Cisco® Catalyst® 2960系列
Cisco® Catalyst® 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和千兆以太网连接,可为入门级企业、中型市场和分支机构网络提供增强LAN服务。Catalyst 2960系列具有集成安全特性,包括网络准入控制(NAC)、高级服务质量(QoS)和永续性,可为网络边缘提供智能服务。
Cisco Catalyst 2960系列提供:
为网络边缘提供了智能特性,如先进的访问控制列表 (ACL)和增强安全特性
双介质上行链路端口提供了千兆以太网上行链路灵活性,可以使用铜缆或光纤上行链路端口—每个介质上行链路端口都有一个10/100/1000以太网端口和一个小型可插拔(SFP)千兆以太网端口,在使用时其中一个端口激活,但不能同时使用这两个端口
通过高级QoS、精确速率限制、ACL和组播服务,实现了网络控制和带宽优化
通过多种验证方法、数据加密技术和基于用户、端口和MAC地址的网络准入控制,实现了网络安全性
通过思科网络助理,简化了网络配置、升级和故障诊断
使用Smartports自动配置特定应用
配置
Cisco Catalyst 2960系列包括以下交换机(如图1所示):
Cisco Catalyst 2960系列软件镜像提供了一系列丰富的智能服务,包括高级QoS、速率限制和ACL。SFP千兆以太网端口可安装多种SFP收发器,包括Cisco 1000BASE-SX、1000BASE-LX、1000BASE-BX、1000BASE-ZX、100BASE-FX、100BASE-LX10、100BASE-BX和粗波分多路复用 (CWDM) SFP收发器。
千兆以太网
千兆以太网以1000 Mbps的速度,提供了可满足新网络和扩展网络的需求的带宽,消除了瓶颈,提升了性能,同时提高了现有基础设施投资的回报。目前,工作人员都对网络有着更高需求,在网络上同时运行多个应用。例如,一位员工通过IP视频会议而参加小组会议,向与会者发送一个10MB的电子表格,将最新营销视频广播给整个小组以供评估,此外还查询客户关系管理(CRM)数据库,以获得最新实时反馈。同时,后台开始了一个多GB的系统备份,并向客户端提供最新防病毒软件的升级。
网络智能性
当今的网络正在不断发展,在网络边缘出现了四种新趋势:
这些新需求正与许多已有关键任务应用争夺资源。因此,IT专业人员必须将网络边缘看作有效管理信息和应用的提供的关键。
随着公司日益依赖网络,将其作为战略性业务基础设施,确保网络的高可用性、安全性、可扩展性和对它的全面控制就比以前更为重要。通过为LAN接入添加思科智能功能,客户现可部署遍布整个网络的智能服务,从而一致地满足从桌面到核心再到WAN的要求。
通过Cisco Catalyst智能以太网交换机,思科可帮助公司获得向其网络添加智能服务的全面优势。为进一步优化网络运行,部署具备以下特性的功能是十分关键的:能使网络基础设施高度可用以达到关键时间要求、可扩展以便于公司发展、高度安全以保护保密信息,且能区分和控制流量。
增强安全性
凭借Cisco Catalyst 2960系列提供的广泛安全特性,企业可保护重要信息,防止未授权人员接入网络,确保私密性及维持不间断运行。
思科基于身份的网络服务(IBNS)解决方案提供了身份验证、访问控制和安全策略管理,可保护网络连接和资源。Catalyst 2960系列中的IBNS可防止未授权接入,并确保用户只获得其指定权利。它能动态管理网络接入的具体层次。使用802.1x标准和思科安全访问控制服务器(ACS),无论用户在何处连接到网络中,都可在验证基础上分配到一个VLAN。此设置使IT部门能在不影响用户移动性的情况下,以最低管理开销实施强大的安全策略。
