一、路由器
1.核心路由——参考产品:VOLANS-5100
VOLANS-5100是飞鱼星科技专为具备千兆骨干局域网的大中型网吧、企业、小区、学校等用户设计的高性能千兆防火墙路由器。它使用飞鱼星科技自主研发的VROS 核心操作系统。产品采用“2×百兆WAN+5×千兆LAN”的千兆硬件架构,基于Intel IXP 533主频处理器,内建大容量64MB内存;最高支持120,000个并发连接数,防火墙双向转发速率200Mbps。
智能过滤功能
BT、PPLIVE、酷狗P2P软件对网络带宽的暴力占用会影响到网内其他用户的正常业务;QQ/MSN等即时通讯软件的大量普及,造成员工办公效率低下,无法集中精力。通过智能过滤功能,即可轻松屏蔽此类软件的使用。此外,用户可以通过对特权用户组的设置保证关键用户的使用不受影响。
弹性流量控制
可针对全网、单个IP或IP段进行上传下载速率的分别弹性限制。 “弹性流控”能根据网络带宽总资源的实时使用情况,按照设定的方式自动为每台在线PC智能分配最佳带宽。在网络繁忙的时候自动抑制占用大带宽的下载流量,保证网络不卡、不慢;在网络空闲的时候允许用户进行高速下载,充分利用网络资源,增强上网体验。
内网全面分析
通过高速网络流量采集和分析技术,我们给您准备了直观的网络状态报告:利用直观的数据流量图,每条线路的数据流量都一目了然;实时查看每个IP的累计流量、实时速度、网络连接数等关键指标,全面分析每个IP的网络连接详情,帮助您轻松掌控网络资源的分配情况,网络问题的定位易如反掌。
产品支持双线接入和带宽汇聚,“飞鱼星智能均衡”功能可自动寻找最优的路径和负载模式,不但彻底解决网络互通的瓶颈问题,而且极大降低管理工作量。它提供五个千兆可网管LAN端口,可直接连入千兆骨干局域网,满足内部高速传输数据的需求。
2.普通宽带路由——参考产品:D-Link DI-707P(带打印口)
支持打印功能的桌面型路由器目前是比较受企业用户欢迎的一类产品。D-Link出品的DI-707P就正是一款带有并行打印机端口的多口桌面型路由,该产品可以连接使用并口传输数据的传统打印机。
DI-707P采用了D-Link桌面产品经典的银色外壳。这款产品拥有一个可连接小区宽带以及ADSL猫的10MWAN接口还有一个连接普通猫或诊断工具的串口,用户可以用它接入目前常用的各种网络。它为子网提供了7个LAN口,我们可用这些LAN口来连接计算机或级联交换机。
作为一款标准的小型宽带路由,这款路由支持静态及动态路由功能,并可以使用静态、动态IP、PPPoE等多种方式进行连网认证。他为每个端口提供了1K的MAC地址表。该路由具备网络权限设置功能,用户可以为选定的网络用户设置Internet访问权限,也能够通过阻止或重新定向某些端口来实现对外界用户的访问限制。此外,它还具备VPN透传功能,不但支持多重PPTP,还允许对VPN服务器及VPN客户端进行设置。
对于在编辑部、事务所、咨询公司、机关办公室、事业单位等场所办公的用户们来说,支持打印功能的路由器比一般的路由器更加实用。而这款产品也可以支持目前所有常见的连网方式,在没有宽带的地方用户也能利用它连接电话线上网。
适用:公司外地小型分支机构比较适用,相当于用路由器作为打印服务器,一些使用老式打印机的办公室也可以使用。
分析:其实路由器带打印服务器功能是非常实用的,不过现在大部分的打印机都支持USB连接,高速并口似乎用途没有USB口那么广。
二、交换机
1.千兆交换机——参考产品:华为 S-1224
