来源:蜘蛛抓取(WebSpider)
时间:2016-11-29 04:51
标签:
web应用安全网关
MCS7890C1-BE8-K9
描述:思科致力于将数据、语音及视频等一切通信工具都集成到一个融合网络中,与运行多个单独的网络相比,管理一个网络既经济实惠又简单方便。思科Cisco Unified Communications Manager Business
思科致力于将数据、语音及视频等一切通信工具都集成到一个融合网络中,与运行多个单独的网络相比,管理一个网络既经济实惠又简单方便。思科Cisco Unified Communications Manager Business Edition 3000(以下简称CMBE 3000),它是一款经济型统一通信平台,能够支持10个站点、约300名用户。
CUCM服务器
MCS7890C1-BE8-K9=
BE3000 CM服务器 (含两个E1中继,无需许可证)
模拟网关报价
SPA8800 (4 FXO+4FXS)
提供4个模拟中继端口和4个模拟用户端口,模拟用户端口需要模拟用户许可证配合使用
VG224 (24 FXS)
24端口的模拟用户网关,需要模拟用户许可证配合
IP 电话系统报价
CP-3905-BE=
Cisco IP Phone 3905 (含用户许可证)
CP-6901-CBE-K9=
Cisco IP Phone 6901 (含用户许可证)
CP-6911-CBE-K9=
Cisco IP Phone 6911 (含用户许可证)
CP-6921-CBE-K9=
Cisco IP Phone 6921 (含用户许可证)
CP-6941-CBE-K9=
Cisco IP Phone 6941 (含用户许可证)
CP-6945-CBE-K9=
Cisco IP Phone 6945 (含用户许可证)
CP-6961-CBE-K9=
Cisco IP Phone 6961 (含用户许可证)
CP-8941-BE-K9=
Cisco IP Phone 8941 (含用户许可证)
CP-8945-BE-K9=
Cisco IP Phone 8945 (含用户许可证)
CP-8961-CBE-K9=
Cisco IP Phone 8961 (含用户许可证)
CP-7937G-CMBE-K9=
Cisco IP Phone 7937 (含用户许可证)
UCIRTX8-B3K1-K9=
思科腾讯通 (包括思科和腾讯通许可证)
CP7925G-WBE-K9=
Cisco WIFI Phone 7925 (含用户许可证)
CP-3905-PWR-CN=&
Power Supply for the Cisco Unified IP Phones 3900 series
CP-PWR-CUBE-3=
Power Supply for the Cisco Unified IP Phones
CP-PWR-CUBE-4=
Power Supply for the Cisco Unified IP Phones 8900 series&
CP-PWR-CORD-CN=
phone power cable
额外单独话机License
L-LIC-BE3K-ESS
用于模拟电话的用户许可证 (用于连接在SPA8800或VG224上的模拟终端),话机
L-LIC-BE3K-BAS
L-LIC-BE3K-ENH
用于61,61,,Attendant Console, Jabber客户端,CUC-RTX 客户端等
L-LIC-BE3K-ADJ
用于第二个话机
L-LIC-BE3K-VM
语音信箱用户许可证11被浏览2,068分享邀请回答11 条评论分享收藏感谢收起01 条评论分享收藏感谢收起写回答1 个回答被折叠()华思盈科(北京)网络技术有限公司--VPN解决方案--
&&&VPN解决方案
您当前的位置: > 解决方案 > VPN解决方案&
思科专业服务业网络解决方案
目 录 1. 专业服务业信息化发展趋势 ............................................................................. 4 1.1 专业服务业的发展 ..................................................................................... 4 1.2 信息化现状及发展要求 .............................................................................. 5 2. 思科企业智能网络架构 .................................................................................... 8 3. 专业服务业基础网络解决方案 ....................................................................... 10 3.1. 总部局域网 ............................................................................................... 10 3.1.1. 接入层 ................................................................................................ 11 3.1.2. 分布层 ................................................................................................ 