锐捷网络方案.docx
- 文档编号:7214674
- 上传时间:2023-01-21
- 格式:DOCX
- 页数:13
- 大小:207.69KB
锐捷网络方案.docx
《锐捷网络方案.docx》由会员分享,可在线阅读,更多相关《锐捷网络方案.docx(13页珍藏版)》请在冰豆网上搜索。
锐捷网络方案
1.方案拓扑及特点介绍
1.1方案拓扑
本方案全部采用国内三大网络厂商之一的“锐捷网络”的产品。
采用出口、核心、接入三层架构的网络解决方案网络层次结构清晰简单。
二层网络上实现VLAN划分,出口NBR路由器,内置防火墙,支持自动检测冲击波和震荡波病毒。
可识别并阻断机器狗病毒的中毒过程,同时显示试图访问带毒网站的主机信息和带毒网站的IP地址。
弹性带宽、智能限速:
可针对全网、单个IP或IP段进行上传下载速率的分别弹性限制。
全web管理和监控界面,降低网络管理技术门槛。
1.2方案特点介绍
1.2.1锐捷产品高性能、高可靠性,保证网络安全稳定运行
福建星网锐捷网络有限公司是国内三大网络厂商之一,其产品的高性能,高可靠性在国内众多高校(包括川大、电子科技大学等)、金融行业(建行、农行)以及政府机关(四川省委组织部等),国资委企业(四川路桥集团,川投集团,华西集团等)得到了充分的验证,值得信赖。
1.2.2网络级ARP防护体系
锐捷NBR路由器提供强大的ARP欺骗防御能力,除传统IP/MAC静态绑定防御ARP病毒外,锐捷独家“可信任ARP”专利技术能够实现在不用人工干预的情况下,路由器自动识别欺骗,实现动态IP/MAC地址的绑定。
利用路由器提供的“ARP嫌疑主机列表”可以轻松找出ARP欺骗主机,使网络管理更加容易。
1.2.3MAC绑定,实现安全接入控制
锐捷RG-S2026F智能型网管接入交换机提供的MAC绑定功能,可以确保接入到网络的用户的合法性和唯一性,实现对用户的接入控制;
利用该功能可以效避免非法用户的接入(如外来携带笔记本的人员),防止出现外来人员随意接入网络,杜绝非法攻击、盗取文件资料、盗用网络资源等情况。
利用该功能可以限制内网用户擅改IP地址,避免出现由于用户擅自修改IP地址导致IP冲突引起其他合法用户无故掉线的情况。
1.2.4整合双出口线路,实现负载均衡
外网接入部分,通过整合二条ADSL到路由器上,并且使启用负载均衡,使两条ADSL的带宽得到最大化的利用。
NBR1100路由器固化带有2个百兆以太网WAN口,可以实现两条ADSL的拨号上网,这样不必改变原有线路,使资源利用最大化。
1.2.5交换机VLAN隔离技术,保障通信安全
在网络成为必不可少的工具、信息处理成为日常工作的重心后,VLAN技术的运用显得越来越重要。
VLAN对于信息系统的意义体现在:
1.VLAN可以改善网络的通信效率。
因为通信流量只局限于本子网中,不会对其它子网产生干扰。
2.VLAN可以避免广播风暴。
在较大规模的网络中,大量的广播信息很容易引起网络性能的急剧降低,甚至使网络瘫痪。
而VLAN使广播只在子网中进行,不会作无意义的扩散,从而消除了广播风暴产生的条件。
3.VLAN大大增强了网络及其信息的安全性。
因为子网间无法随意进行访问,信息流通得到相当好的控制。
4.VLAN使网络的组织更具灵活性。
网络用户在网络中的物理位置不会影响该用户逻辑上的访问权限,也就是说网络规划完全不会受到物理的限制。
本方案采用的交换机支持完善的VLAN划分,利用接入交换机和汇聚交换机进行VLAN划分,可以对通信进行有效隔离,例如:
隔离不同部门(公司)间的通信,同时配合交换机的访问控制列表ACL,实现不同部门间的安全访问。
1.2.6完善的Qos策略,保证关键网络应用优先转发
本方案推荐的锐捷交换机拥有完善的Qos策略,以DiffServ标准为核心的QoS保障系统,支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑;通过锐捷交换机的Qos策略可以保证网络的关键应用,满足多种应用数据的复合传输要求,保证关键数据得到最快的响应和转发。
