《大型企业网络解决方案技术白皮书.doc》由会员分享,可在线阅读,更多相关《大型企业网络解决方案技术白皮书.doc(37页珍藏版)》请在三一文库上搜索。
1、锐捷网络大型企业网络解决方案技术白皮书目 录第1章 前言11.1 企业发展历程及趋势11.2 企业信息化解决方案蓝图2第2章 企业网络应用及特点分析6第3章 锐捷企业网解决方案简介93.1 基础网络平台解决方案93.1.1 基础平台建设需求93.1.2 基础平台解决方案93.1.3 解决方案的价值123.2 移动互联网络解决方案123.2.1 无线网络解决方案123.2.2 VPN互联解决方案163.3 安全信息系统解决方案183.3.1 安全信息系统建设需求183.3.2 安全信息系统解决方案193.3.3 解决方案的价值243.4 轻松网络管理解决方案253.4.1 网络管理平台建设需求2
2、53.4.2 网络管理平台解决方案253.4.3 解决方案的价值293.5 数据资源中心解决方案293.5.1 数据资源中心建设需求293.5.2 数据资源中心解决方案303.5.3 解决方案的价值303.6 融合统一通讯解决方案313.6.1 融合统一通讯建设需求313.6.2 VoIP解决方案313.6.3 解决方案的价值32第4章 关于锐捷网络334.1 锐捷网络简介334.2 为什么选择锐捷网络34第1章 前言1.1 企业发展历程及趋势在上世纪70年代及以前,企业是生产者;80年代,企业是经营者;90年代及以后,企业是资源转换增值的竞争者。90年代买方市场的出现,使产品必须根据市场需求
3、生产,企业存亡由市场决定,这时企业的任务是,实现更多的增值;有无资源转换增值的能力,是决定企业是否存亡的关键。在生产者时代,产品第一,企业最重要的工作是抓好物流;而在经营者时代,资金流成为企业的生命线;到了当今资源转换增值竞争的时代,信息流成为企业取胜的第一要素。在这场“更好、更快、更强”的竞争中,企业只有迅速把握信息,按现代管理手段管理物流、资金流,才有可能全面提高企业资源配置水平和核心竞争力,立于不败之地。企业的战略和它盈利的能力是最重要的,即商业模式和能运用这两种工具与时俱进的企业决策是最重要的。企业信息化除了为了节约成本,还有其他的目的,因为信息化的投入不能简单认为是一种成本问题,而是
4、为了客户创造更大的价值,也就是为客户增加新的价值,而且可以实现信息沟通、资源共享。 企业需要快速对市场需求做出响应。这个问题的关键就要看企业的价值定位是什么,企业的战略是否与信息化战略相匹配、相协调、相吻合,企业的战略有成本型、流程型、战略型,还有强调个性的差异型,因此不能简单地说信息化就是为了节省成本,企业为了适应客观环境的变化,必须依靠现代信息技术、网络技术等高新技术和资源,通过信息网络和计算机技术构成新的平台,来提高企业综合运作能力,实现技术创新、管理创新、组织创新、制度创新。 企业的信息化,首先应该站在企业战略目标的高度来考虑,必须依据企业的经营、营销竞争战略考虑,从企业的实际出发,来
5、制定企业实施信息化的总体规划。这样企业的信息化才能站在企业战略目标的高度和长远发展的全局上,系统的、全面的、统筹兼顾来思考问题,才能真正从企业实际出发,从需求出发。因此,围绕企业的战略目标,长远规划而形成的业务、流程、组织、策略才是合理的。 信息化的建设过程就是企业依据客户的需求来指导、规范企业的所有行为,也是企业进行内部改革的过程,改革那些不适应现代企业制度,不适应对市场快速反应的旧的管理体制、管理制度。实施ERP的过程也是理顺供货渠道与供应商关系、客户关系的时期规范秩序,整肃内部,建立各种内控约束规范,清理一切不适应市场竞争的需要的陈规旧习;内聚人心、外树形象;建立对市场快速反应满足客户需
6、求的机制,强化客户关系管理,协调客户,巩固老客户发展新客户,服务好重点客户,使供货渠道变粗、变短、变快、变畅。根据美国生产与库存控制学会的统计分析,一个设计精当、运作良好的ERP系统平均为企业带来如下经济效益: 库存下降3050。这是人们说得最多的效益。因为它可使一般用户的库存投资减少1.41.5倍,库存周转率提高50%。延期交货减少80。当库存减少并稳定的时侯,用户服务的水平提高了,企业的准时交货率平均提高55%,误期率平均降低35%,这就使销售部门的信誉大大提高。 采购提前期缩短50。采购人员有了及时准确的生产计划信息,就能集中精力进行价值分析,货源选择,研究谈判策略,了解生产问题,缩短了
