Cisco+Catalyst+4500系列交换机.docx

1、Cisco+Catalyst+4500系列交换机目 录CISCO CATALYST 4500系列交换机功能应用与安全解决方案 . 4一、CISCO CATALYST 4500系列交换机概述 . 41、功能概述 . 42、技术融合 . 43、最优控制 . 44、集成永续性 . 45、高级QOS . 56、可预测性能 . 57、高级安全性能 . 58、全面的管理 . 59、可扩展架构 . 510、延长了增加投资的时间。 . 511、CISCO CATALYST 4500系列产品线 . 512、设备通用架构 . 613、CISCO CATALYST 4500系列交换机的特点 . 6（1）性能 . 6

2、（2）端口密度 . 6（3）交换管理引擎冗余性 . 6（4）以太网电源 (POE) . 7（5）高级安全特性 . 7（6）CISCO IOS软件网络服务 . 7（7）投资保护 . 7（8）功能透明的线卡 . 7（9）到桌面的千兆位连接 . 8（10）基于硬件的组播 . 8（11）CISCO NETFLOW服务 . 8（12）到桌面的光纤连接 . 814、CISCO CATALYST 4500系列的主要特性 . 815、CISCO CATALYST 4500系列交换机的优点 . 1016、CISCO CATALYST 4500系列的应用 . 10（1）采用以太网骨干的多层交换企业网络 . 10（

3、2）中型企业和企业分支机构应用10二、CISCO CATALYST 4500系列交换机的解决方案 . 111、DHCP的解决方案： . 11（1）不用交换机的DHCP功能而是利用PC的DHCP功能 . 11（2） 利用三层交换机自带的DHCP功能实现多VLAN的IP地址自动分配 . 11（3）三层交换机上实现跨VLAN 的DHCP配置（路由器+三层交换机） 12（4）相关的DHCP调试命令： . 13（5）DHCP故障排错 . 132、ARP防护的解决方案 . 14（1）基于端口的MAC地址绑定 . 14（2）基于MAC地址的扩展访问列表 . 14（3）基于IP地址的MAC地址绑定 . 15（

4、4）CISCO的DAI技术 . 153、VLAN技术的解决方案 . 17（1）虚拟局域网络(VIRTUAL LANS)简介 . 17（2）虚拟网络的特性 . 17（3）发展虚拟网络技术的主要动能有四个: . 18（4）VLAN划分的6种策略： . 18(5)使用VLAN具有以下优点： . 19（6）CATALYST 4500系列交换机虚拟子网VLAN的配置： . 19（7）CATALYST 4500交换机动态VLAN与VMPS的配置 . 207.1.VMPS的介绍: . 207.2.VMPS客户机的介绍: . 217.3.VMPS客户机的配置: . 227.4.VMPS数据库配置文件模板: .

5、 234、CATALYST 4500系列交换机NAT配置： . 244.1 4500系列交换机NAT的支持 . 244.2、NAT概述 . 244.3、NAT原理及配置 . 245、三层交换机的访问控制列表 . 265.1利用标准ACL控制网络访问 . 265.2利用扩展ACL控制网络访问 . 265.3基于端口和VLAN的ACL访问控制 . 276. VTP 技术 . 277、CISCO 交换机的端口镜像的配置： . 307.1 CISCO 4507R 端口镜像配置方法 . 307.2、CISCO 4506交换机镜像端口配置方法 . 328、CISCO CATALYST交换机端口监听配置 .

6、 329、CISCO 4500交换机的负载均衡技术 . 3210.双机热备HSRP . 34三、CATALYST 4500系列交换机的安全策略 . 36(一) 三层交换机网络服务的安全策略 . 36（二）三层交换机访问控制的安全策略 . 38（三）三层交换机其他安全配置 38(1)及时的升级和修补IOS软件。 . 39(2)要严格认真的为IOS作安全备份 . 39(3)要为三层交换机的配置文件作安全备份 . 39(4)购买UPS设备，或者至少要有冗余电源 40(5)要有完备的三层交换机的安全访问和维护记录日志 . 41(6)要严格设置登录BANNER . 44(7) IP欺骗得简单防护 . 4