为防止拒绝服务攻击和其他攻击,可用ACL根据源和目的地MAC地址、IP地址或TCP/UDP端口来拒绝分组,从而限制对网络敏感部分的访问。ACL查询在硬件中完成,故此在实施基于ACL的安全性时不会影响转发性能。
端口安全性可根据与以太网端口相连的设备的MAC地址,来限制以太网端口上的访问。它也可用于限制插入一个交换机端口的总设备数目,因此可使交换机免遭MAC泛洪攻击,降低了恶意无线接入点或集线器接入的风险。
凭借动态主机配置协议(DHCP)监听,可以只允许来自不可信用户端口的DHCP请求(但不允许响应)进入网络,从而防止DHCP电子欺骗。此外,DHCP接口跟踪器(选项82) 特性可为主机IP地址请求添加交换机端口ID,有助于实现对于IP地址分配的精确控制。
MAC地址通知特性可向管理站发送报警,从而监控网络和跟踪用户,以使网络管理员知道用户何时、从何处进入网络。SSHv2和SNMPv3对管理和网络管理信息加密,保护网络免遭干扰或窃听。TACACS+或RADIUS验证实现了交换机的集中访问控制,并限制未授权用户改变配置。此外,可在交换机上配置本地用户名和密码数据库。交换机控制台上的15个授权级别和Web管理界面上的2个级别提供了向不同管理员分配不同配置功能级别的能力。
可用性和可扩展性
Cisco Catalyst 2960系列配备了强大的特性集,通过组播过滤和旨在第二层网络中提供最高可用性的全套生成树协议改进,实现了网络可扩展性及更高可用性。
对标准生成树协议的改进,如PVST+、UplinkFast和PortFast,可实现最长网络正常运行时间。PVST+可在冗余链路上进行第二层负载共享,以有效使用冗余设计中的额外容量。UplinkFast、PortFast和BackboneFast都大大缩减了标准的30到60秒生成树协议收敛时间。Flexlink提供了不到100ms的双向、快速收敛。对环路保护和网桥协议数据单元(BPDU)保护的增强避免了生成树协议环路的出现。
高级QoS
Cisco Catalyst 2960提供了出色的多层QoS特性,确保网络流量进行了分类和优先级划分,并以最好的方式避免了拥塞。QoS的配置通过自动QoS(Auto QoS)大大得到了简化,这是一个可发现思科IP电话并自动配置交换机以进行正确分类和输出排序的特性。这优化了流量优先级划分和网络可用性,且不会带来复杂配置的问题。
Catalyst 2960可对进入的分组分类、再分类、监管、标记、排序和排程,并能在出口处对分组排序和排程。分组分类使网络元素可区分不同流量,并根据第二层和第三层QoS实施策略。
为实现QoS,Catalyst 2960系列交换机首先确认分组或流量组,再使用DSCP字段或802.1p服务级别(CoS)字段对这些组分类和再分类。分类和再分类可根据源或目的地IP地址、源或目的地MAC地址或者第4层TCP/UDP端口等标准进行。在入口,Catalyst 2960也将进行监管,以确定分组是在小组内还是在小组外,标记以改变分类标签,传输或丢弃小组分组,并根据类别对分组排序。所有端口上都支持控制平面和数据平面ACL,确保每个分组得到正确的处理。
Cisco Catalyst 2960支持每端口4个输出队列,使网络管理员能更好地进行控制,为LAN上的各种应用分配优先级。在出口,交换机执行排程和拥塞控制。排程是一种确定队列处理顺序的算法或进程。Catalyst 2960系列交换机支持整形循环(SRR)和严格优先级队列。SRR算法有助于确保个性化优先级划分。
这些QoS特性使网络管理员能将关键任务和带宽密集型流量划为较高优先级,其中包括企业资源规划(ERP)、语音(IP电话流量)和计算机辅助设计及制造(CAD/CAM)等,而将FTP或电子邮件等对应用划为较低优先级。例如,下载一个目的地为交换机上某一端口的大型文件,而这会增加目的地为此交换机上另一端口的语音流量的延迟,这种情况是用户极为不愿看到的。通过确保语音流量在网络中得到正确分类和优先级划分,可避免此情况。Web浏览等其他应用则可作为较低优先级对待。