11 3.1.3. 核心层 ................................................................................................ 13 3.2. 广域网和远程站点 ................................................................................... 14 3.3. 应用优化方案 ........................................................................................... 15 3.4. 解决方案主要特点 ................................................................................... 16 3.5. 基础网络设备参考 ................................................................................... 18 4. 专业服务业网络安全解决方案 ....................................................................... 20 4.1. 专业服务业网络安全现状和挑战 ............................................................ 20 4.2. 互联网边缘安全设计 ................................................................................ 21 4.3. 思科一体化安全解决方案 ........................................................................ 23 4.3.1. 思科ASA 5500安全解决方案 .......................................................... 23 4.3.2. 远程接入VPN和分支机构安全 ....................................................... 25 4.3.3. Web安全网关 ................................................................................... 28 4.3.4. 电子邮件安全网关 ............................................................................. 29 4.3.5. 构建内部基础网络的安全 ................................................................. 30 4.4. 安全设备参考 ........................................................................................... 34 5. 专业服务业统一无线解决方案 ....................................................................... 35 5.1. 解决方案概述 ........................................................................................... 35 5.2. 思科统一无线网络架构 ............................................................................ 36 5.2.1. 访客与合作伙伴无线接入 ................................................................. 37 5.2.2. 远程办公解决方案 ............................................................................. 38 5.2.3. 移动协作解决方案 ............................................................................. 41 5.2.4. 思科无线技术特色 ............................................................................. 42 5.3. 无线设备参考 ........................................................................................... 48 6. 专业服务业协作通信解决方案 ....................................................................... 49 6.1. 专业服务业协作通信的现状 .................................................................... 49
