展覽類場館網(wǎng)絡(luò)解決方案技術(shù)白皮書v0.9

密級：公開發(fā)布對象：全部人員展覽類場館網(wǎng)絡(luò)解決方案技術(shù)白皮書（V0.9）文檔歸屬：樓館園VT文檔維護(hù)人：張渝佳Tel：Email：zhangyj版權(quán)聲明：本文版權(quán)歸銳捷網(wǎng)絡(luò)有限公司全部，未經(jīng)許可不得拷貝、傳播

書目1 展覽類場館市場背景 51.1 展館類場館范圍及定義 51.2 展館類場館建設(shè)的市場狀況 72 需求分析 82.1 展覽類場館常見場景 82.2 展覽類場館網(wǎng)絡(luò)應(yīng)用 112.3 展覽類場館網(wǎng)絡(luò)建設(shè)需求 122.4 場館類業(yè)務(wù)架構(gòu) 122.5 建設(shè)內(nèi)容 132.6 建設(shè)原則 143 穩(wěn)定、牢靠、高性能的基礎(chǔ)網(wǎng)絡(luò)建設(shè) 163.1 整體網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D 163.2 網(wǎng)絡(luò)骨干設(shè)計(jì) 16 業(yè)務(wù)隔離分析 16 組網(wǎng)架構(gòu)分析 17 核心設(shè)備選型 17 核心設(shè)備平安技術(shù) 18 匯聚層設(shè)計(jì) 19 接入層設(shè)計(jì) 193.3 無線網(wǎng)絡(luò)設(shè)計(jì) 20 場館無線業(yè)務(wù)分析 20 無線網(wǎng)絡(luò)初期設(shè)計(jì) 21 智能無線網(wǎng)絡(luò)設(shè)計(jì)（升級改造規(guī)劃） 22 無線部署區(qū)域 243.4 網(wǎng)絡(luò)出口設(shè)計(jì) 25 場館網(wǎng)絡(luò)出口現(xiàn)狀 25 當(dāng)前場館網(wǎng)出口面臨的挑戰(zhàn) 25 出口解決方案設(shè)計(jì) 263.5 數(shù)據(jù)中心設(shè)計(jì) 29 本地容災(zāi)解決方案 30 園區(qū)級高可用跨區(qū)容災(zāi)解決方案 31 數(shù)據(jù)中心容災(zāi)方案特點(diǎn) 314 網(wǎng)絡(luò)平安系統(tǒng)設(shè)計(jì) 354.1 訪問外網(wǎng)的平安身份鑒別 354.2 內(nèi)網(wǎng)終端用戶的平安防護(hù) 36 補(bǔ)丁及軟件分發(fā)管理 37 非法外聯(lián)及網(wǎng)絡(luò)訪問管理 37 病毒與攻擊平安 37 用戶平安準(zhǔn)入 374.3 接入層次的其他平安措施 38 ARP欺瞞的防護(hù) 38 DHCP平安 38 管理信息平安 384.4 數(shù)據(jù)中心區(qū)域的平安愛護(hù) 38 DMZ區(qū)域的設(shè)計(jì) 38 WEB網(wǎng)站愛護(hù)設(shè)計(jì) 395 網(wǎng)絡(luò)管理設(shè)計(jì) 405.1 場館類網(wǎng)絡(luò)管理面臨的挑戰(zhàn)及需求分析 405.2 網(wǎng)絡(luò)管理—流量管理方案設(shè)計(jì) 405.3 出口流量的應(yīng)用限制與帶寬優(yōu)化 405.4 網(wǎng)絡(luò)管理—設(shè)備WEB可視化管理 425.5 網(wǎng)絡(luò)管理—設(shè)備配置文件管理 435.6 網(wǎng)絡(luò)管理—一體化無線有線管理 446 方案整體特點(diǎn)總結(jié) 456.1 確保網(wǎng)絡(luò)平安，業(yè)務(wù)穩(wěn)定運(yùn)行—“好”網(wǎng)絡(luò) 456.2 充分信息共享，提高運(yùn)營效率—“快”人一步 456.3 降低運(yùn)營成本，愛護(hù)已有投資—節(jié)“省” 466.4 方案特點(diǎn)總結(jié) 467 最佳方案實(shí)踐 477.1 蘇州博物館新館 477.2 揚(yáng)州文化藝術(shù)中心 48

展覽類場館市場背景春風(fēng)吹，戰(zhàn)鼓擂，浪濤起，百家動(dòng)，中國的展覽類場館行業(yè)建設(shè)正進(jìn)行著自我的蛻變，以2010上海世博會(huì)為分界線，國內(nèi)展覽類場館行業(yè)必將有一次洗禮性的成長。國內(nèi)的展覽類場館建設(shè)需求還將達(dá)到一個(gè)高度，為什么這么說呢？

第一、是數(shù)量的高度。目前的中國還出于中等國家水準(zhǔn)，全面素養(yǎng)普遍還不夠高，隨著經(jīng)濟(jì)的快速發(fā)展，國人素養(yǎng)的全面提升，國人對社會(huì)、歷史、人文、科技產(chǎn)品等等各個(gè)方面信息的需求與渴望，必將對展覽類場館提出更多更高的需求。其次、是質(zhì)量的高度。就目前的展覽類場館還遠(yuǎn)遠(yuǎn)不能滿意日后高素養(yǎng)國民的參觀需求，國民素養(yǎng)的提升，同樣需求更高質(zhì)量的展覽類場館，也將同時(shí)推動(dòng)著展覽類場館建設(shè)的質(zhì)量。質(zhì)量的高要求，不僅是建筑質(zhì)量本身的要求，更離不開場館信息化的高水平建設(shè)。展館類場館范圍及定義展示類館類：包括博物館、科技館、藝術(shù)館、美術(shù)館、紀(jì)念館、檔案館等，主要是利用展廳來展示物品和資料等；會(huì)議展覽中心：包括會(huì)議中心、展覽中心或綜合會(huì)展中心。主要為外界供應(yīng)會(huì)議和展覽場所；文化中心：包括傳統(tǒng)文化館和綜合性文化藝術(shù)中心，滿意日常民體活動(dòng)等須要；圖書館：各省、地級市圖書館，主要為民眾供應(yīng)圖書借閱、電子閱讀等功能。展館類場館建設(shè)的市場狀況從全國的市場環(huán)境來看：截止2004年國有博物館1617多家.截至2007年底，全國共有文化館（群藝館）3217個(gè)左右.截止2009年底，全國有3400多家圖書館.截止2009年底，全國有300多家科技館、藝術(shù)館、美術(shù)館、紀(jì)念館、檔案館等.截止2009年底，全國有200多家包括會(huì)議中心、展覽中心或綜合會(huì)展中心.截止2009年底，全國有200多座綜合性文化藝術(shù)中心，以滿意日常民體活動(dòng)等須要；……銳捷網(wǎng)絡(luò)僅在2009年就參與了十多個(gè)大型展覽類場館的建設(shè)，如揚(yáng)州文化藝術(shù)中心、邯鄲文化藝術(shù)中心等涉及幾十億的總投資場館建設(shè)，其中銳捷網(wǎng)絡(luò)參與的信息化建設(shè)資金全年累計(jì)上千萬。銳捷網(wǎng)絡(luò)已經(jīng)成為場館行業(yè)信息化建設(shè)的領(lǐng)先者。

需求分析展覽型場館類網(wǎng)絡(luò)平臺建設(shè)目標(biāo)：建設(shè)場館類信息化網(wǎng)絡(luò)平臺，要能夠承載場館類的各類業(yè)務(wù)的穩(wěn)定、牢靠、高速的傳輸，并保證數(shù)據(jù)的平安性；正確區(qū)分內(nèi)外網(wǎng)，保證辦公和業(yè)務(wù)的正常開展，支持公眾平安管理、便捷的上網(wǎng)需求；對于重要的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)進(jìn)行有效愛護(hù)和存儲；具備簡捷易用的網(wǎng)絡(luò)管理平臺。展覽類場館常見場景展覽類場館的典型建筑平面(示意)圖重點(diǎn)區(qū)域?qū)嵕皥D場館常用系統(tǒng)示例-自助導(dǎo)覽系統(tǒng)場館常用系統(tǒng)示例-售票檢票系統(tǒng)場館常用系統(tǒng)示例-建筑智能化系統(tǒng)場館信息點(diǎn)分布區(qū)域展覽類場館網(wǎng)絡(luò)應(yīng)用1、互聯(lián)網(wǎng)訪問辦公用戶的互聯(lián)網(wǎng)訪問：內(nèi)部人員的互聯(lián)網(wǎng)訪問，獲得外網(wǎng)資源門戶網(wǎng)站：包括場館介紹、會(huì)展安排、會(huì)展招商、網(wǎng)上展會(huì)等內(nèi)容；外來人員互聯(lián)網(wǎng)訪問：像觀眾、會(huì)議參與者等，通過無線閱讀互聯(lián)網(wǎng)以便查詢資源2、辦公類業(yè)務(wù)辦公OA系統(tǒng)、視頻學(xué)習(xí)或者視頻會(huì)議系統(tǒng)門禁系統(tǒng)：便利對場館進(jìn)行限制3、場館運(yùn)營業(yè)務(wù)系統(tǒng)場館運(yùn)營管理系統(tǒng)：為管理者供應(yīng)現(xiàn)代化的管理手段，剛好精確的把握場館的經(jīng)營狀況，提高場館的經(jīng)營效益；自助導(dǎo)覽系統(tǒng)：為參觀者供應(yīng)自助的引導(dǎo)、介紹服務(wù)；售票檢票系統(tǒng)；、手持PDA查詢或者無線檢票系統(tǒng)4、視頻流類系統(tǒng)場館安保視頻監(jiān)控視頻、圖書館電子閱覽室、視頻學(xué)習(xí)5、公共區(qū)域會(huì)議廳：可無線覆蓋全會(huì)議廳，供參與會(huì)議的人員運(yùn)用展廳、館前廣場：無線覆蓋全展廳和廣場，便利大家運(yùn)用。展覽類場館網(wǎng)絡(luò)建設(shè)需求高穩(wěn)定辦公類業(yè)務(wù)的穩(wěn)定牢靠的辦理各項(xiàng)工作；場館運(yùn)營業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)拓?fù)淇焖偈諗康男枨?