重要产品特性

Cisco Catalyst 2960-X交换机具有以下特性：

●  24或48个具有线速转发性能的千兆以太网端口

● 千兆位小型封装热插拔(SFP)或10G SFP+上行链路

●  FlexStack Plus可堆叠**8个交换机，实现80 Gbps的堆叠吞吐量（可选）

● 增强型以太网供电(PoE+)支持，可提供高达740W的PoE预算

● 更低的功耗以及**能源管理功能

●  USB和以太网管理接口，有助于简化运营

● 带有集成NetFlow-Lite的应用可视性和容量规划

●  LAN Base或LAN Lite Cisco IOS ?软件功能

● 增强型有限终身保修(E-LLW)提供下一工作日硬件更换

Cisco Catalyst 2960-XR型号还提供：

● 电源恢复能力（通过可选的第二个可现场更换电源提供）

● 具有动态路由和第3层功能的IP Lite Cisco IOS ?软件

交换机型号和配置

Catalyst 2960-X交换机包括一个固定电源，可随附Cisco IOS LAN Base或LAN Lite功能集。Catalyst 2960-XR交换机型号包含一个可现场更换的模块电源，并支持第二个电源。Catalyst 2960-XR仅提供Cisco IOS IP Lite功能集。

表1. Cisco Catalyst 2960-X配置

Cisco Catalyst 2960-XR IP-Lite高性能路由

思科硬件路由架构在Cisco Catalyst 2960-XR IP-Lite交换机中提供极高性能的IP路由：

● 支持IP 单播路由协议（包括静态、路由信息协议第1 版[RIPv1]、RIPv2 和RIPng），以实现小型网络路由应用。

● 支持**IP 单播路由协议(OSPF for Routed Access)以实现可扩展LAN的负载平衡和构建。硬件中支持IPv6路由(OSPFv3)，以实现最大性能。

● 等成本的路由有助于在堆叠中实现第3层负载平衡和冗余。

● 基于策略的路由(PBR)能够促进数据流的重定向，不论配置何种路由协议，都能实现卓越控制。

● 热待机路由协议(HSRP) 和虚拟路由器冗余协议(VRRP)为路由链路提供动态负载平衡和故障转移。

● 支持用于IP组播的协议无关组播(PIM)，包括PIM稀疏模式(PIM-SM)、PIM密集模式(PIM-DM)、PIM稀疏-密集模式和源特定组播(SSM)。

网络安全

Cisco Catalyst 2960-X系列交换机提供了一系列安全功能，以限制对网络的访问并降低威胁，包括：

●  Cisco TrustSec使用SXP简化整个网络的安全性和策略实施。有关Cisco TrustSec安全解决方案的详细信息，请访问cisco.com/go/TrustSec。

● 全面的802.1X 功能：能控制对网络的访问，包括灵活身份验证、802.1x监控模式和RADIUS授权更改。

●  IPv6 **跳安全保护：增强了激增的IPv6设备（尤其是BYOD设备）的第2层和第3层网络访问。它可以防御非法路由器公告、地址**、假冒DHCP应答以及由IPv6技术带来的其他风险。

● 设备传感器和设备分类器：启用无缝多设备配置文件，包括BYOD设备。它们还启用思科身份服务引擎(ISE)，以调配基于身份的安全策略（仅在2960-XR SKU中支持ISE）。

● 思科信任锚技术(TAT)：通过验证IOS映像的真实性，方便地分发Catalyst 2960-X所有型号的单一通用映像。该技术通过验证签名、验证管理的可信资产(TAM)和验证许可证，允许交换机在启动时执行IOS完整性检查。

● 思科威胁防御：其特色是包括端口安全、动态ARP检测和IP源保护。

● 专用VLAN：通过在第2层将流量分段、将广播段转换为非广播多访问类似段，对公共段中主机之间的流量进行限制。该功能仅在IP-Lite功能集中提供。

私有VLAN 边界：在交换机端口之间提供安全性和隔离，从而帮助确保用户无法在其他用户流量上进行侦听。

● 单播逆向路径转发(RPF)：该功能通过丢弃缺少可验证IP源地址的IP数据包，帮助消除格式错误或伪造（欺诈）的IP源地址引入网络所带来的问题。该功能仅在IP-Lite功能集中提供。

