畢業(yè)設計---某大廈網絡的規(guī)劃和實現

1、<p><b>　　畢業(yè)設計（論文）</b></p><p>　　題目： 火炬大廈網絡的規(guī)劃</p><p><b>　　和實現</b></p><p>　　系別： 信息工程系</p><p>　　專業(yè)： 計算機網絡技術</p><p>

2、　　班級： 計網0832</p><p>　　畢業(yè)設計（論文）任務書</p><p><b>　　摘要</b></p><p>　　自從火炬大廈決定建設科研計算機網絡(CERNET)以來,國內各大網絡公司紛紛著手建設企業(yè)網。作為火炬大廈網絡建設系統，它面向淄博各個部門、行政管理部門、CERNET、INTERNET。火炬大廈需要的是

3、一個適用的同時可滿足未來技術發(fā)展需求的多媒體廣域網絡系統環(huán)境。故在考慮整個系統建設時，應尋求：</p><p>　　相互協作能力：即可提供跨國或跨地域解決方案能力。</p><p>　　全面解決方案：即可提供滿足一線工作人員及行政人員需求的全套解決方案能力。</p><p>　　靈活，簡單：即不管大小，可以同樣的可靠性及靈活性支持整個企業(yè)網系統軟硬件的能力。<

4、/p><p>　　投資保障：即系統可隨時增加軟硬件來滿足貴公司目前應用需求變化，及科技發(fā)展。不必為適應新需求而重復投資。</p><p>　　適應性：即系統可快速適用于技術革新或社會需求改變的能力。</p><p>　　可靠而易于維護：即系統可持續(xù)運作的能力和在影響系統運轉前即可預先找出問題的所在。</p><p>　　火炬大廈網絡支持的是一個不

5、斷多元化的網絡應用系統設備組合，用以支持其日常運作和實現其長遠目標。系統設備、管理者及使用者之間的聯系必須是親密無間的，自覺而透明的，從而具備較強的擴展性。豐富的經驗與專業(yè)知識，將與火炬大廈一道，為今天和進入下一世紀信息時代所具備的企業(yè)網絡需求，共同設計建成一個多媒體企業(yè)網絡工作系統打下堅實的基礎。</p><p>　　我們提出的是最先進的技術、最專業(yè)的服務使其滿足現在及將來需要的多媒體網絡通訊技術。有明確的網絡

6、目的和網絡拓撲圖，增加了擴展的網絡空間。采用最近的網絡技術，保證硬件的良好兼容性。</p><p>　　關鍵字：企業(yè)局域網網絡管理系統網絡設計H3C網絡安全</p><p><b>　　目錄</b></p><p><b>　　1引言- 5 -</b></p><p>　　2局域網設計目標和與原則

7、- 6 -</p><p>　　2.1火炬大廈局域網的設計目的：- 6 -</p><p>　　2.2火炬大廈局域網的設計原則：- 6 -</p><p>　　3網絡系統設計及報價- 7 -</p><p>　　3.1 系統設計- 7 -</p><p>　　3.2 1000M千兆以太網- 7 -</

8、p><p>　　3.3主干網絡的選擇- 8 -</p><p>　　3.4 網絡系統產品的選擇- 9 -</p><p>　　3.5方案描述- 9 -</p><p>　　3.6無線接入方案- 11 -</p><p>　　3.7有線無線一體化的網管系統- 13 -</p><p>　　3

9、.8網絡流量分析系統（NTA）- 13 -</p><p>　　4網絡級可靠性設計- 17 -</p><p>　　4.1網絡可靠性設計- 17 -</p><p>　　4.2設備級可靠性設計- 17 -</p><p>　　4.3雙星型的網絡拓撲- 18 -</p><p>　　4.4適當采用鏈路捆綁技術

10、- 18 -</p><p>　　4.5采用VRRP技術- 18 -</p><p>　　4.6系統安全性的實現- 19 -</p><p>　　4.7網絡可靠管理的實現- 19 -</p><p>　　5相關產品簡介- 19 -</p><p>　　5.1 Catalyst5500核心交換機- 19 -&l

11、t;/p><p>　　5.2 建立內部網基礎設施- 19 -</p><p>　　5.3 提供成套的綜合內部網服務- 20 -</p><p>　　5.4 CiscoWorks網管軟件- 22 -</p><p>　　5.5 在CiscoWorks中的一些應用：- 23 -</p><p>　　6用戶綜合接入管理解

12、決方案- 23 -</p><p>　　6.1系統總體結構- 23 -</p><p>　　6.2系統功能- 23 -</p><p>　　6.3用戶管理- 24 -</p><p>　　6.4系統管理- 24 -</p><p>　　6.5安全管理- 25 -</p><p>　　

13、6.6用戶數據查詢與導出- 25 -</p><p>　　6.7最終用戶自助- 25 -</p><p>　　7安全狀態(tài)評估- 26 -</p><p>　　7.1軟件檢測- 26 -</p><p>　　7.2用戶權限管理- 26 -</p><p>　　7.3用戶行為監(jiān)控- 26 -</p>

14、<p>　　7.4網絡流量分析系統- 27 -</p><p>　　7.5傳統網管的局限性- 27 -</p><p>　　8 LAN接入業(yè)務組件提供的功能- 27 -</p><p>　　8.1認證功能- 27 -</p><p>　　8.2授權功能- 28 -</p><p>　　8.3業(yè)務

15、管理- 28 -</p><p>　　8.4系統功能- 28 -</p><p>　　8.5協議支持- 29 -</p><p>　　8.6認證功能- 29 -</p><p>　　8.7業(yè)務管理- 29 -</p><p>　　9功能系統- 29 -</p><p>　　9.1LD

16、AP業(yè)務組件提供的功能- 29 -</p><p>　　9.2LDAP服務器的管理功能- 29 -</p><p>　　9.3LDAP用戶導出功能- 30 -</p><p>　　9.4LDAP用戶管理功能- 30 -</p><p>　　9.5DHCP業(yè)務組件提供的功能- 30 -</p><p>　　9.