1.2.7强大的防攻击能力和网络病毒防御能力
强大的防攻技能力,NBR1100路由器轻松抵御20M线速DDOS攻击而CPU利用率不超过30%,其强大的性能和攻击防御能力保证网络的安全稳定运行。
同时NPE20路由器还可对内网攻击进行准确定位,轻松锁定攻击主机;同时对攻击主机还能进行网络阻断。
强大的防病毒能力,NBR1100可以抵御多种常见网络病毒,强大的内置防火墙,方便灵活设置,摆脱网络病毒的骚扰。
1.2.8完善的流量控制,保证网络带宽资源的合理利用
锐捷路由器提供基于IP地址的流量控制功能,能够基于IP地址进行流量限制,此外锐捷“弹性带宽”专利技术更可以针对网络带宽利用情况进行弹性限速,在网络出口压力大(带宽占用高)的时候采取较为严格的限速策略,在网络出口压力比较小的时候,路由器自动将每个IP的限速放开,使用户上网感觉更加流畅的同时最大化的利用的网络带宽。
同时配合基于IP/MAC的会话数限制,能够有效控制用户使用P2P软件对网络带宽造成的压力,将用户下载速度严格控制在合理范围内,保证其他用户不受影响;同时NAT会话数限制还能在一定程度上防御内网攻击。
此外锐捷路由器还提供完善的流量监控,支持按各种策略排序,随时随地了解网络流量状况。
2.方案产品介绍
2.1NBR1100电信级防攻击宽带路由器
NBR1200
产品概述
NBR1100是锐捷网络公司针对中小型单位推出的电信级宽带路由器,采用MotorolaPowerPC8248高性能专业通讯RISCCPU,固化带有2个10/100M以太网WAN口,4个10/100M的以太网交换式LAN口。
先进的硬件架构,出色的小包转发能力。
内置高性能防火墙,具备防病毒、防攻击能力。
丰富的内网安全特性和智能的带宽管理功能。
人性化的WEB管理和监控界面。
VRRP多线路负载均衡和线路备份
支持VRRP协议,实现多台设备的负载均衡和线路备份,提高网络可靠性和访问速度。
在路由器内部固化配置了主要运营商的路由表,实现访问网通资源自动走网通线路,访问电信资源自动走电信线路,彻底解决运营商之间某些网站、服务器无法相互访问或者访问速度低的问题。
支持内部PC采用公网IP上网模式,在公网IP模式下,同样支持限速、防ARP地址欺骗、抗攻击等功能。
“可信任ARP”打造永不掉线网络
特殊的ARP地址学习功能,保证NBR所学习到的IP/MAC为正确的对应关系。
实现动态ARP与静态ARP的完美结合,即不受欺骗也能够自动更新绑定。
嫌疑主机定位功能可以准确定位ARP病毒源,以便采取相应的人工干预措施。
防攻击保证网络安全
特别具有强大的防DDoS攻击能力,如SYNflood,UDPflood,ICMPflood,Smurf/Fraggle攻击,分片报文攻击等。
具备硬件阻断功能,在启用防内网攻击的情况下,攻击PC在一定时间内被禁止上网,攻击报文被直接硬件过滤,不消耗CPU资源。
用20M的线速DDoS攻击,CPU利用率不会高于30%;防Ping扫描。
防止来自外部恶意人员、内部不满人员等日益猖獗的网络恶意攻击,保障网络的安全,使网络时刻稳定运行。
防病毒保证网络稳定
支持域名过滤,阻断对非法网站的访问。
自动检测冲击波及蠕虫病毒,支持ACL,通过添加不同规则的防火墙以过滤病毒报文。
基于MAC地址的NAT会话数限制,无论病毒如何猖獗,都不会影响其他用户正常上网。
“弹性带宽”功能
实现全内网带宽资源的智能弹性分配,大幅度提高网络带宽的利用率。
在带宽紧张的时候保证每个用户都能分配到一定的保留带宽,在带宽富余的时候为有需求的用户分配更大的带宽。
瞬变流量和用户的上下线不会对其它流量造成影响,保证了用户流量的稳定性。
配置简单灵活,具备动态停止和自动恢复功能,无须用户干预。
独特的硬件端口监控功能
