫比的安全性、可靠性和性能。 FWSM采用了 Cisco PIX技術(shù)，并且運行 Cisco PIX操作系統(tǒng)（ OS）-一個實時的、牢固的嵌入式系統(tǒng)，可以消除安全漏洞，防止各種可能導(dǎo)致性能降低的損耗。這個系統(tǒng)的核心是一種基于自適應(yīng)安全算法（ ASA）的保護機制，它可以提供面向連接的全狀態(tài)防火墻功能。利用 ASA， FWSM 可以根據(jù)源地址和 目的地地址，隨機的 TCP 序列號，端口號，以及其他 TCP 標志，為一個會話流創(chuàng)建一個連接表條目。FWSM 可以通過對這些連接表條目實施安全策略，控制所有輸入和輸出的流量。 FWSM 的主要優(yōu)點 防火墻的傳統(tǒng)角色已經(jīng)發(fā)生了變化。今天的防火墻不僅可以保護企業(yè)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的外部接入的攻擊，還可以防止未經(jīng)授權(quán)的用戶接入企業(yè)網(wǎng)絡(luò)的子網(wǎng)、工作組和 LAN。 FBI 的統(tǒng)計數(shù)據(jù)顯示， 70%的安全問題都來自于企業(yè)內(nèi)部。在 FBI 開展的調(diào)查中，五分之一的受訪者表示，在過去 12 個月中，有入侵者闖入或者試圖闖入他們的企業(yè)網(wǎng)絡(luò)。大部分專家都 認為，大多數(shù)網(wǎng)絡(luò)入侵活動都沒有被檢測出來。 集成模塊 FWSM 安裝在 Cisco Catalyst 6500 系列交換機或者 Cisco 7600 互聯(lián)網(wǎng)路由器的內(nèi)部，讓這些設(shè)備的任何端口都可以充當(dāng)防火墻端口，并且在網(wǎng)絡(luò)基礎(chǔ)設(shè)施中集成了狀態(tài)防火墻安全。對于那些機架空間非常有限的系統(tǒng)來說，這種功能非常重要。 Cisco Catalyst 6500 真正成為了那些需要各種智能化服務(wù)（例如防火墻接入、入侵檢測、虛擬專用網(wǎng)（ VPN）和多層 LAN、 WAN 和 MAN 交換功能的客戶的首選IP 服務(wù)交換機。 適應(yīng)未來需要 FWSM 可 以支持 5Gb 的吞吐量，因而可以提供無以倫比的性能，讓用戶無須對系統(tǒng)進行徹底的升級，就可以滿足未來的要求。在Catalyst 6500 中最多可以添加三個 FWSM，以滿足用戶不斷發(fā)展的需求。 可靠性 FWSM 建立在 Cisco PIX 技術(shù)的基礎(chǔ)之上，并使用了同一個經(jīng)過時間檢驗的 Cisco PIX 操作系統(tǒng) -一個安全的、實時的操作系統(tǒng)。FWSM 可以利用行之有效的 Cisco PIX 技術(shù)檢測分組，從而可以在同一個平臺上提供性能和安全的獨特組合。 低廉的整體運營成本 FWSM 可以提供所有防火墻中最佳的性能價格比。 Cisco Catalyst機型的 SmartNet 合同中包含了維護成本。由于 FWSM是基于 Cisco PIX 防火墻的，所以培訓(xùn)和管理成本都很低，而且由于它是集成在設(shè)備內(nèi)部的，所以大大減少了需要管理的設(shè)備的數(shù)量。 易用性 Cisco PIX 設(shè)備管理器的直觀的圖形化用戶界面（ GUI）可以用于管理和配置 FWSM。在配置和監(jiān)控方面， FWSM 可以獲得思科管理框架和 Cisco AVVID（集成化語音、視頻和數(shù)據(jù)體系結(jié)構(gòu)）合作伙伴的支持。 2.11、 XXX公司 中心網(wǎng)絡(luò) QoS設(shè)計 （ QOS設(shè)計，根據(jù)實際情況設(shè)計 ，一般初期僅做 初步描述 ） IP QoS ( Quality of Service ) 是指 IP 網(wǎng)絡(luò)的一種能力，即在跨越多種底層網(wǎng)絡(luò)技術(shù)（ FR、 ATM、 Ethernet、 SDH 等）的 IP 網(wǎng)絡(luò)上，為特定的業(yè)務(wù)提供其所需要的服務(wù)。