本期主题：全方位服务，网聚渠道的力量

• 思科为局域网和无线网络提供准入控制
• Cisco Catalyst 2960系列交换机常见问题解答

NAC计划进入第二阶段 网络保护范围扩大

思科为局域网和无线网络提供准入控制

该计划已获60家厂商支持

日前，全球领先的互联网系统供应商思科系统公司在美国宣布，思科创新的网络准入控制（NAC）计划已经进入第二阶段，将为局域网和无线网络提供先进的准入控制功能，为所有可能的网络入口提供保护。思科还加强了NAC的功能，提供了更多的安全控制方法。NAC获得了业界越来越广泛的支持，IBM公司率先推出了支持NAC第二阶段的产品，首次加入NAC的Intel公司宣布将于年底推出集成NAC技术的工具。从2003年11月思科提出NAC计划以来，已经有60多家技术厂商加入该计划，超过14家厂商推出了相应的产品。

NAC计划大致分三个阶段实现。第一阶段，为集成多业务路由器和远程接入虚拟专用网（VLAN）集中器提供了安全准入控制，安全领域的主要厂商都成为了NAC的合作伙伴。在以后的各个阶段，NAC功能将被扩展到多个思科产品平台上，包括交换机、接入点、安全设备等。第二阶段的主要目标是提供交换机和无线支持。思科在NAC第二阶段所提供的新功能可以通过对广泛使用的Cisco Catalyst交换机、Cisco Aironet接入点和其他用于思科LAN、无线网络的设备进行软件升级而获得。此外，还包含了新版本的NAC设备，可以在单个设备上提供NAC的所有安全功能。NAC设备提供了一个方便、独立的安装方案，部署更灵活。

思科还拓展了NAC的管理功能，包括支持802.1x协议。新的协议将帮助NAC更加精确地控制不同设备为网络带来的安全威胁。思科还为NAC提供了“无代理”支持。如果某个设备没有安装思科信任代理，NAC会隔离该设备，但是该设备仍然可以利用思科合作伙伴所提供的软件进行扫描，包括Altiris、Qualys，以及来自于Symantec的Whole Security。

NAC是一项由思科赞助的行业计划，旨在利用网络基础设施加强网络的安全性。利用NAC，用户可以检验终端设备（包括台式机、笔记本电脑、服务器和PDA等）的安全可靠性，例如是否安装了最新的杀毒软件。如果NAC发现了不安全的设备，就可以阻止这些设备进入网络，并将它们限制于部分网段，或者通过自动纠正流程使它们符合安全政策的要求。

NAC为合作伙伴创建了一个基于网络的生态系统，使合作伙伴可以添加他们独创的安全技术。与以往的安全管理不同，NAC提供了一种统一的方法，让人们可以在向终端设备提供网络权限之前确保它们符合安全政策。

从思科于2003年11月推出NAC以来，已经有60多家技术厂商加入了该计划，超过14家厂商推出了相应的产品。预计到今年年底，推出相应产品的厂商将猛增到40多家。NAC计划作为一个长期的项目已经得到了合作伙伴的广泛支持。

最引人注目的是，Intel成为了第一家加入该计划的硅芯片制造商。Intel和思科将在今年年底合作推出与Intel

• 主动管理技术 (Intel AMT)集成的NAC技术。Intel AMT是一组全面的工具，旨在帮助IT管理员发现、修复和保护终端设备。业界领先的Intel芯片组中的一组基于芯片的新型技术可以在独立于计算机操作系统的情况下，保持网络连接。这使得网络管理人员能够从远程检测和修复发生故障的计算机或者其他终端设备——即使该设备已经关机或者操作系统无法正常工作。

作为NAC计划最著名的成员之一，IBM公司也在加强信息技术的安全性方面取得了重要的进展。IBM是第一个推出支持NAC第二阶段产品的厂商。IBM Tivoli Security Compliance Manager已经可以在采用思科技术的LAN和无线网络上支持NAC控制。IBM 产品能自动地隔离和修复某个不符合网络安全政策的客户端设备。IBM还升级了它的Tivoli Security Compliance Manager，以便让客户可以制定他们自己的安全政策，以及支持自动的客户端设备安全政策符合性检查和修复。

更多新闻，请点击 http://www.cisco.com/web/CN/aboutcisco/news_info/

Cisco Catalyst 2960系列交换机常见问题解答

产品概述

问：什么是Cisco® Catalyst® 2960系列交换机？
答：Cisco Catalyst 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和10/100/1000千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LAN服务。Catalyst 2960系列具有集成安全特性，包括网络准入控制(NAC)、高级服务质量(QoS)和永续性，可为网络边缘提供智能服务。