7、4(8)建议采用访问列表控制流出内部网络的地址必须是属于内部网络 . 44(9) CISCO交换机4500系列交换机密码恢复过程. 45Cisco Catalyst 4500系列交换机功能应用与安全解决方案一、Cisco Catalyst 4500系列交换机概述1、功能概述Cisco Catalyst 4500系列交换机(图1)将无阻塞第二到四层交换与最优控制相集成，有助于为部署关键业务应用的大型企业、中小型企业（SMB）和城域以太网客户提供业务永续性。Cisco Catalyst 4500系列凭借众多智能服务将控制扩展到网络边缘，其中包括先进的服务质量 (QoS)、可预测性能、高级安全性和全

8、面的管理。它提供带集成永续性的出色控制，将永续性集成到硬件和软件中，缩短了网络停运时间，有助于确保员工的效率、公司利润和客户成功。Cisco Catalyst 4500系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支，提高了投资回报（ROI），从而在延长部署寿命的同时降低了拥有成本。图1 Cisco Catalyst 4500 系列交换机图12、技术融合在当今竞争高度激烈的业务环境中，融合网络在帮助机构通过提高生产效率、组织灵活性和降低运营成本，从而获得竞争优势方面起着重要作用。将数据、话音和视频集成在单一（基于IP的）网络上，需要一个能区分各种流量类型并根据其独特需求加以管理的交换基

9、础设施。Cisco Catalyst 4500系列与Cisco IOS相结合，提供了一种可实现先进功能和控制的基础设施。3、最优控制Cisco Catalyst 4500系列为所有将集成以解决业务问题的应用提供了网络基础设施。通过集成永续性扩展智能网络服务，可控制所有流量类型并实现最短停运时间。Cisco Catalyst 4500系列凭借以下特性提供了这种控制能力。4、集成永续性通过Cisco Catalyst 4500系列的冗余交换管理引擎（不到一秒内实现故障转换）功能(Cisco Catalyst 4507R和Catalyst 4510R交换机)、基于软件的故障容许、冗余风扇和1+1电源

10、冗余，最大限度地缩短了网络停运时间。所有Cisco Catalyst 4500系列机箱中都具备以太网电源(PoE)，简化了网络设计，并限制了IP电话实施中的故障点数目。5、高级QoS集成的基于第二到四层的QoS和流量管理功能，在32000个QoS策略条目的基础上，对关键任务和时间敏感型流量进行了分类和优先排序。Cisco Catalyst 4500系列可以利用基于主机、网络和应用信息的入口和出口策略控制器机制，对高带宽流量进行整形和速率限制。6、可预测性能Cisco Catalyst 4500系列在硬件中为第二到四层流量提供了高达102Mpps的线速转发速率。交换性能与支持的路由或第三层高级服

11、务数量无关。7、高级安全性能对荣获专利的思科第二层安全特性的支持，可防止恶意服务器的安全违规，以及可能截获密码及数据的“中间人”攻击。此外，它还支持第二到四层过滤和监督，以防来自恶意网络攻击者的流量进入网络。8、全面的管理Cisco Catalyst 4500系列为所有端口的配置和控制提供了基于Web的管理功能，因而可以集中管理重要网络特性，如可用性和响应能力等。9、可扩展架构融合通过消除分立的话音、视频和数据基础设施，降低了网络整体拥有成本，简化了管理和维护。Cisco Catalyst 4500系列的模块化架构具有可扩展性和灵活性，无需多平台部署，最大限度地降低了维护开支。为进一步延长客户

12、网络设备的使用寿命，Cisco Catalyst 4500系列提供了以下特性：线卡的向后兼容性客户可灵活地在已有机箱中将线卡升级到更高速度的接口，不必更换整个机箱， 为未来特性提供更大发展空间。10、延长了增加投资的时间。Cisco Catalyst 4500系列架构的设计配备了大量的硬件资源，可支持针对您网络需求的未来特性。您只需进行简单的Cisco IOS软件升级，就可获得多种硬件支持的特性，无需全面的机箱升级。11、Cisco Catalyst 4500系列产品线Cisco Catalyst 4500系列包括四种机箱选择：Cisco Catalyst 4510R (10插槽)、Catal

