2022年锐捷网络方案 .pdf

《2022年锐捷网络方案 .pdf》由会员分享，可在线阅读，更多相关《2022年锐捷网络方案 .pdf（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、目录1.方案拓扑及特点介绍.21.1 方案拓扑 .21.2 方案特点介绍.31.2.1 锐捷产品高性能、高可靠性，保证网络安全稳定运行.3网络级ARP防护体系.31.2.3 MAC绑定，实现安全接入控制.31.2.4 整合双出口线路，实现负载均衡.31.2.5 交换机VLAN隔离技术，保障通信安全.41.2.6 完善的Qos策略，保证关键网络应用优先转发.41.2.7 强大的防攻击能力和网络病毒防御能力.41.2.8 完善的流量控制，保证网络带宽资源的合理利用.52.方案产品介绍.52.1 NBR1100 电信级防攻击宽带路由器.52.2 RG-S3250 安全智能三层交换机.72.3 RG-

2、S2026F 接入交换机.103.产品清单.12名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 13 页 -1.1 方案拓扑本方案全部采用国内三大网络厂商之一的“锐捷网络”的产品。采用出口、核心、接入三层架构的网络解决方案网络层次结构清晰简单。二层网络上实现VLAN 划分，出口NBR路由器，内置防火墙，支持自动检测冲击波和震荡波病毒。可识别并阻断机器狗病毒的中毒过程，同时显示试图访问带毒网站的主机信息和带毒网站的IP 地址。弹性带宽、智能限速：可针对全网、单个IP 或 IP 段进行上传下载速率的分别弹性限制。全web 管理和监控界面，降低网络管理技术门槛。名师资料总结-精品资料欢

3、迎下载-名师精心整理-第 2 页，共 13 页 -1.2 方案特点介绍锐捷产品高性能、高可靠性，保证网络安全稳定运行福建星网锐捷网络是国内三大网络厂商之一，其产品的高性能，高可靠性在国内众多高校包括川大、电子科技大学等、金融行业建行、农行以及政府机关四川省委组织部等，国资委企业四川路桥集团，川投集团，华西集团等得到了充分的验证，值得信赖。网络级 ARP 防护体系锐捷 NBR 路由器提供强大的ARP 欺骗防御能力，除传统IP/MAC 静态绑定防御ARP病毒外，锐捷独家“可信任ARP”专利技术能够实现在不用人工干预的情况下，路由器自动识别欺骗，实现动态IP/MAC 地址的绑定。利用路由器提供的“A

4、RP 嫌疑主机列表”可以轻松找出 ARP 欺骗主机，使网络管理更加容易。MAC 绑定，实现安全接入控制锐捷 RG-S2026F 智能型网管接入交换机提供的MAC 绑定功能，可以确保接入到网络的用户的合法性和唯一性，实现对用户的接入控制；利用该功能可以效防止非法用户的接入如外来携带笔记本的人员，防止出现外来人员随意接入网络，杜绝非法攻击、盗取文件资料、盗用网络资源等情况。利用该功能可以限制内网用户擅改IP 地址，防止出现由于用户擅自修改IP 地址导致IP冲突引起其他合法用户无故掉线的情况。整合双出口线路，实现负载均衡外网接入部分，通过整合二条ADSL 到路由器上，并且使启用负载均衡，使两条 AD

5、SL的带宽得到最大化的利用。NBR1100 路由器固化带有2 个百兆以太网WAN 口，可以实现两条 ADSL 的拨号上网，这样不必改变原有线路，使资源利用最大化。名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 13 页 -交换机 VLAN隔离技术，保障通信安全在网络成为必不可少的工具、信息处理成为日常工作的重心后，VLAN技术的运用显得越来越重要。VLAN对于信息系统的意义表达在：1.VLAN可以改善网络的通信效率。因为通信流量只局限于本子网中，不会对其它子网产生干扰。2.VLAN可以防止广播风暴。在较大规模的网络中，大量的广播信息很容易引起网络性能的急剧降低，甚至使网络瘫痪。而