Catalyst 2960系列能通过对思科承诺信息速率(CIR)功能的支持而执行速率限制。通过CIR,能以低至8kbps的增量保证带宽。带宽的分配根据若干标准进行,包括MAC源地址、MAC目的地地址、IP源地址、IP目的地地址和TCP/UDP端口号。在需服务级别协议的网络环境中或需控制授予某些用户的带宽时,带宽分配非常重要。
管理
新的思科快速设置特性简化了交换机的初始配置。用户现可选择通过Web浏览器设置交换机,无需更多复杂的终端模拟程序和命令行界面(CLI)。快速设置允许没有丰富技术知识的人员简单、快速地设置交换机,从而降低了部署成本。
思科网络助理是一个基于PC的网络管理应用,适用于用户数目不超过250名的LAN。思科网络助理为思科交换机、路由器和WLAN接入点提供了集中管理。它支持范围广泛的Cisco Catalyst 智能交换机-从Cisco Catalyst 2960直至Cisco Catalyst 4506。通过一个便于使用的GUI,用户可以配置和管理多种交换机功能,启动思科路由器和思科无线接入点的设备管理器。只需点击几次鼠标,即能实施思科建议的安全性、可用性和QoS特性,无需查询具体的设计指南。安全向导可自动限制对于有敏感数据的服务器的未授权访问。Smartports和向导能节约网络管理员数小时的时间、消除人为错误,并有助于确保交换机的配置针对这些应用进行了优化。思科网络助理可从思科网站上免费下载。
除思科网络助理之外,Catalyst 2960系列交换机还使用CiscoWorks for Switched Internetworks等SNMP网络管理平台实现了扩展管理。通过CiscoWorks,可配置和管理Cisco Catalyst交换机,提供端到端的设备、VLAN、流量和策略管理。此外,一款基于Web的管理工具,CiscoWorks Resource Manager Essentials,能进行自动库收集、软件部署、方便地跟踪网络变化、查看设备可用性和快速隔离故障区。
表1列出了Cisco Catalyst 2960系列的特性和优点。表2为硬件规格,表3为电源规格,表4列出了管理和标准支持,表5则提供了安全和法规符合性消息。
表1 Cisco Catalyst 2960系列的特性和优点 |
特性 | 优点 |
便于使用和部署 | 快速设置通过Web浏览器简化了初始配置,无需更复杂的终端模拟程序和CLI知识。 利用DHCP,由一个引导服务器对多个交换机进行自动配置,从而简化了交换机的部署。 自动的QoS(AutoQoS)可以通过发布用于检测思科IP电话、区分流量类别和配置出口队列的接口和全局交换机命令,简化VoIP网络的QoS设置。 每个10/100端口上的自动检测功能可以检测到所连设备的速度,并自动地将该端口设为10或100Mbps,从而可以在混有10和100 Mbps的环境中简化交换机的部署。 所有端口上的自动协商功能可以自动地选择半双工或者全双工传输模式,以优化带宽。 动态端口汇聚协议(DTP)可以在所有交换机端口上实现动态端口汇聚设置。 端口汇聚协议(PAgP)可以自动创建思科快速EtherChannel群组或者千兆位EtherChannel,以便连接到另外一个交换机、路由器或者服务器。 端口汇聚控制协议(LACP)让用户可以利用符合IEEE 802.3ad的设备创建以太网通道。这种功能类似于思科EtherChannel技术和PAgP。 DHCP服务器是一种方便的部署选择,适于在没有专用DHCP服务器的网络中分配IP地址。 