大型企业网络解决方案技术白皮书

大型企业网络解决方案技术白皮书内容摘要：

案 简介 基础网络平台 解决方案 基础平台建设需求  实现企业内资源共享，提供管理应用系统，实现企业办公自动化  接入 Inter，共享网络资源  企业拥有自己的 IP 地址和域名  建立企业 Email 系统和内部通讯系统  在公司主机上建立网站，提供对外宣传的信息平台 基础平台解决方案  高性能 企业网核心设备采用锐捷面向十万兆平台推出的企业 级核心路由交换机 8610。 RGS8600 系列万兆核心路由交换机提供 ，并支持将来更高带宽的扩展能力，提供1190Mpps/595Mpps 的数据转发能力，每线卡提供高达 200G 的交换能力，满足高密度的千兆 /万兆端口线速转发，并且支持未来 100G 接口的扩展。 10 出口采用路由器 +防火墙的方式部署，路由器负责 NAT 和路由功能，防火墙启用安全策略，两台设备各司其职，很好的提高了网络的性能。 在网络出口处使用锐捷网络 RGWALL1600 防火墙的双机负载均衡（ HA 高可用性）功能， 实现了 2 台防火墙 的负载均衡和双机热备，确保出口的高度稳定可用性。 2 台防火墙组成 HA（高可用性）  正常时， 2 台防火墙是负载均衡  当其中一条链路或设备出现故障时，会话迅速转移到另外一台防火墙。  最终实现了 2 台防火墙的负载均衡和双机热备，确保出口的高度稳定可用性。 特点：不同的工作由不同的设备来完成，网络的性能很高，二台防火墙启用 HA 功能，实现流量的负载分担和冗余备份，在双出口的环境中，确保了网络的稳定可靠性。  强大的安全稳定保障 关键部件的安全稳定 主机支持冗余的管理模块、冗余的电源模块、各种模块热拔插等安全稳定保障技术。 两个管理模块之间支持负载均衡工作模式 ，可支持主备和并发两种工作模式，提供更为强大的冗余能力和处理性能。 主机监控显示屏可直接显示交换机名、 CPU 利用率、内存利用率、管理模块与线卡温度、风扇和电源工作状态、持续工作时间等，提供及时的设备关键状态查看，提升系统安全稳定的维护能力。 主机实时检测 CPU的使用状态，并提供业界领先的硬件 CPU 保护技术（ CPP， Control Plane Policy）， CPP 技术对发往 CPU 的数据进行流区分和流限速，避免非法攻击包对 CPU 的攻击和资源消耗。 病毒和攻击防护 采用硬 件方式提供多种安全防护能力，例如防 DDOS 攻击、非法数据包检测、数据加密、防源 IP 地址欺骗等等，避免了传统软件实现方式对整机性能的影响。 提供业界最为强大的 ACL 特性，基于 SPOH 技术提供 IP 标准、 IP 扩展、 MAC 扩展、时间、专家级等丰富的 ACL 技术，支持 IPV4/IPV6 双栈下的输入输出 ACL。 提供线卡分布式的 IPFIX 监控技术，及时发现网络中的异常流量，有助于提早发现网络中病毒和攻击等不安全行为，并通过流量监控技术提供的详细异常流量数据信息，识别攻击源或攻击手段。 11 持同时启用多组的多端口同步监控技术， 并且支持灵活的输入、输出、双向数据镜像，满足灵活的网络监控需求，提升网络监控能力。 设备管理安全 提供 SSHv1/v2 的加密登陆和管理功能，避免管理信息明文传输引发的潜在威胁 ； Tel/Web 登录的源 IP 限制功能，避免非法人员对网络设备的管理 ； SNMPV3 提供加密和鉴别功能，可以确保数据从合法的数据源发出，确保数据在传输过程中不被篡改，并且加密报文，确保数据的机密性。 接入安全 硬件支持 IP、 MAC、端口绑定，提高用户接入控制能力 ； 支持 技术，满足 6 元素绑定接入限制 ； 支持 IGMP 源端口 检查、源 IP 检查、 IGMP 过滤等功能，可有效控制非法组播源，提高网络安全 ； IGMP V3 支持通告客户端主机希望接收的多播源服务器的地址，避免非法的组播数据流占用网络带宽 ； 通过 PVLAN（端口保护）隔离用户之间信息互通，不必占用 VLAN 资源 ； 支持根据带宽速率或带宽百分比进行未知名报文、多播包、广播包进行控制 ； 端口 MAC 地址锁、 MAC 地址过滤、端口 MAC 地址接入数量限制功能可以屏蔽非法主机的接入和非法数据包进入网络。  