，網(wǎng)絡(luò)不中斷運(yùn)行；視頻流等業(yè)務(wù)網(wǎng)絡(luò)不中斷運(yùn)行的需求，關(guān)鍵時(shí)間段的業(yè)務(wù)正常運(yùn)行的需求；高性能互聯(lián)網(wǎng)訪問點(diǎn)到點(diǎn)的高速數(shù)據(jù)轉(zhuǎn)發(fā)的需求辦公類業(yè)務(wù)快速的傳送電子公文場館運(yùn)營業(yè)務(wù)系統(tǒng)流量的快速轉(zhuǎn)發(fā)的需求，鏈路高帶寬的需求平安可控互聯(lián)網(wǎng)訪問系統(tǒng)的網(wǎng)絡(luò)設(shè)備和用戶接入的平安的需求辦公類業(yè)務(wù)：內(nèi)部辦公網(wǎng)絡(luò)的平安保障場館運(yùn)營業(yè)務(wù)系統(tǒng)的平安準(zhǔn)入公共區(qū)域：外來用戶的身份準(zhǔn)入或者行為審計(jì)，能夠監(jiān)控和管理接入用戶，達(dá)到可控?zé)o線網(wǎng)絡(luò)場館運(yùn)營業(yè)務(wù)系統(tǒng)手持PDA或者無線查票系統(tǒng)公共區(qū)域：用戶的隨意接入網(wǎng)絡(luò)訪問，無線部署的穩(wěn)定和后期的升級，愛護(hù)投資易管理互聯(lián)網(wǎng)訪問的流量精細(xì)化管理的需求辦公類業(yè)務(wù)隨時(shí)對網(wǎng)絡(luò)設(shè)備進(jìn)行檢測、管理場館運(yùn)營業(yè)務(wù)系統(tǒng)異樣流量跟蹤、管理的需求視頻流等業(yè)務(wù)高精度QOS需求公共區(qū)域：能夠監(jiān)控和管理接入用戶，達(dá)到可控場館類業(yè)務(wù)架構(gòu)建設(shè)內(nèi)容網(wǎng)絡(luò)平臺建設(shè)內(nèi)容包括：基礎(chǔ)網(wǎng)絡(luò)建設(shè)：網(wǎng)絡(luò)骨干-網(wǎng)絡(luò)核心與各個(gè)業(yè)務(wù)系統(tǒng)之間的網(wǎng)絡(luò)高速馬路;無線網(wǎng)絡(luò)-供應(yīng)敏捷、移動(dòng)的各種無線業(yè)務(wù)，隨時(shí)隨地的便利接入;外網(wǎng)出口-供應(yīng)Internet訪問與外網(wǎng)訪問平安限制保證;數(shù)據(jù)中心建設(shè)-供應(yīng)資源、業(yè)務(wù)和數(shù)據(jù)存儲中心，為場館供應(yīng)穩(wěn)定、牢靠的業(yè)務(wù)支撐;場館網(wǎng)絡(luò)平安規(guī)劃：外網(wǎng)用戶身份鑒別；內(nèi)網(wǎng)終端的身份鑒別和終端平安；WEB服務(wù)器的平安防衛(wèi)；網(wǎng)絡(luò)管理平臺：有效的網(wǎng)絡(luò)流量管理；網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理；網(wǎng)絡(luò)管理的可視化；有效的配置管理。建設(shè)原則好用性和經(jīng)濟(jì)性系統(tǒng)建設(shè)應(yīng)始終貫徹面對應(yīng)用，留意實(shí)效的方針，堅(jiān)持好用、經(jīng)濟(jì)的原則，建設(shè)場館信息化建設(shè)的網(wǎng)絡(luò)擴(kuò)展系統(tǒng)，愛護(hù)用戶的投資。先進(jìn)性和成熟性系統(tǒng)設(shè)計(jì)既要采納先進(jìn)的概念、技術(shù)和方法，又要留意結(jié)構(gòu)、設(shè)備、工具的相對成熟。不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿?，能保證在將來若干年內(nèi)占主導(dǎo)地位，保證場館網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位，并隨時(shí)進(jìn)行擴(kuò)展和升級。牢靠性和穩(wěn)定性在考慮技術(shù)先進(jìn)性和開放性的同時(shí)，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及修理實(shí)力等方面著手，確保系統(tǒng)運(yùn)行的牢靠性和穩(wěn)定性，達(dá)到最大的平均無故障時(shí)間。平安性和保密性在系統(tǒng)設(shè)計(jì)中，既考慮信息資源的充分共享，更要留意信息的愛護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，實(shí)行不同的措施，包括防火墻隔離、上網(wǎng)審計(jì)、系統(tǒng)平安機(jī)制、數(shù)據(jù)存取的權(quán)限限制等，銳捷網(wǎng)絡(luò)充分考慮平安性，針對場館的各種應(yīng)用，有多種的愛護(hù)機(jī)制，如劃分VLAN、MAC地址綁定、協(xié)作ACL、NAT、802.1x認(rèn)證機(jī)制、上網(wǎng)日志記錄等具體技術(shù)提升整個(gè)網(wǎng)絡(luò)的平安性。可擴(kuò)展性和可管理性為了適應(yīng)系統(tǒng)變更的要求，必需充分考慮以最簡便的方法、最低的投資，實(shí)現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)。為了便于擴(kuò)展，對于核心設(shè)備必需采納模塊化高密度端口的設(shè)備，接入層設(shè)備最好采納堆疊的方式，便于將來升級和擴(kuò)展。另外全線采納基于SNMP標(biāo)準(zhǔn)的可網(wǎng)管產(chǎn)品，達(dá)到全程網(wǎng)管，降低了人力資源的費(fèi)用，提高網(wǎng)絡(luò)的易用性、可管理性，同時(shí)又具有很好的可擴(kuò)充性。

穩(wěn)定、牢靠、高性能的基礎(chǔ)網(wǎng)絡(luò)建設(shè)整體網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D網(wǎng)絡(luò)骨干設(shè)計(jì)業(yè)務(wù)隔離分析由于展覽類場館的業(yè)務(wù)特點(diǎn)，所以一般只建設(shè)一套物理的網(wǎng)絡(luò)系統(tǒng)，但由于有多套有平安性隔離要求得業(yè)務(wù)系統(tǒng)，所以展覽類場館的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)一般為物理合一、邏輯隔離的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，而各種不同的業(yè)務(wù)系統(tǒng)一般通過VLAN做業(yè)務(wù)隔離。組網(wǎng)架構(gòu)分析星型和環(huán)形都支持系統(tǒng)冗余，供應(yīng)牢靠性保證，但他們的應(yīng)用流量模型是完全不一樣的，星型結(jié)構(gòu)適合于流量集中的局域網(wǎng)骨干，而環(huán)形適合的是分布式、分散流量訪問的廣域網(wǎng)模式（如Internet）。正是由于星型網(wǎng)絡(luò)的優(yōu)點(diǎn)：路由跳數(shù)最短、牢靠性更高、路由表易于聚會(huì)、流向簡潔有序集中，所以展覽類場館的網(wǎng)絡(luò)核心架構(gòu)實(shí)行雙星型結(jié)構(gòu)組網(wǎng)。核心設(shè)備選型對于展覽場館來說，網(wǎng)絡(luò)核心是整個(gè)園區(qū)網(wǎng)高效能工作的重中之重，同時(shí)保證基本的連通性之外還必需保證業(yè)務(wù)的不間斷運(yùn)行，因此我們建議采納肯定的冗余機(jī)制使園區(qū)網(wǎng)可以承載業(yè)務(wù)系統(tǒng)不間斷的給整個(gè)園區(qū)網(wǎng)供應(yīng)相應(yīng)的應(yīng)用業(yè)務(wù)。同時(shí)，展覽園區(qū)網(wǎng)這個(gè)平臺必需滿意下屬部門的業(yè)務(wù)流量需求，還須要考慮到將來幾年的業(yè)務(wù)發(fā)展，具有很強(qiáng)的性能和高可擴(kuò)展性。整體設(shè)計(jì)還必需考慮到展覽館部分的特殊應(yīng)用性和業(yè)務(wù)數(shù)據(jù)的重要性，因此須要保障網(wǎng)絡(luò)通訊平安和數(shù)據(jù)平安，防止因平安事務(wù)造成的數(shù)據(jù)泄密而導(dǎo)致的損失。依據(jù)牢靠性、穩(wěn)定性、擴(kuò)展性、性能上的分析，同時(shí)從愛護(hù)投資角度考慮，網(wǎng)絡(luò)核心建議選用兩臺基于十萬兆平臺的高性能的銳捷核心IPv6核心路由交換機(jī)RG-S8600互為容錯(cuò)備份，并在核心交換機(jī)中采納關(guān)鍵模塊冗余設(shè)計(jì)（如雙電源冗余等），核心、匯聚、接入層都采納雙鏈路連接，構(gòu)成一個(gè)環(huán)路架構(gòu)。。RG-S8600系列交換機(jī)是銳捷網(wǎng)絡(luò)推出的以業(yè)務(wù)為核心、面對下一代網(wǎng)絡(luò)的十萬兆骨干路由交換機(jī)，供應(yīng)大容量、高密度、模塊化體系架構(gòu)，在供應(yīng)穩(wěn)定、牢靠、平安的高性能L2/L3層交換服務(wù)基礎(chǔ)上，具有強(qiáng)大組播功能、基于策略的QOS、有效的平安管理機(jī)制和電信級的高牢靠設(shè)計(jì)，滿意現(xiàn)代網(wǎng)絡(luò)的多種業(yè)務(wù)承載融合和業(yè)務(wù)敏捷分類、分流的組網(wǎng)需求?？梢砸罁?jù)用戶的需求敏捷配置，構(gòu)建彈性可擴(kuò)展的現(xiàn)代IP網(wǎng)絡(luò)。核心設(shè)備平安技術(shù)網(wǎng)絡(luò)設(shè)備（特殊是網(wǎng)絡(luò)核心設(shè)備）的平安穩(wěn)定干脆關(guān)系到整個(gè)網(wǎng)絡(luò)是否可以穩(wěn)定、牢靠的運(yùn)行，因此，針對目前網(wǎng)絡(luò)上核心設(shè)備所面臨的平安問題，銳捷網(wǎng)絡(luò)有針對性的開發(fā)設(shè)計(jì)了一系列技術(shù)，以保證設(shè)備自身的平安，反抗外來攻擊，確保整個(gè)網(wǎng)絡(luò)平安穩(wěn)定的運(yùn)行。如NFPP模塊聯(lián)合CPP模塊，在平安防護(hù)設(shè)備的同時(shí)隔絕了非法源頭，防止擔(dān)憂全數(shù)據(jù)的擴(kuò)散。同時(shí)通過SPOH技術(shù)，保證設(shè)備在配置大量平安策略的同時(shí)依舊穩(wěn)定牢靠。