【正文】 管理、信息發(fā)布、業(yè)務(wù)討論、電子郵件、信息流程的跟蹤與監(jiān)控等。 大批量的數(shù)據(jù)交換要求網(wǎng)絡(luò)設(shè)備具備良好的交換性能。 管理信息系統(tǒng)涉及的應(yīng)用種類多，分布廣，網(wǎng)絡(luò)系統(tǒng)的安全性自然成為客戶最關(guān)心的問題之一。 分支機(jī)構(gòu)和出差在外的員工能否通過有效的方式遠(yuǎn)程連接企業(yè)的系統(tǒng)資源也是一個(gè)需要解決的問題。從各類應(yīng)用的數(shù)據(jù)流特性方面考慮，有部分批量的數(shù)據(jù)傳輸應(yīng)用，如 CAD 圖紙的傳輸；有對(duì)移動(dòng)性要求較高的應(yīng)用，如庫(kù)房的產(chǎn)品相關(guān)信息的處理；最為主要的是有大量關(guān)鍵的、不可中斷的、實(shí)時(shí)性極強(qiáng)的應(yīng)用，如流水線設(shè)備的實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)的采集和產(chǎn)品測(cè)試結(jié)果的采集等。如何保證企業(yè)核心生產(chǎn)系統(tǒng)不受內(nèi)部及外部的網(wǎng)絡(luò)攻擊威脅是在網(wǎng)絡(luò)建設(shè)中必須重點(diǎn)考慮和解決的問題。用戶主要分布在一線作業(yè)的職能部門，涉及企業(yè)各廠區(qū)、車間和庫(kù)房等。 其用戶分布涉及企業(yè)各設(shè)計(jì)科室和相關(guān)協(xié)同設(shè)計(jì)單位，其特點(diǎn)是：有部分大批量的數(shù)據(jù)傳輸應(yīng)用，如訪問產(chǎn)品設(shè)計(jì)資料庫(kù)和 CAD 數(shù)據(jù)的傳輸?shù)?；有部分多媒體數(shù)據(jù)流的傳輸需求，例如在線視頻交流。從各種應(yīng)用的數(shù)據(jù)流特性方面考慮，有部分批量的數(shù)據(jù)傳輸應(yīng)用，如文件傳輸、電子郵件等；有對(duì)帶寬和時(shí)延敏感的多媒體應(yīng)用，如 IP 電話、視頻會(huì)議、電子學(xué)習(xí)等；有關(guān)鍵的、實(shí)時(shí)性較強(qiáng)的應(yīng)用，如網(wǎng)上銷售系統(tǒng)。在廣域網(wǎng)鏈接帶寬非常寶貴的情況下，支持包含多媒體應(yīng)用在內(nèi)的不同類型應(yīng)用的問題需要妥善解決。 9 第 3章 銳捷 企業(yè)網(wǎng) 解決方案 簡(jiǎn)介 基礎(chǔ)網(wǎng)絡(luò)平臺(tái) 解決方案 基礎(chǔ)平臺(tái)建設(shè)需求 ? 實(shí)現(xiàn)企業(yè)內(nèi)資源共享，提供管理應(yīng)用系統(tǒng)，實(shí)現(xiàn)企業(yè)辦公自動(dòng)化 ? 接入 Inter，共享網(wǎng)絡(luò)資源 ? 企業(yè)擁有自己的 IP 地址和域名 ? 建立企業(yè) Email 系統(tǒng)和內(nèi)部通訊系統(tǒng) ? 在公司主機(jī)上建立網(wǎng)站，提供對(duì)外宣傳的信息平臺(tái) 基礎(chǔ)平臺(tái)解決方案 ? 高性能 企業(yè)網(wǎng)核心設(shè)備采用銳捷面向十萬兆平臺(tái)推出的企業(yè) 級(jí)核心路由交換機(jī) 8610。 2 臺(tái)防火墻組成 HA（高可用性） ? 