《锐捷网络方案》由会员分享,可在线阅读,更多相关《锐捷网络方案(13页珍藏版)》请在金锄头文库上搜索。
1、目录1.方案拓扑及特点介绍21.1 方案拓扑21.2 方案特点介绍31.2.1 锐捷产品高性能、高可靠性,保证网络安全稳定运行31.2.2网络级ARP防护体系31.2.3 MAC绑定,实现安全接入控制31.2.4 整合双出口线路,实现负载均衡31.2.5 交换机VLAN隔离技术,保障通信安全41.2.6 完善的Qos策略,保证关键网络应用优先转发41.2.7 强大的防攻击能力和网络病毒防御能力41.2.8 完善的流量控制,保证网络带宽资源的合理利用52.方案产品介绍52.1 NBR1100电信级防攻击宽带路由器52.2 RG-S3250安全智能三层交换机72.3 RG-S2026F接入交换机1
2、03. 产品清单121.方案拓扑及特点介绍1.1 方案拓扑本方案全部采用国内三大网络厂商之一的“锐捷网络”的产品。采用出口、核心、接入三层架构的网络解决方案网络层次结构清晰简单。二层网络上实现VLAN划分,出口NBR路由器,内置防火墙,支持自动检测冲击波和震荡波病毒。可识别并阻断机器狗病毒的中毒过程,同时显示试图访问带毒网站的主机信息和带毒网站的IP地址。弹性带宽、智能限速:可针对全网、单个IP或IP段进行上传下载速率的分别弹性限制。全web管理和监控界面,降低网络管理技术门槛。1.2 方案特点介绍1.2.1 锐捷产品高性能、高可靠性,保证网络安全稳定运行福建星网锐捷网络有限公司是国内三大网络
3、厂商之一,其产品的高性能,高可靠性在国内众多高校(包括川大、电子科技大学等)、金融行业(建行、农行)以及政府机关(四川省委组织部等),国资委企业(四川路桥集团,川投集团,华西集团等)得到了充分的验证,值得信赖。1.2.2网络级ARP防护体系锐捷NBR路由器提供强大的ARP欺骗防御能力,除传统IP/MAC静态绑定防御ARP病毒外,锐捷独家“可信任ARP”专利技术能够实现在不用人工干预的情况下,路由器自动识别欺骗,实现动态IP/MAC地址的绑定。利用路由器提供的“ARP嫌疑主机列表”可以轻松找出ARP欺骗主机,使网络管理更加容易。1.2.3 MAC绑定,实现安全接入控制锐捷RG-S2026F智能型
4、网管接入交换机提供的MAC绑定功能,可以确保接入到网络的用户的合法性和唯一性,实现对用户的接入控制;利用该功能可以效避免非法用户的接入(如外来携带笔记本的人员),防止出现外来人员随意接入网络,杜绝非法攻击、盗取文件资料、盗用网络资源等情况。利用该功能可以限制内网用户擅改IP地址,避免出现由于用户擅自修改IP地址导致IP冲突引起其他合法用户无故掉线的情况。1.2.4 整合双出口线路,实现负载均衡外网接入部分,通过整合二条ADSL到路由器上,并且使启用负载均衡,使两条ADSL的带宽得到最大化的利用。NBR1100 路由器固化带有2个百兆以太网WAN口,可以实现两条ADSL的拨号上网,这样不必改变原
5、有线路,使资源利用最大化。 1.2.5 交换机VLAN隔离技术,保障通信安全在网络成为必不可少的工具、信息处理成为日常工作的重心后,VLAN技术的运用显得越来越重要。VLAN对于信息系统的意义体现在:1. VLAN可以改善网络的通信效率。因为通信流量只局限于本子网中,不会对其它子网产生干扰。2. VLAN可以避免广播风暴。在较大规模的网络中,大量的广播信息很容易引起网络性能的急剧降低,甚至使网络瘫痪。而VLAN使广播只在子网中进行,不会作无意义的扩散,从而消除了广播风暴产生的条件。3. VLAN大大增强了网络及其信息的安全性。因为子网间无法随意进行访问,信息流通得到相当好的控制。4. VLAN
