《办公楼网络升级解决方案建议书.doc》由会员分享,可在线阅读,更多相关《办公楼网络升级解决方案建议书.doc(37页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、办公楼网络升级解决方案建议书第1章 项目背景天津市自来水集团静海水务有限公司是天津市自来水集团有限公司下属的子公司,系国有独资企业,独立法人。公司主要从事自来水、中水的生产、供应;供水工程施工和供水设施的养护、维修;污水处理。公司于2004年7月成立,前身是天津市静海县建设管理委员会自来水供应站,注册资本2800万元,截止2010年底总资产2.5亿元。公司下辖大邱庄分公司、华静污水处理厂,并负责县城西城污水处理厂的运行、管理,下设有8个职能科室,现有职工150人。公司目前主要负责静海县城、团泊新城、静海县经济开发区、大邱庄等区域的自来水供应,供水面积32平方公里,主要供水管网总长488公里,服
2、务人口16万。公司建有静海县城东水厂、大邱庄水厂两座现代化加压泵站,其工艺设施、自动化程度在天津市同类水厂中属先进水平。随着单位内信息化办公比例日益提高,且天津市自来水集团静海水务有限公司办公楼网络原有网络由于设备只用年限较长,已经无法满足信息中心内部员工的网络需求。急需升级改造,通过设备和链路的更新以及增加其它相关设备满足服务器区的安全隔离需求。第2章 方案概述天津市自来水集团静海水务有限公司网络部分分为监控区、数据中心区、前端接入区以及办公区。为了保证整网链路稳定,需要建设一套高性能、高可靠性、可支持未来5-10年的使用需求。高性能的网络建成后,办公楼网络可以提供VoIP、视频学习、视频会
3、议等增值服务。第3章 方案需求1. 信息化、电子化管理和办公是未来发展方向,信息化规模不断壮大,业务系统也会不断增加,方案设计需满足公司未来510年发展需要;2. 网络采用分层设计,满足不同功能区对网络性能、功能等多方面得需求;3. 此网络连接所有办公终端设备,需要充分考虑此网络的安全风险,上网行为可管理。4. 应通过此次的网络建设,采用新技术,提高工作效率,提高企业办公力;5. 项目预期:通过此核心业务承载网络的建设,加强天津市自来水集团静海水务有限公司信息化办公和办公水平,实现企业信息化和工业化融合,提升信息中心办公效率。第4章 网络方案天津市自来水集团静海水务有限公司办公网,为了保证当前
4、以及今后几年对于网络应用需求,本次设计使用一套集先进性、可扩展性、高性能的整体解决方案,为未来静海县水务局办公业务网络和设备网提供承载保障。保证稳定、流畅、安全的办公网络环境。同时为下一阶段各环境监测点的接入做好准备工作。4.1 设计原则4.1.1 先进性系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对先进成熟,整个系统的生命周期应有比较长的时间,可以在信息技术不断发展的今天,在系统建成以后比较长的一段时间内能满足用户需求增长的需要;不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证网络建设的领先地位,采用千兆以太网技术构建网络主干线路,信息
5、终端百兆千兆接入结合保证数据传输通畅。4.1.2 可扩展性系统必须具有良好的可扩充性,在系统结构、系统容量与技术方案等方面必须具有升级换代的可能,核心设备必须采用模块化的结构,跟踪网络发展的前沿方向,符合网络的发展趋势并具有充分的扩展性。4.1.3 高性能网络链路和设备具备足够高的数据转发能力,保证各种信息的高质量无阻塞传输;交换系统具有很高的交换容量与多服务支持的能力,保证网络服务的质量。4.1.4 规范化和标准化网络体系结构、通信协议的设计和开发必须按照国家或行业标准进行,要模块化、结构化,以便于信息共享和交流及将来的维护。4.2 办公网改造方案 4.2.1 原有网络设备 现有网络使用了一
