锐捷网络方案.doc

目录目录 1 方案拓扑及特点介绍方案拓扑及特点介绍 2 1 1 方案拓扑 2 1 2 方案特点介绍 3 1 2 1 锐捷产品高性能 高可靠性 保证网络安全稳定运行 3 1 2 2网络级ARP防护体系 3 1 2 3 MAC绑定 实现安全接入控制 3 1 2 4 整合双出口线路 实现负载均衡 3 1 2 5 交换机VLAN隔离技术 保障通信安全 4 1 2 6 完善的Qos策略 保证关键网络应用优先转发 4 1 2 7 强大的防攻击能力和网络病毒防御能力 4 1 2 8 完善的流量控制 保证网络带宽资源的合理利用 5 2 方案产品介绍方案产品介绍 5 2 1 NBR1100 电信级防攻击宽带路由器 5 2 2 RG S3250 安全智能三层交换机 7 2 3 RG S2026F 接入交换机 10 3 产品清单产品清单 12 1 方案拓扑及特点介绍方案拓扑及特点介绍 1 1 方案拓扑方案拓扑 本方案全部采用国内三大网络厂商之一的 锐捷网络 的产品 采用出口 核心 接 入三层架构的网络解决方案网络层次结构清晰简单 二层网络上实现 VLAN 划分 出口 NBR 路由器 内置防火墙 支持自动检测冲击波和震荡波病毒 可识别并阻断机器狗病毒 的中毒过程 同时显示试图访问带毒网站的主机信息和带毒网站的 IP 地址 弹性带宽 智 能限速 可针对全网 单个 IP 或 IP 段进行上传下载速率的分别弹性限制 全 web 管理和 监控界面 降低网络管理技术门槛 1 2 方案特点介绍方案特点介绍 1 2 1 锐捷产品高性能 高可靠性 保证网络安全稳定运行锐捷产品高性能 高可靠性 保证网络安全稳定运行 福建星网锐捷网络有限公司是国内三大网络厂商之一 其产品的高性能 高可靠性在 国内众多高校 包括川大 电子科技大学等 金融行业 建行 农行 以及政府机关 四 川省委组织部等 国资委企业 四川路桥集团 川投集团 华西集团等 得到了充分的验 证 值得信赖 1 2 2 网络级网络级 ARP 防护体系防护体系 锐捷 NBR 路由器提供强大的 ARP 欺骗防御能力 除传统 IP MAC 静态绑定防御 ARP 病毒外 锐捷独家 可信任 ARP 专利技术能够实现在不用人工干预的情况下 路由器自 动识别欺骗 实现动态 IP MAC 地址的绑定 利用路由器提供的 ARP 嫌疑主机列表 可 以轻松找出 ARP 欺骗主机 使网络管理更加容易 1 2 3 MAC 绑定 实现安全接入控制绑定 实现安全接入控制 锐捷 RG S2026F 智能型网管接入交换机提供的 MAC 绑定功能 可以确保接入到网络 的用户的合法性和唯一性 实现对用户的接入控制 利用该功能可以效避免非法用户的接入避免非法用户的接入 如外来携带笔记本的人员 防止出现外来人 员随意接入网络 杜绝非法攻击 盗取文件资料 盗用网络资源等情况 利用该功能可以限制内网用户擅改限制内网用户擅改 IP 地址 避免出现由于用户擅自修改 IP 地址导致 IP 冲突引起其他合法用户无故掉线的情况 1 2 4 整合双出口线路 实现负载均衡整合双出口线路 实现负载均衡 外网接入部分 通过整合二条 ADSL 到路由器上 并且使启用负载均衡 使两条 ADSL 的带宽得到最大化的利用 NBR1100 路由器固化带有 2 个百兆以太网 WAN 口 可 以实现两条 ADSL 的拨号上网 这样不必改变原有线路 使资源利用最大化 1 2 5 交换机交换机 VLAN 隔离技术 保障通信安全隔离技术 保障通信安全 在网络成为必不可少的工具 信息处理成为日常工作的重心后 VLAN 技术的运用显得 越来越重要 VLAN 对于信息系统的意义体现在 1 VLAN 可以改善网络的通信效率 因为通信流量只局限于本子网中 不会对其它子 网产生干扰 2 VLAN 可以避免广播风暴 在较大规模的网络中 大量的广播信息很容易引起网络 性能的急剧降低 甚至使网络瘫痪 而 VLAN 使广播只在子网中进行 不会作无意义的扩散 从而消除了广播风暴产生的条件 