【正文】 isl（inter－switch link）是一個(gè)在交換機(jī)之間、交換機(jī)與路由器之間及交換機(jī)與服務(wù)器之間傳遞多個(gè) vlan 信息及 vlan 數(shù)據(jù)流的協(xié)議，通過(guò)在交換機(jī)直接相連的端口配置 isl 封裝，即可跨越交換機(jī)進(jìn)行整個(gè)網(wǎng)絡(luò)的 vlan 分配和進(jìn)行配置。28 / 41 vlan database //進(jìn)入 vlan 配置模式 　 (vlan)vtp domain cisco //設(shè)置 vtp 管理域名稱(chēng) cisco 　 (vlan)vtp server //設(shè)置交換機(jī)為服務(wù)器模式(2) 配置 trunk(干道)為了保證管理域能夠覆蓋所有的分支交換機(jī)，必須配置干道。如果所有的交換機(jī)都以中繼線相連，那么只要在核心交換機(jī)上設(shè)置一個(gè)管理域，網(wǎng)絡(luò)上所有的交換機(jī)都加入該域，這樣管理域里所有的交換機(jī)就能夠了解彼此的 VLAN 列表。 VLAN 的劃分由于網(wǎng)絡(luò)的規(guī)模比較大，有 300—500 臺(tái)電腦，還可能對(duì)每臺(tái)電腦進(jìn)行 IP的設(shè)置，因此采用基于端口方式的 VLAN 劃分。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個(gè) VLAN 內(nèi)的各個(gè)工作站沒(méi)有限制在同一個(gè)物理范圍中，即這些工作站可以在不同物理 LAN 網(wǎng)段。但又不是所有交換機(jī)都具有此功能，只有 VLAN 協(xié)議的第三層以上交換機(jī)才具有此功能。5 思科網(wǎng)絡(luò)設(shè)備的配置 交換機(jī)的配置 VLAN 的功能特點(diǎn)VLAN 是一種將局域網(wǎng)設(shè)備從邏輯上劃分（注意，不是從物理上劃分）成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。(17) 非協(xié)議支持：支持對(duì)非 IP 協(xié)議 IPX/NetBEUI 的控制。(15) 安全審計(jì)：具備完善的日志功能，支持向日志服務(wù)器導(dǎo)出日志，并能夠檢索分析日志；支持防火墻配置文件的導(dǎo)入與導(dǎo)出（防火墻配置文件信息的備份與恢復(fù)） 。(13) 防火墻支持多種工作模式：支持路由模式、透明（橋接）模式、混合模式（路由與透明兩種模式同時(shí)工作） 。(12) 實(shí)時(shí)監(jiān)控：實(shí)時(shí)察看防火墻當(dāng)前所有的連接，包括連接的類(lèi)型，源地址，源端口，目的地址，目的端口；實(shí)時(shí)監(jiān)控所有通過(guò)防火墻的認(rèn)證用戶以及使用的流量信息。(10) 帶寬管理（ QoS）：實(shí)現(xiàn)基于用戶、IP、協(xié)議、時(shí)間的帶寬管理。(8) 地址綁定：實(shí)現(xiàn) IP 地址與 MAC 地址捆綁、用戶與 IP/MAC 綁定。身份認(rèn)證采用 1024 位的非對(duì)稱(chēng)算法。(5) 地址轉(zhuǎn)換：采用雙向網(wǎng)絡(luò)地址翻譯（雙向 NAT）技術(shù)，支持靜態(tài) NAT及動(dòng)態(tài) NAT（ IP POOL） ，并能夠?qū)崿F(xiàn)一對(duì)一、一對(duì)多的地址映射。(3) 應(yīng)用代理：具有透明應(yīng)用代理功能，支持HTTP、FTP、TELNET、SMTP 、POP3 、NNTP 等協(xié)議。 