6、台cisco3750系列作为核心交换机,汇聚交换机使用华为3700系列交换机。使用百兆到桌面,千兆级联的解决方案,在信息化办公日益高度密集的今天,现有设备已经无法满足日后5-10年的需要。同时内网服务器直连至核心交换机。没有专有的安全和认证系统,难以保证水务局内网办公的安全性以及数据中心区域的安全性。4.2.2 改造方案 天津市自来水集团静海水务有限公司办公楼内网采用层级化架构,便于设备分层化管理。在四楼机房部署一台模块化核心交换机,各楼层接入交换机通过千兆光纤上联至核心交换机。为办公业务提供足够的带宽资源。各楼层接入交换机采用千兆交换机设备,实现“千兆到桌面”,满足内网用户的流畅使用需求之外
7、,满足未来5-10年的信息化发展需求。 在数据中心区域部署两台数据中心及交换机,通过虚拟化技术将两台交换机虚拟为一台逻辑交换机。保证数据中心设备的容灾性。考虑到服务器区业务的重要性,以及对安全性的需求,在服务器区新增一台防火墙设备,以实现隔离来自办公楼内以及来自外部的入侵及攻击行为。RG-WALL下一代防火墙采用RG-Slab锐捷网络安全研究组最新发表的HiSpeed安全处理算法,突破硬件处理器对应用层安全检测的性能瓶颈,能以高性能提供防病毒、IPS、行为监管、反垃圾邮件模块。支持深度状态检测、外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;提
8、供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持GRE、L2TP、IPSec和SSL等多种全面的VPN业务,可以构建多种形式的VPN;提供强大的路由能力,支持NAT、静态/RIP/OSPF/路由策略及策略路由;支持双机状态热备,支持Active/Active和Active/Standby两种工作模式以及丰富的QoS特性,充分满足客户对网络高可靠性的要求。部署网络运维管理系统,实现对整网设备的统一配置,统一部署。极大地节省了工作时间和工作繁杂度。可定义管理任务,主动收集网络状况并及时备份,做到状态变更的及时响应,出现故障可及时恢复;提
9、供美观的网络拓扑图展现效果,俯瞰整个网络现状,出现异常时,在拓扑图上及时呈现。在核心交换机侧部署一台一体化接入网关设备,该设备拥有业务加速通道、精准流控、上网行为管理、可视化VPN、智能选路、防火墙、高性能的NAT、Web认证等多个功能。满足前端水厂的裸纤接入以及环境监测点的vpn活公网接入需要。 产品配置清单:产品型号产品说明数量备注核心交换机RG-S6000-24GT/8SFP数据中心交换机,固化24个10/100/1000M自适应电接口,复用8个SFP接口(SFP为千/百口),2个扩展槽,固化风扇,不含电源模块1RG-M6000-AC500S6000系列电源模块,必配1块,支持1+1电源
10、冗余2 M6000-02XS2端口SFP+万兆LC扩展模块,适用于S6000系列2 服务器接入交换机RG-S6000-24GT/8SFP数据中心交换机,固化24个10/100/1000M自适应电接口,复用8个SFP接口(SFP为千/百口),2个扩展槽,固化风扇,不含电源模块2 RG-M6000-AC500S6000系列电源模块,必配1块,支持1+1电源冗余2 M6000-02XS2端口SFP+万兆LC扩展模块,适用于S6000系列2 接入交换机RG-S2928G-E24口10/100/1000M自适应电口交换机,4个SFP光口10 GE-SFP-STACK1.6M含2个SFP堆叠模块和1根堆叠
11、线缆,可提供单向2.5G带宽10POE交换机RG-S2928G-24P24口10/100/1000M自适应电口(最多支持24口PoE供电或12口PoE+远程供电),4口SFP非复用端口,每端口最大PoE功率输出30W,整机输出最大PoE功率为370W2 防火墙RG-WALL 1600-EA高端千兆防火墙;提供12个千兆Combo接口,1个百兆管理口;配置冗余电源,2U;可选配防病毒、防攻击、应用管理等增强特性授权;自带10个IPSec/SSL VPN客户端授权1 RG-WALL 1600EA-AV-1YRG-WALL 1600-EA防病毒特征库授权1年3 RG-WALL 1600EA-IPS-