6、VLAN使广播只在子网中进行，不会作无意义的扩散，从而消除了广播风暴产生的条件。3.VLAN大大增强了网络及其信息的安全性。因为子网间无法随意进行访问，信息流通得到相当好的控制。4.VLAN使网络的组织更具灵活性。网络用户在网络中的物理位置不会影响该用户逻辑上的访问权限，也就是说网络规划完全不会受到物理的限制。本方案采用的交换机支持完善的VLAN 划分，利用接入交换机和汇聚交换机进行VLAN划分，可以对通信进行有效隔离，例如：隔离不同部门公司间的通信，同时配合交换机的访问控制列表ACL，实现不同部门间的安全访问。完善的 Qos 策略，保证关键网络应用优先转发本方案推荐的锐捷交换机拥有完善的Qo

7、s 策略，以 DiffServ 标准为核心的QoS 保障系统，支持 802.1P、IP TOS、二到七层流过滤、SP、WRR 等完整的QoS 策略，实现基于全网系统多业务的QoS 逻辑；通过锐捷交换机的Qos 策略可以保证网络的关键应用，满足多种应用数据的复合传输要求，保证关键数据得到最快的响应和转发。强大的防攻击能力和网络病毒防御能力强大的防攻技能力，NBR1100 路由器轻松抵御20M 线速 DDOS 攻击而 CPU 利用率不超过 30%，其强大的性能和攻击防御能力保证网络的安全稳定运行。同时NPE20 路由器还可对内网攻击进行准确定位，轻松锁定攻击主机；同时对攻击主机还能进行网络阻断。强

8、大的防病毒能力，NBR1100 可以抵御多种常见网络病毒，强大的内置防火墙，方便灵活设置，摆脱网络病毒的骚扰。名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 13 页 -1.2.8 完善的流量控制，保证网络带宽资源的合理利用锐捷路由器提供基于IP 地址的流量控制功能，能够基于IP 地址进行流量限制，此外锐捷“弹性带宽”专利技术更可以针对网络带宽利用情况进行弹性限速，在网络出口压力大 带宽占用高 的时候采取较为严格的限速策略，在网络出口压力比较小的时候，路由器自动将每个 IP 的限速放开，使用户上网感觉更加流畅的同时最大化的利用的网络带宽。同时配合基于IP/MAC的会话数限制，能够

9、有效控制用户使用P2P 软件对网络带宽造成的压力，将用户下载速度严格控制在合理范围内，保证其他用户不受影响；同时NAT 会话数限制还能在一定程度上防御内网攻击。此外锐捷路由器还提供完善的流量监控，支持按各种策略排序，随时随地了解网络流量状况。2.1 NBR1100电信级防攻击宽带路由器NBR1200 产品概述NBR1100是锐捷网络公司针对中小型单位推出的电信级宽带路由器，采用Motorola PowerPC 8248 高性能专业通讯RISC CPU，固化带有 2 个 10/100M 以太网 WAN 口，4 个 10/100M 的以太网交换式LAN口。先进的硬件架构，出色的小包转发能力。内置高

10、性能防火墙，具备防病毒、防攻击能力。丰富的内网安全特性和智能的带宽管理功能。人性化的WEB 管理和监控界面。VRRP 多线路负载均衡和线路备份支持 VRRP 协议，实现多台设备的负载均衡和线路备份，提高网络可靠性和访问速度。在路由器内部固化配置了主要运营商的路由表，实现访问网通资源自动走网通线路，访名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 13 页 -问电信资源自动走电信线路，彻底解决运营商之间某些网站、服务器无法相互访问或者访问速度低的问题。支持内部 PC采用公网IP 上网模式，在公网IP 模式下，同样支持限速、防ARP地址欺骗、抗攻击等功能。“可信任ARP”打造永不掉线

11、网络特殊的 ARP地址学习功能，保证NBR所学习到的IP/MAC 为正确的对应关系。实现动态ARP与静态 ARP的完美结合，即不受欺骗也能够自动更新绑定。嫌疑主机定位功能可以准确定位ARP病毒源，以便采取相应的人工干预措施。防攻击保证网络安全特别具有强大的防DDoS攻击能力，如 SYN flood，UDP flood，ICMP flood，Smurf/Fraggle攻击，分片报文攻击等。具备硬件阻断功能，在启用防内网攻击的情况下，攻击PC在一定时间内被禁止上网，攻击报文被直接硬件过滤，不消耗CPU资源。用 20M的线速 DDoS攻击，CPU利用率不会高于30%；防 Ping 扫描。防止来自外部