7、采购时间和节省了采购费用。停工待料减少60。由于零件需求的透明度提高,计划也作了改进,能够做到及时与准确,零件也能以更合理的速度准时到达,因此,生产线上的停工待料现象将会减少。制造成本降低12。由于库存费用下降,劳力的节约,采购费用节省等一系列由理论分析和现实数据可以看出,企业信息化已经是不可逆转的趋势。1.2 企业信息化解决方案蓝图企业信息化是一个比较大的概念,包括的内容也非常多。最底层是基础网络平台,在基础网络平台之上,还有办公自动化系统、客户关系管理系统、企业资源计划系统等各种应用平台。由于所有的业务平台都承载在基础网络平台之上,所以必须保证基础网络平台的健壮性和稳定性。只有有一个好的网
8、络平台,企业的各种信息平台和业务系统才能正常运转,也才能真正发挥信息化的优势,提高企业的业务效率,提升企业竞争力。一个好的网络主要应该包括如下几个部分:基础网络平台网络基础平台是企业信息化的核心,要求具有高可靠性、高性能、良好可扩展性以及端到端的QoS服务质量保证。高可用性必须是一个端到端的网络目标。网络设备、服务器集群、操作系统及网络接口卡必须作为一个统一的生态系统协同工作,以恢复任何服务器、链路或网络设备的故障。在考虑设备硬件可靠性和连接链路冗余的同时,应关注网络系统在不同层次上对系统可用性的软件功能支持能力,另外容易被忽略的高可用性因素统一的设备软件操作平台。如果不同设备采用不同的软件系
9、统,兼容性、开放性和可扩展性都会受到影响。在选择网络设备的时候,在对个别性能指标例如背板带宽、包转发速度等指标要进行重点关注,在进行比较的同时,还应考虑网络在真实应用运行环境中的性能。例如,在大量组播、对时延敏感的应用存在的情况下,设备的性能怎么样?传统的可扩展性观念,主要是考虑是否可以增加模块、是否可堆叠以增加端口、是否可以增加设备等等,这只是网络可扩展性的一个方面。而人们长期忽视的另一个重要方面,就是网络在支持新应用和新业务方面的可扩展性。例如,你现在部署的网络,可能暂时不需要考虑VoIP 语音应用、VPN应用,可是当企业今后需要这些应用的时候,网络架构能支持吗?还是需要全部推倒重来?服务
10、质量在应用系统较为简单的网络发展的初期,常常被对应于简单的概念,例如设备可以支持的队列数量等。在网络应用日趋复杂的环境下,如何在有限的网络资源里充分保障各类应用的实施,是一个非常复杂的问题,实施QoS,是端到端的概念,不是单个设备的问题,而是涉及整个园区网、甚至跨广域网的问题,就像城市交通一样,只是某一个路段宽阔,对于保持畅通几乎没有任何意义。QoS的管理和部署可能需要涉及到不同城市、不同厂区、不同大楼的每一台网络设备,甚至每一个端口。因此,在选择网络设备和供应商的时候,要擦亮眼睛看看供应商的QoS能做到什么程度。移动互联网络良好的移动互联网络主要包括无线局域网(WLAN)和虚拟专用网(VPN
11、)。无线局域网(WLAN)技术对于现代化企业而言,成为了继有线网之后的有一种主流网络应用技术。相对于有线以太网物理端口接入稳定、管理丰富而言,其可移动性却得不到满足,企业员工要求在企业的任何地方访问网络的需求就得不到满足。这时,无线技术作为一种补充的手段,就逐步为各企业所关注,其越来越完善的管理和安全特性也促使其有能力充当网络的一部分。在整个企业网络的构建中,核心及汇聚层的构建是非常重要的,但是,真正实现智能化、灵活性、高带宽、可运营等特性的网络,接入层设备的功能是支持整网拥有此强大功能的必要条件。WLAN无线局域网技术随着近年来的逐步完善和发展,以其灵活性和与有线以太网络的互补性,成为局域网
12、络接入层的一种补充手段。无线局域网技术的日趋成熟可以为此提供更加高效灵活的解决方案,通过无线网络,可以在企业的任何地方方便地访问企业内网及INTERNET,可以较少的投资获得空前的应用灵活性。这样大大提高了企业办公/生产网络的灵活性,节约了开支降低了成本,进而提高了工作效率。虚拟专用网(VPN)是一项针对企业非常有用的技术,它可以给企业网络带来极大的安全性、经济性和移动性。但是,VPN的部署是一项比较复杂的技术,因为它涉及遍布于广域网之上的多个设备,包括路由器、交换机、防火墙等等,涉及到语音、数据、视频等综合业务的支持。因此,不能只看单个设备对VPN的支持,而要看整个解决方案的支持情况。安全信