表1显示了Cisco Catalyst 2960系列交换机的完整列表。

表1 Cisco Catalyst 2960系列交换机
产品编号	说明
WS-C2960-24TT-L	24个以太网10/100端口和2个10/100/1000-TX上行链路端口
	1机架单元（RU）固定配置、多层交换机
	提供入门级企业智能服务
	安装了LAN基本镜像
WS-C2960-48TT-L	48个以太网10/100端口和2个10/100/1000-TX上行链路端口
	1RU固定配置、多层交换机
	提供入门级企业智能服务
	安装了LAN基本镜像
WS-C2960-24TC-L	24个以太网10/100端口和2个双介质上行链路端口（每个上行链路端口都有一个10/100/1000以太网端口和一个SFP千兆以太网端口，一次只能使用一个端口）
	1RU固定配置、多层交换机
	提供入门级企业智能服务
	安装了LAN基本镜像
WS-C2960-48TC-L	48个以太网10/100端口和2个双介质上行链路端口（每个上行链路端口都有一个10/100/1000以太网端口和一个SFP千兆以太网端口，一次只能使用一个端口）
	1RU固定配置、多层交换机
	提供入门级企业智能服务
	安装了LAN基本镜像
WS-C2960G-24TC-L	24个以太网10/100端口和4个双介质上行链路端口（每个上行链路端口都有一个10/100/1000以太网端口和一个SFP千兆以太网端口，一次只能使用一个端口）
	1RU固定配置、多层交换机
	提供入门级企业智能服务
	安装了LAN基本镜像

问：Cisco Catalyst 2960系列交换机支持哪些软件镜像？

答：Catalyst 2960系列提供了LAN基本镜像。LAN基本镜像集包括高级QoS、速率限制、安全过滤器、访问控制列表(ACL)和到网络边缘的组播。

问：Cisco Catalyst 2960系列交换机有哪些软件特性？
答：Cisco Catalyst 2960系列软件特性集包括能将DSCP映射到CoS或将Cos映射到DSCP的高级QoS；根据源/目的地IP地址、源/目的地MAC地址和TCP/用户数据报协议（UDP）端口号等参数进行的速率限制；以及通过ACL实现的先进安全性。除第三层和第四层查寻外，Catalyst 2960系列还提供了一些新安全特性，如802.1x和NAC，以及端口汇聚协议（PagP）、动态虚拟LAN（VLAN）和VLAN端口汇聚协议（VTP）修剪等易用特性。如需了解Catalyst 2960系列支持的完整软件特性列表，请参见Cisco Catalyst 2960系列EI产品简介，网址为http://www.cisco.com/go/catalyst2960。

问：什么是小型可插拔(SFP)收发器？
答：SFP收发器提供了从Cisco Catalyst 2960系列交换机到分发层交换机的千兆以太网连接。它们的功能相当于千兆位接口转换器(GBIC)，但体积要小得多。

问：什么是双介质上行链路？
答：双介质上行链路结合了一个10/100/1000TX铜缆端口和一个SFP千兆以太网端口。这两个端口不能同时使用，每次只能使用其中之一。这提高了上行链路灵活性，可以经济有效地使用基于光纤上行链路的高密度堆叠。双介质上行链路还为Cisco Catalyst 2960系列交换机堆叠提供了一条全双工、千兆位速度的中继线路，这是对于半双工Cisco GigaStack配置的改进。

问：Cisco Catalyst 2960系列交换机支持哪些SFP收发器？
答：Catalyst 2960系列交换机支持1000BASE-SX、1000BASE-LX/LH、1000BASE-ZX、1000BASE-T、1000BASE-CWDM、100BASE-FX、100BASE-LX10和100BASE-BX SFP收发器。

问：是否有对于Cisco Catalyst 2960系列交换机上可用的SFP收发器数目的限制？
答：无。您能以在Catalyst 2960 所有的SFP上使用相同的SFP收发器或以不同的SFP收发器进行组合。

问：Cisco Catalyst 2960系列交换机是否有冗余电源支持？
答：有。当一个Catalyst 2960系列交换机与思科冗余电源系统675（RPS 675）相结合时，可防止内部电源故障，而不间断电源（UPS）可防止电源中断，从而使融合式语音和数据网络实现最高电源可用性。有关Cisco RPS 675的具体信息，请访问：
http://www.cisco.com/en/US/products/hw/routers/ps2883/ps5066/index.html.