千兆交换机产品在参数指标上主要看几点,其中最重要的一个参数是背板带宽(交换容量),它是交换机接口处理器与数据总线之间所能吞吐的最大数据量,数值的大小直接影响到千兆交换机的数据交换转发性能,背板带宽越大性能越好,一般LAN口数量越多就需要按比例的增加背板带宽,才能达到每个端口都具有较高的转发率。在端口带宽相同的情况下,背板带宽大的交换机数据包转发速率会越大。下面来为大家介绍各个应用层面的千兆交换机产品。
华为 S-1224全千兆网络交换机具有24个全千兆端口,具有线速转发、稳定可靠和便于扩展的特点,主要定位是网吧、企业、校园网和宽带小区等苛刻的网络环境进行长时间的不间断工作。
华为S-1224全千兆网络交换机的功能也相当的强劲,它支持静态链路聚合,可以将多条物理链路合并成一条高速逻辑链路,同时起到了容错作用;支持基于端口的VLAN和802.1Q VLAN;支持4组,每组最多8个端口链路聚合、端口镜像功能、广播风暴抑止;同时还支持端口开关和流量控制。作为智能交换机,当然少不了支持网络传输的服务质量QoS,并提供了严格优先级队列与加权循环队列两种对列调度方式。
华为这个品牌相信大家还是非常清楚同时也比较信赖的,在企业级千兆网络中,相信像S-1224这样同时具备全千兆配置、QOS服务、静态链路聚合、端口镜像等众多功能然后又系出名门的产品能够以不到2K的价格拿下,还是非常有吸引力的。
2.小型交换机——参考产品:D-Link DES-1016D
DES-1016D 是D-Link旗下一款为中小型网络设计的紧凑型交换机产品。这款交换机体积比较小,节省空间,便于在空间有限的办公环境中安装。
D-Link DES-1016D采用了常见的纯黑色金属材质设计,借助D-Link DES-1016D前面板的LED状态灯,用户可以直观的了解现今的网络工作状态。
这款DES-1016D提供16个RJ-45端口,级联端口 1个(与第1号RJ-45交换端口共用),网络拓扑为星型,工作速率 10M或100M(半双工),20M或200M(全双工)。前面板具有LED故障诊断指示灯,内置通用电源。 通过流量控制,能够允许几台服务器直接与DES-1016D交换机进行连接,进行快速、可靠地数据传输。
DES-1016D可以为小型企业提供低成本的以太网组建方案,比较适规模不大,同时又有多台电脑需要上网的小型企业或公司使用。
三、综合布线
千兆网布线
完善的综合布线系统设计是保障系统成功的基础,设计人员在充分了解最终用户对用户计算机网络及业务应用的需求的基础上,对综合布线系统的总体框架作出规划,从而设计出反映用户的实际需求的综合布线系统图。在建筑设计时必须考虑到综合布线系统的管槽走向及空间、弱电井和弱电间位置,弱电系统设计应为计算机主机房、电话交换机房留出足够的位置和空间,各业务部门的信息点数量及位置的分布也应尽早与最终用户讨论确定。
另外,综合布线系统设计要根据计算机网络传输速率、带宽及应用软件的要求,根据国际及欧美综合布线系统标准对综合布线系统产品(线缆、接插件)等级、规格提出规定,同时也要考虑用户环境对综合布线系统安全性、保密性的要求,考虑是否采用阻燃、无毒和屏蔽产品。目前,大部分综合布线系统项目多采用欧美知名布线品牌公司的产品。综合布线系统产品的选择主要应考虑采用的布线产品是否满足国际及欧美综合布线系统标准,满足计算机网络及业务应用对综合布线系统的要求。用户及设计方可根据实际需要对产品及供应商进行考察和检验。
综合布线系统的实施是实现系统设计要求的关键,同时,在整个用户的建筑工程和弱电系统实施过程中,综合布线系统的施工进场最早,结束最晚,与建筑、强电和其他弱电系统协调和配合的方面最多,因此,综合布线系统的施工队伍必须具有相应的施工资质,施工人员应具备良好的素质。同时,项目管理人员必须对综合布线系统的施工的各个方面进行计划、监督和指导,以确保综合布线系统按时、按设计要求高质量地完成。