17、6地址池管理功能- 30 -</p><p>　　9.7地址分配查詢功能- 30 -</p><p>　　9.8地址池統計功能- 30 -</p><p>　　9.9支持自動升級功能：- 30 -</p><p>　　10網絡管理方案- 31 -</p><p>　　10.1網絡管理需求- 31 -<

18、/p><p>　　10.2業(yè)務流程（BusinessProcess）- 31 -</p><p>　　10.3用戶、資源和業(yè)務的融合管理- 31 -</p><p>　　10.4基于SOA的開放架構- 31 -</p><p>　　10.5網絡管理系統的功能- 32 -</p><p><b>　　總結

19、- 33 -</b></p><p><b>　　致謝- 34 -</b></p><p>　　參考文獻- 35 -</p><p><b>　　1引言</b></p><p>　　在信息化社會，尤其是中國加入世貿組織，要在強手如林的市場占據一席之地并能有所發(fā)展，就必須提升企業(yè)自身的

20、競爭力和抗風險能力，而擺在面前的惟一出路就是順應潮流，加強企業(yè)內部的信息化建設，建設可靠的企業(yè)園區(qū)網絡。通過企業(yè)網絡建設實現計算機網絡之間的安全、高速相互訪問，為企業(yè)實現辦公自動化和運行基于電腦計算機網絡的應用信息管理系統提供良好的硬件平臺，從而達到充分利用各種計算機信息技術使企業(yè)的辦公、管理逐步實現計算機網絡化、信息化、現代化的目的。</p><p>　　企業(yè)信息化的目的在于提高企業(yè)的業(yè)績。從根本上說，這決定于

21、企業(yè)的素質。另一方面，企業(yè)的素質好壞會通過企業(yè)的業(yè)績表現出來。這兩者互相聯系互為表里。在不同的時代兩者之間有著不同的內容。如今我們已經步入了信息時代，企業(yè)的素質更多地是看信息和知識的運用程度、創(chuàng)新能力、無形資產的價值、供貨速度、服務質量以及用戶滿意程度等等。企業(yè)的業(yè)績除了利潤以外，還要看市場占有份額、對社會的貢獻與積極影響等等。如果企業(yè)素質與企業(yè)業(yè)績得不到提升，企業(yè)信息化就失去了意義。</p><p>　　企業(yè)信

22、息化的關鍵因素在于兩個方面，一是企業(yè)業(yè)務信息化，二是企業(yè)管理信息化。企業(yè)管理服務于企業(yè)業(yè)務，企業(yè)業(yè)務的進展則取決于企業(yè)管理的好壞?，F代企業(yè)穿梭在海量的信息當中，沒有一個好信息系統作為指引的話，就會徘徊于這些信息，最終淹沒在這些信息中。如果企業(yè)能夠引入創(chuàng)新的知識，將其運用于整個企業(yè)的運作之中，滿足未來競爭需要。這就成為企業(yè)的核心競爭力。在所有的企業(yè)都引入信息系統之后，這種知識創(chuàng)新的因素仍然存在，所以我們要組建完善的信息化局域網絡來實現企業(yè)

23、局域網的管理系統。</p><p>　　因此本課程設計課題將主要以企業(yè)局域網絡建設過程可能用到的各種技術及實施方案為設計方向，為企業(yè)局域網網的建設提供理論依據和實踐指導。</p><p>　　企業(yè)的網絡化建設必然會對企業(yè)的信息化建設起到巨大的推動作用，同時提供簡單、有效、便捷的理想辦公、工作環(huán)境。企業(yè)網一方面縮短了企業(yè)與外界的距離；另一方面，構建了以Intranet為基礎的管理信息系統，推

24、動了企業(yè)的信息化建設。</p><p>　　隨著Internet不斷的普及愈來越多的企業(yè)已經通過各種方式把自己的企業(yè)接入到Internet,方法有很多。但是一個不正的事實是很多企業(yè)還是利用自己公司的內部局域網拉入Internet，所以我們必須要和局域網有個親密接觸。</p><p>　　2局域網設計目標和與原則</p><p>　　2.1火炬大廈局域網的設計目的：&

25、lt;/p><p>　　構建大型辦公局域網的總體目標是利用先進的計算機技術和網絡通信技術，建設高質、高效率、統一的辦公網絡。其具體目標如下：一是使系統互通互聯，最大限度地實現信息資源共享；二是改變傳統的工作方式，用電子信息的傳遞取代紙面文件、材料的傳送，逐步實現“無紙辦公”，進一步提高工作效率；三是利用各種業(yè)務信息的綜合分析，為企事單位的發(fā)展提供決策支持，更好地組織生產和經營。構建大型辦公局域網主要遵循以下原則：其一

26、，在企事業(yè)領導小組的領導下，建立統一的規(guī)章制度，進行統一的管理，采用統一的標準；其二，所有軟、硬件產品的選擇都必須堅持標準化的原則，采用全路統一的軟、硬件平臺和基本應用軟件，進行統一的軟件版本升級管理；其三，局域網應具有良好的安性與保密性；其四，做到資源共享與保護，充分合理地利用現有資源，最大限度地與原有系統或在建系統互通互聯，在盡可能利用已有投資的基礎上，解決好經費的補充和配套資金到位問題。</p><p>　

27、　2.2火炬大廈局域網的設計原則：</p><p><b>　　1.高性能</b></p><p>　　1）隨著IP電話、視頻會議、網上業(yè)務、OA辦公系統、電子郵件等系統的應用，該網絡需要承載各種信息流，將對火炬大廈局域網帶寬提出較高的要求。高速網絡是火炬大廈局域網發(fā)展的必然方向，網絡應該運用當今最先進的技術，并且應該滿足今后若干年的性能需求，因此我們要使用千兆網來滿

28、足火炬大廈的帶寬需求。</p><p>　　2）局域網以千兆為核心技術，支持萬兆交換已成為組網的基本要求，千兆骨干、千兆到服務器，千兆到用戶應該成為火炬大廈局域網網絡建設的基本要求。</p><p>　　3）支持多種應用：火炬大廈局域網是融合多種應用如數據、IP電話、視頻等的網絡，網絡在建設之初就應該考慮的對多業(yè)務的支持。</p><p>　　4）VLAN的靈活劃分

29、是非常重要的功能，它為限制全網范圍的廣播、減少不必要的流量提供了有效的手段。在網絡設計中應選擇切實可行的技術進行VLAN的靈活劃分。</p><p>　　5）對于廣域網來說，路由規(guī)劃及IPQoS的設計也是非常重要，需要選擇高效率的路由協議來實現各點的快速互聯互通，同時廣域網帶寬有限，如何在有限的帶寬上實現語音、視頻和數據的分類優(yōu)質傳輸，是網絡規(guī)劃應該詳細考慮的。</p><p><b

