前言

　　由于信息化建設速度越來越快，而目前企業(yè)的網(wǎng)絡建設年代久遠，其間經(jīng)過多次擴容和改建，初步形成了全網(wǎng)互聯(lián)互通，但沒能從根本上解決網(wǎng)絡安全問題。員工電腦中毒，內(nèi)網(wǎng)ARP病毒、DOS攻擊泛濫，嚴重時整個內(nèi)網(wǎng)癱瘓;P2P下載占用大量帶寬，有限的帶寬資源得不到合理分配，影響辦公正常業(yè)務。所以企業(yè)的網(wǎng)絡改造已迫在眉睫。

　　一、網(wǎng)絡現(xiàn)狀

　　企業(yè)目前從電信申請兩根光纖接入，其中一根通過網(wǎng)絡管理服務器專門提供給單位領(lǐng)導使用;另外一根光纖接入防火墻—>下聯(lián)交換機，各個分支機關(guān)再通過光纖接入到交換機。網(wǎng)絡管理服務器上設置PPPoE Sevrer，內(nèi)網(wǎng)采用PPPoE認證撥號上網(wǎng)，網(wǎng)絡比較穩(wěn)定。分支機關(guān)采用固定IP接入到防火墻上網(wǎng)。

　　二、存在的問題

　　由于防火墻年代已久，功能的局限，根本無法對用戶的應用進行限制。ARP病毒、P2P造成帶寬濫用和內(nèi)網(wǎng)DOS攻擊嚴重影響辦公正常業(yè)務使用。防火墻下聯(lián)交換機為普通型交換機，不具備管理能力，內(nèi)網(wǎng)廣播風暴容易導致網(wǎng)絡擁堵。

　　三、改造方案

　　(一)方案之一，拓撲圖如下：
 

　　方案一拓撲圖

　　該方案采用單網(wǎng)關(guān)控制各個機關(guān)上網(wǎng)。具體實施步驟如下：

　　1. 網(wǎng)關(guān)：采用具備PPPoE服務器功能的高性能64位處理器的防火墻網(wǎng)關(guān)作為機關(guān)接入互聯(lián)網(wǎng)的接入控制。開啟PPPoE服務器，機關(guān)電腦PPPoE撥入到網(wǎng)關(guān)，可以徹底解決內(nèi)網(wǎng)ARP欺騙。帶寬管理、P2P限速有效合理分配帶寬資源。防火墻默認開啟防止DOS/DDOS攻擊防止常見病毒攻擊。
 

　　PPPoE服務器

　　防止內(nèi)網(wǎng)攻擊

　　2.核心交換機：采用管理型交換機，具備廣播風暴抑制、VLAN隔離功能。廣播風暴抑制、VLAN隔離降低內(nèi)網(wǎng)安全風險，同時減少大量廣播包對PPPoE撥號的影響。

#p#

　　(二)方案之二，拓撲圖如下：

　　方案二拓撲圖

　　該方案采用多網(wǎng)關(guān)控制各個機關(guān)上網(wǎng)。具體實施步驟如下：

　　采用具備PPPoE服務器功能的防火墻網(wǎng)關(guān)作為機關(guān)接入互聯(lián)網(wǎng)的接入控制。開啟PPPoE服務器，機關(guān)電腦PPPoE撥入到網(wǎng)關(guān)，可以徹底解決內(nèi)網(wǎng)ARP欺騙。帶寬管理、P2P限速有效合理分配帶寬資源。防火墻默認開啟防止DOS/DDOS攻擊，防止常見病毒攻擊。不同機關(guān)接入到不同網(wǎng)關(guān)，各個機關(guān)相對獨立。每個網(wǎng)關(guān)需要一個公網(wǎng)IP。

　　PPPoE服務器

　　防止內(nèi)網(wǎng)攻擊

　　四、方案對比

　　方案一特點：各個企業(yè)通過同一個網(wǎng)關(guān)接入，在個局域網(wǎng)，服務器接入到核心交換機，實現(xiàn)資源共享更加方便。網(wǎng)關(guān)具備64位處理器，強大的處理能力以及擴展性。

　　方案二特點：各個企業(yè)從物理上隔離，安全性更高，但是資源共享需要通過互聯(lián)網(wǎng)。

　　五、推薦產(chǎn)品

　　方案一

　　名稱數(shù)量單位單價

　　(元)總價

　　(元)備注

　　UTT 5830G1臺支持500個PPPoE賬號

　　交換機

　　SG 21241臺核心管理型交換機

　　方案二

　　名稱數(shù)量單位單價

　　(元)總價

　　(元)備注

　　HIPER 4640G實際需求臺支持200個PPPoE賬號

【編輯推薦】

1. 思科無線局域網(wǎng)(WLAN)控制器采購指南
2. 六大經(jīng)典解決方案讓局域網(wǎng)內(nèi)互訪無障礙
3. 無線局域網(wǎng)的組建成企業(yè)內(nèi)部署平板電腦的挑戰(zhàn)