【正文】 C2子卡上（可選） DFC 峰值400Mpps－aCEF DFC模塊 210Mpps 到模塊的雙矩陣連接，每條通道20Gbps全雙工 最高性能(Mpps) 每插槽16Gbps；到模塊的雙矩陣連接，每條通道8Gbps全雙工 加速CEF－位于接口模塊ASIC上的引擎 矩陣連接 集中CEF－位于Supervisor Engine 720 PFC3子卡上的引擎； 集中CEF－位于交換管理引擎PFCx子卡上的引擎； 企業(yè)核心和數(shù)據(jù)中心；服務(wù)供應(yīng)商城域；無線；國家研究網(wǎng)絡(luò)；網(wǎng)格計算 支持的轉(zhuǎn)發(fā)架構(gòu) 布線室 在DFC上采用了相同的ASIC，安裝在某些接口模塊上的子卡可用于非集中模式的分布式轉(zhuǎn)發(fā)，以實現(xiàn)高達(dá)400Mpps的系統(tǒng)轉(zhuǎn)發(fā)速率（表2）。交換管理引擎可配置以可選的廠家安裝子卡－一個用于提供基于硬件的第二層轉(zhuǎn)發(fā)的策略特性卡（PFC），以及一個提供第三層功能的多層交換機特性卡（MSFC）。 高性能SSL端接 高性能入侵檢測 千兆位防火墻 216 24 192 32個端口 集成WAN模塊 FlexWAN(DS0到OC3) OC3 POS端口 OC12 POS端口 OC12 ATM端口 OC48 POS/DPT端口 288個端口 576個端口，都支持饋線電源 每VLAN快速生成樹 快速生成樹 熱備份路由器協(xié)議（HSRP） 可更換風(fēng)扇架 高可用性特性 交換矩陣（1+1） 支持，支持狀態(tài)化故障切換 冗余部件 Cisco IOS Supervisor 720：400Mpps 操作系統(tǒng) Supervisor 1 MSFC：15Mpps 256Gbps交換矩陣 13插槽 背板帶寬 9插槽 3插槽 思科新一代Catalyst 6500系列模塊和Supervisor Engine 720采用了11種思科開發(fā)的全新特定應(yīng)用集成線路（ASCI）－鞏固了思科在聯(lián)網(wǎng)業(yè)界的領(lǐng)先地位，提供了無與倫比的投資保護(hù)功能。從48至576個10/100/1000端口或1152個10/100端口的以太網(wǎng)布線室，到支持192條1Gbps或32個10Gbps中繼線的每秒數(shù)億轉(zhuǎn)發(fā)速率的網(wǎng)絡(luò)核心，Cisco Catalyst 6500系列利用冗余路由和轉(zhuǎn)發(fā)引擎間的狀態(tài)化故障轉(zhuǎn)換功能，提供了理想的平臺功能，大幅度延長了網(wǎng)絡(luò)正常運營時間。Cisco Catalyst 6500系列擁有9和13插槽機箱，以及無與倫比的集成服務(wù)模塊范圍，包括多千兆位網(wǎng)絡(luò)安全、內(nèi)容交換、電話和網(wǎng)絡(luò)分析模塊。作為思科最出色的智能多層模塊化交換機，Catalyst 6500系列提供了從布線室到核心、數(shù)據(jù)中心，乃至WAN邊緣的安全、融合、端到端服務(wù)。5. 降低部署和運作成本 由于Cisco ASA 5500系列提供與現(xiàn)有思科安全解決方案一致的設(shè)計和界面，因而能顯著降低初始安全部署成本和日常管理成本。3. 高級入侵防御服務(wù) 提供主動型全功能入侵防御服務(wù)，有效阻止各種威脅，包括蠕蟲、應(yīng)用層攻擊、操作系統(tǒng)級攻擊、rootkit攻擊、間諜軟件、對等文件共享和即時消息傳送。1. 值得信賴的防火墻和威脅防御VPN技術(shù) Cisco ASA 5500 系列建立于值得信賴的Cisco PIX安全設(shè)備和Cisco VPN 3000系列集中器技術(shù)，ASA5500系列是第一個兼具市場領(lǐng)先的防火墻技術(shù)保護(hù)，同時提供SSL和IPsec VPN服務(wù)的解決方案。 