穩(wěn)定牢靠網(wǎng)絡(luò)核心-GR穩(wěn)定牢靠網(wǎng)絡(luò)核心-GR50ms無丟包快速倒換-RERP50ms無丟包快速倒換-RERPCPP抗攻擊愛護(hù)CPP抗攻擊愛護(hù)策略匯聚層設(shè)計(jì)匯聚層對于場館類用戶來說特別重要，主要是場館類用戶的信息點(diǎn)一般都比較分散，有大量的接入設(shè)備須要匯聚；同時(shí)，場館類用戶還有業(yè)務(wù)隔離的要求，須要部署各種隔離的平安策略。而依據(jù)經(jīng)典的網(wǎng)絡(luò)設(shè)計(jì)理念，核心設(shè)備只做數(shù)據(jù)的高速轉(zhuǎn)發(fā)功能，其他平安限制等功能都規(guī)劃在匯聚層設(shè)備上實(shí)現(xiàn)，防止因?yàn)榻尤雽拥臄?shù)據(jù)風(fēng)暴或二層攻擊干脆攻擊核心設(shè)備，引起整網(wǎng)的動(dòng)蕩，所以必需采納核心、匯聚和接入的三層網(wǎng)絡(luò)架構(gòu)?？紤]到將來可能的萬兆線路擴(kuò)展和產(chǎn)品性價(jià)比，同時(shí)為了便于對全網(wǎng)進(jìn)行OSPF路由部署，所以建議在匯聚層運(yùn)用銳捷萬兆智能多層光匯聚交換機(jī)S5750-24GT/12SFP。S5750通過兩條千兆線路各自上聯(lián)主/備兩臺核心交換機(jī)，保證網(wǎng)絡(luò)核心的穩(wěn)定牢靠，并可支持最大12個(gè)千兆光接口，很便利的實(shí)現(xiàn)網(wǎng)絡(luò)擴(kuò)容。匯聚交換機(jī)部署在不同的樓宇和工作區(qū)，其內(nèi)置平安機(jī)制，不僅阻斷了IP掃描和DoS攻擊，保證了網(wǎng)絡(luò)骨干是健全的，還愛護(hù)了核心層設(shè)備的平安。接入層設(shè)計(jì)場館類網(wǎng)絡(luò)系統(tǒng)中比較簡潔出的幾類內(nèi)部平安分別是：ARP欺瞞；DHCP仿冒；身份認(rèn)證；線路環(huán)路與線纜故障等針對這些問題，在網(wǎng)絡(luò)設(shè)計(jì)時(shí)，都加以了設(shè)計(jì)考慮，采納了平安的接入交換機(jī)RG-S2600，可以有效的解決上述問題。S2600的多生成樹協(xié)議MSTP可以有效的阻斷線路環(huán)路，避開因?yàn)榄h(huán)路故障，造成的整網(wǎng)震蕩；智能的單向鏈路檢測，檢測并關(guān)閉物理和邏輯單向連接，并阻擋其他協(xié)議（如：STP協(xié)議）的失效，防止業(yè)務(wù)中斷；線纜檢測：利用時(shí)域反射原理自動(dòng)檢測端口直連線纜狀態(tài)，可自動(dòng)檢測出故障線纜的位置。便利網(wǎng)絡(luò)管理者輕松推斷網(wǎng)絡(luò)斷路故障點(diǎn)，有效降低故障處理時(shí)間。S2600交換機(jī)可以支持DAI和DHCPSnooping功能，可有抵擋ARP欺瞞/攻擊與DHCP仿冒問題，從而根本上解決地址冒用的問題。S2600交換機(jī)通全面支持基于802.1X和WEB準(zhǔn)入的認(rèn)證方式：1、運(yùn)用閱讀器即可認(rèn)證，不變更用戶運(yùn)用習(xí)慣，不須要安裝客戶端。2、兼容全部自帶閱讀器的操作系統(tǒng)。WIN98、蘋果等用戶也可正常認(rèn)證。3、供應(yīng)第三方接口，可與門戶等平臺對接，實(shí)現(xiàn)單點(diǎn)登錄、信息整合等功能。4、支持在不同的區(qū)域開啟不同的登錄方式。5、無論用戶在何處，用何種終端，認(rèn)證方式都是認(rèn)證系統(tǒng)依據(jù)其身份授權(quán)的。簡潔便捷的實(shí)現(xiàn)用戶的身份認(rèn)證，無須平安客戶端。無線網(wǎng)絡(luò)設(shè)計(jì)場館無線業(yè)務(wù)分析展覽類場館的無線數(shù)據(jù)業(yè)務(wù)從應(yīng)用上主要分為無線辦公上網(wǎng)、公共區(qū)域上網(wǎng)、無線業(yè)務(wù)（例如無線視頻會(huì)議/無線檢票系統(tǒng)等）和語音類業(yè)務(wù)VoWLAN這四大類。由于這四類不同的業(yè)務(wù)接入的終端不同，數(shù)據(jù)之間也基本沒有共享要求，且不同業(yè)務(wù)之間要求隔離。出于技術(shù)和成本的考慮，場館是不行能建設(shè)多套無線網(wǎng)絡(luò)系統(tǒng)的，只可能建設(shè)一套無線系統(tǒng)，而為了保證數(shù)據(jù)平安，業(yè)務(wù)又必需相互隔離，那么就必須要?jiǎng)澐譄o線網(wǎng)絡(luò)的虛擬服務(wù)，即為不同的業(yè)務(wù)開啟不同的SSID。這樣，就可以在同一套網(wǎng)絡(luò)中傳輸不同的業(yè)務(wù)而不會(huì)造成平安泄密問題了。同時(shí)，場館無線項(xiàng)目的用戶數(shù)一般并不多，而無線業(yè)務(wù)的應(yīng)用會(huì)隨著場館類不斷開展而持續(xù)增加。出于整體考慮，無線網(wǎng)絡(luò)初期不建議鋪的過大，造成投資奢侈，所以應(yīng)穩(wěn)健的先建立部分無線應(yīng)用的試點(diǎn)，等業(yè)務(wù)成熟后在規(guī)模應(yīng)用。無線網(wǎng)絡(luò)初期設(shè)計(jì)展覽類場館項(xiàng)目初期建設(shè)時(shí)，由于很多業(yè)務(wù)系統(tǒng)沒有建設(shè)完成，對于如何建設(shè)無線網(wǎng)絡(luò)是有些顧慮的（比如是交給運(yùn)營商承建還是自建）。可是類似公共區(qū)域上網(wǎng)等少數(shù)區(qū)域又急著要上馬無線應(yīng)用，那么初期無線建設(shè)就必須要采納自治型無線系統(tǒng)（FATAP）結(jié)構(gòu)，不配置無線限制器，只保證小范圍的無線用戶上網(wǎng)需求，有效節(jié)約投資；可是傳統(tǒng)的自治型無線接入點(diǎn)架構(gòu)，每個(gè)無線接入點(diǎn)都是一個(gè)獨(dú)立的管理與工作單元，無線接入點(diǎn)之間無法進(jìn)行任何溝通，不適用于全網(wǎng)設(shè)備進(jìn)行統(tǒng)一管理，考慮到后期可能采納集中管理的FITAP結(jié)構(gòu)，為了避開投資奢侈，所選用的接入節(jié)點(diǎn)必須要能支持胖、瘦AP前換實(shí)力，便于后期無線網(wǎng)絡(luò)建設(shè)時(shí)可以干脆適用。建議在展覽場館的無線網(wǎng)絡(luò)建設(shè)初期采納銳捷網(wǎng)絡(luò)的室內(nèi)增加型無線接入節(jié)點(diǎn)RG-AP220系列設(shè)備，為場館用戶搭建簡便高效的無線網(wǎng)絡(luò)，采納該設(shè)備優(yōu)勢如下：業(yè)界最敏捷的工作模式RG-AP220-E產(chǎn)品可支持Fat（胖）和Fit（瘦）兩種工作模式，可以依據(jù)不同行業(yè)客戶的組網(wǎng)須要，無需進(jìn)行困難的復(fù)位操作，隨時(shí)敏捷的進(jìn)行切換，馬上生效。當(dāng)客戶的無線信息點(diǎn)較少時(shí)，RG-AP220-E可工作在Fat（胖）模式，可自行獨(dú)立組網(wǎng)運(yùn)用；當(dāng)客戶的無線信息點(diǎn)達(dá)到肯定規(guī)模時(shí)，RG-AP220-E可工作在Fit（瘦）模式，并協(xié)作銳捷網(wǎng)絡(luò)WS系列無線限制器產(chǎn)品運(yùn)用，由無線限制器產(chǎn)品集中限制，達(dá)到全網(wǎng)一體化的控管、平安、流量管理、QoS、IP管理等全面限制。通過兩種模式的自然過渡，充分的愛護(hù)客戶的投資。更強(qiáng)的信號覆蓋AP產(chǎn)品憑借業(yè)界最先進(jìn)的3X3MIMO天線架構(gòu)，可運(yùn)用戶獲得更大的覆蓋范圍。雙路架構(gòu)可確保11n客戶的高速接入RG-WS無線限制器產(chǎn)品專為IEEE802.11n設(shè)計(jì)，協(xié)作銳捷網(wǎng)絡(luò)802.11n系列無線接入點(diǎn)產(chǎn)品，可供應(yīng)傳輸帶寬高達(dá)單路300Mbps、雙路600Mbps的無線網(wǎng)絡(luò)。同時(shí)，利用先進(jìn)的本地轉(zhuǎn)發(fā)技術(shù)，避開了無線限制器的流量轉(zhuǎn)發(fā)瓶頸，可快速實(shí)現(xiàn)802.11n無線網(wǎng)絡(luò)部署與傳輸。對AP來說，在傳統(tǒng)的802.11n模式下，往往由于802.11n可分別在2.4或5GHz的頻段分別向下兼容802.11b/g或802.11a協(xié)議，而實(shí)際客觀存在大量的802.11b/g網(wǎng)卡用戶，這樣802.11b/g用戶也能接入到11n的AP上，這將導(dǎo)致AP為了向下協(xié)商適應(yīng)較低協(xié)議速率的用戶，而犧牲802.11n網(wǎng)卡客戶的速度性能，造成802.11n網(wǎng)卡客戶的速度大幅下降，11n的300Mbps的優(yōu)勢無法得到發(fā)揮。AP采納雙路雙頻硬件架構(gòu)，可支持同時(shí)工作在802.11a/n和802.11b/g/n模式，革命性地解決了這一難題。通過兩路都供應(yīng)用戶接入，可將一路工作在5GHz的射頻配置為only11n模式，特地為802.11n網(wǎng)卡客戶供應(yīng)高速接入體驗(yàn)；另一路工作在2.4GHz的射頻配置為混合兼容模式，以確保傳統(tǒng)的802.11g客戶的正常接入，圓滿地為不同用戶分別供應(yīng)最佳適應(yīng)性的上網(wǎng)體驗(yàn)。智能無線網(wǎng)絡(luò)設(shè)計(jì)（升級改造規(guī)劃）依據(jù)無線網(wǎng)絡(luò)的設(shè)計(jì)原則，銳捷網(wǎng)絡(luò)建議采納先進(jìn)的智能無線交換網(wǎng)絡(luò)架構(gòu)作為場館類整體無線網(wǎng)絡(luò)解決方案技術(shù)的核心思想，采納支持智能轉(zhuǎn)發(fā)功能的無線局域網(wǎng)交換機(jī)，協(xié)作部署在各樓棟接入層的智能管理型無線接入點(diǎn)產(chǎn)品，以及無線網(wǎng)絡(luò)集中管理平臺，完成整個(gè)無線網(wǎng)絡(luò)。