详情点击
可致电 4006 680 680 或 4008 100 110获得技术支持
用于思科 2900 和 3900 系列路由器的思科增强型 EtherSwitch 服务模块
思科®增强型 EtherSwitch®服务模块可以将千兆以太网 (GE) 和快速以太网 (FE) 交换机端口,集成到思科 3900 和 2900 系列集成多业务路由器中,从而帮助您的企业降低总体拥有成本。这种集成使网络管理员能够使用思科管理工具,或用用于局域网和广域网管理的路由器命令 (CLI) 来管理单一设备。这种方式可以降低网络复杂性、降低维护成本、缓解员工培训需求、简化软件资格认证工作、提高可用性,以及为分支机构和总部提供一致的应用体验。
产品概述
通过集成行业领先的第二层和第三层交换,获得思科 Catalyst® 3560- E 和 Catalyst 2960 系列交换机的同等特性,思科增强型 EtherSwitch 服务模块(图 1)可以极大地扩展路由器的功能。全新的思科增强型 EtherSwitch 服务模块率先利用了思科 3900 和 2900 系列集成多业务路由器中的新增功能。此外,这些服务模块还支持思科的行业领先的电能管理计划,即思科 EnergyWise®、思科增强型以太网供电(ePoE)和端口 PoE 电能监控。所有这些使分支机构可通过扩展更加轻松地满足下一代网络需求,同时通过重要计划确保 IT 团队在高能效的网络中工作。思科增强型 EtherSwitch 服务模块不仅执行本地线路速率交换和路由,还能通过第二代集成多业务路由器多千兆矩阵级光纤(Multigigabit Fabric,MGF)分离局域网和广域网资源,从而支持“网络模块到服务模块”的直接通信。
思科增强型 EtherSwitch 服务模块类型
思科增强型 EtherSwitch 服务模块提供了两种类型(表 1):入门级 (ES2) 和高级 (ES3)。
表 1. 入门级和高级思科增强型 EtherSwitch 服务模块
| 思科增强型 EtherSwitch 服务模块 | 描述 |
|---|
| 思科 ES3 增强型 EtherSwitch服务模块 | - 一流的以太网交换功能
- 支持高密度千兆以太网
- 第二层和第三层交换的硬件
- 组播路由
- 硬件中的 IPv6 路由和访问控制列表 (ACL)
- 具备思科 Catalyst 3560-E 同等的 IP 基础和 IP 服务完整功能
- IP 基础特性。包括先进的网络服务质量 (QoS)、安全特性、速率限制、ACL、基本静态和路由信息协议(Routing Information Protocol,RIP)、路由功能以及热备份路由器协议(Hot Standby Router Protocol,HSRP)
- IP 服务功能。提供了一组更加丰富的企业级特性,包括基于硬件的高级 IP 单播和 IP 组播路由;增强的内部网关路由选择协议(Enhanced Interior Gateway Routing Protocol,EIGRP)、优先开放最短路径(Open Shortest Path First,OSPF)、边界网关协议(Border Gateway Protocol,BGP)、独立组播协议(Protocol Independent Multicast,PIM)和 IPv6 路由;OSPFv3;EIGRPv6;IP 服务水平协议(IP Service-Level Agreement,IPSLA)、数据包监控;思科端口安全(Cisco Port Security);以及虚拟路由转发 Lite (VRF Lite)
- 思科 EnergyWise 技术是一种创新的体系结构,它通过降低整个企业基础设施的功耗来实现企业级的可持续性;思科 EnergyWise 技术可以帮助您的企业测量网络基础设施和网络附属设备的功耗,并使用具体的策略来管理功耗,从而降低功耗以实现成本节省,几乎能使于任何用电设备受益
- 以太网供电,在思科 3900 系列路由器上,每个机架的最大功率为 1014 瓦特
- 思科增强型 PoE (ePoE),每个端口最大功率20 瓦特
- IEEE 802.3af PoE 支持,每个端口最大功率 15.4 瓦特