12、1YRG-WALL 1600-EA防攻击特征库授权1年3 RG-WALL 1600EA-APP-1YRG-WALL 1600-EA应用特征库授权1年3 网络运维管理软件RG-SNC-Pro-Base 智能网络指挥官基础组件,不含节点 1 RG-SNC-Pro-Topo 智能网络指挥官拓扑管理组件,可提供拓扑展示 1 RG-SNC-Pro-License-50 SNC 软件License,每个License可增加50个设备节点授权许可 1 模块Mini-GBIC-LX1000BASE-LX mini GBIC转换模块(1310nm)5 第5章 设备选型5.1 核心交换机RG-S6000-24GT
13、/8SFPl 构建无阻塞数据中心网络 RG-S6000系列面向下一代数据中心与云计算交换机均为线速产品,最大支持48个千兆接口和8个万兆接口,所有端口均可全线速转发,符合数据中心流量“东西走向”的发展趋势,适用于大流量的下一代数据中心无阻塞组网需求。l 数据中心虚拟化特性支持VSU2.0(Virtual Switch Unit)虚拟交换单元技术,将多台物理设备虚拟化为一台逻辑设备,统一运行管理,减少网络节点,增加网络可靠性。可实现50200ms链路故障快速切换,保障关键业务不中断传输。支持跨设备链路聚合,方便接入服务器/交换机实现双活链路上联。支持VEPA(虚拟以太网端口聚合,IEEE标准),
14、能够将虚拟机产生的数据流牵引到物理网络设备上进行“硬交换”,让虚拟机交换功能重新回归到网络设备,既解决了虚拟机流量监管、访问控制策略统一部署等问题,又消除传统“软交换”对服务器资源的占用,使下一代数据中心网络解决方案更好适应虚拟化计算环境。支持虚拟机感知及安全策略自动迁移,有效实现大规模服务器虚拟化应用环境中虚拟机流量的安全控制策略统一部署,并通过数据中心网络管理平台配合数据中心交换机、虚拟机管理控制平台,实现虚拟主机全网范围内自由迁移时对应安全控制策略的同步迁移,消除服务器虚拟化环境中网络安全漏洞,减少网络维护工作量。l 电信级可靠性保护RG-S6000系列支持双电源冗余,使用模块化电源供电
15、,电源及接口板均支持热插拔,并采用过流保护、过压保护和过热保护技术,具备设备级可靠性保障。除了设备级可靠性以外,该系列还支持丰富的链路可靠性技术,比如国际标准以太网环网保护协议G.8032(ERPS),REUP链路快速切换机制、RLDP快速链路故障检测机制,以及VRRP虚拟路由器冗余协议、STP/RSTP/MSTP生成树协议、GR完美重启、BFD快速转发检测等国际通用标准。当网络上承载多业务、大流量的时候也不影响网络的收敛时间,保证业务的正常开展。l IPv4/IPv6双栈协议多层交换l硬件支持IPv4/IPv6双协议栈多层线速交换,硬件区分和处理IPv4、IPv6协议报文,支持多种Tunne
16、l隧道技术(如手工配置隧道和 ISATAP隧道等等),可根据IPv6网络的需求规划和网络现状,提供灵活的IPv6网络间通信方案。支持丰富的IPv4路由协议,包括静态路由、RIP、OSPF、BGP4等,满足不同网络环境中用户选择合适的路由协议灵活组建网络。支持丰富的IPv6路由协议,包括静态路由、RIPng、OSPFv3、BGP4+等,不论是在升级现有网络至IPv6网络,还是新建IPv6网络,都可灵活选择合适的路由协议组建网络。l 灵活完备的安全策略l支持多种内在保护机制,可以有效防范和控制病毒传播和黑客攻击,如预防DoS攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等