衡量 IP QoS 的技術(shù)指標包括： 1）帶寬 /吞吐量 指網(wǎng)絡(luò)的兩個節(jié)點之間特定應(yīng)用業(yè)務(wù)流的平均速率； 2）時延 指數(shù)據(jù)包在網(wǎng)絡(luò)的兩個節(jié)點之間傳送的平均往返時間； 3）抖動 指時延的變化； 4）丟包率 指在網(wǎng)絡(luò)傳輸過程中丟失報文的百分比，用來衡量網(wǎng)絡(luò)正確轉(zhuǎn)發(fā)用戶數(shù)據(jù)的能力； 5）可用性 指網(wǎng)絡(luò)可以為用戶提供服務(wù)的時間的百分比。 本質(zhì)上，要保證服務(wù)質(zhì)量的最基本和最佳的手段是網(wǎng)絡(luò)容量的擴容，通過增加鏈路帶寬來保證網(wǎng)絡(luò)輕載， 出于網(wǎng)絡(luò)的實際情況考慮，在有限的帶寬前提下，在鏈路擁塞時，需要保證不同等級業(yè)務(wù)的服務(wù)質(zhì)量，因此，需要在 設(shè)備上 支持對不同 Qos 等級的報文優(yōu)先轉(zhuǎn)發(fā)的隊列調(diào)度 機制 。 目前， QoS 實現(xiàn)機制主要有兩個：綜合型業(yè)務(wù)（ IntServ）模型和區(qū)分型業(yè)務(wù)（ Diffserv）模型。 集成服務(wù)模型通過 RSVP 協(xié)議針對每個業(yè)務(wù)流進行資源預(yù)留，提供端到端服務(wù)保證。這種服務(wù)模型在應(yīng)用使用之前，首先需要進 行資源的預(yù)留，針對每個流都要維護 RSVP 的軟狀態(tài)。這種服務(wù)模型的的優(yōu)點在于能夠提供細粒度的、嚴格的 QoS服務(wù)，但是擴展性比較差，路由器難以維護大量的軟狀態(tài)和控制流。由于集成服務(wù)模型的缺點，現(xiàn)在集成服務(wù)模型已經(jīng)很少使用，取而代之的是下面重點介紹的差分服務(wù)模型。差分服務(wù)類型對不同的流進行分類，對每個類提供不同的 QoS 服務(wù)。通過分類，維護軟狀態(tài)以及控制流的開銷大幅度縮小，可擴展性比較高。它的缺點在于提供的服務(wù)是粗粒度的、不嚴格的 QoS 服務(wù)。 綜合考慮現(xiàn)有 Qos 技術(shù)，我們推薦蘇寧電器 IDC 中心 Qos 改造采用以 DiffServ 為主的 QOS 技術(shù)，采用 DSCP 和 IP Precedence 相兼容的標記方式。業(yè)務(wù)接入控制點設(shè)備實現(xiàn)業(yè)務(wù)的分類、標記和帶寬控制，城域網(wǎng)骨干路由器根據(jù) DSCP 等級標記按優(yōu)先順序進行 IP 包的轉(zhuǎn)發(fā)。 2.12、 XXX公司 數(shù)據(jù)中心網(wǎng)絡(luò)管理設(shè)計 （根據(jù)項目使用網(wǎng)管工具編寫） 思科安全監(jiān)控、分析和響應(yīng)系統(tǒng)（思科安全 MARS）是一款基于設(shè)備的全功能解決方案，可提供針對您現(xiàn)有安全部署的、前所未有的了解和控制能力。思科安全 MARS 是思科安全管理生命周期的一個關(guān)鍵組件，可幫助您的安全和網(wǎng)絡(luò)機構(gòu)識別、管理和抵御安全威脅。它 可充分利用您現(xiàn)有的網(wǎng)絡(luò)和安全投資，來識別、隔離被攻擊的組件和建議對其精確刪除的方式。它也有助于保持內(nèi)部策略符合性，可作為整體法規(guī)符合性解決方案工具中一個不可缺少的部件。 