灵活可扩展 核心交换机 RGS8610 拥有 10 个扩展插槽，提供管理模块冗余、电源冗余 、 引擎冗余 ，通过灵活性和模块化的方式平滑升级网络功能和扩展网络规模，满足不断增长的教学和管理的网络需求。 RGS8600 提供业界领先的集成万兆防火墙模块 M8600FW，可以为用户提供无以伦比的安全性、可靠性和性能。 RGS8600 提供业界领先的集成负载均衡模块 M8600LB，具有 7 层应用交换功能，提供服务器、防火墙、入侵检测等设备的负载均衡功能。  端到端 QoS 锐捷网络为用户提供了完整的 QoS 解决方案，采用了 RSVP、 DiffServ、 等控制结构和协议，通过其系列产品构成差别服务网络（ DiffServ），并通过流量控制功能提供 RSVP 性能。 锐 12 捷网络还采用优先级队列、动态队列调度、拥塞避免等控制机制有效地为不同的应用提供 QoS服务。 锐捷网络的 QoS 解决方案可为网络中的各种数据流提供最优的性能。 全面的 QoS 基础策略：多层次的优先级队列、拥塞控制、带宽定制 基于策略的网络管理 为完成 QoS 的目标，网络的各个部分和管理软件必须提供为每类流量或单个数据流保证带宽和延时特性（延迟及抖动）的能力。 锐捷网络产品综合了基于硬件的流量分类、排队及策略机制来线速地保证 QoS。 锐捷网络产品的 QoS 机制 由四个部分构成：应用于差别服务的数据流分类技术（ DiffServ，）、队列调度策略（排队策略）、队列管理策略（ RED 算法）、带宽限制技术（ CAR）。 解决方案的价值  从实时设备获得可重复的、准确的数据，从而确保业务的持续有效运营  通过冗余的设计提高网络和系统的可靠性，提高业务运营的安全性和完整性  通过将所有数据与业务系统集成在一起，让员工可以在需要的时候获取重要的信息，有助于提高业务效率和决策能力  关键业务优先处理，构建企业的核心竞争力  简易便捷的网络扩容，降低企业运营成本 移动互联网络 解决方案 无线网络解决方案 I. 企业无线网络建设需求 对于采用无线网络技术来构建新型企业网络，其要求将具备多样性，主要有以下方面 ： 1. 要有很强的灵活性 目前各企业网络应用方式趋于多样性，随着便携设备的普及，人们在日常工作中采用便携设备如笔记本电脑等的比例逐步上升，这就要求企业网络必须适应各个用户的移动性，保证用户在办公、会议、生产等日常工作活动中的不同地点的网络访问要求。 而且，传统的布线规划不可能为了考虑今后的扩展性而留出很多端口，一般一个办公室仅有一到两个进口，遇到扩容，就要加交换机，同时再进行内部布线，这样不但布局打 乱，还增加了后期的投入成本。 13 因此，利用无线局域网技术，可以不用考虑这些问题，只要有网线不到附近任意地方，处于无线辐射半径范围内，增加用户仅仅是增加客户端网卡的工作，大大简化了接入层部分区域网络扩容的问题。 对于新建成的无线网络，必要首先满足稳定的、灵活的高速网络访问。 2. 要具备不亚于有线网络的安全防护手段 随着企业网内用户数量的增多，各种用户的网络访问被划分的更加详细，不同的访问相互之间不希望有越权的情况，另外，一些重要的数据如财务数据、行政办公数据、生产数据等，不希望在无线网络传输中被非法窃取。 因此，安全的 无线网络非常必要。 对于需求建设的无线网络，必须在用户接入访问控制、访问行为、传输安全等方面都慎密考虑，不能使无线网络成为整个网络的安全隐患。 3. 管理简单 无线 部署时地理位置比较分散，用户接入比较灵活，分布范围广，需要重点考虑对无线设备和接入用户进行集中管理。 需要全网无线统一管理控制，能够远程无线定位 AP 的位置。 4. 运营特性强，投资保护 目前企业的网络半径已经逐步突破内部网、生产办公网，继而扩大到可以为职工家属区提供宽带服务的范畴，这就是未来的企业宽带社区的概念，为进一步打造企业文化、提高企业职工凝聚力、为企 业职工提供丰富的生活服务。 从某种意义上讲，企业特别是大的企业，在有能力为员工生活提供宽带服务、甚至为周边企业提供宽带服务的时候，就已经是个准运营商的角色，这就要求在网络构建时，采购的设备充分考虑到这一重要因素。 在处于接入层的无线接入设备同样要支持相关的管理模式以及运营计费功能。 无线接入产品要求与有线以太网交换机产品一样，全面支持基于 AAA级（认证、授权、计费）的运营模式，使得用户不论处于企业宽带社区的那个角落，只要是无限覆盖的范围内，就必须经过相应的 AAA 模式才能合法的访问宽带网络，真正做到整网可运营、可 管理。 