cisco交换机模块介绍.doc

1000以上节点网络交换机：思科6509思科Catalyst 6509是带有9个插槽的交换机机箱，它可以加两个电源，可按需求配置不同功能类型的模块（如防火墙模块、入侵检测模块、VPN 模块、SSL 加速模块、网络流量分析模块等），更灵活应用在不同需求的网络设计平台上，提高稳定性及安全性。针对1000个以上节点的网络环境，本文介绍所配备的模块。新型Supervisor Engine 720的交换能力可达到400 Mpps，因而非常适合部署在高性能的核心层、数据中心和城域网中。由于使用同一套接口、操作系统和管理工具，Catalyst 6500系列监控引擎(Supervisor Engines)能提供操作一致性——可使用相同的备件，所有模块都具有可以预测的性能和多种功能。　　Cisco Catalyst 6509 Supervisor Engine 720模块典型应用 ? 典型应用一： 在企业、政府互联网出口处的应用 天融信网络卫士防火墙拥有透明、路由和混合三种工作模式，能够十分容易地布置在象政府行业这种公有地址和私有地址混合使用的复杂的网络环境里。如图所示，以公有地址分配的认证服务器等服务器群可以放置在网络卫士防火墙的SSN区内，以私有地址分配的其他计算机系统则可以放置在网络卫士防火墙的内网区域中。而核心内部网区域则需要以物理隔离设备与外界的网络进行完全的隔离。 典型应用二： 在电信行业网络环境中的应用 天融信网络卫士防火墙提供了支持像电信行业网络环境的链路负载均衡功能，即保证多条链路同时工作，分担网络流量，并且相互备份。如图所示，当网络卫士防火墙接入以上网络环境时，除了用STP状态传输线将防火墙连接外，还必须开启防火墙的启用生成树算法功能。在图示中，两台网络卫士防火墙处于路由交换网络之间，每台防火墙可以直接到达相邻的路由器或交换机，这样每台防火墙和相邻路由交换设备都直接相连了，所有的路由交换设备之间的线路可以使用TRUNK封装。 典型应用三：在金融行业网络环境中的应用 天融信网络卫士防火墙特别基于金融、电信行业开发了支持状态传输协议STP的双机热备功能。如图所示，在配置并连接好主从防火墙的心跳线后，还可以打开防火墙的STP功能开关，这样在主防火墙上已建立连接的通信连接可以实时地备份到从防火墙上。当主防火墙或其相关链路出现故障时，在从防火墙接替主防火墙工作后，不需要重新建立连接就可以继续保持通信，从而有效地避免了因网络链路瞬间的切换而造成的数据连接中断。 产品功能 功能类别 功能项 功能细项 网络安全性 工作模式 路由、透明、混合 内容过滤 支持基于流、数据包、透明代理的过滤方式。 支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤。 支持URL过滤 支持对移动代码如Java applet、Active-X、VBScript、Jscript、Java script的过滤 支持对邮件的收发邮件地址、文件名、文件类型过滤 支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤 动态端口支持协议：FTP、RTSP、SQL*NET、MMS、RPC(msrpc,dcerpc)、H.323、TFTP。 防病毒 对通过的数据进行在线过滤，查杀邮件正文附件、网页及下载文件中包含的病毒， 病毒库更新 提供快速扫描及完全扫描两种扫描方式 系统状态实时监控 包过滤 基于状态检测的动态包过滤 实现基于源/目的IP地址、源/目的MAC地址、源/目的端口、协议、时间等数据包快速过滤 支持报文合法性检查 可实现IP/MAC绑定 防御攻击 非法报文攻击：land 、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof 统计型报文攻击：Synflood、Icmpflood、Udpflood、Portscan、ipsweep Topsec联动：可与支持TOPSEC协议的IDS设备联动，以提高入侵检测效率。 端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置 SYN代理：对来自定义区域的Syn Flood攻击行为进行阻断过滤 AAA服务 支持使用一次性口令认证（OTP）、本地认证、双因子认证（SecureID）以及数字证书（CA）等常用的安全认证方式 支持使用第三方认证如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式 支持Session认证、HTTP会话认证 支持认证保活功能 可将认证用户信息加密存放在本地数据库 NAT 支持双向NAT 支持动态地址转换和静态地址转换 支持多对一、一对多和一对一等多种方式的地址转换 支持虚拟服务器功能 网络适应性 路由 支持静态路由、动态路由 支持基于源/目的地址、接口、Me