自治型無線接入點(diǎn)的缺乏全面管理的缺陷，一些廠商起先推出新的無線網(wǎng)絡(luò)架構(gòu)，即“無線局域網(wǎng)交換機(jī)＋遠(yuǎn)程輕型無線接入點(diǎn)”結(jié)構(gòu)，可以滿意全部的無線接入點(diǎn)全部受到無線局域網(wǎng)交換機(jī)的統(tǒng)一控管，這種組網(wǎng)架構(gòu)和相應(yīng)產(chǎn)品的出現(xiàn)，使得無線網(wǎng)絡(luò)的整體管理實(shí)力、平安防衛(wèi)實(shí)力得到完全的改善，使得無線網(wǎng)絡(luò)的組網(wǎng)變得輕松、易管理。到了這一階段，可以說無線網(wǎng)絡(luò)的解決方案已經(jīng)上升到了一個(gè)新的臺階。雖然這種組網(wǎng)架構(gòu)完全解決了對無線網(wǎng)絡(luò)的管理和限制的問題，但是依舊存在缺陷。這種缺陷在無線網(wǎng)絡(luò)規(guī)模較小的時(shí)候并不會(huì)構(gòu)成隱患，但是隨著無線網(wǎng)絡(luò)的漸漸普及，尤其是各行業(yè)內(nèi)越來越多的組建大規(guī)模的無線網(wǎng)絡(luò)時(shí)（100臺無線接入點(diǎn)以上），在這種解決方案架構(gòu)中，全部的無線接入點(diǎn)設(shè)備所吞吐的數(shù)據(jù)流量（用戶數(shù)據(jù)、設(shè)備管理數(shù)據(jù)）都要通過加密隧道，集中的流經(jīng)無線局域網(wǎng)交換機(jī)承載與處理，再通過其轉(zhuǎn)發(fā)給相應(yīng)的有線網(wǎng)絡(luò)送達(dá)目的地，這必定會(huì)導(dǎo)致無線局域網(wǎng)交換機(jī)成為大流量數(shù)據(jù)匯聚的中心。而無線局域網(wǎng)交換機(jī)均采納“X86＋ASIC”的類服務(wù)器硬件架構(gòu)，對外供應(yīng)千兆端口連接，也就是說其最大的數(shù)據(jù)處理與吞吐實(shí)力不會(huì)超過2Gbps，依據(jù)每臺無線接入點(diǎn)的真實(shí)包吞吐實(shí)力在15～20Mbps計(jì)算，事實(shí)上每臺無線局域網(wǎng)交換機(jī)最大128臺無線接入點(diǎn)的數(shù)據(jù)集中轉(zhuǎn)發(fā)，假如超過這個(gè)規(guī)模，無線局域網(wǎng)交換機(jī)就會(huì)成為流量瓶頸，必需再增加無線局域網(wǎng)交換機(jī)設(shè)備才能擴(kuò)充解決。特殊是隨著802.11n傳輸協(xié)議的到來，單個(gè)無線接入點(diǎn)的連接速率將提高到1000Mbps（轉(zhuǎn)發(fā)效率在150M）以上，無線限制器架構(gòu)將不再適合擔(dān)當(dāng)全部流量的集中處理，同時(shí)對于延遲敏感的語音傳輸?shù)纫矡o法適應(yīng)。因此，針對這一現(xiàn)狀，銳捷網(wǎng)絡(luò)推出了滿意中、大型場館類無線接入需求的RG-WS5302千兆無線限制器和RG-WS5708萬兆無線限制器?？晒?yīng)強(qiáng)大的處理實(shí)力和多業(yè)務(wù)擴(kuò)展，可突破三層網(wǎng)絡(luò)保持與AP的通信，部署在任何2層或3層網(wǎng)絡(luò)結(jié)構(gòu)中，無需改動(dòng)任何網(wǎng)絡(luò)架構(gòu)，從而供應(yīng)無縫的平安的無線網(wǎng)絡(luò)限制。敏捷的配置方式從16個(gè)無線節(jié)點(diǎn)到最大可支持768個(gè)無線接入點(diǎn)的管理，全面滿意用戶各種規(guī)模的無線應(yīng)用。RG-WS無線限制器可針對無線網(wǎng)絡(luò)實(shí)施強(qiáng)大的集中式可視化的管理和限制，顯著簡化原本實(shí)施困難、部署困難的無線網(wǎng)絡(luò)。通過與銳捷網(wǎng)絡(luò)有線無線統(tǒng)一集中管理平臺RG-SNC以及無線接入點(diǎn)的協(xié)作，敏捷地限制無線接入點(diǎn)的配置，優(yōu)化射頻覆蓋效果和性能，同時(shí)還可實(shí)現(xiàn)集群化管理，將大型網(wǎng)絡(luò)中的設(shè)備部署工作量將至最低。高性能高牢靠的組網(wǎng)方式集中/分布式一體化的智能交換RG-WS無線限制器可部署于二層或三層網(wǎng)絡(luò)中，且無需改動(dòng)原有網(wǎng)絡(luò)架構(gòu)，與無線AP組成整體交換架構(gòu)，便利限制和處理全部AP上的數(shù)據(jù)交換。業(yè)界領(lǐng)先的本地轉(zhuǎn)發(fā)技術(shù)，徹底突破了無線限制器的流量瓶頸限制。RG-WS無線限制器通過本地轉(zhuǎn)發(fā)技術(shù)，可敏捷配置AP的數(shù)據(jù)轉(zhuǎn)發(fā)模式。即依據(jù)網(wǎng)絡(luò)的SSID和用戶VLAN的規(guī)劃，確定數(shù)據(jù)是否須要全部經(jīng)過RG-WS轉(zhuǎn)發(fā)，或干脆進(jìn)入有線網(wǎng)絡(luò)進(jìn)行本地交換。本地轉(zhuǎn)發(fā)技術(shù)將延遲敏感、傳輸要求實(shí)時(shí)性高的數(shù)據(jù)通過有線網(wǎng)絡(luò)轉(zhuǎn)發(fā)，在802.11n的大流量吞吐下，可以大大緩解RG-WS交換機(jī)的流量壓力，更好的適應(yīng)將來無線網(wǎng)絡(luò)更高流量傳輸?shù)囊螅T如高清視頻點(diǎn)播、VoWLAN傳輸?shù)?。敏捷的WDS組網(wǎng)模式AP產(chǎn)品支持WDS（無線分布式系統(tǒng)）技術(shù)，可供應(yīng)AP覆蓋、點(diǎn)對點(diǎn)/點(diǎn)對多點(diǎn)無線網(wǎng)橋、無線中繼模式，分別滿意了大范圍無線覆蓋、遠(yuǎn)距離高速無線互聯(lián)的網(wǎng)絡(luò)需求，徹底解決了大規(guī)模無線部署的傳統(tǒng)問題，同時(shí)為無線與有線網(wǎng)絡(luò)的無縫結(jié)合供應(yīng)了條件，可保證無線信號被傳遞到較遠(yuǎn)的區(qū)域進(jìn)行無線覆蓋或連接有線網(wǎng)絡(luò)。完備實(shí)現(xiàn)用戶漫游訪問通過與WS系列無線限制器產(chǎn)品的協(xié)作，無線用戶在AP之間移動(dòng)訪問時(shí)，可以保證二層網(wǎng)絡(luò)和三層網(wǎng)絡(luò)的無縫漫游，用戶在過程中不會(huì)感覺到數(shù)據(jù)訪問的中斷。全網(wǎng)無縫漫游RG-WS無線限制器支持先進(jìn)的無線限制器集群技術(shù)，在多臺RG-WS交換機(jī)之間可實(shí)時(shí)同步全部用戶在線連接信息和漫游記錄。當(dāng)無線用戶漫游時(shí)，通過集群內(nèi)對用戶的信息和授權(quán)信息的共享，使得用戶可以跨越整個(gè)無線網(wǎng)絡(luò)，并保持良好的移動(dòng)性和平安性，保持IP地址與認(rèn)證狀態(tài)不變，從而實(shí)現(xiàn)快速漫游和語音的支持。敏捷完備的平安策略用戶數(shù)據(jù)加密平安支持完整的數(shù)據(jù)平安保障機(jī)制，可支持WEP、TKIP和AES加密技術(shù)，徹底保證無線網(wǎng)絡(luò)的數(shù)據(jù)傳輸平安。無線產(chǎn)品全面支持中國無線局域網(wǎng)國家標(biāo)準(zhǔn)（GB15629.11-2003）中的平安等級更高的WAPI（無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)），可供應(yīng)業(yè)界最高等級的無線平安愛護(hù)。支持虛擬無線分組技術(shù)通過虛擬無線接入點(diǎn)（VirtualAP）技術(shù)，整機(jī)可最大供應(yīng)32個(gè)ESSID，支持32個(gè)802.1QVLAN，網(wǎng)管人員可以對運(yùn)用相同SSID的子網(wǎng)或VLAN單獨(dú)實(shí)施加密和隔離，并可針對每個(gè)SSID配置單獨(dú)的認(rèn)證方式、加密機(jī)制等。標(biāo)準(zhǔn)CAPWAP加密隧道確保傳輸平安無線產(chǎn)品與銳捷網(wǎng)絡(luò)WS系列無線限制器以國際標(biāo)準(zhǔn)的CAPWAP加密隧道模式通信，確保了數(shù)據(jù)傳輸過程中的內(nèi)容平安。射頻平安在銳捷網(wǎng)絡(luò)一體化網(wǎng)管系統(tǒng)RG-SNC、WS系列無線限制器產(chǎn)品的協(xié)作下，AP產(chǎn)品可啟用射頻探針掃描機(jī)制，實(shí)時(shí)發(fā)覺非法接入點(diǎn)、或其它射頻干擾源，并供應(yīng)相應(yīng)的告警，使網(wǎng)管人員可隨時(shí)監(jiān)控各個(gè)無線環(huán)境中的潛在威逼和運(yùn)用狀況。無需更改有線網(wǎng)結(jié)構(gòu)無線網(wǎng)絡(luò)并不是獨(dú)立的網(wǎng)絡(luò)，須要與有線網(wǎng)絡(luò)很好的融合在一起工作，因此，為了避開在規(guī)劃中的無線網(wǎng)絡(luò)部署影響到有線網(wǎng)絡(luò)的路由和VLAN等部署，采納智能無線交換網(wǎng)絡(luò)架構(gòu)就可以做到無需更改有線網(wǎng)絡(luò)結(jié)構(gòu)的目的。在該網(wǎng)絡(luò)架構(gòu)中，全部無線用戶的數(shù)據(jù)傳輸，是通過智能無線接入點(diǎn)AP-220產(chǎn)品與智能無線限制器WS5300/5700產(chǎn)品之間建立的國際成熟的主流標(biāo)準(zhǔn)CAPWAP隧道技術(shù)來完成互連，無線用戶的VLAN無須在接入層和匯聚層存在。無線用戶的VLAN是可透過無線限制器在整個(gè)中心網(wǎng)絡(luò)機(jī)房和骨干交換機(jī)互連互通，同時(shí)也特別便利進(jìn)行擴(kuò)展。