办公室网络解决方案

1、办公网解决方案目录1 前言11.1 办公网现状分析11.2 办公网需求分析11.2.1 无线接入需求11.2.2 全网统一认证需求11.2.3 安全需求21.2.4 网络管理需求21.3 办公网整体解决方案31.4 无线网络接入31.5 全网统一认证方案41.6 推荐设备介绍41.6.1 安全网关（路由设备）41.6.2 交换设备51.6.3 机房建设完成后的状态71 前言目前办公网的发展随着计算机网络技术的飞速发展，在现有的网络的基础上建立高效、协调、集成的办公自动化系统已成为可能，这也是从根本上提高办公效率的有效途径。当前，我国信息化建设的快速发展，办公的规模日益扩大，办公工作的新情况、新

2、问题不断出现，如何保障管理信息的公开与畅通，管理关系的协调与统一，已成为管理者必须着手解决的主要问题，与此同时,，传统办公方式明显不能办公的需求，这就要求新型的网络化办公方式出现。1.1 办公网现状分析办公网作为公司业务发展网络的一个组成部分，大多办公系统一起建设，目前的办公网大多没有进行接入认证，所以对于用户的管理也是较为混乱的，外来的访客随便接一根网线即可以接入到办公网中。有部分在网络出口处有一个基于WebPortal的认证网关，由于没有做到接入即认证，所以造成了安全事情层出不穷，内网的防御能力较弱，病毒木马泛滥，网络攻击事件时有发生，且在安全事件发生后也无法追究到人，无法审计进行有效的处

3、理。1.2 办公网需求分析1.2.1 无线接入需求 目前部署了以有线网络为基础的办公网，然而有线网络只能提供用户固定的、有限的网络信息点，随着社会的信息化发展与笔记本电脑的普及，很多拥有笔记本电脑，办公也需要能随时随处地获取网络提供的各种资源。公司内的很多场所比如会议室、大厅等场所无法提供很多人同时上网，而且公司经常举行一些大型活动，也经常有很多外来访问者，需要无线上网。这样在无线网络环境下多种用户类别共存、高安全性、高稳定性、可管理以及与已有有线网络用户的无缝整合等，需要有针对性的办公无线网络解决方案。1.2.2 全网统一认证需求F 如何进行有效的身份管理？外来用户、非法用户随意接入。缺少可

4、控的身份集中认证系统，管理难度大。F 到底该采用哪种认证方式？希望有更高级别安全性，入网即认证。某些区域无支持802.1x的交换机，也不具备报文穿越的条件。特殊用户不方便安装802.1x客户端，不想改变使用习惯。F 无线、VPN如何与有线认证融合？无线、有线、VPN三套帐号？需要另外购买一套无线认证系统吗？1.2.3 安全需求网络安全层面的需求主要是以下三点：F 网络访问控制强制的入网安全以身份、主机完整性、行为合法性等作为网络访问的条件，不符合条件无法入网，将不安全因素排除在网络之外F 软硬件联动一体化的解决方案将软件、硬件整合起来，避免各自为战的现象，联动、自动的处理安全问题，降低管理、维

5、护工作量F 多层面控制从根源净化网络身份、主机、网络、行为等多层面的控制，从入网的一刻起，每个动作都要合法1.2.4 网络管理需求 面对办公网络专职网络维护管理人员少等特点，网络设备要具有很好的可管理性，能够很方便地发现、隔离、排除网络故障，很方便地对大量网络设备进行维护，随时了解整个网络的运行情况，以保障网络的健康、稳定地运行。办公网解决方案1.3 办公网整体解决方案锐捷针对办公网提供稳定可靠的基础网络解决方案，整网采用核心、百兆到桌面的设计理念。高吞吐量、线速转发的核心路由器和交换机，保证了网络的稳定可靠。锐捷在办公网的基础网络解决方案拓扑图：1.4 无线网络接入为了达到随时随地接入的目标

