锐捷网络方案样本.docx
《锐捷网络方案样本.docx》由会员分享,可在线阅读,更多相关《锐捷网络方案样本.docx(13页珍藏版)》请在冰豆网上搜索。
锐捷网络方案样本
1.方案拓扑及特点简介
1.1方案拓扑
本方案所有采用国内三大网络厂商之一“锐捷网络”产品。
采用出口、核心、接入三层架构网络解决方案网络层次构造清晰简朴。
二层网络上实现VLAN划分,出口NBR路由器,内置防火墙,支持自动检测冲击波和震荡波病毒。
可辨认并阻断机器狗病毒中毒过程,同步显示试图访问带毒网站主机信息和带毒网站IP地址。
弹性带宽、智能限速:
可针对全网、单个IP或IP段进行上传下载速率分别弹性限制。
全web管理和监控界面,减少网络管理技术门槛。
1.2方案特点简介
1.2.1锐捷产品高性能、高可靠性,保证网络安全稳定运营
福建星网锐捷网络有限公司是国内三大网络厂商之一,其产品高性能,高可靠性在国内众多高校(涉及川大、电子科技大学等)、金融行业(建行、农行)以及政府机关(四川省委组织部等),国资委公司(四川路桥集团,川投集团,华西集团等)得到了充分验证,值得信赖。
1.2.2网络级ARP防护体系
锐捷NBR路由器提供强大ARP欺骗防御能力,除老式IP/MAC静态绑定防御ARP病毒外,锐捷独家“可信任ARP”专利技术可以实当前不用人工干预状况下,路由器自动辨认欺骗,实现动态IP/MAC地址绑定。
运用路由器提供“ARP嫌疑主机列表”可以轻松找出ARP欺骗主机,使网络管理更加容易。
1.2.3MAC绑定,实现安全接入控制
锐捷RG-S2026F智能型网管接入互换机提供MAC绑定功能,可以保证接入到网络顾客合法性和唯一性,实现对顾客接入控制;
运用该功能可以效避免非法顾客接入(如外来携带笔记本人员),防止浮现外来人员随意接入网络,杜绝非法袭击、盗取文献资料、盗用网络资源等状况。
运用该功能可以限制内网顾客擅改IP地址,避免浮现由于顾客擅自修改IP地址导致IP冲突引起其她合法顾客无端掉线状况。
1.2.4整合双出口线路,实现负载均衡
外网接入某些,通过整合二条ADSL到路由器上,并且使启用负载均衡,使两条ADSL带宽得到最大化运用。
NBR1100路由器固化带有2个百兆以太网WAN口,可以实现两条ADSL拨号上网,这样不必变化原有线路,使资源运用最大化。
1.2.5互换机VLAN隔离技术,保障通信安全
在网络成为必不可少工具、信息解决成为寻常工作重心后,VLAN技术运用显得越来越重要。
VLAN对于信息系统意义体当前:
1.VLAN可以改进网络通信效率。
由于通信流量只局限于本子网中,不会对其他子网产生干扰。
2.VLAN可以避免广播风暴。
在较大规模网络中,大量广播信息很容易引起网络性能急剧减少,甚至使网络瘫痪。
而VLAN使广播只在子网中进行,不会作无意义扩散,从而消除了广播风暴产生条件。
3.VLAN大大增强了网络及其信息安全性。
由于子网间无法随意进行访问,信息流通得到相称好控制。
4.VLAN使网络组织更具灵活性。
网络顾客在网络中物理位置不会影响该顾客逻辑上访问权限,也就是说网络规划完全不会受到物理限制。
本方案采用互换机支持完善VLAN划分,运用接入互换机和汇聚互换机进行VLAN划分,可以对通信进行有效隔离,例如:
隔离不同部门(公司)间通信,同步配合互换机访问控制列表ACL,实现不同部门间安全访问。
1.2.6完善Qos方略,保证核心网络应用优先转发
本方案推荐锐捷互换机拥有完善Qos方略,以DiffServ原则为核心QoS保障系统,支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整QoS方略,实现基于全网系统多业务QoS逻辑;通过锐捷互换机Qos方略可以保证网络核心应用,满足各种应用数据复合传播规定,保证核心数据得到最快响应和转发。
1.2.7强大防袭击能力和网络病毒防御能力