正常時(shí)， 2 臺(tái)防火墻是負(fù)載均衡 ? 當(dāng)其中一條鏈路或設(shè)備出現(xiàn)故障時(shí)，會(huì)話迅速轉(zhuǎn)移到另外一臺(tái)防火墻。 兩個(gè)管理模塊之間支持負(fù)載均衡工作模式 ，可支持主備和并發(fā)兩種工作模式，提供更為強(qiáng)大的冗余能力和處理性能 。 提供業(yè)界最為強(qiáng)大的 ACL 特性，基于 SPOH 技術(shù)提供 IP 標(biāo)準(zhǔn)、 IP 擴(kuò)展、 MAC 擴(kuò)展、時(shí)間、專家級(jí)等豐富的 ACL 技術(shù)，支持 IPV4/IPV6 雙棧下的輸入輸出 ACL。 接入安全 硬件支持 IP、 MAC、端口綁定，提高用戶接入控制能力 ； 支持 技術(shù)，滿足 6 元素綁定接入限制 ； 支持 IGMP 源端口 檢查、源 IP 檢查、 IGMP 過濾等功能，可有效控制非法組播源，提高網(wǎng)絡(luò)安全 ； IGMP V3 支持通告客戶端主機(jī)希望接收的多播源服務(wù)器的地址，避免非法的組播數(shù)據(jù)流占用網(wǎng)絡(luò)帶寬 ； 通過 PVLAN（端口保護(hù)）隔離用戶之間信息互通，不必占用 VLAN 資源 ； 支持根據(jù)帶寬速率或帶寬百分比進(jìn)行未知名報(bào)文、多播包、廣播包進(jìn)行控制 ； 端口 MAC 地址鎖、 MAC 地址過濾、端口 MAC 地址接入數(shù)量限制功能可以屏蔽非法主機(jī)的接入和非法數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò) 。 ? 端到端 QoS 銳捷網(wǎng)絡(luò)為用戶提供了完整的 QoS 解決方案，采用了 RSVP、 DiffServ、 等控制結(jié)構(gòu)和協(xié)議，通過其系列產(chǎn)品構(gòu)成差別服務(wù)網(wǎng)絡(luò)（ DiffServ），并通過流量控制功能提供 RSVP 性能。銳捷網(wǎng)絡(luò)產(chǎn)品綜合了基于硬件的流量分類、排隊(duì)及策略機(jī)制來線速地保證 QoS。 13 因此，利用無線局域網(wǎng)技術(shù)，可以不用考慮這些問題，只要有網(wǎng)線不到附近任意地方，處于無線輻射半徑范圍內(nèi)，增加用戶僅僅是增加客戶端網(wǎng)卡的工作，大大簡(jiǎn)化了接入層部分區(qū)域網(wǎng)絡(luò)擴(kuò)容的問題。 對(duì)于需求建設(shè)的無線網(wǎng)絡(luò)，必須在用戶接入訪問控制、訪問行為、傳輸安全等方面都慎密考慮，不能使無線網(wǎng)絡(luò)成為整個(gè)網(wǎng)絡(luò)的安全隱患。 從某種意義上講，企業(yè)特別是大的企業(yè)，在有能力為員工生活提供寬帶服務(wù)、甚至為周邊企業(yè)提供寬帶服務(wù)的時(shí)候，就已經(jīng)是個(gè)準(zhǔn)運(yùn)營(yíng)商的角色，這就要求在網(wǎng)絡(luò)構(gòu)建時(shí)，采購(gòu)的設(shè)備充分考慮到這一重要因素。事實(shí)證明，采用無線局域網(wǎng)技術(shù)和企業(yè)網(wǎng) 14 生產(chǎn) /辦公應(yīng)用系統(tǒng)相結(jié)合，可以平均增加網(wǎng)絡(luò)日訪問時(shí)間近 1小時(shí)，提高生產(chǎn)效率達(dá) 12%，是非常符合現(xiàn)代化企業(yè)信息化發(fā)展的解決方案。 ? 大范圍無縫 覆蓋 15 銳捷網(wǎng)絡(luò)的室內(nèi)高增益型無線局域網(wǎng)接入點(diǎn)產(chǎn)品的品射頻功率均達(dá)到了 20dBm（ 100mW），并隨機(jī)配有 5dBi智能全向式天線系統(tǒng)。 在室外區(qū)域，采用雙路雙頻三模無線接入點(diǎn)產(chǎn)品，相當(dāng)于支持獨(dú)立的兩套無線接入點(diǎn)的功能，可以分別支持兩組天線獨(dú)立工作，每路的射頻功率為 20dBm，并隨機(jī)附帶了兩根雙頻全向室外天線，另外，為了保證對(duì)植物密度較高、半徑距離超過 100～ 300米的區(qū)域（如廣場(chǎng)、車間廠房、大型露天會(huì)場(chǎng)等）完成覆蓋，且保證每個(gè)角落的信號(hào)強(qiáng)度不低于 70％， 在方案中增加了隨機(jī)配備的雙頻定向天線產(chǎn)品，可以保證無障礙下的遠(yuǎn)距離覆蓋和障礙物穿透能力。尤其是啟用了目前先進(jìn)的 SSID廣播禁止功能之后，由于空中不再?gòu)V播明文的 SSID號(hào)碼，使得那些擁有截獲 SSID密碼的無線終端非法訪問網(wǎng)絡(luò)。 銳捷網(wǎng)絡(luò)無線接入點(diǎn)產(chǎn)品 RGP720/780，均可支持獨(dú)立的 32個(gè) VLAN，并可在每個(gè) VLAN內(nèi)實(shí)現(xiàn)用戶物理隔離，并可以對(duì)每個(gè) VLAN實(shí)現(xiàn)單獨(dú)的 SSID分配、 WEP和 WPA/WPA2加密，以及 認(rèn)證。 對(duì)于覆蓋室內(nèi) /室外環(huán)境的無線接入點(diǎn)設(shè)備而言，由 于接入用戶比較復(fù)雜，網(wǎng)絡(luò)應(yīng)用不盡相同，因此針對(duì)不同用戶、不同應(yīng)用的 QoS保證必須具備。后者則可以有效實(shí)施基于標(biāo)準(zhǔn)的用戶名、密碼的身份認(rèn)證及計(jì)費(fèi)，以及基于擴(kuò)展 。通過 VPN 方式，企業(yè)可以利用現(xiàn)有的網(wǎng)絡(luò)資源實(shí)現(xiàn)遠(yuǎn)程用戶和分支機(jī)構(gòu)對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問，不但節(jié)省了大量的資金，而且具有很高的安全性。這些通信通常需要向員工提供一些商業(yè)上的敏感信息，例如客戶記錄、產(chǎn)品規(guī)格和財(cái)務(wù)信息等，以提高經(jīng)營(yíng)效率和把握商機(jī)。制造商需要確保他們能夠在任何地方獲得專家?guī)斓闹С帧? 所有這些現(xiàn)象正在幫助企業(yè)實(shí)現(xiàn)他們的目標(biāo)：提高效率、縮短產(chǎn)品上市時(shí)間和加強(qiáng)盈利能力。 表 1 安全攻擊導(dǎo)致的損失 19 表 2 Meta Group 關(guān)于每小時(shí)服務(wù)中斷的損失的統(tǒng)計(jì)數(shù)據(jù) 安全信息系統(tǒng) 解決方案 I. 