展览类场馆网络解决方案技术白皮书v0.9

密级：公开发布对象：全部人员展览类场馆网络解决方案技术白皮书（V0.9）文档归属：楼馆园VT文档维护人：张渝佳Tel：Email：zhangyj版权声明：本文版权归锐捷网络有限公司全部，未经许可不得拷贝、传播

书目1 展览类场馆市场背景 51.1 展馆类场馆范围及定义 51.2 展馆类场馆建设的市场状况 72 需求分析 82.1 展览类场馆常见场景 82.2 展览类场馆网络应用 112.3 展览类场馆网络建设需求 122.4 场馆类业务架构 122.5 建设内容 132.6 建设原则 143 稳定、牢靠、高性能的基础网络建设 163.1 整体网络架构拓扑图 163.2 网络骨干设计 16 业务隔离分析 16 组网架构分析 17 核心设备选型 17 核心设备平安技术 18 汇聚层设计 19 接入层设计 193.3 无线网络设计 20 场馆无线业务分析 20 无线网络初期设计 21 智能无线网络设计（升级改造规划） 22 无线部署区域 243.4 网络出口设计 25 场馆网络出口现状 25 当前场馆网出口面临的挑战 25 出口解决方案设计 263.5 数据中心设计 29 本地容灾解决方案 30 园区级高可用跨区容灾解决方案 31 数据中心容灾方案特点 314 网络平安系统设计 354.1 访问外网的平安身份鉴别 354.2 内网终端用户的平安防护 36 补丁及软件分发管理 37 非法外联及网络访问管理 37 病毒与攻击平安 37 用户平安准入 374.3 接入层次的其他平安措施 38 ARP欺瞒的防护 38 DHCP平安 38 管理信息平安 384.4 数据中心区域的平安爱护 38 DMZ区域的设计 38 WEB网站爱护设计 395 网络管理设计 405.1 场馆类网络管理面临的挑战及需求分析 405.2 网络管理—流量管理方案设计 405.3 出口流量的应用限制与带宽优化 405.4 网络管理—设备WEB可视化管理 425.5 网络管理—设备配置文件管理 435.6 网络管理—一体化无线有线管理 446 方案整体特点总结 456.1 确保网络平安，业务稳定运行—“好”网络 456.2 充分信息共享，提高运营效率—“快”人一步 456.3 降低运营成本，爱护已有投资—节“省” 466.4 方案特点总结 467 最佳方案实践 477.1 苏州博物馆新馆 477.2 扬州文化艺术中心 48

展览类场馆市场背景春风吹，战鼓擂，浪涛起，百家动，中国的展览类场馆行业建设正进行着自我的蜕变，以2010上海世博会为分界线，国内展览类场馆行业必将有一次洗礼性的成长。国内的展览类场馆建设需求还将达到一个高度，为什么这么说呢？

第一、是数量的高度。目前的中国还出于中等国家水准，全面素养普遍还不够高，随着经济的快速发展，国人素养的全面提升，国人对社会、历史、人文、科技产品等等各个方面信息的需求与渴望，必将对展览类场馆提出更多更高的需求。其次、是质量的高度。就目前的展览类场馆还远远不能满意日后高素养国民的参观需求，国民素养的提升，同样需求更高质量的展览类场馆，也将同时推动着展览类场馆建设的质量。质量的高要求，不仅是建筑质量本身的要求，更离不开场馆信息化的高水平建设。展馆类场馆范围及定义展示类馆类：包括博物馆、科技馆、艺术馆、美术馆、纪念馆、档案馆等，主要是利用展厅来展示物品和资料等；会议展览中心：包括会议中心、展览中心或综合会展中心。主要为外界供应会议和展览场所；文化中心：包括传统文化馆和综合性文化艺术中心，满意日常民体活动等须要；图书馆：各省、地级市图书馆，主要为民众供应图书借阅、电子阅读等功能。展馆类场馆建设的市场状况从全国的市场环境来看：截止2004年国有博物馆1617多家.截至2007年底，全国共有文化馆（群艺馆）3217个左右.截止2009年底，全国有3400多家图书馆.截止2009年底，全国有300多家科技馆、艺术馆、美术馆、纪念馆、档案馆等.截止2009年底，全国有200多家包括会议中心、展览中心或综合会展中心.截止2009年底，全国有200多座综合性文化艺术中心，以满意日常民体活动等须要；……锐捷网络仅在2009年就参与了十多个大型展览类场馆的建设，如扬州文化艺术中心、邯郸文化艺术中心等涉及几十亿的总投资场馆建设，其中锐捷网络参与的信息化建设资金全年累计上千万。锐捷网络已经成为场馆行业信息化建设的领先者。

需求分析展览型场馆类网络平台建设目标：建设场馆类信息化网络平台，要能够承载场馆类的各类业务的稳定、牢靠、高速的传输，并保证数据的平安性；正确区分内外网，保证办公和业务的正常开展，支持公众平安管理、便捷的上网需求；对于重要的业务系统和数据进行有效爱护和存储；具备简捷易用的网络管理平台。展览类场馆常见场景展览类场馆的典型建筑平面(示意)图重点区域实景图场馆常用系统示例-自助导览系统场馆常用系统示例-售票检票系统场馆常用系统示例-建筑智能化系统场馆信息点分布区域展览类场馆网络应用1、互联网访问办公用户的互联网访问：内部人员的互联网访问，获得外网资源门户网站：包括场馆介绍、会展安排、会展招商、网上展会等内容；外来人员互联网访问：像观众、会议参与者等，通过无线阅读互联网以便查询资源2、办公类业务办公OA系统、视频学习或者视频会议系统门禁系统：便利对场馆进行限制3、场馆运营业务系统场馆运营管理系统：为管理者供应现代化的管理手段，刚好精确的把握场馆的经营状况，提高场馆的经营效益；自助导览系统：为参观者供应自助的引导、介绍服务；售票检票系统；、手持PDA查询或者无线检票系统4、视频流类系统场馆安保视频监控视频、图书馆电子阅览室、视频学习5、公共区域会议厅：可无线覆盖全会议厅，供参与会议的人员运用展厅、馆前广场：无线覆盖全展厅和广场，便利大家运用。