17、,还网络一片绿色。支持基于硬件的IPv6 ACL,即使在IPv4网络内有IPv6用户,也可轻松在网络边缘实现对IPv6用户的访问控制,既可允许网络内IPv4/IPv6用户并存,也可以对IPv6用户的访问权限进行控制,比如限制对网络敏感资源的访问等。业界领先的硬件CPU保护机制:特有的CPU保护策略(CPP技术),对发往CPU的数据流,进行流区分和优先级队列分级处理,并根据需要实施带宽限速,充分保护CPU不被非法流量占用、恶意攻击和资源消耗,保障了CPU安全,充分保护了交换机的安全。硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定,严格限定端口上的用户接入或交换机整机上的用户接入问题
18、。支持DHCP snooping,可只允许信任端口的DHCP响应,防止私设DHCP Server的欺骗;并在DHCP监听的基础上,通过动态监测ARP和检查用户的IP,直接丢弃不符合绑定表项的非法报文,有效防范ARP欺骗和用户源IP地址的欺骗问题。基于源IP地址控制的Telnet访问控制,避免非法人员和黑客恶意攻击和控制设备,增强了设备网管的安全性。SSH(Secure Shell)和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备。控制非法用户使用网络,保证合法用户合理化使用网络,如多元素绑定、端口安全、时间ACL、基于数据流的带
19、宽限速等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。l 完善的管理性支持丰富的管理接口,例如Console、带外网口,支持SNMPv1/v2/v3,支持通用网管平台以及BMC等业务管理软件。支持CLI命令行,Web网管,TELNET,集群管理,使设备管理更方便,并且支持SSH2.0、SSL等加密方式,使得管理更加安全。支持SPAN/RSPAN镜像和多个镜像观察端口,可以对网络流量进行分析以采取相应管理维护措施,使原本不可见的网络业务应用流量变得一目了然,可以为用户提供多种网流分析报表,帮助用户及时优化网络结构,调整资源部署。5.2 数据中心交换机RG-S6000-24G
20、T/8SFPl 构建无阻塞数据中心网络 RG-S6000系列面向下一代数据中心与云计算交换机均为线速产品,最大支持48个千兆接口和8个万兆接口,所有端口均可全线速转发,符合数据中心流量“东西走向”的发展趋势,适用于大流量的下一代数据中心无阻塞组网需求。l 数据中心虚拟化特性支持VSU2.0(Virtual Switch Unit)虚拟交换单元技术,将多台物理设备虚拟化为一台逻辑设备,统一运行管理,减少网络节点,增加网络可靠性。可实现50200ms链路故障快速切换,保障关键业务不中断传输。支持跨设备链路聚合,方便接入服务器/交换机实现双活链路上联。支持VEPA(虚拟以太网端口聚合,IEEE标准)
21、,能够将虚拟机产生的数据流牵引到物理网络设备上进行“硬交换”,让虚拟机交换功能重新回归到网络设备,既解决了虚拟机流量监管、访问控制策略统一部署等问题,又消除传统“软交换”对服务器资源的占用,使下一代数据中心网络解决方案更好适应虚拟化计算环境。支持虚拟机感知及安全策略自动迁移,有效实现大规模服务器虚拟化应用环境中虚拟机流量的安全控制策略统一部署,并通过数据中心网络管理平台配合数据中心交换机、虚拟机管理控制平台,实现虚拟主机全网范围内自由迁移时对应安全控制策略的同步迁移,消除服务器虚拟化环境中网络安全漏洞,减少网络维护工作量。l 电信级可靠性保护RG-S6000系列支持双电源冗余,使用模块化电源供