6、使网络的组织更具灵活性。网络用户在网络中的物理位置不会影响该用户逻辑上的访问权限,也就是说网络规划完全不会受到物理的限制。本方案采用的交换机支持完善的VLAN划分,利用接入交换机和汇聚交换机进行VLAN划分,可以对通信进行有效隔离,例如:隔离不同部门(公司)间的通信,同时配合交换机的访问控制列表ACL,实现不同部门间的安全访问。1.2.6 完善的Qos策略,保证关键网络应用优先转发本方案推荐的锐捷交换机拥有完善的Qos策略,以DiffServ标准为核心的QoS保障系统,支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑;通过锐捷交
7、换机的Qos策略可以保证网络的关键应用,满足多种应用数据的复合传输要求,保证关键数据得到最快的响应和转发。1.2.7 强大的防攻击能力和网络病毒防御能力强大的防攻技能力,NBR1100路由器轻松抵御20M线速DDOS攻击而CPU利用率不超过30%,其强大的性能和攻击防御能力保证网络的安全稳定运行。同时NPE20路由器还可对内网攻击进行准确定位,轻松锁定攻击主机;同时对攻击主机还能进行网络阻断。强大的防病毒能力,NBR1100可以抵御多种常见网络病毒,强大的内置防火墙,方便灵活设置,摆脱网络病毒的骚扰。1.2.8 完善的流量控制,保证网络带宽资源的合理利用 锐捷路由器提供基于IP地址的流量控制功
8、能,能够基于IP地址进行流量限制,此外锐捷“弹性带宽”专利技术更可以针对网络带宽利用情况进行弹性限速,在网络出口压力大(带宽占用高)的时候采取较为严格的限速策略,在网络出口压力比较小的时候,路由器自动将每个IP的限速放开,使用户上网感觉更加流畅的同时最大化的利用的网络带宽。同时配合基于IP/MAC的会话数限制,能够有效控制用户使用P2P软件对网络带宽造成的压力,将用户下载速度严格控制在合理范围内,保证其他用户不受影响;同时NAT会话数限制还能在一定程度上防御内网攻击。此外锐捷路由器还提供完善的流量监控,支持按各种策略排序,随时随地了解网络流量状况。2.方案产品介绍2.1 NBR1100电信级防
9、攻击宽带路由器NBR1200产品概述NBR1100是锐捷网络公司针对中小型单位推出的电信级宽带路由器,采用Motorola PowerPC 8248高性能专业通讯RISC CPU,固化带有2个10/100M 以太网WAN口,4个10/100M 的以太网交换式LAN口。先进的硬件架构,出色的小包转发能力。内置高性能防火墙,具备防病毒、防攻击能力。丰富的内网安全特性和智能的带宽管理功能。人性化的WEB管理和监控界面。VRRP多线路负载均衡和线路备份支持VRRP协议,实现多台设备的负载均衡和线路备份,提高网络可靠性和访问速度。在路由器内部固化配置了主要运营商的路由表,实现访问网通资源自动走网通线路,
10、访问电信资源自动走电信线路,彻底解决运营商之间某些网站、服务器无法相互访问或者访问速度低的问题。支持内部PC采用公网IP上网模式,在公网IP模式下,同样支持限速、防ARP地址欺骗、抗攻击等功能。 “可信任ARP”打造永不掉线网络特殊的ARP地址学习功能,保证NBR所学习到的IP/MAC为正确的对应关系。实现动态ARP与静态ARP的完美结合,即不受欺骗也能够自动更新绑定。嫌疑主机定位功能可以准确定位ARP病毒源,以便采取相应的人工干预措施。防攻击保证网络安全特别具有强大的防DDoS攻击能力,如SYN flood,UDP flood,ICMP flood,Smurf/Fraggle攻击,分片报文攻
11、击等。具备硬件阻断功能,在启用防内网攻击的情况下,攻击PC在一定时间内被禁止上网,攻击报文被直接硬件过滤,不消耗CPU资源。用20M的线速DDoS攻击,CPU利用率不会高于30%;防Ping扫描。防止来自外部恶意人员、内部不满人员等日益猖獗的网络恶意攻击,保障网络的安全,使网络时刻稳定运行。防病毒保证网络稳定支持域名过滤,阻断对非法网站的访问。自动检测冲击波及蠕虫病毒,支持ACL,通过添加不同规则的防火墙以过滤病毒报文。基于MAC地址的NAT会话数限制,无论病毒如何猖獗,都不会影响其他用户正常上网。“弹性带宽”功能实现全内网带宽资源的智能弹性分配,大幅度提高网络带宽的利用率。在带宽紧张的时候保