展览类场馆网络建设需求高稳定办公类业务的稳定牢靠的办理各项工作；场馆运营业务系统的网络拓扑快速收敛的需求，网络不中断运行；视频流等业务网络不中断运行的需求，关键时间段的业务正常运行的需求；高性能互联网访问点到点的高速数据转发的需求办公类业务快速的传送电子公文场馆运营业务系统流量的快速转发的需求，链路高带宽的需求平安可控互联网访问系统的网络设备和用户接入的平安的需求办公类业务：内部办公网络的平安保障场馆运营业务系统的平安准入公共区域：外来用户的身份准入或者行为审计，能够监控和管理接入用户，达到可控无线网络场馆运营业务系统手持PDA或者无线查票系统公共区域：用户的随意接入网络访问，无线部署的稳定和后期的升级，爱护投资易管理互联网访问的流量精细化管理的需求办公类业务随时对网络设备进行检测、管理场馆运营业务系统异样流量跟踪、管理的需求视频流等业务高精度QOS需求公共区域：能够监控和管理接入用户，达到可控场馆类业务架构建设内容网络平台建设内容包括：基础网络建设：网络骨干-网络核心与各个业务系统之间的网络高速马路;无线网络-供应敏捷、移动的各种无线业务，随时随地的便利接入;外网出口-供应Internet访问与外网访问平安限制保证;数据中心建设-供应资源、业务和数据存储中心，为场馆供应稳定、牢靠的业务支撑;场馆网络平安规划：外网用户身份鉴别；内网终端的身份鉴别和终端平安；WEB服务器的平安防卫；网络管理平台：有效的网络流量管理；网络设备的统一管理；网络管理的可视化；有效的配置管理。建设原则好用性和经济性系统建设应始终贯彻面对应用，留意实效的方针，坚持好用、经济的原则，建设场馆信息化建设的网络扩展系统，爱护用户的投资。先进性和成熟性系统设计既要采纳先进的概念、技术和方法，又要留意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在将来若干年内占主导地位，保证场馆网络建设的领先地位，并随时进行扩展和升级。牢靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及修理实力等方面着手，确保系统运行的牢靠性和稳定性，达到最大的平均无故障时间。平安性和保密性在系统设计中，既考虑信息资源的充分共享，更要留意信息的爱护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，实行不同的措施，包括防火墙隔离、上网审计、系统平安机制、数据存取的权限限制等，锐捷网络充分考虑平安性，针对场馆的各种应用，有多种的爱护机制，如划分VLAN、MAC地址绑定、协作ACL、NAT、802.1x认证机制、上网日志记录等具体技术提升整个网络的平安性。可扩展性和可管理性为了适应系统变更的要求，必需充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。为了便于扩展，对于核心设备必需采纳模块化高密度端口的设备，接入层设备最好采纳堆叠的方式，便于将来升级和扩展。另外全线采纳基于SNMP标准的可网管产品，达到全程网管，降低了人力资源的费用，提高网络的易用性、可管理性，同时又具有很好的可扩充性。

稳定、牢靠、高性能的基础网络建设整体网络架构拓扑图网络骨干设计业务隔离分析由于展览类场馆的业务特点，所以一般只建设一套物理的网络系统，但由于有多套有平安性隔离要求得业务系统，所以展览类场馆的网络拓扑结构一般为物理合一、逻辑隔离的网络拓扑结构，而各种不同的业务系统一般通过VLAN做业务隔离。组网架构分析星型和环形都支持系统冗余，供应牢靠性保证，但他们的应用流量模型是完全不一样的，星型结构适合于流量集中的局域网骨干，而环形适合的是分布式、分散流量访问的广域网模式（如Internet）。正是由于星型网络的优点：路由跳数最短、牢靠性更高、路由表易于聚会、流向简洁有序集中，所以展览类场馆的网络核心架构实行双星型结构组网。核心设备选型对于展览场馆来说，网络核心是整个园区网高效能工作的重中之重，同时保证基本的连通性之外还必需保证业务的不间断运行，因此我们建议采纳肯定的冗余机制使园区网可以承载业务系统不间断的给整个园区网供应相应的应用业务。同时，展览园区网这个平台必需满意下属部门的业务流量需求，还须要考虑到将来几年的业务发展，具有很强的性能和高可扩展性。整体设计还必需考虑到展览馆部分的特殊应用性和业务数据的重要性，因此须要保障网络通讯平安和数据平安，防止因平安事务造成的数据泄密而导致的损失。依据牢靠性、稳定性、扩展性、性能上的分析，同时从爱护投资角度考虑，网络核心建议选用两台基于十万兆平台的高性能的锐捷核心IPv6核心路由交换机RG-S8600互为容错备份，并在核心交换机中采纳关键模块冗余设计（如双电源冗余等），核心、汇聚、接入层都采纳双链路连接，构成一个环路架构。。RG-S8600系列交换机是锐捷网络推出的以业务为核心、面对下一代网络的十万兆骨干路由交换机，供应大容量、高密度、模块化体系架构，在供应稳定、牢靠、平安的高性能L2/L3层交换服务基础上，具有强大组播功能、基于策略的QOS、有效的平安管理机制和电信级的高牢靠设计，满意现代网络的多种业务承载融合和业务敏捷分类、分流的组网需求。可以依据用户的需求敏捷配置，构建弹性可扩展的现代IP网络。核心设备平安技术网络设备（特殊是网络核心设备）的平安稳定干脆关系到整个网络是否可以稳定、牢靠的运行，因此，针对目前网络上核心设备所面临的平安问题，锐捷网络有针对性的开发设计了一系列技术，以保证设备自身的平安，反抗外来攻击，确保整个网络平安稳定的运行。如NFPP模块联合CPP模块，在平安防护设备的同时隔绝了非法源头，防止担忧全数据的扩散。同时通过SPOH技术，保证设备在配置大量平安策略的同时依旧稳定牢靠。稳定牢靠网络核心-GR稳定牢靠网络核心-GR50ms无丢包快速倒换-RERP50ms无丢包快速倒换-RERPCPP抗攻击爱护CPP抗攻击爱护策略汇聚层设计汇聚层对于场馆类用户来说特别重要，主要是场馆类用户的信息点一般都比较分散，有大量的接入设备须要汇聚；同时，场馆类用户还有业务隔离的要求，须要部署各种隔离的平安策略。而依据经典的网络设计理念，核心设备只做数据的高速转发功能，其他平安限制等功能都规划在汇聚层设备上实现，防止因为接入层的数据风暴或二层攻击干脆攻击核心设备，引起整网的动荡，所以必需采纳核心、汇聚和接入的三层网络架构。考虑到将来可能的万兆线路扩展和产品性价比，同时为了便于对全网进行OSPF路由部署，所以建议在汇聚层运用锐捷万兆智能多层光汇聚交换机S5750-24GT/12SFP。