SSL/IPsec VPN版：使遠(yuǎn)程用戶能夠安全地訪問內(nèi)部網(wǎng)絡(luò)系統(tǒng)和服務(wù)，為大型企業(yè)部署支持VPN集群。來自 Trend Micro 的業(yè)內(nèi)領(lǐng)先的AntiX服務(wù)能夠防止客戶端系統(tǒng)遭受惡意Web站點以及病毒、間諜軟件和誘騙等基于內(nèi)容的威脅侵襲。 AntiX版：利用全面的安全服務(wù)套件，為小型站點或遠(yuǎn)程站點的用戶提供保護(hù)。 IPS版：通過一組防火墻、應(yīng)用安全性和入侵防御服務(wù)，防止關(guān)鍵業(yè)務(wù)服務(wù)器和基礎(chǔ)設(shè)施遭受蠕蟲、黑客及其它威脅的襲擊。獨特的模塊化設(shè)計能夠提供卓越的投資保護(hù)，降低運作成本。 每個版本都能滿足特定的企業(yè)環(huán)境需求： 統(tǒng)一配置環(huán)境不僅簡化了管理，還降低了人員培訓(xùn)成本。隨著每個位置安全需求的滿足，整體網(wǎng)絡(luò)安全性也得到了提升。 Cisco ASA 5500 系列的各版本能夠在適當(dāng)?shù)奈恢锰峁┻m當(dāng)?shù)陌踩?wù)，因而能為企業(yè)提供卓越的安全保護(hù)。 ASA 5500系列自適應(yīng)安全設(shè)備是能夠為從小型辦公室/家庭辦公室和中小企業(yè)到大型企業(yè)的各類環(huán)境提供新一代安全性和VPN服務(wù)的模塊化安全平臺。5 總體方案優(yōu)勢在本次硬件平臺搭建過程中，我們使用了全套思科產(chǎn)品，而利用思科組網(wǎng)解決方案的優(yōu)點有以下幾點： 大規(guī)模的市場應(yīng)用憑借思科強大的研發(fā)實力、完整的產(chǎn)品線及解決方案，思科取得了良好的市場地位：1. ％，排名第一2. 企業(yè)級路由器臺數(shù)市場份額30％，排名第一3. 網(wǎng)絡(luò)安全設(shè)備市場份額排名第二，其中IPS產(chǎn)品市場排名第一 全網(wǎng)IPv6的擴展支持采用思科解決方案，6509能提供全網(wǎng)的IPv6解決方案，IPv6方面包括以下方面 思科6509系列硬件支持IPv6轉(zhuǎn)發(fā)，支持完善的IPv6協(xié)議以及IPv4/IPv6雙棧； 思科承建了Cernet 、人民大學(xué)、清華大學(xué)、北京大學(xué)試驗網(wǎng)等眾多大型IPv6網(wǎng)絡(luò)，有豐富的項目經(jīng)驗及雄厚的技術(shù)實力。防火墻需要提供對內(nèi)部網(wǎng)絡(luò)安全保障的支持，形成全面的安全防護(hù)體系。由于對內(nèi)部網(wǎng)絡(luò)缺乏防范，當(dāng)內(nèi)部網(wǎng)絡(luò)主機感染蠕蟲病毒時，會形成可以感染整個互聯(lián)網(wǎng)的污染源頭，導(dǎo)致整個互聯(lián)網(wǎng)絡(luò)環(huán)境低劣。造成當(dāng)前網(wǎng)絡(luò)“安全危機”另外一個因素是忽視對內(nèi)網(wǎng)安全的監(jiān)控管理。對于互聯(lián)網(wǎng)上的各種蠕蟲病毒，必須能夠判斷出網(wǎng)絡(luò)蠕蟲病毒的特征，把網(wǎng)絡(luò)蠕蟲病毒造成的攻擊阻擋在安全網(wǎng)絡(luò)之外。例如：當(dāng)防火墻位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接處時，可以保護(hù)組織內(nèi)的網(wǎng)絡(luò)和數(shù)據(jù)免遭來自外部網(wǎng)絡(luò)的非法訪問（未授權(quán)或未驗證的訪問）或惡意攻擊；當(dāng)防火墻位于組織內(nèi)部相對開放的網(wǎng)段或比較敏感的網(wǎng)段（如保存敏感或?qū)Ｓ袛?shù)據(jù)的網(wǎng)絡(luò)部分）的連接處時，可以根據(jù)需要過濾對敏感數(shù)據(jù)的訪問（即使該訪問是來自組織內(nèi)部）。