3 VLAN 大大增强了网络及其信息的安全性 因为子网间无法随意进行访问 信息流 通得到相当好的控制 4 VLAN 使网络的组织更具灵活性 网络用户在网络中的物理位置不会影响该用户逻 辑上的访问权限 也就是说网络规划完全不会受到物理的限制 本方案采用的交换机支持完善的 VLAN 划分 利用接入交换机和汇聚交换机进行 VLAN 划分 可以对通信进行有效隔离 例如 隔离不同部门 公司 间的通信 同时配 合交换机的访问控制列表 ACL 实现不同部门间的安全访问 1 2 6 完善的完善的 Qos 策略 保证关键网络应用优先转发策略 保证关键网络应用优先转发 本方案推荐的锐捷交换机拥有完善的 Qos 策略 以 DiffServ 标准为核心的 QoS 保障系 统 支持 802 1P IP TOS 二到七层流过滤 SP WRR 等完整的 QoS 策略 实现基于全 网系统多业务的 QoS 逻辑 通过锐捷交换机的 Qos 策略可以保证网络的关键应用 满足多 种应用数据的复合传输要求 保证关键数据得到最快的响应和转发 1 2 7 强大的防攻击能力和网络病毒防御能力强大的防攻击能力和网络病毒防御能力 强大的防攻技能力 NBR1100 路由器轻松抵御 20M 线速 DDOS 攻击而 CPU 利用率不 超过 30 其强大的性能和攻击防御能力保证网络的安全稳定运行 同时 NPE20 路由器还 可对内网攻击进行准确定位 轻松锁定攻击主机 同时对攻击主机还能进行网络阻断 强大的防病毒能力 NBR1100 可以抵御多种常见网络病毒 强大的内置防火墙 方便 灵活设置 摆脱网络病毒的骚扰 1 2 8 完善的流量控制 保证网络带宽资源的合理利用完善的流量控制 保证网络带宽资源的合理利用 锐捷路由器提供基于 IP 地址的流量控制功能 能够基于 IP 地址进行流量限制 此外 锐捷 弹性带宽 专利技术更可以针对网络带宽利用情况进行弹性限速 在网络出口压力 大 带宽占用高 的时候采取较为严格的限速策略 在网络出口压力比较小的时候 路由 器自动将每个 IP 的限速放开 使用户上网感觉更加流畅的同时最大化的利用的网络带宽 同时配合基于 IP MAC 的会话数限制 能够有效控制用户使用 P2P 软件对网络带宽造 成的压力 将用户下载速度严格控制在合理范围内 保证其他用户不受影响 同时 NAT 会话数限制还能在一定程度上防御内网攻击 此外锐捷路由器还提供完善的流量监控 支持按各种策略排序 随时随地了解网络流 量状况 2 方案产品介绍方案产品介绍 2 1 NBR1100 电信级防攻击宽带路由器电信级防攻击宽带路由器 NBR1200 产品概述产品概述 NBR1100 是锐捷网络公司针对中小型单位推出的电信级宽带路由器 采用 Motorola PowerPC 8248 高性能专业通讯 RISC CPU 固化带有 2 个 10 100M 以太网 WAN 口 4 个 10 100M 的以太网交换式 LAN 口 先进的硬件架构 出色的小包转发能力 内置高性能防火墙 具备防病毒 防攻击能 力 丰富的内网安全特性和智能的带宽管理功能 人性化的 WEB 管理和监控界面 VRRPVRRP 多线路负载均衡和线路备份多线路负载均衡和线路备份 支持 VRRP 协议 实现多台设备的负载均衡和线路备份 提高网络可靠性和访问速度 在路由器内部固化配置了主要运营商的路由表 实现访问网通资源自动走网通线路 访问电信资源自动走电信线路 彻底解决运营商之间某些网站 服务器无法相互访问或者 访问速度低的问题 支持内部 PC 采用公网 IP 上网模式 在公网 IP 模式下 同样支持限速 防 ARP 地址欺 骗 抗攻击等功能 可信任可信任 ARP ARP 打造永不掉线网络打造永不掉线网络 特殊的 ARP 地址学习功能 保证 NBR 所学习到的 IP MAC 为正确的对应关系 实现动态 ARP 与静态 ARP 的完美结合 即不受欺骗也能够自动更新绑定 嫌疑主机定位功能可以准确定位 ARP 病毒源 