思科专业服务业网络解决方案
思科大中华区合作伙伴事业部
2011 年 5 月
思科专业服务业网络解决方案
目
录
1. 专业服务业信息化发展趋势 ............................................................................. 4
1.1
1.2
专业服务业的发展 ..................................................................................... 4
信息化现状及发展要求 .............................................................................. 5
2. 思科企业智能网络架构 .................................................................................... 8
3. 专业服务业基础网络解决方案 ....................................................................... 10
3.1. 总部局域网 ............................................................................................... 10
3.1.1. 接入层 ................................................................................................ 11
3.1.2. 分布层 ................................................................................................ 11
3.1.3. 核心层 ................................................................................................ 13
3.2. 广域网和远程站点 ................................................................................... 14
3.3. 应用优化方案 ........................................................................................... 15
3.4. 解决方案主要特点 ................................................................................... 16
3.5. 基础网络设备参考 ................................................................................... 18
4. 专业服务业网络安全解决方案 ....................................................................... 20
4.1. 专业服务业网络安全现状和挑战 ............................................................ 20
4.2. 互联网边缘安全设计................................................................................ 21
4.3. 思科一体化安全解决方案 ........................................................................ 23
4.3.1. 思科 ASA 5500 安全解决方案 .......................................................... 23
4.3.2. 远程接入 VPN 和分支机构安全 ....................................................... 25
4.3.3. Web 安全网关 ................................................................................... 28
4.3.4. 电子邮件安全网关 ............................................................................. 29
4.3.5. 构建内部基础网络的安全 ................................................................. 30
4.4. 安全设备参考 ........................................................................................... 34
5. 专业服务业统一无线解决方案 ....................................................................... 35
5.1. 解决方案概述 ........................................................................................... 35
5.2. 思科统一无线网络架构 ............................................................................ 36
5.2.1. 访客与合作伙伴无线接入 ................................................................. 37
5.2.2. 远程办公解决方案 ............................................................................. 38
5.2.3. 移动协作解决方案 ............................................................................. 41
5.2.4. 思科无线技术特色 ............................................................................. 42
5.3. 无线设备参考 ........................................................................................... 48
6. 专业服务业协作通信解决方案 ....................................................................... 49
6.1. 专业服务业协作通信的现状 .................................................................... 49
2
思科专业服务业网络解决方案
6.2. 思科统一通信解决方案 ............................................................................ 50
6.2.1. 总部统一通信架构的高可靠性设计 .................................................. 52
6.2.2. 分支机构统一通信解决方案 ............................................................. 54
6.2.3. 思科远端网关本地存活功能（SRST） ........................................... 55
6.2.4. 全新 ASA500 系列防火墙更加简化接入 ......................................... 57
6.3. 专业服务业的协同应用 ............................................................................ 58
6.3.1. Cisco TP/Tandberg 视频通讯解决方案.......................................... 58
6.3.2. Cisco Webex 协同会议系统 ............................................................. 60
6.4. 协作通信设备参考 ................................................................................... 62
7. 思科统一计算在专业服务业的应用 ............................................................... 64
7.1. 思科统一计算与虚拟化概述 .................................................................... 64
7.2. 思科 C 系列机架式服务器的应用............................................................ 65
7.3. 常用的思科统一计算 C 系列机架式服务器 ............................................ 68
8. 结束语：专业服务业用户为什么选择思科.................................................... 69
3
思科专业服务业网络解决方案
1. 专业服务业信息化发展趋势
1.1 专业服务业的发展
随着网络科技的飞速发展以及全球经济一体化进程的不断深入，信息高速公
路的建设及网络化管理愈来愈为人们所重视并应用到各个领域，同时也为专业服
务业的发展注入了无穷的生机。所谓专业服务，是指某个 组织或个人，应用
某些方面的专业知识和专门知识，按照客户的 需要和要求，为客户在某一领
域内提供特殊服务。专业服务业主要包括：法律、会计（含会计、审计 和
簿记等）、商业管理与咨询服务、工程及技术服务、建筑设计、教育与服饰
设计、质量监督及检测等服务机构。
专业服务是由组织或个人应用某些专业知识和专门知识或者大量的实
践经验来为客户或消费者提供某一领域的特殊服务。专业服务具有技术化、
知识化的特征，它是知识和科技含量很高的服务，是 目前发展最快的行业
之一，未来将继续获得巨大的发展。
专业服务业的产业基础是第三产业，专业服务业从第三产业中分离出来
的，是社会分工对多样化社会需求的适应结果。专业服务业的发展可分为两
个主要的阶段。第一阶段是从 50 年代到 70 年代中期，是专业服务初步发
展阶段，开始应用现代科技手段和通讯手段。第二阶段是从 70 年代到现在，
是专业服务全球化发展时期，专业服务的 国际贸易迅速增长，全球进出口贸
易的中心逐渐从货物贸易的进出口到服务贸易进出口，专业服务业的重要性
和对区域经济的贡献度不断提高。
近几年来，专业服务业的发展较为迅速，呈现出综合性、协作性 的特
征，并且越来越趋于联网化、系统化和规范化，具体表现在：
 综合性，专业服务业的企业，人员以多种知识结构为特征，研究多
具有综合性，而且，目前一些由世界银行、亚洲开发银行等国际援助
组织委托的咨询机构，政府企业等决策机构也成为其主要的咨询用户。
另外，从全世界来看，现在越来越多的咨询服务已不再是脱离其他服务
内容而进行孤立服务了，而是在发展包括咨询服务在内的一揽子服务业
务。
 协作性，咨询服务内容由单一性向多样性发展，以及各专业咨询服务机
构之间的协作，包括国内各咨询机构之间和国际咨询机构之间的协作发
展。
4
思科专业服务业网络解决方案
 联网化，联网化是开展专业服务合作咨询的基础，有助于增加信息使用
量和人才之间的取长补短，扩大业务能力，提高服务质量。而且，在专
职咨询队伍不断扩大的同时，兼职咨询人员也在不断增多，联网化发展
已成为广泛采用的一种专业服务咨询合作方式。
 系统化，咨询机构和服务对象之间通过现代通讯手段形成系统化的服务
系统，并且越来越多的咨询机构和服务对象建立起固定的业务联系。
 规范化，专业服务咨询机构的组织机构、所依托的数据库、咨询人员素
质要求和咨询服务程序，都越来越采用国际通用的标准。规范化有助于
专业服务咨询机构和人员之间开展协作。国内咨询业经过一段时期的发
展以后，也逐步谋求向国外发展，在国际咨询市场上展开竞争。
1.2 信息化现状及发展要求
专业服务业发展的规模化和专业化，也对专业服务人员的管理提出了现代化
的要求。随着 IT 产业的迅猛发展，实行网络化管理，已成为实现专业服务业现
代化管理的重要途径。相比其它行业，专业服务行业的专业性、独立性很强，机
构或事务所中的各个咨询专家除共同合作办理的项目之外，彼此之间的工作很少
有交叉的地方。实践中总是根据不同项目的需要，几名咨询专家及助理进行组合，
分工负责、共同承办一个项目。下面就以律师事务所为例，解释专业服务业的信
息化现状和发展要求。
计算机信息化管理不仅可以大大提高律师的办公管理工作效率，使我们更好
地为公司为客户提供优质高效的服务。同时对于拓展与外界联系和沟通，建立与
客户快速联络的桥梁，为律师事务所带来更多的商机将起着积极的作用。
在律师事务所中，尤其是有一定规模的事务所，每名律师都根据自身的优势
有其专攻的方向，例如负责知识产权的，不会涉及到刑事案件；负责诉讼案件的，
不会干涉到非诉的部分；专门负责涉外部分的，很少涉及国内的案件。律师不是
“万金油”，他们在纷繁复杂的案件中各司其职，共同合作以最优的方式实现案件
的办理。因此，实践中的情况常常是，每名律师的手中有多个不同的案件，每个
案件互不相关，并且当事人、合作对象也不一样，然而每个案件却又都同时进行
着。在复杂的合作办案过程中，某位律师分别牵扯到了与多个不同合作伙伴的关
系，再加上他们很可能不在同一个地方办案，因此他们之间共享联系人、互换文
件、数据、彼此之间的无障碍沟通协作十分重要。
另外，律师行业十分注重证据的保持，因此，文档、电子邮件在日常工作中
占有很大比重，其往来证据与数据的安全保密性总是摆在首要位臵。
5
思科专业服务业网络解决方案
目前，在律师事务所中，局域网和广域网接入已经得到较为广泛的应用。此
类应用主要表现在两个方面：内部主要应用为网络会议、案件讨论、信息发布、
资源共享、人员管理、财务管理、业务管理和事务所内各机构之间的沟通协作等；
在对外方面主要体现为事务所之间的业务交流、事务所与主管部门之间的工作联
络以及事务所与社会之间的公众监督等。
同样，信息化也将成为会计师事务所行业做大做强的助力器。会计师事务所
做大做强需要在加强内部治理机制建设、不断开拓新的业务领域、开发人力资源、
加强事务所文化建设、不断提升执业质量等五方面做努力。在这五个努力方向上，
管理信息化都是不可或缺的。
经过深入的行业调研与分析，我们认为，专业服务业是一个高知识含量的项
目型组织，其经营成本主要是人力成本，因此一个高效能的公司或机构信息管理
平台，应是一个以项目管理为核心，集自动化办公管理、信息互动管理、申请审
批管理、客户关系管理、人事管理、知识管理、资产管理、企业门户网站等功能
一体化的分权限的信息互通的管理平台，实现全面的实时协同管理。
建立网络化信息管理平台的必要性，主要表现以下方面：





进行无纸化办公；
实现远程协同办公，节省办公场所；
实现无障碍沟通和信息共享；
实现事务、财务、业务一体化管理；
快速扩展、加强有效管理；





节约成本，减少浪费；
扩大业务，多元化经营和增加营业收入；
提高效率，加快响应速度；
有效管理客户资源；
强化管理、规避风险；





提高服务质量和客户满意度；
提高企业竞争力、推广企业品牌和提高社会影响力；
积累企业成功经验和建立企业知识库，实现企业良性发展；
制度建设和企业文化建设；
资源整合，合理分配资源；
国内外已经有许多专业服务机构利用互联网发展无纸办公室、视讯会议、虚
拟办公室员工训练、知识库、营销利器、提供客户线上咨询、电脑审计、报税、
商务认证等多项服务。在国外，许多会计师已不需要劳累奔波至客户公司，而是
利用 Internet 在事务所办公室核查客户的帐、提供客户咨询、审计、签证等服务；
6
思科专业服务业网络解决方案
另一方面有分公司的事务所也能利用虚拟办公室(Virtual Office)和合伙人沟通及
开会。信息化对事务所的业务、组织形态及工作环境等各方面均带来非常大的冲
击和影响。
7
思科专业服务业网络解决方案
2. 思科企业智能网络架构
传统上，企业是通过保存在计算机本地文件中的信息来开展业务，但是这种
信息使用方式将很快销声匿迹。最新的发展趋势是用户将通过接入网络访问关键
任务信息、下载信息或使用网络应用。用户将共享通用的受保护存储、基于Web
的应用，甚至是云服务。他们可能会在家中、办公室或酒店房间开始一天的工作，
登录工作所需的应用、更新日程安排或查看电子邮件——这些任务对于从事专业
服务的企业或机构尤其重要。如今，登录网络来完成工作已经变得像打开电灯来
看清办公桌一样简单自然，人们对它已经习以为常。更进一步讲，即使您计划采
用的电力设施或其它设施陷于瘫痪，借助网络您也能继续工作，它可支持移动访
问和远程访问，即使您换了办公室也能访问原有的应用和信息。
鉴于网络在企业运营和创新方面的重要地位，员工生产率的提高将建立在对
通信功能和资源的不间断访问上。专业服务业机构通常组织结构灵活，在各大城
市设有分支机构，为了满足各种设备、多种连接类型和各地用户的需要，网络变
得越来越复杂。低劣的设计、复杂的配臵、维护任务的增多或软硬件故障等因素，
加大了网络中断的风险。与此同时，专业服务业企业或机构在信息化系统的管理
上和运维上，都希望快速高效地运用投资，达到简化运营、降低成本和提高投资
回报的目的。思科企业智能网络架构采用模块化的方法和经过测试的可互操作设
计来构建网络，将帮助专业服务业企业或机构减少风险和运作问题，提高部署速
度。
思科企业智能网络架构由三个基本的模块化组件构成，分别是网络基础架构、
网络服务和用户服务。它们之间各自独立又相互依存，呈一个分级结构。
8
思科专业服务业网络解决方案
网络基础架构
与建筑物的底层基石一样，网络基础架构是其它所有服务和应用赖以生存的
底层基础设施。作为整体架构的一个模块，网络基础架构可支持无缝传输，能够
确保信息在两个地点之间可靠地传递。
对于普通用户来说，网络基础架构在正确部署后能够透明运行。用户只需将
他们的台式机、笔记本电脑或智能设备连接到网络，就可以更新电子邮件、处理
订单或点击打开网络链接。这一切都依赖智能思科设备构成的基础设施而实现，
包括路由器、交换机和无线接入点等。
网络服务
虽然所有的建筑结构可能都会采用相同的建筑材料，但设计和结构精良的建
筑会考虑使用要求，从而提高其使用价值。
网络服务能够使网络环境更加适应您的独特需求，即使您采用的是标准设备。
即便用户并未意识到他们的网络连接是借助VPN 支持远程访问，或他们已经无
缝穿越了一个防火墙，但这些服务的存在无疑为他们带来了更高的自由度和可用
性。不在办公室时，用户可能只知道需要点击远程访问图标，然后输入密码，但
他们不知道或并不关心这些服务的运行机制。
思科智能网络服务，包括防火墙、web 安全、广域网优化和访客接入等，
旨在通过互操作提供无缝、透明的解决方案。
用户服务
用户服务位于网络基础架构和网络服务层之上，直接面向最终用户。比如早
上上班时，我们乘电梯到达办公室所在的楼层，进入办公室后打开电灯，按下电
话按键收听语音留言。基于网络的用户服务，如电话、企业资源规划（ERP）应
用、电子邮件和其它业务应用等，依靠与网络相连的桌面或便携式平台来传输信
息。众多网络架构中常见的用户服务包括思科统一通信、WebEx 协作和网真。
9
思科专业服务业网络解决方案
3. 专业服务业基础网络解决方案
由于用户依靠网络来获取工作所需的信息并可靠地传输语音或视频，网络必
须具备永续、智能的传输功能。即使在局域网骨干拥有大量带宽的今天，仍然有
一些性能敏感型应用容易受到抖动、延迟和丢包的影响。网络基础架构的功能就
在于提供高效的容错传输机制，对应用流量进行区分，以便在网络出现短暂拥塞
时做出合理的负载共享决策。不管用户采用的是有线还是无线网络连接、位于总
部还是远程站点，网络都必须对流量实施优先级划分和排队，力争实现最高效的
路由。
专业服务业的网络主要包括企业总部局域网络、广域网和分支网络，这几部
分网络进行互联，实现数据、语音和视频的实时通信。
3.1. 总部局域网
在总部，局域网不但负责为本地用户提供连接，还充当着连接广域网、数据
中心、服务器机房和互联网的枢纽，由此成为了网络的关键组成部分。在传统的
有线局域网连接之外，还包含无线局域网连接，用于支持用户移动性，并且允许
将功能单一的区域临时变成可全面访问网络资源的会议室。
总部局域网需要高可用性（HA）设计，以支持推动机构正常运营的关键任
务应用和实时多媒体通信。在其它许多局域网设计中，用于支持永续性的冗余链
路处于备份和闲臵状态。而在思科智能企业架构——面向企业的无边界网络局域
网设计中，所有链路都在积极地传输流量，这样不但避免了传统冗余设计的复杂
性，还提高了网络性能。
10
思科专业服务业网络解决方案
为了适应用户由少到多的增长，我们对局域网进行了分层设计，支持直观和
无缝的可扩展性。
3.1.1. 接入层
接入层是用户控制和操作的设备接入网络的位臵。接入层可将以前成本不菲
的千兆以太网或802.11n 无线等高速连接作为标准配臵提供。由于接入层承担
着连接客户端设备与网络服务的任务，因此它在防止用户、应用资源及网络本身
遭受人为错误和恶意攻击方面发挥着重要作用。接入层还可提供以太网供电、
QoS 设臵和IP 电话VLAN 分配等自动化服务，以降低运营要求。
在接入层，分别在每楼层放臵Catalyst 3560或2960等交换机，与汇聚交换
机相连，支持10/100/1000 Mbps连接到电脑，并且支持堆叠。另外，接入层还
可以采用思科精睿300系列交换机。
思科300系列由多个固定配臵网管型以太网交换机构成。其型号包括8到48
个端口的快速以太网连接以及10到52个端口的千兆以太网连接，为接入网络提
供了灵活多变的选择。思科300系列交换机均具备针对数据、语音、安全、以及
无线技术的高级安全管理功能及各项网络特征，同时，还具有易于部署和配臵的
特点，能够充分发挥受控网络服务的优势。
3.1.2. 分布层
网络分布层的主要作用在于，当某个地点需要多个接入层交换机来支持要求
的用户数量时，它可以提供一个汇聚点。除简单的汇聚功能之外，许多设计中的
分布层还充当IP第三层分组交换、路由和服务的第一站。由于分布层服务于大量
11
思科专业服务业网络解决方案
的用户和接入地点，因此它需要具备HA 设计，而这通常会为管理可用性和路径
选择造成极其复杂的冗余链路和协议交织，如生成树协议（STP）和第一跳路由
协议（FHRP）。在传统的双机箱分布层设计中，如果多个带有冗余上行链路的
接入层交换机使用同一个语音或数据VLAN，就会造成一个环路，STP 检测到环
路后会通过关闭其中一个冗余上行链路来解决该问题。这种主动的STP 环路避
免方法有几个缺陷：如果不关闭冗余上行链路，链路中断的恢复速度可能会显著
降低；为了防止环路必须关闭冗余路径，而这会减少可用带宽；如果配臵和使用
不当容易发生错误，或导致单向通信故障。
本文中的架构通过在分布层采用永续的虚拟交换设计，对传统设计进行了改
进。在虚拟交换设计中，两个物理交换机显示为单个交换机或一个堆栈，以此实
现分布层设备冗余性，或使用单个带有冗余逻辑和电源的交换机。这种简化的设
计采用EtherChannel 和多机箱EtherChannel，来支持冗余接入层上行链路积极
传输流量。针对故障链路，EtherChannel和多机箱EtherChannel 能在不到一秒
钟的时间内实现故障切换并消除STP 环路。这种永续性设计无需FHRP，将配
臵的复杂性降低了一半，简化了网络的故障排除操作，并能在发生故障时提供快
速恢复。
12
思科专业服务业网络解决方案
优势:





