目录1.方案拓扑及特点介绍...........................................................................................................................21.1方案拓扑.......................................................................................................................................21.2方案特点介绍...............................................................................................................................31.2.1锐捷产品高性能、高可靠性,保证网络安全稳定运行....................................................31.2.2网络级ARP防护体系............................................................................................................31.2.3MAC绑定,实现安全接入控制............................................................................................31.2.4整合双出口线路,实现负载均衡........................................................................................31.2.5交换机VLAN隔离技术,保障通信安全............................................................................41.2.6完善的Qos策略,保证关键网络应用优先转发................................................................41.2.7强大的防攻击能力和网络病毒防御能力............................................................................41.2.8完善的流量控制,保证网络带宽资源的合理利用............................................................52.方案产品介绍.......................................................................................................................................52.1NBR1100电信级防攻击宽带路由器...........................................................................................52.2RG-S3250安全智能三层交换机..................................................................................................72.3RG-S2026F接入交换机..............................................................................................................103.产品清单...........................................................................................................................................121.方案拓扑及特点介绍1.1方案拓扑本方案全部采用国内三大网络厂商之一的“锐捷网络”的产品。采用出口、核心、接入三层架构的网络解决方案网络层次结构清晰简单。二层网络上实现VLAN划分,出口NBR路由器,内置防火墙,支持自动检测冲击波和震荡波病毒。可识别并阻断机器狗病毒的中毒过程,同时显示试图访问带毒网站的主机信息和带毒网站的IP地址。弹性带宽、智能限速:可针对全网、单个IP或IP段进行上传下载速率的分别弹性限制。全web管理和监控界面,降低网络管理技术门槛。1.2方案特点介绍1.2.1锐捷产品高性能、高可靠性,保证网络安全稳定运行福建星网锐捷网络有限公司是国内三大网络厂商之一,其产品的高性能,高可靠性在国内众多高校(包括川大、电子科技大学等)、金融行业(建行、农行)以及政府机关(四川省委组织部等),国资委企业(四川路桥集团,川投集团,华西集团等)得到了充分的验证,值得信赖。1.2.2网络级ARP防护体系锐捷NBR路由器提供强大的ARP欺骗防御能力,除传统IP/MAC静态绑定防御ARP病毒外,锐捷独家“可信任ARP”专利技术能够实现在不用人工干预的情况下,路由器自动识别欺骗,实现动态IP/MAC地址的绑定。利用路由器提供的“ARP嫌疑主机列表”可以轻松找出ARP欺骗主机,使网络管理更加容易。