防火墻類似于建筑大廈中用于防止火災(zāi)蔓延的隔斷墻，Internet防火墻是一個或一組實施訪問控制策略的系統(tǒng)，它監(jiān)控可信任網(wǎng)絡(luò)（相當(dāng)于內(nèi)部網(wǎng)絡(luò)）和不可信任網(wǎng)絡(luò)（相當(dāng)于外部網(wǎng)絡(luò)）之間的訪問通道，以防止外部網(wǎng)絡(luò)的危險蔓延到內(nèi)部網(wǎng)絡(luò)上。數(shù)據(jù)篡改：攻擊者對系統(tǒng)數(shù)據(jù)或消息流進(jìn)行有選擇的修改、刪除、延誤、重排序及插入虛假消息等操作，而使數(shù)據(jù)的一致性被破壞。例如，攻擊者短時間內(nèi)使用大量數(shù)據(jù)包或畸形報文向服務(wù)器不斷發(fā)起連接或請求回應(yīng)，致使服務(wù)器負(fù)荷過重而不能處理合法任務(wù)。例如，攻擊者通過猜測帳號和密碼的組合，從而進(jìn)入計算機系統(tǒng)以非法使用資源。各種網(wǎng)絡(luò)病毒的泛濫，也加劇了網(wǎng)絡(luò)被攻擊的危險。 防火墻的部署隨著網(wǎng)絡(luò)技術(shù)的普及，網(wǎng)絡(luò)攻擊行為出現(xiàn)得越來越頻繁。網(wǎng)絡(luò)傳送過程主要針對數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層協(xié)議特征中存在的漏洞進(jìn)行攻擊，如常見的監(jiān)聽、IP地址欺騙、路由協(xié)議攻擊、ICMP Smurf攻擊等；網(wǎng)絡(luò)服務(wù)過程主要針對TCP/UDP以及居于其上的應(yīng)用層協(xié)議進(jìn)行，如常見的UDP/TCP欺騙、TCP流量劫持、TCP DoS、FTP反彈、DNS欺騙等等；軟件應(yīng)用過程則針對位于服務(wù)器/主機上的操作系統(tǒng)以及其上的應(yīng)用程序，甚至是基于Web的軟件系統(tǒng)發(fā)起攻擊。所謂安全威脅，就是未經(jīng)授權(quán)，對位于服務(wù)器、網(wǎng)絡(luò)和桌面的數(shù)據(jù)和資源進(jìn)行訪問，甚至破壞或者篡改這些數(shù)據(jù)/資源。本次建議在圖書館網(wǎng)絡(luò)中采用靜態(tài)VLAN劃分方案來部署。VLAN1和VLAN4000的第三層路由接口處設(shè)置訪問控制列表，只有特定的主機或者只有網(wǎng)管VLAN可以直接訪問每一臺設(shè)備，其他均在過濾之列。管理VLAN：作為特殊VLAN 的典型，建議保留VLAN1作為管理VLAN，管理VLAN覆蓋到全網(wǎng)的每一臺交換機，但在第三層接口上，需要與其他業(yè)務(wù)VLAN進(jìn)行有效的隔離。此時，二層交換機要支持VLAN的動態(tài)配置功能。動態(tài)VLAN：我們知道，VLAN常常被規(guī)劃用于對“資源訪問權(quán)限”的分組，不同的VLAN具有不同的訪問權(quán)限，每個VLAN內(nèi)有一個IP地址網(wǎng)段，不同的VLAN/IP地址段的用戶，具有不同的訪問資源的權(quán)限。這是將端口映射到VLAN的一種最通用的方法。靜態(tài)VLAN：形成靜態(tài)VLAN過程是將端口強制性地分配給VLAN的過程。VLAN的劃分可以依據(jù)不同的業(yè)務(wù)進(jìn)行也可以依據(jù)用戶所處網(wǎng)絡(luò)的物理結(jié)構(gòu)進(jìn)行，后者主要是從網(wǎng)絡(luò)性能角度出發(fā)，而前者還兼顧了網(wǎng)絡(luò)安全性可控性的需要。VLA