- 思科预标准 PoE
|
| 思科 ES2 增强型 EtherSwitch服务模块 | - 成本较低的入门级解决方案
- 硬件中的第 2 层交换
- 具备思科 Catalyst 2960 LAN Base 同等的所有功能
- 以太网供电,在思科 3900 系列路由器上,每个机架的最大功率为 1014 瓦特
- IEEE 802.3af PoE 支持,每个端口最大 15.4 瓦特
- 思科预标准 PoE
|
针对数据、话音和视频的安全网络连接
插入到思科 2900 或 3900 系列集成多业务路由器中之后,例如(图 2),思科增强型 EtherSwitch 服务模块将提供一个完全集成的安全网络和聚合 IP 通信解决方案。在集成了交换机的统一平台中,您可以将 IP 电话、无线接入点和基于 IP 的视频摄像设备连接到网络,并使用 IEEE 802.3af、思科 ePoE 或 PoE 为它们提供支持。选择与 Cisco 统一通信管理器集成之后,路由器还可以为电话提供呼叫处理功能。当用户尝试通过思科增强型 EtherSwitch 服务模块来访问网络时,该模块可以使用 IEEE 802.1x 和大量思科 802.1x 扩展来验证终端设备的凭证,并将用户添加到合适的 VLAN 或思科 TrustSec 分组中。当最终用户数据离开局域网之后,路由器可以对数据流进行加密,并将它们置于一组 VPN 上,从而为分支机构与中央站点之间的通信提供保护。
高度聚合性简化了网络体系结构,并允许经济高效地为分支机构部署高级服务。此外,由于思科增强型 EtherSwitch 服务模块支持与思科 Catalyst 2960 和 Catalyst 3560-E 交换机相同的特性集合,因此您可以为总部和分支机构提供通用的配置,从而获得一致的网络体验。
特性和优势
体系结构特性和获益
思科增强型 EtherSwitch 服务模块有助于确保实现最大可用性、高性能、易于升级性和扩展性。该模块拥有自己的处理器、交换机引擎和闪存,可独立于主机路由器资源运行,从而有助于确保实现最大的并发交换和路由性能,并提供集成的 PoE、安全性和易于管理性。此外,思科增强型 EtherSwitch 服务模块运行自己的思科 IOS® 软件,无需依赖路由器思科 IOS 软件镜像,因此具备与思科 Catalyst 2960 和 Catalyst 3560-E 系列交换机相同的软件和特性,并能轻松地进行升级。表 2 列出了此体系结构的一些特性和获益。
表 2. 思科增强型 EtherSwitch 服务模块可满足客户需求
| 客户需求 | 思科增强型 EtherSwitch 服务模块如何满足客户需求 |
|---|
| 绿色 IT |
- 思科 EnergyWise 技术
- 为思科 EtherSwitch 设备
和路由器配备单电源
| - 思科 EnergyWise 技术使思科 EtherSwitch 设备能够自动在非高峰期减少 PoE 的使用。
- 该模块的功耗只有独立交换机的1/8到1/2。
- 由于不需要额外的机架空间或电源,因此对机架、机箱和制冷的需求也较低。
|
| 总体拥有成本 (TCO) |
- 跨多个站点扩展网络基础
设施 - 为分支机构配备多台设备
成本不增加 - 最大限度地增加 IT 资源
| - 集成的交换机解决方案将降低运营成本、简化故障诊断并提高企业网络的可扩展性。
- 借助思科 Catalyst 2960 和 Catalyst 3560-E 软件,I可以在总部和分支机构验证和部署相同的服务。
- 该模块提供了更短的平均故障修复时间 (MTTR)。一家供应商意味着只有一个支持中心,因此可以缩短排除故障的时间,同时避免了在多家供应商之间周旋。
- 思科 SMARTnet® 支持覆盖集成服务路由器和思科 EtherSwitch 设备。
|
| 投资保护 |
- 确保当前网络与未来网络相
兼容,以便于及时应用领先
的技术
| - 思科增强型 EtherSwitch 服务模块以及思科 Catalyst 2960 和 Catalyst 3560-E 的特性、计划和路线图,以一致的方式提供了一致的用户体验,因此不需要新硬件便可支持最新的创新。