設(shè)備的安全防護(hù)能力 通過與銳捷網(wǎng)絡(luò)全局安全解決方案 GSN 的結(jié)合，可在安全策略方面為用戶提供全新的立體三維的技術(shù)特性和解決方案，完全解除安全威脅、攻擊欺騙、病毒侵害等危害； 通過內(nèi)在的多種安全機(jī)制可有效防止和控制病毒傳播和網(wǎng)絡(luò) 流量攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化地使用網(wǎng)絡(luò)，如端口安全、端口隔離、專家級(jí) ACL、時(shí)間 ACL、端口 ARP 報(bào)文的合法性檢查、基于數(shù)據(jù)流的帶寬限速、六元素綁定等，滿足企業(yè)網(wǎng)、校園網(wǎng)加強(qiáng)對(duì)訪問者進(jìn)行控制、限制非授權(quán)用戶通信的需求； 20 硬件實(shí)現(xiàn)端口與 MAC 地址和用戶 IP 地址的靈活綁定，嚴(yán)格限定端口上用戶接入； 保護(hù)端口不必占用 VLAN 資源，即可非常方便地隔離用戶之間信息互通，充分保護(hù)用戶隱私； 通過銳捷安全計(jì)費(fèi)管理平臺(tái) SAM，不僅可實(shí)現(xiàn)用戶賬號(hào)、 MAC 地址、 IP 地址、交換機(jī) IP、交換機(jī)端口等六大元素之 間的靈活任意綁定，有效確認(rèn)用戶身份的合法性和唯一性，更能通過交換機(jī)特色硬件動(dòng)態(tài)綁定，保障用戶身份始終一致性，避免了用戶惡意篡改身份信息進(jìn)行非法攻擊等行為； 專用的硬件防范 ARP 網(wǎng)關(guān)和 ARP 主機(jī)欺騙功能，有效遏制了網(wǎng)絡(luò)中日益泛濫的 ARP 網(wǎng)關(guān)欺騙和ARP 主機(jī)欺騙的現(xiàn)象，保障了用戶的正常上網(wǎng)； 支持 DHCP Relay，更可支持 DHCP Option 82，可方便實(shí)現(xiàn)對(duì) IP 地址的精確分配和控制，支持DHCP Snooping，可有效防范動(dòng)靜態(tài)分配 IP 地址環(huán)境下的 ARP 欺騙問題； 提供極為有效的 Port Blocking 功能，避免和阻止端口受到其它端口發(fā)送的廣播包、多播包等報(bào)文的干擾，有效減輕端口的負(fù)載負(fù)擔(dān)，提高端口帶寬，保護(hù)用戶 PC 更高效安全地運(yùn)行； 基于源 IP 地址控制的 Tel 和 Web 設(shè)備訪問控制，避免非法人員和黑客惡意攻擊和控制設(shè)備，增強(qiáng)了設(shè)備網(wǎng)管的安全性； SSH（ Secure Shell）和 SNMPv3 技術(shù)可以通過在 Tel 和 SNMP 進(jìn)程中加密管理信息，保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備； 各種類型的硬件 ACL 控制，可靈活控制二－七層數(shù)據(jù)報(bào)文，使得任何一個(gè)用戶 PC 上的應(yīng)用報(bào)文通過網(wǎng)絡(luò)都 能得到有效控制，充分保障了網(wǎng)絡(luò)的安全和合理化使用。 所謂全局安全 強(qiáng)調(diào) 的是 “ 多兵種協(xié)同作戰(zhàn) ” ，將安全結(jié)構(gòu)覆蓋網(wǎng)絡(luò)傳輸設(shè)備（網(wǎng)絡(luò)交換機(jī)、路由器等）和網(wǎng)絡(luò)終端設(shè)備 （用戶 PC、服務(wù)器等），成為一個(gè)全局化的網(wǎng)絡(luò)安全綜合體系。） GSN 組成及工作原理 GSN，即 Global Security Network，中文名稱“全局安全網(wǎng)絡(luò)”。 