DHCP中继让一个DHCP中继代理可以将DHCP请求广播到网络DHCP服务器。 1000BASE-SX、1000BASE-LX/LH、1000BASE-ZX、1000BASE-BX、 100BASE-FX、100BASE-LX10、100BASE-BX和粗波分(CWDM)物理接口可以通过一个可以现场更换的SFP模块,在交换机部署中提供前所未有的灵活性。 为了确保交换机可以迅速地连接到网络,并可以利用最低限度的人为干预传输流量,闪存中存有一个缺省的配置。 如果在铜缆端口上安装了某种错误的电缆类型(交叉或者直通),依赖于介质的接口交叉(自动MDIX)可以自动地调整发送和接收对。 时域反射计(TDR)可诊断并解决铜缆端口上的布线问题。
|
可用性和可扩展性 |
用于故障备份的出色冗余 | Cisco UplinkFast和BackboneFast技术可确保快速故障恢复,增强网络整体稳定性和可靠性。 IEEE 802.1w快速生成树协议可以提供独立于生成树计数器的快速生成树收敛和分布式处理的好处。 PVRST+可以在每个VLAN生成树的基础上实现快速生成树重新收敛,而不需要部署生成树实例。 思科网络助理软件所实现的命令交换机冗余让用户可以指定一个备用命令交换机,在主命令交换机发生故障时接管集群管理功能。 单向连接检测协议(UDLD)和主动UDLD让用户可检测或者禁用单向连接,以避免生成树环路等问题的发生。 交换机端口自动恢复(可禁止)可以自动尝试重新建立由于网络错误而禁用的连接。 思科冗余电源系统 675(RPS 675)支持可以为最多6个思科网络设备提供出色的内部电源冗余,从而提高容错性和网络正常运行时间。 通过思科千兆位EtherChannel技术和思科快速EtherChannel技术,带宽汇聚分别可以达到8Gbps和800Mbps,从而可以增强容错性,可以为交换机之间,以及交换机到路由器和单个服务器之间,提供更高的总带宽。
|
内部集成的Cisco IOS软件功能有助于优化带宽 | 基于单个端口的广播、组播和单播风暴控制可以防止发生故障的基站降低整个系统的性能。 IEEE 802.1d生成树协议支持冗余的骨干网连接和无环路的网络,从而可以简化网络配置,提高容错性。 PVST+可以在冗余连接上实现第二层负载共享,从而可以有效地利用冗余设计中的额外容量。 IEEE 802.1s MSTP可以建立针对单个VLAN的生成树实例,从而可以在冗余连接上实现第二层负载共享。 输出承诺速率(ECR)保证可以实现负载均衡和冗余。 ARP可以与专用VLAN边缘共用,最大限度地减少广播,增加可用带宽。 VLAN1最小化让用户可以在任何一个VLAN端口汇聚连接上禁用VLAN。 VTP修剪功能可以通过仅在用于连接目的地设备的端口汇聚连接上进行广播流量泛洪,限制VTP端口汇聚连接的带宽使用。 IGMPv3监听功能可以让客户端迅速地加入或者退出组播流,将占用带宽很高的视频流量只限提供给发出请求的用户。 IGMP过滤可过滤出非授权用户并限制每端口的同时组播流数,以提供组播验证。 MVR可以连续不断地在一个组播VLAN中发送组播流,同时由于带宽和安全原因将数据流和用户VLAN隔离开。
|
QoS和控制 |
高级QoS | 提供了802.1p CoS和DSCP现场分类,可以利用源和目的地IP地址、源和目的地MAC地址或者第四层TCP/UDP端口号进行基于单个分组的标记和重新分类。 所有端口上的思科控制平面和数据平面QoS ACL可以确保在单个分组的基础上进行正确的标记。 每个端口的4个输出队列让用户可以对堆叠中最多四种流量类型进行不同的管理。 SRR调度确保了用户可以通过智能化地服务于输入和输出队列,为数据流量提供不同的优先级。 加权队尾丢弃(WTD)可以在发生中断之前,为输入和输出队列提供拥塞避免功能。 严格优先级排序可以确保优先级最高的分组先于所有其他流量获得服务。 高度精确的QoS功能不会对性能造成任何影响。