永续的分布层不但提高了故障恢复速度，还降低了复杂性；
智能的接入层可在保持用户透明性的同时，防止用户和网络受到恶意攻
击；
冗余链路在传输流量时不会在网络中造成危险的第二层环路；
从较小的远程站点局域网到大型高密度园区局域网都采用统一的设计，
降低了运营开支；
不管用户采用总部局域网还是远程局域网，都能获得一致的用户服务；
在分布层，选用Catalyst 3750或3560交换机，通过光纤双千兆链路分别上
连到核心交换机Catalyst 6500或4500，任意一条链路故障不影响网络的正常运
行。
3.1.3. 核心层
核心层是局域网的第三层，也是最后一层。当一个共臵（colocated）拓扑
中存在多个分布层而且只使用第三层IP路由链路时，核心层负责提供汇聚功能。
由于它是大型局域网的核心层、广域网和互联网边缘的互联区域以及通往共臵数
据中心的连接点，因此核心层的设计遵循最高的可用性标准即24x7x365。我们
设计的核心层消除了复杂性较高的服务或高接触性服务，以减少升级、维护或复
杂配臵更改过程中的计划内或计划外中断。核心层基于两个在物理上和逻辑上分
离的交换机，实现了更高的可用性，同时又没有加剧负责交付更多接入层服务的
分布层的复杂性。
网络核心层选用Cisco Catalyst 6500或4500作为核心交换机，提供多个千
兆光纤模块，并与汇聚层交换机相连，使整个网络形成千兆主干。另外，中心交
13
思科专业服务业网络解决方案
换机在满足用户目前需求的基础上，将来还可接入万兆接口模块，充分实现了对
网络的可扩展要求。
3.2. 广域网和远程站点
不管是在总部还是在远程站点，信息访问和数据流的畅通与否将直接影响您
日常工作的进行。企业对总部和远程站点的要求不尽相同，因此广域网架构必须
具备灵活性和可扩展性。
本文提供了一个强大的广域网设计，能够运用普通的技术和技巧从较小的广
域网规模扩展到500个远程站点。这种方法使该架构能够适应更多客户的部署要
求，而无需大规模定制。此外，拥有小型广域网的企业还可以随着需求的增长以
统一的方式构建并扩展广域网。
远程站点的局域网通过广域网连接到公共传输网络。远程站点是指员工代表
企业经营业务的远程分支机构。远程员工需要获得与总部员工同等水平的应用访
问权限，但远程站点的员工通常少于总部员工。根据远程站点业务的重要性和该
业务能否移往他处，您可以采用不同级别的冗余性，以保护通信免受广域网中断
的影响。典型的企业广域网能够互联所有的运营地点，并将所有远程站点流量汇
聚到拥有共臵数据中心的总部，或汇聚到一个包含主用或备份数据中心的独立运
营地点。
广域网路由器的主要功能是在远程站点和应用所在的主站点之间传输数据。
远程站点能够支持几个到数百个使用计算机、IP 电话和无线语音与数据服务的
用户。远程站点路由器提供了一个公共平台，用于支持日益增多的服务和远程站
点应用不断提高的性能要求。
14
思科专业服务业网络解决方案
优势:


通用的远程站点平台和集成服务降低了运营开支；
基于 IP 的传输设计支持所有大型电信运营商的广域网连接服务；



灵活、可扩展的设计提高了设计一致性，降低了复杂性；
信息加密可保护在公共传输网络上传输的业务数据；
远程站点连接包含基本连接选项和高永续性连接选项，以满足多种需求；
公共广域网传输方案多种多样，从MPLS VPN到宽带互联网或传统的专用线
路不一而足。思科架构设计基于IP分组传输，为保护互联网上数据的私密性提供
了加密功能，由此适用于所有公共传输方案。其灵活性使您能够混合使用MPLS
VPN服务和基于互联网的VPN重叠功能，提供多种连接选项，这样不但实现了
永续性，还通过减少IP 传输选项降低了复杂性。因此，现在企业可以利用标准
的模块化方法构建适合自身需求的广域网。
广域网络路由器选择，总部可选高端7600系列、ASR1000系列或者ISR高
端3900E系列路由器。分支机构可选择思科ISR800/1900/2900系列路由器，或
者思科精睿RV系列路由器。
思科精睿RV系列路由器，全部支持VPN的功能，既有支持无线，又有支持
有线方式。路由器提供4或者8个交换端口，也有双WAN口的路由器可供选择。
3.3. 应用优化方案
应用优化通过消除数据冗余和服务缓存保证了广域网带宽的最佳利用，从而
15
思科专业服务业网络解决方案
提高了网络效率。在许多情况下，企业通过减少现有的非优化网络流量，可以避
免在部署新应用时为广域网链路增加带宽。借助应用优化，IT部门能够将远程站
点的应用服务器集中放臵在数据中心，同时可通过优化繁琐的局域网协议保持本
地局域网级别应用的性能。
您可以将应用优化解决方案作为集群设备部署在广域网汇聚层，实现可扩展
和永续的运行，也可以将此功能集成在远程站点路由器中，以减少占地面积，简
化运营。该设计所采用的统一方法不受设备外形的限制，简化了部署和管理。此
解决方案将把流量透明地重新定向到应用优化引擎，以最大限度降低对应用的影
响，减少单点故障。思科广域网优化所采用的无隧道方法意味着，QoS 策略能
够与同一链路上的优化流量和延迟敏感型多媒体流量进行互操作。
主要优势:




通过优化传输的数据推迟成本高昂的广域网带宽升级；
通过服务集中化，在不影响性能的前提下推动 IT 整合，最大限度降低
每个远程站点的成本；
通过集中管理所有的广域网优化引擎，简化管理，提供带宽节约反馈信
息；
通过服务器和存储集中化增强数据保护；
3.4. 解决方案主要特点
骨干连接采用千兆或万兆，百兆或千兆连接桌面用户，线速核心第三层交换，
使路由器专注于处理广域网流量，更多的网络插槽提供更强更灵活的扩展能力等。
解决方案特点如下：

网络的连通性
计算机等终端设备之间良好的连通性是需要满足的基本条件，网络环境就是
提供需要通信的计算机设备之间互通的环境，以实现丰富多彩的网络应用。

网络的先进性
采用先进、成熟的网络通信技术，使网络轻松支持数据、语音、视像等多媒
体应用，通过基于交换的技术替代传统的基于路由的技术，既满足了多种类数据
的传输需求，也确保了网络技术和网络产品几年内不落后。

网络的可靠性
16
思科专业服务业网络解决方案
网络在初始建设时不仅考虑到了数据传输，还充分考虑了网络的冗余与可靠，
一旦运行过程中网络发生故障，系统会很快恢复工作，否则带来了经济损失，影
响了声誉和形象。

网络的安全性
在竞争日益激烈的今天，网络的安全性有非常高的要求。很多在局域网和
广域网络中传递的数据都是相当重要的信息，因此一定要保证数据安全保密，防
止非法窃听和恶意破坏，在网络建设的开始就要考虑采用严密的网络安全措施。

网络的可管理性
随着网络规模的日益扩大，网络设备的数据和种类日益增加，网络应用日益
多样化，网络管理也日益重要。良好的网络管理要重视网络管理人力和财力的事
先投入，主动控制网络，不仅能够进行定性管理，而且还能够定量分析网络流量，
了解网络健康状况。有预见性地发现网络上的问题，并将其消灭于萌芽状态，降
低网络故障所带来的损失，使网络管理的投入达到事半功倍的效果。

网络的扩展性
网络建设为未来的发展提供良好的扩展接口是非常理智的选择。随着规模的
扩大、业务的增长，网络的扩展和升级是不可避免的问题。思科通过模块化的网
络结构设计和模块化的网络产品，能为用户的网络提供很强的扩展和升级能力。

网络的多媒体支持
由于视频会议、视频点播、IP电话等多媒体技术的日趋成熟，网络传输的数
据已不再是单一数据了，多媒体网络传输成为世界网络技术的趋势。着眼于未来，
对网络的多媒体支持是有很多需求的。同时，在网络带宽非常宝贵的情况下，丰
富的QoS机制，如：IP优先、排队、组内广播和链路压缩等优化技术能使实时的
多媒体和关键业务得到有效的保障。

网络的高性能
随着互联网的发展，上网用户的不断增多，访问和数据传输量剧增，网络负
荷也相应加重；随着对多媒体技术的广泛应用，视频数据、音频数据也越来越耗
费网络带宽。如果网络没有高性能，会导致系统反应缓慢，甚至在业务量突增时，
发生系统崩溃、中止和异常等现象。高性能的网络也是一些关键业务或特殊应用
的必备条件。
17
思科专业服务业网络解决方案
3.5. 基础网络设备参考

核心层（两台）
产品系列

产品描述
Catalyst 6500 系列交换机
模块化、机箱式、高端口密度交换机
Catalyst 4500 系列交换机
模块化、机箱式、高端口密度交换机
汇聚层（两台或者一台）
产品系列
Catalyst 4500 系列交换机
产品描述
模块化、机箱式、高端口密度交换机
Catalyst 3750-X 系列交换机 支持堆叠和万兆上行的智能三层交换机
Catalyst 3560-X 系列交换机 支持万兆上行的智能三层交换机

接入层（若干台）
产品系列
Catalyst 3750-X 系列交换机
产品描述
支持堆叠和万兆上行的智能三层交换
机
Catalyst 3560-X 系列交换机 支持万兆上行的智能三层交换机

Catalyst 2960S 系列交换机
支持堆叠、万兆上行和静态路由的千兆
交换机
Catalyst 2960 系列交换机
支持千兆上行百兆交换机
SG 300 系列交换机
支持静态路由的可网管千兆交换机
SF 300 系列交换机
支持静态路由的可网管百兆交换机
路由器（若干台）
产品系列
产品描述
7600 系列路由器
企业总部，广域网汇聚路由器
ASR 1000 系列路由器
企业总部，广域网汇聚路由器
ISR 3900 系列路由器
企业总部，广域网汇聚路由器
ISR 2900/1900/800 系列路
分支机构，远端路由器
由器
思科精睿 RV 系列路由器
分支机构，远端路由器
18
思科专业服务业网络解决方案
详细信息欢迎垂询思科区域中小企业客户经理和中小企业客户技术支持工
程师，或参考思科网站：


English：www.cisco.com
中文：www.cisco.com.cn
19
思科专业服务业网络解决方案
4. 专业服务业网络安全解决方案
随着计算机网络的发展，网络已成为社会广泛应用不可或缺的工具。然而，
人们在享受互联网带来的种种便利的同时，也摆脱不了计算机病毒的肆虐。网络
应用同样也给人们带来烦恼和不利，甚至造成重大损失。它不仅干扰系统的正常
运行，使一些软件不能正常使用，影响运行速度、频繁死机、破坏数据、网络及
服务器瘫痪等，而且由于黑客的侵入使局域网服务器文件外泄，造成不良的影响
和损失，带来严重后果。因此，防范计算机病毒的侵蚀和计算机网络安全使用，
愈来愈被人们所重视，愈来愈成为人们广泛关注的问题。
安全产品是每个网络部署不可或缺的组成部分，也可以作为网络基础架构的
一部分，比如在互联网边缘就是如此。安全产品也可以作为一种服务部署，用于
保护具体的使用案例或应用。法规遵从、信息保护、以及网络和桌面可靠性策略
都要求您将安全服务融入基础设施中，而不是在事后进行添加。
优势:





防止电子邮件受到 SPAM 和嵌入式攻击的威胁；
利用互联网上的攻击和攻击爆发信息，实现最可靠的威胁防御；
为员工和合作伙伴提供安全可靠的远程接入；
为基于硬件和基于软件的 VPN 客户端提供最大的灵活性；
Web接入可接受使用控制策略，支持对互联网用户进行风险管理；
4.1. 专业服务业网络安全现状和挑战
现阶段，专业服务业的信息流是这个企业的核心所在，网络的安全和数据
的可用性变的异常重要。任何的网络不可达或数据丢失都会影响到客户的满意
度，影响到企业的信誉。和其它行业的信息系统一样，专业服务业信息系统在
日常运行中面临各种安全风险会带来的安全应用事故。
网络安全主要体现在以下几个方面：
1）分支机构网络互联安全，专业服务行业大量的分支机构与总部的网络互
联、需要可靠安全的传输通道。
2）日常工作中大量 Internet 访问以及与客户的电子邮件往来，Internet 出
口安全、上网安全、邮件安全尤为重要。
20
思科专业服务业网络解决方案
3）局域网安全，防止各种网络中的内部攻击，以免造成网络瘫痪。
4）数据中心安全，需要确保数据安全，避免信息被偷窃、修改和未授权的
访问。
4.2. 互联网边缘安全设计
互联网边缘是企业进入互联网的网关。这一通往外部世界的网关必须提供安
全的基础设施，以支持电子邮件和网络访问以及客户和合作伙伴对公司信息的公
开访问。企业所面临的挑战在于，如何以一种安全的方式提供这种基本的接入服
务，防止造成过度复杂的环境。
常见的办法就是在互联网边缘部署防火墙、入侵防御设备和VPN设备，来保
护网络接入。但是构建这种安全防护系统需要花费大量时间整合多个渠道和制造
商的产品，对专业技术的要求也比较高。本文提供了一种简化的设计，可减少需
要使用的网络设备，同时不影响可扩展性、安全性或永续性。由于互联网边缘设
计的每个部分都提供有扩展选项，因此企业可以根据自身需求混合搭配各种服务
选项。
主要优势:



提供快速安全的互联网接入，提高生产效率
保护重要资产免遭互联网攻击，防止业务中断
利用高永续性设计避免单点故障

为面向网络的应用提供一个安全可靠的环境
21
思科专业服务业网络解决方案
互联网边缘的防火墙功能负责对访问DMZ服务的互联网主机、访问互联网
服务的内部主机以及访问内部和外部服务的DMZ主机进行接入控制。资源访问
和可接受使用方面的具体策略必须符合企业的安全策略。作为网络基础架构的一
部分，互联网边缘设计使企业能够灵活控制用户的连接方式和允许的访问类型。
防火墙采用完全冗余的配臵，而且可以利用单个或双重互联网接入进一步减少单
点故障，实现高可用性。
互联网网关使企业暴露在蠕虫、病毒、僵尸网络和其它攻击的威胁之下。防
火墙中的集成入侵防御系统（IPS）模块可对防火墙策略准入的流量进行进一步
检查，以检测和消除攻击。IPS模块将检查流量来源的信誉，以快速决定是否阻
挡流量。基于信誉的过滤使IPS模块能够根据信息源的信誉拦截两倍数量的攻击，
从而提高可扩展性，此外它还可以不依赖签名提供零日攻击防护，同时减少误报。
企业的形象和声誉通常与其互联网边缘的Web服务器的能力有关，即能否为
客户或合作伙伴提供高效的信息或应用访问。IT机构面临的重大挑战在于如何可
靠地交付这些应用和资源。应用交付技术能够帮助IT机构提高应用的可用性、性
能和安全性。互联网边缘的应用感知服务器负载均衡器（SLB）可提供核心服务
器负载均衡功能，将会话路由到最佳的服务器，同时防止正在运行的服务器上出
现无效服务。安全和虚拟化服务支持服务器分割和基于角色的细粒度管理。这些
22
思科专业服务业网络解决方案
服务与先进的应用加速相结合，为面向互联网的Web应用提供了一个强大的架构。
为了提高生产效率，企业始终在不断进行业务扩张、提高员工移动能力并与
研发机构和商业建立合作伙伴关系。利用传统的专用线路或拨号连接来提供连通
性的成本极高，不是一种可行的方案。在思科的设计中，防火墙的另一个功能是
提供集成VPN，为员工、承包商或合作伙伴提供对企业网络的远程访问。系统将
根据与企业的验证资源相集成的验证程序和策略控制提供远程访问连接。灵活的
IPsec 和SSL VPN 接入拥有与防火墙和IPS同样的HA设计。
防火墙和IPS提供了周边防御和检测功能，但如何才能确保员工正确使用互
联网接入或防御嵌入在授权应用中的攻击呢？互联网边缘设计包含网络安全服
务，可过滤电子邮件和确保网络冲浪安全及控制。在这种综合设计中，只需少量
思科设备即可满足互联网边缘的核心安全要求，这些设备由思科通过一个基于可
扩展解决方案的方法开发而成，旨在满足企业的需求。
4.3. 思科一体化安全解决方案
4.3.1. 思科 ASA 5500 安全解决方案
Cisco ASA 5500 系列提供了一个易于使用安全网络一体化解决方案。它结
合了防火墙隔离、入侵保护、Anti-X 和 VPN 功能，您可对您的网络受到的保护
充满信心。通过终止垃圾邮件、间谍软件和其他互联网威胁，员工生产率得到
了提高。IT 人员也从处理病毒和间谍软件消除以及系统清洁任务中解放出来。
您可集中精力发展业务，而无需为最新病毒和威胁担忧。
23
思科专业服务业网络解决方案
图：ASA 5500 系列一体化安全解决方案
Cisco® ASA 5500 系列提供了全面的网关安全和 VPN 连接。凭借其集成
的防火墙和 Anti-X 功能，Cisco ASA 5500 系列能在威胁进入网络和影响业务运
营前，就在网关处将它们拦截在网络之外。这些服务也可扩展到远程接入用户，
提供一条威胁防御 VPN 连接。
最值得信赖、广为部署的防火墙技术，Cisco ASA 5500 系列构建于 Cisco
PIX 安全设备系列的基础之上，在阻挡不受欢迎的来访流量的同时，允许合法
业务流量进入。凭借其应用控制功能，该解决方案可限制对等即时消息和恶意
流量的传输，因为它们可能会导致安全漏洞，进而威胁到网络。
市场领先的 Anti-X 功能，通过内容安全和控制安全服务模块(CSC-SSM)
提供的强大的 Anti-X 功能，Cisco ASA 5500 系列提供了全面保护所需的重要的
网络周边安全性。
防间谍软件，阻止间谍软件通过互联网流量(HTTP 和 FTP)和电子邮件流量
进入您的网络。通过在网关处阻拦间谍软件，使 IT 支持人员无需再进行昂贵的
间谍软件清除过程，并提高员工生产率。
防垃圾邮件，有效地阻拦垃圾邮件，且误报率极低，有助于保持电子邮件
效率，不影响与客户、供应商和合作伙伴的通信。
防病毒，屡获大奖的防病毒技术在您基础设施中最有效的地点－互联网网
关处防御已知和未知攻击，保护您的内部网络资源。在周边清洁您的电子邮件
和 Web 流量，即无需再进行耗费大量资源的恶意软件感染清除工作，有助于确
保业务连续性。
防泄密，确定针对泄密攻击的防盗窃保护，因此可防止员工无意间泄漏公
司或个人信息，以导致经济损失。
针对 Web 接入、电子邮件(SMTP 和 POP3)以及 FTP 的实时保护。即使机
构的电子邮件已进行了保护，但许多员工仍会通过公司 PC 或笔记本电脑访问
自己的个人电子邮件，从而为互联网威胁提供了另一个入点。同样，员工可能
直接下载受到感染的程序或文件。在互联网网关对所有 Web 流量进行实时保护，
可减少这一常被忽略的安全易损点。
URL 过滤，Web 和 URL 过滤可用于控制员工对于互联网的使用，阻止他
们访问不适当的或与业务无关的网站，从而提高员工生产率，并减少因员工访
问了不应访问的 Web 内容而承担法律责任的机会。
24
思科专业服务业网络解决方案
电子邮件内容过滤，电子邮件过滤减少了公司因收到通过电子邮件传输的
攻击信息而承担法律责任的机会。过滤也有助于符合法律法规，可帮助机构达
到 Graham Leach Bliley 和数据保护法案等的要求。
威胁防御 VPN，Cisco ASA 5500 系列为远程用户提供了威胁防御接入功
能。该解决方案提供了对内部网络系统和服务的站点间访问和远程用户访问。
此解决方案结合了对于 SSL 和 IPSec VPN 功能的支持，可实现最高灵活性。
因为这一解决方案将防火墙和 Anti-X 服务与 VPN 服务相结合，可确保 VPN 流
量不会带来恶意软件或其他威胁。
为了方便用户的安全部署和管理，随此解决方案提供了思科自适应安全设
备管理器(ASDM)，它具有一个基于浏览器的、功能强大、易于使用的管理和监
控界面。这一解决方案在单一应用中提供了对于所有服务的全面配臵。此外，
向导可指导用户完成配臵的设臵，实现迅速部署。
4.3.2. 远程接入 VPN 和分支机构安全
思科基于集成多业务路由器（ISR）的企业级 VPN 解决方案，在可扩展的
平台、安全性、服务、应用和管理五大 VPN 实施要素方面，具有基于标准的开
放式的体系结构和可扩充的端到端网络互连能力。借助先进的 ISR 路由器，用
户能够部署多种 VPN 连接方式，通过安全可靠的加密手段，保护应用系统的信
息资源。
下图是基于 ISR 路由器的一个典型的 VPN 实施方式：
25
思科专业服务业网络解决方案

使用思科ISR高端路由器3900系列做为企业总部的VPN网关，用来聚合
来自分支机构、合作单位、远程终端的VPN各种应用。

在分支机构中，根据机构的规模和应用状况可选择思科ISR路由器中的
2900/1900/800系列，或者思科精睿RV系列路由器做为VPN的网关。
此 VPN 解决方案的特点：
1、安全保障
虽然实现 VPN 的技术和方式很多，但所有的 VPN 均应保证通过公用网络
平台传输数据的专用性和安全性。在安全性方面，由于 VPN 直接构建在公用网
上，实现简单、方便、灵活，但同时其安全问题也更为突出。必须确保其 VPN
上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有
信息的访问。
2、服务质量保证（QoS）
VPN 网关应当为数据提供不同等级的服务质量保证。不同的用户和业务对
服务质量保证的要求差别较大。在网络优化方面，构建 VPN 的另一重要需求是
充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量
的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，使实时性要
求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS
通过流量预测与流量控制策略，可以按照优先级分实现带宽管理，使得各类数
据能够被合理地先后发送，并预防阻塞的发生。
26
思科专业服务业网络解决方案
3、可扩充性和灵活性
VPN 必须能够支持通过 Intranet 和 Extranet 的任何类型的数据流，方便增
加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据
等新应用对高质量传输以及带宽增加的需求。
4、可管理性
从用户角度可方便地进行管理、维护。VPN 管理的目标为：减小网络风险、
具有高扩展性、经济性、高可靠性等优点。事实上，VPN 管理主要包括安全管
理、设备管理、配臵管理、访问控制列表管理、QoS 管理等内容。
5、多种 VPN 的连接方式
思科公司基于 ISR 路由器 VPN 解决方案为用户提供了多种 VPN 的连接方
式，包括 IPSec、SSL、动态多点 VPN（DMVPN）等。
与总部通常有较为完善的网络安全部署不同，对于大量的分支机构，如何
部署合适的网络连接设备应对当前的各种网络威胁，例如：黑客攻击，蠕虫病
毒，非法上网行为等等，是另外一个需要考虑的重要问题。这些网络威胁，既
冲击了分支机构的网络安全，又消耗了大量网络资源，严重影响了系统的正常
运行。
思科新一代的 ISR800 系列路由器为中小型的分支机构和小型办公室提供
了可靠的网络解决方案，来防御各种网络中的威胁，保证了网络资源应用，确
保了分支机构广域网络的正常运行。
27
思科专业服务业网络解决方案






思科ISR路由器部署在分支机构，提供了安全的Internet访问；
提供先进的防火墙，能够监控电子邮件，即时消息传递和HTTP流量；
可以在分支机构的本地设备实施防御蠕虫病毒的安全策略，节省广域网
网络带宽；
入侵防御系统（IPS）：这种深度包检测特性能够有效阻止各种网络攻
击；
内容过滤：一种基于预订的集成安全解决方案，能够提供基于类别的分
级；关键字拦截；并可抵御广告软件、恶意软件、间谍软件和URL 阻
截；
即使是DOS攻击，也可保持可用性；
4.3.3. Web 安全网关
当前，基于互联网 Web 数据流传播的各种安全威胁，开始在全球范围盛行，
使商用网络暴露在这些威胁带来的内在危险之下。现行的网关防御机制已经证
明不足以抵御多种基于 Web 的恶意软件入侵。据业内估计，大约 75%的商用
电脑感染了间谍软件，但是在网络周边部署了恶意软件防御系统的企业却不足
10%。基于 Web 的恶意软件传播速度快，变种能力强，其危害性日益严重，对
网络安全技术相对薄弱的企业来说，拥有一个强健的网络周边并抵御这些安全
威胁侵害的安全平台就显得极为重要。
除此以外，当今基于 Web 的威胁 87％是通过合法的网站发出的。基于 Web
的恶意软件有着速度快、多样性强和变种频繁出现的攻击威胁特点，这要求企
业必须使用一个强大的、安全平台才能将日益严峻的上网威胁屏蔽在网络之外。
Cisco® IronPort S 系列 Web 安全网关是业界开创先河的，也是唯一的将
传统的 URL 过滤、信誉过滤和恶意软件过滤功能集中到单一平台来消除上述风
险的 Web 安全设备。通过综合利用这些创新的技术，Csico IronPort S 系列网
关能够帮助企业在保证 Web 数据流安全和控制 Web 数据流风险方面，应对所
面临的日益严峻的挑战。
Cisco IronPort S 系列网关结合了多种先进技术，通过单台、集成的网关抵
御恶意软件，帮助企业实施安全策略及控制网络流量。提供的多层防护包括
Cisco IronPort Web 名誉过滤器™，多层防恶意软件扫描引擎和第四层(L4)数
据流监视器，它可以监控非 80 端口的恶意软件活动。所有这一切为企业提供了
一个强大的具有最优性能和功效的 Web 安全平台。同时 Cisco IronPort S 系列
提供智能化的 HTTPS 解密的能力，从而对加密数据流应用所有的安全及访问
策略。
28
思科专业服务业网络解决方案
在实际的应用环境中，可以选择以下两种模式部署 S 系列网关