12、恶意人员、内部不满人员等日益猖獗的网络恶意攻击，保障网络的安全，使网络时刻稳定运行。防病毒保证网络稳定支持域名过滤，阻断对非法网站的访问。自动检测冲击涉及蠕虫病毒，支持ACL，通过添加不同规则的防火墙以过滤病毒报文。基于 MAC 地址的 NAT会话数限制，无论病毒如何猖獗，都不会影响其他用户正常上网。“弹性带宽”功能实现全内网带宽资源的智能弹性分配，大幅度提高网络带宽的利用率。在带宽紧张的时候保证每个用户都能分配到一定的保留带宽，在带宽充裕的时候为有需求的用户分配更大的带宽。瞬变流量和用户的上下线不会对其它流量造成影响，保证了用户流量的稳定性。配置简单灵活，具备动态停止和自动恢复功能，无须用户

13、干预。独特的硬件端口监控功能提供硬件端口监控功能，可以设置其中某个LAN端口为镜向端口，作为监控口，可以连接公安部的监控机，不会影响网络性能，并且监控口在提供监控功能的同时，还可以继续使用，不会影响任何功能。支持 VPN功能名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 13 页 -支持 GRE 的 VPN功能；支持 L2TP/PPTP的 VPDN 应用；在 NAT应用下，支持L2TP/PPTP的穿透功能人性化的配置管理在面板上提供了网络状态指示灯，有“空闲”、“正常”、“繁忙”、“饱和”四种状态，通过指示灯可以轻松判断网络运行状态。在面板上还提供了告警灯，在受到攻击时告警灯亮，

14、轻松知道网络是否受到攻击。美观易用的Web管理平台，实现网络设备的“零配置”以及“零维护”。支持中文日志，轻松查看及定位网络事件。具有升级保护功能，即使升级下载过程掉电重启，也可正常启动。2.2 RG-S3250安全智能三层交换机产品概述RG-S3250-24 是锐捷网络基于网络安全和易用好管理的理念推出的新一代安全智能交换机，充分融合了网络发展需要的高性能、高安全、多业务、易用性特点，为用户提供全新的技术特性和解决方案。RG-S3250交换机在提供智能的流分类、完善的服务质量QoS 和组播应用管理特性同时，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络

15、攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络安全和网络合理化使用和运营。S3250提供了 SNMP、Telnet、Web和 Console 口等多种配置方式方便网络管理和维护，并提供最为灵活和完善的端口组合形式，非常利于用户根据网络布线需要，选择所需的上行链路的接口形式和扩展端口。RG-S3250 可为各种类型网络接入提完善的端到端的QoS服务质量、灵活丰富的安全策略和基于策略的网络管理，是校园网、企业网、政务网、业务网、宽带小区、商务楼宇等应用的理想接入设备，为用户提供高速、高效、安全、智能的全新接入方案。名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共

16、 13 页 -产品特性全面的安全控制策略通过与锐捷网络全局安全解决方案GSN 的结合，可在安全策略方面为用户提供全面的立体三维的技术特性和解决方案，完全解除安全威胁、攻击、病毒、ARP 欺骗等侵害，还网络一片绿色，让用户更安心、省心上网；硬件实现端口与MAC 地址和用户IP 地址的灵活绑定，严格限定端口上的用户接入；通过将端口设为保护端口即可简单方便地隔离用户之间信息互通，保障了信息安全，同时不必占用VLAN 资源；专用的硬件防范ARP 网关和ARP 主机欺骗功能，有效遏制了网络中日益泛滥的ARP网关欺骗和ARP 主机欺骗的现象，保障了用户的正常上网；支持 DHCP snooping，可只允许