13、息系统企业网络覆盖的范围越来越大,应用越来越丰富,可能受到的攻击无处不在。网络安全性首先是一个系统的概念,防火墙是网络安全中的关键组件,但防火墙不是一把万能的安全锁,数据传输的安全性、入侵检测以及用户安全认证等都十分重要。网络需要全局安全,网络安全性的需求不仅限于园区网络,还要考虑与合作伙伴以及外网连接的安全性。在网络安全部署方面,如何高效地实施网络安全策略并有效管理各类网络安全设备,也是十分重要的。网络管理系统网络中设备日渐增多,交换机、路由器、防火墙、拨号访问服务器等等,不一而足;技术日趋复杂,以太网、千兆以太网、多媒体技术、语音、数据、视频集成、安全策略等等。随着IT基础设施规模不断扩大
14、,复杂程度不断提高,用户的要求更加苛刻,管理费用逐渐增加,故障费用越来越高,网络边界不断延伸,安全威胁越来越大。发生问题时无从下手;人才市场缺乏经验丰富、受过专业培训的网络管理员,所以这些因素都说明了一点,网络管理的方便性和人工成本是建设和改造网络时必须认真考虑的问题。目前,领先的网络设备供应商提供的方便性和人工成本是建设和改造网络时必须认真考虑的问题。目前,领先的网络设备供应商提供的网络管理工具已经实现了管理网络设备到服务管理的飞跃,而后期的网络设备供应商仍停留在简单的网络设备管理、看拓扑图的水平上。因此,只有选择领先的网络设备供应商,才能获得方便应用的网络管理方案。数据资源中心通过有效的经
15、济的集中化的存储管理,打破传统以主机为核心的IT架构,避免数据分散、高管理成本、存储设备重复投资、设备利用率低。通过数据的整合、集中,充分保证数据的安全、完整、快速被应用系统调用,又能保障高度的扩展性、数据的共享和相互利用。融合统一通讯通讯费用总是在企业运营成本中占有很大的比重,尤其是有分支机构的销售型企业。如何降低企业通讯费用已成为降低企业成本的重要一环。随着网络技术的发展和语音数字化技术的成熟,利用IP网络传输语音信息已成为一种成熟的技术。电话网络与数据网络的融合可以节省客户的长途电话费用,减少维护两套系统的成本,并引入新的服务。 33第2章 企业网络应用及特点分析任何一个成功网络的设施绝
16、不是各种先进网络技术的堆砌,网络实施的最终目的是帮助企业经营者更好的拓展自己的业务,获得更大的投资回报。网络系统的部署必须能够达到两个最根本的目的:一是帮助企业省钱,二是帮助企业赚钱。深刻理解企业经营者所面临的问题,区分企业各类应用,是成功实施网络技术及部署的根本。企业在网络建设过程中会需要考虑如下的一些应用,把握应用特点,选择最佳的厂商和解决方案。办公自动化应用OA系统:如日程安排、法文管理、会议管理、信息发布、业务讨论、电子邮件、信息流程的跟踪与监控等。电子化学习系统:支撑企业员工的学习能力和企业文化的转变办公通讯系统:电话系统、远程电视会议系统决策信息系统应用企业资源管理(ERP),人事
17、管理(HR),客户关系管理(CRM),供应链管理(SCM)管理信息系统从用户分布上考虑,涉及企业内部各职能部门。从地理位置考虑,涉及企业总部、各地分公司和部分移动办公用户。从各类应用的数据流特性方面考虑,有大批量的数据传输应用,如文件传输、电子邮件等;有对带宽和时延敏感的多媒体应用,如IP电话、视频会议、电子学习等;有关键的、实时性较强同时数据量较大的决策信息系统应用,如ERP、CRM。大批量的数据交换要求网络设备具备良好的交换性能。一份业内分析报告指出,随着企业规模和网络应用的种类的不断扩大,未来三年内企业局域网的带宽需求将提升10到20倍,广域网的带宽需求提升3倍,这要求企业采用合理的网络
18、规划设计,正确选择能适应当前网络需求并满足未来网络规模增长和新业务需求的网络设备。各类决策信息应用需要后台的数据中心支撑,大量的应用服务器与数据服务器需要能够提供高速的不间断访问服务,网络必须具备高可靠性。在网络交换设备以及服务器连接链路方面应充分考虑容错功能,并结合智能网络软件系统来实现故障的自动监测和恢复。管理信息系统涉及的应用种类多,分布广,网络系统的安全性自然成为客户最关心的问题之一。如何保证企业核心数据不受内部及外部黑客的获取和篡改,如何保证应用服务器不受网络攻击的威胁等都是在网络建设中必须考虑和解决的问题。企业分散的生产及销售模式使各种基于IP数据网络的多媒体系统如IP电话系统应用