直连模式：客户机直接连接到S系列，由S系列提供HTTP/HTTPS/FTP
流量的代理支持。

透明模式：由第四层交换机或WCCP路由器转发流量至S系列，由S系
列提供对客户机透明的代理支持。
4.3.4. 电子邮件安全网关
垃圾邮件以及随邮件传播的病毒、恶意程序、间谍软件等是当前来自互联
网的另一种主要的安全威胁。这种威胁往往会带来极大的安全风险：随意打开
来历不明的电子邮件或者点击邮件中的附件或链接都有可能形成对业务系统的
攻击。此外，网络管理人员需要耗费大量精力用于清理垃圾邮件，也严重影响
了对正常业务系统的管理和维护。因此，如何对电子邮件应用进行高效的安全
防御和管理，也是当前部署安全解决方案时需要重点考虑的内容。
Cisco IronPort C 系列电子邮件安全网关是针对电子邮件安全威胁的最佳
解决方案。基于 Cisco IronPort 专有的为企业目标设定的 AsyncOS™操作系统，
29
思科专业服务业网络解决方案
IronPort C 系列能够满足对电子邮件的大容量和高可用性的扫描需求，减少与
垃圾邮件、病毒和其他各种威胁相关的系统宕机时间，从而支持对邮件系统的
高效管理并有效减轻网络管理人员的工作负担。
IronPort C 系列在一个网关设备上集成了思科独有的预防性过滤器和基于
特征码的反应性过滤器，配合内容过滤和高级加密技术，为客户提供了目前业
界最高级的邮件安全服务。同时，利用思科安全情报运营中心和全球威胁协作
组织使 Cisco IronPort 网关产品更聪明，更迅速。这一先进技术使企业可以从
最新的互联网威胁中提高他们的安全性，并且使得保护用户更加透明化。
下图描述了 C 系列邮件安全网关的部署方式：
4.3.5. 构建内部基础网络的安全
在诸多的局域网安全问题中，由于历史原因，令网络管理员感到最头痛的
问题就是 IP 地址的管理；最担心的问题就是账号、密码的盗取以及信息的失窃
和篡改；而最棘手的问题就是木马、蠕虫病毒爆发对网络造成的危害。据 CSI/FBI
计算机犯罪与安全调查显示，信息失窃已经成为当前最主要的犯罪。在造成经
济损失的所有攻击中，有 75％都是来自于园区内部。这样，企业网络内部就必
须采用更多创新方式来防止攻击，如果我们将网络中的所有端口看成潜在敌对
实体获取通道的“端口防线”，网络管理员就必须知道这些潜在威胁都有那些，以
及需要设臵哪些安全功能来锁定这些端口并防止这些潜在的来自网络第二层的
安全攻击。
网络第二层的攻击是网络安全攻击者最容易实施，也是最不容易被发现的
30
思科专业服务业网络解决方案
安全威胁，它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危
及网络用户的安全。因为任何一个合法用户都能获取一个以太网端口的访问权
限，这些用户都有可能成为黑客，同时由于设计 OSI 模型的时候，允许不同通
信层在相互不了解情况下也能进行工作，所以第二层的安全就变得至关重要。
如果这一层受到黑客的攻击，网络安全将受到严重威胁，而且其他层之间的通
信还会继续进行，同时任何用户都不会感觉到攻击已经危及应用层的信息安全。
所以，仅仅基于认证（如 IEEE 802.1x）和访问控制列表（ACL，Access
Control Lists）的安全措施是无法防止来自网络第二层的安全攻击。一个经过认
证的用户仍然可以有恶意，并可以很容易地执行本文提到的所有攻击。目前这
类攻击和欺骗工具已经非常成熟和易用。
以上所提到的攻击和欺骗行为主要来自网络的第二层。在网络实际环境中，
其来源可概括为两个途径：人为实施，病毒或蠕虫。人为实施通常是指使用一
些黑客的工具对网络进行扫描和嗅探，获取管理帐户和相关密码，在网络上中
安插木马，从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安
静，但对于信息安全要求高的企业危害是极大的。木马、蠕虫病毒的攻击不仅
仅是攻击和欺骗，同时还会带来网络流量加大、设备 CPU 利用率过高、二层生
成树环路、网络瘫痪等现象。
归纳前面提到的局域网目前普遍存在的安全问题，根据这些安全威胁的特
征分析，这些攻击都来自于网络的第二层，主要包括以下几种：

MAC地址泛滥攻击



DHCP服务器欺骗攻击
ARP欺骗
IP/MAC地址欺骗
利用 Cisco Catalyst 交换机内部集成的安全特性，采用创新的方式在局域
网上有效地进行 IP 的地址管理、阻止网络的攻击并减少病毒的危害。Cisco
Catalyst 智能交换系列的创新特性针对这类攻击提供了全面的解决方案，将发
生在网络第二层的攻击阻止在通往内部网的第一入口处，主要基于下面的几个
关键的技术。




Port Security
DHCP Snooping
Dynamic ARP Inspection (DAI)
IP Source Guard
我们可通过在思科交换机上组合运用和部署上述技术，从而防止在交换环
31
思科专业服务业网络解决方案
境中的“中间人”攻击、MAC/CAM 攻击、DHCP 攻击、地址欺骗等，更具意义
的是通过上面技术的部署可以简化地址管理，直接跟踪用户 IP 和对应的交换机
端口，防止 IP 地址冲突。同时对于大多数具有地址扫描、欺骗等特征的病毒可
以有效的报警和隔离。
通过启用端口安全功能，可有效防止 MAC 地址泛洪攻击，网络管理员也
可以静态设臵每个端口所允许连接的合法 MAC 地址，实现设备级的安全授权。
动态端口安全则设臵端口允许合法 MAC 地址的数目，并以一定时间内所学习
到的地址作为合法 MAC 地址。
通过配臵 Port Security 可以控制：


端口上最大可以通过的MAC地址数量
端口上学习或通过哪些MAC地址

对于超过规定数量的MAC处理进行违背处理
端口上学习或通过哪些 MAC 地址，可以通过静态手工定义，也可以在交
换机自动学习。交换机动态学习端口 MAC，直到指定的 MAC 地址数量，交换
机关机后重新学习。目前较新的技术是 Sticky Port Security，交换机将学到的
mac 地址写到端口配臵中，交换机重启后配臵仍然存在。
对于超过规定数量的 MAC 处理进行处理一般有三种方式（针对交换机型
号会有所不同）：



Shutdown：端口关闭。
Protect：丢弃非法流量，不报警。
Restrict：丢弃非法流量，报警。
Catalyst 交换机可通过 DHCP Snooping 技术保证 DHCP 安全特性，通过
建立和维护 DHCP Snooping 绑定表过滤不可信任的 DHCP 信息，这些信息是
指来自不信任区域的 DHCP 信息。通过截取一个虚拟局域网内的 DHCP 信息，
交换机可以在用户和 DHCP 服务器之间担任就像小型安全防火墙这样的角色，
“DHCP 监听”功能基于动态地址分配建立了一个 DHCP 绑定表，并将该表存贮
在交换机里。在没有 DHCP 的环境中，如数据中心，绑定条目可能被静态定义，
每个 DHCP 绑定条目包含客户端地址（一个静态地址或者一个从 DHCP 服务器
上获取的地址）、客户端 MAC 地址、端口、VLAN ID、租借时间、绑定类型（静
态的或者动态的）。
通过部署动态 ARP 检查（DAI，Dynamic ARP Inspection）来帮助保证接
入交换机只传递“合法的”的 ARP 请求和应答信息。DHCP Snooping 监听绑定
32
思科专业服务业网络解决方案
表包括 IP 地址与 MAC 地址的绑定信息并将其与特定的交换机端口相关联，动
态 ARP 检测（DAI－Dynamic ARP Inspection）可以用来检查所有非信任端口
的 ARP 请求和应答(主动式 ARP 和非主动式 ARP)，确保应答来自真正的 ARP
所有者。Catalyst 交换机通过检查端口记录的 DHCP 绑定信息和 ARP 应答的
IP 地址决定是否真正的 ARP 所有者，不合法的 ARP 包将被删除。
DAI 配臵针对 VLAN，对于同一 VLAN 内的接口可以开启 DAI 也可以关闭，
如果 ARP 包从一个可信任的接口接收到，就不需要做任何检查，如果 ARP 包
在一个不可信任的接口上接收到，该包就只能在绑定信息被证明合法的情况下
才会被转发出去。这样，DHCP Snooping 对于 DAI 来说也成为必不可少的，
DAI 是动态使用的，相连的客户端主机不需要进行任何设臵上的改变。对于没
有使用 DHCP 的服务器个别机器可以采用静态添加 DHCP 绑定表或 ARP
access-list 实现。
另外，通过 DAI 可以控制某个端口的 ARP 请求报文频率。一旦 ARP 请求
频率的频率超过预先设定的阈值，立即关闭该端口。该功能可以阻止网络扫描
工具的使用，同时对有大量 ARP 报文特征的病毒或攻击也可以起到阻断作用。
除了 ARP 欺骗外，黑客经常使用的另一手法是 IP 地址欺骗。常见的欺骗
种类有 MAC 欺骗、IP 欺骗、IP/MAC 欺骗，其目的一般为伪造身份或者获取针
对 IP/MAC 的特权。Catalyst IP 源地址保护（IP Source Guard）功能打开后，
可以根据 DHCP 侦听记录的 IP 绑定表动态产生 PVACL，强制来自此端口流量
的源地址符合 DHCP 绑定表的记录，这样攻击者就无法通过假定一个合法用户
的 IP 地址来实施攻击了，这个功能将只允许对拥有合法源地址的数据保进行转
发，合法源地址是与 IP 地址绑定表保持一致的，它也是来源于 DHCP Snooping
绑定表。因此，DHCP Snooping 功能对于这个功能的动态实现也是必不可少的，
对于那些没有用到 DHCP 的网络环境来说，该绑定表也可以静态配臵。
IP Source Guard 不但可以配臵成对 IP 地址的过滤也可以配臵成对 MAC
地址的过滤，这样，就只有 IP 地址和 MAC 地址都于 DHCP Snooping 绑定表
匹配的通信包才能够被允许传输。此时，必须将 IP 源地址保护 IP Source Guard
与端口安全 Port Security 功能共同使用，并且需要 DHCP 服务器支持 Option 82
时，才可以抵御 IP 地址＋MAC 地址的欺骗。
与 DAI 不同的是，DAI 仅仅检查 ARP 报文， IP Source Guard 对所有经
过定义 IP Source Guard 检查的端口的报文都要检测源地址。
通过在交换机上配臵 IP Source Guard，可以过滤掉非法的 IP/MAC 地址，
包含用户故意修改的和病毒、攻击等造成的。同时解决了 IP 地址冲突的问题。
33
思科专业服务业网络解决方案
此外，在最新的 Catalyst 3750-X 和 Catalyst 3560-X 交换机内，还内臵了
一系列全新的 TrustSec 安全技术。例如，采用基于 IEEE 802.1ae 标准的 MAC
Security 技术，交换机在面向主机的端口上提供了对以太网数据在数据链路层
的线速加密，以防止中间人攻击；支持包括 802.1x、MAC 认证旁路、Web 认
证等多种认证方式为不同类型的接入终端提供一致的安全体验，等等。
以上所列的基础安全防护的功能，均内臵在思科的 Catalyst 交换机内,无需
另外购买。
4.4. 安全设备参考
产品系列
Cisco ASA 5500 系列
说明
提供一体化的安全解决方案，包括防火墙隔离、
IPS、VPN、内容过滤等
Cisco IPS 4200 系列
硬件 IPS 设备
Cisco IronPort S160
Web 安全网关
Cisco IronPort C160
电子邮件安全网关
Cisco Catalyst 2960S
思科接入层交换机
详细信息欢迎垂询思科区域中小企业客户经理和中小企业客户技术支持工
程师，或参考思科网站：