安全和網(wǎng)絡(luò)管理員所面臨的問題有： 安全和網(wǎng)絡(luò)信息過載 性能不佳的攻擊和故障識別、優(yōu)先級劃分和響應(yīng) 更高攻擊先進程度、速度和修復(fù)成本 滿足法規(guī)符合性和審查要求 較少的安全人員和預(yù)算 思科安全 MARS 可通過以下功能滿足其需要： 集成網(wǎng)絡(luò)智能，進行網(wǎng)絡(luò)異常事件和安全事件的先進關(guān)聯(lián) 察看校正后的事件并自動執(zhí)行調(diào)查 通過全面充分利用網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施 來防御攻擊 監(jiān)控系統(tǒng)、網(wǎng)絡(luò)和安全運行來幫助企業(yè)達到法規(guī)符合性 以最低 TCO 提供一個易于部署和使用的、可擴展的設(shè)備 思科安全 MARS可將原始網(wǎng)絡(luò)和安全數(shù)據(jù)轉(zhuǎn)化為可操作的智能特性，以提交正確有效的安全事件并保持法規(guī)符合性。這一易于使用的威脅防御設(shè)備系列可利用已部署在您的基礎(chǔ)設(shè)施中的網(wǎng)絡(luò)和安全設(shè)備，使操作員可集中、檢測、防御和報告重要威脅。 深度防御問題 信息安全已從互聯(lián)網(wǎng)、周邊防護發(fā)展為深度防御模式，在基礎(chǔ)設(shè)施中部署了多項措施來抵御安全漏洞和攻擊。鑒于攻擊頻率日益增加、攻擊復(fù)雜度各不相同，以及攻擊非常迅速，網(wǎng)絡(luò) 內(nèi)部和周邊間的界線逐漸模糊，因此這些措施是非常必要的。 為試圖利用漏洞發(fā)動攻擊，每天攻擊者都會對網(wǎng)絡(luò)接入點和系統(tǒng)進行數(shù)千次探測。先進的混合攻擊使用多種欺騙式攻擊方法，以便從機構(gòu)內(nèi)外獲得未授權(quán)系統(tǒng)訪問和控制。蠕蟲、零日攻擊、病毒、特洛伊木馬、間諜軟件和攻擊工具的普及可對最為堅固的基礎(chǔ)設(shè)施構(gòu)成挑戰(zhàn) 導(dǎo)致防御作用時間縮短、出現(xiàn)停運和昂貴的修復(fù)措施。 除服務(wù)器和網(wǎng)絡(luò)設(shè)備數(shù)量較多外，每個安全組件都提供獨立的事件記錄和報警功能，以用于異常流量檢測、威脅響應(yīng)和分析。不幸的是，這就生成了大量的干擾、報警、日志文件和誤報， 需操作員辨別或高效利用它們 但這樣的前提是有足夠的時間和資源來分析和了解這些信息。此外，法規(guī)也要求嚴格數(shù)據(jù)保密、更高運營安全性和進行持續(xù)審查。 先進的安全信息管理 安全信息 /事件管理（ SIM）產(chǎn)品從邏輯上看來避免了這一問題 因為您無法對您不能測量出的信息加以管理。 SIM 使操作員擁有了集中操作的能力：匯總安全事件和記錄，通過有限關(guān)聯(lián)和查詢技術(shù)來分析數(shù)據(jù)，并針對獨立事件生成報警和報告。 思科通過一個可擴展的企業(yè)威脅防御設(shè)備系列，解決了這些安全問題，彌補了管理的不足。思科安全 MARS 提供了一個易于部署和使用、 經(jīng)濟有效、性能出眾的安全命令和控制解決方案，對您的網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施投資構(gòu)成補充。思科安全 MARS 是一個性能出眾的可 擴 展 威 脅 防 御 設(shè) 備 系 列 ， 通 過 結(jié) 合 網(wǎng) 絡(luò) 智 能 、ContextCorrelationTM、 SureVectorTM 分析和 AutoMitigateTM 功能，來使公司能作好準備，識別、管理和消除網(wǎng)絡(luò)攻擊并保持法規(guī)符合性，從而增強已部署的網(wǎng)絡(luò)設(shè)備和安全措施。 思科安全 MARS 的主要特性和優(yōu)勢 網(wǎng)絡(luò)智能事件匯總和性能處理 思科安全 MARS了解路由器、交換機和防火墻的拓撲和設(shè)備配置，以及網(wǎng)絡(luò)流量配置，實現(xiàn)了網(wǎng)絡(luò) 智能。