17、信任端口的DHCP 响应，防止未经管理员许可私自架设DHCP Server，扰乱 IP 地址的分配和管理，影响用户的正常上网；并在 DHCP 监听的基础上，通过动态监测ARP 和检查源IP，可有效防范DHCP 动态分配IP 环境下的ARP主机欺骗和源IP 地址的欺骗；基于源 IP 地址控制的Telnet 和 Web 设备访问控制，增强了设备网管的安全性，防止黑客恶意攻击和控制设备；SSHSecure Shell和 SNMPv3 可以通过在Telnet 和 SNMP 进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备，保护网络免遭干扰和窃听；通过内在的多种安全机制可有效防止和控

18、制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化使用网络，如端口静态和动态的安全绑定、端口隔离、多种类型的硬件ACL 控制如专家级ACL、时间 ACL、用户自定义ACL 、基于数据流的带宽限速、用户安全接入控制的多元素绑定等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。丰富的组播特性支持 IGMP 源端口检查功能，有效地杜绝非法的组播源，提高网络的安全性；支持和识别IGMPv1/v2 和 IGMPv3 全部版本的组播报文，适应不同组播环境，防止非法的组播数据流占用网络带宽，满足组播安全应用的需要。完善的 QoS策略以 DiffServ 标准为核心的QoS

19、 保障系统，支持、IP TOS、二到七层流过滤、SP、WRR等完整的 QoS 策略，实现基于全网系统多业务的QoS 逻辑；名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 13 页 -具备 MAC 流、IP 流、应用流等多层流分类和流控制能力，实现灵活精细的带宽控制、转发优先级等多种流策略，带宽限制粒度达64Kbps，支持网络根据不同的业务、以及不同业务所需要的服务质量特性，提供差异化服务。高可靠性支持生成树协议、，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；支持 RLDP，可快速检测链路的通断和光纤链路的单向性，并支持

20、端口下的环路检测功能，防止端口下因私接Hub 等设备形成的环路而导致网络故障的现象。方便易用易管理采用灵活复用的千兆接口和扩展槽组合的形式，可最灵活满足是否需要多个千兆链路上链或多个千兆服务器的连接，方便用户根据网络架构灵活选择连接形式；支持设备间的混合堆叠，通过堆叠不仅可以统一管理和使用设备，降低管理成本，同时可以灵活地组合和扩展端口，平滑扩容，保障了网络的高度灵活和可扩展，网络管理更加简单；三层路由功能满足了小企业内部不同部门间需要相互通讯的需求，使网络结构简单化；为方便安装地点或建筑物不适宜部署外部电源的环境，RG-S3250 系列交换机特别提供支持 PoE 功能的产品型号，即通过双绞线

21、就可以向远端下挂的PD 设备供电，如无线AP、IP Phone、视频监控等设备，方便了任何符合标准的终端设备的接入，实现以太网集中供电，以满足金融、企业、学校、医院、工厂等用户实现VoIP、远程监控、无线AP 等网络应用的需要；提供图形化的安全策略管理平台，支持安全策略自动同步下发、升级和维护功能，安全策略智能化，可大幅度提高交换机管理和配置效率，提高网络安全；网络时间协议NTP保证交换机时间的准确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理；Syslog 方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；多端口同步监控，通过

22、一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；CLI 界面，方便高级用户配置和使用；Java-based Web管理方式，实现对交换机的可视化图形界面管理，快速和高效地配置设名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 13 页 -备。2.3 RG-S2026F接入交换机RG-S2026F 产品概述RG-S20 系列是全线速智能型增强网管交换机，具有特别丰富而强大的网管功能，在实现流量线速交换的同时，可以通过多重设置方式进行网管操作，实现802.1Q VLAN、保护端口、链路聚合、Spanning Tree、端口监控设置、静态地

23、址管理、广播风暴控制、端口动态MAC 地址锁、端口MAC 地址绑定、端口IGMP 属性设置、802.1p 优先级等各种管理。RG-S20 系列交换机在设置丰富的管理策略时，可针对用户的不同使用情况进行灵活的端口带宽分配，并采用业界最先进的802.1x 安全接入控制策略，提供用户接入安全保障。产品特性高性能，端口全线速高背板带宽为所有的端口提供非阻塞全线速交换。灵活精细的端口带宽限速可对端口的输入和输出带宽进行灵活精细的速率控制，粒度精细可达64Kbps，网管人员可根据每个用户的实际情况分配相应的带宽，满足不同用户的接入带宽需求。在控制用户的接入速率同时，又可以有效防止用户恶意占用网络带宽，从而