19、、远程会议,电子学习等在办公系统中显示出重要的意义,与此同时,如何在相同的物理网络上支持不同类型应用的问题需要妥善解决。管理信息系统要求一个智能的、面向应用的网络平台,所有应用所要求的不仅仅是带宽,同样重要的是在具有识别,分类,划分优先级和保护关键业务应用能力的同时,还应具有对带宽敏感的多媒体及对时延敏感的话音应用的支持能力。分支机构和出差在外的员工能否通过有效的方式远程连接企业的系统资源也是一个需要解决的问题。管理信息系统的应用特点决定了办公管理网络对高可用性、网络安全及服务质量有特殊的要求。企业核心生产业务系统的信息化企业核心生产系统从用户分布上考虑,主要涉及一线作业的职能部门。从地理位置
20、考虑,主要涉及企业各厂区,车间和相关设计单位。从各类应用的数据流特性方面考虑,有部分批量的数据传输应用,如CAD图纸的传输;有对移动性要求较高的应用,如库房的产品相关信息的处理;最为主要的是有大量关键的、不可中断的、实时性极强的应用,如流水线设备的实时监控数据的采集和产品测试结果的采集等。向生产系统发送控制指令、从生产系统采集实时监控数据和产品测试数据,单次数据量较小,但频度高,次数多,最为关键的是不能有任何中断,网络系统的稳定可靠是该系统设计的重点。要求网络系统能够提供7 x 24小时的稳定可靠服务,在网络交换设备、模块以及连接链路方面应充分考虑冗余备份功能。核心生产系统要求绝对稳定可靠,网
21、络系统的安全性自然是关键。如何保证企业核心生产系统不受内部及外部的网络攻击威胁是在网络建设中必须重点考虑和解决的问题。分布在厂房和车间等处的信息点数量较多,随着企业规模不断扩大,该部分信息点的急剧增加需要在网络规划设计时认真考虑,网络设备应能适应当前网络需求并满足未来网络规模增长的需求。光纤和双绞线的连接方式可以满足大楼内部的网络连接需求,但对于企业厂区内部厂房,仓库等一些不利于布线或布线成本高的环境,经济有效的网络连接解决方案需要考虑。核心生产系统的应用特点决定了企业生产系统网络,也就是车间网络,主要包括计算机辅助制造(CAM)、过程自动化控制、数据采集和测试三个方面。用户主要分布在一线作业
22、的职能部门,涉及企业各厂区、车间和库房等。其应用特点是:有大量的、不可中断的、实时性极强的应用,如流水线设备的实时监控数据采集和产品测试结果采集等,网络一旦中断,将造成生产停顿、材料和零部件报废等重大损失;有对移动性要求较高的应用,如库房的产品相关信息的处理。因此,这部分网络系统对于高可用性及高扩展性有特殊的要求。企业研发和设计系统的数字化企业研发和设计网络主要涵盖二维和三维电脑辅助设计应用、实验模拟及测试数据分析、客户采购行为的大量资料分析、分散式网络协同设计四类应用。其用户分布涉及企业各设计科室和相关协同设计单位,其特点是:有部分大批量的数据传输应用,如访问产品设计资料库和CAD数据的传输
23、等;有部分多媒体数据流的传输需求,例如在线视频交流。该网络系统对高性能及网络安全有特殊的要求。咨询、服务及销售的网络化咨询、服务及销售的网络化主要包含两类应用:企业门户网站建设和网络服务和营销系统企业门户网站建设:提供企业相关信息、服务对象覆盖的范围和可提供的服务内容等网络营销系统:如网上销售系统咨询、服务及销售的网络化系统从用户分布上考虑,主要涉及服务和销售部门。从地理位置考虑,主要涉及异地和远程的分支机构、分公司、办事处等。从各种应用的数据流特性方面考虑,有部分批量的数据传输应用,如文件传输、电子邮件等;有对带宽和时延敏感的多媒体应用,如IP电话、视频会议、电子学习等;有关键的、实时性较强
24、的应用,如网上销售系统。对于一定规模的制造/销售型企业,企业在各地大多会有制造基地或销售分支机构,如何将这些企业分支机构网络与总公司进行经济有效的跨地域网络连接是该部分网络设计所要解决的问题。传统的DDN或帧中继等专线连接方式对企业造成了高昂的线路租用费用,这些费用可能占到企业网络成本的40%-60%。分散的服务及销售机构使基于IP数据网络的通讯系统如电话系统、远程视频会议等体现出较大的应用优势,同时电子化学习也显示出重要的意义。在广域网链接带宽非常宝贵的情况下,支持包含多媒体应用在内的不同类型应用的问题需要妥善解决。咨询、服务及销售系统涉及的用户分布广泛,同时由于网络销售等系统直接连接至In