通過該系統(tǒng)的集成網(wǎng)絡(luò)發(fā)現(xiàn)功能，可構(gòu)建一個包括設(shè)備配置和當(dāng)前安全策略的拓撲圖，使思科安全MARS 能對您網(wǎng)絡(luò)中的分組流建模。因為此設(shè)備不在內(nèi)部運行，極少使用現(xiàn)有軟件代理，所以對網(wǎng)絡(luò)或系統(tǒng)性能的影響極小。 這一設(shè)備集中匯總了來自各種常用網(wǎng)絡(luò)設(shè)備（如路由器和交換機）、安全設(shè)備和應(yīng)用（如防火墻、入侵檢測、漏洞掃描器和防病毒軟件）、主機（如 Windows、 Solaris 和 Linux 系統(tǒng)日志）、應(yīng)用（如數(shù)據(jù)庫、 Web 服務(wù)器和驗證服務(wù)器）以及網(wǎng)絡(luò)流量（如 Cisco NetFlow）的日志和事件。 ContextCorrelationTM 在接收到事件和數(shù)據(jù)時，可針對網(wǎng)絡(luò)拓撲、所發(fā)現(xiàn)的設(shè)備配置、相同的源和目的地應(yīng)用（跨 NAT 邊界）和類似的攻擊類型，來對信息進行標準化。相似的事件會進行實時分組，隨后對其運用由系統(tǒng)和用戶定義的關(guān)聯(lián)規(guī)則，來識別事故。系統(tǒng)配備了全面的預(yù)定義規(guī)則， Protego 會經(jīng)常更新這些規(guī)則，它們能識別大多數(shù)混合攻擊、零日攻擊和蠕蟲。一個圖形化規(guī)則定義框架簡化了用戶為任何應(yīng)用創(chuàng)建定制規(guī)則的過程。 ContextCorrelation 大大減少了原始事件數(shù)據(jù)、實現(xiàn)了響應(yīng)優(yōu)先級劃分并可最大限度地發(fā)揮所部署的措施的作用。 高性能匯總和整合。思科安全 MARS 解決方案可獲取數(shù)千個原始事件，高效地對事件分類，實現(xiàn)前所未有的數(shù)據(jù)減少，并壓縮這些信息以進行歸檔。管理大量安全事件需要一個安全、穩(wěn)定的集中記錄平臺。思科安全 MARS 設(shè)備可安全地優(yōu)化，接收極其大量的事件流量 每秒超過 10000 個事件或每秒超過 30 萬個 NetFlow 事件。通過即將榮獲專利的 Protego 內(nèi)部處理邏輯和采用內(nèi)嵌 Oracle，這一切成為可能。所有數(shù)據(jù)庫功能和調(diào)整都對用戶透明。板載存儲并可將歷史數(shù)據(jù)檔案持續(xù)壓縮到 NFS備用存儲設(shè)備的功能，使思科安全 MARS成為一 個強大的安全日志 /事件匯總解決方案。 事件查看和有效防御 思科安全 MARS 有助于加速和簡化威脅識別、調(diào)查、校正和防御的過程。安全人員通常面臨著所提交的事件需要耗時的分析才能解決問題和進行修復(fù)的情況。思科安全 MARS 具有一個功能強大的交互式安全管理控制臺。操作員 GUI 提供了一個由實時熱點、事故、攻擊路徑和具體調(diào)查組成的拓撲圖，可使用戶完全了解事件 立即確認有效威脅。 SureVectorTM 分析事件進程等過程，通過評估直至終端 MAC 地址的整個攻擊路徑，來確定威脅是否有效或是否已進行了防御。這一自動過程是由分 析防火墻和入侵防御應(yīng)用等設(shè)備記錄、分析第三方漏洞評估數(shù)據(jù)，以及籍由思科安全 MARS 終端掃描來消除誤報而完成的。用戶可快速、精確地調(diào)整系統(tǒng)，來進一步減少誤報。 所有安全計劃的最終目標是保持系統(tǒng)在線并正常運作 即防御安全違背、抑制事件并進行修復(fù)。憑借思科安全 MARS，操作員可迅速了解攻擊中涉及的所有組件，這可具體到受破壞的系統(tǒng) MAC 地址。