22、电,电源及接口板均支持热插拔,并采用过流保护、过压保护和过热保护技术,具备设备级可靠性保障。除了设备级可靠性以外,该系列还支持丰富的链路可靠性技术,比如国际标准以太网环网保护协议G.8032(ERPS),REUP链路快速切换机制、RLDP快速链路故障检测机制,以及VRRP虚拟路由器冗余协议、STP/RSTP/MSTP生成树协议、GR完美重启、BFD快速转发检测等国际通用标准。当网络上承载多业务、大流量的时候也不影响网络的收敛时间,保证业务的正常开展。l IPv4/IPv6双栈协议多层交换l硬件支持IPv4/IPv6双协议栈多层线速交换,硬件区分和处理IPv4、IPv6协议报文,支持多种Tunn
23、el隧道技术(如手工配置隧道和 ISATAP隧道等等),可根据IPv6网络的需求规划和网络现状,提供灵活的IPv6网络间通信方案。支持丰富的IPv4路由协议,包括静态路由、RIP、OSPF、BGP4等,满足不同网络环境中用户选择合适的路由协议灵活组建网络。支持丰富的IPv6路由协议,包括静态路由、RIPng、OSPFv3、BGP4+等,不论是在升级现有网络至IPv6网络,还是新建IPv6网络,都可灵活选择合适的路由协议组建网络。l 灵活完备的安全策略l支持多种内在保护机制,可以有效防范和控制病毒传播和黑客攻击,如预防DoS攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略
24、等,还网络一片绿色。支持基于硬件的IPv6 ACL,即使在IPv4网络内有IPv6用户,也可轻松在网络边缘实现对IPv6用户的访问控制,既可允许网络内IPv4/IPv6用户并存,也可以对IPv6用户的访问权限进行控制,比如限制对网络敏感资源的访问等。业界领先的硬件CPU保护机制:特有的CPU保护策略(CPP技术),对发往CPU的数据流,进行流区分和优先级队列分级处理,并根据需要实施带宽限速,充分保护CPU不被非法流量占用、恶意攻击和资源消耗,保障了CPU安全,充分保护了交换机的安全。硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定,严格限定端口上的用户接入或交换机整机上的用户接入问
25、题。支持DHCP snooping,可只允许信任端口的DHCP响应,防止私设DHCP Server的欺骗;并在DHCP监听的基础上,通过动态监测ARP和检查用户的IP,直接丢弃不符合绑定表项的非法报文,有效防范ARP欺骗和用户源IP地址的欺骗问题。基于源IP地址控制的Telnet访问控制,避免非法人员和黑客恶意攻击和控制设备,增强了设备网管的安全性。SSH(Secure Shell)和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备。控制非法用户使用网络,保证合法用户合理化使用网络,如多元素绑定、端口安全、时间ACL、基于数据流的
26、带宽限速等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。l 完善的管理性支持丰富的管理接口,例如Console、带外网口,支持SNMPv1/v2/v3,支持通用网管平台以及BMC等业务管理软件。支持CLI命令行,Web网管,TELNET,集群管理,使设备管理更方便,并且支持SSH2.0、SSL等加密方式,使得管理更加安全。支持SPAN/RSPAN镜像和多个镜像观察端口,可以对网络流量进行分析以采取相应管理维护措施,使原本不可见的网络业务应用流量变得一目了然,可以为用户提供多种网流分析报表,帮助用户及时优化网络结构,调整资源部署。5.3 网络运维管理软件RG-SNCl 设备
27、配置的防灾保护配置快照:系统可以按照用户的需要定期采集设备配置文件,对设备配置信息进行备份,一旦设备配置被破坏,管理员可轻松实现设备配置恢复。配置比对:系统可自动比对每次备份后的系统配置,一旦发生变更后可告知管理员,并方便的查看变更内容,便于风险管理。l 设备系统文件统一管理和规划设备软件统计:系统提供统计信息,详细描述网内应用的设备型号、软件版本信息,为用户统一规划设备版本提供帮助。设备软件批量上传下载:提供设备软件批量上传下载功能,无需动用大量的人力物力,即可实现网内设备应用版本一致,并详细统计版本信息。l 俯瞰完整的网络信息拓扑管理:强大的二、三层网络拓扑发现能力,并通过拓扑图进行自动的