S5750通过两条千兆线路各自上联主/备两台核心交换机，保证网络核心的稳定牢靠，并可支持最大12个千兆光接口，很便利的实现网络扩容。汇聚交换机部署在不同的楼宇和工作区，其内置平安机制，不仅阻断了IP扫描和DoS攻击，保证了网络骨干是健全的，还爱护了核心层设备的平安。接入层设计场馆类网络系统中比较简洁出的几类内部平安分别是：ARP欺瞒；DHCP仿冒；身份认证；线路环路与线缆故障等针对这些问题，在网络设计时，都加以了设计考虑，采纳了平安的接入交换机RG-S2600，可以有效的解决上述问题。S2600的多生成树协议MSTP可以有效的阻断线路环路，避开因为环路故障，造成的整网震荡；智能的单向链路检测，检测并关闭物理和逻辑单向连接，并阻挡其他协议（如：STP协议）的失效，防止业务中断；线缆检测：利用时域反射原理自动检测端口直连线缆状态，可自动检测出故障线缆的位置。便利网络管理者轻松推断网络断路故障点，有效降低故障处理时间。S2600交换机可以支持DAI和DHCPSnooping功能，可有抵挡ARP欺瞒/攻击与DHCP仿冒问题，从而根本上解决地址冒用的问题。S2600交换机通全面支持基于802.1X和WEB准入的认证方式：1、运用阅读器即可认证，不变更用户运用习惯，不须要安装客户端。2、兼容全部自带阅读器的操作系统。WIN98、苹果等用户也可正常认证。3、供应第三方接口，可与门户等平台对接，实现单点登录、信息整合等功能。4、支持在不同的区域开启不同的登录方式。5、无论用户在何处，用何种终端，认证方式都是认证系统依据其身份授权的。简洁便捷的实现用户的身份认证，无须平安客户端。无线网络设计场馆无线业务分析展览类场馆的无线数据业务从应用上主要分为无线办公上网、公共区域上网、无线业务（例如无线视频会议/无线检票系统等）和语音类业务VoWLAN这四大类。由于这四类不同的业务接入的终端不同，数据之间也基本没有共享要求，且不同业务之间要求隔离。出于技术和成本的考虑，场馆是不行能建设多套无线网络系统的，只可能建设一套无线系统，而为了保证数据平安，业务又必需相互隔离，那么就必须要划分无线网络的虚拟服务，即为不同的业务开启不同的SSID。这样，就可以在同一套网络中传输不同的业务而不会造成平安泄密问题了。同时，场馆无线项目的用户数一般并不多，而无线业务的应用会随着场馆类不断开展而持续增加。出于整体考虑，无线网络初期不建议铺的过大，造成投资奢侈，所以应稳健的先建立部分无线应用的试点，等业务成熟后在规模应用。无线网络初期设计展览类场馆项目初期建设时，由于很多业务系统没有建设完成，对于如何建设无线网络是有些顾虑的（比如是交给运营商承建还是自建）。可是类似公共区域上网等少数区域又急着要上马无线应用，那么初期无线建设就必须要采纳自治型无线系统（FATAP）结构，不配置无线限制器，只保证小范围的无线用户上网需求，有效节约投资；可是传统的自治型无线接入点架构，每个无线接入点都是一个独立的管理与工作单元，无线接入点之间无法进行任何沟通，不适用于全网设备进行统一管理，考虑到后期可能采纳集中管理的FITAP结构，为了避开投资奢侈，所选用的接入节点必须要能支持胖、瘦AP前换实力，便于后期无线网络建设时可以干脆适用。建议在展览场馆的无线网络建设初期采纳锐捷网络的室内增加型无线接入节点RG-AP220系列设备，为场馆用户搭建简便高效的无线网络，采纳该设备优势如下：业界最敏捷的工作模式RG-AP220-E产品可支持Fat（胖）和Fit（瘦）两种工作模式，可以依据不同行业客户的组网须要，无需进行困难的复位操作，随时敏捷的进行切换，马上生效。当客户的无线信息点较少时，RG-AP220-E可工作在Fat（胖）模式，可自行独立组网运用；当客户的无线信息点达到肯定规模时，RG-AP220-E可工作在Fit（瘦）模式，并协作锐捷网络WS系列无线限制器产品运用，由无线限制器产品集中限制，达到全网一体化的控管、平安、流量管理、QoS、IP管理等全面限制。通过两种模式的自然过渡，充分的爱护客户的投资。更强的信号覆盖AP产品凭借业界最先进的3X3MIMO天线架构，可运用户获得更大的覆盖范围。双路架构可确保11n客户的高速接入RG-WS无线限制器产品专为IEEE802.11n设计，协作锐捷网络802.11n系列无线接入点产品，可供应传输带宽高达单路300Mbps、双路600Mbps的无线网络。同时，利用先进的本地转发技术，避开了无线限制器的流量转发瓶颈，可快速实现802.11n无线网络部署与传输。对AP来说，在传统的802.11n模式下，往往由于802.11n可分别在2.4或5GHz的频段分别向下兼容802.11b/g或802.11a协议，而实际客观存在大量的802.11b/g网卡用户，这样802.11b/g用户也能接入到11n的AP上，这将导致AP为了向下协商适应较低协议速率的用户，而牺牲802.11n网卡客户的速度性能，造成802.11n网卡客户的速度大幅下降，11n的300Mbps的优势无法得到发挥。AP采纳双路双频硬件架构，可支持同时工作在802.11a/n和802.11b/g/n模式，革命性地解决了这一难题。通过两路都供应用户接入，可将一路工作在5GHz的射频配置为only11n模式，特地为802.11n网卡客户供应高速接入体验；另一路工作在2.4GHz的射频配置为混合兼容模式，以确保传统的802.11g客户的正常接入，圆满地为不同用户分别供应最佳适应性的上网体验。智能无线网络设计（升级改造规划）依据无线网络的设计原则，锐捷网络建议采纳先进的智能无线交换网络架构作为场馆类整体无线网络解决方案技术的核心思想，采纳支持智能转发功能的无线局域网交换机，协作部署在各楼栋接入层的智能管理型无线接入点产品，以及无线网络集中管理平台，完成整个无线网络。自治型无线接入点的缺乏全面管理的缺陷，一些厂商起先推出新的无线网络架构，即“无线局域网交换机＋远程轻型无线接入点”结构，可以满意全部的无线接入点全部受到无线局域网交换机的统一控管，这种组网架构和相应产品的出现，使得无线网络的整体管理实力、平安防卫实力得到完全的改善，使得无线网络的组网变得轻松、易管理。