30、>　　2.高安全性</b></p><p>　　隨著火炬大廈信息化建設的不斷深入，在火炬大廈局域網迅速壯大并推動業(yè)務快速發(fā)展的同時，也使火炬大廈面臨著更加嚴峻的挑戰(zhàn)：網絡安全與網絡管理日益成為關系到火炬大廈業(yè)務處理的重大因素。目前常見的網絡安全隱患主要來自以下一些方面：</p><p>　　網絡級攻擊：竊聽報文，IP地址欺騙、源路由攻擊、端口掃描、拒絕服務攻擊。</

31、p><p>　　應用層攻擊：有多種形式，包括探測應用軟件的漏洞、"特洛依木馬"等；</p><p>　　系統級攻擊：不法分子利用操作系統的安全漏洞對內部網構成安全威脅。</p><p>　　另外，網絡本身的可靠性與線路安全也是值得關注的問題。</p><p>　　所以，建成的火炬大廈局域網系統應具有良好的安全性。能夠對使用者進

32、行驗證、授權、審核，以保障系統的安全性。同時提供靈活的用戶接入控制策略：及分布式控制和集中式控制。</p><p><b>　　3.高可靠性</b></p><p>　　火炬大廈局域網系統承載著火炬大廈各種重要數據，整個網絡系統應具有高可靠性。除了采用高可靠性的網絡設備以外還應考慮鏈路層和網絡層的備份。</p><p>　　4.可擴展性和可升級

33、性</p><p>　　系統要有可擴展性和可升級性，隨著業(yè)務的增長和應用水平的提高，網絡中的數據和信息流將按指數增長，需要網絡有很好的可擴展性，并能隨著技術的發(fā)展不斷升級。</p><p><b>　　5.易管理、易維護</b></p><p>　　火炬大廈局域網系統規(guī)模大，需要網絡系統具有良好的可管理性，網管系統具有監(jiān)測、故障診斷、故障隔離、

34、過濾設置等功能，以便于系統的管理和維護。</p><p>　　3網絡系統設計及報價</p><p><b>　　3.1 系統設計</b></p><p>　　3.11網絡協議選擇</p><p>　　我們在火炬大廈企業(yè)局域網的設計中主要采用了以下標準：</p><p><b>　　IEE

35、E802.3</b></p><p>　　IEEE工作組為CSMA/CDLAN制定了被稱作IEEE802.3的標準，它為CSMA/CDLAN制定了如下的規(guī)范：</p><p><b>　　1.線纜</b></p><p><b>　　2.編碼</b></p><p><b>　

36、　曼切斯特編碼</b></p><p><b>　　3.介質子層控制</b></p><p>　　定義與了幀格式及載波監(jiān)聽多路訪問/碰撞訪問(CSMA/CD)控制方法。</p><p>　　3.2 1000M千兆以太網</p><p>　　1998年6月29日，千兆以太網聯盟于加利福尼亞PALOALTO正式宣

37、布了千兆以太網標準IEEE802.3Z。這是千兆以太網發(fā)展的里程碑。</p><p>　　人們對千兆以太網技術給予了充分的重視和信心。簡單地說，這是因為“千兆以太網仍然是以太網，只不過速度更快而已”。</p><p>　　這一點是問題的關鍵。由于“千兆以太網仍然是以太網”，因此千兆以太網繼承了10M、100M以太網的特征。由此得出了千兆以太網的以下優(yōu)點：</p><p&

38、gt;　　與現有大多數網絡設施的兼容性　權威統計表明大多數網絡都是以太網，因此千兆以太網與現有網絡具有天然的兼容性。千兆以太網在與10M、100M以太網通信時不存在需要損失性能的轉換操作。</p><p>　　簡便的網絡升級操作　千兆以太網由于完全與以前的10M、100M以太網兼容。因此，自然簡便的網絡升級使得千兆以太網可以“無縫”融入現存的以太網環(huán)境中，解決了網絡管理員所面臨的如何升級現有網絡，但不至于造成網絡

39、癱瘓的問題。用戶總是傾向簡單實用，厭惡煩瑣復雜的工作。因為升級的挑戰(zhàn)過程和額外的知識學習并不是用戶建網的目的。</p><p>　　技術的成熟性和穩(wěn)定性　以太網技術是十分成熟的技術，它所組成系統的可靠性已經接近一般的電話通信系統（我們可以體會到，電話是不大出錯的）?！扒д滓蕴W仍然是以太網”意味著千兆以太網是可以信賴的技術。</p><p>　　總體開銷較低　總體性的開銷是評價網絡技術的重

40、要的因素?？傮w開銷不僅包括購買設備的開銷，還應包括培訓、維護和糾錯的開銷。而千兆以太網產品能提供較好的性能價格比。</p><p>　　從臺式機聯網的網卡、集線器、交換機、路由器和其它各種設備，千兆以太網和其它類似速率的通信技術比較價格總是低廉的。并且，由于用戶早已熟悉了以太網技術，以太網的維護和糾錯手段，因此以太網維護的開銷也較少。從技術本身的特征分析，千兆以太網的技術復雜度也較低。網絡管理人員不需要記憶很多術

41、語，不需要經過復雜的額外培訓。</p><p>　　靈活的網絡互聯和網絡設計　千兆以太網可以支持多種交換、路由和共享式方式。所有當今的網絡互聯技術，包括第三、四層交換技術和千兆以太網都是兼容的。</p><p>　　千兆以太網性能很高　千兆以太網能以千兆線速運行。由于多數千兆以太網使用無沖突的交換式、全雙工的結構，應當認為此時的吞吐率將可以接近全雙工的理論上的2Gb/s的最大吞吐量。<

42、;/p><p>　　千兆以太網的距離　千兆以太網標準定義了傳輸距離的三個特定目標：最大距離為550米的多模光纖，最大距離為3千米的單模光纖，最大距離不小于25米、理想為100米的銅線。實際上CISCO公司已經突破了這些距離定義的限制，CISCO公司的千兆以太網傳輸距離已經達到城域網的長度，并且已經利用長距離的千兆以太網的傳輸手段建設出了長達近百千米的成功城域網范例。這種長距離的千兆位高速傳輸的解決方案引起了人們的極大

43、興趣和關注。</p><p>　　3.3主干網絡的選擇</p><p>　　企業(yè)網絡主干采用千兆以太交換技術，各大樓內采用以太網、快速以太網技術。</p><p>　　千兆以太網的技術掌握和操作相對簡單,ATM需要掌握大量的相關知識，而具備高水平網絡人才的中國企業(yè)目前還不多。千兆以太網因此而獨具優(yōu)勢。實際上對于企業(yè)網絡管理人員來說，他們最關心的是穩(wěn)定可靠的網絡運行。