25、ternet,网络系统的安全性自然是该部分网络设计的重点。如何保证企业合法用户充分享用网络资源,同时保障核心数据不受内部及外部攻击的威胁,是在网络建设中必须考虑和解决的问题。咨询、服务及销售系统的应用特点决定了该部分网络对高可用性、虚拟专网、高扩展性、网络安全及服务质量有特殊的要求。第3章 锐捷企业网解决方案简介3.1 基础网络平台解决方案3.1.1 基础平台建设需求l 实现企业内资源共享,提供管理应用系统,实现企业办公自动化l 接入Internet,共享网络资源l 企业拥有自己的IP地址和域名l 建立企业Email系统和内部通讯系统l 在公司主机上建立网站,提供对外宣传的信息平台3.1.2
26、基础平台解决方案l 高性能企业网核心设备采用锐捷面向十万兆平台推出的企业级核心路由交换机8610。RG-S8600系列万兆核心路由交换机提供3.2T/1.6T背板带宽,并支持将来更高带宽的扩展能力,提供1190Mpps/595Mpps的数据转发能力,每线卡提供高达200G的交换能力,满足高密度的千兆/万兆端口线速转发,并且支持未来100G接口的扩展。出口采用路由器+防火墙的方式部署,路由器负责NAT和路由功能,防火墙启用安全策略,两台设备各司其职,很好的提高了网络的性能。在网络出口处使用锐捷网络RG-WALL1600防火墙的双机负载均衡(HA高可用性)功能,实现了2台防火墙的负载均衡和双机热备
27、,确保出口的高度稳定可用性。2台防火墙组成HA(高可用性) 正常时,2台防火墙是负载均衡 当其中一条链路或设备出现故障时,会话迅速转移到另外一台防火墙。 最终实现了2台防火墙的负载均衡和双机热备,确保出口的高度稳定可用性。特点:不同的工作由不同的设备来完成,网络的性能很高,二台防火墙启用HA功能,实现流量的负载分担和冗余备份,在双出口的环境中,确保了网络的稳定可靠性。l 强大的安全稳定保障1、 关键部件的安全稳定主机支持冗余的管理模块、冗余的电源模块、各种模块热拔插等安全稳定保障技术。两个管理模块之间支持负载均衡工作模式 ,可支持主备和并发两种工作模式,提供更为强大的冗余能力和处理性能。主机监
28、控显示屏可直接显示交换机名、CPU利用率、内存利用率、管理模块与线卡温度、风扇和电源工作状态、持续工作时间等,提供及时的设备关键状态查看,提升系统安全稳定的维护能力。主机实时检测CPU的使用状态,并提供业界领先的硬件CPU保护技术(CPP,Control Plane Policy),CPP技术对发往CPU的数据进行流区分和流限速,避免非法攻击包对CPU的攻击和资源消耗。2、 病毒和攻击防护采用硬件方式提供多种安全防护能力,例如防DDOS攻击、非法数据包检测、数据加密、防源IP地址欺骗等等,避免了传统软件实现方式对整机性能的影响。提供业界最为强大的ACL特性,基于SPOH技术提供IP标准、IP扩
29、展、MAC扩展、时间、专家级等丰富的ACL技术,支持IPV4/IPV6双栈下的输入输出ACL。提供线卡分布式的IPFIX监控技术,及时发现网络中的异常流量,有助于提早发现网络中病毒和攻击等不安全行为,并通过流量监控技术提供的详细异常流量数据信息,识别攻击源或攻击手段。持同时启用多组的多端口同步监控技术,并且支持灵活的输入、输出、双向数据镜像,满足灵活的网络监控需求,提升网络监控能力。3、 设备管理安全提供SSHv1/v2的加密登陆和管理功能,避免管理信息明文传输引发的潜在威胁;Telnet/Web登录的源IP限制功能,避免非法人员对网络设备的管理;SNMPV3提供加密和鉴别功能,可以确保数据从
30、合法的数据源发出,确保数据在传输过程中不被篡改,并且加密报文,确保数据的机密性。4、 接入安全硬件支持IP、MAC、端口绑定,提高用户接入控制能力;支持802.1X技术,满足6元素绑定接入限制;支持IGMP源端口检查、源IP检查、IGMP过滤等功能,可有效控制非法组播源,提高网络安全;IGMP V3支持通告客户端主机希望接收的多播源服务器的地址,避免非法的组播数据流占用网络带宽;通过PVLAN(端口保护)隔离用户之间信息互通,不必占用VLAN资源;支持根据带宽速率或带宽百分比进行未知名报文、多播包、广播包进行控制;端口MAC地址锁、MAC地址过滤、端口MAC地址接入数量限制功能可以屏蔽非法主机
