【正文】 管理、信息發(fā)布、業(yè)務討論、電子郵件、信息流程的跟蹤與監(jiān)控等。 大批量的數據交換要求網絡設備具備良好的交換性能。 管理信息系統涉及的應用種類多，分布廣，網絡系統的安全性自然成為客戶最關心的問題之一。 分支機構和出差在外的員工能否通過有效的方式遠程連接企業(yè)的系統資源也是一個需要解決的問題。從各類應用的數據流特性方面考慮，有部分批量的數據傳輸應用，如 CAD 圖紙的傳輸；有對移動性要求較高的應用，如庫房的產品相關信息的處理；最為主要的是有大量關鍵的、不可中斷的、實時性極強的應用，如流水線設備的實時監(jiān)控數據的采集和產品測試結果的采集等。如何保證企業(yè)核心生產系統不受內部及外部的網絡攻擊威脅是在網絡建設中必須重點考慮和解決的問題。用戶主要分布在一線作業(yè)的職能部門，涉及企業(yè)各廠區(qū)、車間和庫房等。 其用戶分布涉及企業(yè)各設計科室和相關協同設計單位，其特點是：有部分大批量的數據傳輸應用，如訪問產品設計資料庫和 CAD 數據的傳輸等；有部分多媒體數據流的傳輸需求，例如在線視頻交流。從各種應用的數據流特性方面考慮，有部分批量的數據傳輸應用，如文件傳輸、電子郵件等；有對帶寬和時延敏感的多媒體應用，如 IP 電話、視頻會議、電子學習等；有關鍵的、實時性較強的應用，如網上銷售系統。在廣域網鏈接帶寬非常寶貴的情況下，支持包含多媒體應用在內的不同類型應用的問題需要妥善解決。 9 第 3章 銳捷 企業(yè)網 解決方案 簡介 基礎網絡平臺 解決方案 基礎平臺建設需求 ? 實現企業(yè)內資源共享，提供管理應用系統，實現企業(yè)辦公自動化 ? 接入 Inter，共享網絡資源 ? 企業(yè)擁有自己的 IP 地址和域名 ? 建立企業(yè) Email 系統和內部通訊系統 ? 在公司主機上建立網站，提供對外宣傳的信息平臺 基礎平臺解決方案 ? 高性能 企業(yè)網核心設備采用銳捷面向十萬兆平臺推出的企業(yè) 級核心路由交換機 8610。 2 臺防火墻組成 HA（高可用性） ? 正常時， 2 臺防火墻是負載均衡 ? 當其中一條鏈路或設備出現故障時，會話迅速轉移到另外一臺防火墻。 兩個管理模塊之間支持負載均衡工作模式 ，可支持主備和并發(fā)兩種工作模式，提供更為強大的冗余能力和處理性能 。 提供業(yè)界最為強大的 ACL 特性，基于 SPOH 技術提供 IP 標準、 IP 擴展、 MAC 擴展、時間、專家級等豐富的 ACL 技術，支持 IPV4/IPV6 雙棧下的輸入輸出 ACL。 接入安全 硬件支持 IP、 MAC、端口綁定，提高用戶接入控制能力 ； 支持 技術，滿足 6 元素綁定接入限制 ； 支持 IGMP 源端口 檢查、源 IP 檢查、 IGMP 過濾等功能，可有效控制非法組播源，提高網絡安全 ； IGMP V3 支持通告客戶端主機希望接收的多播源服務器的地址，避免非法的組播數據流占用網絡帶寬 ； 通過 PVLAN（端口保護）隔離用戶之間信息互通，不必占用 VLAN 資源 ； 支持根據帶寬速率或帶寬百分比進行未知名報文、多播包、廣播包進行控制 ； 端口 MAC 地址鎖、 MAC 地址過濾、端口 MAC 地址接入數量限制功能可以屏蔽非法主機的接入和非法數據包進入網絡 。 ? 端到端 QoS 銳捷網絡為用戶提供了完整的 QoS 解決方案，采用了 RSVP、 DiffServ、 等控制結構和協議，通過其系列產品構成差別服務網絡（ DiffServ），并通過流量控制功能提供 RSVP 性能。銳捷網絡產品綜合了基于硬件的流量分類、排隊及策略機制來線速地保證 QoS。 13 因此，利用無線局域網技術，可以不用考慮這些問題，只要有網線不到附近任意地方，處于無線輻射半徑范圍內，增加用戶僅僅是增加客戶端網卡的工作，大大簡化了接入層部分區(qū)域網絡擴容的問題。 對于需求建設的無線網絡，必須在用戶接入訪問控制、訪問行為、傳輸安全等方面都慎密考慮，不能使無線網絡成為整個網絡的安全隱患。 從某種意義上講，企業(yè)特別是大的企業(yè)，在有能力為員工生活提供寬帶服務、甚至為周邊企業(yè)提供寬帶服務的時候，就已經是個準運營商的角色，這就要求在網絡構建時，采購的設備充分考慮到這一重要因素。事實證明，采用無線局域網技術和企業(yè)網 14 生產 /辦公應用系統相結合，可以平均增加網絡日訪問時間近 1小時，提高生產效率達 12%，是非常符合現代化企業(yè)信息化發(fā)展的解決方案。 ? 大范圍無縫 覆蓋 15 銳捷網絡的室內高增益型無線局域網接入點產品的品射頻功率均達到了 20dBm（ 100mW），并隨機配有 5dBi智能全向式天線系統。 在室外區(qū)域，采用雙路雙頻三模無線接入點產品，相當于支持獨立的兩套無線接入點的功能，可以分別支持兩組天線獨立工作，每路的射頻功率為 20dBm，并隨機附帶了兩根雙頻全向室外天線，另外，為了保證對植物密度較高、半徑距離超過 100～ 300米的區(qū)域（如廣場、車間廠房、大型露天會場等）完成覆蓋，且保證每個角落的信號強度不低于 70％， 在方案中增加了隨機配備的雙頻定向天線產品，可以保證無障礙下的遠距離覆蓋和障礙物穿透能力。尤其是啟用了目前先進的 SSID廣播禁止功能之后，由于空中不再廣播明文的 SSID號碼，使得那些擁有截獲 SSID密碼的無線終端非法訪問網絡。 銳捷網絡無線接入點產品 RGP720/780，均可支持獨立的 32個 VLAN，并可在每個 VLAN內實現用戶物理隔離，并可以對每個 VLAN實現單獨的 SSID分配、 WEP和 WPA/WPA2加密，以及 認證。 對于覆蓋室內 /室外環(huán)境的無線接入點設備而言，由 于接入用戶比較復雜，網絡應用不盡相同，因此針對不同用戶、不同應用的 QoS保證必須具備。后者則可以有效實施基于標準的用戶名、密碼的身份認證及計費，以及基于擴展 。通過 VPN 方式，企業(yè)可以利用現有的網絡資源實現遠程用戶和分支機構對內部網絡資源的訪問，不但節(jié)省了大量的資金，而且具有很高的安全性。這些通信通常需要向員工提供一些商業(yè)上的敏感信息，例如客戶記錄、產品規(guī)格和財務信息等，以提高經營效率和把握商機。制造商需要確保他們能夠在任何地方獲得專家?guī)斓闹С帧? 所有這些現象正在幫助企業(yè)實現他們的目標：提高效率、縮短產品上市時間和加強盈利能力。 表 1 安全攻擊導致的損失 19 表 2 Meta Group 關于每小時服務中斷的損失的統計數據 安全信息系統 解決方案 I. 設備的安全防護能力 通過與銳捷網絡全局安全解決方案 GSN 的結合，可在安全策略方面為用戶提供全新的立體三維的技術特性和解決方案，完全解除安全威脅、攻擊欺騙、病毒侵害等危害； 通過內在的多種安全機制可有效防止和控制病毒傳播和網絡 流量攻擊，控制非法用戶使用網絡，保證合法用戶合理化地使用網絡，如端口安全、端口隔離、專家級 ACL、時間 ACL、端口 ARP 報文的合法性檢查、基于數據流的帶寬限速、六元素綁定等，滿足企業(yè)網、校園網加強對訪問者進行控制、限制非授權用戶通信的需求； 20 硬件實現端口與 MAC 地址和用戶 IP 地址的靈活綁定，嚴格限定端口上用戶接入； 保護端口不必占用 VLAN 資源，即可非常方便地隔離用戶之間信息互通，充分保護用戶隱私； 通過銳捷安全計費管理平臺 SAM，不僅可實現用戶賬號、 MAC 地址、 IP 地址、交換機 IP、交換機端口等六大元素之 間的靈活任意綁定，有效確認用戶身份的合法性和唯一性，更能通過交換機特色硬件動態(tài)綁定，保障用戶身份始終一致性，避免了用戶惡意篡改身份信息進行非法攻擊等行為； 專用的硬件防范 ARP 網關和 ARP 主機欺騙功能，有效遏制了網絡中日益泛濫的 ARP 網關欺騙和ARP 主機欺騙的現象，保障了用戶的正常上網； 支持 DHCP Relay，更可支持 DHCP Option 82，可方便實現對 IP 地址的精確分配和控制，支持DHCP Snooping，可有效防范動靜態(tài)分配 IP 地址環(huán)境下的 ARP 欺騙問題； 提供極為有效的 Port Blocking 功能，避免和阻止端口受到其它端口發(fā)送的廣播包、多播包等報文的干擾，有效減輕端口的負載負擔，提高端口帶寬，保護用戶 PC 更高效安全地運行； 基于源 IP 地址控制的 Tel 和 Web 設備訪問控制，避免非法人員和黑客惡意攻擊和控制設備，增強了設備網管的安全性； SSH（ Secure Shell）和 SNMPv3 技術可以通過在 Tel 和 SNMP 進程中加密管理信息，保證管理設備信息的安全性，防止黑客攻擊和控制設備； 各種類型的硬件 ACL 控制，可靈活控制二－七層數據報文，使得任何一個用戶 PC 上的應用報文通過網絡都 能得到有效控制，充分保障了網絡的安全和合理化使用。 