44、簡單實用，避免復雜的培訓和網絡管理工作，應當是網管人員的目標?！　?lt;/p><p>　　以太網從很簡單的概念中得到效益：網絡越簡單就越有用。</p><p>　　千兆以太網具有價格優(yōu)勢　千兆以太網繼承了傳統以太網的主要技術特征，以太網長期研發(fā)和生產線經驗使得千兆以太網的產品具有成熟性和大規(guī)模生產的價格優(yōu)勢。從構造層次和技術復雜性來說，千兆以太網也應在價格上優(yōu)于其它主干方式?？紤]到倍比于設備

45、開銷的維護管理開銷，千兆以太網似乎更應勝出一籌。</p><p>　　網絡維護和管理以太網在管理QoS和VLAN等功能時會變得復雜。但這也是循序漸進得學習過程。</p><p>　　技術的穩(wěn)定性　“穩(wěn)定性”指技術的成熟標準和眾多廠家對該項技術所達成的認識一致性。</p><p>　　“千兆以太網還是以太網”意味著它基本上是使用多年的成熟技術，具有很多成熟標準，擁有很

46、多不同廠家的系列兼容產品支持，它們之間的互操作性早已得到證實。</p><p>　　千兆以太網也不是完全沒有QoS能力。雖然簡單一些，但是以太網也能提供優(yōu)先級的控制能力。</p><p>　　在火炬大廈企業(yè)網絡建設中，除非有條件，有特殊需求和環(huán)境限制，一般在考慮要求較高的主干協議時恐怕千兆以太網應當首先考慮。故在火炬大廈企業(yè)網絡建設方案中，選用千兆以太網更為實際,也更好一些。</p&

47、gt;<p>　　3.4 網絡系統產品的選擇</p><p>　　火炬科技根據用戶的要求，綜合火炬大廈的網絡集成經驗，為用戶選擇在網絡領域具有領先水平的Cisco公司的網絡產品。</p><p>　　Cisco公司是全球最大的網絡產品供應商，其產品在全球有超過50％以上的市場占有率，其中在全球骨干網上超過80％的路由器是Cisco公司提供的。Cisco公司的產品系列包括多協議

48、路由器，局域網交換機和ATM交換機，可為用戶提供全方位的網絡互連服務。Cisco公司同時是ATM論壇，幀中繼論壇及其他網絡技術的發(fā)起者和組織者之一，Cisco歷來堅持協議的標準化、技術的先進性和產品的互連性，這使Cisco公司始終處于網絡界領先地位。</p><p>　　火炬科技考慮到上述因素，因此在火炬大廈企業(yè)網絡建設方案中，推薦Cisco產品。</p><p><b>　　3

49、.5方案描述</b></p><p>　　火炬大廈計算機網絡包括火炬大廈內網和外網2個部分，2個網絡物理隔離。本次采用模塊化、層次化的設計思想，火炬大廈專網對可靠性要求更高，因此采用雙星形的拓撲結構，互聯網則采用單星形的拓撲結構，將整個計算機網絡分為：核心層、匯聚層、接入層和服務器區(qū)3個部分，如圖3.51和圖3.52所示：</p><p>　　圖3.51火炬大廈內網拓撲圖<

50、;/p><p>　　圖3.52火炬大廈外網拓撲圖</p><p><b>　　3.51核心層</b></p><p>　　作為整個局域網數據交換的中心，核心交換機將承擔整個網絡的數據轉發(fā)功能，這就要求核心交換機具有較高的性能和可靠性。</p><p>　　核心設備建議采用H3C的S9500系列高端萬兆路由交換機。</p

51、><p>　　火炬大廈內網采用雙核心結構，選用12個業(yè)務插槽的S9512，2臺交換機之間采用1000M雙絞線連接，2臺核心交換機可以運行在主備模式或者負載分擔模式。</p><p>　　火炬大廈互聯網則采用單核心結構，考慮到擴展性，選用12個業(yè)務插槽的S9512，配置雙處理引擎，核心交換機與匯聚層交換機之間通過1000M多模光纖連接。</p><p>　　在內網核心層交

52、換機上配置高性能的流量分析業(yè)務板卡，可以對流經核心交換機的流量進行收集并聚合，配合Xlog分析軟件可以對基于應用層信息對流量進行分析，形成報表，以便網管人員對整個網絡進行可視化管理，詳細設計請見流量分析章節(jié)。</p><p><b>　　3.52匯聚層</b></p><p>　　考慮到火炬大廈樓層的分布，在內外網分別部署6臺12臺匯聚交換機。匯聚層的作用主要有3個方

53、面：第一，將數量眾多的接入層設備匯接起來，可以按照電井位置或部門位置萊進行匯接，方便布線；第二，作為本區(qū)域終端的VLAN終結點，將部分本地流量控制在匯聚交換機上，減輕核心交換機的流量壓力；第三，匯聚交換機與核心交換機之間采用三層連接，可以在匯聚交換機上設置本區(qū)域的路由及訪問控制策略，便于管理。</p><p>　　在匯聚層建議采用H3C的S7506R多業(yè)務路由交換機，通過配置相應的千兆接口連接核心交換機和接入交換

54、機，S7506R本身具備萬兆升級能力，支持雙引擎。</p><p><b>　　3.53接入層</b></p><p>　　接入層分為2個部分，一部分為樓層普通PC終端的接入，接入交換機選用H3C的S3600SI系列，采用100M到桌面，上行1000M光纖連接核心交換機。</p><p>　　S3600SI交換機提供高密度的24或48個10/1

55、00Base-T以太網端口，支持千兆上行，并且支持智能堆疊堆疊；多樣的隊列調度滿足高級QoS、更為精細的流分類、限速粒度和組播服務，實現網絡控制和帶寬優(yōu)化；為網絡提供了更多的智能特性，如基于策略的VLAN、支持基于端口／流／MAC／VLAN鏡像、增強的ACL和端口安全功能等；更加多樣化的管理和豐富的特性。</p><p>　　S3600SI還支持ARP入侵檢測功能，通過與DHCPSnooping功能配合，可以動態(tài)

56、綁定接入用戶的IP-MAC對應表，以防止非法ARP報文的攻擊。</p><p><b>　　3.6無線接入方案</b></p><p>　　火炬大廈無線覆蓋存在接入點眾多，分布零散的特點，在部署AP時，需要考慮大規(guī)模AP的管理問題，因此，我們建議采用FitAP的組網模式：在外網核心交換機上增加1塊無線控制器板卡，充分利用核心交換機的高可靠設計。在熱點覆蓋區(qū)部署WLAN