31、的接入和非法数据包进入网络。l 灵活可扩展核心交换机RG-S8610拥有10个扩展插槽,提供管理模块冗余、电源冗余、引擎冗余,通过灵活性和模块化的方式平滑升级网络功能和扩展网络规模,满足不断增长的教学和管理的网络需求。RG-S8600提供业界领先的集成万兆防火墙模块 M8600-FW,可以为用户提供无以伦比的安全性、可靠性和性能。RG-S8600提供业界领先的集成负载均衡模块M8600-LB,具有7层应用交换功能,提供服务器、防火墙、入侵检测等设备的负载均衡功能。l 端到端QoS锐捷网络为用户提供了完整的QoS解决方案,采用了RSVP、DiffServ、802.1p等控制结构和协议,通过其系列
32、产品构成差别服务网络(DiffServ),并通过流量控制功能提供RSVP性能。锐捷网络还采用优先级队列、动态队列调度、拥塞避免等控制机制有效地为不同的应用提供QoS服务。锐捷网络的QoS解决方案可为网络中的各种数据流提供最优的性能。1、全面的QoS基础策略:多层次的优先级队列、拥塞控制、带宽定制2、基于策略的网络管理为完成QoS的目标,网络的各个部分和管理软件必须提供为每类流量或单个数据流保证带宽和延时特性(延迟及抖动)的能力。锐捷网络产品综合了基于硬件的流量分类、排队及策略机制来线速地保证QoS。锐捷网络产品的QoS机制由四个部分构成:应用于差别服务的数据流分类技术(DiffServ,802
33、.1p)、队列调度策略(排队策略)、队列管理策略(RED算法)、带宽限制技术(CAR)。3.1.3 解决方案的价值l 从实时设备获得可重复的、准确的数据,从而确保业务的持续有效运营l 通过冗余的设计提高网络和系统的可靠性,提高业务运营的安全性和完整性l 通过将所有数据与业务系统集成在一起,让员工可以在需要的时候获取重要的信息,有助于提高业务效率和决策能力l 关键业务优先处理,构建企业的核心竞争力l 简易便捷的网络扩容,降低企业运营成本3.2 移动互联网络解决方案3.2.1 无线网络解决方案I. 企业无线网络建设需求对于采用无线网络技术来构建新型企业网络,其要求将具备多样性,主要有以下方面:1.
34、 要有很强的灵活性目前各企业网络应用方式趋于多样性,随着便携设备的普及,人们在日常工作中采用便携设备如笔记本电脑等的比例逐步上升,这就要求企业网络必须适应各个用户的移动性,保证用户在办公、会议、生产等日常工作活动中的不同地点的网络访问要求。而且,传统的布线规划不可能为了考虑今后的扩展性而留出很多端口,一般一个办公室仅有一到两个进口,遇到扩容,就要加交换机,同时再进行内部布线,这样不但布局打乱,还增加了后期的投入成本。因此,利用无线局域网技术,可以不用考虑这些问题,只要有网线不到附近任意地方,处于无线辐射半径范围内,增加用户仅仅是增加客户端网卡的工作,大大简化了接入层部分区域网络扩容的问题。对于
35、新建成的无线网络,必要首先满足稳定的、灵活的高速网络访问。2. 要具备不亚于有线网络的安全防护手段随着企业网内用户数量的增多,各种用户的网络访问被划分的更加详细,不同的访问相互之间不希望有越权的情况,另外,一些重要的数据如财务数据、行政办公数据、生产数据等,不希望在无线网络传输中被非法窃取。因此,安全的无线网络非常必要。对于需求建设的无线网络,必须在用户接入访问控制、访问行为、传输安全等方面都慎密考虑,不能使无线网络成为整个网络的安全隐患。3. 管理简单无线部署时地理位置比较分散,用户接入比较灵活,分布范围广,需要重点考虑对无线设备和接入用户进行集中管理。需要全网无线统一管理控制,能够远程无线
36、定位AP的位置。4. 运营特性强,投资保护目前企业的网络半径已经逐步突破内部网、生产办公网,继而扩大到可以为职工家属区提供宽带服务的范畴,这就是未来的企业宽带社区的概念,为进一步打造企业文化、提高企业职工凝聚力、为企业职工提供丰富的生活服务。从某种意义上讲,企业特别是大的企业,在有能力为员工生活提供宽带服务、甚至为周边企业提供宽带服务的时候,就已经是个准运营商的角色,这就要求在网络构建时,采购的设备充分考虑到这一重要因素。在处于接入层的无线接入设备同样要支持相关的管理模式以及运营计费功能。无线接入产品要求与有线以太网交换机产品一样,全面支持基于AAA级(认证、授权、计费)的运营模式,使得用户不
