通过2970交换机为桌面提供千兆连网(1)

千兆位以太网一直以来都主要是企业骨干网或数据中心采用的技术。但现在千兆位以太网可提高最终用户效率的事实帮助它扩展到了桌面，首先部署于独立的高性能工作组中，最终作为广泛的千兆位以太网部署的一部分，进入企业布线室中。

与快速以太网（10/100Mbps）相比，千兆位以太网提供了传统客户机/服务器应用的大幅度、可衡量性能提高（参见“充分利用线路”，InfoWorld，2002年一月刊）。此研究发现，“千兆位以太网的事务处理数据库的吞吐率比100Mbps以太网几乎高出50%，工作流应用性能仅受服务器I/O容量的限制，很明显它可为企业桌面用户提供实实在在的优势”。此性能提高能从当前部署的服务器/PC中获得最大回报，从而直接实现了成本节约。

来自领先制造商的台式机和笔记本电脑现可在企业级平台上提供10/100/1000性能，此工作效率的提高使更多应用成为可能，千兆位以太网首先将提供给独立高性能工作组中的超级用户，最终作为整体PC和网络升级周期的一部分部署于所有知识员工。而且因为千兆位以太网与快速以太网兼容，升级过程可顺序进行。

通过思科Catalyst 6500和4500系列，以及适用于中型企业和大型企业分支机构部署的Catalyst 3750系列等各类独立式、堆叠式和机箱式交换机，思科使您的网络向千兆位升级时既快速又简便，而且提供业界领先的性能、功能、可扩展性和灵活性的智能服务，使得向千兆位以太网的移植更为快速、方便。现在，思科又推出了Catalyst 2970系列交换机，为高性能工作组开始移植到千兆位以太网提供了经济有效的平台。

顺利移植到千兆位以太网

使最终用户能利用1000Mbps，会快速拥塞核心资源，为确保关键业务流量，包括IP语音等实时流量能得到划分并应用适当的QoS策略，智能服务就更为关键。同时，网络基础设施必须保持安全——保护保密信息，防止未授权人员进入网络，且必须保持不间断运行，这些都应在千兆位线速下实现。

Cisco Catalyst 2970系列交换机概览

Cisco Catalyst 2970是一款独立的固定配置L2+以太网交换机，在一个小型单机架单元机箱中有24个10/100/1000Base-T端口。它凭借以下主要特性和更多功能，超越了向桌面快速、安全地部署千兆位以太网的要求：

先进的QoS

出色的多层精确QoS特性缓解了网络拥塞，确保网络流量得到正确的划分和赋予相应的优先级。

自动QoS/语音VLAN。 此特性可自动发现Cisco IP电话并配置交换机，以便应用相应的QoS策略（如分类和排序），从而正确服务于电话流量。

多层QoS。Catalyst 2970能遵从、甚至超越第2层服务级（CoS 802.1p）和第3层个性化服务代码点(DSCP)。此交换机可根据源/目的地MAC和IP地址 以及第4层TCP/UDP端口划分流量。这使Catalyst 2970能用业界标准DSCP值检查并为流量标记正确的优先级，从而令网络管理员控制优先级，而非最终用户，确保关键业务流量获得最高的优先级。

流量整形。Catalyst 2970能进行流量整形。与交换机简单地丢弃超过所配置阈值的分组的流量监管不同，流量整形缓存分组，以使流量保持在阈值范围之内（图1）。

图1 整形与监管的对比

因此流量整形提供了更可预测的性能，对TCP分组来说更是如此。分组缓存使TCP后退算法可减缓传输端的速度，进一步减少分组丢失。

4个输出队列。Catalyst 2970每端口有4个输出队列，可精确控制对4类流量（关键、高、中、低）的带宽分配。

2个输入队列。每端口2个输入队列可更好地避免拥塞，确保最关键的流量获得优先处理。

整形循环（SRR）和严格优先级（SP）排序。2970提供了整形循环（SRR），这种成熟的带宽分布算法可顺畅地在不同优先级队列间分布流量，防止缓存过载。

加权队尾丢弃（WTD）。用于输出或输入队列上的拥塞避免。

无性能降低的精确QoS。限速能以8Kbps的精确增量设置，单一端口上可使用64Kbps汇聚器或独立监管器。

安全性

通过Cisco Catalyst 2970系列交换机上范围广泛的安全特性，企业可保护重要信息，防止未授权人员进入网络，保护私密性并保持不间断运行。

802.1x及其增强可防止未授权接入并确保用户只获得其指定权利。它能使用户动态管理网络接入的细化级别。当用户验证时，无论他们从何处连接到网络，都可被分配到一个VLAN和/或ACL。此功能使IT部门能实施强大的安全策略，且不会影响用户的移动性，并只需最少管理和成本开销。

访问控制列表（ACL）。Catalyst 2970可使用基于端口的ACL（PACL）、基于VLAN的SCL和基于时间的ACL。

端口安全性根据与其相连的设备的MAC地址来限制千兆位以太网端口上的接入，这可限制插入一个交换机端口的设备总数，因此降低了恶意无线接入点或集线器入侵的风险。可选择配置一个时间窗口，以便在一个特定时间段后，老化特性会从交换机中删除MAC地址，从而允许另一设备连接到同一端口。这样在启动端口安全性时，无需重设端口即可更换计算机网卡。

TACACS+，Kerberos和RADIUS验证可对交换机进行集中接入控制，并使未授权用户不能改变设备配置。

SSH和SNMPV3对网络管理信息加密，因此可防止网络受到干扰或监听。

MAC地址通知和DHCP接口跟踪器（选项82）可向管理站发送报警，以监控网络和跟踪用户，以使网络管理员了解用户在何时、从何处进入网络。

专有VLAN边缘可隔离交换机上的端口，确保流量直接从输入点通过一条虚拟路径传输到汇聚设备，而不会传输到另一端口。

SPAN（交换端口分析器）使得思科安全入侵检测系统（IDS）能在发现入侵者时采取行动。