到了这一阶段，可以说无线网络的解决方案已经上升到了一个新的台阶。虽然这种组网架构完全解决了对无线网络的管理和限制的问题，但是依旧存在缺陷。这种缺陷在无线网络规模较小的时候并不会构成隐患，但是随着无线网络的渐渐普及，尤其是各行业内越来越多的组建大规模的无线网络时（100台无线接入点以上），在这种解决方案架构中，全部的无线接入点设备所吞吐的数据流量（用户数据、设备管理数据）都要通过加密隧道，集中的流经无线局域网交换机承载与处理，再通过其转发给相应的有线网络送达目的地，这必定会导致无线局域网交换机成为大流量数据汇聚的中心。而无线局域网交换机均采纳“X86＋ASIC”的类服务器硬件架构，对外供应千兆端口连接，也就是说其最大的数据处理与吞吐实力不会超过2Gbps，依据每台无线接入点的真实包吞吐实力在15～20Mbps计算，事实上每台无线局域网交换机最大128台无线接入点的数据集中转发，假如超过这个规模，无线局域网交换机就会成为流量瓶颈，必需再增加无线局域网交换机设备才能扩充解决。特殊是随着802.11n传输协议的到来，单个无线接入点的连接速率将提高到1000Mbps（转发效率在150M）以上，无线限制器架构将不再适合担当全部流量的集中处理，同时对于延迟敏感的语音传输等也无法适应。因此，针对这一现状，锐捷网络推出了满意中、大型场馆类无线接入需求的RG-WS5302千兆无线限制器和RG-WS5708万兆无线限制器。可供应强大的处理实力和多业务扩展，可突破三层网络保持与AP的通信，部署在任何2层或3层网络结构中，无需改动任何网络架构，从而供应无缝的平安的无线网络限制。敏捷的配置方式从16个无线节点到最大可支持768个无线接入点的管理，全面满意用户各种规模的无线应用。RG-WS无线限制器可针对无线网络实施强大的集中式可视化的管理和限制，显著简化原本实施困难、部署困难的无线网络。通过与锐捷网络有线无线统一集中管理平台RG-SNC以及无线接入点的协作，敏捷地限制无线接入点的配置，优化射频覆盖效果和性能，同时还可实现集群化管理，将大型网络中的设备部署工作量将至最低。高性能高牢靠的组网方式集中/分布式一体化的智能交换RG-WS无线限制器可部署于二层或三层网络中，且无需改动原有网络架构，与无线AP组成整体交换架构，便利限制和处理全部AP上的数据交换。业界领先的本地转发技术，彻底突破了无线限制器的流量瓶颈限制。RG-WS无线限制器通过本地转发技术，可敏捷配置AP的数据转发模式。即依据网络的SSID和用户VLAN的规划，确定数据是否须要全部经过RG-WS转发，或干脆进入有线网络进行本地交换。本地转发技术将延迟敏感、传输要求实时性高的数据通过有线网络转发，在802.11n的大流量吞吐下，可以大大缓解RG-WS交换机的流量压力，更好的适应将来无线网络更高流量传输的要求，诸如高清视频点播、VoWLAN传输等。敏捷的WDS组网模式AP产品支持WDS（无线分布式系统）技术，可供应AP覆盖、点对点/点对多点无线网桥、无线中继模式，分别满意了大范围无线覆盖、远距离高速无线互联的网络需求，彻底解决了大规模无线部署的传统问题，同时为无线与有线网络的无缝结合供应了条件，可保证无线信号被传递到较远的区域进行无线覆盖或连接有线网络。完备实现用户漫游访问通过与WS系列无线限制器产品的协作，无线用户在AP之间移动访问时，可以保证二层网络和三层网络的无缝漫游，用户在过程中不会感觉到数据访问的中断。全网无缝漫游RG-WS无线限制器支持先进的无线限制器集群技术，在多台RG-WS交换机之间可实时同步全部用户在线连接信息和漫游记录。当无线用户漫游时，通过集群内对用户的信息和授权信息的共享，使得用户可以跨越整个无线网络，并保持良好的移动性和平安性，保持IP地址与认证状态不变，从而实现快速漫游和语音的支持。敏捷完备的平安策略用户数据加密平安支持完整的数据平安保障机制，可支持WEP、TKIP和AES加密技术，彻底保证无线网络的数据传输平安。无线产品全面支持中国无线局域网国家标准（GB15629.11-2003）中的平安等级更高的WAPI（无线局域网鉴别和保密基础结构），可供应业界最高等级的无线平安爱护。支持虚拟无线分组技术通过虚拟无线接入点（VirtualAP）技术，整机可最大供应32个ESSID，支持32个802.1QVLAN，网管人员可以对运用相同SSID的子网或VLAN单独实施加密和隔离，并可针对每个SSID配置单独的认证方式、加密机制等。标准CAPWAP加密隧道确保传输平安无线产品与锐捷网络WS系列无线限制器以国际标准的CAPWAP加密隧道模式通信，确保了数据传输过程中的内容平安。射频平安在锐捷网络一体化网管系统RG-SNC、WS系列无线限制器产品的协作下，AP产品可启用射频探针扫描机制，实时发觉非法接入点、或其它射频干扰源，并供应相应的告警，使网管人员可随时监控各个无线环境中的潜在威逼和运用状况。无需更改有线网结构无线网络并不是独立的网络，须要与有线网络很好的融合在一起工作，因此，为了避开在规划中的无线网络部署影响到有线网络的路由和VLAN等部署，采纳智能无线交换网络架构就可以做到无需更改有线网络结构的目的。在该网络架构中，全部无线用户的数据传输，是通过智能无线接入点AP-220产品与智能无线限制器WS5300/5700产品之间建立的国际成熟的主流标准CAPWAP隧道技术来完成互连，无线用户的VLAN无须在接入层和汇聚层存在。无线用户的VLAN是可透过无线限制器在整个中心网络机房和骨干交换机互连互通，同时也特别便利进行扩展。智能无线接入点则可以放置于场馆中心须要部署的任何地方，无需用干脆连接到智能无线限制器，他们之间可以轻松地通过跨越三层进行隧道数据交换。同时，无需担忧无线用户的VLAN会破坏原有有线网络的VLAN部署，全部工作可以在无线限制器上统一划分，这对于规模如此浩大的场馆无线网络的集中管理带来极大的便利性。无线部署区域XX展览中心须要覆盖无线网络的区域有：办公区、室内展厅、广场展厅、会议厅。具体的无线接入点分布如下室内覆盖办公区室内展厅1室内展厅2广场展厅会议厅四层三层二层一层合计网络出口设计场馆网络出口现状国内的场馆网络经过多年持续不断的基础设施建设和应用提升，已经形成了较为稳定的信息化基础架构、相对丰富的场馆网应用平台。但是，在追求信息共享、资源整合的今日，有一个问题长期以来始终困扰着大家——这就是场馆网出口区域。实践中会发觉，众多机构都测试了多个厂商的设备，却未能很好的解决问题，无法取得志向的效果。作为场馆网络平台的“门户”——出口区域，担当着机构之间相互沟通的窗口的重大作用，场馆网出口长期处于“亚健康”状态。