Cisco PIX 515UR 系統(tǒng)的功能(1) 平臺(tái)支持：采用專(zhuān)用硬件平臺(tái)與專(zhuān)用的安全操作系統(tǒng)。對(duì)內(nèi)部網(wǎng)機(jī)器做 IP 和 MAC 地址綁定，如果源 IP 的 MAC 地址與配置表中的 MAC 地址不符，則禁止該 IP 訪問(wèn)。對(duì) DMZ 區(qū)的服務(wù)器的保護(hù)可啟用入侵檢測(cè)保護(hù)策略來(lái)切斷入侵行為的連接還是保留該連接，可檢測(cè)到的入侵的類(lèi)型有 Synflooding 、Land 、TCP 、UDP 端口掃描。在信息網(wǎng)中可采用 Cisco PIX515UR 防火墻提高外網(wǎng)的安全性；將需要對(duì)外提供服務(wù)的服務(wù)器如 HTTP server，放在 DMZ 區(qū)，進(jìn)行物理隔離；對(duì) DMZ 區(qū)的 Web 服務(wù)器進(jìn)行 Web 保護(hù)，一旦發(fā)現(xiàn)受保護(hù)的頁(yè)面被修改，防火墻自動(dòng)恢復(fù)其頁(yè)面，并通過(guò)郵件進(jìn)行報(bào)警；對(duì)內(nèi)部網(wǎng)的內(nèi)部地址進(jìn)行 NAT 地址轉(zhuǎn)換，可以通過(guò)靜態(tài)或動(dòng)態(tài) NAT 規(guī)則來(lái)進(jìn)行配置。這保證了即使是在系統(tǒng)故障情況下，也能夠維護(hù)對(duì)話，并且保證切換過(guò)程對(duì)網(wǎng)絡(luò)用戶而言是透明地完成。PIX 535 的集成 VPN 功能可以得到 VPN 加速卡（VAC）選件的支持，能夠提供 495 Mbps 的吞吐量和 2022 個(gè) IPSec 隧道。PIX535 防火墻的核心是基于自適應(yīng)安全算法（ASA）的一種保護(hù)機(jī)制，它可以提供面向靜態(tài)連接的防火墻功能，能夠進(jìn)行 50 萬(wàn)個(gè)同時(shí)連接，并同時(shí)防止常見(jiàn)的拒絕服務(wù)（DoS）攻擊。PIX 535 是一種能夠提供空前保護(hù)能力的通用防火墻設(shè)備。作為世界領(lǐng)先的 Cisco Secure PIX 防火墻系列的組成部分，PIX 535 能夠?yàn)楫?dāng)今的網(wǎng)絡(luò)客戶提供無(wú)與倫比的安全性、可靠性和性能。每一種選件都配有為第二個(gè) 故障切換PIX 系統(tǒng)準(zhǔn)備的成對(duì)兒產(chǎn)品，從而實(shí)現(xiàn)最高的冗余和高可用性。標(biāo)準(zhǔn) NIC 包括單端口或 4 端口 10/100 快速以太網(wǎng)、千兆位以太網(wǎng)、4/16 令牌環(huán)和雙連接多模 FDDI 卡。該程序包為企業(yè)提供了特別設(shè)計(jì)在故障切換模式下運(yùn)行的第二個(gè)防火墻。防火墻的每一分鐘停止運(yùn)行都意味著收入、機(jī)會(huì)或關(guān)鍵信息的損失。極端的可靠性：PIX 防火墻提供了空前的可靠性，其平均無(wú)故障時(shí)間（MTBF）超過(guò) 60000 小時(shí)。525 可以同時(shí)連接高達(dá) 4 個(gè) VPN 層，為用戶提供完整的IPsec 標(biāo)準(zhǔn)實(shí)施方法，其中 IPsec 保證了保密性、完整性和認(rèn)證能力。PIX 525 實(shí)現(xiàn)了在 Inter 或所有 IP 網(wǎng)絡(luò)上的安全保密通信。