13、yst 4507R (7插槽)、 Catalyst 4506 (6插槽)和Catalyst 4503 (3插槽)。12、设备通用架构Cisco Catalyst 4500系列具有一个通用架构，采用了现有Cisco Catalyst 4000系列的线卡，可扩展到384个10/100或100BASE-FX快速以太网端口，或384个10/100/1000BASE-T或1000BASE-LX千兆位以太网端口。 Cisco Catalyst 4500系列与现有Cisco Catalyst 4000系列线卡和交换管理引擎兼容，延长了它在融合网络中的部署寿命。13、Cisco Catalyst 4500系列

14、交换机的特点Cisco Catalyst 4500系列为企业LAN接入、小型骨干网、第三层分布点和集成化SMB及分支机构部署提供了先进的高性能解决方案 。其优势包括：（1）性能Cisco Catalyst 4500系列提供了带宽可随端口的添加而扩展的高级交换解决方案，采用了领先的特定应用集成电路(ASIC) 技术，提供线速第二到三层10/100或千兆位交换。第二层交换以全面的线卡兼容性提供了模块化交换管理引擎灵活性，可扩展到136 Gbps、 102 mpps。第三到四层交换基于思科快速转发，也可扩展到136 Gbps、 102 mpps。（2）端口密度Cisco Catalyst 4500系

15、列可达到一个机箱中384个铜或光纤以太网端口的网络组件连接要求。Catalyst 4500系列支持业界最高密度的10/100/1000自动检测，自动协商从网络边缘直接到桌面计算机的千兆位以太网连接。可选万兆位以太网上行链路端口有助于实施高密度千兆位以太网到桌面部署和交换机间应用。（3）交换管理引擎冗余性Cisco Catalyst 4507R和Catalyst 4510R交换机支持1+1交换管理引擎冗余，实现集成永续性。冗余交换管理引擎可缩短网络停运时间，实现业务连续性和提高员工效率。在状态化切换（SSO）的支持下，第二个交换管理引擎作为备用，可在主交换管理引擎发生故障时，在不到一秒的时间内接

16、管一切。此外，也支持Cisco IOS 软件中的不间断转发（NSF）感知特性，可与支持NSF的设备互操作，在因交换管理引擎切换而更新路由信息时，可继续转发分组。A、 Supervisor Engine II-Plus以入门级价格提供增强的第二层特性， 适用于小型第二层配线间以及简单的第三层QoS 和安全性。B、 Supervisor Engine II-Plus-TS 在Supervisor Engine II-Plus 的基础上增加了20 个线速千兆以太网（GE）端口（12 个千兆以太网PoE铜线端口、8 个千兆以太网SFP 光端口）。只在Catalyst 4503 机箱中支持。C、 Sup

17、ervisor Engine IV 中等配线间和第三层网络，提供增强的安 全特性和第三层路由（EIGRP，OSPF，IS-IS 协议，BGP）。D、 Supervisor Engine V 高级性能和先进特性，在Catalyst 4510R 机箱中支持242 个端口。E、 Supervisor Engine V-10GE 在Supervisor Engine V 的基础上添加了两条万兆以太网上行链路和NetFlow。在Catalyst 4510R 机箱中 最多支持384 个端口。（4）以太网电源 (PoE)Cisco Catalyst 4500系列支持802.3af标准和思科预标准电源，以便在

18、10/100或10/100/1000端口上提供PoE，使客户可支持电话、无线基站、摄像机和其他设备。此外， PoE允许企业在单一电源系统上隔离关键设备所以整个系统可由备用的不间断电源（UPS）支持。所有新Cisco Catalyst PoE线卡可同时在每个端口上支持15.4 W。这些卡与所有Cisco Catalyst 4500系列机箱和交换管理引擎兼容。（5）高级安全特性Cisco Catalyst 4500系列上支持802.1x、访问控制列表(ACL)、Secure Shell(SSH)协议、动态ARP检测(DAI)、源IP防护和专用虚拟LAN(PVLAN)等安全特性，可增强网络中的控制能力和灵活性。通过有选择地或全部实施上述特性，网络管理员可防止对于服务器或应用的未授权访问，允许不同的人能以不同的许可权来使用同一PC。（6）Cisco IOS软件网络服务Cisco