强大防攻技能力,NBR1100路由器轻松抵抗20M线速DDOS袭击而CPU运用率不超过30%,其强大性能和袭击防御能力保证网络安全稳定运营。
同步NPE20路由器还可对内网袭击进行准拟定位,轻松锁定袭击主机;同步对袭击主机还能进行网络阻断。
强大防病毒能力,NBR1100可以抵抗各种常用网络病毒,强大内置防火墙,以便灵活设立,挣脱网络病毒骚扰。
1.2.8完善流量控制,保证网络带宽资源合理运用
锐捷路由器提供基于IP地址流量控制功能,可以基于IP地址进行流量限制,此外锐捷“弹性带宽”专利技术更可以针对网络带宽运用状况进行弹性限速,在网络出口压力大(带宽占用高)时候采用较为严格限速方略,在网络出口压力比较小时候,路由器自动将每个IP限速放开,使顾客上网感觉更加流畅同步最大化运用网络带宽。
同步配合基于IP/MAC会话数限制,可以有效控制顾客使用P2P软件对网络带宽导致压力,将顾客下载速度严格控制在合理范畴内,保证其她顾客不受影响;同步NAT会话数限制还能在一定限度上防御内网袭击。
此外锐捷路由器还提供完善流量监控,支持按各种方略排序,随时随解决解网络流量状况。
2.方案产品简介
2.1NBR1100电信级防袭击宽带路由器
NBR1200
产品概述
NBR1100是锐捷网络公司针对中小型单位推出电信级宽带路由器,采用MotorolaPowerPC8248高性能专业通讯RISCCPU,固化带有2个10/100M以太网WAN口,4个10/100M以太网互换式LAN口。
先进硬件架构,出众小包转发能力。
内置高性能防火墙,具备防病毒、防袭击能力。
丰富内网安全特性和智能带宽管理功能。
人性化WEB管理和监控界面。
VRRP多线路负载均衡和线路备份
支持VRRP合同,实现多台设备负载均衡和线路备份,提高网络可靠性和访问速度。
在路由器内部固化配备了重要运营商路由表,实现访问网通资源自动走网通线路,访问电信资源自动走电信线路,彻底解决运营商之间某些网站、服务器无法互相访问或者访问速度低问题。
支持内部PC采用公网IP上网模式,在公网IP模式下,同样支持限速、防ARP地址欺骗、抗袭击等功能。
“可信任ARP”打造永不掉线网络
特殊ARP地址学习功能,保证NBR所学习到IP/MAC为对的相应关系。
实现动态ARP与静态ARP完美结合,即不受欺骗也可以自动更新绑定。
嫌疑主机定位功能可以准拟定位ARP病毒源,以便采用相应人工干预办法。
防袭击保证网络安全
特别具备强大防DDoS袭击能力,如SYNflood,UDPflood,ICMPflood,Smurf/Fraggle袭击,分片报文袭击等。
具备硬件阻断功能,在启用防内网袭击状况下,袭击PC在一定期间内被禁止上网,袭击报文被直接硬件过滤,不消耗CPU资源。
用20M线速DDoS袭击,CPU运用率不会高于30%;防Ping扫描。
防止来自外部恶意人员、内部不满人员等日益猖獗网络恶意袭击,保障网络安全,使网络时刻稳定运营。
防病毒保证网络稳定
支持域名过滤,阻断对非法网站访问。
自动检测冲击波及蠕虫病毒,支持ACL,通过添加不同规则防火墙以过滤病毒报文。
基于MAC地址NAT会话数限制,无论病毒如何猖獗,都不会影响其她顾客正常上网。
“弹性带宽”功能
实现全内网带宽资源智能弹性分派,大幅度提高网络带宽运用率。
在带宽紧张时候保证每个顾客都能分派到一定保存带宽,在带宽富余时候为有需求顾客分派更大带宽。
瞬变流量和顾客上下线不会对其他流量导致影响,保证了顾客流量稳定性。
配备简朴灵活,具备动态停止和自动恢复功能,不必顾客干预。
独特硬件端口监控功能
提供硬件端口监控功能,可以设立其中某个LAN端口为镜向端口,作为监控口,可以连接公安部监控机,不会影响网络性能,并且监控口在提供监控功能同步,还可以继续使用,不会影响任何功能。
支持VPN功能
支持GREVPN功能;
支持L2TP/PPTPVPDN应用;
在NAT应用下,支持L2TP/PPTP穿透功能
人性化配备管理
在面板上提供了网络状态批示灯,有“空闲”、“正常”、“繁忙”、“饱和”四种状态,通过批示灯可以轻松判断网络运营状态。