1.2.3MAC绑定,实现安全接入控制锐捷RG-S2026F智能型网管接入交换机提供的MAC绑定功能,可以确保接入到网络的用户的合法性和唯一性,实现对用户的接入控制;利用该功能可以效避免非法用户的接入(如外来携带笔记本的人员),防止出现外来人员随意接入网络,杜绝非法攻击、盗取文件资料、盗用网络资源等情况。利用该功能可以限制内网用户擅改IP地址,避免出现由于用户擅自修改IP地址导致IP冲突引起其他合法用户无故掉线的情况。1.2.4整合双出口线路,实现负载均衡外网接入部分,通过整合二条ADSL到路由器上,并且使启用负载均衡,使两条ADSL的带宽得到最大化的利用。NBR1100路由器固化带有2个百兆以太网WAN口,可以实现两条ADSL的拨号上网,这样不必改变原有线路,使资源利用最大化。1.2.5交换机VLAN隔离技术,保障通信安全在网络成为必不可少的工具、信息处理成为日常工作的重心后,VLAN技术的运用显得越来越重要。VLAN对于信息系统的意义体现在:1.VLAN可以改善网络的通信效率。因为通信流量只局限于本子网中,不会对其它子网产生干扰。2.VLAN可以避免广播风暴。在较大规模的网络中,大量的广播信息很容易引起网络性能的急剧降低,甚至使网络瘫痪。而VLAN使广播只在子网中进行,不会作无意义的扩散,从而消除了广播风暴产生的条件。3.VLAN大大增强了网络及其信息的安全性。因为子网间无法随意进行访问,信息流通得到相当好的控制。4.VLAN使网络的组织更具灵活性。网络用户在网络中的物理位置不会影响该用户逻辑上的访问权限,也就是说网络规划完全不会受到物理的限制。本方案采用的交换机支持完善的VLAN划分,利用接入交换机和汇聚交换机进行VLAN划分,可以对通信进行有效隔离,例如:隔离不同部门(公司)间的通信,同时配合交换机的访问控制列表ACL,实现不同部门间的安全访问。1.2.6完善的Qos策略,保证关键网络应用优先转发本方案推荐的锐捷交换机拥有完善的Qos策略,以DiffServ标准为核心的QoS保障系统,支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑;通过锐捷交换机的Qos策略可以保证网络的关键应用,满足多种应用数据的复合传输要求,保证关键数据得到最快的响应和转发。1.2.7强大的防攻击能力和网络病毒防御能力强大的防攻技能力,NBR1100路由器轻松抵御20M线速DDOS攻击而CPU利用率不超过30%,其强大的性能和攻击防御能力保证网络的安全稳定运行。同时NPE20路由器还可对内网攻击进行准确定位,轻松锁定攻击主机;同时对攻击主机还能进行网络阻断。强大的防病毒能力,NBR1100可以抵御多种常见网络病毒,强大的内置防火墙,方便灵活设置,摆脱网络病毒的骚扰。1.2.8完善的流量控制,保证网络带宽资源的合理利用锐捷路由器提供基于IP地址的流量控制功能,能够基于IP地址进行流量限制,此外锐捷“弹性带宽”专利技术更可以针对网络带宽利用情况进行弹性限速,在网络出口压力大(带宽占用高)的时候采取较为严格的限速策略,在网络出口压力比较小的时候,路由器自动将每个IP的限速放开,使用户上网感觉更加流畅的同时最大化的利用的网络带宽。同时配合基于IP/MAC的会话数限制,能够有效控制用户使用P2P软件对网络带宽造成的压力,将用户下载速度严格控制在合理范围内,保证其他用户不受影响;同时NAT会话数限制还能在一定程度上防御内网攻击。此外锐捷路由器还提供完善的流量监控,支持按各种策略排序,随时随地了解网络流量状况。2.方案产品介绍2.1NBR1100电信级防攻击宽带路由器NBR1200产品概述NBR1100是锐捷网络公司针对中小型单位推出的电信级宽带路由器,采用MotorolaPowerPC8248高性能专业通讯RISCCPU,固化带有2个10/100M以太网WAN口,4个10/100M的以太网交换式LAN口。先进的硬件架构,出色的小包转发能力。内置高性能防火墙,具备防病毒、防攻击能力。丰富的内网安全特性和智能的带宽管理功能。人性化的WEB管理和监控界面。VRRP多线路负载均衡和线路备份支持VRRP协议,实现多台设备的负载均衡和线路备份,提高网络可靠性和访问速度。在路由器内部固化配置了主要运营商的路由表,实现访问网通资源自动走网通线路,访问电信资源自动走电信线路,彻底解决运营商之间某些网站、服务器无法相互访问或者访问速度低的问题。支持内部PC采用公网IP上网模式,在公网IP模式下,同样支持限速、防ARP地址欺骗、抗攻击等功能。“可信任ARP”打造永不掉线网络特殊的ARP地址学习功能,保证NBR所学习到的IP/MAC为正确的对应关系。实现动态ARP与静态ARP的完美结合,即不受欺骗也能够自动更新绑定。嫌疑主机定位功能可以准确定位ARP病毒源,以便采取相应的人工干预措施。防攻击保证网络安全特别具有强大的防DDoS攻击能力,如SYNflood,UDPflood,ICMPflood,Smurf/Fraggle攻击,分片报文攻击等。具备硬件阻断功能,在启用防内网攻击的情况下,攻击PC在一定时间内被禁止上网,攻击报文被直接硬件过滤,不消耗CPU资源。用20M的线速DDoS攻击,CPU利用率不会高于30%;防Ping扫描。防止来自外部恶意人员、内部不满人员等日益猖獗的网络恶意攻击,保障网络的安全,使网络时刻稳定运行。防病毒保证网络稳定支持域名过滤,阻断对非法网站的访问。自动检测冲击波及蠕虫病毒,支持ACL,通过添加不同规则的防火墙以过滤病毒报文。基于MAC地址的NAT会话数限制,无论病毒如何猖獗,都不会影响其他用户正常上网。“弹性带宽”功能实现全内网带宽资源的智能弹性分配,大幅度提高网络带宽的利用率。在带宽紧张的时候保证每个用户都能分配到一定的保留带宽,在带宽富余的时候为有需求的用户分配更大的带宽。瞬变流量和用户的上下线不会对其它流量造成影响,保证了用户流量的稳定性。配置简单灵活,具备动态停止和自动恢复功能,无须用户干预。独特的硬件端口监控功能提供硬件端口监控功能,可以设置其中某个LAN端口为镜向端口,作为监控口,可以连接公安部的监控机,不会影