2011年H3C大比武获奖PPT-XX公司园区网解决方案.ppt

xx公司园区网解决方案,1,2,网络拓扑图及选型,方案优势设计,3,整体方案设计,公司二期网络组建拓扑,网络三期工程建设拓扑,设备选型,作为整个网络的网关f1800-a的整机吞吐量达到5g，每秒并发连接数达到600万 ，并具有极强的可扩展性。,设备选型,作为整个网络的应用控制中心选用acg8800,设备选型,作为园区网的核心层和汇聚层、接入层分别选用9500e和5500tp-ei、s3100交换机,1,2,网络拓扑图及选型,方案优势设计,3,整体方案设计,网络方案设计,作为给园区网的网关采用f1800-a放置在网络出口处，为便于对内部员工上网行为管理和审计将acg-8880应用控制中心以路由模式配置在f1800-a下。 对于内网交换网络将两台9500e运用irf2进行冗余，作为园区网核心交换设备。在二期工程厂区汇聚层网络对s5500进行双机热备份，接入层配置s3100交换机。在三期网络厂区建设中同样在汇聚层采用s5500备份，对于研发大楼网络建设为节省成本配置一台7506e交换机，接入层使用s3100。,1,2,网络拓扑图及选型,方案优势设计,3,整体方案设计,移动用户接入,l2tp over ipsec vpn,移动用户,移动用户,特点及功能： 针对于传统移动客户接入公司内网一般使用l2tp，但基于二层的vpn在数据保密性方面有所不足， 而ipsecvpn(互联网协议安全)一段时间以来一直是vpn通信的加密标准。但其也有缺陷 不支持移动用户拨入，这样l2tp over ipsec vpn就应用而生了。 l2tp over ipsec 集 l2tp的支持移动用户拨入和ipsec的高安全性于一体。 安全： l2tp over ipsec 移动用户和总部通信数据需要经过数据源验证、数据完 整性校验和非对称加密，多种安全措施保证用户数据不被监听。,h3c新一代的安全产品,伴随着互联网的飞速发展，网络信息安全问题日益突出，近两年间，电脑黑客活动和网络病毒，内网管理混乱，已形成重要威胁。,网络病毒,整网安全状况 无法掌控,网络攻击,h3c新一代的安全产品,h3c针对于愈发严重的网络安全问题推出了“f”系列防火墙。该款防火墙在具有传统防火墙功能的基础上又采用了aspf（application specific packet filter）应用状态检测技术，可对连接状态过程和异常命令和流量进行检测，于防火墙内置ips(intrusion provension system)进行联动有效防御来自外网的攻击。,针对于内网用户资源滥用的解决方案,网络正常应用,网站访问监控,提高工作效率,用户行为审计,如何防止员工工作时间炒股、网络聊天、玩游戏造成工作效率下降,如何防止员工通过p2p下载造成网速变慢 如何防止感染病毒造成网络瘫痪,如何过滤色情、反动等非法网站的访问 如何对通过bbs、邮件等传播非法言论进行监控,管理员如何对用户行为进行安全审计，了解网络应用状况，满足公安部82号令要求,h3c应用网关控制系统,针对于网络资源滥用问题,h3c推出了acg（ application control gateway ）应用控制网关产品和uaae （universal application apperceiving engine，通用应用感知引擎）专门针对p2p/im、网络游戏、炒股、非法网站访问等行为，进行精细化识别和控制，解决带宽滥用影响正常业务问题；同时，安全管理平台seccenter对应用控制网关上报的网络事件进行深入分析并输出审计报告，帮助管理员全面了解网络应用模型和流量趋势，加强整网安全，提高用户的工作效率。 来规范内部员工上网。,h3c行为监管解决方案模型,人,智能应用感知 用户行为感知 上网内容感知 即时升级的特征库,细粒度应用流量控制 url过滤、内容过滤 黑白名单,行为识别,行为控制,行为审计,记录访问日志 用户行为的纵深分析 应用流量的纵深分析 记录nat前后地址信息,行为控制-应用流量控制,支持p2p、流媒体、网络游戏等多种应用协议的控制 基于用户、源ip、目的ip、应用、时间段的任意组合进行多维度细粒度的控制 提供阻断、限流、干扰、告警等多种控制方式，支持按时间段实施控制策略 提供应用控制黑白名单功能,p2p使用率过大，限制某用户最大带宽,上午711点工作时间使用无关软件过多，限制某用户最大带宽,可根据分析结果对应用流量进行控制,行为控制-非法行为管理,用户不能访问带有“sex”的url地址,用户工作时间不允许使用qq,支持对即时通讯、炒股软件、流媒体、网络游戏等多种行为进行识别和精细化控制，提高工作效率 针对非法网站访问，通过url过滤、内容过滤，避免因访问反动、色情网站造成政治和安全的隐患,用户在每天13点-14点可以使用炒股软件，其他时间禁止,行为审计用户访问审计,针对用户行为进行深入的识别，将携带关键信息的日志发送给安全管理平台携带关键信息的日志，形成用户审计报告。 http行为：可以记录网页ip、域名、访问用户、访问时间等信息 email行为：可以记录收发件人、邮件标题、附件标题等信息 ftp行为：可以记录通过ftp上传下载的文件,http访问审计,email行为审计,ftp行为审计,智能弹性构架,针对于大型园区网络我们为了保证网络的高可靠性在核心层和厂区汇聚层采用h3c特有的irf2( intelligent resilient framework )汉语翻译为智能弹性构架第二代。来使能园区网络冗余，保证企业办公上网的可靠性，提高办公效率。,irf2（第二代智能弹性架构）,普通组网,普通组网向智能弹性架构的演进，就是将分散的网络设备通过irf技术将不同层次的网络设备形成统一的逻辑整体，并实现简化业务，统一管理，多重可靠，弹性扩展等多方面的功能。,好处一：性能翻番,使用irf2前,好处二：网络更简单,技术领先性,目前在国内市场除思科产品外其他商家及中兴、华为、锐捷、神州数码均没有与h3cirf2相类似的技术。但即便是cisco产品也存在着严重的技术限制及缺陷。,单台cisco c6500设备尚能实现主控板的1+1冗余备份，当一块主控板出现问题时自动切换到另一块主控板而不影响业务。所以vss的可靠性不如单台设备！,h3c高端交换机的irf实现1+n备份,h3c 高端交换机的irf技术可以实现主控板的1+3备份，消除单点故障，更加稳定可靠！,arp入侵检测系统,长久以来arp攻击成为影响企业办公效率的一个重要因素，而网管人员对于该攻击还是采用较为消极被动的处理方式，如区域性断网，利用网管软件在arp发作后找出攻击源，此种处理方式是在病毒已经爆发后才能够有效排除故障效率较为低下。