37、论处于企业宽带社区的那个角落,只要是无限覆盖的范围内,就必须经过相应的AAA模式才能合法的访问宽带网络,真正做到整网可运营、可管理。II. 企业无线网络解决方案锐捷网络根据目前国内大中型企业的实际情况及将来的技术发展趋势,创新的采用无线局域网技术融入企业网络解决方案,能够充分利用无线可移动性的前提,为全国包括研究所、生产制造企业、政府办公、高科技创业园区、三甲医院、甲级写字楼、大型网吧、期货公司等超过200家大型企事业单位提供了优质的无线网络成功案例。事实证明,采用无线局域网技术和企业网生产/办公应用系统相结合,可以平均增加网络日访问时间近1小时,提高生产效率达12%,是非常符合现代化企业信息
38、化发展的解决方案。大中型企事业对于无线网络访问主要关注在于网络的稳定覆盖、带宽容量的保证、安全准入的保障、与有线网络和软件系统的协调性和兼容性。针对这些需求,锐捷网络创新推出新一代无线接入点产品双路双频三模无线接入点产品系列,该系列产品可提供比传统无线接入点产品高一倍的带宽、802.11a/b/g三频技术可以保证整个企业园区的无缝覆盖、包含Multi-BSSID/WEP/WPA/802.1x/WAPI在内的多种安全技术,同时,在全国超过400家高等院校、7大银行/保险公司的全国应用,以及超过200家大型企事业单位的规模使用,证明了产品与多家厂商的软/硬件产品的成熟兼容性。l 高带宽容量锐捷网络
39、的室内型无线接入点AP产品为RG-P-720/780均率先在业内采用了双路双频三模高速芯片组设计,同时提供双路硬件系统架构,可同时支持工作于2.4GHz和5.8GHz的802.11a/b/g标准协议,可支持高达108Mbps的信道带宽,提供基于802.1Q VLAN划分,同时可适应-4065的高温度范围,可完全覆盖室外大范围区域和大量的并发用户流畅的上网访问,为无线用户在移动中带来丝毫不亚于有线网络访问的感受。l 大范围无缝覆盖锐捷网络的室内高增益型无线局域网接入点产品的品射频功率均达到了20dBm(100mW),并随机配有5dBi智能全向式天线系统。可在整个室内/外创造完全覆盖的信号覆盖强度
40、,可保证各角落采样信号强度均达到了70%以上,长时间无间断Ping测试无丢包,可完全避免信号的衰减和带宽,保证了室内用户的网络访问。同时,无线接入点产品均具备智能功率调整和信道自动选择技术,可根据环境自动调整信道发射功率,避免无效发射和近距离大功率地面压制,同时,智能信道选择技术,可避免在同区域受到邻近频段设备的干扰,避免因同频干扰导致的工作不稳定和接收灵敏度下降。同时,该产品支持IEEE802.3af标准的PoE以太网供电技术,可以支持设备在楼内距离电源100米的范围内仍然可以随意部署,大大简化了设备安装和部署的难度。在室外区域,采用双路双频三模无线接入点产品,相当于支持独立的两套无线接入点
41、的功能,可以分别支持两组天线独立工作,每路的射频功率为20dBm,并随机附带了两根双频全向室外天线,另外,为了保证对植物密度较高、半径距离超过100300米的区域(如广场、车间厂房、大型露天会场等)完成覆盖,且保证每个角落的信号强度不低于70,在方案中增加了随机配备的双频定向天线产品,可以保证无障碍下的远距离覆盖和障碍物穿透能力。同时,该产品同样支持IEEE802.3af标准的PoE以太网供电技术,可以完全解决支持室外型设备室外取电难的问题,大大简化了设备安装和部署的难度。l 多安全防御手段本方案中的产品可提供支持包括SSID禁止广播、WEP机密、WPA认证、802.1X认证、EAP扩展认证、
42、VLAN划分等多项安全防御方法,将有效的提高无线网络的安全防御能力。SSID(无线标识符)是用于无线终端与接入点匹配以获得通信的明文密码,对于初级安全防范有一定作用,且配置快速简单,非常适合室外无线覆盖使用。尤其是启用了目前先进的SSID广播禁止功能之后,由于空中不再广播明文的SSID号码,使得那些拥有截获SSID密码的无线终端非法访问网络。WEP(有线等效密钥)和WPA/WPA2(接入保护)技术的出现,可以通过大量的密文加密位和动态的密钥协议(TKIP/AES),为非法访问者制造难以攻破的障碍,从而避免网络安全事件的发生。对于室内/室外型AP产品,由于其分别开放于室内高密度访问和室外环境,面
