H3C-中小企业方案技术建议书

1、产品名称密级SMB产品内部公开产品版本共8页H3C 中小企业方案技术建议书(仅供内部使用)拟制:日期：审核:日期：审核:日期：批准:日期：杭州华三通信技术有限公司版权所有 侵权必究Revision Record 修订记录Date日期Revision Version修订版本CR ID / Defect IDCR号Sec No. 修改章节Change Description修改描述Author作者Catalog 目 录1中小企业建设需求61.1中小企业网络的四大难题61.2四大问题的根本原因分析62H3C ICT中小企业解决方案62.1中小企业定制功能62.1.1ARP攻击防御62.1.2防常见D

2、OS攻击72.1.3上下行速率控制82.1.4智能QoS92.1.5智能限速92.1.6即时通讯业务限制：防止QQ、MSN102.2ICG通用功能102.2.1多种类型的访问控制（MAC过滤/访问控制/网页控制）102.2.2多种方式的内部服务(虚拟服务器/端口触发/静态NAT)112.2.3双WAN模式保证电信业务增值122.2.4WEB化配置132.2.5运营商ICT业务定制的管理方案132.3中小企业典型解决方案142.3.1小型连锁店解决方案152.3.2中型连锁店解决方案152.3.3微型商户解决方案172.3.4小型企业解决方案182.3.5中型企业解决方案19Table List

3、 表目录表1 典型配置6Figure List 图目录图2 基本型典型组网方案7图3 增强型典型组网方案8H3C 中小企业解决方案关键词：摘 要：本文主要描述H3C在中小企业网络建设中的低成本典型组网方案缩略语清单： 缩略语英文全名中文解释1 中小企业建设需求1.1 中小企业网络的四大难题l 员工上班时间在网上聊天，工作效率极低l 网络易受攻击，网络瘫痪耽误工作l 员工大量下载，正常业务无法使用网络l 连锁店增多，业务安全亟待解决1.2 四大问题的根本原因分析局域网内ARP攻击与欺骗垃圾流量泛滥（BT、迅雷）没有QQ、MSN的限制功能用户异常掉线，网络不稳定网络速度缓慢，正常的办公上网业务无法

4、保证办公效率低下，企业效益不佳没有VPN功能各分部之间通信无法保密未知网络病毒无处不在PC瘫痪，病毒软件无法招架2 H3C中小企业解决方案2.1 中小企业定制功能2.1.1 ARP攻击防御中小企业的大部分ARP攻击都是恶意的，这些病毒通过发送免费ARP报文，让局域网中所有的IP都指向本地PC，以此来获得局域网中所有的数据包，然后分析数据包，窃取公司信息。ICT解决方案中提供的如下三个步骤解决ARP攻击问题：2.1.2 防常见DOS攻击黑客防火墙源地址与目的地址都设成你的地址，看你如何招架!Internet伪造大量的SYN报文，我是收不到给我的ACK报文的，哈哈 为了防止外网攻击，通常会使用路由

5、器+防火墙的组网。 现在在ICG上内置了防攻击的功能，可以省掉防火墙了。2.1.3 上下行速率控制300K400K500K800K部门一部门二部门三部门四Server FarmsInternet电信2M即可以对网段进行限速，也可以对单个IP进行限速。速率限制能给客户带来的好处：1、按客户需求划分带宽：按照IP地址段来规划，按照对网络的需要程度来分配带宽。比如0-0是信息部，则可以针对这个网段分配高带宽。2、防止带宽滥用造成掉线：如果局域网内有人用下载工具或者在线看电影，会导致带宽被少数人占用完，其他人无法上网。可以对每个PC机的最高速率进行限制。2.

6、1.4 智能QoS分类highmediumlow出队调度离开接口的报文需由此接口发送的报文nomorl队列紧急报文（ping报文）次要报文（浏览、QQ、MSN等）重要报文（网络游戏）说明：其他报文（下载等）2.1.5 智能限速100k100kPC流量PC流量中小企业业务闲时中小企业业务忙时PC不受带宽限制，可抢占空闲带宽每台PC限定带宽中小企业流量超出中小企业出/入口带宽后，保证每台PC的使用带宽以及上网等基本业务使用。MSR201x支持深度应用识别（DAR）功能，目前能够识别BT、eDonkey、 eMule等多种网络上常见的应用业务流，而且识别能力还在持续不断的增强。2.1.6 即时通讯业