智能無線接入點(diǎn)則可以放置于場館中心須要部署的任何地方，無需用干脆連接到智能無線限制器，他們之間可以輕松地通過跨越三層進(jìn)行隧道數(shù)據(jù)交換。同時(shí)，無需擔(dān)憂無線用戶的VLAN會(huì)破壞原有有線網(wǎng)絡(luò)的VLAN部署，全部工作可以在無線限制器上統(tǒng)一劃分，這對于規(guī)模如此浩大的場館無線網(wǎng)絡(luò)的集中管理帶來極大的便利性。無線部署區(qū)域XX展覽中心須要覆蓋無線網(wǎng)絡(luò)的區(qū)域有：辦公區(qū)、室內(nèi)展廳、廣場展廳、會(huì)議廳。具體的無線接入點(diǎn)分布如下室內(nèi)覆蓋辦公區(qū)室內(nèi)展廳1室內(nèi)展廳2廣場展廳會(huì)議廳四層三層二層一層合計(jì)網(wǎng)絡(luò)出口設(shè)計(jì)場館網(wǎng)絡(luò)出口現(xiàn)狀國內(nèi)的場館網(wǎng)絡(luò)經(jīng)過多年持續(xù)不斷的基礎(chǔ)設(shè)施建設(shè)和應(yīng)用提升，已經(jīng)形成了較為穩(wěn)定的信息化基礎(chǔ)架構(gòu)、相對豐富的場館網(wǎng)應(yīng)用平臺。但是，在追求信息共享、資源整合的今日，有一個(gè)問題長期以來始終困擾著大家——這就是場館網(wǎng)出口區(qū)域。實(shí)踐中會(huì)發(fā)覺，眾多機(jī)構(gòu)都測試了多個(gè)廠商的設(shè)備，卻未能很好的解決問題，無法取得志向的效果。作為場館網(wǎng)絡(luò)平臺的“門戶”——出口區(qū)域，擔(dān)當(dāng)著機(jī)構(gòu)之間相互溝通的窗口的重大作用，場館網(wǎng)出口長期處于“亞健康”狀態(tài)。

當(dāng)前場館網(wǎng)出口面臨的挑戰(zhàn)出口設(shè)備NAT性能瓶頸出口設(shè)備要支持NAT（地址轉(zhuǎn)換）是已經(jīng)形成共識的。一方面，場館網(wǎng)運(yùn)用私有地址的狀況，訪問Internet須要進(jìn)行NAT；另一方面，即使場館網(wǎng)絡(luò)通過電信或者網(wǎng)通的線路訪問外部資源，仍舊須要進(jìn)行NAT（地址轉(zhuǎn)換），因?yàn)殡娦潘才诺牡刂犯邢?。NAT（地址轉(zhuǎn)換）等于給出口設(shè)備增加了一項(xiàng)很重要的任務(wù)，但是，從實(shí)際狀況來看，NAT卻成為了上網(wǎng)速度慢的一個(gè)重要緣由。究其根本，設(shè)備的NAT轉(zhuǎn)發(fā)性能是一個(gè)很大的緣由。帶寬運(yùn)用失控問題網(wǎng)絡(luò)基礎(chǔ)設(shè)施在提升，出口帶寬在增加，各種網(wǎng)絡(luò)應(yīng)用也更加豐富。但是，某些用戶或者應(yīng)用（如BT等P2P應(yīng)用）卻在過多的占用著網(wǎng)絡(luò)資源。有試驗(yàn)證明，出口帶寬無論禁止P2P應(yīng)用還是不禁止P2P應(yīng)用都會(huì)跑滿。簡潔理解，明顯場館網(wǎng)在不禁止P2P的情形下，P2P的流量不管大小，都已經(jīng)在影響出口正常流量所占帶寬了。但從另一個(gè)側(cè)面解讀，即使出口帶寬不斷提升，同樣各種P2P應(yīng)用依舊會(huì)占據(jù)大量出口帶寬。多出口帶寬利用不充分當(dāng)前場館網(wǎng)為了提高訪問速度須要多出口互聯(lián)。電信、網(wǎng)通等運(yùn)營商僅在上海、北京、廣州三地有交互中心，且互聯(lián)帶寬還不夠高。出口線路無法智能選路。造成部分用戶訪問外網(wǎng)速度慢，管理員不得不常常跟蹤各ISP新的地址表，在出口設(shè)備上不斷增加路由規(guī)則。牢靠性設(shè)計(jì)不健全當(dāng)下，對服務(wù)質(zhì)量要求越來越高，用戶對網(wǎng)絡(luò)這一平臺的依靠性和期望值也越來越高，而場館網(wǎng)出口的不行用將導(dǎo)致整個(gè)園區(qū)與外界的隔斷，園區(qū)內(nèi)與園區(qū)外的任何互訪、信息互通都無法實(shí)現(xiàn)。絕大多數(shù)場館網(wǎng)出口區(qū)域，單設(shè)備、單鏈路的現(xiàn)象還占據(jù)主要位置。對于設(shè)備的冗余、鏈路的備份，以及在出現(xiàn)任何設(shè)備或者鏈路故障下的自動(dòng)切換，也僅僅是少數(shù)園區(qū)才能達(dá)到的水平。那么，如何打造出口的高可用性？如何實(shí)現(xiàn)出口自動(dòng)調(diào)整對用戶的透亮性？即，用戶無需理解困難的出口技術(shù)，只須要體驗(yàn)最快的網(wǎng)速。這些問題都擺在了網(wǎng)絡(luò)管理者的面前。用戶上網(wǎng)行為缺乏管理《互聯(lián)網(wǎng)平安愛護(hù)技術(shù)措施規(guī)定》在2005年11月23日公安部部長辦公會(huì)議通過，并自2006年3月1日起施行。（該規(guī)定簡稱“82號令”）規(guī)定對用戶信息、用戶上網(wǎng)記錄、地址轉(zhuǎn)換記錄、設(shè)備狀態(tài)記錄等都要記錄。用戶上網(wǎng)行為缺乏事前預(yù)防，事中限制，事后審計(jì)，也給信息中心帶來巨大的管理壓力。

用戶網(wǎng)絡(luò)行為平安性無法保障隨著越來月普及的網(wǎng)絡(luò)資源，用戶可以時(shí)時(shí)刻刻享受網(wǎng)絡(luò)服務(wù)，但是網(wǎng)絡(luò)的存在是為了更好的工作而不是用于個(gè)人利用，現(xiàn)在很多用戶上班時(shí)間嬉戲，炒股，閑聊等網(wǎng)絡(luò)行為大大影響了工作效率，這樣就迫切須要一張可限制的網(wǎng)絡(luò)來規(guī)范用戶的網(wǎng)絡(luò)行為；出口解決方案設(shè)計(jì)在出口區(qū)域，我們?yōu)榱私鉀Q上述問題，部署了一臺網(wǎng)絡(luò)平安多功能合一的專業(yè)的網(wǎng)絡(luò)出口網(wǎng)關(guān)EG易網(wǎng)關(guān)設(shè)備，最大限度的實(shí)現(xiàn)各種出口平安功能部署，為用戶建立一張平安，可信，高速的網(wǎng)絡(luò)；EasyGate易網(wǎng)關(guān)（以下簡稱EG）是銳捷網(wǎng)絡(luò)公司推出的一款解決當(dāng)下網(wǎng)絡(luò)出口難題的多業(yè)務(wù)綜合網(wǎng)關(guān)產(chǎn)品。作為銳捷網(wǎng)絡(luò)完全自主研發(fā)的綜合網(wǎng)關(guān)，EG產(chǎn)品集成先進(jìn)的軟硬件體系構(gòu)架，配以先進(jìn)的DPI深化分析引擎、行為分析/管理引擎，能夠在保證網(wǎng)絡(luò)出口高效轉(zhuǎn)發(fā)的基礎(chǔ)上，供應(yīng)專業(yè)的流控功能、精彩的URL過濾以及本地化的日志存儲/審計(jì)服務(wù)。此外，EG的多業(yè)務(wù)特性還體現(xiàn)在對WEB認(rèn)證、SSLVPN等功能的支持上。EG易網(wǎng)關(guān)的高性能和七層多業(yè)務(wù)特性，將大大簡化中小規(guī)模網(wǎng)絡(luò)出口的部署難題。我們不再須要考慮應(yīng)當(dāng)運(yùn)用防火墻、流量限制設(shè)備還是路由器，亦或者產(chǎn)品的相互結(jié)合。EG易網(wǎng)關(guān)一臺設(shè)備滿意出口部署的必須要求。高性能轉(zhuǎn)發(fā)，搭建好網(wǎng)絡(luò)出口基礎(chǔ)平臺從底層硬件架構(gòu)保證：采納MIPS多核高性能處理器，4GDDRII內(nèi)存，全千兆接口器件。內(nèi)置電信級寬頻開關(guān)電源，具有防雷、防過壓、防浪涌設(shè)計(jì)，適應(yīng)電壓不穩(wěn)定場合。重視設(shè)備線速轉(zhuǎn)發(fā)實(shí)力：支持超大容量的200萬條NAT會(huì)話，極限NAT吞吐量5Gbps?；阡J捷自主研發(fā)的RGOS網(wǎng)絡(luò)操作平臺，供應(yīng)電信級網(wǎng)絡(luò)產(chǎn)品的高性能、高穩(wěn)定性。狀態(tài)防火墻，做好內(nèi)、外網(wǎng)的平安愛護(hù)EG易網(wǎng)關(guān)作為網(wǎng)絡(luò)出口設(shè)備集成豐富的防火墻功能：快速包過濾：EG供應(yīng)性能卓越的ACL包過濾功能，支持標(biāo)準(zhǔn)和擴(kuò)展的ACL訪問限制列表。EG采納先進(jìn)的流表處理技術(shù)，利用源IP、目的IP、源端口、目的端口、協(xié)議號等5個(gè)元素來定義一條流。報(bào)文過濾：報(bào)文過濾是防火墻最基本的功能，依據(jù)平安策略對數(shù)據(jù)流進(jìn)行檢查，讓合法的流量通過，將非法的流量阻擋，從而達(dá)到訪問限制的目的。狀態(tài)檢測：對基于六元組來識別網(wǎng)絡(luò)流量，并針對每條網(wǎng)絡(luò)流量建立從二層至七層的狀態(tài)信息。并基于這些狀態(tài)信息進(jìn)行各種豐富的平安限制和更深粒度的報(bào)文過濾。攻擊防衛(wèi)：基于狀態(tài)檢測，EG可以防衛(wèi)的各種網(wǎng)絡(luò)攻擊包括：IP畸形包攻擊、IP假冒、TCP劫持入侵、SYNflood、Smurf、PingofDeath、Teardorp、Land、pingflood、UDPFlood等.繼承銳捷專業(yè)流控，為網(wǎng)絡(luò)出口全面提速EG易網(wǎng)關(guān)采納銳捷自主研發(fā)的新一代DPI引擎，能夠精確識別包括P2P應(yīng)用、IM、炒股軟件、流媒體、企業(yè)辦公、網(wǎng)絡(luò)嬉戲等在內(nèi)的總共600多種協(xié)議。網(wǎng)絡(luò)流量的實(shí)時(shí)采集、監(jiān)控和精細(xì)分析使得網(wǎng)絡(luò)運(yùn)行狀況、應(yīng)用狀況、帶寬運(yùn)用狀況等狀況完全可視化?；趨f(xié)議和基于用戶的實(shí)時(shí)流量分析器，供應(yīng)基于源/目的IP地址、服務(wù)端口、應(yīng)用協(xié)議、Session數(shù)以及流量大小等具體信息。