6、，需要对有线网络和无线网络进行有机融合。在适合无线网络的地方建设无线网络，提供无线接入，将无线作为有线的补充。1.5 全网统一认证方案锐捷针对办公网的安全解决方案包括：安全接入认证方案、安全管理解决方案和全局安全网络解决方案等。可以在网络中实现“让正确的人，在正确的地方，合法地访问网络”。详细的用户认证记录：谁，在什么时间，以什么IP地址和MAC地址，从哪里（NAS IP、NAS Port）接入网络。安全可靠的群集技术：作为办公网认证的认证，保证了核心系统的安全可靠。1.6 推荐设备介绍1.6.1 安全网关（路由设备）【硬件规格】：配置千兆电口7；配置千兆光口2；光口支持千兆、百兆自适应；配置

7、USB2.0接口1；配置SD卡接口1；支持并配置内置企业级SATA硬盘8G；支持硬件Bypass功能；电口内置硬件Bypass模块；【性能】：全功能开启，吞吐量30Mbps；设备极限最大吞吐量400Mbps；支持最大在线用户100人；【部署方式】：必须支持路由模式、桥接模式、旁路模式；支持多路桥接功能；【功能】：（1）、路由转发：支持静态路由、RIP(V1/V2)、OSPF等多种路由协议；支持DHCP Relay 、DHCP Server；支持NAT，支持多种NAT ALG，包括FTP、H.323、DNS等；支持QoS（PQ、CQ、FIFO、WFQ、CBWFQ等）；（2）、应用识别和流量管理：

8、内嵌自主知识产权的DPI应用识别引擎，具备完善的应用协议库，能覆盖国内主流的网络应用；协议识别数量800种，支持基于用户、应用、时间对象的流量管控和策略设置，支持的流控策略组100个，整机支持的流控策略8000条，支持带宽通道优先级的定义，保障核心业务拥有带宽保障，支持空闲带宽借用，实现带宽资源统计复用；（3）、URL识别过滤：内置自主研发的URL中文数据库，URL条目数600万条；支持URL的黑白名单；支持基于用户/时间的URL过滤规则；支持显示当天站点访问TOPN，支持历史URL审计信息的统计；URL审计的时效性5秒，即某用户访问的URL要在5秒内能够被审计出来；（4）、网络安全：支持对机

9、器狗等网络病毒的防护；支持对DDoS攻击、Syn flood、端口扫描等攻击的防护；支持IPSec VPN和SSL VPN （5）、日志审计：支持NAT日志、URL日志记录；支持本地化至少60天日志存储和远程Web检索；（6）、内容审计：支持对通过smtp、pop3和webmail等方式的邮件收发和内容的审计；支持IM上下线和聊天内容审计，如QQ、MSN等；支持BBS论坛内容审计，如天涯社区、猫扑、动网等；支持加密内容审计、UDP内容审计 (7）、设备管理：支持中文WEB界面和CLI命令行配置、管理和监控；支持SNMPv1/v2；【售后服务】：支持URL规则库和应用识别特征库定期自动HTTP在

10、线升级，不需用户手动升级；URL规则库、应用识别特征库升级服务终身免费1.6.2 交换设备【形态】：全千兆交换机，配置24口10/100/1000M自适应端口，4个SFP光口；【性能】：交换容量205G，包转发率50Mpps【功能】：L2功能：4K IEEE802.1Q (支持GVRP)、IEEEE802.1d（STP）、IEEE802.1w（RSTP）、IEEE802.1s（MSTP）、IGMP Snooping v1/v2/v3；L3功能：支持静态路由；IPv6：支持IPv6主机管理相关协议；【ACL&QoS】：配置ACL功能：标准IP ACL、扩展IP ACL、MAC扩展ACL、专家级A

11、CL （可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间等灵活组合的硬件ACL）、时间ACL等；配置支持源/目的IPv6地址、源/目的端口的硬件IPv6 ACL 和IPv6 QoS；【认证计费】：支持802.1x和WEB认证/计费功能，且交换机端口802.1x和WEB认证可以同时开启，不会相互冲突制约（提供国家权威机构测试报告）；【安全功能】：在交换机端口启用802.1x和WEB认证后，仍然能支持CPU报文限速，限制非法的报文对CPU的攻击，保护交换机稳定工作；仍然能够禁止非法用户的ARP欺骗报文，防止合法用户的数据被窃取；同时交换机支持ARP网关欺骗防御功能，能够防止非法用户针对