比如，某臺(tái)未登記的計(jì)算機(jī)就不能隨便接入企 業(yè) 網(wǎng) ，竊取企業(yè)商業(yè)信息 ； 效果 二 、 入網(wǎng)主機(jī)信息收集 主機(jī)信息 收集和 管理主要 涉及 主機(jī)硬件信息，操作系統(tǒng)信息和已安裝程序信息 。當(dāng)然這對(duì)終端用戶是透明的，即終端用戶是不知道的。我們以殺毒軟件的入網(wǎng)標(biāo)準(zhǔn)的制定來分析： 23 首先，規(guī)定主機(jī)的狀態(tài)， 如 必須 安裝 殺毒軟件（多種殺毒軟件中的一種即可） ，禁止安裝 BT 下載 程序等。 當(dāng)客戶端 PC 不滿足主機(jī)完整性 的時(shí)候（如殺毒軟 件版本過低）， 需要對(duì)用戶進(jìn)行 處理。能夠以報(bào)表或者日志的形式 進(jìn)行安全事件的統(tǒng)計(jì)，協(xié)助網(wǎng)絡(luò)管理員進(jìn)行網(wǎng)絡(luò)的安全管理和安全評(píng)估 ，并 幫助網(wǎng)絡(luò)管理員輕松的應(yīng)對(duì)網(wǎng)絡(luò)中的攻擊事件，并進(jìn)行多種形式的處理（如警 告，下發(fā)修復(fù)程序，進(jìn)行用戶網(wǎng)絡(luò)訪問的隔離和阻斷），為網(wǎng)絡(luò)管理員構(gòu)造一個(gè)安全穩(wěn)定的網(wǎng)絡(luò)。 24 效果 五 、 對(duì) 未知安全事件的學(xué)習(xí)及處理 在 GSN 全局安全網(wǎng)絡(luò)解決方案中， 我們 認(rèn)為一個(gè)安全的網(wǎng)絡(luò)應(yīng)該同時(shí)是一個(gè)學(xué)習(xí)能力很強(qiáng)的網(wǎng)絡(luò)，它應(yīng)該能夠隨時(shí)感知到網(wǎng)絡(luò)中的環(huán)境變化。 學(xué)習(xí)到新的安全事件之后，管理員通過第一次的手工處 理，可以完成后續(xù)該事件的全部自動(dòng)處理。而且，在交換機(jī)上的防護(hù)實(shí)現(xiàn)全部由硬件來實(shí)現(xiàn)，避免了軟件實(shí)現(xiàn)帶來的各種不穩(wěn)定性。統(tǒng)一的網(wǎng)絡(luò)管理，能夠?qū)W(wǎng)絡(luò)運(yùn)行狀況進(jìn)行監(jiān)控和維護(hù)，隨時(shí)了解網(wǎng)絡(luò)流量和網(wǎng)絡(luò)資源利用情況。 OpManager 是用來監(jiān)視網(wǎng)絡(luò)設(shè)備、系統(tǒng)資源、服務(wù)應(yīng)用的一套網(wǎng)絡(luò)管理系統(tǒng)。 I. 全面管理 IT 底層架構(gòu) 綜合網(wǎng)絡(luò)管理平臺(tái) OpManager 幫助您對(duì) IT 底層結(jié)構(gòu)進(jìn)行端對(duì)端的管理。 系統(tǒng)、服務(wù)器及服務(wù) OpManager 使用 PING、 SNMP 及 Tel 來管理各種桌面機(jī)及服務(wù)。 II. 故障管理 OpManager 提供對(duì)網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用程序上的無縫地故障管理。支持在出現(xiàn)故障時(shí)運(yùn)行外部程序；支持警報(bào)確認(rèn)和添加操作員注釋。 IV. 資源清單管理 OpManager 在發(fā)現(xiàn)時(shí)對(duì)網(wǎng)絡(luò)資源 清單進(jìn)行審計(jì)，并識(shí)別類似 OS、硬盤容量、 RAM 等資源。 