当前场馆网出口面临的挑战出口设备NAT性能瓶颈出口设备要支持NAT（地址转换）是已经形成共识的。一方面，场馆网运用私有地址的状况，访问Internet须要进行NAT；另一方面，即使场馆网络通过电信或者网通的线路访问外部资源，仍旧须要进行NAT（地址转换），因为电信所安排的地址更有限。NAT（地址转换）等于给出口设备增加了一项很重要的任务，但是，从实际状况来看，NAT却成为了上网速度慢的一个重要缘由。究其根本，设备的NAT转发性能是一个很大的缘由。带宽运用失控问题网络基础设施在提升，出口带宽在增加，各种网络应用也更加丰富。但是，某些用户或者应用（如BT等P2P应用）却在过多的占用着网络资源。有试验证明，出口带宽无论禁止P2P应用还是不禁止P2P应用都会跑满。简洁理解，明显场馆网在不禁止P2P的情形下，P2P的流量不管大小，都已经在影响出口正常流量所占带宽了。但从另一个侧面解读，即使出口带宽不断提升，同样各种P2P应用依旧会占据大量出口带宽。多出口带宽利用不充分当前场馆网为了提高访问速度须要多出口互联。电信、网通等运营商仅在上海、北京、广州三地有交互中心，且互联带宽还不够高。出口线路无法智能选路。造成部分用户访问外网速度慢，管理员不得不常常跟踪各ISP新的地址表，在出口设备上不断增加路由规则。牢靠性设计不健全当下，对服务质量要求越来越高，用户对网络这一平台的依靠性和期望值也越来越高，而场馆网出口的不行用将导致整个园区与外界的隔断，园区内与园区外的任何互访、信息互通都无法实现。绝大多数场馆网出口区域，单设备、单链路的现象还占据主要位置。对于设备的冗余、链路的备份，以及在出现任何设备或者链路故障下的自动切换，也仅仅是少数园区才能达到的水平。那么，如何打造出口的高可用性？如何实现出口自动调整对用户的透亮性？即，用户无需理解困难的出口技术，只须要体验最快的网速。这些问题都摆在了网络管理者的面前。用户上网行为缺乏管理《互联网平安爱护技术措施规定》在2005年11月23日公安部部长办公会议通过，并自2006年3月1日起施行。（该规定简称“82号令”）规定对用户信息、用户上网记录、地址转换记录、设备状态记录等都要记录。用户上网行为缺乏事前预防，事中限制，事后审计，也给信息中心带来巨大的管理压力。

用户网络行为平安性无法保障随着越来月普及的网络资源，用户可以时时刻刻享受网络服务，但是网络的存在是为了更好的工作而不是用于个人利用，现在很多用户上班时间嬉戏，炒股，闲聊等网络行为大大影响了工作效率，这样就迫切须要一张可限制的网络来规范用户的网络行为；出口解决方案设计在出口区域，我们为了解决上述问题，部署了一台网络平安多功能合一的专业的网络出口网关EG易网关设备，最大限度的实现各种出口平安功能部署，为用户建立一张平安，可信，高速的网络；EasyGate易网关（以下简称EG）是锐捷网络公司推出的一款解决当下网络出口难题的多业务综合网关产品。作为锐捷网络完全自主研发的综合网关，EG产品集成先进的软硬件体系构架，配以先进的DPI深化分析引擎、行为分析/管理引擎，能够在保证网络出口高效转发的基础上，供应专业的流控功能、精彩的URL过滤以及本地化的日志存储/审计服务。此外，EG的多业务特性还体现在对WEB认证、SSLVPN等功能的支持上。EG易网关的高性能和七层多业务特性，将大大简化中小规模网络出口的部署难题。我们不再须要考虑应当运用防火墙、流量限制设备还是路由器，亦或者产品的相互结合。EG易网关一台设备满意出口部署的必须要求。高性能转发，搭建好网络出口基础平台从底层硬件架构保证：采纳MIPS多核高性能处理器，4GDDRII内存，全千兆接口器件。内置电信级宽频开关电源，具有防雷、防过压、防浪涌设计，适应电压不稳定场合。重视设备线速转发实力：支持超大容量的200万条NAT会话，极限NAT吞吐量5Gbps。基于锐捷自主研发的RGOS网络操作平台，供应电信级网络产品的高性能、高稳定性。状态防火墙，做好内、外网的平安爱护EG易网关作为网络出口设备集成丰富的防火墙功能：快速包过滤：EG供应性能卓越的ACL包过滤功能，支持标准和扩展的ACL访问限制列表。EG采纳先进的流表处理技术，利用源IP、目的IP、源端口、目的端口、协议号等5个元素来定义一条流。报文过滤：报文过滤是防火墙最基本的功能，依据平安策略对数据流进行检查，让合法的流量通过，将非法的流量阻挡，从而达到访问限制的目的。状态检测：对基于六元组来识别网络流量，并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的平安限制和更深粒度的报文过滤。攻击防卫：基于状态检测，EG可以防卫的各种网络攻击包括：IP畸形包攻击、IP假冒、TCP劫持入侵、SYNflood、Smurf、PingofDeath、Teardorp、Land、pingflood、UDPFlood等.继承锐捷专业流控，为网络出口全面提速EG易网关采纳锐捷自主研发的新一代DPI引擎，能够精确识别包括P2P应用、IM、炒股软件、流媒体、企业办公、网络嬉戏等在内的总共600多种协议。网络流量的实时采集、监控和精细分析使得网络运行状况、应用状况、带宽运用状况等状况完全可视化。基于协议和基于用户的实时流量分析器，供应基于源/目的IP地址、服务端口、应用协议、Session数以及流量大小等具体信息。支持基于用户（源IP地址）、目标IP地址、时间、协议和应用等为参数进行敏捷的阻断与允许功能。包括：进行上行与下行带宽限制、进行Session数量限制等。支持组对象的配置，如定义用户组（IP组）、协议组（如P2P协议组、嬉戏组）对同一类型的应用、相同级别的用户进行带宽管理策略的限制。