AutoMitigateTM 功能可識別攻擊路徑上的阻塞點設(shè)備，并自動提供用戶可用以防御威脅的適當(dāng)設(shè)備命令。通過充分利用基礎(chǔ)設(shè)施，可快速、準確地防御和抑制攻擊。 實時調(diào)查和法規(guī) 符合性報告 思科安全 MARS 具有一個易于使用的分析框架，簡化了傳統(tǒng)的安全工作流程，在日常運作和特殊審查時實現(xiàn)了自動的案例分配、調(diào)查、提交、通知和說明。它可圖形化地重現(xiàn)攻擊并檢索所存儲的事件數(shù)據(jù)，來分析以前的事件。此系統(tǒng)完全支持臨時查詢，可進行實時和持續(xù)數(shù)據(jù)采集。 思科安全 MARS 提供大量的預(yù)定義報告，來滿足運營需要，有助于達到法規(guī)符合性要求，包括 Sarbox、 GLBA、 HTPPA、 FISMA 和Basel II。一個直觀的報告生成器可以修改 80 多種標準報告或生成新報告，以一種無限制的方式，用數(shù)據(jù)、趨勢和圖表格 式構(gòu)建安全措施和修復(fù)計劃、事件和網(wǎng)絡(luò)活動、安全狀態(tài)和審查，以及部門報告。此系統(tǒng)也能提供批報告和電子郵件報告。 迅速部署和可擴展管理 思科安全 MARS 置于一個 TCP/IP 網(wǎng)絡(luò)上，可發(fā)送和接收系統(tǒng)日志、 SNMP 捕獲，并通過標準安全協(xié)議或廠商特定協(xié)議，與已部署的網(wǎng)絡(luò)和安全設(shè)備建立安全連接。只需將其插入網(wǎng)絡(luò)即可。安裝和部署思科安全 MARS 時無需其他硬件、操作系統(tǒng)補丁、許可或冗長的專業(yè)服務(wù)部署過程。您只需配置您的日志源，指向 MARS 設(shè)備，并通過基于 Web 的 GUI 定義任意網(wǎng)絡(luò)和數(shù)據(jù)源。 該設(shè)備由一個安全、基于 Web 的界 面集中管理，它支持基于角色的管理。可選思科安全 MARS GC 設(shè)備集中了廣泛的安全操作，可提供整個企業(yè)的單一視圖，分發(fā)訪問權(quán)限、配置、更新、定制規(guī)則和報告模板，并將復(fù)雜的調(diào)查與本地處理的加速查詢和報告相結(jié)合。 因為本地思科安全 MARS 設(shè)備可在整個企業(yè)中執(zhí)行查詢和規(guī)則，因此能高效地獲得整合結(jié)果，快速、集中地在思科安全 MARS GC 中進行分析。這一可擴展架構(gòu)提供了一個附加的分布處理和存儲層。因此可實現(xiàn)更為經(jīng)濟有效的部署和更高可管理性，滿足地理位置分散的大型機構(gòu)的需求。 2.13、 設(shè)備概述 （此處為相應(yīng)的設(shè)備描述，根 據(jù)不同項目，使用的不同設(shè)備描述） 2.13.1、 CISCO 7010 核心交換機 CSICO 7010 是一款針對大規(guī)模數(shù)據(jù)中心應(yīng)用而設(shè)計的核心交換機，它的吞吐量可以達到 15Tbps。它目前可以支持 10Gbps 的以太網(wǎng)，將來根據(jù)需要可以升級到支持 40Gbps/100Gbps 以太網(wǎng)。它采用CSICO NX-OS 操作系統(tǒng)，創(chuàng)新之處在于可以支持端到端的大規(guī)模數(shù)據(jù)中心連接。它最大可以同時支持 256 個 10Gbps 以太網(wǎng)端口或 384個 10/100/1000Mbps 以太網(wǎng)端口。 2.13.1.1、 CSICO NX-OS操作系 統(tǒng) 集合了 CSICO 的大量創(chuàng)新的健壯、自愈、豐富的特征設(shè)置。 內(nèi)核的模塊化、虛擬性和彈性設(shè)置支持其強大靈活性和可升級性。 支持 IPv4 和 IPv6 服務(wù)、路由和多播。 