所謂全局安全 強調 的是 “ 多兵種協同作戰(zhàn) ” ，將安全結構覆蓋網絡傳輸設備（網絡交換機、路由器等）和網絡終端設備 （用戶 PC、服務器等），成為一個全局化的網絡安全綜合體系。） GSN 組成及工作原理 GSN，即 Global Security Network，中文名稱“全局安全網絡”。 比如，某臺未登記的計算機就不能隨便接入企 業(yè) 網 ，竊取企業(yè)商業(yè)信息 ； 效果 二 、 入網主機信息收集 主機信息 收集和 管理主要 涉及 主機硬件信息，操作系統信息和已安裝程序信息 。當然這對終端用戶是透明的，即終端用戶是不知道的。我們以殺毒軟件的入網標準的制定來分析： 23 首先，規(guī)定主機的狀態(tài)， 如 必須 安裝 殺毒軟件（多種殺毒軟件中的一種即可） ，禁止安裝 BT 下載 程序等。 當客戶端 PC 不滿足主機完整性 的時候（如殺毒軟 件版本過低）， 需要對用戶進行 處理。能夠以報表或者日志的形式 進行安全事件的統計，協助網絡管理員進行網絡的安全管理和安全評估 ，并 幫助網絡管理員輕松的應對網絡中的攻擊事件，并進行多種形式的處理（如警 告，下發(fā)修復程序，進行用戶網絡訪問的隔離和阻斷），為網絡管理員構造一個安全穩(wěn)定的網絡。 24 效果 五 、 對 未知安全事件的學習及處理 在 GSN 全局安全網絡解決方案中， 我們 認為一個安全的網絡應該同時是一個學習能力很強的網絡，它應該能夠隨時感知到網絡中的環(huán)境變化。 學習到新的安全事件之后，管理員通過第一次的手工處 理，可以完成后續(xù)該事件的全部自動處理。而且，在交換機上的防護實現全部由硬件來實現，避免了軟件實現帶來的各種不穩(wěn)定性。統一的網絡管理，能夠對網絡運行狀況進行監(jiān)控和維護，隨時了解網絡流量和網絡資源利用情況。 OpManager 是用來監(jiān)視網絡設備、系統資源、服務應用的一套網絡管理系統。 I. 全面管理 IT 底層架構 綜合網絡管理平臺 OpManager 幫助您對 IT 底層結構進行端對端的管理。 系統、服務器及服務 OpManager 使用 PING、 SNMP 及 Tel 來管理各種桌面機及服務。 II. 故障管理 OpManager 提供對網絡、系統及應用程序上的無縫地故障管理。支持在出現故障時運行外部程序；支持警報確認和添加操作員注釋。 IV. 資源清單管理 OpManager 在發(fā)現時對網絡資源 清單進行審計，并識別類似 OS、硬盤容量、 RAM 等資源。 29 解決方案的價值 ? 可對服務器、路由器、交換機、打印機、防火墻、 UPS 等實行分類統一管理，節(jié)省管理成本 ? 方便把握網絡、系統、應用及服務的各種狀況 ? 智能化的事件處理，減輕工作負擔，縮短故障響應時間 ? 使用閾值，主動管理，避免重大事故的發(fā)生 ? 鑒別并預防服務停機，解決響應時間瓶頸 ? 歷史數據的圖表分析，找到使用率的趨勢，有助于計劃策略的制定 數據資源中心 解決方案 數據資源中心 建設需求 ? 數據分散，大量的核心數據存放在單獨的服務器硬盤上， 沒有專業(yè)的磁盤數據保護機制 ? 數 據安全級別低，沒有專有的數據備份和恢復的規(guī)劃 ? 數據增長速度快，需要海量的數據存儲空間 ? 對設備的易用性，可管理性要求高 ? 要求存儲設備性價比高 30 ? 系統可擴展性強 數據資源中心 解決方案 銳捷 提供 的安全存儲和容災備份解決方案為企業(yè)提供了安全的集中化存儲，通過對數據的整合、集中和備份，既保證了數據的安全性，也提高了數據的可用性。 改變傳統依靠電信運營商提供的電話網絡（ PSTN）為基礎召開會議，能夠大幅度削減企業(yè)電話通訊費用，避免傳統會議系統需要在電話系統（ PBX）之外外接三方設備而帶來維護和管理的不便。 自主研發(fā) 持續(xù)創(chuàng)新 技術進步是我們提高客戶服務能力的重要手段。 卓越產品 度身定造 銳捷網絡作為國內率先通過國家 ISO9002/9001 認證的 IT 廠商，始終將“ 品質第一、永續(xù)經營 ”作為 貫徹整個生產經營過程的品質政策； 公司在福州建立了總建筑面積為 18000 平方米的生產基地，承擔銳捷網絡的產品制造工作，充分保證了產品的批量生產要求。 務實進取 團結協作 我們是一群對客戶充滿激情和責任感的人，我們強調團隊，提倡共贏，善于學習，勇于創(chuàng)新，真誠服務，確保能以最快的時間，最完美的過程表現，最大限度地滿足網絡用戶的應用需求，為中國信息化建設不斷貢獻自己的力量！ 市場地位 IDC（