自主研发URL过滤，跟非法网络说ByeBye锐捷自主研发中文URL数据库：锐捷EG自主研发的URL系统全天候获得URL信息，锐捷URL规则库分为41个类别，600万条目数，已基本覆盖中国大陆地区的网站。URL分类举例：军事、体育、政治、经济、教化、文学艺术、消遣、嬉戏、商业、IT类、科学、社会生活、BBS站点、WEB通信、在线闲聊、门户网站与搜寻引擎、远程代理、色情、成人、赌博、毒品、暴力、违反道德、犯罪技能、违反法律、博客、房地产、广告、宗教信仰、求职聘请、旅游。定期自动更新URL库：类似于windows自动更新程式，让设备可设定时间，定期从锐捷服务器获得最新URL库，保证设备URL的实效性和精确性深层次内容审计，本地化日志记录，基于用户身份的审计功能日志对于网络平安的分析和设备的平安管理特别重要，尤其在协作公安机关进行反向查询和定位平安事务的时候。EG针对经过出口的数据流、设备和网络攻击进行相关日志信息的记录。为用户事后分析、审计供应重要信息（日志支持远程web查看和检索）。EG易网关的日志审计包括：Flow流日志：源IP、目的IP、源端口、目的端口、流起始时间、结束时间、接受字节数，发送字节数等关键信息出口NAT日志：经过NAT转换前的源IP地址、源端口，经过NAT转换后的源IP地址、源端口，所访问的目的IP、目的端口、协议、起先时间、结束时间等关键信息URL日志：支持上网五元组、HTTP访问的具体URL日志记录功能。设备日志：设备状态，系统事务日志攻击日志：设备网络受到攻击的日志信息EG易网关的内容审计包括：支持邮件内容审计：邮件客户端方式，如foxmail、outlook等；webmail方式，如新浪、163、雅虎等；支持闲聊内容审计：QQ、MSN等；支持BBS论坛内容审计：天际社区、猫扑、动网官方网站、PHPWIN官方网站等支持加密内容审计、UDP内容审计；EG内置160G企业级SATA硬盘，支持日志本地化存储，和异地集中存储两种方式。设备软、硬件高牢靠性，保障网络出口不中断运行支持桥接模式、路由模式、旁路模式等多种部署方式，充分满意多种环境下的部署要求：1）桥接透亮接入不变更任何其他设备配置，实现完整URL过滤、流量限制、内容审计；2）旁路方式确保网络无单点故障，不对网络性能产生任何影响。内置硬件BYPASS，保证设备掉电、重启等异样状况下转发不中断；关键装置的冗余：多PCI总线冗余、1+1电源冗余（EG1000E支持）、双启动映像文件/双配置文件.模块化软件设计：在降低软件的困难度同时，将问题隔离在软件模块内。某个软件模块出错，不会让机器崩溃。同时具备web界面和标准的CLI配置界面，降低学习和运用成本，给维护带来极大便利。特点：高性能：特有的快速转发功能，为网络打造一个无瓶颈出口高平安：对用户，流量，网络行为，病毒的有效限制，实施保障了整个网络的可控性和高可控性易扩展：丰富多样的借口形态有效的爱护用户的现有投资，更好的便于后续扩展数据中心设计需求分析目前，在信息化建设的浪潮中，几乎全部的数据中心都具备了肯定的数据存储实力，但是依据各自的状况不同，各个场馆的存储现状可谓是参差不齐，一般有以下几种状况：部分数据仍旧采纳干脆存储在服务器本地硬盘上的方式，这种方式存在众多的问题：（1）、不同的数据存储在不同服务器的硬盘上，造成有些服务器硬盘空间已满，而有些服务器硬盘空间却闲置，存储空间的利用率极不均衡；（2）、由于服务器磁盘槽位有限，空间扩展比较困难；（3）、随着应用的不断丰富，访问量的增加，日常业务对网络的依靠，服务器的性能受到剧烈的考验，最终将成为性能的瓶颈；部分服务器采纳DAS存储架构，数据存放于直连的SCSI/FC盘阵中，存储空间扩展成本很高，不能实现多服务器共享存储空间，而且单台磁盘阵列往往就成了核心系统的一个单点故障点，一旦磁盘阵列发生故障，则整个系统将发生中断；部分服务器与磁盘阵列采纳FCSAN/IPSAN存储区域网络架构，虽然具备本地的备份、复原措施，但是不能应对自然灾难（比如：地震、雷击、水灾、火灾、海啸等）、基础设施灾难（比如：机房电力故障、磁盘阵列硬件故障等）和软灾难（比如：斗争、蓄意破坏、严峻的人为操作失误、系统软件BUG等）的中的任何一种，数据存在较大平安隐患，在灾难发生时无法保证对业务系统7*24小时的不间断访问；存在多种存储架构和设备共存的局面，利用率低，扩展性差，缺乏对存储的统一、集中式管理；将上述几种状况做个总结，我们归纳出数据中心的建设的三个阶段，每个阶段都有其相应的特征，针对这些处于不同阶段的用户，锐捷网络推出了不同的解决方案本地容灾解决方案本方案中，在不变更原有架构的基础上采纳锐捷高性能专业虚拟化引擎RG-iS-V3000/RG-iS-V2000一台以及两台磁盘阵列（可利用原有磁盘阵列），将前端服务器产生的数据通过虚拟化引擎在原有存储磁盘阵列中与新增加的存储设备中进行在线的实时镜像，去除存储设备的单点故障，原有的服务器、磁盘阵列不须要做任何调整，很短时间内即可完成安装和调试。园区级高可用跨区容灾解决方案本方案采纳2台RG-iS-V3000/RG-iS-V2000进行集群，服务器、虚拟化管理平台和磁盘阵列分布在区域内的2栋楼中，做到全部冗余，去除全部单点故障，任何一栋楼内的设备出现问题都不会影响业务运行，增大了容灾半径。数据中心容灾方案特点1、零时间故障自动切换当任何一台磁盘阵列因为故障无法正常工作时，无须手工操作，关键业务系统接着在正常的磁盘中读写数据，完全不影响业务的正常运用，真正做到零时间故障自动复原，无需人工干预。保证即使在故障发生时关键系统业务决不会中断。不分主从、同步读写的方式，是该方案实现零时间自动切换的关键所在。2.高性能利用虚拟化引擎对两台磁盘阵列进行镜像，镜像卷的读性能与性能最高的磁盘阵列相当，原有性能低的盘柜即能为数据供应爱护，又不影响镜像组的读性能，大大提升了原有性能较低盘柜的价值。