以便采取相应的人工干预措施 防攻击保证网络安全防攻击保证网络安全 特别具有强大的防 DDoS 攻击能力 如 SYN flood UDP flood ICMP flood Smurf Fraggle 攻击 分片报文攻击等 具备硬件阻断功能 在启用防内网攻击的情况下 攻击 PC 在一定时间内被禁止上网 攻击报文被直接硬件过滤 不消耗 CPU 资源 用 20M 的线速 DDoS 攻击 CPU 利用率不会高于 30 防 Ping 扫描 防止来自外部恶意 人员 内部不满人员等日益猖獗的网络恶意攻击 保障网络的安全 使网络时刻稳定运行 防病毒保证网络稳定防病毒保证网络稳定 支持域名过滤 阻断对非法网站的访问 自动检测冲击波及蠕虫病毒 支持 ACL 通过添加不同规则的防火墙以过滤病毒报文 基于 MAC 地址的 NAT 会话数限制 无论病毒如何猖獗 都不会影响其他用户正常上网 弹性带宽弹性带宽 功能功能 实现全内网带宽资源的智能弹性分配 大幅度提高网络带宽的利用率 在带宽紧张的 时候保证每个用户都能分配到一定的保留带宽 在带宽富余的时候为有需求的用户分配更 大的带宽 瞬变流量和用户的上下线不会对其它流量造成影响 保证了用户流量的稳定性 配置简单灵活 具备动态停止和自动恢复功能 无须用户干预 独特的硬件端口监控功能独特的硬件端口监控功能 提供硬件端口监控功能 可以设置其中某个 LAN 端口为镜向端口 作为监控口 可以 连接公安部的监控机 不会影响网络性能 并且监控口在提供监控功能的同时 还可以继 续使用 不会影响任何功能 支持支持 VPNVPN 功能功能 支持 GRE 的 VPN 功能 支持 L2TP PPTP 的 VPDN 应用 在 NAT 应用下 支持 L2TP PPTP 的穿透功能 人性化的配置管理人性化的配置管理 在面板上提供了网络状态指示灯 有 空闲 正常 繁忙 饱和 四种状态 通过指示灯可以轻松判断网络运行状态 在面板上还提供了告警灯 在受到攻击时告警灯 亮 轻松知道网络是否受到攻击 美观易用的 Web 管理平台 实现网络设备的 零配置 以及 零维护 支持中文日志 轻松查看及定位网络事件 具有升级保护功能 即使升级下载过程掉电重启 也可正常启动 2 2 RG S3250 安全智能三层交换机安全智能三层交换机 产品概述产品概述 RG S3250 24 是锐捷网络基于网络安全和易用好管理的理念推出的新一代安全智能交 换机 充分融合了网络发展需要的高性能 高安全 多业务 易用性特点 为用户提供全 新的技术特性和解决方案 RG S3250 交换机在提供智能的流分类 完善的服务质量 QoS 和组播应用管理特性 同时 并可以根据网络实际使用环境 实施灵活多样的安全控制策略 可有效防止和控制 病毒传播和网络攻击 控制非法用户使用网络 保证合法用户合理使用网络资源 充分保 障网络安全和网络合理化使用和运营 S3250 提供了 SNMP Telnet Web 和 Console 口等多种配置方式方便网络管理和维护 并提供最为灵活和完善的端口组合形式 非常利于用户根据网络布线需要 选择所需的上 行链路的接口形式和扩展端口 RG S3250 可为各种类型网络接入提完善的端到端的 QoS 服务质量 灵活丰富的安全策 略和基于策略的网络管理 是校园网 企业网 政务网 业务网 宽带小区 商务楼宇等 应用的理想接入设备 为用户提供高速 高效 安全 智能的全新接入方案 产品特性产品特性 全面的安全控制策略全面的安全控制策略 通过与锐捷网络全局安全解决方案 GSN 的结合 可在安全策略方面为用户提供全面的 立体三维的技术特性和解决方案 完全解除安全威胁 攻击 病毒 ARP 欺骗等侵害 还网络一片绿色 让用户更安心 省心上网 硬件实现端口与 MAC 地址和用户 IP 地址的灵活绑定 严格限定端口上的用户接入 通过将端口设为保护端口即可简单方便地隔离用户之间信息互通 保障了信息安全 同时不必占用 VLAN 资源 专用的硬件防范 ARP 网关和 ARP 主机欺骗功能 