6.2. 思科统一通信解决方案 ............................................................................ 50 6.2.1. 总部统一通信架构的高可靠性设计 .................................................. 52 6.2.2. 分支机构统一通信解决方案 ............................................................. 54 6.2.3. 思科远端网关本地存活功能(SRST) ........................................... 55 6.2.4. 全新ASA500系列防火墙更加简化接入 ......................................... 57 6.3. 专业服务业的协同应用 ............................................................................ 58 6.3.1. Cisco TP/Tandberg 视频通讯解决方案 .......................................... 58 6.3.2. Cisco Webex协同会议系统 ............................................................. 60 6.4. 协作通信设备参考 ................................................................................... 62 7. 思科统一计算在专业服务业的应用 ............................................................... 64 7.1. 思科统一计算与虚拟化概述 .................................................................... 64 7.2. 思科C系列机架式服务器的应用............................................................ 65 7.3. 常用的思科统一计算C系列机架式服务器 ............................................ 68 8. 结束语:专业服务业用户为什么选择思科 .................................................... 69
1. 专业服务业信息化发展趋势
1.1 专业服务业的发展
随着网络科技的飞速发展以及全球经济一体化进程的不断深入,信息高速公路的建设及网络化管理愈来愈为人们所重视并应用到各个领域,同时也为专业服务业的发展注入了无穷的生机。所谓专业服务,是指某个组织或个人,应用某些方面的专业知识和专门知识,按照客户的需要和要求,为客户在某一领域内提供特殊服务。专业服务业主要包括:法律、会计(含会计、审计和簿记等)、商业管理与咨询服务、工程及技术服务、建筑设计、教育与服饰设计、质量监督及检测等服务机构。
专业服务是由组织或个人应用某些专业知识和专门知识或者大量的实践经验来为客户或消费者提供某一领域的特殊服务。专业服务具有技术化、知识化的特征,它是知识和科技含量很高的服务,是目前发展最快的行业之一,未来将继续获得巨大的发展。
专业服务业的产业基础是第三产业,专业服务业从第三产业中分离出来的,是社会分工对多样化社会需求的适应结果。专业服务业的发展可分为两个主要的阶段。第一阶段是从50年代到70年代中期,是专业服务初步发展阶段,开始应用现代科技手段和通讯手段。第二阶段是从70年代到现在,是专业服务全球化发展时期,专业服务的国际贸易迅速增长,全球进出口贸易的中心逐渐从货物贸易的进出口到服务贸易进出口,专业服务业的重要性和对区域经济的贡献度不断提高。
近几年来,专业服务业的发展较为迅速,呈现出综合性、协作性的特征,并且越来越趋于联网化、系统化和规范化,具体表现在:
. 综合性,专业服务业的企业,人员以多种知识结构为特征,研究多具有综合性,而且,目前一些由世界银行、亚洲开发银行等国际援助组织委托的咨询机构,政府企业等决策机构也成为其主要的咨询用户。另外,从全世界来看,现在越来越多的咨询服务已不再是脱离其他服务内容而进行孤立服务了,而是在发展包括咨询服务在内的一揽子服务业务。 . 协作性,咨询服务内容由单一性向多样性发展,以及各专业咨询服务机构之间的协作,包括国内各咨询机构之间和国际咨询机构之间的协作发展。
. 联网化,联网化是开展专业服务合作咨询的基础,有助于增加信息使用量和人才之间的取长补短,扩大业务能力,提高服务质量。而且,在专职咨询队伍不断扩大的同时,兼职咨询人员也在不断增多,联网化发展已成为广泛采用的一种专业服务咨询合作方式。 . 系统化,咨询机构和服务对象之间通过现代通讯手段形成系统化的服务系统,并且越来越多的咨询机构和服务对象建立起固定的业务联系。 . 规范化,专业服务咨询机构的组织机构、所依托的数据库、咨询人员素质要求和咨询服务程序,都越来越采用国际通用的标准。规范化有助于专业服务咨询机构和人员之间开展协作。国内咨询业经过一段时期的发展以后,也逐步谋求向国外发展,在国际咨询市场上展开竞争。
1.2 信息化现状及发展要求
专业服务业发展的规模化和专业化,也对专业服务人员的管理提出了现代化的要求。随着IT产业的迅猛发展,实行网络化管理,已成为实现专业服务业现代化管理的重要途径。相比其它行业,专业服务行业的专业性、独立性很强,机构或事务所中的各个咨询专家除共同合作办理的项目之外,彼此之间的工作很少有交叉的地方。实践中总是根据不同项目的需要,几名咨询专家及助理进行组合,分工负责、共同承办一个项目。下面就以律师事务所为例,解释专业服务业的信息化现状和发展要求。