57、接入點APWA2110，根據覆蓋區(qū)域的特點，可以靈活選用不同類型的天線，以適應吸頂或壁掛等需求。</p><p>　　采用H3CFitAP覆蓋方案具有以下特點：</p><p><b>　　1）方便部署</b></p><p>　　一般而言，對網絡的改造和升級是一個大工程，不但在網絡升級期間，網絡無法使用，甚至需要對原有的有線網絡重新規(guī)劃和部署

58、。H3C公司FITAP解決方案，采用集中式架構，在原有網絡增加無線功能時，可以輕松地把原來有線企業(yè)網絡，在不改變其網絡的原有規(guī)劃和部署的情況下，甚至不需要中斷原有網絡就可以輕松疊加一個無線網絡，該無線網絡和原有的有線網絡可以形成有線無線一體化的接入方案，這種保護客戶已有投資的升級方法，可以大大減少網絡升級和部署的成本。</p><p>　　2）易于管理、AP“零配置”</p><p>　　

59、傳統無線網絡的部署需要網絡管理員對網絡中的每一個AP進行逐一配置，當無線網絡規(guī)模較大時網絡管理員往往要配置上百個AP，工作量巨大，且容易出錯。而采用無線控制器和FITAP配合組網時，只需要在無線控制器上對一類相同屬性的AP建立配置模板，AP在啟動時可以自動從無線控制器上下載最新的配置文件。另外，由于AP本身不保存任何配置，萬一設備丟失，也可以保證網絡配置不被竊取。AP支持啟動后自動獲取IP地址、自動獲取AC的工作列表并自動和AC建立關聯

60、，真正做到了零配置，免維護，即插即用，極大地減輕了網絡管理員在部署網絡階段的維護工作量。當網絡正常運行以后，無線控制器對所管理的AP以及AP所接入的用戶進行實時監(jiān)控，并能將這些信息實時上報給網管。維護人員可以指定AP或用戶進行在線服務策略設定和安全策略設定，使網絡配置策略更加靈活。</p><p><b>　　3）方便升級</b></p><p>　　WA2110-A

61、G還支持軟件自動更新功能，在其每次重新啟動時會自動比較當前運行的版本和無線控制器上保存的版本，如果無線控制器上保存的版本更新，WA2110-AG會自動更新本地的軟件映像，軟件升級不再需要網管人員的干預。</p><p><b>　　4）三層漫游</b></p><p>　　H3CWX5002系列無線控制器支持三層漫游，并支持快速漫游，漫游切換時間小于50ms，滿足對切

62、換時間要求最苛刻的語音業(yè)務。</p><p><b>　　5）支持虛擬AP</b></p><p>　　WA2110-AG支持多SSID實現虛擬AP特性，每個SSID可對應不同的VLAN、從而對于每一個SSID可以實現不同的網絡服務及認證方式。該特性使管理員可以方便的為不同用戶群、不同的業(yè)務制定區(qū)分的服務策略。</p><p>　　6）豐富的R

63、F管理和安全</p><p>　　RF管理功能，可以使得無線網絡的布網靈活性大大增強，網絡的可維護性得到很大的提高。AP的功率調整和信道切換是網絡部署和調試時不可缺少的重要手段，信道和功率還需要按照國家代碼自動設置，H3CWX5002系列無線控制器的RF管理功能使得網絡部署非常簡單。RSSI/SNR的不斷更新，更是讓系統可以適時了解每一個無線用戶所處電磁環(huán)境的好壞、離AP的距離，從而可以采取相應的策略來提升網絡可

64、用性。</p><p>　　7）支持智能的負載均衡</p><p>　　支持按接入用戶數量和流量的復雜均衡方式，當無線控制器發(fā)現AP的負載超過設定的門限值以后，對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負載較輕的AP可供用戶接入，如果有則AP會拒絕用戶的關聯請求，用戶會轉而接入其他負載較輕的AP，但如果無線用戶不在AP的重疊覆蓋區(qū)內，傳統的負載均衡方式往往會導致連接不上網絡，造

65、成誤均衡。H3C公司創(chuàng)新性地支持智能負載均衡技術，保證只對處于AP覆蓋重疊區(qū)的無線用戶才啟動AP負載均衡功能，有效的避免誤均衡的出現，從而最大限度的提高了無線網絡容量。</p><p><b>　　8）IPv6</b></p><p>　　WX5002實現了IPv4/IPv6雙協議棧。AP和無線控制器之間可以穿過IPv6網絡互聯，從而使組網方式更加靈活，可以滿足今后網

66、絡發(fā)展的需要，保護用戶投資。</p><p><b>　　9）完善的QoS</b></p><p>　　WX5002系列無線控制器基于H3C公司最新的ComwareV5平臺開發(fā)，不但對Diff-Serv標準進行了完善，同時還增加了對IPv6協議的QoS支持。QoSDiff-Serv模型中主要包括流分類、流量監(jiān)管（Policing）、隊列管理、隊列調度（Scheduli

67、ng）等，完整實現了標準中定義的EF、AF1～AF4、BE等六組PHB及業(yè)務，可為用戶提供具有不同服務質量等級的服務保證，真正成為同時承載數據、語音和視頻業(yè)務的綜合網絡。</p><p>　　3.7有線無線一體化的網管系統</p><p>　　Quidview是H3C公司自主研發(fā)的新一代網絡管理系統。Quidview采用組件化結構設計，通過安裝不同的業(yè)務組件實現了設備管理、軟件升級管理、配

68、置文件管理、告警管理、性能管理等功能。無論對于企業(yè)網、校園網、園區(qū)網用戶還是各大運營商，Quidview都可以提供完善的解決方案，方便用戶監(jiān)控、維護、管理各自的網絡。H3CWX5002系列無線控制器提供本地維護、遠程維護、集中維護等多種維護手段，并提供完備的告警、測試、診斷、跟蹤、日志等功能，方便用戶的日常維護管理。</p><p>　　在局域網與廣域網的連接部分，建議部署安全設備，可以采用防火墻實現訪問控制和安

69、全保護。根據內外網數據流量及功能的不同，建議使用不同檔次的防火墻設備。</p><p>　　內網防火墻建議采用H3C的SecPathF1000-A，外網使用H3C的SecPathF1800-A，F1000/F1800支持外部攻擊防范、內網安全、流量監(jiān)控、郵件過濾、網頁過濾、應用層過濾等功能，能夠有效的保證網絡的安全；采用ASPF（ApplicationSpecificPacketFilter）應用狀態(tài)檢測技術，可