|
精确的速率限制 | 思科CIR功能能够以低达1Mbps的精确度保障带宽。 速率限制基于源和目的地IP地址、源和目的地MAC地址、第四层TCP/UDP信息或者这些字段的任意组合,并利用QoS ACL(IP ACL或者MAC ACL)、级别图和策略图提供。 利用输入策略控制和输出整形,可以方便地管理来自于基站或者上行链路的异步上行和下行数据流。 每个快速以太网或者千兆以太网端口最多可以支持64个汇总或者单独策略控制器。
|
安全 |
覆盖整个网络的安全功能 | IEEE 802.1x可以实现动态的、基于端口的安全,提供用户身份认证功能。 带有VLAN分配功能的IEEE 802.1x可以为某个特定的用户提供一个动态的VLAN,而无论用户连接到什么地方。 支持语音VLAN的IEEE 802.1x允许一个IP电话接入语音VLAN,而无论端口是否经过授权。 IEEE 802.1x和端口安全可以对端口进行身份认证,并能管理所有MAC地址的网络接入权限,包括客户端的访问权限。 具有来宾VLAN的IEEE 802.1x允许没有IEEE 802.1x客户端的来宾对来宾VLAN进行有限的网络访问。 用于第二层接口的、基于端口的ACL(PRAC)让用户可以将安全策略用于各个交换机端口。 单播MAC过滤可通过一个匹配MAC地址来防止转发任意类型的分组。 未知单播和组播端口阻塞可过滤出交换机还未学会如何转发的分组,实现紧密控制。 SSHv2和SNMPv3可以通过在Telnet和SNMP连接中加密管理员流量,提供网络安全。由于美国出口法律的限制,SSHv2和SNMPv3的加密版本需要一种特殊的加密软件。 SPAN端口上的双向数据支持让思科安全入侵检测系统(IDS)可以在检测到某个入侵者时采取行动。 TACACS+和RADIUS身份认证可以对交换机进行集中控制,并防止未经授权的用户更改配置。 MAC地址通知让管理员可以在网络添加或者删除用户时获得通知。 DHCP监听让管理员可确保IP地址到MAC地址的一致映射。这可用于防止试图破坏DHCP绑定数据库的攻击,并对进入交换机端口的DHCP流量限速。 DHCP接口跟踪器(选项82)可为主机IP地址请求附上交换机端口ID。 端口安全可以根据MAC地址,保障对某个接入或者汇聚端口的访问权限。 在一段特定的时间之后,老化功能可以将MAC地址从交换机中删除,以便让另外一个设备连接到同一个端口。 可信边界可以在加入一个IT电话时提供QoS优先级设置,并在该IP电话被移除时禁用信任设置,从而防止恶意用户盗用网络的优先级策略。 控制台访问权限的多级安全可以防止未经授权的用户更改交换机配置。 可由用户选择的地址学习模式可以简化配置和加强安全。 BPDU保护装置可以在接收到用以避免偶然出现的拓扑环路的BPDU时,关闭支持生成树协议PortFast的接口。 STRG防止不处于网络管理员控制范围的边缘设备成为生成树协议根节点。 IGMP过滤可以通过滤除非指定用户的访问者,提供组播身份认证,限制每个端口上可用的并发组播流的数量。 动态VLAN通过部署VMPS客户端功能而获得支持,它可以在指定端口加入VLAN方面提供灵活性。动态VLAN可以实现IP地址的快速指派。 思科网络助理软件安全向导可以降低安全功能的部署难度,这些功能可以限制用户对于某个服务器或者部分或全部网络的访问权限。 支持512个ACE,分为两类:安全(384个安全ACL项和128个QoS策略),和QoS(128个个安全ACL项和384个QoS策略)。
|
可管理性 |