|
| 高可用性 |
| - 思科增强型 EtherSwitch 服务模块运行自己的思科 IOS 软件,并且可以独立于主机路由器镜像升级。
- 一揽子解决方案可以简化远程管理并改善相互操作性,从而最大限度提高所有用户的可靠性。
- 针对基于标准和创新性思科专有特性的端到端测试将提供出色的服务互操作性和卓越的价值。
- 该模块提供了可供选择的冗余电源,包括思科 3900 系列上的集成的冗余供电系统 (RPS) 和思科 2911 到思科2951 集成多业务路由器上的外部 RPS 2300 支持。
- 更少的组件(举例来说,电源和风扇)降低了故障率并缩短了宕机时间。
- 平均无故障时间 (MTBF) 至少是独立交换机方案的两倍。
|
| 通过面向局域网的高性能 IP 路由实现可伸缩性 (ES3) |
- 分离思科增强型 EtherSwitch
服务模块上的各 VLAN
之间的 LAN 流量和路由器
| - Cisco 快速转发硬件路由体系结构将提供性能极为出色的 IP 路由并提高可伸缩性。
- 该模块提供了 VLAN 间 IP 路由,在两个或多个 VLAN 之间实现了全面的局部第 3 层交换
- 可以通过 MGF 在服务模块之间转发流量,而不会影响路由器 CPU。
|
思科 EnergyWise 技术
思科 EnergyWise 技术一种创新的体系结构,在思科 Catalyst 交换机、思科 2900 和 3900 系列集成多业务路由器以及思科 ES3 增强型 EtherSwitch 服务模块中得到了广泛应用。该技术通过降低整个网络基础设施的功耗,有助于增进企业网络的可持续性。
思科 EnergyWise 技术提供了一种高度智能的基于网络的信息通信方式,用于测量和控制网络设备和各端点之间的功耗。网络将搜索思科 EnergyWise 可管理设备,监控它们的功耗,并根据业务规则采取措施来降低能源。该技术使用一种创新的域名系统来查询和汇总各种设备的信息,比传统的网络管理功能更加简单。该技术的管理接口使各种工具和网络管理应用可以与端点以及相互之间进行通信,从而形成了一种高速互连的网络结构。该管理接口使用标准的简单网络管理协议(Simple Network Management Protocol,SNMP)和安全套接协议层(Secure Sockets Layer,SSL)集成思科和第三方管理系统。
思科 EnergyWise 技术将网络扩展为一个功率控制平台,用于监督、管理和降低所有设备的功耗,从而帮助整个企业优化供电方式并降低能源成本。
高级 PoE 支持
虽然以太网供电 (PoE) 已采用了十年之久,但该技术仍然在不断发展,新兴的创新应用对电源的管理需求有增无减。在 EtherSwitch 模块中,思科增强型 EtherSwitch 服务模块率先利用了思科 2900 和 3900 系列路由器的增强电源功能。表 3 提供了关于 PoE 总输出功率的信息。根据思科 2900 和 3900 系列路由器的型号,PoE 输出功率的范围从 200 瓦到 1014 瓦不等。思科增强型 EtherSwitch 服务模块不仅支持 IEEE 802.1af(15.4 瓦),还支持思科 ePoE(20 瓦,仅 ES3)和 PoE。对新旧不同功率水平的支持从侧面反映了思科的一贯承诺:在保护初始投资的同时为未来做准备。其他 PoE 特性还包括:
- 基于端口的功耗控制允许您为各个端口指定最大功率设置。
- 基于端口的 PoE 电源感应可以测量当前的实际功率,以便于更加智能地控制用电设备。
- 思科 PoE MIB 可以主动检测用电量,并允许设置不同功率水平的阀值。
- 借助思科发现协议版本 2(Cisco Discovery Protocol Version 2),思科增强型 EtherSwitch 服务模块在连接到 IP 电话等用电设备时,提供比 IEEE 标准更加粒度化的电源设置。
- 链路层发现协议——介质端点设备 (LLDP-MED) 帮助多供应商网络实现了互操作性。交换机将与 IP 电话等终端设备就速度、双工和电源设备进行通信。
以太网供电要求使用路由器供电采用 PoE 版本。思科 2900 和 3900 系列路由器支持多种 PoE 供电模式:
- 普通:一个 PoE 电源
- 冗余:两个 PoE 内部电源(思科 3925 和 3945),或者一个 PoE 电源外加一个外部思科 RPS 2300 冗余供电器(思科 2911、2921 和 2951),其中一个为活动,另一个为备用
- 增强:两个 PoE 内部电源(思科 3925 和 3945),或者一个 PoE 电源外加一个外部思科 RPS2300(思科 2900),两个都是活动 PoE 电源
表 3. 输出功率
| 路由器 | 在普通 PoE
模式下使用单
POE 电源时的
功率(瓦特) | 在普通模式
(15.4W)下工
作时最大端口数
量 | 在普通模式
(20W)下工作
时最大端口数量 | 在增强模式下使
用双 POE 电源
时的最大功率
(瓦特) | 在增强模式
(15.4W)下工
作时最大端口数
量 | 在增强模式
(20W)下工作
时最大端口数量 |
|---|
| 思科 3945 | 520 | 33 | 16 | 1040 | 65 | 50 |
| 思科 3925 | 520 | 33 | 16 | 1040 | 65 | 50 |
| 思科 2951 | 370 | 24 | 18 | 750 | 48 | 37 |
| 思科 2921 | 280 | 18 | 16 | 750 | 48 | 37 |
| 思科 2911 | 200 | 12 | 10 | 750 | 48 | 37 |
安全的网络
由于网络对安全性的需求已经深入到网络结构的方方面面,因此路由器和思科 EtherSwitch 设备在任何网络防护战略中都发挥着至关重要的作用。思科增强型 EtherSwitch 服务模块提供了一组丰富的安全特性,足以为您的安全网络战略提供有力的支持。该模块支持一组全面的连接性和访问控制安全特性,包括 ACL、身份验证、端口级安全性以及支持 802.1x 和扩展的基于身份的网络服务。这一组全面的特性不仅将有助于防止外部攻击,还可以阻止网络中的中间人(man-in-the-middle)攻击,而这正是如今企业环境所面对一个主要问题。表 4 列出了增强型 EtherSwitch 服务模块的局域网安全特性能带来哪些受益。
表 4. 局域网安全特性
| 特性 | 获益 |
|---|
| 动态 ARP 检测 (DAI) | - 通过防止恶意用户利用地址解析协议(Address Resolution Protocol,ARP)中的不安全因素,DAI 可以确保用户的行为安全、可靠。
|
| DHCP Snooping | - 此特性可以防止用户欺骗动态主机配置协议 (DHCP) 服务器并发送伪造的地址。其他主要安全特性将使用它来防止各种用户攻击,比如说 ARP 欺骗。
|
| IP 源保护(IP Source Guard) | - 通过在客户机的 IP 和 MAC 地址、端口及 VLAN 之间创建绑定表,IP 源保护可以防止恶意用户欺骗或冒用其他用户的 IP 地址。
|
| 专用 VLAN | - 通过将流量隔离在第 2 层并将广播网络段转换成非广播、类似于多路访问的网络段,专用 VLAN 可以将主机之间的流量限制在一个公共网络段中。此特性仅在 ES3 中可用。
- 专用 VLAN 边界(Private VLAN Edge)在交换机端口之间提供了安全性和隔离,有助于防止用户探查其他用户的通信数据。此特性仅在 ES3 中可用。
|
单一地址反向传输路径转发
(RPF) | - 通过抛弃无法验证 IP 源地址的 IP 数据包,此特性可以缓解由于在网络中引入伪造(欺骗) IP 源地址而引起的问题。此特性仅在 ES3 中可用。
|
| IEEE 802.1x | - IEEE 802.1x 可以实现动态、基于端口的安全性,同时提供用户身份验证。
- IEEE 802.1x 与 VLAN 分配机制相结合可以为特定用户动态配置 VLAN,而与用户接入网络的位置无关。
- IEEE 802.1x 与话音 VLAN 相结合可允许 IP 电话访问话音 VLAN,而与端口是授权还是未授权状态无关。