24、大大提高对网络带宽的利用率，如在学校、智能大厦、宽带小区、网吧等。灵活的安全控制策略支持 802.1x，802.1Q VLAN，端口 MAC 地址绑定，端口MAC 动态地址名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 13 页 -锁等，特别是通过锐捷SAM 平台，可实现用户账号、MAC 地址、IP 地址、交换机IP、交换机端口等多元素之间的灵活任意绑定，可有效控制用户的接入，确定用户的唯一性，如高校、政府机构、宽带小区等；通过将端口设为保护端口即可简单方便地隔离用户之间信息互通，防止用户之间病毒、及网络攻击的肆意传播；基于端口速率的广播风暴抑制功能，不仅设置简单，方便管理员的

25、管理，而且充分保障了网络的稳定和安全。高可靠性支持生成树协议802.1D、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率。方便易用的网络管理和网络维护通过堆叠，可提供灵活的端口密度，保证网络的高度灵活和可扩展，网络管理更加简单；可监听 IGMP v1/v2/v3全部版本组播报文，适应不同组播环境，满足组播安全应用的需要；多端口同步监控，通过一个端口可同时监控多个端口的数据流，可以只监控输入帧，或只监控输出帧，或监控双向帧；基于源 IP 地址控制的Telnet、Web、SNMP 设备访问控制，防止非法人员和黑客

26、恶意攻击和控制设备，增强了设备网管的安全性；SNMPv3 确保在 Telnet 和 SNMP 进程中加密管理信息，保证交换机管理信息的安全性，防止黑客攻击和控制设备；24 口交换机的端口采用了一字排开的设计，以利于网络故障的查找及排除，同时也非常有利于楼道配线架的配线工作；CLI 界面，方便高级用户配置和使用；Java-based Web管理方式，实现对交换机的可视化图形管理，快速和高效地配置设备。名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页，共 13 页 -3.产品清单元素科技网络设备报价产品型号产品说明数量单价核心交换机:RG-S3250-24 24 口 10/100M 自适

27、应端口，2 个 SFP接口和 2 个复用的10/100/1000M 自适应电口，1 个扩展槽，可上堆叠模块和千兆扩展模块，支持 DHCP snooping、硬件 ACL、QOS、IGMP 1 6700 接入交换机：RG-S2026F 24 口 10/100M 交换机，两个扩展槽，可上100M 光纤/电口模块4 2600 网络出口：电信级防攻击路由器，支持动态ARP绑定，特有锐捷联动管理功能，组播监听NBR 1100 固化带有2 个百兆以太网WAN 口，4 个百兆以太网LAN 口，1 个 Console 配置口，一个 Console 配置口,防 ARP 欺骗攻击、1 3500 防火墙：思科企业级

28、防火墙ASA5505-UL-BUN-K9 ASA 5505 Appliance with SW,UL Users,8 ports,DES 1 6500 23800 元3060 元7800 元:5000元27100 换用三个ADSL 口的加 3000 名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 13 页 -3.产品清单元素科技网络设备报价产品型号产品说明数量单价核心交换机:RG-S3250-24 24 口 10/100M 自适应端口，2 个 SFP接口和 2 个复用的10/100/1000M 自适应电口，1 个扩展槽，可上堆叠模块和千兆扩展模块，支持 DHCP snoopin

29、g、硬件 ACL、QOS、IGMP 1 5500 接入交换机：RG-S2026F 24 口 10/100M 交换机，两个扩展槽，可上100M 光纤/电口模块4 2100 网络出口：电信级防攻击路由器，支持动态ARP绑定，特有锐捷联动管理功能，组播监听NBR 1100 固化带有2 个百兆以太网WAN 口，4 个百兆以太网LAN 口，1 个 Console 配置口，一个 Console 配置口,防 ARP 欺骗攻击、1 3000 防火墙：思科企业级防火墙ASA5505-UL-BUN-K9 ASA 5505 Appliance with SW,UL Users,8 ports,DES 1 6100 23800 元3060 元7800 元:5000元名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页，共 13 页 -