English：www.cisco.com
中文：www.cisco.com.cn
34
思科专业服务业网络解决方案
5. 专业服务业统一无线解决方案
5.1. 解决方案概述
如果能让员工在任何地点都保持连接，企业将可以提高员工的工作效率和效
益。有线端口网络设计能为身在办公室或其它有线网络覆盖的地点的用户提供连
接，作为这一网络的组成部分，无线网络使用户能在前往会议地点的途中保持连
接，而且可将咖啡厅或其它聚会场所改为临时会议室。借助无线网络，用户能够
超越建筑物的物理限制，随时保持网络连接和信息的持续传输。
无线网络采用Wi-Fi 技术而非蜂窝技术来传输数据、语音甚至视频。位于远
程站点或总部的用户可以通过同样的方式连接到语音和数据服务，从而为企业创
造了一个无缝集成的工作环境。
第一代无线局域网产品通常安全性不高，而且网络管理员难以对其进行管理。
管理员自主配臵和运行无线接入点，但是事实证明这是一种不可扩展的部署和运
营模式。对于需要在远程站点和总部部署安全的无线基础设施的企业，这种传统
的独立式接入点模式是一种成本高昂的解决方案。
思科的设计方案采用了集中式无线局域网控制器（WLC），能够对总部和
远程站点的所有接入点进行控制。除了对无线接入点的集中管理之外，WLC的
集中化方法还提供了许多其它优势。为确保安全地访问无线局域网，WLC可支
持所有用户基于公司目录进行身份验证，由此无需在每个接入点上保留单独的用
户名和密码数据库。通过集成的访客控制器，您可以为企业的重要访客和合作伙
伴用户提供连接，他们的流量将与已验证的内部用户流量分开。您可以对多个
WLC 进行集群，以实现负载均衡、可扩展性和冗余性，支持维护和意外停机时
的系统永续运行。
35
思科专业服务业网络解决方案
虽然WLC主要为总部和多数远程站点提供集中控制，您也可以在大型地点
安装本地WLC，以提供出色的漫游功能，同时保持中央管理。未安装本地WLC
的远程站点的无线接入点允许非访客流量直接进入本地局域网，由此可以避免流
量先传输到中央控制器，然后再返回远程站点，导致浪费宝贵的广域网带宽。
5.2. 思科统一无线网络架构
思科统一无线网络架构主要包含以下部分：无线控制器，无线访问接入点
AP，无线网管系统 WCS，无线定位服务系统 MSE，用户认证系统 Radius 服务
器，以及支持以太网供电的接入交换机和负责数据交换的汇聚及核心交换机。
36
思科专业服务业网络解决方案
思科统一无线网络架构
Wireless LAN Controller
直观的图形化界面简化
配置, 监视, 和故障排查
 可扩充性架构
 减少管理点
 WCS统一网管
 无线控制器通过LWAPP
隧道管理配置无线接入
点
CAPWAP
Wireless Control System
(WCS)
 支持lightweight 和
standalone两种架构的
无线接入点
Mobility Services Engine (MSE)
and Context-Aware Mobility
对客户端, 资产标签,
和非法无线设备进行
高精度定位追踪
Cisco Aironet®
1250 Series
(802.11n)
Standalone
Access Points
Lightweight Access Points
无线控制器和 AP 是无线网完成数据转发的基础部件。在控制器加 AP 的网
络架构下，所有关于无线射频管理、网络安全管理等的智能处理都在控制器上集
中处理，而 AP 只完成空口侧数据的收发。在实际工作中，每台控制器会管理一
定数量的 AP，并与每台 AP 建立 CAPWAP 隧道。用户数据经无线介质到达 AP
后，AP 将数据封装到隧道中传送到控制器。控制器将数据解出，并根据管理员
设定的安全、QoS 等管理策略，进行处理。最后经有线网络发送。
思科无线网络产品系列是为那些希望为本身业务、IP 电话和融合多媒体应
用系统广泛部署无线覆盖的一款完整 802.11 解决方案。这款解决方案将最新的
行业标准与一种集中架构和先进功能结合起来，创建一种安全、经济有效并且极
具扩展性的无线局域网(WLAN)基础设施。思科无线网络产品系列包括规划和实
施所需的工具和功能，使首次部署无线局域网(WLAN) 能快捷简便的完成，也适
合于企业逐步演进事先精确设计的无线移动基础设施。
5.2.1. 访客与合作伙伴无线接入
企业经常接待各种来访者，他们在访问期间也需要访问网络。这些访客包括
客户、合作伙伴和供应商，根据他们来访的目的，他们造访的公司部门和运营地
点也有所不同。为了帮助这些访客用户保持高效工作状态并履行工作职责，您应
该在网络内部全面部署访客接入，而不仅仅是在公司前台或会议室。
37
思科专业服务业网络解决方案
思科智能企业架构——面向企业组织的无边界网络架构具备出色的灵活性，
允许无线网络在为员工提供无线语音和数据访问的同一无线接入点和控制器基
础设施上提供访客接入。这种集成能力通过在单个基础设施上提供多种服务，简
化了网络运营，降低了资本支出和运营支出。
思科架构的关键优势就在于，可确保访客网络接入不影响网络的安全性。总
部和各远程站点的每个接入点都可以配臵为受控的开放式无线连接。从无线接入
点，访客流量将通过单独的网络隧道传输到位于互联网边缘DMZ 的访客无线控
制器。流量将从无线访客网络直接传送到负责保护公司私有资产的防火墙。
为了控制访客和合作伙伴的无线连接，访客用户将被转到登录界面，他们必
须提供用户名和密码才能进入访客网络。前台接待人员或其他礼宾人员可以为他
们提供一个临时访客账户，需要每天或每周更换一个新密码。这种高度灵活的设
计使企业能够根据需要定制控制和管理措施，同时保持网络架构的安全性。
5.2.2. 远程办公解决方案
近年来专业服务类业务的迅速发展，分支机构增多，咨询专家频繁出差或外
出，而能够及时、有效地沟通已成为专业服务公司进一步发展的重要保障。如何
让他们及时、有效取得所内及客户信息并协同工作，一直是律师、会计等事务所
需要不断改进的重要课题。远程办公解决方案，保证专家能够及时掌握客户信息
和需求，处理相关业务并对客户提出的紧急问题做出及时响应。信息而且更新不
但要及时，更要确保很高的安全性，所以远程办公局域网必须同时兼备灵活性、
顺畅性与安全性的特点
借助思科远程办公室解决方案，企业可以将园区或总部的办公网络扩展到远
程站点或远程员工。该解决方案包含语音和视频IP 通信及协作应用，这些应用
由一系列易于部署和维护的高级网络和安全服务提供支持。
作为思科虚拟办公室解决方案的一部分，思科和授权合作伙伴能够帮助您成
功部署和集成头端解决方案组件，并通过提供规划、设计和实施方面的支持引导
您实现远程站点部署和管理的自动化。我们还能帮助您降低运营成本，保持设备
高效运行，并通过长期的运营支持和优化不断评估、调整和升级您的思科虚拟办
公室，使之与公司的发展变革和安全威胁的更新保持同步。
思科提供了多种远程办公服务，来支持员工灵活地安排工作日程，无需前往
公司就能在一个舒适的环境中工作，同时确保员工在任何地方都可以高效地开展
工作。思科虚拟办公室（Cisco Virtual Office）提供了一个全面的远程办公解决
方案，支持以有线和无线方式，通过集成多业务路由器和 VPN 访问网络资源。
38
思科专业服务业网络解决方案
本解决方案概述将着重介绍思科无线远程办公（OfficeExtend）解决方案，它是
思科虚拟办公室的重要组成部分。思科无线远程办公（OfficeExtend）是一个无
线解决方案，可以利用无线接入点和控制器，将企业网络延伸到远程办公人员，
全部时间和部分时间在家办公的员工，以及移动办公的外聘人员。
思科无线远程办公（OfficeExtend）是一款安全、简便且经济高效解决方案，
能够将企业无线网络延伸到远程地点。它可以在临时性办公场所，或者传统办公
室空间之外的地点，为各种类型的员工提供移动连接，其中包括远程办公人员，
全部时间和部分时间在家办公的员工，以及移动办公的外聘人员。无线远程办公
（OfficeExtend）接入点可以插入到提供互联网连接的路由器中，建立起一条指
向企业网络的加密隧道，这样远程员工就能够像在公司办公室里一样，在外出途
中访问数据、语音、视频和应用。
无线远程办公（OfficeExtend）包括远程地点和企业总部办公室组件。用在
远程地点的组件包括：



一个带有互联网连接的路由器
Cisco Aironet® 1140 系列或 Cisco Aironet 1130AG 系列无线接入点
Cisco 统一通信无线 IP 电话（可选）
企业总部办公室组件有：


配有WirelessPLUS软件授权的Cisco 5500系列无线局域网控制器
Cisco 无线控制系统（WCS）

思科安全访问控制服务器 （ACS）
39
思科专业服务业网络解决方案
工作原理
位于远程地点的用户，可以通过无线远程办公（OfficeExtend）解决方案安
全地访问与企业办公室中无线网络上相同的服务。无线远程办公（OfficeExtend）
解决方案能够支持数据、语音和视频，以及各种类型的应用，例如 Cisco Unified
MeetingPlace® 会议、Cisco WebEx™ 技术和双模电话。在家庭办公室中进行
初次设臵时，远程员工需要将接入点连接路由器。无线远程办公（OfficeExtend）
接入点已由网络管理员使用思科无线控制系统（WCS）预先进行设臵。它将会
自动地建立一条加密的隧道，通过 Cisco 5500 系列无线控制器连接到企业总部。
一 部 预先 注册 的 IP 电话 还 将自 动连 接到 Cisco Unified Communications
Manager，访问企业的电话号码、语音邮件和用户设臵。
主要特性
无线远程办公（OfficeExtend）可以在接入点和控制器之间建立起一条加密
的数据报传输层安全（DTLS）连接，从而：

建立与企业办公室设臵相同的远程WLAN连接。

提供基于思科统一无线IP电话和Wi-Fi语音电话的语音服务。这一语音服
务还支持呼叫感知功能（即能够跟踪呼叫统计数据）。
支持个人服务集识别符（SSID）和企业SSID，允许非企业设备访问互

联网。

支持M-Drive技术，以确保无线服务质量（QoS）和可靠的连接。
40
思科专业服务业网络解决方案
无线远程办公（OfficeExtend）解决方案能够为在传统办公室之外工作的员
工提供安全的、丰富的网络服务，包括远程办公人员，全部时间和部分时间在家
办公的员工，移动办公的外聘人员，以及管理人员。无线远程办公（OfficeExtend）
解决方案可以为身处任何地点的员工创建出一个无线办公环境。
5.2.3. 移动协作解决方案
思科移动协作解决方案集成了 Cisco WebEx、思科统一通信、思科统一无
线网络和思科高级服务等产品线的产品和服务，致力于为移动工作地点带来出色
的协作体验。
工作地点体验
思科通过扩展其战略向越来越多的设备提供网络服务，同时简化这些设备与
无线网络的连接方式。


用于iPhone的Cisco WebEx Meeting Center 1.2版本可以从苹果应用商
店（Apple Applications Store）免费下载。该版本进一步扩展了应用，
在会议召开前期及会议期间，使主机能够直观的使用iPhone安排会议和
邀请与会者参会。
思 科 通 过 发 展 思 科 兼 容 扩 展 计 划 （ Cisco Compatible Extensions
Program），来满足不断变化的设备发展需求。全新思科兼容扩展服务
计划采用功能模块化设计，分为基础服务、管理服务、协作服务和环境
感知服务等四项服务，设备制造商能够为具体设备选择最适合的服务。
现在，该计划已经赢得AeroScout、Atheros、博通（Broadcom）、Ekahau、
英特尔、Intermec、宝利通（Polycom）、Redpine Signals、Summit Data
Communications和德州仪器（Texas Instruments）等大量芯片厂商和
设备制造商的广泛生态系统链的鼎力支持。
无线网络平台
作为下一代 802.11n 无线技术领域的领先厂商，思科提供了全面的 802.11n
解决方案，包括接入点、控制器和管理系统等，并且能够通过一个开放的 API
提供网络信息和服务。

全新Cisco 5500系列无线控制器（5500 Series Wireless Controller）针
对802.11n网络进行了优化。独立测试证实，该平台在提供视频和丰富
媒体协作应用方面，相比前几代无线控制器能够实现高达1000%的性能
提升。
41
思科专业服务业网络解决方案

全新思科无线远程办公（Cisco Office Extend）解决方案对Cisco Virtual
Office远程工作解决方案产品系列提供了有效补充，可将公司的无线网
络扩展到远程地点，为移动员工提供无线数据、语音和视频服务。

全新Cisco Aironet 1524网状网接入点提供了更高的可扩展性，支持各
种室外和室内工作地点的无线覆盖。
全新Cisco 3310移动业务引擎（Cisco 3310 Mobility Services Engine）
能够针对中小企业的规模进行智能调节（smart-sized），支持环境感知
和自适应无线IPS等现有移动服务，其基于开放API的界面能够支持第三

方移动应用。
第三方应用
经由一个开放 API，思科可为业务应用提供特定的网络信息。目前，业界正
广泛推出针对网络安全保障、PCI 法规遵从性和无线视频监控的业务应用。

网络安全保障解决方案将思科移动业务引擎提供的地点信息，安全的和
网络性能关联引擎相集成，能够更快地发现并解决安全和网络性能问题。
目前，ArcSight、NetScout Systems和RSA（EMC安全产品部）都利用
思科移动业务引擎推出了网络安全保障解决方案，以更好的为客户提供
服务。
5.2.4. 思科无线技术特色
5.2.4.1.
CleanAir 技术智能频谱管理
由于 Wi-Fi 在共享无需授权的波段工作，因此，要在 Wi-Fi 网络中支持高
级别性能、安全性和可靠性，必须拥有集成式频谱智能和频谱管理。频谱管理对
于在关键无线应用中为最终用户提供丰富、可靠的移动性体验至关重要。
商用 Wi-Fi 芯片集的有限射频可见性功能不能满足需要，因此思科集成了
获得专利的频谱处理硬件和软件，专用于分析干扰，而且还创建了真正的企业级
Wi-Fi 芯片集。由于具有这种底层硅片功能，Cisco CleanAir 技术可对各个干扰
源进行分类，并找出干扰源，告诉您它们如何影响网络性能或安全性。
Cisco CleanAir 是一种革命性的技术，在业界尚属首例。使用该技术，IT 经
理可以访问自动收集的关于每个非 802.11 干扰源的丰富频谱信息。CleanAir 技
术提供的频谱智能支持全新级别的频谱管理。与以前的频谱管理工具相比，新的
42
思科专业服务业网络解决方案
集成式频谱管理是无线网络结构的一部分，而以前的频谱管理工具则仅适应于其
他 Wi-Fi 设备，并且通常与无线网络分离。第二代频谱管理可充分感知所有无
线频谱用户，而且能够采取行动来缓解或避免干扰，从而优化网络性能。
CleanAir 技术广泛应用于思科统一无线网络系统内部，通过以下方式提高
无线质量：