43、对的是所有用户群体,对不同的用户群体的权限和身份识别则成为必须的功能。因此,AP产品应选择具备Multi-BSSID划分和802.1Q VLAN功能的无线产品,协助接入层无线用户与接入层交换机用户同样接受全网统一管理和VLAN的划分,这样可以彻底解决无线用户无法管、不方便管的疑难问题。锐捷网络无线接入点产品RG-P-720/780,均可支持独立的32个802.1Q VLAN,并可在每个VLAN内实现用户物理隔离,并可以对每个VLAN实现单独的SSID分配、WEP和WPA/WPA2加密,以及802.1X认证。可以为同一个AP覆盖范围内的不同用户实施不同的管理手段,强化了整个无线网络的分布式安全防
44、御能力。该功能尤其对于启用了DHCP动态地址分配能力之后,可获得更好的效果,可以针对不同的地址段实现VLAN划分,并赋予不同的安全策略,实现企业园区的动态安全体系,更可以为未来发展中的网络自防御体系打下很好的基础。同时,方案中的无线接入点产品全面支持SSH的管理方式,可支持管理员安全的通过HTTPS、Telnet和SNMP方式访问无线接入点设备,并可以在线观察所有在线用户信息,及时掌握全网设备负载、流量分配、用户分配等实时信息。对于覆盖室内/室外环境的无线接入点设备而言,由于接入用户比较复杂,网络应用不尽相同,因此针对不同用户、不同应用的QoS保证必须具备。锐捷网络无线接入点产品均支持标准的8
45、02.11e协议,可针对不同的BSS或802.1Q VLAN设置优先级保证,有利于充分、合理的利用信道带宽。l 成熟认证标准与兼容性并存为了便于严格控制企业内部的网络信息安全,避免泄密、数据丢失等严重事件的发生,针对每个用户的上网行为的控制非常必要。无线网络认证方式可分为基于WEB认证方式和基于802.1X认证与两种,前者的优点体现在用户认证的方便性方面,无需安装客户端认证软件,通过认证体设备下推认证页面到上网用户的浏览器进行认证。后者则可以有效实施基于标准的用户名、密码的身份认证及计费,以及基于扩展802.1X的多元素控制和更加细致的计费策略。选择不同的认证方式需要基于企业的实际情况,锐捷网
46、络解决方案均支持这两种标准的认证方式,可以很好的获得与整个认证网络的兼容性。III. 解决方案的价值l 降低经营成本和大幅度提高库存管理的效率l 直接提供来自于活动点的信息,准确安排生产进度和保持响应紧急变化的灵活性以提高企业业务的竞争力l 更加全面的管理生产线中的机械和设备,保持工厂的有效运营l 提高员工的反应能力,消除不利于提高生产效率的障碍l 方便的部署和管理,灵活的网络扩容,节省企业运营成本3.2.2 VPN互联解决方案I. 企业VPN网络建设需求伴随企业和公司的不断扩张,公司分支机构及客户群分布日益分散、合作伙伴日益增多,越来越多的现代企业迫切需要利用公共Internet资源来进行促
47、销、销售、售后服务、培训、合作及其它咨询活动,这为VPN的应用奠定了广阔市场。在VPN方式下,VPN客户端和设置在内部网络边界的VPN 网关使用隧道协议,利用Internet或公用网络建立一条“隧道”作为传输通道,同时VPN连接采用身份认证和数据加密等技术避免数据在传输过程中受到侦听和篡改,从而保证数据的完整性,机密性和合法性。通过VPN方式,企业可以利用现有的网络资源实现远程用户和分支机构对内部网络资源的访问,不但节省了大量的资金,而且具有很高的安全性。II. 企业VPN网络解决方案业 务需 求解决方案说 明互连VPN网关RG-Wall V1000RG-Wall V200RG-Wall V50集成了VPN、防火墙、入侵防御和流量控制技术远程安全接入系统RG-SRARG-Key对IP及上层协议提供可靠、灵活的安全保证证书管理系统RG-CMS提供安全的证书和密钥服务VPN管理系统RG-VMS提供安全服务和管理服务III. 解决方案的价值l 降低成本n 无需专线租用费用n 减少日常运行开支l 扩展连接n 无长途费用n 利用带宽投资优势n 允许心得应用和用户类别l 提高效率n 随时随地访问企业资源n 数据的安全传输3.3 安全信息系统解决方案3.3.1 安全信息系统建设需求随着网站(和基于互联网的应用)和其他客户关系管理工具的广泛应用,客户希望从