提供硬件端口监控功能,可以设置其中某个LAN端口为镜向端口,作为监控口,可以连接公安部的监控机,不会影响网络性能,并且监控口在提供监控功能的同时,还可以继续使用,不会影响任何功能。
支持VPN功能
支持GRE的VPN功能;
支持L2TP/PPTP的VPDN应用;
在NAT应用下,支持L2TP/PPTP的穿透功能
人性化的配置管理
在面板上提供了网络状态指示灯,有“空闲”、“正常”、“繁忙”、“饱和”四种状态,通过指示灯可以轻松判断网络运行状态。
在面板上还提供了告警灯,在受到攻击时告警灯亮,轻松知道网络是否受到攻击。
美观易用的Web管理平台,实现网络设备的“零配置”以及“零维护”。
支持中文日志,轻松查看及定位网络事件。
具有升级保护功能,即使升级下载过程掉电重启,也可正常启动。
2.2RG-S3250安全智能三层交换机
产品概述
RG-S3250-24是锐捷网络基于网络安全和易用好管理的理念推出的新一代安全智能交换机,充分融合了网络发展需要的高性能、高安全、多业务、易用性特点,为用户提供全新的技术特性和解决方案。
RG-S3250交换机在提供智能的流分类、完善的服务质量(QoS)和组播应用管理特性同时,并可以根据网络实际使用环境,实施灵活多样的安全控制策略,可有效防止和控制病毒传播和网络攻击,控制非法用户使用网络,保证合法用户合理使用网络资源,充分保障网络安全和网络合理化使用和运营。
S3250提供了SNMP、Telnet、Web和Console口等多种配置方式方便网络管理和维护,并提供最为灵活和完善的端口组合形式,非常利于用户根据网络布线需要,选择所需的上行链路的接口形式和扩展端口。
RG-S3250可为各种类型网络接入提完善的端到端的QoS服务质量、灵活丰富的安全策略和基于策略的网络管理,是校园网、企业网、政务网、业务网、宽带小区、商务楼宇等应用的理想接入设备,为用户提供高速、高效、安全、智能的全新接入方案。
产品特性
全面的安全控制策略
通过与锐捷网络全局安全解决方案GSN的结合,可在安全策略方面为用户提供全面的立体三维的技术特性和解决方案,完全解除安全威胁、攻击、病毒、ARP欺骗等侵害,还网络一片绿色,让用户更安心、省心上网;
硬件实现端口与MAC地址和用户IP地址的灵活绑定,严格限定端口上的用户接入;
通过将端口设为保护端口即可简单方便地隔离用户之间信息互通,保障了信息安全,同时不必占用VLAN资源;
专用的硬件防范ARP网关和ARP主机欺骗功能,有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象,保障了用户的正常上网;
支持DHCPsnooping,可只允许信任端口的DHCP响应,防止未经管理员许可私自架设DHCPServer,扰乱IP地址的分配和管理,影响用户的正常上网;并在DHCP监听的基础上,通过动态监测ARP和检查源IP,可有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗;
基于源IP地址控制的Telnet和Web设备访问控制,增强了设备网管的安全性,避免黑客恶意攻击和控制设备;
SSH(SecureShell)和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备,保护网络免遭干扰和窃听;
通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击,控制非法用户使用网络,保证合法用户合理化使用网络,如端口静态和动态的安全绑定、端口隔离、多种类型的硬件ACL控制(如专家级ACL、时间ACL、用户自定义ACL)、基于数据流的带宽限速、用户安全接入控制的多元素绑定等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。
丰富的组播特性
支持IGMP源端口检查功能,有效地杜绝非法的组播源,提高网络的安全性;