28、布局呈现,可根据用户需求自定义拓扑图来呈现所关注的设备情况。提供准确的定位查询功能,提供完整的设备列表,允许用户按照自己的需要对设备进行分组管理呈现。 网络听诊器:定期对网络响应状态进行检查,为管理员对网络进行基本体检提供帮助。事件监控:不仅能够通过SNMP完成对设备的监控,同时系统预定义了多达80中的SYSLOG或TRAP告警,帮助管理员对故障的根源进行细致分析。IP/MAC/PORT映射表:用户可以据此判断ARP攻击,系统可帮助用户分析IP/MAC的映射变更,进行预警。l 设备的精细化管理环路检测:和锐捷设备配合,通过RLDP协议进行网络环路检测,一但出现环路故障,迅速定位故障点。关键链路
29、检测:可发起网络上的源设备向目标设备的链路检测,手工或定期进行检查,一旦发现故障及时告警,并定位链路故障节点。真实的设备面板:提供网络设备的真实面板,察看设备最为真实的信息。配置设备:图形化的设备业务配置模板管理,配置简单,降低错误发生的可能。丰富的信息呈现:提供设备的路由表、ARP表等详细信息查询,内嵌设备Telnet配置入口和设备Web配置入口,提供用户多种方式管理设备。设备分权分级管理:可通过系统用户权限对用户的管理范围进行设定,哪些人能够使用哪些功能管理哪些设备。资产管理:可以对设备资产进行统计,并可以自定义添加相关管理字段,如设备负责人、厂家、质保期等信息,并能够生成资产报表。l 服
30、务器设备管理RG-SNC通过SNMP协议对服务器设备进行设备信息提取和监控,被监控设备首先需要打开SNMP协议,可监控内容包括:CPU监控:设备CPU运行率监控。内存监控:设备内存当前使用率监控。设备端口监控:端口流量速率监控。设备通断监控:通过SNMP或PING检测服务器是否正常工作。l 图形化ACL、QoS部署ACL、QoS管理:以向导的方式提供ACL,QoS部署管理,一步一步引导操作人员将指定ACL或QoS部署到设备、相关接口上,方便快捷、简单易懂,新手管理员也能快速上手。l MPLS VPN管理提供对BGP/MPLS VPN、VPWS、VPLS的管理功能。能够出色完成锐捷网络设备、Ci
31、sco以及其他主流公司设备的MPLS VPN业务管理。VPN资源管理:统一集中管理MPLS VPN网内的各项资源并反映各项资源之间的关联关系,包括BGP/MPLS VPN、VPWS VPN、VPLS VPN、客户信息、站点信息、区域信息、P信息、PE信息、CE信息、ASBR信息、VC ID池、SC信息。业务配置管理:以向导方式提供MPLS VPN的配置,在两个终端间建立基于MPLS协议的VPN连接。包括BGP/MPLS业务配置、VPWS业务配置、VPLS业务配置、BGP/MPLS 跨域配置、VPWS跨域配置。性能报表管理:展示VPN设备的流入流量、流出流量,以VRF图表方式正确展示PE设备与V
32、RF个数的关系。VPN拓扑:显示包含全部网络信息的网络视图,包含所有的P、PE、ASBR和CE 及连接。并可显示按照某一个 VPN 进行过滤的网络视图,即只显示属于此 VPN 的所有 CE、和这些 CE 有直接业务关联的PE 以及包含这些 PE 的自治系统中的所有核心网。l 无线管理可以通过RG-SNC-WLAN模块采用有线无线一体化模式对无线设备进行集中管理。拓扑管理:能够实现有线无线设备一体化管理,通过直观的拓扑展现了解无线网络的运行状态。热点管理:实现按热点对AP设备进行统计、管理,并通过热图对热点内AP分布及信号覆盖、接入AP的终端用户等信息进行呈现。无线控制器管理:可以通过无线模块对