出色的可管理性 | Cisco IOS CLI支持可以为所有的思科路由器和Cisco Catalyst桌面交换机提供通用的用户界面和指令集。 思科服务保证代理(SAA)支持可以在整个LAN中进行服务级别的管理。 用于安全和QoS的交换数据库管理器模板让管理员可以根据针对部署的特定需求,方便地调整内存分配,更好地实现所需要的功能。 VLAN端口汇聚可以利用基于标准的802.1q标记,从任何一个端口创建。 每个交换机或者堆叠最多可以支持255个VLAN,每个交换机最多可以支持128个生成树实例。 支持4000个VLAN ID。 语音VLAN可以通过将语音流量放在一个单独的VLAN上,简化电话安装步骤,实现更加方便的管理和诊断。 思科VTP可以在所有交换机中支持动态的VLAN和动态的端口汇聚配置。 IGMPv3监听功能可以让客户端迅速地加入或者退出组播流,将占用带宽很高的视频流量仅传输到发出请求的用户。 远程SPAN(RSPAN)让管理员可以从一个第二层交换网络中的任何一台交换机远程监控同一个网络中另外一台交换机上的端口。 为了加强对流量的管理、监控和分析,内嵌远程监控(RMON)软件代理支持4个RMON群组(历史、统计、警报和事件)。 第二层跟踪路由程序可以通过确定某个分组从源到目的地所经过的物理途径,降低诊断难度。 所有RMON群组都可以通过一个RMON端口获得支持,它允许用户从一个单一的网络分析器或者RMON监测器监控某个端口、某组端口或者整个堆叠的流量。 DNS可以通过用户指定的设备名称解析IP地址。 TFTP可以通过从一个集中地点下载升级软件,降低软件升级的管理成本。 NTP可以为内联网中的所有交换机提供准确的、统一的时间。 每个端口上的多功能LED可以显示端口状态;半双工和全双工模式;10BASE-T、100BASE-T和1000BASE-T指示,交换机级状态LED可以用于显示系统、冗余电源、带宽的利用率,它们可以提供一个全面的、方便的可视管理系统。
|
思科网络助理软件 | 思科网络助理软件是一个基于Windows的免费应用,可简化用户数目不超过250名的网络的管理。它支持范围广泛的Cisco Catalyst智能交换机。凭借思科网络助理,用户可以管理Cisco Catalyst交换机,并启动思科集成多业务路由器和Cisco Aironet WLAN接入点的设备管理器。 易于使用的图形化界面提供了集群和堆叠的拓扑图和前面板视图。 思科AVVID(集成化语音、视频和数据架构)向导只需要用户输入少量信息,就可以自动地配置交换机,使其以最优的方式处理不同类型的流量:语音、视频、组播和高优先级数据。 它提供了一个安全向导,以限制未经授权的用户对于应用、服务器和网络的访问。 通过单击式升级,Cisco Catalyst交换机上的Cisco IOS软件升级只需点击鼠标即可完成。 经过扩展,思科CMS软件目前包括多层功能配置,例如路由协议、ACL和QoS参数。 思科网络助理支持多层特性配置,如路由协议、ACL和QoS参数等。 多设备和多端口配置功能让管理员可以通过同时设置多个交换机和端口的特性,节约大量的时间。 针对用户定制的界面让用户可以更改思科轮询周期、表格视图和其他设置。 警报通知功能可以针对网络故障和警报阈值自动发出电子邮件通知。
|
思科快速设置 | |
CiscoWorks支持 | CiscoWorks网络管理软件可以提供基于单个端口、单个交换机的管理功能,为思科路由器、交换机和集线器提供一个通用的管理界面。 SNMP v1、v2c和v3,以及Telnet接口支持,可以提供全面的带内管理。一个基于CLI的管理控制台可以提供精确的带外管理。 思科发现协议版本1和2可以建立一个能够自动发现交换机的CiscoWorks网络管理站。 CiscoWorks LAN管理解决方案支持Cisco Catalyst 2960系列。
|
公司代理网络产品:华为代理商 思科代理商 Juniper代理商 Aruba代理商 360网络安全 浪潮思科代理商
视频会议