70、對連接狀態(tài)過程和異常命令進行檢測；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網絡管理監(jiān)控，協助網絡管理員完成網絡的安全管理。</p><p>　　對于應用層（七層）威脅的防御，建議在出口增加防病毒網關，在互聯網的連接出對通過SMTP、HTTP、POP3、FTP等協議傳播的病毒進行過濾，保證內網不受這些病毒的影響。</p><p><b>　　H3C方案特點<

71、;/b></p><p>　　H3C提供全面的網絡解決方案，為火炬大廈內外網提供高性能、可擴展、可管理、高安全的網絡，H3C網絡解決方案有如下特點：</p><p>　　集成安全：網絡設備具備豐富的安全特性，并可擴展防火墻、VPN等插卡，實現網絡和安全融合。</p><p>　　深度安全：防火墻集成病毒防護功能，可提供應用層（L7）的威脅抵御。</p&g

72、t;<p>　　智能管理：網絡管理采用業(yè)界創(chuàng)新設計，使用智能管理中心將設備資源（路由器、交換機、防火墻）、用戶（PC、服務器）和網絡業(yè)務（安全接入業(yè)務、ACL管理、MPLSVPN）整合，實現了真正的智能性。</p><p>　　3.8網絡流量分析系統（NTA）</p><p>　　為克服現有網管系統對網絡流量和流向分析功能的技術局限性，火炬大廈IT管理部門迫切需要尋找一種功能

73、豐富，成熟穩(wěn)定的新技術對現有管理系統中管理信息的采集和分析方式進行改造和升級。新的信息采集和分析技術還需要對火炬大廈的運行網絡影響小，無需對網絡拓撲進行改變就能平滑升級。而且新的信息采集和分析技術應該即可以對網絡中各個鏈路的帶寬使用率進行統計，也可以對每條鏈路上傳輸不同類型業(yè)務的流量和流向進行分析和統計。</p><p>　　作為IT業(yè)界的網絡解決方案提供商，H3C公司不但提供了性能卓越的網絡設備，還同步配套研發(fā)

74、了專門針對客戶對網絡流量和流向分析需求的NetStream技術，NetStream技術是一種基于網絡流信息的統計與發(fā)布技術，它可以對網絡中的通信量和資源使用情況進行分類和統計，基于各種業(yè)務和不同的應用進行分析。</p><p>　　在理解H3C公司的網絡流量分析（NetworkTrafficAnalysis）解決方案之前，首先需要了解NetStream的一些基本概念，它們是該解決方案的基礎。</p>

75、<p>　　3.81 NetStream技術</p><p>　　為對火炬大廈網絡中不同類型的業(yè)務流進行準確的流量和流向分析與計量，首先需要對網絡中傳輸的各種類型數據包進行區(qū)分。由于IP網絡的非面向連接特性，網絡中不同類型業(yè)務的通信可能是任意一臺終端設備向另一臺終端設備發(fā)送的一組IP數據包，這組數據包實際上就構成火炬大廈網絡中某種業(yè)務的一個數據流（stream）。H3C公司的NetStream正是基

76、于這種“流”概念，定義了路由器/交換機輸出網絡流量的統計數據的方法，路由器/交換機對通過其的IP數據包進行統計和分析，并上報給數據采集器，采集器經過一定的聚合策略后，把統計數據傳送到中心服務器，經合并處理后存入數據庫，并進行進一步的分析處理。通過對上述原始、詳細的基本IP數據流進行分析，準確把握網絡運行狀態(tài)，準實時發(fā)現網絡異常情況并進行處理，也能支持面對業(yè)務應用的精細管理和計費。NetStream技術可利用網絡中數據流創(chuàng)造價值，并可在最

77、大限度減小對路由器/交換機性能的影響的前提下提供詳細的數據流統計信息。</p><p>　　圖3.81 NetStream處理流程</p><p>　　NetStream的流定義為在源、目的端點間的一系列單方向的數據包，端點由IP地址和傳輸層的端口號決定，此外，NetStream還使用了IP協議類型、ToS和輸入接口來唯一地標識一個流，即如下的七元組：</p><p&g

78、t;　　源IP地址（SourceIPaddress）</p><p>　　目的IP地址（DestinationIPaddress）</p><p>　　源端口號（Sourceportnumber）</p><p>　　目的端口號（Destinationportnumber）</p><p>　　協議類型（Protocoltype）</p

79、><p>　　服務類型（Typeofservice）</p><p>　　輸入接口/輸出接口（Inputinterface/Outputinterface）</p><p>　　如果不同的包中的七元組中各域都匹配，那么所有這些包都將被視為屬于同一股流量。</p><p>　　3.82 NTA的邏輯組成</p><p>　　

80、NTA解決方案包括：網流采樣設備（NetTrafficExporter）、網流采集設備（NetTrafficCollector）、數據分析處理設備（NetTrafficProcessor），三個設備之間的關系如下圖所示：</p><p>　　NTE負責流量的采集和發(fā)送，NTC設備負責收集和存儲NTE發(fā)來的流量統計數據信息；NTP從數據庫中獲取收集到的數據，經分析加工后以直觀的圖表、報表等方式為網絡規(guī)劃、網絡優(yōu)化、

81、網絡監(jiān)控、應用監(jiān)控等提供直接的數據依據。</p><p>　　NetTrafficExporter</p><p>　　提供NetStream技術接口的網絡設備（H3C的S9500/S7500系列交換機等），負責對設備各個端口進出的網絡報文進行流分類統計，然后打包輸出。</p><p>　　NetTrafficCollector</p><p&g

82、t;　　NTC可以采集多個NTE設備輸出的數據，對數據進行過濾和聚合，并將數據存儲在數據庫中供分析處理。</p><p>　　NetTrafficProcessor</p><p>　　NTP是一個網絡流量的分析工具，對采集來的流量數據，根據不用的應用進行詳細的分析處理。使用SQL數據庫為中心的分布式數據集中和分析的方法，可以獲得更好的分析樣本以及統計粒度。為便于網絡管理人員的操作，采用基

83、于Web的直觀的、圖形化的管理界面，所有數據輸出都以腳本語言（XML）的形式，直接在Web頁面中顯示。</p><p>　　3.83 NTA系統功能</p><p>　　NTE設備提供以下的功能：</p><p>　　支持按七元組（源IP、目的IP、源端口號、目的端口號、IP協議類型、IPTOS、接口信息）建立NetStream流</p><p&