29 解決方案的價(jià)值 ? 可對(duì)服務(wù)器、路由器、交換機(jī)、打印機(jī)、防火墻、 UPS 等實(shí)行分類統(tǒng)一管理，節(jié)省管理成本 ? 方便把握網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用及服務(wù)的各種狀況 ? 智能化的事件處理，減輕工作負(fù)擔(dān)，縮短故障響應(yīng)時(shí)間 ? 使用閾值，主動(dòng)管理，避免重大事故的發(fā)生 ? 鑒別并預(yù)防服務(wù)停機(jī)，解決響應(yīng)時(shí)間瓶頸 ? 歷史數(shù)據(jù)的圖表分析，找到使用率的趨勢(shì)，有助于計(jì)劃策略的制定 數(shù)據(jù)資源中心 解決方案 數(shù)據(jù)資源中心 建設(shè)需求 ? 數(shù)據(jù)分散，大量的核心數(shù)據(jù)存放在單獨(dú)的服務(wù)器硬盤上， 沒有專業(yè)的磁盤數(shù)據(jù)保護(hù)機(jī)制 ? 數(shù) 據(jù)安全級(jí)別低，沒有專有的數(shù)據(jù)備份和恢復(fù)的規(guī)劃 ? 數(shù)據(jù)增長(zhǎng)速度快，需要海量的數(shù)據(jù)存儲(chǔ)空間 ? 對(duì)設(shè)備的易用性，可管理性要求高 ? 要求存儲(chǔ)設(shè)備性價(jià)比高 30 ? 系統(tǒng)可擴(kuò)展性強(qiáng) 數(shù)據(jù)資源中心 解決方案 銳捷 提供 的安全存儲(chǔ)和容災(zāi)備份解決方案為企業(yè)提供了安全的集中化存儲(chǔ)，通過對(duì)數(shù)據(jù)的整合、集中和備份，既保證了數(shù)據(jù)的安全性，也提高了數(shù)據(jù)的可用性。 改變傳統(tǒng)依靠電信運(yùn)營(yíng)商提供的電話網(wǎng)絡(luò)（ PSTN）為基礎(chǔ)召開會(huì)議，能夠大幅度削減企業(yè)電話通訊費(fèi)用，避免傳統(tǒng)會(huì)議系統(tǒng)需要在電話系統(tǒng)（ PBX）之外外接三方設(shè)備而帶來維護(hù)和管理的不便。 自主研發(fā) 持續(xù)創(chuàng)新 技術(shù)進(jìn)步是我們提高客戶服務(wù)能力的重要手段。 卓越產(chǎn)品 度身定造 銳捷網(wǎng)絡(luò)作為國(guó)內(nèi)率先通過國(guó)家 ISO9002/9001 認(rèn)證的 IT 廠商，始終將“ 品質(zhì)第一、永續(xù)經(jīng)營(yíng) ”作為 貫徹整個(gè)生產(chǎn)經(jīng)營(yíng)過程的品質(zhì)政策； 公司在福州建立了總建筑面積為 18000 平方米的生產(chǎn)基地，承擔(dān)銳捷網(wǎng)絡(luò)的產(chǎn)品制造工作，充分保證了產(chǎn)品的批量生產(chǎn)要求。 務(wù)實(shí)進(jìn)取 團(tuán)結(jié)協(xié)作 我們是一群對(duì)客戶充滿激情和責(zé)任感的人，我們強(qiáng)調(diào)團(tuán)隊(duì)，提倡共贏，善于學(xué)習(xí)，勇于創(chuàng)新，真誠(chéng)服務(wù)，確保能以最快的時(shí)間，最完美的過程表現(xiàn)，最大限度地滿足網(wǎng)絡(luò)用戶的應(yīng)用需求，為中國(guó)信息化建設(shè)不斷貢獻(xiàn)自己的力量！ 市場(chǎng)地位 IDC（