33、无线设备AC进行集中化管理,包括界面化配置,性能监控等。Fit AP管理:实现Fit AP设备的监控、状态、负荷的管理,并可以实现定期开关功能,同时还可查看AP负荷状态,并实现超过负载后的提供告警。终端用户管理:可实现对无线接入用户的管理,包括热点的用户接入量、速率、用户上下线等信息。非法AP管理:对网内发现的非法AP基本信息进行呈现,可以定位到发现者AP,能关联到热点并在热图上对发现者AP进行呈现,提供告警信息。故障排查助手:可以根据IP、MAC等信息对终端、认证用户、AP、AC、非法AP进行查询检索,为故障排查提供协助。5.4 接入交换机RG-S2928G-ERG-S2900系列交换机是锐
34、捷网络基于安全、易用、好管理的理念推出的新一代全千兆安全智能弱三层交换机,采用了锐捷新一代支持多平台的模块化操作系统RGOS,为用户完整的提供了智能、安全、高速、简单管理的千兆到桌面解决方案。l 全方位的安全防御接入交换机作为网络接入设备,保障基础网络安全稳定为第一要务,RG-S2900G-E/P系列交换机提供全方位的主动防御技术,保障网络安全和稳定:l 防ARP病毒攻击ARP病毒或攻击是网络中最常见,同时影响较大的一类攻击。RG-S2900G-E/P系列交换机支持多种模式的ARP防欺骗功能,不论是用户通过DHCP服务器自动获取地址,还是使用固定的IP地址,RG-S2900G-E/P系列能够记
35、录用户真实的IP+MAC地址,并在交换机端口收到主机发送的APR报文时,将ARP报文内容和记录的IP+MAC地址进行比对,只对内容真实的ARP报文进行转发,对虚假的ARP报文进行丢弃,从而将ARP欺骗屏蔽在网络之外,保障网络用户免受ARP病毒攻击。l 防非法DHCP服务器随着无线终端设备的普及,很多用户为了方便使用无线网络,自己购买SOHO型无线路由器,并将其接入到有线网络中,由于SOHO路由器通常都内置DHCP服务器,一旦连接错误,导致有线网络中存在非法的DHCP服务器,此时大量计算机将通过非法DHCP服务器获取到错误的IP地址而无法访问网络。RG-S2900G-E/P系列能够只转发网络中指
36、定的合法DHCP服务器的地址请求应答报文,对非法DHCP服务器的应答报文不予转发,从而确保网络中的计算机只能从合法DHCP服务器获取到地址,避免了由于用户自行接入SOHO路由器导致的大量其他用户无法访问网络问题。l 主动防御网络中各类DOS攻击网络由于其开放性,经常由于计算机感染病毒,或是接入网络的人员出于各种目的对网络设备、网络中的服务器进行攻击,导致网络无法正常使用。较常见的如ARP泛洪攻击导致网关无法响应请求、ICMP泛洪攻击导致网络设备CPU负载过高无法正常工作,DHCP请求泛洪攻击,导致DHCP服务器地址枯竭,用户无法正常获取IP地址访问网络。RG-S2900G-E/P提供创新的基础
37、网络保护策略(NFPP,Network Foundation Protection Policy)技术,能够限制用户向网络中发送ARP报文、ICMP请求报文、DHCP请求报文等数据包的数率,对超过限速阈值的报文进行丢弃处理,甚至能够识别攻击行为,对有攻击行为的用户进行隔离。从而保护基础网络免受网络攻击行为的影响,保障网络稳定。l 防环路技术避免网络中出现环路导致的网络不稳定网络环路是网络中经常出现的另一个导致网络不稳定的“罪魁祸首”,RG-S2900G-E/P系列提供STP/RSTP/MSTP等生成树技术,能避免网络中由于误接环路导致网络不稳定的状况。l 灵活的接入控制大量网络由于需要确保接入
38、用户身份可靠的需要,要求对接入网络的用户进行身份认证,RG-S2900G-E/P系列配合锐捷SAM解决方案,提供多种灵活的身份认证策略,在部署认证方案时能够满足各种不同用户和环境的需要:RG-S2900G-E/P系列能够在一台交换机上同时提供802.1X和WEB认证,802.1X认证提供更严格的安全管控,WEB认证则提供更好的用户体验,满足不同用户群体的需要。在采用802.1X认证时,需要用户安装客户端,如果用户数量庞大,安装客户端是非常耗时和繁琐的工作,RG-S2900G-E/P系列提供客户自动下发功能,能够在用户首次访问网络时,将用户IE页面自动重定向到客户端的下载页面,让用户自行下载和安