● 多域身份验证：使IP电话和PC可以在同一交换机端口上进行身份验证，同时将它们放在适当的语音和数据VLAN上。

● 访问控制列表：适用于IPV6和IPv4，提供安全性和QoS ACE。

 VLAN ACL：（在所有VLAN上）可防止非授权数据流在VLAN内桥接。

 路由器ACL：在路由接口上为控制层面和数据层面的流量定义安全策略。可以应用IPv6 ACL来过滤

IPv6通信流。

 基于端口的ACL：用于第2层接口，支持将安全策略应用到个别交换机端口。

●  Secure Shell (SSH) 协议、Kerberos 和简单网络管理协议版本3 (SNMPv3)：通过在Telnet和SNMP会话期间加密管理员流量，来提供网络安全性。由于美国的出口限制，SSH协议、Kerberos和SNMPv3的加密版本需要特殊的加密软件版本。

● 交换端口分析器(SPAN)：借助双向数据支持，使思科入侵检测系统(IDS)可以在检测到入侵者时采取行动。

●  TACACS+ 和RADIUS  身份验证：可以简化交换机的集中控制，限制未经授权的用户更改配置。

●  MAC 地址通知：在网络中添加或删除用户时通知管理员。

● 控制台访问的多级安全性：可避免未经授权的用户更改交换机配置。

● 桥接协议数据单元(BPDU) 保护：在收到BPDU时，关闭支持生成树PortFast接口，以避免意外的拓扑环路。

● 生成树根保护(STRG)：可防止不在网络管理员控制范围内的边缘设备成为生成树协议的根节点。

●  IGMP 过滤：利用过滤非订阅用户来提供组播身份验证，并限制每个端口可用的并发组播流数量。

● 动态VLAN 分配：通过实施VLAN成员策略服务器的客户端功能对其进行支持，以将端口灵活分配给VLAN。动态VLAN简化了IP地址的快速分配。

冗余和弹性

Cisco Catalyst 2960-X系列交换机提供了大量冗余和弹性功能以防止断电，并帮助确保网络保持可用：

●  Cross-Stack EtherChannel：能够在不同的堆叠成员之间配置思科EtherChannel技术，从而实现很强的恢复能力。

●  Flexlink：提供融合时间小于100毫秒的链路冗余。

●  IEEE 802.1s/w 快速生成树协议(RSTP) 和多实例生成树协议(MSTP)：提供与生成树计时器无关的快速生成树融合，同时提供2层负载平衡和分布式处理的好处。堆叠设备充当单一生成树节点。

●  Per-VLAN 快速生成树(PVRST+)：能够以VLAN快速生成树为单位，快速进行生成树重新融合，而无需实现生成树实例。

● 思科热待机路由器协议(HSRP)：支持该协议以在2960-XR IP Lite SKU中创建冗余的、具有故障防御功能的路由拓扑。

● 交换机端口自动恢复(错误禁用)：自动尝试重新激活由于网络错误而禁用的链路。

● 电源冗余：2960-XR型号上具有一个可选的第二个电源，或在2960-X型号上有一个外置RPS。

增强的服务质量

Cisco Catalyst 2960-X系列交换机提供智能流量管理以保证所有流量均能顺利传输。灵活的标记、分类和调度机制提供优异的数据、语音和视频流量性能，全部都以线速提供。QoS的主要功能包括：

● 每个端口上**八个出口队列（在2960-X上或堆叠2960-XR时有四个）和严格的优先权排队，从而使优先级**的数据包在所有其他流量之前得到处理。

● 整形循环(SRR)调度和加权尾部丢弃(WTD)拥塞避免功能。

● 基于流的速率限制和每端口高达256个聚合或单个速率限制。

●  802.1p 服务等级(CoS)和差分服务代码点(DSCP)分类以数据包为单位，按源和目的地IP地址、

MAC地址或第4层TCP/UDP端口号进行标记和重新分类。

● 跨堆叠QoS支持在2960-X系列交换机堆叠中配置QoS。

● 思科承诺的信息传输速率(CIR)功能按低至8 Kbps的增量提供带宽。

● 速率限制：按源和目的地IP地址、源和目的地MAC地址、第4层TCP/UDP信息或这些字段的任何组合来提供，使用QoS ACL（IP ACL或MAC ACL）、类映射和策略映射加以实现。

表2. FlexStack和FlexStack Plus支持的组合

表3. FlexStack-Plus的可扩展性和性能