计算机信息化管理不仅可以大大提高律师的办公管理工作效率,使我们更好地为公司为客户提供优质高效的服务。同时对于拓展与外界联系和沟通,建立与客户快速联络的桥梁,为律师事务所带来更多的商机将起着积极的作用。
在律师事务所中,尤其是有一定规模的事务所,每名律师都根据自身的优势有其专攻的方向,例如负责知识产权的,不会涉及到刑事案件;负责诉讼案件的,不会干涉到非诉的部分;专门负责涉外部分的,很少涉及国内的案件。律师不是“万金油”,他们在纷繁复杂的案件中各司其职,共同合作以最优的方式实现案件的办理。因此,实践中的情况常常是,每名律师的手中有多个不同的案件,每个案件互不相关,并且当事人、合作对象也不一样,然而每个案件却又都同时进行着。在复杂的合作办案过程中,某位律师分别牵扯到了与多个不同合作伙伴的关系,再加上他们很可能不在同一个地方办案,因此他们之间共享联系人、互换文件、数据、彼此之间的无障碍沟通协作十分重要。
另外,律师行业十分注重证据的保持,因此,文档、电子邮件在日常工作中占有很大比重,其往来证据与数据的安全保密性总是摆在首要位Z。
目前,在律师事务所中,局域网和广域网接入已经得到较为广泛的应用。此类应用主要表现在两个方面:内部主要应用为网络会议、案件讨论、信息发布、资源共享、人员管理、财务管理、业务管理和事务所内各机构之间的沟通协作等;在对外方面主要体现为事务所之间的业务交流、事务所与主管部门之间的工作联络以及事务所与社会之间的公众监督等。
同样,信息化也将成为会计师事务所行业做大做强的助力器。会计师事务所做大做强需要在加强内部治理机制建设、不断开拓新的业务领域、开发人力资源、加强事务所文化建设、不断提升执业质量等五方面做努力。在这五个努力方向上,管理信息化都是不可或缺的。
经过深入的行业调研与分析,我们认为,专业服务业是一个高知识含量的项目型组织,其经营成本主要是人力成本,因此一个高效能的公司或机构信息管理平台,应是一个以项目管理为核心,集自动化办公管理、信息互动管理、申请审批管理、客户关系管理、人事管理、知识管理、资产管理、企业门户网站等功能一体化的分权限的信息互通的管理平台,实现全面的实时协同管理。
建立网络化信息管理平台的必要性,主要表现以下方面:
. 进行无纸化办公; . 实现远程协同办公,节省办公场所; . 实现无障碍沟通和信息共享; . 实现事务、财务、业务一体化管理; . 快速扩展、加强有效管理; . 节约成本,减少浪费; . 扩大业务,多元化经营和增加营业收入; . 提高效率,加快响应速度; . 有效管理客户资源; . 强化管理、规避风险; . 提高服务质量和客户满意度; . 提高企业竞争力、推广企业品牌和提高社会影响力; . 积累企业成功经验和建立企业知识库,实现企业良性发展; . 制度建设和企业文化建设; . 资源整合,合理分配资源;
国内外已经有许多专业服务机构利用互联网发展无纸办公室、视讯会议、虚拟办公室员工训练、知识库、营销利器、提供客户线上咨询、电脑审计、报税、商务认证等多项服务。在国外,许多会计师已不需要劳累奔波至客户公司,而是利用Internet在事务所办公室核查客户的帐、提供客户咨询、审计、签证等服务;
另一方面有分公司的事务所也能利用虚拟办公室(Virtual Office)和合伙人沟通及开会。信息化对事务所的业务、组织形态及工作环境等各方面均带来非常大的冲击和影响。
2. 思科企业智能网络架构
传统上,企业是通过保存在计算机本地文件中的信息来开展业务,但是这种信息使用方式将很快销声匿迹。最新的发展趋势是用户将通过接入网络访问关键任务信息、下载信息或使用网络应用。用户将共享通用的受保护存储、基于Web 的应用,甚至是云服务。他们可能会在家中、办公室或酒店房间开始一天的工作,登录工作所需的应用、更新日程安排或查看电子邮件――这些任务对于从事专业服务的企业或机构尤其重要。如今,登录网络来完成工作已经变得像打开电灯来看清办公桌一样简单自然,人们对它已经习以为常。更进一步讲,即使您计划采用的电力设施或其它设施陷于瘫痪,借助网络您也能继续工作,它可支持移动访问和远程访问,即使您换了办公室也能访问原有的应用和信息。
鉴于网络在企业运营和创新方面的重要地位,员工生产率的提高将建立在对通信功能和资源的不间断访问上。专业服务业机构通常组织结构灵活,在各大城市设有分支机构,为了满足各种设备、多种连接类型和各地用户的需要,网络变得越来越复杂。低劣的设计、复杂的配Z、维护任务的增多或软硬件故障等因素,加大了网络中断的风险。与此同时,专业服务业企业或机构在信息化系统的管理上和运维上,都希望快速高效地运用投资,达到简化运营、降低成本和提高投资回报的目的。思科企业智能网络架构采用模块化的方法和经过测试的可互操作设计来构建网络,将帮助专业服务业企业或机构减少风险和运作问题,提高部署速度。
思科企业智能网络架构由三个基本的模块化组件构成,分别是网络基础架构、网络服务和用户服务。它们之间各自独立又相互依存,呈一个分级结构。
网络基础架构
与建筑物的底层基石一样,网络基础架构是其它所有服务和应用赖以生存的底层基础设施。作为整体架构的一个模块,网络基础架构可支持无缝传输,能够确保信息在两个地点之间可靠地传递。
对于普通用户来说,网络基础架构在正确部署后能够透明运行。用户只需将他们的台式机、笔记本电脑或智能设备连接到网络,就可以更新电子邮件、处理订单或点击打开网络链接。这一切都依赖智能思科设备构成的基础设施而实现,包括路由器、交换机和无线接入点等。
虽然所有的建筑结构可能都会采用相同的建筑材料,但设计和结构精良的建筑会考虑使用要求,从而提高其使用价值。