39、装客户端,大大降低了802.1X的部署难度。在网络认证方案中,通常会有部分服务器是需要用户即使不进行认证也需要访问的,例如高校网络中的自助服务页面,通过RG-S2900G-E/P系列提供安全通道技术,能够轻松实现让用户即使未通过认证,也能访问某些管理员指定页面。在网络认证方案中,如果遇到部分无法进行认证的终端需要接入网络,如打印机、VOIP电话等。如果将这些连接打印机和VOIP电话的端口配置为无需进行认证,不但操作复杂,而且存在安全隐患。RG-S2900G-E/P系列提供MAC地址认证功能,使得打印机、VOIP电话这类设备能够通过自身MAC地址进行网络认证,访问网络。l 绿色节能RG-S290
40、0G-E/P系列交换机针对传统交换机在噪音及能耗方面存在的问题,对节能降噪技术进行了深入研究,解决了交换机部署在办公环境噪声大、以及批量部署后带来的能耗过大的问题。RG-S2900G-E/P系列交换机采用了新一代的硬件设计系统以及先进的节能电路设计。RG-S2928G-E交换机采用无风扇静音设计,功耗降低了40%以上,消除噪声;RG-S2952G-E采用涡轮变速风扇设计,在低温情况下,风扇自动降低转速,降低功耗和噪声。在POE供电组网环境中,RG-S2900G-P系列产品根据不同用户的实际需要,PoE供电提供自动模式、节能模式、静态模式三种模式让用户选择,并采用了业内主流的EEE节能技术,从而
41、进一步帮助用户实现能耗的降低。l 简单轻松的网络运维RG-S2900G-E/P系列支持锐捷网络一机一网解决方案(OSON)。一机一网解决方案通过横向虚拟化VSU、纵向虚拟化VXU技术,将核心设备和接入设备零配置虚拟化为一台逻辑设备,通过网管软件对整网做统一配置和管理,满足简化网络运维管理的需求。同时通过虚拟化技术提高网络的稳定性以及冗余性。RG-S2900G-E/P系列支持目前主流的网络管理方法和管理协议,可即插即用实现快速部署,大大降低了用户的网络运维成本。RG-S2900G-E/P系列支持SNMP V1/V2/V3、RMON、Syslog、USB备份日志及配置等特性来进行网络的日常诊断及维
42、护,同时管理员可采用CLI(命令行 接口)、Web网管、TELNET等多样化的管理和维护方式来方便设备的管理。 5.5 下一代防火墙设备RG-WALL 1600-EAl 采用先进的硬件平台及设计架构全线产品使用多核平台,万兆级高速安全处理。统一化的特征库和一体化分析处理引擎设计,极大的提高了多功能模块同时运行时的运行效率。l 多业务高性能采用锐捷安全研究组RG-Slab最新发布的HiSpeed算法,突破安全产品硬件瓶颈。实现防火墙、VPN、UTM多业务高性能。支持防病毒、IPS、流控、Web过滤的高性能处理。l 下一代防火墙特性面向法规和人本,实现基于用户、资源、应用的访问控制。可以与身份认证
43、系统对接,实现一体化策略配置,可视化安全管理更加快捷高效。l 支持全面的网络攻击防护支持DoS/DDoS攻击防护,支持MAC和IP绑定功能,支持智能防范蠕虫病毒技术、ARP攻击防护、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范等等网络攻击防护。l 完善的日志管理与审计提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能,配合日志管理系统可以完成日志的记录、查询和分析。l 独立的VPN模块内置专用的硬件VPN模块,支持GRE、L2TP、IPSec、SSL VPN等多种VPN业务模式。支持多种平台移动终端VPN接入。 l 高可靠性保障支持双机状态热备功能,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份,支持自动同步特征库和策略库。支持双配置文件,设备关键部件均采用冗余设计。