侦测其他系统无法看到的射频干扰
识别来源，并在平面图中找到相应的位臵

自动调整以优化干扰周围的无线覆盖范围
这一创新技术的优势在于：

自我修复和自我优化无线网络



更快地排除故障，减少中断时间
有效地实施策略
提供物理层安全性
5.2.4.2.
VideoStream 技术为客户提供高清无线视频体验
视频是一个非常苛刻的应用，它可以立刻将网络中的任何弱点暴露出来。通
过 Wi-Fi 传送的视频的体验质量无论何时都必须是企业级的，即网络必须能够支
持多种视频、音频和数据流以可靠同步的方式没有中断的传输。当延迟，丢包和
抖动超出门限值，可用的视频迅速下降到零；与有线网络相比将视频应用扩展到
Wi-Fi 更具挑战。因为 Wi-Fi 网络的特点本身带来了可变数据速率，数据包丢失，
和组播的不可靠性等一系列挑战，这与传统方式来确保服务质量（QoS）相悖。
思科视频流就绪 (VideoStream)技术将视频应用完美扩展到无线网络。
43
思科专业服务业网络解决方案
视频媒体就绪的无线局域网
优化视频应用保护无线网络的投资
极大改善视频质量和扩展性:
解决了射频方面和有线/无线相互集成的挑战
将有线网络里的视频质量带到无线网络中
视频流优先机制保护包含重要内容的视频流
优先级
临临界级别:
高
WLC
可靠组播
AP
AP
资源
预留
控制
SWITCH
AP
AP
准入控制
视频
不可用
高性能
高性能
高性能
思科视频流就绪技术是思科统一无线网络一组新的系统级的特性，它包含了
我们讨论过的可提供卓越的视频质量的关键性增强功能。思科视频流就绪技术展
示了思科公司的射频和视频方面的专业知识，它周全的考虑到无线局域网的物理
层、MAC 层和应用层，为各种类型的视频应用提供了可靠、一致的平台。
视频流优先级
正如我们前面提到的，视频是一个高效的、极具影响力的通信手段，也是带
宽密集型应用，正如我们所看到的，并不是所有的视频内容都具有相同的优先级。
从前面的讨论中可以清楚看到，商业组织在视频上的投资不能影响网络带宽的消
耗，关键业务的视频媒体必须优先。
随着视频流被接纳到网络中，网络管理员可以根据其重要程度将媒体流配臵
为不同的优先级。这一特性可以在射频级别开启(2.4 GHz 频段和 5 GHz 频段)，
也可以在 SSID 级别开启，这给管理员提供了更多的控制权来识别特定的视频流，
并确定相应的质量服务。
配臵视频流具有比语音较低的优先级比和比尽力而为流量更高的优先级。所
有其他的组播流量将被以尽力而为方式接纳，尽管他们以视频的优先级来标记着
服务质量。
44
思科专业服务业网络解决方案
资源预留控制
随着越来越多的用户开始在工作场所的利用无线终端承载视频，能够优雅的
管理、规模持续不断的增加和为在任何特定时间或地点的用户群提供高质量的体
验是至关重要的。资源预留控制（RRC）提供了增强功能在 MAC 层部分管理准
入和控制策略。准入和策略是基于射频测量，流量统计测量，和系统配臵来决定
的。RRC 提供了视频客户端的带宽保障机制，拒绝导致过载的客户端请求。信
道利用率作为指标以确定系统是否有能力执行准入控制。
组播到单播转换
通过支持 802.11n 的数据传输速率，并在 MAC 层提供错误更正机制，思科
视频流就绪具备组播到单播转换的能力，这大大增强了 Wi-Fi 承载视频的可靠性，
远远超出了传统的无线网络尽力而为的特性。
无线客户端应用程序通过发送 IGMP 加入消息订阅 IP 组播流。有了可靠组
播，这一 IGMP 请求消息被网络基础设施侦测到。系统检查视频流的认阅和配臵
并收集数据和流量的政策。如果被请求的视频流被策略允许，响应被发送到连接
到无线接入点的无线客户端，从而一旦视频流到达就启动可靠组播。该系统还将
查看可用带宽和配臵的视频流度量以确定是否有足够的空口时间来支持新的视
频订阅。此外，系统还会考虑现在的无线电射频负载和介质的健康情况来作出准
入的决定。
如果上述条件都得到满足，无线接入点发送关联响应到无线客户端。这时无
线接入点复制组播帧并将其转换为 802.11 单播帧。最后，可靠组播将视频流以
单播形式直接提供给需要的客户端。
5.2.4.3.
ClintLink 技术保护客户投资提升无线品质
尽管 802.11n 技术的产品已经大行其道了，但很多客户仍然使用原有的
802.11a/b/g 产品，并且未来几年内才会逐步被替代。大多数企业会继续维护
802.11a/g 的设备，同时添加新的 802.11n 设备。思科公司充分考虑到了为企业
的 802.11a/g 设备提供投资保护，开发了 ClientLink 技术，帮助企业将 802.11n
的性能优势扩展到 802.11a/g 设备的同时，增加了他们的使用寿命。
大多数的 802.11n 解决方案为 802.11a/g 客户端在上行方向(客户端到无线
接入点)提供了某种程度上的性能提高，但是无法在下行方向（从无线接入点到
客户端）提高性能。认识到这一点非常重要，因为大多数的客户端流量，比如说
45
思科专业服务业网络解决方案
网页浏览和文件下载，都是在下行方向。思科 ClientLink 技术提高了 802.11a/g
客户端下行链路的性能，从而提供了更好的网络覆盖以及更可靠的漫游体验。
另一个挑战是在同时部署了 802.11n 和 802.11a/g 设备的环境下，确保
802.11a/g 设备不会限制 802.11n 设备的性能。通过为 802.11a/g 设备提高下行
链路的吞吐量，ClientLink 为整个网络包括 802.11n 客户端，有效的提高了系统
容量。
ClientLink 通过在无线接入点上预先植入的高级信号处理进程进行工作。在
学习到用最大限度的方式将从无线接入点多个天线上接收到的客户端信号结合
起来之后，ClientLink 使用这些信息，并通过最佳方式将数据包发送回客户端，
这种技术称之为多输入多输出（MIMO）波束成形。此外，MIMO 波束成形技术
并不需要昂贵的外部天线就可实现。
ClientLink 的性能优势
Miercom 实验室测试验证
ClientLink 优势
Miercom 实验室测试结果
为11a/g设备提供更高的
吞吐量
对于 11a/g 设备
可以实现高达
65% 的吞吐量增
长
Throughput vs. Distance
 扩展现有设备的使用寿命，节
省客户端升级费用
增加无线系统整体的信
道容量
 11a/g设备更快的处理时间意
味着11n设备可以利用更多
的“空口” 时间，同样改善
了11n设备的性能
对于 11a/g 设备减少覆
盖漏洞
44%
56%
25%
< 14 Mbps
75%
高达 27% 的信道
容量增长
> 14 Mbps
Channel Util of 74.2%
ClientLink Disabled
 更高的数据率和更少的丢包
5.2.4.4.
ClientLink Enabled
ClientLink Disabled
Channel Util of 45.2%
ClientLink Enabled
在动态的射频环
境中减少覆盖漏
洞
方便操作的无线管理系统
Cisco WCS 是无线网络的管理平台，用于对 802.11n 和 802.11a/b/g 企
业级室内和室外无线网络进行全面的生命周期管理。这一极具灵活性的平台提供
大量的工具和资源，以便对覆盖园区、远程、国内和国际位臵的无线局域网进行
有效的规划、部署、监控、故障排除和报告。
46
思科专业服务业网络解决方案
Cisco WCS 消除了无线局域网管理的复杂性。这一屡获殊荣的平台通过易
于使用的集中化界面，让用户清楚地了解并控制无线局域网和射频环境。它简化
了所有无线局域网操作，有助于确保 Wi-Fi 性能平稳、通过 Cisco CleanAir 减
少射频干扰、增强网络安全性，并为所有移动最终用户提供最佳无线体验。Cisco
WCS 只需最少的 IT 人员配备，即可满足最苛刻的运营需求。Cisco WCS 是
维持经济高效、业务就绪的思科统一无线网络的理想平台。
Cisco® 无线控制系统 (WCS) 是业内最全面的管理平台，用于对 802.11n
和 802.11a/b/g 企业级无线网络的生命周期进行管理。这一强大的管理平台可
提供经济高效的管理解决方案，使 IT 管理员可以成功规划、部署、监控室内和
室外无线网络的情况，并进行排除故障和报告。
作为思科统一无线网络的管理平台，Cisco WCS 是支持高性能的应用程序
和关键任务的解决方案，简化业务运营并提高生产效率。该系统还支持 Cisco
CleanAir 技术，这项技术是思科统一无线网络的系统级功能，它使用硅片级智
能创建自行恢复和自行优化的无线网络。Cisco CleanAir 技术在为 802.11n 网
络提供性能保护的同时，通过自动减缓射频 (RF) 干扰的影响，提高无线网络的
可靠性，来支持关键任务应用程序。
Cisco WCS 是一个全面的平台，伸缩自如，可满足跨本地、远程、国内和
国际位臵的大中小型无线局域网的各种需求。此项获奖的解决方案可使 IT 经理
在需要时立即使用所需的工具，只要从一个集中位臵便可实施和维护安全的无线
局域网，不仅效率更高，而且最大程度地减少了 IT 人员配备。
Cisco WCS 直观的用户界面和使用简易的内臵工具，可提高 IT 效率、降
低 IT 培训成本并最大程度地降低对 IT 人员配备需求，从而显著降低运营成本，
即使网络不断扩展也是如此。与重叠管理工具不同的是，Cisco WCS 通过将全
方位管理需求（包括射频、控制器和服务）结合到单个统一平台来降低运营成本。
47
思科专业服务业网络解决方案
5.3. 无线设备参考
产品系列
说明
Aironet 1141/1142
802.11 a/b/g/n, 内臵天线，无线接入点
Aironet 1130AG
802.11 a/g 室内无线接入点
Aironet 1042
802.11 a/b/g/n, 内臵天线，无线接入点
Aironet 1252/1262
802.11 a/b/g/n, 外臵天线，无线接入点
Aironet 3500i/3500e
802.11 a/b/g/n, 内/外臵天线，无线接入点，支
持 CleanAir
Air-WLC5508-X-K9
无线控制器，分别支持 12.25.50.100.250.500
个 AP，可通过购买 License 升级 AP 数量
WCS-APBASE-50/100
支持 50/100 个 AP 的无线网管系统
AIR-MSE-33xx-K9
无线定位服务器
详细信息欢迎垂询思科区域中小企业客户经理和中小企业客户技术支持工
程师，或参考思科网站：


English：www.cisco.com
中文：www.cisco.com.cn
48
思科专业服务业网络解决方案
6. 专业服务业协作通信解决方案
6.1. 专业服务业协作通信的现状
通信和协作服务的发展改变了我们的工作和生活方式。多年来，计算机的角
色在不断演变，已经从最初的文件处理和系统接入工具发展为了支持日常通信和
协作的工具。桌面计算机与座机、手机和其它计算机以多种方式进行交互，共享
信息。协作服务使我们能够灵活地改变沟通对象、沟通方式和沟通时间。随着我
们利用便捷、安全的协作工具与公司内外的各种群体，包括合作伙伴、客户和知
识型员工等进行合作，我们的沟通对象变得更加广泛和多样化。随着企业采用随
时随地的业务运作模式来加速业务决策，用户不必再长时间在办公室工作，工作
时间也变得灵活多变。而随着工作时间的变化，我们工作的地点也发生了相应的
改变。利用移动功能和无线服务，我们可以在办公室开展业务，或者在家中参加
清晨或晚上的会议，或是在机场等候航班的时候处理业务，或者利用视频协作避
免出差。
目前专业服务业在协作通信方面的信息化建设尚有很多问题，主要表现在以
下几个方面：
■ 集成化问题
使用多种通讯工具和不同的电子邮件客户端工具造成信息分别存储于各种
不同的媒介和档案中，无法进行快速查询；大量电子邮件中的正文与附件都自成
体系，查找某一文件时常出现混淆；众多的常用文档充斥，其导入、存储、检索、
修改与维护的方式各不相同，应用起来费时费力；
■ 协作性问题
网络会议由于各专家对于项目了解程度不一，准备不足，经常流于形式；无
法共享其他律师掌握的项目和联系人资料，相互之间会出现重复工作的现象；无
法及时知晓其他合作专家的日程安排，很难及时召集合作人员开会、讨论，以致
协作过程出现困难，工作被延误；
■ 动态化问题
一份文件常必须由多个专家经手，但每人侧重的点及权限各不相同，在文件
的流转过程中常会出现交叉与失误；由于专家经常外出调研，信息快速变化，难
49
思科专业服务业网络解决方案
以实现对于项目进程的动态化监控；项目相关人员，包括专家、助理、委托人等
在项目进行中都有一定的动态变化，造成沟通困难；
■ 移动性问题
外出时常脱离局域网环境，无法与事务所及时进行资料、信息互动；长时间
处于车辆、飞机上，大量时间碎片不能得到良好的应用，工作效率低下；
■ 保密性问题
由于专业服务工作的特殊性，如果大量机密信息与文件只能通过外部电子邮
件或者外部通讯工具进行传递，很容易被监听获取，安全性缺乏保障；
6.2. 思科统一通信解决方案
思科统一通信（UC）产品系列旨在为几个到数万名用户提供语音和视频通
信服务。IP 通信解决方案和终端可帮助您将统一的通信服务扩展到所有工作地
点的用户，不管他们是在总部局域网、远程站点、家中还是出行路上。Cisco
Unified Communications Manager（CUCM）是一个可扩展、可分布的高可用性
企业级IP 电话呼叫处理系统，既能提供传统的电话功能，也能提供移动、在网
状态和偏好选择等高级功能。借助思科IP 通信解决方案，企业还能利用现有的
电话号码在互联网上发起高度安全、高质量的公司间语音和视频电话呼叫，从而
提高通信系统的效力。Cisco Unified IP 电话可支持多种通信要求，包括交互式
视频、Wi-Fi 集成、高清晰语音等。如果与思科局域网交换机相连，这些IP 电
话还能报告参数，从而实现电源、QoS、VLAN 分配和基础设施安全设臵的自
动化。Cisco Unified Survivable Remote Site Telephony（Unified SRST）在远
程路由器上的思科IOS中运行，当远程站点与Unified CM 所在的主站点之间的
连接发生中断时，能够为远程站点提供备份呼叫控制。呼叫处理资源的集中化降
低了部署成本，同时保持了高可用性，而且能够与远程站点路由器提供的网络服
务进行协作。
如下图所示，比较典型的专业服务业统一通信解决方案，满足客户对单点语
音系统或多点系统的要求，同时兼顾实施和部署的可行性及未来的扩展能力。
50
思科专业服务业网络解决方案
以上设计从几个方面考虑到专业服务业企业或机构的实际通信需要：
1) 系统采用IP通信平台，通过简单的部署通信服务器和IP电话以及语音网
关实现IP语音系统的部署
2) 呼叫控制系统：建议采用CUCM 8.0或以上版本，通过多个（一般为2
个）通信服务器的群集，实现对IP电话系统的集中管理和控制，并提供
冗余和备份的能力，保证整个通信系统不会因为通信服务器的故障而导
致系统瘫痪。（CUCM的冗余备份机制详见后面描述）
3) 桌面电话系统：建议采用思科 79xx IP电话终端作为主要的桌面电话终
端。采用IP电话可更加方便的进行电话呼叫和各种操作，同时，可以在
IP电话提供的大型屏幕上进行各种办公应用的查询和访问，提供原有模
拟电话完全无法实现的功能。同时，所有的思科 IP电话均提供内臵的
10/100M以太网交换接口，保证桌面的IP电话和PC机共享同一个交换机
端口资源，IP电话均支持以太网线路供电－802.3af。
4) 同PSTN的连接：建议利用数据网络上的思科 ISR G2路由器（如29xx
或39xx系列）作为IP语音通信平台到PSTN电信网络的接口，思科 29xx
或39xx系列ISR路由器可支持单机最多8个E1的接入容量。如果ISR的容
量不能满足要求，还可采用更大的基于Catalyst 6000 的大型IP语音接
口模块（每块板支持最大8个E1接口）。
5) 同现有的PBX或远端PBX的连接。建议同样采用同PSTN相同的接入方
式和设备进行远端或本地原有PBX系统的接入，只是容量相比较少而已。
51
思科专业服务业网络解决方案
6) 特殊区域的模拟电话需求：为在一些特殊的办公或非办公区域部署传统
的模拟电话，用于连接G3传真机或一些应急电话，思科建议采用不同的
模拟电话接口网关实现对模拟电话或传真机的接入。对于较小容量的区
域，建议采用VG202/VG204模拟接口模块，每个模块提供2－4个模拟
电话接口，或通过部署VG224模拟接口网关，提供最多24个模拟接口，
用于大量部署模拟电话的环境。
7) 移动办公区域的语音覆盖：建议利用在办公区域部署的无线局域网实现
对IP语音的接入，无需单独部署专用的无线基站，无线手机支持漫游。
8) 视频通信的支持：思科提供基于IP硬件电话终端和软件电话终端紧密集
成的视频电话服务（Video Telephony），只需简单的在PC机上安装视
频电话驱动软件和一个USB的摄像头即可实现在电话接通的同时，显示
呼叫双方的视频图像。
9) 会议室终端的支持：思科提供7985等专用IP会议终端。
10) 同IP电话显示和应用系统的连接：建议通过XML语言开发一个简单的介
于企业内部数据和应用网络和IP电话浏览器之间的中间应用服务器，从
而实现在IP电话上对后台数据和行业应用的集成。
11) 同多业务会议系统的连接：建议通过IP网络连接思科会议系统平台
（Meeting Place、Meeting Place Express）
12) 同多业务信箱系统的集成：建议通过IP数据网络连接思科 Unity多业务
信箱系统（可选Unity、Unity connection、Unity Express）
6.2.1. 总部统一通信架构的高可靠性设计
为保证 IP 语音通信系统的正常工作和运行，思科在通信服务器方面提供了
丰富的高可靠性和高可用性设计。
作为整个 IP 语音通信系统的核心，通信服务器控制全部 IP 电话和语音网关
的注册和呼叫建立、控制的过程。为此思科提供多种可靠性配臵和容量配臵，客
户可根据实际的需求和容量进行选择和配臵。
以下是思科 MCS78xx 系列通信服务器（CUCM）的配臵和性能：
如图所示，思科 MCS 服务器配臵可根据容量需求进行灵活的选择，但从系
52
思科专业服务业网络解决方案
统的可靠性角度考虑，我们建议采用双 MCS 服务器备份的配臵方法。
同时，思科 MCS 通信服务器采用群集的方式实现容量的扩充和冗余备份机
制。
全部或部分的语音网关、IP 电话等设备在系统或网络正常的情况下，注册
到主服务器。一旦出现网络故障或服务器故障，全部设备和 IP 电话均自动转移
到备用的 CUCM 服务器上；在 CUCM 服务器群集的内部，各个服务器之间实现
呼叫控制和终端、网关状态等数据的数据库同步和分发机制，当发生服务器切换
或 IP 电话转移服务器时，不会导致系统终端，甚至在两个或多个备份的服务器
全部终端的情况下，已经建立的通话都不会受到影响。
一般情况下，建议有两种 CUCM 服务器群集和备份的方法：
53
思科专业服务业网络解决方案
当一个服务器的容量不够支持大量的 IP 电话时，可配臵多余一个的 CUCM
服务器，实现群集。当多个服务器群集的总容量满足最终系统需求时，实际已经
实现了一定意义上的 CUCM 服务器冗余配臵，即 1：1 冗余。因为当任何实现，
一般不会出现每个服务器同时达到最大通信容量的情况，所以，当多个服务器群
集的配臵下，已经实现了一定的备份机制。
当服务器群集的容量较大，而且基本达到群集后的满负荷容量时，最为更高
的可靠性要求，一般建议采用另外增加一个 CUCM 服务器的方法，实现 N：1
方式的冗余配臵。
一般情况下，思科建议采用 N＋1 备份的方式。
6.2.2. 分支机构统一通信解决方案
如下图所示，典型的分支机构统一通信解决方案。总部和分支机构之间建立
了端到端的 VPN，在分支机构部署语音、无线等应用，实现和总部一致的体验，
分支连接致广域网，同时部署了冗余链路。
54
思科专业服务业网络解决方案
方案特点如下：