公司就不需要維護(hù)大型的 Modem 池和訪問(wèn)服務(wù)器來(lái)處理遠(yuǎn)程的撥號(hào)用戶，而這些都是需要花費(fèi)大量資金并且讓管理員頭痛的事情。目前，越來(lái)越多的客戶正在尋求除了提供訪問(wèn)控制以外，還能提供 VPN 服務(wù)的防火墻。而專(zhuān)用的 Cisco Secure PIX 防火墻是為了實(shí)現(xiàn)安全、高性能的保護(hù)而專(zhuān)門(mén)設(shè)計(jì)。另外，實(shí)時(shí)嵌入式系統(tǒng)還能進(jìn)一步提高 Cisco Secure PIX 防火墻系列的安全性。只有存在已確定連接關(guān)系的正確的連接時(shí)，訪問(wèn)才被允許通過(guò) Cisco Secure PIX 防火墻。靜態(tài)安全性雖然比較簡(jiǎn)單，但與包過(guò)濾相比，功能卻更加強(qiáng)勁；另外，與應(yīng)用層代理防火墻相比，其性能更高，擴(kuò)展性更強(qiáng)。現(xiàn)有的解決方案如運(yùn)行在應(yīng)用層的基于代理的防火墻具有很多限制條件，包括性能低、需要昂貴的通用平臺(tái)、使用開(kāi)放系統(tǒng)如 UNIX 時(shí)本身具有安全風(fēng)險(xiǎn)等。它23 / 41所提供的完全防火墻保護(hù)以及 IP 安全（IPsec）虛擬專(zhuān)網(wǎng)（VPN）能力使特別適合于保護(hù)企業(yè)總部的邊界。Cisco PIX 515EUR 還可以與一個(gè)熱備份的 Cisco PIX 防火墻共享狀態(tài)信息，從而能夠?qū)崿F(xiàn)完全的防火墻冗余。無(wú)限制的 PIX515 型號(hào)：Cisco PIX 515E 的 無(wú)限制 （PIX 515EUR）型號(hào)可以通過(guò)集成化的、基于硬件的 VPN 加速支持狀態(tài)故障恢復(fù)、添加 LAN 接口和增加 VPN 吞吐量，從而拓展了這個(gè)系列的功能。有限制的 PIX515 型號(hào)：Cisco PIX 515E有限制（PIX 515ER）型號(hào)可以為那些尋求具有最低限度接口密度和 VPN 吞吐量的、強(qiáng)大的 Cisco PIX 防火墻的企業(yè)提供出色的價(jià)值。這確保了即使在系統(tǒng)發(fā)生故障的情況下，進(jìn)程也會(huì)得以保持，而整個(gè)切換過(guò)程對(duì)于網(wǎng)絡(luò)用戶來(lái)說(shuō)是完全透明的。通過(guò)部署一個(gè)冗余的熱備份單元可以實(shí)現(xiàn)對(duì)高可用性的支持。它可以通過(guò) 56 位數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）或者 168 位三重DES（ 3DES）支持站點(diǎn)間和遠(yuǎn)程接入 VPN 應(yīng)用。該系統(tǒng)的核心是一種基于自適應(yīng)安全算法（ASA）的保護(hù)機(jī)制，可以提供針對(duì)狀態(tài)的、面向連接的防火墻功能，同時(shí)阻截常見(jiàn)的拒絕服務(wù)（DoS）攻擊。Cisco PIX 515E 是一個(gè)針對(duì)特定需求而設(shè)計(jì)的防火墻設(shè)備，可以提供前所22 / 41未有的安全性。提供更加強(qiáng)大的性能，滿足高吞吐量的安全需求：Cisco PIX 515E 多功能的單機(jī)架單元（1RU）機(jī)箱可以支持六個(gè)接口，使之成為那些需要一個(gè)具有DMZ 支持的、成本低廉的安全解決方案的企業(yè)的理想選擇。