在面板上还提供了告警灯,在受到袭击时告警灯亮,轻松懂得网络与否受到袭击。
美观易用Web管理平台,实现网络设备“零配备”以及“零维护”。
支持中文日记,轻松查看及定位网络事件。
具备升级保护功能,虽然升级下载过程掉电重启,也可正常启动。
2.2RG-S3250安全智能三层互换机
产品概述
RG-S3250-24是锐捷网络基于网络安全和易用好管理理念推出新一代安全智能互换机,充分融合了网络发展需要高性能、高安全、多业务、易用性特点,为顾客提供全新技术特性和解决方案。
RG-S3250互换机在提供智能流分类、完善服务质量(QoS)和组播应用管理特性同步,并可以依照网络实际使用环境,实行灵活多样安全控制方略,可有效防止和控制病毒传播和网络袭击,控制非法顾客使用网络,保证合法顾客合理使用网络资源,充分保障网络安全和网络合理化使用和运营。
S3250提供了SNMP、Telnet、Web和Console口等各种配备方式以便网络管理和维护,并提供最为灵活和完善端口组合形式,非常利于顾客依照网络布线需要,选取所需上行链路接口形式和扩展端口。
RG-S3250可为各种类型网络接入提完善端到端QoS服务质量、灵活丰富安全方略和基于方略网络管理,是校园网、公司网、政务网、业务网、宽带社区、商务楼宇等应用抱负接入设备,为顾客提供高速、高效、安全、智能全新接入方案。
产品特性
全面安全控制方略
●通过与锐捷网络全局安全解决方案GSN结合,可在安全方略方面为顾客提供全面立体三维技术特性和解决方案,完全解除安全威胁、袭击、病毒、ARP欺骗等侵害,还网络一片绿色,让顾客更安心、省心上网;
●硬件实现端口与MAC地址和顾客IP地址灵活绑定,严格限定端口上顾客接入;
●通过将端口设为保护端口即可简朴以便地隔离顾客之间信息互通,保障了信息安全,同步不必占用VLAN资源;
●专用硬件防范ARP网关和ARP主机欺骗功能,有效遏制了网络中日益泛滥ARP网关欺骗和ARP主机欺骗现象,保障了顾客正常上网;
●支持DHCPsnooping,可只容许信任端口DHCP响应,防止未经管理员允许擅自架设DHCPServer,扰乱IP地址分派和管理,影响顾客正常上网;并在DHCP监听基本上,通过动态监测ARP和检查源IP,可有效防范DHCP动态分派IP环境下ARP主机欺骗和源IP地址欺骗;
●基于源IP地址控制Telnet和Web设备访问控制,增强了设备网管安全性,避免黑客恶意袭击和控制设备;
●SSH(SecureShell)和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息安全性,防止黑客袭击和控制设备,保护网络免遭干扰和窃听;
●通过内在各种安全机制可有效防止和控制病毒传播和网络流量袭击,控制非法顾客使用网络,保证合法顾客合理化使用网络,如端口静态和动态安全绑定、端口隔离、各种类型硬件ACL控制(如专家级ACL、时间ACL、顾客自定义ACL)、基于数据流带宽限速、顾客安全接入控制多元素绑定等,满足公司网、校园网加强对访问者进行控制、限制非授权顾客通信需求。
丰富组播特性
●支持IGMP源端口检查功能,有效地杜绝非法组播源,提高网络安全性;
●支持和辨认IGMPv1/v2和IGMPv3所有版本组播报文,适应不同组播环境,避免非法组播数据流占用网络带宽,满足组播安全应用需要。
完善QoS方略
●以DiffServ原则为核心QoS保障系统,支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整QoS方略,实现基于全网系统多业务QoS逻辑;
●具备MAC流、IP流、应用流等多层流分类和流控制能力,实现灵活精细带宽控制、转发优先级等各种流方略,带宽限制粒度达64Kbps,支持网络依照不同业务、以及不同业务所需要服务质量特性,提供差别化服务。
高可靠性
●支持生成树合同8
升级会员 