支持和识别IGMPv1/v2和IGMPv3全部版本的组播报文,适应不同组播环境,避免非法的组播数据流占用网络带宽,满足组播安全应用的需要。
完善的QoS策略
以DiffServ标准为核心的QoS保障系统,支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑;
具备MAC流、IP流、应用流等多层流分类和流控制能力,实现灵活精细的带宽控制、转发优先级等多种流策略,带宽限制粒度达64Kbps,支持网络根据不同的业务、以及不同业务所需要的服务质量特性,提供差异化服务。
高可靠性
支持生成树协议802.1d、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率;
支持RLDP,可快速检测链路的通断和光纤链路的单向性,并支持端口下的环路检测功能,防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。
方便易用易管理
采用灵活复用的千兆接口和扩展槽组合的形式,可最灵活满足是否需要多个千兆链路上链或多个千兆服务器的连接,方便用户根据网络架构灵活选择连接形式;
支持设备间的混合堆叠,通过堆叠不仅可以统一管理和使用设备,降低管理成本,同时可以灵活地组合和扩展端口,平滑扩容,保障了网络的高度灵活和可扩展,网络管理更加简单;
三层路由功能满足了小企业内部不同部门间需要相互通讯的需求,使网络结构简单化;
为方便安装地点或建筑物不适宜部署外部电源的环境,RG-S3250系列交换机特别提供支持PoE功能的产品型号,即通过双绞线就可以向远端下挂的PD设备供电,如无线AP、IPPhone、视频监控等设备,方便了任何符合IEEE802.3af标准的终端设备的接入,实现以太网集中供电,以满足金融、企业、学校、医院、工厂等用户实现VoIP、远程监控、无线AP等网络应用的需要;
提供图形化的安全策略管理平台,支持安全策略自动同步下发、升级和维护功能,安全策略智能化,可大幅度提高交换机管理和配置效率,提高网络安全;
网络时间协议(NTP)保证交换机时间的准确性,并与网络中时间服务器时间统一化,方便日志信息和流量信息的分析、故障诊断等管理;
Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员网络维护和管理;
多端口同步监控,通过一个端口即可同时监控多个端口的数据流,可以只监控输入帧或只监控输出帧或双向帧,大大提高维护效率;
CLI界面,方便高级用户配置和使用;
Java-basedWeb管理方式,实现对交换机的可视化图形界面管理,快速和高效地配置设备。
2.3RG-S2026F接入交换机
RG-S2026F
产品概述
RG-S20系列是全线速智能型增强网管交换机,具有特别丰富而强大的网管功能,在实现流量线速交换的同时,可以通过多重设置方式进行网管操作,实现802.1QVLAN、保护端口、链路聚合、SpanningTree、端口监控设置、静态地址管理、广播风暴控制、端口动态MAC地址锁、端口MAC地址绑定、端口IGMP属性设置、802.1p优先级等各种管理。
RG-S20系列交换机在设置丰富的管理策略时,可针对用户的不同使用情况进行灵活的端口带宽分配,并采用业界最先进的802.1x安全接入控制策略,提供用户接入安全保障。
产品特性
高性能,端口全线速
高背板带宽为所有的端口提供非阻塞全线速交换。
灵活精细的端口带宽限速
可对端口的输入和输出带宽进行灵活精细的速率控制,粒度精细可达64Kbps,网管人员可根据每个用户的实际情况分配相应的带宽,满足不同用户的接入带宽需求。
在控制用户的接入速率同时,又可以有效防止用户恶意占用网络带宽,从而大大提高对网络带宽的利用率,如在学校、智能大厦、宽带小区、网吧等。
灵活的安全控制策略