下图为性能不同的两台磁盘阵列进行镜像和各自单独在随机读策略下的测试数据。（通常存储系统应用中20%为写操作，80%为读操作）基于虚拟化的容灾方案，磁盘阵列不分主从，相比传统的主从模式，将平安所带来的数据库性能损耗降到最低。采纳1.5万转的高性能SAS硬盘，相对早期的SCSI和FC硬盘，内部传输率更高，转速更快。查询速度提升一倍，但是成本削减一半；3.系统平滑升级传统容灾方案实施周期较长，会涉及到大量的客户端安装和数据迁移的工作。本方案无需在现有服务器上安装任何软件，完全不对现有服务器的兼容性和性能造成影响；虚拟化容灾平台可以干脆兼容客户现有阵列，无需进行数据迁移，即可实现容灾。保障了停机时间降低到最小，系统平滑切换；该方案实施的核心优势在于“业务先行复原，数据在线容灾”。保证现有业务连续运行的同时，进行数据容灾。实施停机时间降低到最小，最大程度降低业务切换风险。4.高稳定性锐捷虚拟化管理平台采纳和小型机相同的RISC架构，具有极高的稳定性和性能；高性能，高稳定性的架构协作高牢靠的系统保证关键业务系统7×24小时×365天稳定运行。5.降低TCO采纳锐捷容灾解决方案最大程度降低总体拥有成本（TCO）。硬件成本：虚拟化管理平台可以整合现有存储设备，爱护原有投资；软件成本：将来升级不须要为新增加的服务器和磁盘阵列购买任何的License，节约将来升级成本；管理成本：采纳统一的管理平台，管理便利，实施简洁，可大量节约管理成本。6.高扩展性园区级全冗余容灾锐捷网络容灾解决方案具有高拓展性，能够以最小的投入将原有系统升级，实现自动、实时的远程容灾。在园区内不同的楼栋中各放置一套业务服务器、虚拟化平台和磁盘阵列。可以实现跨楼栋的远距离、业务级、全实时、全自动的业务容灾平台。全业务数据整合利用虚拟化管理平台，能够很简洁的整合现有的不同品牌，不同类型的存储设备，将其他各项业务整合到统一的存储平台进行管理。RG-iS-V2000/3000虚拟化管理引擎能够让用户从容面对将来业务整合带来的难题。供应远程容灾扩展平台在现有的利用RG-iS-V2000/3000虚拟化管理引擎搭建的本地容灾平台可以轻松的升级到远程容灾解决方案。只须要在现有的本地容灾方案的基础上在远程建立一个远程灾备中心，将本地数据中心的RG-iS-V2000/3000和远程灾备中心的RG-iS-V2000/3000通过网络连接，指定适当的复制策略，即可以实现定时将本地数据中心的数据复制到远程灾备中心，实现关键业务数据的几十公里到几百公里级别的远程容灾。

网络平安系统设计随着社会的发展和生产力水平的提高，场馆环境中如何管理不断增加和更新的信息化设备；如何管理并保障信息平安，将终端的运用效率发挥到最大，成为最重要，也是最耗时的管理任务。首先方案中，我们把网络进行逻辑划分：内网：安防、办公、售票等营运相关网络区域。外网：公众接入互联网的有线和无线网络区域。整体架构上，内网和外网物理为一张网络，通过VLAN/策略路由/ACL的方式，逻辑区分内网和外网，一是隔离公众网络访问到内部网络，保障内网的平安保障。二是充分有效利用网络资源。访问外网的平安身份鉴别对于展览类场馆公共区域，有较多的移动用户有上网需求，那对于场馆就须要做到让内网用户和外网用户都能便捷和平安访问外部网络。本方案中，我们设计非内网用户运用WEBportal的认证方式进行部署。这种部署模式有以下优势：不须要安装特定的客户端程序，便于实施和部署。验证码功能，防止暴力破解密码。具备有认证消息提示和系统帮助功能。在规模不大的状况下（500人以下），方案举荐运用适配相应性能的EG网关作为认证出口。如图：在大型场馆和人数较多的状况下（600人以上），方案举荐运用ACE+EPORTAL模式进行做认证的出口，同时出口NAT设备可以选择NPE或者防火墙设备。如图：通过出口部署webportal方式的认证模式，既可解决场馆区域外部用户合理且平安的运用网络，使得网络内外网资源得以平安的防护和合理运用。内网终端用户的平安防护计算机网络基础设施及应用系统的工作稳定性对企业经营生产活动至关重要。实施全面、刚好、有效和系统化管理是计算机信息系统运行牢靠性的有力保证。而运用工具化的管理软件是IT经理驾驭全局、运筹帷幄的重要手段之一。本方案设计运用锐捷GSN解决方案，用户入网身份识别以及用户系统平安性评估。以解决企业在IT管理方面面临的组织协调、故障分析、终端平安加固、终端平安审计等核心问题。GSN针对全部的用户的入网身份进行有效识别，并对入网用户的系统平安性进行评估。通过用户入网身份识别很平安性评估，能有效用户网络身份的唯一性，限制非法用户和非合法用户对网络的访问。并能进行用户网络访问行为的跟踪、记录，能便利有效的进行平安事务的审计工作。补丁及软件分发管理GSN组件RG-SMP供应微软已经发布个产品的补丁更新服务。RG-SMP基于微软的MicrosoftSecurityUpdateService技术，扫描客户机未修复的微软产品平安漏洞。补丁管理功能模快能够限制服务器自行连接微软的补丁更新网站，检查并下载内部网络所缺少的全部补丁，并以服务器为中心，进行补丁的推送安装，确保内部网络全部PC能够在最短的时间里打上最完全的补丁，削减黑客或病毒攻击的机率，确保PC基本的运行环境平安。非法外联及网络访问管理PC用户非法网络外联是很多IT管理员头疼的事情，且随着PC软硬件技术不断更新，其外联手段多种多样，导致内部网络很严峻的平安性问题。而对于PC数量众多、且应用系统多样化、网络环境困难的企事业单位来说，必定会遇到各种各样的问题。IT管理员管理的PC数量不断增加，PC统一配置越来越成为管理中突出的一个问题，假如没有集中管控的手段，那么逐台操作工作量相当大，且PC用户也会擅自变更配置，造成网内PC的基本配置无法统一管理，常常出现诸如IP地址冲突，偷偷代理上网等等一系列问题。病毒与攻击平安通过多种内在的平安机制可有效防止和限制病毒传播和网络流量攻击，限制非法用户运用网络，保证合法用户合理化运用网络，如IP/MAC/WLAN多元素绑定、硬件ACL限制、基于数据流的带宽限速等，满意企业网、校内网加强对访问者进行限制、限制非授权用户通信的需求。用户平安准入支持WEB认证模式，用户运用阅读器即可完成认证过程；