在项目管理中,应对以下工程中经常遇到的情况加以注意:首先,综合布线系统设计图纸、建筑安装图纸及精装修图纸是否一致,如果设计图纸更新不能及时发放到各系统,一定会发生各系统配合问题,导致工程返工,引起增加成本、耽误工期。其次,设计更改是否影响工程进度和成本预算,任何项目中,遇到更改在所难免,但提出更改一定要慎重,且必须按照正规的处理程序。与此同时,各系统的进度配合、现场协调及产品的到货、保管和系统现场保护问题也不可忽视。
四、校园宽带应用
侠诺校园组网方案参考
据中国教育和科研计算机网调查数据显示,目前校园网络已通达内地的160个城市,联网的教育机构和科研单位达900多个,联网主机120万台,网络用户800多万,成为国内仅次于中国电信的第二大互联网络。然而,随着校园网络建设的不断深化,专家和教育工作者也提出了一些问题和建议。一方面是“光生不养”,校园网在国家投资建成后缺乏运行经费,普遍出现了“建设有钱,运行没钱”的情况;另一方面是校园网管理必须加强,避免学生沉迷于网络,也避免网络资源被大量闲置。
要做好网络控管,我们必须先从校园内网络架构谈起。一般而言,校园内都有教育网系统,但因为有限的带宽以及校园安全性等等问题,多半各系所或是校园宿舍都会在学术网络之外,再自行建置一条或多条ADSL网络,以用来应付学员更大带宽使用的需求。因此在一般校园网络架构系统中,普遍我们可看到包含教育网以及公众网络两种系统并行。
照理说校园网络比起一般网络应用环境,多出了教育网络系统可以分担上网的流量,因此应该不会有上网速度慢的问题。但根据学生使用经验指出,在校园或宿舍使用网络,不但常常会遭遇到上网慢问题,甚至掉线、病毒攻击等问题也层出不穷。难道带宽还是不够吗?带宽管理没有用吗?究竟学术网络与一般网络应用该如何整合?侠诺科技深圳技术中心主任文浩坚针对校园实际面临到的问题提出校园网络解决方案。其配置与方案特色如下:
(上图)侠诺科技校园宽带应用拓朴图 校园内由于各个系所与宿舍,所分配到的学术网络一般有限,因此多半会自行接入公众的宽带网络,例如ADSL增加带宽。因此校园网络组织架构由于包含教育网以及公众网络,但如果分别建置各自的路由器,还必须分别进行配发IP与种种管理设定,对于要管理各个系所或是学校宿舍的网管人员来说,可以说是非常繁琐的工作。因此如果能采用多WAN口的路由器,即可将学术网络以及一般网络共同建置在一台路由器上,通过策略路由的设定,让教育网与一般网络各种设定分流,达成化繁为简的目的。
校园各系所与学生宿舍在学术网络之外再接入的公众网络,都希望以最低的成本增加最大的带宽,光纤固然是大家脑海中浮现的第一选择,但碍于各系所与学生宿舍预算限制,往往不得其行,此时多WAN的路由器,可接入多条ADSL,借助汇聚带宽的作用,让各系所与学生宿舍能够以较低的成本,享受大大的带宽服务。
此外,根据许多学生反应,校园网络仍常常存在网络不稳、或是掉线等问题,而多WAN路由器由于可同时接入多条线路,加上自动备援线路设定,正好可解决此类的问题。配合线路侦测机制,可自由设定ISP断线之后,原本走此线路的流量封包,必需在多久时间内自动切换其它线路,进一步实现网络不断线,保障了稳定的网络质量。
在接触校园的案件中,我们最常听见学生的抱怨,便是上网速度很慢的问题,对于有实时性需求(例如选课、注册、交作业时)的确是一个很大的困扰。而当Qno侠诺技术工程师深入了解之后,发现经常因为某些学生正在下载BT、P2P或者其它视频影音……,而导致大量占用了整体带宽所导致卡网的问题,对于这样的情况,增加再多的带宽还是不够用的!