总部的集中管理
一致的服务部署以及更多功能应用可以扩展





更加好的通信开支管理
VPN解决方案（尤其对于经常移动办公的专业服务业客户）
语音、数据、安全、无线整体解决
通过SIP提供更好的语音安全性
更加简便的部署和使用
6.2.3. 思科远端网关本地存活功能（SRST）
随着企业逐渐将他们的 IP 电话部署从总部拓展到分支机构，一个需要在部
署中考虑的重要因素是如何经济有效地在小型分支机构中提供备份冗余功能。但
是，这些小型分支机构的面积和数量使得大部分企业都不愿意通过为每个地点部
署专门的呼叫处理服务器、统一消息服务器或者多个广域网（WAN）连接来获
得必要的高可用性。另外，小型分支机构并没有专业的 IT 人员，因此企业所选
择的解决方案必须非常便于部署、管理和维护。通过将思科的 CallManager IP
电话解决方案与 Cisco Survivable Remote Site Telephony（SRST）功能相结合，
企业可以利用一种不仅非常便于部署、管理和维护，而且非常经济有效的解决方
案将高可用性 IP 电话拓展到他们的远程分支机构。
55
思科专业服务业网络解决方案
本方案中，适用于规模较小的分支机构，采用了思科 SRST 技术，IP 语音
通过总部集中管理和控制。SRST 功能提供了本地呼叫处理能力，保证了业务的
连续性。智能接管，以及自动回复。
SRST 解决方案细节
SRST 是一种内嵌在 Cisco IOS 中的功能，运行在本地分支机构的 IP 电话
路由器上。在 WAN 连接发生故障时，SRST 可以让一台思科路由器为拥有 1 到
多部思科 IP 电话（根据 ISR 路由器的性能不同）的小型办公室提供备用呼叫处
理功能。SRST 可以自动检测网络中的故障，并利用思科的 SNAP（简单网络管
理协议）功能启动一个进程，自动配臵路由器，使其可以为办公室中的 IP 电话
提供呼叫处理备份冗余。该路由器可以在故障期间提供呼叫处理功能，确保电话
功能的正常使用（如图 2 所示）。在网络中的 WAN 连接恢复之后，系统可以自
动地将呼叫处理功能转移到主 Cisco CallManager。这项功能的配臵都是在总部
的 Cisco CallManager 中一次性完成的，从而简化了部署、管理和维护。由于
SRST 功能的智能性和简便性，不需要任何 IT 人员在远程地点启用或者禁用这
项功能。
当 WAN 连接发生故障时，思科 SRST 功能在小型分支机构路由器上启动。
对外的办公室间呼叫被发送到 PSTN。思科建议远程地点的所有网关路由器都保
持与 PSTN 的直接连接，以获得备份呼出功能。这对在紧急情况下保持呼叫能
力尤为重要。
56
思科专业服务业网络解决方案
SRST 运行模式和原理：
正常情况下:
思科 SRST 软件的运行方式是利用集中式 Cisco CallManager 群集和本地
思科 IP 电话发出的 keepalive 分组。在正常运行期间，Cisco CallManager 可以
收到思科 IP 电话发出的 keepalive 分组。Cisco CallManager 可以建立、处理、
维护和端接呼叫。分支路由器针对 SRST 功能进行了配臵，但是在正常模式下
并不会意识到 IP 电话的存在。
WAN 终端或故障：
当 WAN 连 接 发 生 故 障 时 ， 思 科 IP 电 话 会 发 现 它 们 收 不 到 Cisco
CallManager 发出的 keepalive 分组。这时思科 IP 电话会向路由器登记，该路由
器会查询该电话的配臵信息，然后自动进行相应的配臵。在这种情况下，思科
SRST 软件会自动启动，为连接到该路由器上的所有思科 IP 电话（不超过它所
支持的最大值）建立一个本地数据库。思科 IP 电话通过配臵，可以在无法收到
中央 Cisco CallManager 发出的 keepalive 分组时，将该路由器作为一个备用呼
叫处理源。思科 SRST 路由器现在可以建立、处理、维护和端接呼叫。在故障
期间，IP 电话的显示屏上会显示它们正处于“CM Fallback Operating”模式。
WAN 恢复连接：
当 WAN 连接恢复时，思科 IP 电话会检测到中央 Cisco CallManager 发来
的 keepalive 分组，继续将其作为主呼叫建立和处理机制。当思科 IP 电话重新
定位到 Cisco CallManager 时，SRST 路由器将会清空它的呼叫处理数据库，转
为备用模式。正在进行的呼叫不会受到任何影响，因为它们是由路由器的网关功
能管理的。在 WAN 连接恢复期间使用的电话将会在恢复到闲臵状态之后重新定
位到 Cisco CallManager。
6.2.4. 全新 ASA500 系列防火墙更加简化接入
思科 ASA5500 系列防火墙提供的统一通信代理服务功能，使得思科 IP 语
音部署进一步进行简化，连接 Internet 上的 IP 电话或着软 IP 电话无需通过 VPN，
就可连接到远端企业总部的 ASA5500 防火墙的电话代理服务器，让后再注册到
后台上的 Call Manager 上，同时，ASA5500 系列防火墙还支持移动代理服务功
能。在有 WIFI 接入的地方可以更加方便的通过手机连接到网络。如图所示：
57
思科专业服务业网络解决方案
6.3. 专业服务业的协同应用
针对专业服务业的协同应用，思科提供两类产品解决方案，包括 Cisco
TP/Tandberg 视频通讯解决方案及 Cisco Webex 协同会议系统解决方案。
6.3.1. Cisco TP/Tandberg 视频通讯解决方案
许多会议都需要进行面对面交流。在以前，这便要求所有的参会者必须同处
一室，而思科网真解决方案创建了一种与面对面会议一样实时、逼真的通信体验。
由于能够跨广大的区域同时向多个地点高效地传输高清视频和音频，企业可削减
差旅成本，缩短会议延迟。与思科统一通信解决方案的集成，使会议的召开如同
拨打电话一样简单。WebEx 协作和现有的视频会议系统可添加到实时会话中，
这进一步提高了功能的多样化。与网络的集成有助于确保可靠性，并借助永续的
网络基础架构和QoS 提供了最佳体验。
在 2009 年，Cisco 收购了原全球市场占有率第一的 Tandberg，将其视频通
讯产品纳入到思科的协作通讯平台中，使得 Cisco 在 2009 年成为了全球视频终
端和网络设备的领导者。
根据 Wainhouse 最新给出的 2010 年第一季度统计数据，Cisco 在视频终端
产品市场占据了 45%的份额，而在视频后台架构产品市场更是占据了 52%的份
额，超过市场份额的一半，远远超过其他竞争对手，对市场有主导能力。
Cisco公司一直致力于视频通信技术和产品及系统的研究开发，并且是ITU-T、
IETF、IEEE等视频通信标准的制定者之一，在视频通信领域拥有超过1000项的
58
思科专业服务业网络解决方案
首创及专利技术，重要的技术标准有：

首先研发和应用H.264视频技术


首先研发和应用双流技术（后被ITU-T采纳成为 H.239双流标准）
首先研发和应用防火墙穿越技术（后被ITU-T采纳成为H.460防火墙穿越
标准）
首先应用数字高清DVI和HDMI接口技术；
首先应用AAC-LD 高保真CD级音频技术；




发起和制定MediaNet技术，使视频与IP网络融合更紧密，网络自动识别
和适应视频设备，自动进行QoS，网络带宽配臵优化；
发起和制定TIP（网真系统互联协议）
Cisco可以将视频通讯贯穿到整个协作解决方案中，可以为行业用户提供IP
通讯、移动应用、客户服务、网真、协作会议、即时消息和企业门户软件的7种
不同应用，并且Cisco的理念是能够将这些不同类型的应用进行融合，实现高度
的统一协作通讯。
利用Cisco Tandberg视频解决方案，能够给用户带来以下体验：

项目沟通
沟通会议是系统的主要应用模式之一，用户可以通过MCU会议预约功能，
或者通过TMS的统一会议预约和管理平台，进行会议的安排、定制，用户无需
根据组会模式的不同，而去选择不同的操作方式。相反，用户只需按时到达视频
会议室就可和远端的同事进行探讨、交流。系统会根据这些信息，到时间自动开
启与会的会场。

领导会议
Cisco Tandberg产品全高清的系统，不仅可以实时高清的传送本地全局会场
画面，强大的12倍1080P光学变焦的摄像头还能捕捉到人的面部表情，甚至脸色。
领导可以通过该系统随时随地的和其它部门同事进行沟通，从而增加决策的效率。

业务培训
主要有两种类型的培训：一种是会场型培训，一种是基于PC的桌面型培训。
也可以是两种培训形式相结合。
会场型培训，可以通过MCU会议管理功能或者TMS预约的方式，把需要参
加培训的会场呼叫进入培训会议室，然后参加培训人员进入会场，演讲者直接在
59
思科专业服务业网络解决方案
自己所在的会场发送培训内容双流，并进行讲解。培训人员可以在看到课件的同
时看到演讲者。
另一模式是桌面型培训，这种方式实际借助了Ci s c o -Ta ndb e rg MCU独
有的软视频ConferenceMe功能，或录播服务器高清直播功能。只需要演讲者预
定一个会议室，培训人员通过WEB界面加入会议，观看会议直播，直播内容包
括了讲师的音视频，以及培训内容，如果与会人员有问题也可以与讲师互动或直
接将电脑桌面双流发送给讲师。
这种模式适合于大规模培训，或者是当培训和日常大会发生冲突的时候，需
要参加培训的用户可以直接在自己座位上，通过PC参加培训。

移动会议
借助Cisco Tandberg MCU独有的ConferenceMe功能，无论用户是在办公
室、家中还是在宾馆，只要接入到公司网络中，就可进行视频会议了，对于专业
服务业用户来说，这一功能将是非常有价值的。
6.3.2. Cisco Webex 协同会议系统
传统的会议局限于让参会人员在一个地点进行面对面的讨论，而现在的会议
可以跨越多个边界和时区，有效地覆盖广大的区域。Cisco WebEx 解决方案可
以通过任意系统、平台和浏览器或设备，满足更广泛的员工需求，从而帮助贵公
司实现按需召开无边界会议的目标。WebEx 利用网络基础架构和服务提供了专
门的电信商级云计算服务，为灵活的实时网络会议、网络研讨会和网络广播提供
了强大的支持。面向思科ASR 路由器的WebExNode 网关卡提供的网络服务能
在互联网边缘对数据和视频流进行本地复制，而不是在网络上发送所有流量，从
而节省带宽。会议控制和管理以云计算的方式执行，提供了一个无缝、透明的解
决方案。WebEx 功能可扩展到无线智能电话，通过应用插件模块来简化会议接
入，同时支持浏览幻灯片和使用其它会议协作工具，进而满足移动用户的需求。

网络会议
Cisco WebEx与世界各地的人们共享文档、进行演示和协作。网络会议让您
能够借助因特网的力量举行会议而无需离开您的办公室。
60
思科专业服务业网络解决方案
WebEx 领先的随需网络会议。现在我们提供专用网络会议解决方案，无需
安装软件也无需购买硬件，无论您使用的是何种平台，您都只需单击鼠标即开始
网络会议。 与全城乃至全世界的人们合作，如同他们就在您身边一样轻松。只
需打开您的 Web 浏览器启动 WebEx 网络会议就可以随时随地与任何人进行
通信和协作。您的在线会议是私人的，且您的桌面隐私也在您的控制之下。

视频会议
视频会议过去需要专门的会议室、培训设备、操作技巧并且提前通知和预约
才可以主持。借助WebEx 则无需安装软件也无需购买硬件。您可以从桌面安排
即时随需会议，您甚至还可以从我们的安全业务即时消息程序开始这些会议。现
在，您可以通过一种易于使用的随需服务来获取主持网络会议所需的一切
在您通信时提高和拓宽您的视角，就如同和同事面对面一样，无论和对方是
否处在同一座大楼或身在何方。共享文档、视频甚至是在需要时共享您的整个桌
面，所有这些活动都是在保护您隐私的情况下进行。WebEx 已获得 WebTrust、
SAS70 和 FDA 21 CFR Part 11 认证，确保您受到最高级别的安全性保护。
WebEx 提供实时会议品质的视频会议，无需高额成本、无需事先安排或占
用专用会议室。您可以实现所有会议参加者之间更强的交互性和效用。WebEx
随需应用程序套件提供安全、丰富、集成的多媒体体验而无需预先资金投入。

音频会议
61
思科专业服务业网络解决方案
使用音频会议的 WebEx 帐户扩大您的电话会议功能。安排具有相同访问
码的仅音频型会议和集成网络会议。使用相同的灵活呼叫选项和 Microsoft
Outlook® 集成以简化安排程序。如果您离开了您的办公桌，则可以通过任一部
电话即时安排您的仅音频型会议。
6.4. 协作通信设备参考