有效遏制了网络中日益泛滥的 ARP 网关欺骗和 ARP 主机欺骗的现象 保障了用户的正常上网 支持 DHCP snooping 可只允许信任端口的 DHCP 响应 防止未经管理员许可私自架 设 DHCP Server 扰乱 IP 地址的分配和管理 影响用户的正常上网 并在 DHCP 监听 的基础上 通过动态监测 ARP 和检查源 IP 可有效防范 DHCP 动态分配 IP 环境下的 ARP 主机欺骗和源 IP 地址的欺骗 基于源 IP 地址控制的 Telnet 和 Web 设备访问控制 增强了设备网管的安全性 避免 黑客恶意攻击和控制设备 SSH Secure Shell 和 SNMPv3 可以通过在 Telnet 和 SNMP 进程中加密管理信息 保 证管理设备信息的安全性 防止黑客攻击和控制设备 保护网络免遭干扰和窃听 通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击 控制非法用户 使用网络 保证合法用户合理化使用网络 如端口静态和动态的安全绑定 端口隔离 多种类型的硬件 ACL 控制 如专家级 ACL 时间 ACL 用户自定义 ACL 基于数 据流的带宽限速 用户安全接入控制的多元素绑定等 满足企业网 校园网加强对访 问者进行控制 限制非授权用户通信的需求 丰富的组播特性丰富的组播特性 支持 IGMP 源端口检查功能 有效地杜绝非法的组播源 提高网络的安全性 支持和识别 IGMPv1 v2 和 IGMPv3 全部版本的组播报文 适应不同组播环境 避免非 法的组播数据流占用网络带宽 满足组播安全应用的需要 完善的完善的 QoSQoS 策略策略 以 DiffServ 标准为核心的 QoS 保障系统 支持 802 1P IP TOS 二到七层流过滤 SP WRR 等完整的 QoS 策略 实现基于全网系统多业务的 QoS 逻辑 具备 MAC 流 IP 流 应用流等多层流分类和流控制能力 实现灵活精细的带宽控制 转发优先级等多种流策略 带宽限制粒度达 64Kbps 支持网络根据不同的业务 以及 不同业务所需要的服务质量特性 提供差异化服务 高可靠性高可靠性 支持生成树协议 802 1d 802 1w 802 1s 完全保证快速收敛 提高容错能力 保证 网络的稳定运行和链路的负载均衡 合理使用网络通道 提供冗余链路利用率 支持 RLDP 可快速检测链路的通断和光纤链路的单向性 并支持端口下的环路检测 功能 防止端口下因私接 Hub 等设备形成的环路而导致网络故障的现象 方便易用易管理方便易用易管理 采用灵活复用的千兆接口和扩展槽组合的形式 可最灵活满足是否需要多个千兆链路 上链或多个千兆服务器的连接 方便用户根据网络架构灵活选择连接形式 支持设备间的混合堆叠 通过堆叠不仅可以统一管理和使用设备 降低管理成本 同 时可以灵活地组合和扩展端口 平滑扩容 保障了网络的高度灵活和可扩展 网络管 理更加简单 三层路由功能满足了小企业内部不同部门间需要相互通讯的需求 使网络结构简单化 为方便安装地点或建筑物不适宜部署外部电源的环境 RG S3250 系列交换机特别提供 支持 PoE 功能的产品型号 即通过双绞线就可以向远端下挂的 PD 设备供电 如无线 AP IP Phone 视频监控等设备 方便了任何符合 IEEE 802 3af 标准的终端设备的接 入 实现以太网集中供电 以满足金融 企业 学校 医院 工厂等用户实现 VoIP 远程监控 无线 AP 等网络应用的需要 提供图形化的安全策略管理平台 支持安全策略自动同步下发 升级和维护功能 安 全策略智能化 可大幅度提高交换机管理和配置效率 提高网络安全 网络时间协议 NTP 保证交换机时间的准确性 并与网络中时间服务器时间统一化 方便日志信息和流量信息的分析 故障诊断等管理 Syslog 方便各种日志信息的统一收集 维护 分析 故障定位 备份 便于管理员网 络维护和管理 多端口同步监控 通过一个端口即可同时监控多个端口的数据流 