12、证每个用户都能分配到一定的保留带宽,在带宽富余的时候为有需求的用户分配更大的带宽。瞬变流量和用户的上下线不会对其它流量造成影响,保证了用户流量的稳定性。配置简单灵活,具备动态停止和自动恢复功能,无须用户干预。独特的硬件端口监控功能提供硬件端口监控功能,可以设置其中某个LAN端口为镜向端口,作为监控口,可以连接公安部的监控机,不会影响网络性能,并且监控口在提供监控功能的同时,还可以继续使用,不会影响任何功能。支持VPN功能支持GRE的VPN功能;支持L2TP/PPTP的VPDN应用;在NAT应用下,支持L2TP/PPTP的穿透功能人性化的配置管理在面板上提供了网络状态指示灯,有“空闲”、“正常”
13、、“繁忙”、“饱和”四种状态,通过指示灯可以轻松判断网络运行状态。在面板上还提供了告警灯,在受到攻击时告警灯亮,轻松知道网络是否受到攻击。美观易用的Web管理平台,实现网络设备的“零配置”以及“零维护”。支持中文日志,轻松查看及定位网络事件。具有升级保护功能,即使升级下载过程掉电重启,也可正常启动。2.2 RG-S3250安全智能三层交换机产品概述RG-S3250-24是锐捷网络基于网络安全和易用好管理的理念推出的新一代安全智能交换机,充分融合了网络发展需要的高性能、高安全、多业务、易用性特点,为用户提供全新的技术特性和解决方案。RG-S3250交换机在提供智能的流分类、完善的服务质量(QoS
14、)和组播应用管理特性同时,并可以根据网络实际使用环境,实施灵活多样的安全控制策略,可有效防止和控制病毒传播和网络攻击,控制非法用户使用网络,保证合法用户合理使用网络资源,充分保障网络安全和网络合理化使用和运营。S3250提供了SNMP、Telnet、Web和Console口等多种配置方式方便网络管理和维护,并提供最为灵活和完善的端口组合形式,非常利于用户根据网络布线需要,选择所需的上行链路的接口形式和扩展端口。RG-S3250可为各种类型网络接入提完善的端到端的QoS服务质量、灵活丰富的安全策略和基于策略的网络管理,是校园网、企业网、政务网、业务网、宽带小区、商务楼宇等应用的理想接入设备,为用
15、户提供高速、高效、安全、智能的全新接入方案。产品特性全面的安全控制策略l 通过与锐捷网络全局安全解决方案GSN的结合,可在安全策略方面为用户提供全面的立体三维的技术特性和解决方案,完全解除安全威胁、攻击、病毒、ARP欺骗等侵害,还网络一片绿色,让用户更安心、省心上网;l 硬件实现端口与MAC地址和用户IP地址的灵活绑定,严格限定端口上的用户接入;l 通过将端口设为保护端口即可简单方便地隔离用户之间信息互通,保障了信息安全,同时不必占用VLAN资源;l 专用的硬件防范ARP网关和ARP主机欺骗功能,有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象,保障了用户的正常上网;l 支持DHCP snooping,可只允许信任端口的DHCP响应,防止未经管理员许可私自架设DHCP Server,扰乱IP地址的分配和管理,影响用户的正常上网;并在DHCP监听的基础上,通过动态监测ARP和检查源IP,可有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗;l 基于源IP地址控制的Telnet和Web设备访问控制,增强了设备网管的安全性,避免黑客恶意攻击和控制设备;l SSH(Secure Shell)和SNMPv3