84、gt;　　支持對流進行信息記錄和統計，統計的信息有：</p><p>　　流量信息：包括包數、字節(jié)數</p><p>　　時間段信息：流起始時間、流結束時間</p><p>　　QoS信息：ToS、協議類型、TCP的連接標志</p><p>　　起至信息：源IP、目的IP</p><p>　　應用信息：源端口、目的端口

85、、協議類型</p><p>　　路由和對等體信息：下一跳地址、源AS號、目的AS號、源地址掩碼、目的地址掩碼</p><p>　　網絡設備支持NetStream有兩種方式，硬件單板和軟件方式。這兩種方式的區(qū)別在于，因為有獨立的硬件單板實現IP數據流的NetStream數據提取和統計，因此采用此方式對設備的轉發(fā)性能影響小，而采用軟件方式實現對設備的轉發(fā)性能影響較大，因此推薦采用硬件單板的實現

86、方式，對于數據流量較大的情況，還可以進行采樣的方式，進一步減輕對設備轉發(fā)性能的影響。</p><p><b>　　NTC功能</b></p><p>　　NTC的主要功能是為一個或多個NTE上報的NetStream數據進行采集，用戶在NTE設備上配置NTC的IP地址和端口后，NTC設備就能夠接收NTE設備上報的NetStream數據。NTC設備實現的功能包括如下：&l

87、t;/p><p>　　數據采集：支持對多個NTE流統計數據的收集，同時支持NetStreamV5、V9</p><p>　　數據過濾：基于預置的規(guī)則對數據進行篩選</p><p>　　數據聚合：對過濾后的數據進行聚合，將一段時間內的一系列記錄聚合為一條記錄，降低入庫數據量</p><p>　　數據入庫：不同粒度高速批量入庫</p>

88、<p><b>　　NTP功能</b></p><p>　　NTP對NTC生成的所有數據進行分析，對數據進行二次聚合、統計分析，分析的結果以圖表方式（柱狀圖、餅圖、直方圖、統計信息表格等）展示給用戶，通過這些統計報表用戶可以監(jiān)控網絡使用狀況、應用使用狀況、用戶網絡訪問行為，并可監(jiān)控到流量異常狀況并可以進一步做分析。</p><p><b>　　報表

89、功能</b></p><p>　　用戶可根據統計分析的需求，自定義報表生成規(guī)則，由報表引擎生成報表，并將統計分析的結果以柱狀圖、餅圖、曲線圖、統計信息表格等直觀的形態(tài)展示出來。</p><p>　　當前實現的報表功能列表和簡要說明如下：</p><p><b>　　表1NTA報表功能</b></p><p>

90、<b>　　4網絡級可靠性設計</b></p><p>　　4.1網絡可靠性設計</p><p>　　網絡的可靠性最終要從設備，鏈路級可靠，網絡，業(yè)務等各層次保證。</p><p>　　4.2設備級可靠性設計</p><p>　　火炬大廈網絡系統的設備級可靠性主要從設備自身可靠性，設備間熱備份幾個個方面考慮：</p

91、><p>　　網絡中的關鍵設備，如各核心交換機等，應該具備電信級可靠性：</p><p>　　可靠性指標必須達到99.999%。</p><p>　　網絡核心設備采用全分布式體系結構，路由與轉發(fā)分離。</p><p>　　所有關鍵器件，如主控板、交換網、電源等都采用冗余設計，業(yè)務模塊支持熱插拔。</p><p>　　網絡核

92、心設備無源背板，采用無源器件的背板，可靠性更高。</p><p>　　網絡核心設備支持不間斷轉發(fā)，主控板熱備份。主備倒換過程不影響業(yè)務轉發(fā)，不丟包。</p><p>　　網絡核心設備支持軟件在線升級，升級過程中業(yè)務不中斷。</p><p>　　網絡核心設備支持軟件熱補丁，打補丁過程中主控板和接口板都不需要重啟動，業(yè)務不中斷。</p><p>

93、　　本次選用的S9500采用分布式體系結構，所有關鍵部件采用冗余設計，包括主控板、交換網、電源和風扇等；采用無源背板設計，避免機箱出現單點故障；所有單板支持熱插拔功能，并且對其它單板上運行的業(yè)務無影響。</p><p>　　S9500還支持OSPF/IS-IS/BGP的優(yōu)雅重啟技術（GracefulRestart），可以實現用戶業(yè)務的不間斷轉發(fā)；支持動態(tài)路由協議、跨板端口聚合、虛擬路由冗余協議（VRRP）等保護機

94、制，有效保證全網高速可靠運行。</p><p>　　4.3雙星型的網絡拓撲</p><p>　　火炬大廈內網系統實際上采用的是雙星型拓撲，以核心交換機為中心，所有接入設備均采用雙鏈路上行。</p><p>　　4.4適當采用鏈路捆綁技術</p><p>　　對可靠性要求較高的鏈路，如核心交換機之間以及服務器交換機與核心交換機之間，可以考慮采用

95、鏈路捆綁技術：</p><p>　　局域網中，在關鍵鏈路上采用EthernetTrunk技術，即將多個ethernetlink捆綁為一條Trunk鏈路，該Trunk鏈路在設備上對應為一個邏輯接口，在路由表中只有一項，其下一跳是這個邏輯接口，當報文需要經這個邏輯接口轉發(fā)時，路由表信息指示這個接口是邏輯接口，轉發(fā)部件選擇一個實際物理出接口，因此當TRUNK中的某一鏈路故障時，只需要更新TRUNK表，而不影響需要更新秒

96、級收斂的路由表，大大提高了故障恢復的能力。</p><p>　　4.5采用VRRP技術</p><p>　　對于現有網絡部分的二層Trunk連接，采用VRRP的備份方案，對于每一個VLAN，都在2臺核心交換機上建立一個VRRP備份組：</p><p>　　如上圖所示，針對VLAN1，建立VRRP組Group1，Group1中包含2個設備上為VLAN1的網關地址，分別

97、為主設備上的192.168.1.2和備用設備S7506E上的192.168.1.3，Group1虛擬出1個VLAN1的IP地址192.168.1.1，對于VLAN1中的PC終端，網關地址設為192.168.1.1。</p><p>　　對于下級設備而言，VLAN1的接口地址為192.168.1.1，備份組將為該地址指定一個對應關系，在Group1中，所有發(fā)往VLAN1接口地址的數據包都將發(fā)往Group1指定的Ma