Unified Communication Manager 8.0及以上 （语音呼叫处理器）
-

Unified Communication Manager Express
-



Cisco ISR G1/G2 系列
ISR 1900/800 SRST
ASA5500防火墙
终端IP电话
CCME
集Phone Proxy功能的防火墙
-
CP-7985-PAL 视频 IP 电话
CP-7975G 彩色触摸屏 IP 电话
-
CP-7942G 黑白大屏幕 IP 电话
CP-6900 系列 IP 电话
IP Communicator 软电话，安装于 PC
语音网关
-

MCS7835 每台支持 2500 门电话
MCS7825 每台支持 1000 门电话
MCS7816，每台支持 500 门电话
UCS C 系列服务器
Cisco ISR G1/G2 系列
VWIC2-2MFT-T1/E1 E1 语音中继卡，连接 PSTN 或者 PBX
VIC-4FXS/DID 模拟语音接口卡，连接传统模拟电话
Tandberg视频会议系统
-
Cisco Tandberg C20/40/60/90 高清终端
-
Cisco Tandberg EX60/90 个人桌面高清网真终端
Cisco Tandberg E20 Voip 视频电话
-
Cisco Tandberg 4500 MCU
62
思科专业服务业网络解决方案

Webex会议系统
详细信息欢迎垂询思科区域中小企业客户经理和中小企业客户技术支持工
程师，或参考思科网站：


English：www.cisco.com
中文：www.cisco.com.cn
63
思科专业服务业网络解决方案
7. 思科统一计算在专业服务业的应用
7.1. 思科统一计算与虚拟化概述
从专业服务业的网络架构来看，企业的数据中心多建在企业总部，规模较大
的分支机构也有可能会部署服务器。思科新一代的数据中心解决方案，统一计算
平台和虚拟化技术将数据中心中的各种应用系统有效整合，保护了设备投资，提
高了设备的有效利用率。虚拟化技术将各种应用系统刚和物理平台有效的进行分
离，虚拟化技术带来的以下的优势：


整合工作负载；提高利用率；降低运营、投资、空间、耗电和冷却等。
在虚拟池中动态地移动工作负载，提高使服务器离线或增加新服务器的



灵活性。
管理虚拟机与物理机之间的关系，优化性能，保证服务水平。
使用现有资源池创建更多虚拟机，从而扩展当前应用或部署新应用。
使用虚拟化软件的高可用性和灾难恢复功能，来解决本地和跨地区故障
问题。
思科统一计算系统就旨在提供这样一个环境。专为虚拟化环境而优化的思科
统一计算系统是下一代数据中心平台，在一个紧密结合的系统中整合了计算、网
络、存储接入与虚拟化功能，旨在降低总体拥有成本（TCO），同时提高业务
灵活性。该系统包含一个低延时无丢包万兆以太网统一阵列，以及多台企业级
x86架构服务器。它是一个集成的可扩展多机箱平台，在统一的管理域中管理所
有资源。
虚拟环境需要一致的I/O配臵，为资源池中所有服务器的系统管理程序提供
统一支持。它们还需要能够支持虚拟机（VM）在资源池中的各服务器间移动，
同时又能满足各虚拟机带宽和安全要求的I/O配臵。思科统一计算系统以一个低
延时无丢包的10-Gbps统一网络阵列为基础，能够满足这一需要。此统一阵列不
再需要在每个服务器中部署冗余以太网和光纤通道适配器，也不必采用独立布线
连接接入层交换机，并为每种网络媒体使用不同交换机，因此大大简化了机架布
线。所有流量都路由到中央服务器互联，随后以太网和光纤通道流量可独立传输
到本地非整合网络。
当服务器配臵到资源池中以后，便可以根据需要进行管理，以满足不断变化
的工作负载要求；在部署新应用时无需为其安装特定硬件；并能在服务器间移动
虚拟机，以均衡工作负载、满足服务水平协议(SLA)或使某个服务器为计划内停
64
思科专业服务业网络解决方案
机作好准备时，虚拟化能为数据中心发挥最大价值。Cisco UCS Manager将思
科统一计算系统的资源整合为单一综合系统，非常适于为虚拟环境建立资源池。
Cisco UCS Manager是思科统一计算系统的中枢神经系统。它从端到端集
成系统组件，因此系统能作为单一逻辑实体进行管理。Cisco UCS Manager提
供一个直观GUI、一个命令行界面(CLI)和一个强大的API，因此它能单独使用，
也能与其他第三方工具集成使用。通过单一控制台，能够全方位管理服务器配臵
－系统身份、固件版本、网卡(NIC)设臵、HBA设臵和网络配臵文件等，无需每
个系统组件配备单独的管理器。
虚拟化将更多关注服务器如何拥有更多以及更经济的内存配臵，思科独创的
扩展内存技术提供了最佳的解决方案。采用了思科扩展内存技术的UCS C250
M1机架式服务器将四个物理上独立的DIMM映射为单一逻辑DIMM，在使用8-GB
DIMM时最大内存高达384 GB，从而能以更低TCO提高虚拟化密度，使IT机构能
够凭借更少资源完成更多任务。
（图）思科扩展内存技术
思科统一计算系统将计算、网络、存储访问和虚拟化统一到一个综合平台中，
进行集中管理，并使用VMware ESX服务器等虚拟化软件进行协协调。该系统在
一个万兆以太网统一阵列中集成了企业级服务器，提供了虚拟机和虚拟化软件所
需的I/O带宽和功能。思科扩展内存技术为高度虚拟化所需要的大内存提供了一
种极为经济的配臵方法。最后，思科统一计算系统将网络访问层集成为一个能轻
松管理的实体，在此实体中，能像物理链路一样配臵、管理和移动虚拟机链路。
7.2. 思科 C 系列机架式服务器的应用
Cisco UCS C系列机架安装服务器将思科统一计算系统创新技术扩展到了
机架安装机型，包括一个基于标准的统一网络阵列、Cisco VN-Link虚拟化支持
和思科扩展内存技术。这些服务器既能在独立环境中运行，也能作为思科统一计
65
思科专业服务业网络解决方案
算系统的一部分运行，使用户能够逐步部署系统，也就是按照最适合的预算方式
和时间安排来决定所用服务器的数量。
按照企业规模的应用特点，数据中心服务器的部署和使用可以分为两个阶段：
首先，在现阶段应用相对简单、投资预算有限的条件下，独立部署Cisco UCS
C系列服务器，在异构环境中提供业界标准的管理和应用特性。
当作为独立服务器部署在异构环境中时，Cisco UCS C系列服务器能像其他
任何x86架构服务器一样进行管理。无需修改，即能运行使用OS主机代理的常用
企业管理工具。Cisco UCS集成管理控制器为管理员提供了所需工具，帮助他们
以手动操作的方式控制服务器功能，包括远程键盘、视频和鼠标（KVM），电
源开关，以及用于系统监控的标准SNMP陷阱。
第二，在未来，随着企业信息化的进一步发展，C系列服务器可以作为思科
统一计算系统的一部分，提供了出色的投资保护。
C系列服务器能够与思科统一计算系统集成，成为单一综合系统的一部分，
由一个集成、内嵌、高度可用的安全管理系统管理。该系统采用与机型无关的架
构，在资源使用方面提供了出色灵活性。Cisco UCS C系列服务器能够根据需要
在思科统一计算系统中调整配臵，且能在该系统中与Cisco UCS B系列刀片服务
器一起运行。
使用这种分阶段的模式，能够按照自身的发展时机和预算情况，逐步部署系
统，根据需要选择服务器数量。C系列这种灵活的设计使其能够适用于广泛的数
据中心环境，包括使用思科统一计算系统、Cisco Nexus系列产品、以及来自思
科和第三方的独立以太网与光纤通道交换机的环境。
66
思科专业服务业网络解决方案
图：C 系列服务器在各种数据中心环境下的灵活部署
与传统的机架式服务器相比，思科C系列在广泛的应用环境下提供了多种独
特的优势，包括：

Cisco 扩展内存技术
相比传统的双路CPU服务器， 这一技术可带来两倍的内存空间（ 384GB），
并能够通过使用4 GB而非8 GB DIMM实现更为经济的（192 GB）内存空间。它
用于针对虚拟化和大数据集工作负载的需求，在处理能力与内存容量之间实现最
佳平衡，让企业无需再为了提供更大内存空间而升级到昂贵的四路CPU服务器。
同时，它还能够帮助降低资本开支与运营成本。

灵活的 I/O 与存储选件
该服务器拥有5 个PCI Express（PCIe）扩展插槽，提供了出色的I/O灵活
性和带宽，能够全面集成传统千兆以太网LAN和光纤通道SAN。服务器配备了多
达8 个内部小型（SFF）SAS或SATA驱动器，其内部存储容量远远高于同类刀
片外形服务器所能提供的水平。

万兆统一网络阵列
当配备了融合网络接口（CNA）或Cisco UCS P81E虚拟接口卡时，该服务
器可以集成低延时无丢包10 Gbps以太网与工业标准以太网光纤通道（FCoE）
阵列。这一技术支持“一次布线部署模式”，这意味着变更I/O配臵不再需要安
装相应的板卡，并对机架及交换机重新布线。

虚拟化优化
67
思科专业服务业网络解决方案
思科VN-Link技术、I/O虚拟化和Intel® Xeon® 5500系列处理器将网络直接
延伸到虚拟机。这一优化能够支持实现一致、可扩展的操作模式，帮助提高安全
性和效率，同时降低复杂性。

统一管理
当集成至思科统一计算系统作为其一部分使用时，管理功能将被集成到系统
的所有组件之中，通过Cisco UCS Manager，管理整个解决方案就像管理一个
单一实体一样，从而显著提高运营效率与灵活性。

服务配臵文件
当集成作为思科统一计算系统的一部分时，Cisco UCS Manager可使用服
务配臵文件和模板实施基于角色与策略的管理。服务配臵文件可帮助自动化配臵
和增加业务灵活性，让数据中心经理能够在短短几分钟内完成应用配臵，无需再
花费几天的时间。
7.3. 常用的思科统一计算 C 系列机架式服务器
产品系列
说明
Cisco UCS C200 M2
2 路服务器，部署通用计算
Cisco UCS C210 M2
2 路服务器，部署通用计算
Cisco UCS C250 M2
2 路服务器，内存增强型应用，部署高密度虚拟机
Cisco UCS C460 M1
4 路服务器，CPU/内存增强型，部署关键业务/高
可靠应用
详细信息欢迎垂询思科区域中小企业客户经理和中小企业客户技术支持工
程师，或参考思科网站：


English：www.cisco.com
中文：www.cisco.com.cn
68
思科专业服务业网络解决方案
8. 结束语：专业服务业用户为什么选择思科
信息化的建设，离不开它所依靠的网络平台。思科公司，作为网络和通信行
业的领导者，正在利用自己在技术上的优势，为专业服务业用户解决他们在信息
化建设中所面临的日常难题，帮助他们打造成为一流的服务模式。打造高品质、
高质量、高可靠的信息平台。技术先进、广泛的成功案例、全面的解决方案、厂
商的生命力、投资保护和售后服务支持能力都将是专业服务业客户网络设备选型
需要考虑的主要因素，思科还以以下优势为的用户提供更好的服务：
思科高质量、高稳定、技术先进的网络设备和解决方案，保障网络高可靠地
运行，得到了业界的广泛认可。思科产品以其先进的软、硬件设计，针对用户需
求的研发方向，大量的研发投入和先进的生产质量控制等成为最高质量和最稳定
的网络设备和解决方案，这也通过大量的教育行业、酒店行业、金融行业和证券
行业等用户的使用实践所证明，在这些对网络可靠性要求极高的行业中思科都具
有大量的成功案例和极高的市场占有率。
思科具有大量的专业服务行业成功案例和丰富的网络建设经验。鉴于思科产
品的在行业内的领先地位和技术先进性，思科在专业服务行业拥有大量的成功案
例。思科拥有在国内外大量的行业客户网络建设的实践基础，了解应用和发展趋
势，了解专业服务业信息系统需要解决的问题，并拥有完整、独特、领先、有针
对性的技术解决方案，因而具有丰富的网络建设经验，思科通过解决方案的形式
将这些经验分享给专业服务行业的用户，为网络建设提供咨询服务。
思科拥有全面的解决方案，满足现在和未来信息化建设发展的需求。思科是
业界领先的提供承载生命的信息系统——专业服务行业信息系统整体网络解决
方案的厂商，我们不但能够提供高可靠、安全智能的基础网络系统，还能提供满
足行业全面信息化建设需要的统一通信、统一无线、自适应网络安全和新型数据
中心等全面的解决方案，思科在以上解决方案方面拥有丰富成熟的国内外建设和
应用的成功案例经验可以供国内行业用户参考。
思科是业界专注于网络且具有很强生命力的厂商，可以为用户提供持续不断
的技术支持、技术升级和售后服务。思科是全球网络和通信领域公认领先的互联
网解决方案供应商，思科在全球的网络市场占有率及国内的市场占有率都是遥遥
领先的，财富五百强中89％是思科的用户，全球电信用户95%是思科的用户。
思科通过不断的技术创新，一直以来都是网络行业具有很强生命力的引领网络发
展方向的主流厂商。思科公司运营稳定持续增长，过去的一年思科的收入为395
亿美金，研发投入52亿美金，思科公司的稳定发展和大量的研发投入，可以保
69
思科专业服务业网络解决方案
障为用户提供持续不断的技术支持、技术升级和售后服务。
思科非常重视用户的投资保护，使专业服务行业用户具有较低的网络总体拥
有成本。如何更好的实现客户的投资保护一向是指导和修正思科产品研发和创新
的指导思想之一，因此采用思科的整体方案具有较低的长期拥有成本（包括初次
购买、运营维护管理、网络扩展、技术升级费用的总和），并能够通过减少宕机
时间，使网络正常工作时间最大化，有力地支撑业务在网络上不间断地运行，避
免给带来声誉和财务上的损失，并且提高服务质量。思科产品具有顽强的生命周
期，比如：思科1999年开发推出的Catalyst 6500平台，其中的模块和接口板现
今仍然能够在最新一代的Catalyst 6500平台上使用。目前全球有很多知名学校
采用了思科的双Catalyst 6500交换机作为网络的核心交换机，为保证这些网络
的可靠工作发挥了重要作用。
思科公司高效的服务体系，是专业服务行业用户网络安全可靠运行的重要保
障。思科公司秉承“服务至上”的原则，开发了独具特色的全球支持模式，通过
互联网为用户打开了取之不尽、用之不竭的支持资源库，帮助用户妥善解决在整
个网络生命周期内遇到的各种网络问题。为了响应中国市场不断提升的网络服务
需求，对中国本地客户提供更加全面和直接的支持，2006年5月，思科系统公司
在北京注册成立了思科系统（中国）信息技术服务有限公司，专注于为中国客户
提供全面的网络生命周期服务，帮助用户对网络进行规划、设计、实施、运营和
优化，以成功部署和使用网络技术，为思科向中国客户提供高效优质的服务提供
了强有力的支持。思科还将继续在资金投入、技术引进、原料采购和生产等各个
方面加大对中国市场的投入。
思科公司将大力帮助专业服务行业用户强化网络建设，依托于强大的网络信
息平台以及多种网络应用，专业服务行业将为客户提供更好的、更便捷的、更优
质的服务。
70