(1) Cisco PIX515 產(chǎn)品要點(diǎn)和應(yīng)用環(huán)境：Cisco PIX 515E 是被廣泛采用的 Cisco PIX 515 平臺(tái)的增強(qiáng)版本，它可以提供業(yè)界領(lǐng)先的狀態(tài)防火墻和 IP 安全（IPSec）虛擬專(zhuān)用網(wǎng)服務(wù)。(12) 兩個(gè) RU 機(jī)架安裝式機(jī)箱。(10) 可支持所有主要的 WAN 協(xié)議和傳輸介質(zhì)：LL、FR、ISDN 、ATM、部分 T1/ET1/ExDSL 、T3/E3 、HSSI。 (8) 32MBFlash/128MB DRAM (默認(rèn))。 (6) 兩個(gè)網(wǎng)絡(luò)模塊 (NM) 插槽。 (4) 四個(gè)集成化高級(jí)集成模塊 (AIM) 插槽。(2) VPN 支持。是一款可擴(kuò)展、可靈活配置的模塊化路由器。此外，Cisco 3745 可在緊湊的結(jié)構(gòu)中提供整合服務(wù)基礎(chǔ)設(shè)施和高密度服務(wù)，從而可實(shí)現(xiàn)分支機(jī)構(gòu)應(yīng)用和服務(wù)的逐步集成?？傊?Cisco 3745 應(yīng)用服務(wù)路由器可在集成化分支機(jī)構(gòu)接入平臺(tái)中實(shí)現(xiàn)新的電子商務(wù)應(yīng)用的靈活、可擴(kuò)展的部署。這對(duì)企業(yè)未來(lái)的電子商務(wù)網(wǎng)的發(fā)展有一定的好處，同時(shí)還可以節(jié)約成本。Cisco 3745 的部署可幫助客戶更快地降低電子商務(wù)應(yīng)用的成本并從中受益，降低客戶基礎(chǔ)設(shè)施的總擁有成本，并可改進(jìn)網(wǎng)絡(luò)利用率和增強(qiáng)網(wǎng)絡(luò)的競(jìng)爭(zhēng)能力。同時(shí) Cisco 3745 又可作為全新的模塊化路由器，可實(shí)現(xiàn)新的電子商務(wù)應(yīng)用在集成化分支機(jī)構(gòu)訪問(wèn)平臺(tái)中的靈活、可擴(kuò)展的部署。Cisco 3745 是一款應(yīng)用服務(wù)器級(jí)的帶防火墻功能的路由器。采用模塊化路由器很大程度地簡(jiǎn)化了網(wǎng)絡(luò)管理。為了滿足本企業(yè)高速性及穩(wěn)定性原則的同時(shí)還要保證它的安全性，因此在這里選擇 Cisco 3700 系列中的 Cisco 3745 路由器。(6) Flash 插槽。(4) 交流電源插口。(2) 控制臺(tái)端口。(4) Flash 插槽。(2) 快速以太網(wǎng)。在 Cisco3700 系列應(yīng)用服務(wù)器主要有 3725 和 3745 兩種。Cisco 3700 系列的部署可幫助客戶更快地降低電子商務(wù)應(yīng)用的成本并從中受益，降低客戶基礎(chǔ)設(shè)施的總擁有成本，并可改進(jìn)網(wǎng)絡(luò)利用率和增強(qiáng)網(wǎng)絡(luò)的競(jìng)爭(zhēng)能力。 路由器的選型Cisco 3700 系列應(yīng)用服務(wù)路由器 (Application Service Router) 是一系列全新的模塊化路由器，可實(shí)現(xiàn)新的電子商務(wù)應(yīng)用在集成化分支機(jī)構(gòu)訪問(wèn)平臺(tái)中的靈活、可擴(kuò)展的部署。 (6) 安全可靠性選擇：針對(duì)現(xiàn)代網(wǎng)絡(luò)存在的各種安全隱患，路由器必須具19 / 41有可靠的安全特性。(4) 操作可管理原則：選擇路由器時(shí)務(wù)必關(guān)注網(wǎng)絡(luò)系統(tǒng)的監(jiān)管和配置能力是否強(qiáng)大，設(shè)備是否可以提供統(tǒng)計(jì)信息和深層故障檢測(cè)的診斷功能等。