7、务限制：防止QQ、MSN2.2 ER/MSR通用功能2.2.1 多种类型的访问控制（MAC过滤/访问控制/网页控制）黄色网站在这里禁止掉相应的网站地址在这里可以导入“黄色网站地址”可以轻松实现对网站访问的控制2.2.2 多种方式的内部服务(虚拟服务器/端口触发/静态NAT)分支总部公网Web访问办公通话MSR3016MSR2010通话FTP服务器Web服务器MSR上与内部服务器地址做好对应，分支访问公网地址即可享受对应服务器提供的服务语音流业务流 多种方式的系统服务功能，适合不同需求的企业客户 客户可以通过企业提供的IP和端口映射关系访问企业内部服务，方便办公 客户可以根据实际情况，架设各种类

8、型的业务服务器2.2.3 双WAN模式保证电信业务增值ER 3200/ER5200视频区上网区电信视频服务器上网业务视频业务WAN 1WAN 2Internet 智能负载均衡，根据用户实际带宽比分配实际的网络流量 手动负载均衡，根据预先定义的应用业务策略进行流量分配 源地址路由，为不同的内网机器指定不同的出口 线路检测，实时检测WAN口当前状态便于流量切换2.2.4 WEB化配置有进度条跟踪配置的全过程傻瓜式的上一布、下一步连子网掩码都做好了 设备提供本地和远程WEB管理方式，使得客户操作简单化。 WEB化的配置降低了对IT人员的要求，有利于企业日常维护。 2.2.5 运营商业务定制的管理方案

9、电信侧运营商集中专业管理权限最高用户侧企业Web界面化傻瓜管理运营商授权SNMP/TR069 运营商提供集中管理和维护服务，为客户减轻维护烦恼。 客户只需要针对自身需求，简易配置个性化业务。 提供TR069/SNMP/远程WEB等集中管理方式，降低了维护成本。2.3 中小企业典型解决方案企业规模推荐方案路由器核心交换机接入交换机30人以下ER3100/ER5100S10003050人MSR2010/MSR2010WS310050150人MSR2020/21/40MSR3016S5500S3600/S3100WA1208E（AP）150人以上MSR5040/MSR5060S7500/S5500S

10、3600/S31002.3.1 小型连锁店解决方案2.3.2 中型连锁店解决方案连锁店需求(Top3)1、专线连接造价太高，希望通过VPN互联，同时保证价格尽量低。2、要求数据传输实时性强，快速，保证客户体验。3、由于ERP数据是绝对机密，所以要求传输过程能加密。特色功能(Top3)1、 MSR2010作为VPN网关性能高2、 多业务集成，可实现企业VOIP、无线接入。3、 支持IPSec VPN硬件加密，MD5算法绝对安全。企业规模推荐方案路由器核心交换机接入交换机30人以下ER3100/ER5100S10003050人MSR2010/MSR2010WS310050150人MSR2020/2

11、1/40MSR3016S5500S3600/S3100WA1208E（AP）150人以上MSR5040/MSR5060S7500/S5500S3600/S31002.3.3 微型商户解决方案微型商户需求(Top3)1、为了省成本，多半是拉家庭用户的ADSL线路。2、能灵活限制企业员工的上网行为，保证工作效率。3、为了省去布线的麻烦，希望尽量使用无线上网。ICG对应特色功能(Top3)1、ICG800g自带以太网和ADSL接口。2、能进行访问控制，防止QQ/MSN等聊天工具。3、有带Wlan的款型，省去昂贵的AP费用，管理也方便。2.3.4 小型企业解决方案小型企业需求(Top4)1、能对办公区的电脑进行操作和访问权限控制，实现绿色上网2、上网电脑经常携带病毒，网络能抵御ARP病毒。3、带宽难以控制，正常上网业务无法保证。4、发布企业门户网站。ICG对应特色功能(Top4)1、DDNS与花生壳、3322联动，便于动态IP的企业用户发布门户网站。2、能进行端口隔离、Vlan划分，根据网段进行限速。3、通过免费ARP和授权ARP防止ARP病毒。4、流量统计、QoS、IP限速、NAT限制2.3.5 中型企业解决方案中型企业需求(Top5)1、能防止员工下载等滥用带宽，防止上网聊天耽误工作。2、有时为了节省费用拉多条上行线路，进行负载均衡。3、各部门信息独立，