支持基于用戶（源IP地址）、目標(biāo)IP地址、時(shí)間、協(xié)議和應(yīng)用等為參數(shù)進(jìn)行敏捷的阻斷與允許功能。包括：進(jìn)行上行與下行帶寬限制、進(jìn)行Session數(shù)量限制等。支持組對象的配置，如定義用戶組（IP組）、協(xié)議組（如P2P協(xié)議組、嬉戲組）對同一類型的應(yīng)用、相同級別的用戶進(jìn)行帶寬管理策略的限制。自主研發(fā)URL過濾，跟非法網(wǎng)絡(luò)說ByeBye銳捷自主研發(fā)中文URL數(shù)據(jù)庫：銳捷EG自主研發(fā)的URL系統(tǒng)全天候獲得URL信息，銳捷URL規(guī)則庫分為41個(gè)類別，600萬條目數(shù)，已基本覆蓋中國大陸地區(qū)的網(wǎng)站。URL分類舉例：軍事、體育、政治、經(jīng)濟(jì)、教化、文學(xué)藝術(shù)、消遣、嬉戲、商業(yè)、IT類、科學(xué)、社會(huì)生活、BBS站點(diǎn)、WEB通信、在線閑聊、門戶網(wǎng)站與搜尋引擎、遠(yuǎn)程代理、色情、成人、賭博、毒品、暴力、違反道德、犯罪技能、違反法律、博客、房地產(chǎn)、廣告、宗教信仰、求職聘請、旅游。定期自動(dòng)更新URL庫：類似于windows自動(dòng)更新程式，讓設(shè)備可設(shè)定時(shí)間，定期從銳捷服務(wù)器獲得最新URL庫，保證設(shè)備URL的實(shí)效性和精確性深層次內(nèi)容審計(jì)，本地化日志記錄，基于用戶身份的審計(jì)功能日志對于網(wǎng)絡(luò)平安的分析和設(shè)備的平安管理特別重要，尤其在協(xié)作公安機(jī)關(guān)進(jìn)行反向查詢和定位平安事務(wù)的時(shí)候。EG針對經(jīng)過出口的數(shù)據(jù)流、設(shè)備和網(wǎng)絡(luò)攻擊進(jìn)行相關(guān)日志信息的記錄。為用戶事后分析、審計(jì)供應(yīng)重要信息（日志支持遠(yuǎn)程web查看和檢索）。EG易網(wǎng)關(guān)的日志審計(jì)包括：Flow流日志：源IP、目的IP、源端口、目的端口、流起始時(shí)間、結(jié)束時(shí)間、接受字節(jié)數(shù)，發(fā)送字節(jié)數(shù)等關(guān)鍵信息出口NAT日志：經(jīng)過NAT轉(zhuǎn)換前的源IP地址、源端口，經(jīng)過NAT轉(zhuǎn)換后的源IP地址、源端口，所訪問的目的IP、目的端口、協(xié)議、起先時(shí)間、結(jié)束時(shí)間等關(guān)鍵信息URL日志：支持上網(wǎng)五元組、HTTP訪問的具體URL日志記錄功能。設(shè)備日志：設(shè)備狀態(tài)，系統(tǒng)事務(wù)日志攻擊日志：設(shè)備網(wǎng)絡(luò)受到攻擊的日志信息EG易網(wǎng)關(guān)的內(nèi)容審計(jì)包括：支持郵件內(nèi)容審計(jì)：郵件客戶端方式，如foxmail、outlook等；webmail方式，如新浪、163、雅虎等；支持閑聊內(nèi)容審計(jì)：QQ、MSN等；支持BBS論壇內(nèi)容審計(jì)：天際社區(qū)、貓撲、動(dòng)網(wǎng)官方網(wǎng)站、PHPWIN官方網(wǎng)站等支持加密內(nèi)容審計(jì)、UDP內(nèi)容審計(jì)；EG內(nèi)置160G企業(yè)級SATA硬盤，支持日志本地化存儲，和異地集中存儲兩種方式。設(shè)備軟、硬件高牢靠性，保障網(wǎng)絡(luò)出口不中斷運(yùn)行支持橋接模式、路由模式、旁路模式等多種部署方式，充分滿意多種環(huán)境下的部署要求：1）橋接透亮接入不變更任何其他設(shè)備配置，實(shí)現(xiàn)完整URL過濾、流量限制、內(nèi)容審計(jì)；2）旁路方式確保網(wǎng)絡(luò)無單點(diǎn)故障，不對網(wǎng)絡(luò)性能產(chǎn)生任何影響。內(nèi)置硬件BYPASS，保證設(shè)備掉電、重啟等異樣狀況下轉(zhuǎn)發(fā)不中斷；關(guān)鍵裝置的冗余：多PCI總線冗余、1+1電源冗余（EG1000E支持）、雙啟動(dòng)映像文件/雙配置文件.模塊化軟件設(shè)計(jì)：在降低軟件的困難度同時(shí)，將問題隔離在軟件模塊內(nèi)。某個(gè)軟件模塊出錯(cuò)，不會(huì)讓機(jī)器崩潰。同時(shí)具備web界面和標(biāo)準(zhǔn)的CLI配置界面，降低學(xué)習(xí)和運(yùn)用成本，給維護(hù)帶來極大便利。特點(diǎn)：高性能：特有的快速轉(zhuǎn)發(fā)功能，為網(wǎng)絡(luò)打造一個(gè)無瓶頸出口高平安：對用戶，流量，網(wǎng)絡(luò)行為，病毒的有效限制，實(shí)施保障了整個(gè)網(wǎng)絡(luò)的可控性和高可控性易擴(kuò)展：豐富多樣的借口形態(tài)有效的愛護(hù)用戶的現(xiàn)有投資，更好的便于后續(xù)擴(kuò)展數(shù)據(jù)中心設(shè)計(jì)需求分析目前，在信息化建設(shè)的浪潮中，幾乎全部的數(shù)據(jù)中心都具備了肯定的數(shù)據(jù)存儲實(shí)力，但是依據(jù)各自的狀況不同，各個(gè)場館的存儲現(xiàn)狀可謂是參差不齊，一般有以下幾種狀況：部分?jǐn)?shù)據(jù)仍舊采納干脆存儲在服務(wù)器本地硬盤上的方式，這種方式存在眾多的問題：（1）、不同的數(shù)據(jù)存儲在不同服務(wù)器的硬盤上，造成有些服務(wù)器硬盤空間已滿，而有些服務(wù)器硬盤空間卻閑置，存儲空間的利用率極不均衡；（2）、由于服務(wù)器磁盤槽位有限，空間擴(kuò)展比較困難；（3）、隨著應(yīng)用的不斷豐富，訪問量的增加，日常業(yè)務(wù)對網(wǎng)絡(luò)的依靠，服務(wù)器的性能受到劇烈的考驗(yàn)，最終將成為性能的瓶頸；部分服務(wù)器采納DAS存儲架構(gòu)，數(shù)據(jù)存放于直連的SCSI/FC盤陣中，存儲空間擴(kuò)展成本很高，不能實(shí)現(xiàn)多服務(wù)器共享存儲空間，而且單臺磁盤陣列往往就成了核心系統(tǒng)的一個(gè)單點(diǎn)故障點(diǎn)，一旦磁盤陣列發(fā)生故障，則整個(gè)系統(tǒng)將發(fā)生中斷；部分服務(wù)器與磁盤陣列采納FCSAN/IPSAN存儲區(qū)域網(wǎng)絡(luò)架構(gòu)，雖然具備本地的備份、復(fù)原措施，但是不能應(yīng)對自然災(zāi)難（比如：地震、雷擊、水災(zāi)、火災(zāi)、海嘯等）、基礎(chǔ)設(shè)施災(zāi)難（比如：機(jī)房電力故障、磁盤陣列硬件故障等）和軟災(zāi)難（比如：斗爭、蓄意破壞、嚴(yán)峻的人為操作失誤、系統(tǒng)軟件BUG等）的中的任何一種，數(shù)據(jù)存在較大平安隱患，在災(zāi)難發(fā)生時(shí)無法保證對業(yè)務(wù)系統(tǒng)7*24小時(shí)的不間斷訪問；存在多種存儲架構(gòu)和設(shè)備共存的局面，利用率低，擴(kuò)展性差，缺乏對存儲的統(tǒng)一、集中式管理；將上述幾種狀況做個(gè)總結(jié)，我們歸納出數(shù)據(jù)中心的建設(shè)的三個(gè)階段，每個(gè)階段都有其相應(yīng)的特征，針對這些處于不同階段的用戶，銳捷網(wǎng)絡(luò)推出了不同的解決方案本地容災(zāi)解決方案本方案中，在不變更原有架構(gòu)的基礎(chǔ)上采納銳捷高性能專業(yè)虛擬化引擎RG-iS-V3000/RG-iS-V2000一臺以及兩臺磁盤陣列（可利用原有磁盤陣列），將前端服務(wù)器產(chǎn)生的數(shù)據(jù)通過虛擬化引擎在原有存儲磁盤陣列中與新增加的存儲設(shè)備中進(jìn)行在線的實(shí)時(shí)鏡像，去除存儲設(shè)備的單點(diǎn)故障，原有的服務(wù)器、磁盤陣列不須要做任何調(diào)整，很短時(shí)間內(nèi)即可完成安裝和調(diào)試。園區(qū)級高可用跨區(qū)容災(zāi)解決方案本方案采納2臺RG-iS-V3000/RG-iS-V2000進(jìn)行集群，服務(wù)器、虛擬化管理平臺和磁盤陣列分布在區(qū)域內(nèi)的2棟樓中，做到全部冗余，去除全部單點(diǎn)故障，任何一棟樓內(nèi)的設(shè)備出現(xiàn)問題都不會(huì)影響業(yè)務(wù)運(yùn)行，增大了容災(zāi)半徑。數(shù)據(jù)中心容災(zāi)方案特點(diǎn)1、零時(shí)間故障自動(dòng)切換當(dāng)任何一臺磁盤陣列因?yàn)楣收蠠o法正常工作時(shí)，無須手工操作，關(guān)鍵業(yè)務(wù)系統(tǒng)接著在正常的磁盤中讀寫數(shù)據(jù)，完全不影響業(yè)務(wù)的正常運(yùn)用，真正做到零時(shí)間故障自動(dòng)復(fù)原，無需人工干預(yù)。保證即使在故障發(fā)生時(shí)關(guān)鍵系統(tǒng)業(yè)務(wù)決不會(huì)中斷。不分主從、同步讀寫的方式，是該方案實(shí)現(xiàn)零時(shí)間自動(dòng)切換的關(guān)鍵所在。2.高性能利用虛擬化引擎對兩臺磁盤陣列進(jìn)行鏡像，鏡像卷的讀性能與性能最高的磁盤陣列相當(dāng)，原有性能低的盤柜即能為數(shù)據(jù)供應(yīng)愛護(hù)，又不影響鏡像組的讀性能，大大提升了原有性能較低盤柜的價(jià)值。