支持802.1x,802.1QVLAN,端口MAC地址绑定,端口MAC动态地址锁等,特别是通过锐捷SAM平台,可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等多元素之间的灵活任意绑定,可有效控制用户的接入,确定用户的唯一性,如高校、政府机构、宽带小区等;
通过将端口设为保护端口即可简单方便地隔离用户之间信息互通,避免用户之间病毒、及网络攻击的肆意传播;
基于端口速率的广播风暴抑制功能,不仅设置简单,方便管理员的管理,而且充分保障了网络的稳定和安全。
高可靠性
支持生成树协议802.1D、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率。
方便易用的网络管理和网络维护
通过堆叠,可提供灵活的端口密度,保证网络的高度灵活和可扩展,网络管理更加简单;
可监听IGMPv1/v2/v3全部版本组播报文,适应不同组播环境,满足组播安全应用的需要;
多端口同步监控,通过一个端口可同时监控多个端口的数据流,可以只监控输入帧,或只监控输出帧,或监控双向帧;
基于源IP地址控制的Telnet、Web、SNMP设备访问控制,避免非法人员和黑客恶意攻击和控制设备,增强了设备网管的安全性;
SNMPv3确保在Telnet和SNMP进程中加密管理信息,保证交换机管理信息的安全性,防止黑客攻击和控制设备;
24口交换机的端口采用了一字排开的设计,以利于网络故障的查找及排除,同时也非常有利于楼道配线架的配线工作;
CLI界面,方便高级用户配置和使用;
Java-basedWeb管理方式,实现对交换机的可视化图形管理,快速和高效地配置设备。
3.产品清单
元素科技网络设备报价
产品型号
产品说明
数量
单价
核心交换机:
RG-S3250-24
24口10/100M自适应端口,2个SFP接口和2个复用的10/100/1000M自适应电口,1个扩展槽,可上堆叠模块和千兆扩展模块,支持DHCPsnooping、硬件ACL、QOS、IGMP
1
6700
接入交换机:
RG-S2026F
24口10/100M交换机,两个扩展槽,可上100M光纤/电口模块
4
2600
网络出口:
电信级防攻击路由器,支持动态ARP绑定,特有锐捷联动管理功能,组播监听
NBR1100
固化带有2个百兆以太网WAN口,4个百兆以太网LAN口,1个Console配置口,一个Console配置口,防ARP欺骗攻击、
1
3500
防火墙:
思科企业级防火墙
ASA5505-UL-BUN-K9
ASA5505AppliancewithSW,ULUsers,8ports,DES
1
6500
23800元
3060元
7800元
:
5000元
27100
换用三个ADSL口的加3000
3.产品清单
元素科技网络设备报价
产品型号
产品说明
数量
单价
核心交换机:
RG-S3250-24
24口10/100M自适应端口,2个SFP接口和2个复用的10/100/1000M自适应电口,1个扩展槽,可上堆叠模块和千兆扩展模块,支持DHCPsnooping、硬件ACL、QOS、IGMP
1
5500
接入交换机:
RG-S2026F
24口10/100M交换机,两个扩展槽,可上100M光纤/电口模块
4
2100
网络出口:
电信级防攻击路由器,支持动态ARP绑定,特有锐捷联动管理功能,组播监听
NBR1100
固化带有2个百兆以太网WAN口,4个百兆以太网LAN口,1个Console配置口,一个Console配置口,防ARP欺骗攻击、
1
3000
防火墙:
思科企业级防火墙
ASA5505-UL-BUN-K9
ASA5505AppliancewithSW,ULUsers,8ports,DES
1
6100
23800元
3060元
7800元
:
5000元
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 方案