可以只监控输入帧 或只监控输出帧或双向帧 大大提高维护效率 CLI 界面 方便高级用户配置和使用 Java based Web 管理方式 实现对交换机的可视化图形界面管理 快速和高效地配置 设备 2 3 RG S2026F 接入交换机接入交换机 RG S2026F 产品概述产品概述 RG S20 系列是全线速智能型增强网管交换机 具有特别丰富而强大的网管功能 在实 现流量线速交换的同时 可以通过多重设置方式进行网管操作 实现 802 1Q VLAN 保护 端口 链路聚合 Spanning Tree 端口监控设置 静态地址管理 广播风暴控制 端口动 态 MAC 地址锁 端口 MAC 地址绑定 端口 IGMP 属性设置 802 1p 优先级等各种管理 RG S20 系列交换机在设置丰富的管理策略时 可针对用户的不同使用情况进行灵活的 端口带宽分配 并采用业界最先进的 802 1x 安全接入控制策略 提供用户接入安全保障 产品特性产品特性 高性能 端口全线速高性能 端口全线速 高背板带宽为所有的端口提供非阻塞全线速交换 灵活精细的端口带宽限速灵活精细的端口带宽限速 可对端口的输入和输出带宽进行灵活精细的速率控制 粒度精细可达 64Kbps 网管人员可根据每个用户的实际情况分配相应的带宽 满足不同用户 的接入带宽需求 在控制用户的接入速率同时 又可以有效防止用户恶意占用 网络带宽 从而大大提高对网络带宽的利用率 如在学校 智能大厦 宽带小 区 网吧等 灵活的安全控制策略灵活的安全控制策略 支持 802 1x 802 1Q VLAN 端口 MAC 地址绑定 端口 MAC 动态地 址锁等 特别是通过锐捷 SAM 平台 可实现用户账号 MAC 地址 IP 地址 交换机 IP 交换机端口等多元素之间的灵活任意绑定 可有效控 制用户的接入 确定用户的唯一性 如高校 政府机构 宽带小区等 通过将端口设为保护端口即可简单方便地隔离用户之间信息互通 避免 用户之间病毒 及网络攻击的肆意传播 基于端口速率的广播风暴抑制功能 不仅设置简单 方便管理员的管理 而且充分保障了网络的稳定和安全 高可靠性高可靠性 支持生成树协议 802 1D 802 1w 802 1s 完全保证快速收敛 提高容 错能力 保证网络的稳定运行和链路的负载均衡 合理使用网络通道 提供冗余链路利用率 方便易用的网络管理和网络维护方便易用的网络管理和网络维护 通过堆叠 可提供灵活的端口密度 保证网络的高度灵活和可扩展 网 络管理更加简单 可监听 IGMP v1 v2 v3 全部版本组播报文 适应不同组播环境 满足组 播安全应用的需要 多端口同步监控 通过一个端口可同时监控多个端口的数据流 可以只 监控输入帧 或只监控输出帧 或监控双向帧 基于源 IP 地址控制的 Telnet Web SNMP 设备访问控制 避免非法人 员和黑客恶意攻击和控制设备 增强了设备网管的安全性 SNMPv3 确保在 Telnet 和 SNMP 进程中加密管理信息 保证交换机管理 信息的安全性 防止黑客攻击和控制设备 24 口交换机的端口采用了一字排开的设计 以利于网络故障的查找及排 除 同时也非常有利于楼道配线架的配线工作 CLI 界面 方便高级用户配置和使用 Java based Web 管理方式 实现对交换机的可视化图形管理 快速和高 效地配置设备 3 产品清单产品清单 元素科技网络设备报价元素科技网络设备报价 产品型号产品型号产品说明产品说明数量数量单价单价 核心交换机核心交换机 RG S3250 24 24 口 10 100M 自适应端口 2 个 SFP 接 口和 2 个复用的 10 100 1000M 自适应电 口 1 个扩展槽 可上堆叠模块和千兆扩 展模块 支持 DHCP snooping 硬件 ACL QOS IGMP 16700 接入交换机 接入交换机 RG S2026F 24 口 10 100M 交换机 两个扩展槽 可 上 100M 光纤 电口模块 42600