- IEEE 802.1x 与端口安全性相结合可以验证端口和管理包含客户机在内的所有 MAC 地址的网络访问。
- IEEE 802.1x 与 ACL 分配相结合可以实现基于特定身份的安全策略,而与用户接入网络的位置无关。
- IEEE 802.1x 与访客 VLAN 相结合可允许没有 802.1x 客户机的访客拥有受限访问 VLAN 网络的权限。
- 面向非 802.1x 客户机的 Web 身份验证允许非 802.1x 客户机使用基于 SSL 的浏览器进行身份验证。
|
| 多域身份验证 | - M多域身份验证允许 IP 电话和 PC 在相同交换机端口上通过身份验证,同时分别将它们分配到合适的话音和数据 VLAN 上。
|
MAC 身份验证旁路(MAC
Authentication Bypass) | - MAC 身份验证旁路(MAC Auth Bypass,MAB)允许没有 802.1x 请求方的第三方电话使用 MAC 地址通过身份验证。此特性仅在 ES3 上可用。
|
| 高级 ACL | - 所有 VLAN 上的思科安全 VLAN ACL 可以防止未授权数据在 VLAN 之传输;
- 思科标准和扩展 IP 安全路由器 ACL 可以为路由接口定义安全策略,从而实现控制平面和数据平面上的通信。可以应用 IPv6 ACL 来过滤 IPv6 流量。此特性仅在 ES3 上可用。
- 针对第二层接口的基于端口的 ACL 允许对各交换机端口应用安全策略。
|
管理流量保护(Administrative
Traffic Protection) | - Secure Shell (SSH) 协议、 Kerberos (仅 ES3)和 SNMPv3 可以在 Telnet 和 SNMP 会话期间对管理员流量进行加密,从而为网络保持保护。由于受到美国出口的限制,因此 SSH、Kerberos(仅 ES3)和加密版本的 SNMPv3 需要一个特殊版本的加密软件镜像。
|
交换端口分析器(Switched Port
Analyzer,SPAN) | - SPAN 端口上的双向数据支持允许思科入侵防御系统 (IDS) 在检测到入侵时采取措施。
|
| 集中验证 | - TACACS 和 RADIUS 验证有助于集成控制交换机和限制未授权用户修改配置。
|
| MAC 地址验证 | - 通过 MAC 地址通知,管理员可以知道网络中添加或删除了哪些用户。
|
| 端口安全性 | - 端口安全性可以保护对基于 MAC 地址的接入或汇聚端口的访问。
|
| 控制台安全性 | - 为控制台访问提供多种安全性水平可防止未授权用户修改交换机配置。
|
网桥协议数据单元(Bridge
Protocol Data Unit,BPDU)保护 | - BPDU 保护功能将在接收到 BPDU 时关闭启用生成分支快速节点的界面,以避免出现意外拓扑环路。
|
生成树根保护(Spanning-Tree
Root Guard,STRG) | - STRG 将防止不受网络管理员控制的边缘设备成为生成分支协议(Spanning TreeProtocol)根节点。
|
互联网小组管理协议(Internet
Group Management
Protocol,IGMP)过滤 | - 通过过滤非订阅者并限制每个端口可用的并发多播流的数量,IGMP 过滤可以实现多播身份验证。
|
| 动态 VLAN 分配 | - 要支持动态 VLAN 分配,需要实现 VLAN 成员策略服务器(Membership Policy Server)客户机功能,以便能够灵活地为 VLAN 分配端口。动态 VLAN 有助于快速分配 IP 地址。
|
易于管理和故障诊断
思科 EtherSwitch 服务模块提供了许多易于管理性方面的优势。举例来说,管理员可以通过主机路由器 CLI 来管理服务模块,从而为局域网和广域网提供单点管理功能。由于思科增强型 EtherSwitch 服务模块使用与思科 Catalyst 2960 和 Catalyst 3560-E 系列相同的软件镜像,因此所使用的 CLI 命令也与这些思科 Catalyst 交换机相同。此设置可以极大地简化局域网和广域网管理,从而降低培训成本、降低软件资质成本,并减少出现配置错误的可能性。此外,可以使用思科提供的一款高级 GUI 管理工具来管理思科增强型 EtherSwitch 服务模块。它提供了一个易于使用的基于 Web 的管理界面,用户可以通过标准 Web 浏览器来访问它。表 5 列出了其他的管理和故障诊断特性。