(2) 技術(shù)簡(jiǎn)單化原則：必須選擇技術(shù)簡(jiǎn)單實(shí)用的路由器。 路由器的選型 路由器的性能指標(biāo)衡量一個(gè)路由器的優(yōu)劣主要是通過(guò)它的線速轉(zhuǎn)發(fā)能力、吞吐量、路由表大小、背板速度、時(shí)延、處理器速度和內(nèi)存大小。 (15) WRR 隊(duì)列算法確保低優(yōu)先級(jí)端口不會(huì)被忽視。 (13) 支持基于 CoS 值或網(wǎng)絡(luò)管理員為每個(gè)端口指定的缺省 CoS 值來(lái)對(duì)數(shù)據(jù)幀進(jìn)行重新分類(lèi)。 (11) 支持 VMPS 功能（計(jì)劃將來(lái)使用）的動(dòng)態(tài) VLAN。 (9) 每個(gè)端口使用基于 標(biāo)準(zhǔn)的 VLAN 主干；每個(gè)交換機(jī)帶有 64 個(gè)VLAN，附有 64 個(gè)生成樹(shù)（PVST+）的實(shí)例。 (7) 16MB 的 DRAM 和 8MB 的板上閃存可以為未來(lái)升級(jí)提供便利，做到最大限度地保護(hù)用戶投資。 (5) Catalyst 2950G48 交換機(jī)有兩個(gè)多模（1000BaseTX）光纖上行鏈路，在最遠(yuǎn) 2 公里的距離上可提供高達(dá) 2022Mbps 的帶寬。 (3) 124 或 48 個(gè) 10BaseT/100BaseTX 自適應(yīng)端口，每個(gè)可為單個(gè)用戶、服務(wù)器、工作組提供最大 200Mbps 的帶寬，完全可以支持對(duì)帶寬需求苛刻的應(yīng)用。特性和關(guān)鍵優(yōu)點(diǎn)如下:(1) 各個(gè)端口包括千兆位端口的線速、無(wú)阻塞性能。由于 Catalyst 2950 具備 的交換背板和最大 Gbps 的數(shù)據(jù)吞吐率，所以在它把終端工作站和用戶連接到公司的 LAN 上時(shí)可以在各個(gè)端口提供線速連接性能。 (4) 已安裝改進(jìn)軟件鏡像（EI ）。 (2) 1RU 可堆棧直流交換機(jī)。 (4) 已安裝改進(jìn)軟件鏡像（EI ）。 (2) 1RU 可堆棧交換機(jī)。 (4) 已安裝改進(jìn)軟件鏡像（EI ）。 (2) 1RU 可堆棧交換機(jī)。 (4) 已安裝改進(jìn)軟件鏡像（EI ）。 (2) 1 機(jī)架單元（ RU）可堆棧交換機(jī)。在 Cisco Catalyst 2950 系列智能以太網(wǎng)交換機(jī)中有 WSC2950G12EI、WSC2950G24EI、WSC2950G48EI、WSC2950G24EIDC。同時(shí)固定安裝的線速快速以太網(wǎng)桌面交換機(jī) Cisco Catalyst 2950 系列，可以為局域網(wǎng)（ LAN）提供極佳的性能和功能。作為思科最為廉價(jià)的交換產(chǎn)品系列，Cisco Catalyst 2950 系列在網(wǎng)絡(luò)或城域接入邊緣實(shí)現(xiàn)了智能服務(wù)。CISCO WSC4006S3 配置清單如下表（表 2）表 2 CISCO WSC4006S3 配置清單Table 2 CISCO WSC4006S3 Configure List序 號(hào) 名 稱(chēng) 描 述 備 注2 WSC4006S3Catalyst4000 Chassis(6Slot) SupIII w/2 GE, 2 AC P/SFansFans Catalyst 4006 六插槽機(jī)箱,2 個(gè)交流電源，3 代引擎，2 個(gè)級(jí)連 GBIC 插