II. 企业无线网络解决方案 锐捷网络根据目前国内大中型企业的实际情况及将来的技术发展趋势，创新的采用无线局域网技术融入企业网络解决方案，能够充分利用无线可移动性的前提，为全国包括研究所、生产制造企业、政府办公、高科技创业园区、三甲医院、甲级写字楼、大型网吧、期货公司等超过 200家大型企事业单位提供了优质的无线网络成功案例。 事实证明，采用无线局域网技术和企业网 14 生产 /办公应用系统相结合，可以平均增加网络日访问时间近 1小时，提高生产效率达 12%，是非常符合现代化企业信息化发展的解决方案。 大中型企事业对于无线网络访问主要关注在于网络的稳定覆盖、带宽容量的保证、安全准入的保障、与有线网络和软件系统的协调性和兼容性。 针对这些需求，锐捷网络创新推出新一代无线接入点产品――双路双频三模无线接入点产品系列，该系列产品可提供比传统无线接入点产品高一倍的带宽、 个企业园区的无缝覆盖、包含 MultiBSSID/WEP/WPA/，同时，在全国超过 400家高等院校、 7大银行 /保险公司的全国应用，以及超过 200家大型企事业单位的规模 使用，证明了产品与多家厂商的软 /硬件产品的成熟兼容性。  高带宽容量 锐捷网络的室内型无线接入点 AP产品为 RGP720/780均率先在业内采用了双路双频三模高速芯片组设计，同时提供双路硬件系统架构，可同时支持工作于 协议，可支持高达 108Mbps的信道带宽，提供基于 VLAN划分，同时可适应 40℃～＋ 65℃的高温度范围，可完全覆盖室外大范围区域和大量的并发用户流畅的上网访问， 为无线用户在移动中带来丝毫不亚于有线网络访问的感受。  大范围无缝 覆盖 15 锐捷网络的室内高增益型无线局域网接入点产品的品射频功率均达到了 20dBm（ 100mW），并随机配有 5dBi智能全向式天线系统。 可在整个室内 /外创造完全覆盖的信号覆盖强度，可保证各角落采样信号强度均达到了 70%以上，长时间无间断 Ping测试无丢包，可完全避免信号的衰减和带宽，保证了室内用户的网络访问。 同时，无线接入点产品均具备智能功率调整和信道自动选择技术，可根据环境自动调整信道发射功率，避免无效发射和近距离大功率地面压制，同时，智能信道选择技术，可避免在同区域受到邻近频段设备的干扰，避免因同频干扰导致 的工作不稳定和接收灵敏度下降。 同时，该产品支持 PoE以太网供电技术，可以支持设备在楼内距离电源 100米的范围内仍然可以随意部署，大大简化了设备安装和部署的难度。 在室外区域，采用双路双频三模无线接入点产品，相当于支持独立的两套无线接入点的功能，可以分别支持两组天线独立工作，每路的射频功率为 20dBm，并随机附带了两根双频全向室外天线，另外，为了保证对植物密度较高、半径距离超过 100～ 300米的区域（如广场、车间厂房、大型露天会场等）完成覆盖，且保证每个角落的信号强度不低于 70％， 在方案中增加了随机配备的双频定向天线产品，可以保证无障碍下的远距离覆盖和障碍物穿透能力。 同时，该产品同样支持 PoE以太网供电技术，可以完全解决支持室外型设备室外取电难的问题，大大简化了设备安装和部署的难度。  多安全防御手段 本方案中的产品可提供支持包括 SSID禁止广播、 WEP机密、 WPA认证、 、 EAP扩展认证、VLAN划分等多项安全防御方法，将有效的提高无线网络的安全防御能力。 SSID（无线标识符）是用于无线终端与接入点匹配以获得通信的明文密码，对于初级安全防范有一定作用，且配置快速简单，非常适合室外无线覆盖使用。 尤其是启用了目前先进的 SSID广播禁止功能之后，由于空中不再广播明文的 SSID号码，使得那些拥有截获 SSID密码的无线终端非法访问网络。 WEP（有线等效密钥）和 WPA/WPA2（接入保护）技术的出现，可以通过大量的密文加密位和动态的密钥协议（ TKIP/AES），为非法访问者制造难以攻破的障碍，从而避免网络安全事件的发生。 对于室内 /室外型 AP产品，由于其分别开放于室内高密度访问和室外环境，面对的是所有用户群体，对不同的用户群体的权限和身份识别则成为必须 的功能。 因此， AP产品应选择具备MultiBSSID划分和 VLAN功能的无线产品，协助接入层无线用户与接入层交换机用户同样接。