下圖為性能不同的兩臺磁盤陣列進(jìn)行鏡像和各自單獨(dú)在隨機(jī)讀策略下的測試數(shù)據(jù)。（通常存儲系統(tǒng)應(yīng)用中20%為寫操作，80%為讀操作）基于虛擬化的容災(zāi)方案，磁盤陣列不分主從，相比傳統(tǒng)的主從模式，將平安所帶來的數(shù)據(jù)庫性能損耗降到最低。采納1.5萬轉(zhuǎn)的高性能SAS硬盤，相對早期的SCSI和FC硬盤，內(nèi)部傳輸率更高，轉(zhuǎn)速更快。查詢速度提升一倍，但是成本削減一半；3.系統(tǒng)平滑升級傳統(tǒng)容災(zāi)方案實(shí)施周期較長，會(huì)涉及到大量的客戶端安裝和數(shù)據(jù)遷移的工作。本方案無需在現(xiàn)有服務(wù)器上安裝任何軟件，完全不對現(xiàn)有服務(wù)器的兼容性和性能造成影響；虛擬化容災(zāi)平臺可以干脆兼容客戶現(xiàn)有陣列，無需進(jìn)行數(shù)據(jù)遷移，即可實(shí)現(xiàn)容災(zāi)。保障了停機(jī)時(shí)間降低到最小，系統(tǒng)平滑切換；該方案實(shí)施的核心優(yōu)勢在于“業(yè)務(wù)先行復(fù)原，數(shù)據(jù)在線容災(zāi)”。保證現(xiàn)有業(yè)務(wù)連續(xù)運(yùn)行的同時(shí)，進(jìn)行數(shù)據(jù)容災(zāi)。實(shí)施停機(jī)時(shí)間降低到最小，最大程度降低業(yè)務(wù)切換風(fēng)險(xiǎn)。4.高穩(wěn)定性銳捷虛擬化管理平臺采納和小型機(jī)相同的RISC架構(gòu)，具有極高的穩(wěn)定性和性能；高性能，高穩(wěn)定性的架構(gòu)協(xié)作高牢靠的系統(tǒng)保證關(guān)鍵業(yè)務(wù)系統(tǒng)7×24小時(shí)×365天穩(wěn)定運(yùn)行。5.降低TCO采納銳捷容災(zāi)解決方案最大程度降低總體擁有成本（TCO）。硬件成本：虛擬化管理平臺可以整合現(xiàn)有存儲設(shè)備，愛護(hù)原有投資；軟件成本：將來升級不須要為新增加的服務(wù)器和磁盤陣列購買任何的License，節(jié)約將來升級成本；管理成本：采納統(tǒng)一的管理平臺，管理便利，實(shí)施簡潔，可大量節(jié)約管理成本。6.高擴(kuò)展性園區(qū)級全冗余容災(zāi)銳捷網(wǎng)絡(luò)容災(zāi)解決方案具有高拓展性，能夠以最小的投入將原有系統(tǒng)升級，實(shí)現(xiàn)自動(dòng)、實(shí)時(shí)的遠(yuǎn)程容災(zāi)。在園區(qū)內(nèi)不同的樓棟中各放置一套業(yè)務(wù)服務(wù)器、虛擬化平臺和磁盤陣列?？梢詫?shí)現(xiàn)跨樓棟的遠(yuǎn)距離、業(yè)務(wù)級、全實(shí)時(shí)、全自動(dòng)的業(yè)務(wù)容災(zāi)平臺。全業(yè)務(wù)數(shù)據(jù)整合利用虛擬化管理平臺，能夠很簡潔的整合現(xiàn)有的不同品牌，不同類型的存儲設(shè)備，將其他各項(xiàng)業(yè)務(wù)整合到統(tǒng)一的存儲平臺進(jìn)行管理。RG-iS-V2000/3000虛擬化管理引擎能夠讓用戶從容面對將來業(yè)務(wù)整合帶來的難題。供應(yīng)遠(yuǎn)程容災(zāi)擴(kuò)展平臺在現(xiàn)有的利用RG-iS-V2000/3000虛擬化管理引擎搭建的本地容災(zāi)平臺可以輕松的升級到遠(yuǎn)程容災(zāi)解決方案。只須要在現(xiàn)有的本地容災(zāi)方案的基礎(chǔ)上在遠(yuǎn)程建立一個(gè)遠(yuǎn)程災(zāi)備中心，將本地?cái)?shù)據(jù)中心的RG-iS-V2000/3000和遠(yuǎn)程災(zāi)備中心的RG-iS-V2000/3000通過網(wǎng)絡(luò)連接，指定適當(dāng)?shù)膹?fù)制策略，即可以實(shí)現(xiàn)定時(shí)將本地?cái)?shù)據(jù)中心的數(shù)據(jù)復(fù)制到遠(yuǎn)程災(zāi)備中心，實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)數(shù)據(jù)的幾十公里到幾百公里級別的遠(yuǎn)程容災(zāi)。

網(wǎng)絡(luò)平安系統(tǒng)設(shè)計(jì)隨著社會(huì)的發(fā)展和生產(chǎn)力水平的提高，場館環(huán)境中如何管理不斷增加和更新的信息化設(shè)備；如何管理并保障信息平安，將終端的運(yùn)用效率發(fā)揮到最大，成為最重要，也是最耗時(shí)的管理任務(wù)。首先方案中，我們把網(wǎng)絡(luò)進(jìn)行邏輯劃分：內(nèi)網(wǎng)：安防、辦公、售票等營運(yùn)相關(guān)網(wǎng)絡(luò)區(qū)域。外網(wǎng)：公眾接入互聯(lián)網(wǎng)的有線和無線網(wǎng)絡(luò)區(qū)域。整體架構(gòu)上，內(nèi)網(wǎng)和外網(wǎng)物理為一張網(wǎng)絡(luò)，通過VLAN/策略路由/ACL的方式，邏輯區(qū)分內(nèi)網(wǎng)和外網(wǎng)，一是隔離公眾網(wǎng)絡(luò)訪問到內(nèi)部網(wǎng)絡(luò)，保障內(nèi)網(wǎng)的平安保障。二是充分有效利用網(wǎng)絡(luò)資源。訪問外網(wǎng)的平安身份鑒別對于展覽類場館公共區(qū)域，有較多的移動(dòng)用戶有上網(wǎng)需求，那對于場館就須要做到讓內(nèi)網(wǎng)用戶和外網(wǎng)用戶都能便捷和平安訪問外部網(wǎng)絡(luò)。本方案中，我們設(shè)計(jì)非內(nèi)網(wǎng)用戶運(yùn)用WEBportal的認(rèn)證方式進(jìn)行部署。這種部署模式有以下優(yōu)勢：不須要安裝特定的客戶端程序，便于實(shí)施和部署。驗(yàn)證碼功能，防止暴力破解密碼。具備有認(rèn)證消息提示和系統(tǒng)幫助功能。在規(guī)模不大的狀況下（500人以下），方案舉薦運(yùn)用適配相應(yīng)性能的EG網(wǎng)關(guān)作為認(rèn)證出口。如圖：在大型場館和人數(shù)較多的狀況下（600人以上），方案舉薦運(yùn)用ACE+EPORTAL模式進(jìn)行做認(rèn)證的出口，同時(shí)出口NAT設(shè)備可以選擇NPE或者防火墻設(shè)備。如圖：通過出口部署webportal方式的認(rèn)證模式，既可解決場館區(qū)域外部用戶合理且平安的運(yùn)用網(wǎng)絡(luò)，使得網(wǎng)絡(luò)內(nèi)外網(wǎng)資源得以平安的防護(hù)和合理運(yùn)用。內(nèi)網(wǎng)終端用戶的平安防護(hù)計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)設(shè)施及應(yīng)用系統(tǒng)的工作穩(wěn)定性對企業(yè)經(jīng)營生產(chǎn)活動(dòng)至關(guān)重要。實(shí)施全面、剛好、有效和系統(tǒng)化管理是計(jì)算機(jī)信息系統(tǒng)運(yùn)行牢靠性的有力保證。而運(yùn)用工具化的管理軟件是IT經(jīng)理駕馭全局、運(yùn)籌帷幄的重要手段之一。本方案設(shè)計(jì)運(yùn)用銳捷GSN解決方案，用戶入網(wǎng)身份識別以及用戶系統(tǒng)平安性評估。以解決企業(yè)在IT管理方面面臨的組織協(xié)調(diào)、故障分析、終端平安加固、終端平安審計(jì)等核心問題。GSN針對全部的用戶的入網(wǎng)身份進(jìn)行有效識別，并對入網(wǎng)用戶的系統(tǒng)平安性進(jìn)行評估。通過用戶入網(wǎng)身份識別很平安性評估，能有效用戶網(wǎng)絡(luò)身份的唯一性，限制非法用戶和非合法用戶對網(wǎng)絡(luò)的訪問。并能進(jìn)行用戶網(wǎng)絡(luò)訪問行為的跟蹤、記錄，能便利有效的進(jìn)行平安事務(wù)的審計(jì)工作。補(bǔ)丁及軟件分發(fā)管理GSN組件RG-SMP供應(yīng)微軟已經(jīng)發(fā)布個(gè)產(chǎn)品的補(bǔ)丁更新服務(wù)。RG-SMP基于微軟的MicrosoftSecurityUpdateService技術(shù)，掃描客戶機(jī)未修復(fù)的微軟產(chǎn)品平安漏洞。補(bǔ)丁管理功能?？炷軌蛳拗品?wù)器自行連接微軟的補(bǔ)丁更新網(wǎng)站，檢查并下載內(nèi)部網(wǎng)絡(luò)所缺少的全部補(bǔ)丁，并以服務(wù)器為中心，進(jìn)行補(bǔ)丁的推送安裝，確保內(nèi)部網(wǎng)絡(luò)全部PC能夠在最短的時(shí)間里打上最完全的補(bǔ)丁，削減黑客或病毒攻擊的機(jī)率，確保PC基本的運(yùn)行環(huán)境平安。非法外聯(lián)及網(wǎng)絡(luò)訪問管理PC用戶非法網(wǎng)絡(luò)外聯(lián)是很多IT管理員頭疼的事情，且隨著PC軟硬件技術(shù)不斷更新，其外聯(lián)手段多種多樣，導(dǎo)致內(nèi)部網(wǎng)絡(luò)很嚴(yán)峻的平安性問題。而對于PC數(shù)量眾多、且應(yīng)用系統(tǒng)多樣化、網(wǎng)絡(luò)環(huán)境困難的企事業(yè)單位來說，必定會(huì)遇到各種各樣的問題。IT管理員管理的PC數(shù)量不斷增加，PC統(tǒng)一配置越來越成為管理中突出的一個(gè)問題，假如沒有集中管控的手段，那么逐臺操作工作量相當(dāng)大，且PC用戶也會(huì)擅自變更配置，造成網(wǎng)內(nèi)PC的基本配置無法統(tǒng)一管理，常常出現(xiàn)諸如IP地址沖突，偷偷代理上網(wǎng)等等一系列問題。病毒與攻擊平安通過多種內(nèi)在的平安機(jī)制可有效防止和限制病毒傳播和網(wǎng)絡(luò)流量攻擊，限制非法用戶運(yùn)用網(wǎng)絡(luò)，保證合法用戶合理化運(yùn)用網(wǎng)絡(luò)，如IP/MAC/WLAN多元素綁定、硬件ACL限制、基于數(shù)據(jù)流的帶寬限速等，滿意企業(yè)網(wǎng)、校內(nèi)網(wǎng)加強(qiáng)對訪問者進(jìn)行限制、限制非授權(quán)用戶通信的需求。用戶平安準(zhǔn)入支持WEB認(rèn)證模式，用戶運(yùn)用閱讀器即可完成認(rèn)證過程；