要解决这个问题,就要进行带宽管理。但由于网络普及以及日趋繁杂应用,一般的带宽管理QoS功能突显了两大弊病。第一是无法有效抑制大量占带者:网管人员必须进行手动的一一查找,才可找出大量占带者的IP,同时网络都已经瘫痪好一阵子了。接下来花费好一番功夫给予警告或封锁IP,而恶意占带者仍可再换个IP继续下载,网管人员又得一一重来,可以说是防不胜防。第二大弊病在于带宽利用率很低的问题:一般QoS带宽管理,必须一次配置好每个IP容许的最大带宽使用量,但是网络使用有高峰与低峰的时间,如果都采用同一个配置带宽使用限制,会造成整体环境只有1人上网与有100人上网时,每个人可使用的带宽都一样,导致整体带宽利用率很低的现象。当然,网管人员也可时时自行调整带宽使用限制,但是对于网管人员来说,会是一个很大的沉重负担。
因此,建议校园要进行有效的带宽管理,可采用配备智能QoS带宽管理的路由器,可同时解决恶意大量占带者以及带宽使用率不佳的两大问题。由于智能QoS可自动将大量占带者的IP自动列入黑名单列表进行观察,针对持续占带者再加以二次惩罚,将该IP可使用的带宽减半等等,即可轻松有效的抑制恶意占带者,保障正常使用者的带宽,快速恢复正常网络速度。另外在带宽利用率上,智能QoS提供可自由设定哪一天哪一个时段,整体带宽流量门坎达多少以上(例如现有带宽使用达60%)才会开始执行带宽控管,轻松实现高峰与低峰时间,享受不同大小的带宽服务,达成弹性的带宽管理,也成就了带宽使用率最佳化的表现。
强大防火墙 确保内外网安全
校园网络由于学生人数众多,因此更要防止各种黑客、蠕虫等恶意病毒的攻击,以确保内网以及外网的安全。目前来说,最多的攻击形式仍以ARP攻击居多,因此建议校园选择的路由器设备中,最好能够拥有内建的防制ARP功能,借助自动检视封包的机制,侦测过滤可疑的封包,做为防制ARP攻击的第一道防线。当然如果网管人员可搭配IP /MAC双向绑定,在路由器端以及各个系所或是宿舍内的PC端进行IP/MAC绑定,即可达到防堵ARP无漏洞的效果。另外一方面,由于网络信息包罗万象,有许多不当应用或网站例如BT下载、色情网站等等,对于校园学子风气有不良的影响,应透过防火墙Access Rule存取规则或网页内容管制设定,针对特定的网域或关键词搜寻予以封锁服务。
虽然强效防火墙,可防止一般的攻击,但目前许多病毒与攻击层出不穷,校园网络又如此庞大,因此万一不幸中毒,也希望可以尽量缩小感染的范围,不致扩散到整体网络。因此,各个系所以及学生宿舍都必须建置基础的VLAN隔离,才不会导致某一层宿舍里某个学员中毒,造成整个学生宿舍网络全面感染中毒的状况。
VLAN的概念是让网管依据不同网段,划分出不同的局域网,比如宿舍区可区分为一楼、二楼、三楼等不同VLAN,再使用VLAN功能将一楼、二楼、三楼不同局域网区分为VLAN1、VLAN2、VLAN3…作为隔离。如此一来不同VLAN的局域网便不能互相访问,便可限制病毒与无用信息流通。也就是说,当一个VLAN中(例如:一楼)有人不幸中毒,只会影响同一个VLAN(一楼)内的VLAN,不会扩散到整个学生宿舍,可有效避免广播及病毒封包迅速扩散全网,大大降低感染区域。
目前,校园网络建设已从高校逐渐扩展到中、小学校,预计不久后各中小学在图书馆中将全面接入校园网络,因此有更多的学校将面临校园网络与公众网络如何分流控管的问题。侠诺科技深圳技术中心主任文浩坚建议这些校园在建置网络同时,若能将多WAN、智能带宽管理、防火墙、基础VLAN等四个功能结合在同一台路由器上,同步进行各项控管,才能真正实现化繁为简的强大功能,进一步帮助校园轻松建立全面、安全、快速、稳定的网络系统!