智能交换

问：我为什么需要在网络边缘部署智能性？
答：网络正在不断发展，在网络边缘出现了四种新趋势：

• 桌面计算能力提高
  
• 带宽密集型应用出现
  
• 高敏感数据在网络中扩展
  
• 出现了多种设备类型，如IP电话和WLAN接入点

这些新需求正与许多已有关键任务应用争夺资源。因此，IT专业人员必须将网络边缘看作有效管理信息和应用的提供的关键。随着公司日益依赖网络，将其作为战略性业务基础设施，确保网络的高可用性、安全性、可扩展性和对它的全面控制就比以前更为重要。通过向配线间添加思科智能功能，客户现可部署遍布整个网络的智能服务，从而一致地满足从桌面到核心再到WAN的要求。

通过Cisco Catalyst智能以太网交换机，公司可获得向其网络添加智能服务的全面优势。为进一步优化网络运行，部署具备以下特性的功能是十分关键的：能使网络基础设施高度可用以达到关键时间要求、可扩展以便于公司发展、高度安全以保护保密信息，且能区分和控制流量。

问：您能否更具体地说明一下思科智能交换将如何使我的网络受益？
答：新应用需更高带宽，并需区分和控制流量。与FTP或简单邮件传输协议（SMTP）相比，企业资源规划或ERP （Oracle、SAP等）、语音（IP电话流量）和计算机辅助设计及制造（CAD/CAM）等应用需更高优先级。向交换机的一个端口下载一个大型文件，这会增加该交换机上另一端口的语音流量的延迟，这种情况是用户极为不愿看到的。通过确保语音流量在网络中得到正确分类和优先级划分，可避免此情况。思科智能以太网交换机实现了出色的QoS，可确保网络流量得到分类和优先级划分，并避免拥塞。

网络安全

问：所管理的网络有什么安全需求？
答：随着网络内部威胁的增长，思科以太网交换机通过范围广泛的特性增强了数据安全性，这其中包括SSH协议和SNMPv3、ACL、802.1x、端口安全、专用VLAN边缘、DHCP接口跟踪器、MAC地址通知和RADIUS/TACACS+。根据您的安全需求，Cisco Catalyst 2960系列可与防火墙、VPN和入侵检测系统等设备配合使用。

问：为实现安全，我应如何防止未授权用户访问我的网络？
答：Cisco Catalyst 2960系列支持802.1x，它可与RADIUS服务器共用，在用户访问网络时对其进行验证。802.1x标准可提供端口级安全，通常用于无线局域网。此外，通过使用ACL，可限制对于某些网络部分的访问。它可以根据MAC地址、IP地址或TCP/UDP端口来拒绝用户的访问。ACL查询在硬件中完成，不会影响转发和路由性能。另一种保护方法是使用端口安全性，它根据MAC地址来限制对端口的访问，因此确保只有合法用户才能登陆网络。

问：为实现安全，我该如何监控或跟踪我的网络中的活动？
答：入侵检测系统就是专为监控和跟踪网络活动而定制的。Cisco Catalyst 2960系列提供了MAC地址通知等特性，可对入侵检测系统构成补充，MAC地址通知会向管理站发送报警，以使网络管理员知道用户进入网络的时间和地点，并采取相应措施。DHCP接口跟踪器(选项82)特性将交换机和端口ID提供给DHCP服务器，因此可跟踪用户与网络连接的地点。DHCP监听使管理员能跟踪动态和静态IP/MAC映射表。

问：为实现安全，我该如何在配置或故障诊断期间保护管理密码和进入交换机的流量？
答：如需在交换机的配置或故障诊断期间(如密码或设备配置设置)保护管理流量，最好的方式就是加密流量。SSH和SNMPv3都可在Telnet和SNMP连接期间提供数据加密。

问：Cisco Catalyst 2960系列是否支持SSHv2？
答：支持。

网络管理

问：Cisco Catalyst 2960系列交换机是否支持思科交换机集群技术？
答：支持，它们可由使用思科交换机集群技术的思科网络助理软件管理。思科网络助理(CNA)是一个基于PC的网络管理应用，适用于用户数目不超过250名的中小型企业的LAN。思科网络助理提供了对于思科交换机、路由器和WLAN接入点的集中管理。它支持范围广泛的Cisco Catalyst智能以太网交换机。通过便于使用的GUI，用户可配置和管理多种交换机功能，并启动思科路由器和思科无线接入点的设备管理器。思科网络助理是免费提供的，可从Cisco.com下载。

思科网络助理具有一个集成化管理界面，用于提供智能服务，使用户可凭借这一强大工具管理整个LAN。通过将传统LAN交换的简洁性集成到多层交换、QoS、组播和安全ACL等智能服务，思科网络助理为管理员提供了以前只有最复杂的网络才能获得的优势。思科网络助理的向导模式可引导您完成高端特性的配置，为对上下文敏感的问题提供增强在线帮助。此外，解决方案向导可自动配置交换机，进行视频流传输或视频会议。