全面的安全設(shè)置、高可用性和管理性特征。 2.13.1.2、 優(yōu)勢 支持基礎(chǔ)設(shè)施的可升級性： （ 1）系統(tǒng)支持的最大吞吐量可達 15Tbps，為未來提供了極大的升級空間。 （ 2）支持多核和多線程的操作系統(tǒng)可以將不同的任務(wù)分配給不同的 CPU 核并行運算，達到優(yōu)化 CPU 資源利用率。 （ 3） CSICO 的安全策略標準：鏈路層加密、安全組接入控制鏈表、基于角色的接入 控制。 （ 4）靈活的網(wǎng)絡(luò)流量控制策略。 傳輸?shù)撵`活性 虛擬的控制界面和數(shù)據(jù)界面，可以最優(yōu)化其性能。 虛擬化設(shè)備管理可以最大化軟件和硬件資源利用率，同時提供強大的安全機制和軟件錯誤隔離。 可以支持未來的 40Gbps 和 100Gbps 以太網(wǎng)標準。 2.13.1.3、 CSICO 7010 模塊組成：一個 7010 包含 10個插槽，其中兩個分配給監(jiān)督控制模塊，另外 8個分配給以太網(wǎng) I/O模塊。 監(jiān)督控制模塊：基于雙核處理器實現(xiàn)控制和管理功能；一臺 7010最多包含 2 個該模塊。 48 端口 10/100/1000Mbps 以太網(wǎng) I/O 模塊：一臺 7010 最多包含 8個該模塊，即最多同時支持 384 個 10/100/1000Mbps 以太網(wǎng)端口，同時每個端口都支持 CSICO 的安全策略標準。 32 端口 10Gbps 以太網(wǎng) I/O 模塊：一臺 7010 最多包含 8 個該模塊，即最多同時支持 256 個 10Gbps 以太網(wǎng)端口，同時每個端口都支持CSICO 的安全策略標準。 用于插槽間連接的光纖模塊：提供 I/O 模塊之間、監(jiān)督控制模塊之間以及 I/O 模塊和監(jiān)督控制模塊之間的并行光纖通道。最多同時允許五個同步光纖模塊為每個插槽提供高達 230Gbps 吞吐量。 2.13.1.4、 安 全性 允許進入控制：對網(wǎng)絡(luò)設(shè)備和終端使用拓撲獨立的支持 802.1x 的鑒定與授權(quán)機制。 保密性與完整性設(shè)置：當(dāng)網(wǎng)絡(luò)中加入網(wǎng)絡(luò)設(shè)備，如防火墻和負載均衡等時，通過使用鏈路層 802.1AE 的加密技術(shù)提供數(shù)據(jù)保密和可靠性。 訪問控制：通過使用 ASIC 來提供基于身份驗證的訪問策略。 2.13.2、 CSICO 7609 邊緣路由器 CSICO 7609 是一個高性能的網(wǎng)絡(luò)邊緣路由器，它可以為商用和住宅服務(wù)市場提供高效的三重應(yīng)用（語音、視頻、數(shù)據(jù)），它可以支持企業(yè)配置高性能的廣域網(wǎng)和城域網(wǎng)。 2.13.2.1、 CSICO 7609可以支持各種線速卡 SPA（共享端口適配器）和 SIP（ SPA 接口處理器） T1/E1、 T3 和 OC-3/STM-1 數(shù)字信道。 OC-3/STM-1、 OC-12/STM-4、 OC-48/STM-16 光纖同步信道（ SONET/SDH）。 OC-3/STM-1、 OC-12/STM-4、 OC-48/STM-16 ATM 信道。 快速以太網(wǎng)、 1Gbps 以太網(wǎng)和 10Gbps 以太網(wǎng)。 增強的 FlexWAN 模塊 支持 CSICO 7200 和 7500 WAN 的從 DS-0 到 OC-3 的數(shù)字信道和ATM 接口的端口適配器和快速以太 網(wǎng)適配器。 高密度的以太網(wǎng)服務(wù)模塊： 10/100Mbps、 1Gbps 以太網(wǎng)和 10Gbps以太網(wǎng)。 安全服務(wù)模塊： IPsec，防火墻，入侵檢測等。 CSICO 7609 擁有 9 個插槽，每個插槽最多可以支持 48 個10/100Mbps