支持客户端的认证模式（802.1x），在实现网络平安的同时，可通过客户端深化用户主机实现主机平安，跟WEB认证不同的是，802.1x适用于严格限制网络平安的区域；此外，认证后仍旧能实现IP、MAC、WLAN等元素的绑定信息，保证只有合法的用户才能进入网络；通过支持锐捷全局网络平安解决方案（GSN），敏捷实现对进入网络的用户划分访问权限，并且通过用户完整性检查将对网络平安有威逼的用户隔离到平安区域，避开个别用户的行为导致整网断网，从而爱护全网的平安。接入层次的其他平安措施ARP欺瞒的防护ARP检测功能有效遏制了网络中日益泛滥的ARP网关欺瞒和ARP主机欺瞒的现象，保障了用户的正常上网。无论在动态安排IP环境下，还是静态安排IP环境下，均可实现自动绑定工作，大大的节约了人力成本，降低了管理开销。而协作ARP速率监控限制ARP报文发送的速率，防止恶意利用扫描工具进行ARP泛洪占据网络带宽，导致网络拥塞的攻击行为。DHCP平安支持DHCPsnooping，只允许信任端口的DHCP响应，防止未经管理员许可私自架设DHCPServer，扰乱IP地址的安排和管理，影响用户的正常上网的行为；并在DHCP监听的基础上，通过动态监测ARP和检查源IP，有效防范DHCP动态安排IP环境下的ARP主机欺瞒和源IP地址的欺瞒。管理信息平安SSH（SecureShell）和SNMPv3技术通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的平安性，防止黑客攻击和限制设备。基于源IP地址限制的Telnet访问限制，更加精细的供应了设备管理限制，保证只有管理员配置的IP地址才能登陆AP和基础架构的网络设备，增加了设备网管的平安性。数据中心区域的平安爱护DMZ区域的设计本方案设计运用千兆级防护墙通过DMZ区域的设计，爱护在重要业务系统和数据资料。千兆级RG-1600S采纳锐捷网络自主开发的RG-SecOS和独创的分类算法使得它的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WAL1600x在内核层处理全部数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL具有入侵监测功能，可推断攻击并且供应解决措施，且入侵监测功能不会影响防火墙的性能。RG-WALL1600S支持深度状态检测、外部攻击防范、内网平安、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的平安；供应多种智能分析和管理手段，支持邮件告警，支持多种日志，供应网络管理监控，帮助网络管理员完成网络的平安管理；支持PPTP、L2TP、IPSec和SSL等多种全面的VPN业务，可以构建多种形式的VPN；供应强大的路由实力，支持静态/RIP/OSPF/路由策略及策略路由；支持双机状态热备，支持Active/Active和Active/Standby两种工作模式以及丰富的QoS特性，充分满意对网络高牢靠性的要求。WEB网站爱护设计IDC托管机房、商业或业务站点、各类Web应用服务器等长期以来始终被Web应用攻击所困扰，随之而来的是投诉、虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题。信息服务供应者如政府、企业、高校等网站饱受网页篡改、网站挂马等Web攻击的困扰。因此解决Web应用平安问题已成为当务之急。RG-WG系列锐捷WebGuard应用爱护系统，是锐捷网络特地解决上述Web应用平安问题设计的网络设备。锐捷WebGuard基于对HTTP/HTTPS流量内容的双向检测分析，识别检测各类Web编码、交互技术、URL参数以及表单输入等，为Web应用供应实时、动态的主动性防护锐捷WebGuard，通过对进出Web服务器的HTTP/HTTPS流量相关内容的实时分析检测、过滤，来精确判定并阻挡各种Web应用入侵行为，阻断对Web服务器的恶意访问与非法操作，适应Web2.0时代的主动实时监测过滤风险技术，而不是被动的遭遇攻击后的复原，将恶意代码、非授权篡改、应用攻击等众多因素结合在一起进行综合防范，从而做到对Web服务器的多重爱护，确保Web应用平安的最大化，防止网页内容被篡改，防止网站数据库内容泄露，防止口令被突破，防止系统管理员权限被窃取，防止网站被挂马和植入病毒、恶意代码、间谍软件等，防止用户输入信息的泄露，防止账号失窃，防SQL注入，防XSS攻击等。网络管理设计场馆类网络管理面临的挑战及需求分析面临的挑战IT的胜利建设，在给我们的工作和生活带来便利的同时，也给我们带来一些管理上的麻烦，比如：由于IT技能偏低，操作缓慢；很多的重复性批量工作太多，员工被动工作；同时IT维护工作量大。在这些状况下出现了以下问题:IT故障无法解决、员工工作效率低下。需求分析目前很多得单位急需以业务为核心的IT资源统一管理、对故障快速、精确定位、网络透亮化管理，优化业务应用我们依据现在展览类客户在实际工作的一些问题和需求，我们举荐以下解决方案解决。网络管理—流量管理方案设计流量管理的部署出口流量的应用限制与带宽优化通过在出口部署的EG出口网关，进行出口P2P限制和7层业务的精细化管理和带宽保证。出口网关内置高性能DPI引擎，超过600种协议识别。通过合理的出口的精细化管理和限制，压缩了垃圾流量，提升了整体网速对视频会议等关键应用的带宽保证，强化了网络对业务的价值业务流量的可视化管理依托锐捷设备的IPFIX功能，通过对各种Flow技术的支持，收集各种设备流量信息，供应对网内流量深化细致的分析，呈现带宽利用明细和各种有效的分析报表。从网络总容量、速度、运用率、数据包四个维度去统计和分析趋势；依据几个指标的饱和度，可以考虑是否须要对网络进行扩容；同时预料负载峰值时间，实行措施保证网络不会过载。网络管理—设备WEB可视化管理网络管理设计，本方案设计运用锐捷网络公司为网络统一管理设备管理而设计的设备网管软件。通过其图形化的操作界面，管理员可以轻松的查看设备状态和对设备进行各种配置。产品主要协作锐捷全线路由交换设备运用(分阶段实现)，同时也可以兼容部分第三方厂商设备。SNC为网络管理人员供应图形化、可视化的设备配置工具，能够所见即所得的看到设备端口、CPU、内存等关键信息的实时状态，能够通过图形菜单的方式对设备进行配置和管理。从而大大降低基层维护人员的管理强度和难度，有效地加强场馆