支持客戶端的認(rèn)證模式（802.1x），在實(shí)現(xiàn)網(wǎng)絡(luò)平安的同時(shí)，可通過客戶端深化用戶主機(jī)實(shí)現(xiàn)主機(jī)平安，跟WEB認(rèn)證不同的是，802.1x適用于嚴(yán)格限制網(wǎng)絡(luò)平安的區(qū)域；此外，認(rèn)證后仍舊能實(shí)現(xiàn)IP、MAC、WLAN等元素的綁定信息，保證只有合法的用戶才能進(jìn)入網(wǎng)絡(luò)；通過支持銳捷全局網(wǎng)絡(luò)平安解決方案（GSN），敏捷實(shí)現(xiàn)對進(jìn)入網(wǎng)絡(luò)的用戶劃分訪問權(quán)限，并且通過用戶完整性檢查將對網(wǎng)絡(luò)平安有威逼的用戶隔離到平安區(qū)域，避開個(gè)別用戶的行為導(dǎo)致整網(wǎng)斷網(wǎng)，從而愛護(hù)全網(wǎng)的平安。接入層次的其他平安措施ARP欺瞞的防護(hù)ARP檢測功能有效遏制了網(wǎng)絡(luò)中日益泛濫的ARP網(wǎng)關(guān)欺瞞和ARP主機(jī)欺瞞的現(xiàn)象，保障了用戶的正常上網(wǎng)。無論在動(dòng)態(tài)安排IP環(huán)境下，還是靜態(tài)安排IP環(huán)境下，均可實(shí)現(xiàn)自動(dòng)綁定工作，大大的節(jié)約了人力成本，降低了管理開銷。而協(xié)作ARP速率監(jiān)控限制ARP報(bào)文發(fā)送的速率，防止惡意利用掃描工具進(jìn)行ARP泛洪占據(jù)網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)擁塞的攻擊行為。DHCP平安支持DHCPsnooping，只允許信任端口的DHCP響應(yīng)，防止未經(jīng)管理員許可私自架設(shè)DHCPServer，擾亂IP地址的安排和管理，影響用戶的正常上網(wǎng)的行為；并在DHCP監(jiān)聽的基礎(chǔ)上，通過動(dòng)態(tài)監(jiān)測ARP和檢查源IP，有效防范DHCP動(dòng)態(tài)安排IP環(huán)境下的ARP主機(jī)欺瞞和源IP地址的欺瞞。管理信息平安SSH（SecureShell）和SNMPv3技術(shù)通過在Telnet和SNMP進(jìn)程中加密管理信息，保證管理設(shè)備信息的平安性，防止黑客攻擊和限制設(shè)備。基于源IP地址限制的Telnet訪問限制，更加精細(xì)的供應(yīng)了設(shè)備管理限制，保證只有管理員配置的IP地址才能登陸AP和基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)設(shè)備，增加了設(shè)備網(wǎng)管的平安性。數(shù)據(jù)中心區(qū)域的平安愛護(hù)DMZ區(qū)域的設(shè)計(jì)本方案設(shè)計(jì)運(yùn)用千兆級防護(hù)墻通過DMZ區(qū)域的設(shè)計(jì)，愛護(hù)在重要業(yè)務(wù)系統(tǒng)和數(shù)據(jù)資料。千兆級RG-1600S采納銳捷網(wǎng)絡(luò)自主開發(fā)的RG-SecOS和獨(dú)創(chuàng)的分類算法使得它的高速性能不受策略數(shù)和會(huì)話數(shù)多少的影響，產(chǎn)品安裝前后絲毫不會(huì)影響網(wǎng)絡(luò)速度；同時(shí)，RG-WAL1600x在內(nèi)核層處理全部數(shù)據(jù)包的接收、分類、轉(zhuǎn)發(fā)工作，因此不會(huì)成為網(wǎng)絡(luò)流量的瓶頸。另外，RG-WALL具有入侵監(jiān)測功能，可推斷攻擊并且供應(yīng)解決措施，且入侵監(jiān)測功能不會(huì)影響防火墻的性能。RG-WALL1600S支持深度狀態(tài)檢測、外部攻擊防范、內(nèi)網(wǎng)平安、流量監(jiān)控、郵件過濾、網(wǎng)頁過濾、應(yīng)用層過濾等功能，能夠有效的保證網(wǎng)絡(luò)的平安；供應(yīng)多種智能分析和管理手段，支持郵件告警，支持多種日志，供應(yīng)網(wǎng)絡(luò)管理監(jiān)控，幫助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的平安管理；支持PPTP、L2TP、IPSec和SSL等多種全面的VPN業(yè)務(wù)，可以構(gòu)建多種形式的VPN；供應(yīng)強(qiáng)大的路由實(shí)力，支持靜態(tài)/RIP/OSPF/路由策略及策略路由；支持雙機(jī)狀態(tài)熱備，支持Active/Active和Active/Standby兩種工作模式以及豐富的QoS特性，充分滿意對網(wǎng)絡(luò)高牢靠性的要求。WEB網(wǎng)站愛護(hù)設(shè)計(jì)IDC托管機(jī)房、商業(yè)或業(yè)務(wù)站點(diǎn)、各類Web應(yīng)用服務(wù)器等長期以來始終被Web應(yīng)用攻擊所困擾，隨之而來的是投訴、虛擬主機(jī)用戶受牽連、法律糾紛、商業(yè)損失等一系列問題。信息服務(wù)供應(yīng)者如政府、企業(yè)、高校等網(wǎng)站飽受網(wǎng)頁篡改、網(wǎng)站掛馬等Web攻擊的困擾。因此解決Web應(yīng)用平安問題已成為當(dāng)務(wù)之急。RG-WG系列銳捷WebGuard應(yīng)用愛護(hù)系統(tǒng)，是銳捷網(wǎng)絡(luò)特地解決上述Web應(yīng)用平安問題設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備。銳捷WebGuard基于對HTTP/HTTPS流量內(nèi)容的雙向檢測分析，識別檢測各類Web編碼、交互技術(shù)、URL參數(shù)以及表單輸入等，為Web應(yīng)用供應(yīng)實(shí)時(shí)、動(dòng)態(tài)的主動(dòng)性防護(hù)銳捷WebGuard，通過對進(jìn)出Web服務(wù)器的HTTP/HTTPS流量相關(guān)內(nèi)容的實(shí)時(shí)分析檢測、過濾，來精確判定并阻擋各種Web應(yīng)用入侵行為，阻斷對Web服務(wù)器的惡意訪問與非法操作，適應(yīng)Web2.0時(shí)代的主動(dòng)實(shí)時(shí)監(jiān)測過濾風(fēng)險(xiǎn)技術(shù)，而不是被動(dòng)的遭遇攻擊后的復(fù)原，將惡意代碼、非授權(quán)篡改、應(yīng)用攻擊等眾多因素結(jié)合在一起進(jìn)行綜合防范，從而做到對Web服務(wù)器的多重愛護(hù)，確保Web應(yīng)用平安的最大化，防止網(wǎng)頁內(nèi)容被篡改，防止網(wǎng)站數(shù)據(jù)庫內(nèi)容泄露，防止口令被突破，防止系統(tǒng)管理員權(quán)限被竊取，防止網(wǎng)站被掛馬和植入病毒、惡意代碼、間諜軟件等，防止用戶輸入信息的泄露，防止賬號失竊，防SQL注入，防XSS攻擊等。網(wǎng)絡(luò)管理設(shè)計(jì)場館類網(wǎng)絡(luò)管理面臨的挑戰(zhàn)及需求分析面臨的挑戰(zhàn)IT的勝利建設(shè)，在給我們的工作和生活帶來便利的同時(shí)，也給我們帶來一些管理上的麻煩，比如：由于IT技能偏低，操作緩慢；很多的重復(fù)性批量工作太多，員工被動(dòng)工作；同時(shí)IT維護(hù)工作量大。在這些狀況下出現(xiàn)了以下問題:IT故障無法解決、員工工作效率低下。需求分析目前很多得單位急需以業(yè)務(wù)為核心的IT資源統(tǒng)一管理、對故障快速、精確定位、網(wǎng)絡(luò)透亮化管理，優(yōu)化業(yè)務(wù)應(yīng)用我們依據(jù)現(xiàn)在展覽類客戶在實(shí)際工作的一些問題和需求，我們舉薦以下解決方案解決。網(wǎng)絡(luò)管理—流量管理方案設(shè)計(jì)流量管理的部署出口流量的應(yīng)用限制與帶寬優(yōu)化通過在出口部署的EG出口網(wǎng)關(guān)，進(jìn)行出口P2P限制和7層業(yè)務(wù)的精細(xì)化管理和帶寬保證。出口網(wǎng)關(guān)內(nèi)置高性能DPI引擎，超過600種協(xié)議識別。通過合理的出口的精細(xì)化管理和限制，壓縮了垃圾流量，提升了整體網(wǎng)速對視頻會(huì)議等關(guān)鍵應(yīng)用的帶寬保證，強(qiáng)化了網(wǎng)絡(luò)對業(yè)務(wù)的價(jià)值業(yè)務(wù)流量的可視化管理依托銳捷設(shè)備的IPFIX功能，通過對各種Flow技術(shù)的支持，收集各種設(shè)備流量信息，供應(yīng)對網(wǎng)內(nèi)流量深化細(xì)致的分析，呈現(xiàn)帶寬利用明細(xì)和各種有效的分析報(bào)表。從網(wǎng)絡(luò)總?cè)萘?、速度、運(yùn)用率、數(shù)據(jù)包四個(gè)維度去統(tǒng)計(jì)和分析趨勢；依據(jù)幾個(gè)指標(biāo)的飽和度，可以考慮是否須要對網(wǎng)絡(luò)進(jìn)行擴(kuò)容；同時(shí)預(yù)料負(fù)載峰值時(shí)間，實(shí)行措施保證網(wǎng)絡(luò)不會(huì)過載。網(wǎng)絡(luò)管理—設(shè)備WEB可視化管理網(wǎng)絡(luò)管理設(shè)計(jì)，本方案設(shè)計(jì)運(yùn)用銳捷網(wǎng)絡(luò)公司為網(wǎng)絡(luò)統(tǒng)一管理設(shè)備管理而設(shè)計(jì)的設(shè)備網(wǎng)管軟件。通過其圖形化的操作界面，管理員可以輕松的查看設(shè)備狀態(tài)和對設(shè)備進(jìn)行各種配置。產(chǎn)品主要協(xié)作銳捷全線路由交換設(shè)備運(yùn)用(分階段實(shí)現(xiàn))，同時(shí)也可以兼容部分第三方廠商設(shè)備。SNC為網(wǎng)絡(luò)管理人員供應(yīng)圖形化、可視化的設(shè)備配置工具，能夠所見即所得的看到設(shè)備端口、CPU、內(nèi)存等關(guān)鍵信息的實(shí)時(shí)狀態(tài)，能夠通過圖形菜單的方式對設(shè)備進(jìn)行配置和管理。從而大大降低基層維護(hù)人員的管理強(qiáng)度和難度，有效地加強(qiáng)場館