思科网络助理支持基于标准的连接选项，如以太网、快速以太网、思科快速EtherChannel技术、千兆以太网和千兆EtherChannel连接。因为思科交换集群技术不受专用堆叠模块、堆叠电缆或互联介质的限制，思科网络助理可将传统集群域扩展到单一配线间之外，让您可混合和匹配多个互联，来满足特定的管理、性能和成本要求。

Cisco Catalyst 2960系列交换机可配置为思科交换机集群中的命令交换机或成员交换机。思科网络助理还允许您指定一个备用或冗余命令交换机，当主命令交换机发生故障时可接替其职责。其他重要特性还包括能同时配置多个端口和交换机，以及立即执行整个集群的软件升级。带宽图和连接报告提供实用的诊断信息，拓扑图则使网络管理员可快速查看网络状态。

定位

问：Cisco Catalyst 2960系列交换机相对于Catalyst 2950系列交换机的定位是什么？
答：Catalyst 2960系列交换机是思科的智能交换和10/100/1000产品。这两个产品系列在网络中有类似的拓扑定位，部署了网络级的智能服务，如高级QoS、速率限制、ACL、组播管理和高性能路由等。与Catalyst 2950系列相比，Catalyst 2960系列提供了10/100/1000产品型号，并通过用SFP千兆以太网端口来替代基于GBIC的端口，实现了双介质上行链路选项的灵活性。

问：Cisco Catalyst 2960系列交换机相对于Catalyst 3560和3750系列交换机的定位是什么？
答：Catalyst 3750和3560系列适用于固定配置的企业10/100和10/100/1000应用。当一组互联的交换机需要内置于Cisco StackWiseTM技术的更高可用性、冗余性、性能和易用性时，Catalyst 3750交换机是最理想的产品。Catalyst 3750和3560系列还拥有支持IEEE 802.3af和思科预标准以太网供电的快速以太网和千兆以太网配置。

服务和保修

问：Cisco Catalyst 2960系列交换机提供什么保修？
答：Cisco Catalyst 2960系列交换机具有思科有限生命周期硬件保修。思科网站免费提供软件持续升级服务。

有限生命周期保修

如果购买了合格的Cisco Catalyst产品，即可免费获得有限生命周期保修。如需具体信息，请访问
http://www.cisco.com/univercd/cc/td/doc/es_inpck/lh2cen__.htm。

软件升级

此外，思科免费为这些平台提供了LAN接入交换机上的Cisco IOS®软件的持续升级。有关产品寿命、所购买的版本和特性集的升级信息，将通过软件中心提供。网址为
http://www.cisco.com/public/sw-center/sw-switching.shtml。

Cisco Catalyst 2960系列将具有软件持续升级服务。升级仅适用于思科提供的版本。本声明可取代以前所有的保修或软件声明，如有变更，恕不另行通知。

问：思科为Cisco Catalyst 2960系列交换机提供了哪些服务和支持？
答： Cisco Catalyst 2960系列拥有全套生命周期服务和支持。思科直接或通过合作伙伴提供了技术支持服务和高级服务，适用于从部署到运营乃至优化等所有阶段。

技术支持服务

思科通过思科SMARTnet®和思科SMARTnet Onsite提供技术支持服务。思科SMARTnet可丰富您的工作人员的资源，使他们能在线或通过电话获得技术经验，并提供一系列硬件提前更换选项。思科 SMARTnet Onsite添加了售后工程师的服务，这对于人手不足或不能自行进行硬件更换的站点来说十分重要，从而使硬件提前更换特性更为完善。如需有关思科SMARTnet的更多信息，请访问： http://www.cisco.com/en/US/products/svcs/ps3034/ps2827/ps2978/serv_home.html。

高级服务

思科提供了全面的部署解决方案，包括项目管理、项目规划、配置、分阶段实施和部署协调等，可确保安装和部署准确无误。配置服务现包括开发和验证QoS和组播等智能服务的配置。如需了解更多信息，请访问： http://www.cisco.com/warp/public/cc/serv/mkt/sup/advsv/index.shtml。

产品和联系信息

问：我在哪里可以找到有关Cisco Catalyst 2960系列交换机的技术和产品规格，以及更多具体信息？
答：有关产品简介和产品规格等产品文档，请访问Catalyst 2960系列网站：
http://www.cisco.com/go/catalyst2960。

问：Cisco Catalyst 2960系列交换机的产品编号是什么？何时可以订购？
答：Cisco Catalyst 2960系列交换机的产品编号和订购信息位于
http://www.cisco.com/go/catalyst2960。