98、ster設備上的192.168.1.2接口地址上，一旦Master設備出現故障，Group1將自動切換Master設備，將指定為Master設備，那么故障發(fā)生后的數據包將發(fā)往備用設備上的192.168.1.3接口，從而實現設備的備份。</p><p>　　4.6系統安全性的實現</p><p>　　在系統中,我們根據用戶網絡安全需求,在與INTERNET外部網連接時采用防火墻軟件及路由器內

99、部NAT地址轉換(放火墻可在后期擴展中采用),保證了內部網絡的安全,.并根據用戶需要在網絡中設置必要的訪問控制做到網絡安全的全面控制；并采用VLAN等技術進一步控制內部網絡安全，采用撥號用戶的身份驗證控制撥號用戶的安全性，采用雙機備份或冗余連接、網卡容錯、數據庫容錯、定期備份等實現安全可靠性。</p><p>　　4.7網絡可靠管理的實現</p><p>　　我們使用的所有設備都是可網管的

100、,而且提供了CISCOWORKS的網管軟件,可提供全方位的網管功能.</p><p><b>　　5相關產品簡介</b></p><p>　　5.1 Catalyst5500核心交換機</p><p>　　CiscoCatalyst5500不但建立在屢獲大獎的Catalyst5000和LightStream1010交換機體系結構基礎上，還在同一

101、個平臺上集成了基于Cisco網間網操作系統（CiscoIOS）的路由技術。</p><p>　　這兩種最佳技術的完美結合不但建立了強有利的平臺，而且還進一步完善了Catalyst交換機系列。Catalyst5500采用了千兆級以太網體系結構，這種結構體系可擴充到50Gbps，吞吐量高達數千萬PPS，因而可提供建立大型交換式內部網所需的擴展性、靈活性和冗余性，并可用于布線室和骨干網應用。</p>&l

102、t;p>　　5.2 建立內部網基礎設施</p><p>　　Catalyst5500是Cisco的新型高檔模塊化交換平臺，它能夠滿足今天就需要且發(fā)展很快的企業(yè)內部網的需求。同時新的Catalyst5500還能將現有的Catalyst5000和Lightstream1010接口模塊順滑的集成到新的Catalyst5500機柜中，從而保護客戶在當前Cisco產品上的投資。</p><p>

103、;　　不依賴介質的體系結構通過各種以太網、快速以太網、光纖分布式數據接口（FDDI）令牌環(huán)網和ATM交換機模塊支持所有遺留的LAN和異步傳輸模塊（ATM）交換技術。根據所配備模塊的不同，Catalyst5500可作為功能豐富的可伸縮快速以太網或ATM交換機用于骨干網應用中，也可在布線室應用中支持各種交換式以太網或令牌環(huán)網模塊，在同一平臺上提供500個以上的端口密度。</p><p>　　Gb級體系結構支持當前的F

104、astEtherChannel，可在Catalyst5002/5000和5500交換機之間提供高達800Mbps(全雙工)的負載共享的冗余的點到點連接、交換機到路由器的連接以及交換機到服務器的連接。借助為支持Gb級以太網上行鏈路Gb級以太網交換機模塊和Gb級EtherChannel而提供的明確移植路徑，Catalyst5500能夠提供大型園區(qū)網所需的帶寬和擴展性。</p><p>　　Router/Switch模

105、塊上提供對Cisco的IOS多協議路由選擇的完全集成支持。此模塊在Catalyst5000系列中提供企業(yè)網IOS路由選擇性能。</p><p>　　Catalyst5500的監(jiān)測工具上設有一塊模塊化性能卡，它的用途是支持Cisco的分布式網絡流交換(NetflowSwitching)，從而在監(jiān)測工具上提供高速多層交換。Router/Switching模塊和網絡流交換(NetflowSwitching)性能卡的結合

106、能夠提供CiscoFusion的承諾，即將交換的速度和便捷與路由選擇的智能和擴展性結合到同一個平臺上。</p><p>　　借助其對可熱插拔模塊、電源供應和風扇的支持，Catalyst5500機柜可為生產網絡提供高可用性。雙冗余交換工具、電源供應和被動背板設計可為關鍵任務環(huán)境保證全面系統冗余。</p><p>　　Catalyst5500機柜采用標準的19英寸背板，所有系統部件都可以從機柜

107、的同一側看到。只需一套電源就可以運行完全配置的系統。</p><p>　　5.3 提供成套的綜合內部網服務</p><p>　　作為解決方案的一部分，Catalyst5500能夠提供全套內部網服務，以便提供大型內部網所需的應用程序完整性，因而很適用于建立大型企業(yè)內部網。這些服務有助于及時、優(yōu)質的為企業(yè)內部網中的臺式機提供應用軟件。</p><p>　　通過PIM、I

108、GMP和Cisco工作組管理協議（CGMP）實現的有效的內部網多媒體和多點廣播支持可為多媒體和多點廣播應用提供可擴展的端到端帶寬。</p><p>　　未來將通過將資源保留協議（RSVP）映射到Catalyst5500優(yōu)先級序列的方法支持為每臺臺式機設定的服務級別，以保證及時提供時間敏感型內部網應用軟件。</p><p>　　網絡冗余通過Catalyst5500系列支持的設備、鏈路和網絡服

109、務冗余的結合實現。設備冗余借助對交換工具、電源供應和Route/Switch模塊的支持提供，鏈路冗余在Cisco的雙物理ATM模塊上實施、在FastEtherChannel中集成冗余并在所有VLAN中級鏈路上支持。網絡服務冗余則通過以每個VLAN為基礎的ATM簡單服務器冗余協議（SSRP）、HSRP和對生成樹協議的支持實現。</p><p>　　內部網中的安全性借助安全端口篩選支持，以便只允許單個端口訪問某些工作

110、站。終端訪問控制器訪問控制系統(TACACS)可防止對安全環(huán)境中的交換機進行非授權訪問。</p><p>　　內部網中的移動或“移動-添加-更改”借助DHCP、DNS以及為實現可伸縮優(yōu)化性能而提供的動態(tài)VLAN服務和分布式網絡流交換支持。</p><p><b>　　5.31內部網管理</b></p><p>　　Catalyst5500提供一

111、整套管理工具以便提供網絡中所需的可視性和控制。</p><p>　　可借助CiscoWorksforSwitchedInternetworks(CWSI)對Catalyst5500交換機進行配置和管理。以提供端到端設備、VLAN、流量、ATM和策略管理。</p><p>　　策略管理通過交換機上智能嵌入代理和強有力的網絡管理應用軟件CiscoWorksforSwitchedInternet