表 5. 管理和故障诊断特性
| 特性 | 描述 |
|---|
| CLI | - 该模块提供了一个 CLI 用于管理分支机构和总部交换机——降低管理挑战并在网络宕机时简化故障诊断,从而显著降低运营开销 (OpEx),同时增加网络正常运行时间。您可以通过路由器 CLI 来访问 CLI,而不需要额外的 Telnet 会话或额外的总线电缆。
|
| Cisco Configuration Professional | - 此应用是一款 GUI 设备管理工具,适用于基于思科 IOS 软件的接入器,包括思科 2900 和 3900 系列。对于思科增强型 EtherSwitch 服务模块来说,可以配置 Cisco Configuration Professional 生成增强型 EtherSwitch 服务模块的嵌入式设备管理器 GUI。
|
思科网络助理(Cisco Network
Assistant) | - 易于使用,基于 GUI 的管理界面专为思科增强型 EtherSwitch 服务模块以及思科 Catalyst 2960、Catalyst 3560 和 Catalyst 3560 交换机提供管理。思科统一通信(Cisco Unified Communications)向导只需要少许用户输入便能自动配置服务模块以最优化的方式管理不同类型的流量,包括话音、视频、组播和高优先级数据。它提供了一个安全向导来限制对应用、服务器和网络的未授权访问。您还可以使用思科网络助理来管理连接到思科增强型 EtherSwitch 服务模块的思科 Catalyst 交换机。
|
| CiscoWorks 局域网管理系统 (LMS) | - CiscoWorks LMS 提供了一组可靠的应用,用于维护、监控和诊断端到端思科网络中的各种设备。采用流行的基于 Internet 的标准,CiscoWorks LMS 应用使网络运营商能够通过一个简化的可随时随地在网络中访问的基于浏览器的界面来管理网络。
|
| CiscoView | - CiscoWorks LMS 中的 CiscoView 提供了一个图形化的“前面板”界面,用于管理思科设备。它可以帮助您轻松地与设备组件交互,提供一目了然的端口状态视图以及简化的设备配置和监控功能。
|
| Auto Spartports | - Cisco Auto Smartports 可以简化对高级功能的配置,同时整合了思科多年积累的网络技能和经验。当设备连接到交换机时,系统会启用自动端口配置,从而确保设备在连接到网络后能立即投入使用。
|
| 思科 CNS 配置引擎 | - 思科 CNS 配置引擎支持通过基于模板的集中化配置管理来激活基于 CPE 的网络服务,从而实现零接触部署、库存、配置和镜像管理。
|
| 其他故障诊断特性 | - Cisco Express 设置可以通过 Web 浏览器简化初始配置,从而消除了对更复杂终端模块程序和 CLI 知识的需要。
- AutoInstall 将基于 DHCP 的自动配置和镜像升级。此特性会自动下载配置文件和思科 IOS 软件镜像,并为交换机分配 IP 地址和主机名。您可以使用 AutoInstall 实现零接触部署。
- 时域反射计(Time Domain Reflectometry,TDR)用于诊断和解决以太网端口上的电缆问题。
- 如果设备端口上安装了错误类型的电缆(直通或交叉),则自动介质独立接口交叉 (Auto-MDIX) 会自动调整“传输-接收”对。
- 单向连接检测协议(Udirectional Link Detection,UDLD)是一个第二层协议,它允许通过光纤或双绞线以太网电缆连接的设备监控电缆的物理配置并检测单向连接的发生。
- IPSLA 用于发送 IP 或基于以太网的探头(probe)来监控和验证流量级别。仅在 ES3 上可用。
|
内容加载中,请稍后...
商品评论(0条)