网络服务能够使网络环境更加适应您的独特需求,即使您采用的是标准设备。即便用户并未意识到他们的网络连接是借助VPN 支持远程访问,或他们已经无缝穿越了一个防火墙,但这些服务的存在无疑为他们带来了更高的自由度和可用性。不在办公室时,用户可能只知道需要点击远程访问图标,然后输入密码,但他们不知道或并不关心这些服务的运行机制。
思科智能网络服务,包括防火墙、web 安全、广域网优化和访客接入等,旨在通过互操作提供无缝、透明的解决方案。
用户服务位于网络基础架构和网络服务层之上,直接面向最终用户。比如早上上班时,我们乘电梯到达办公室所在的楼层,进入办公室后打开电灯,按下电话按键收听语音留言。基于网络的用户服务,如电话、企业资源规划(ERP)应用、电子邮件和其它业务应用等,依靠与网络相连的桌面或便携式平台来传输信息。众多网络架构中常见的用户服务包括思科统一通信、WebEx 协作和网真。
3. 专业服务业基础网络解决方案
由于用户依靠网络来获取工作所需的信息并可靠地传输语音或视频,网络必须具备永续、智能的传输功能。即使在局域网骨干拥有大量带宽的今天,仍然有一些性能敏感型应用容易受到抖动、延迟和丢包的影响。网络基础架构的功能就在于提供高效的容错传输机制,对应用流量进行区分,以便在网络出现短暂拥塞时做出合理的负载共享决策。不管用户采用的是有线还是无线网络连接、位于总部还是远程站点,网络都必须对流量实施优先级划分和排队,力争实现最高效的路由。
专业服务业的网络主要包括企业总部局域网络、广域网和分支网络,这几部分网络进行互联,实现数据、语音和视频的实时通信。
3.1. 总部局域网
在总部,局域网不但负责为本地用户提供连接,还充当着连接广域网、数据中心、服务器机房和互联网的枢纽,由此成为了网络的关键组成部分。在传统的有线局域网连接之外,还包含无线局域网连接,用于支持用户移动性,并且允许将功能单一的区域临时变成可全面访问网络资源的会议室。
总部局域网需要高可用性(HA)设计,以支持推动机构正常运营的关键任务应用和实时多媒体通信。在其它许多局域网设计中,用于支持永续性的冗余链路处于备份和闲Z状态。而在思科智能企业架构――面向企业的无边界网络局域网设计中,所有链路都在积极地传输流量,这样不但避免了传统冗余设计的复杂性,还提高了网络性能。
为了适应用户由少到多的增长,我们对局域网进行了分层设计,支持直观和无缝的可扩展性。
3.1.1. 接入层
接入层是用户控制和操作的设备接入网络的位Z。接入层可将以前成本不菲的千兆以太网或802.11n 无线等高速连接作为标准配Z提供。由于接入层承担着连接客户端设备与网络服务的任务,因此它在防止用户、应用资源及网络本身遭受人为错误和恶意攻击方面发挥着重要作用。接入层还可提供以太网供电、QoS 设Z和IP 电话VLAN 分配等自动化服务,以降低运营要求。
在接入层,分别在每楼层放ZCatalyst 等交换机,与汇聚交换机相连,支持10/100/1000 Mbps连接到电脑,并且支持堆叠。另外,接入层还可以采用思科精睿300系列交换机。
思科300系列由多个固定配Z网管型以太网交换机构成。其型号包括8到48个端口的快速以太网连接以及10到52个端口的千兆以太网连接,为接入网络提供了灵活多变的选择。思科300系列交换机均具备针对数据、语音、安全、以及无线技术的高级安全管理功能及各项网络特征,同时,还具有易于部署和配Z的特点,能够充分发挥受控网络服务的优势。
3.1.2. 分布层
网络分布层的主要作用在于,当某个地点需要多个接入层交换机来支持要求的用户数量时,它可以提供一个汇聚点。除简单的汇聚功能之外,许多设计中的分布层还充当IP第三层分组交换、路由和服务的第一站。由于分布层服务于大量
的用户和接入地点,因此它需要具备HA 设计,而这通常会为管理可用性和路径选择造成极其复杂的冗余链路和协议交织,如生成树协议(STP)和第一跳路由协议(FHRP)。在传统的双机箱分布层设计中,如果多个带有冗余上行链路的接入层交换机使用同一个语音或数据VLAN,就会造成一个环路,STP 检测到环路后会通过关闭其中一个冗余上行链路来解决该问题。这种主动的STP 环路避免方法有几个缺陷:如果不关闭冗余上行链路,链路中断的恢复速度可能会显著降低;为了防止环路必须关闭冗余路径,而这会减少可用带宽;如果配Z和使用不当容易发生错误,或导致单向通信故障。
本文中的架构通过在分布层采用永续的虚拟交换设计,对传统设计进行了改进。在虚拟交换设计中,两个物理交换机显示为单个交换机或一个堆栈,以此实现分布层设备冗余性,或使用单个带有冗余逻辑和电源的交换机。这种简化的设计采用EtherChannel 和多机箱EtherChannel,来支持冗余接入层上行链路积极传输流量。针对故障链路,EtherChannel和多机箱EtherChannel 能在不到一秒钟的时间内实现故障切换并消除STP 环路。这种永续性设计无需FHRP,将配Z的复杂性降低了一半,简化了网络的故障排除操作,并能在发生故障时提供快速恢复。
. 永续的分布层不但提高了故障恢复速度,还降低了复杂性; . 智能的接入层可在保持用户透明性的同时,防止用户和网络受到恶意攻击; . 冗余链路在传输流量时不会在网络中造成危险的第二层环路; . 从较小的远程站点局域网到大型高密度园区局域网都采用统一的设计,降低了运营开支; . 不管用户采用总部局域网还是远程局域网,都能获得一致的用户服务;
在分布层,选用Catalyst 交换机,通过光纤双千兆链路分别上连到核心交换机Catalyst ,任意一条链路故障不影响网络的正常运行。
3.1.3. 核心层
核心层是局域网的第三层,也是最后一层。当一个共Z(colocated)拓扑中存在多个分布层而且只使用第三层IP路由链路时,核心层负责提供汇聚功能。由于它是大型局域网的核心层、广域网和互联网边缘的互联区域以及通往共Z数据中心的连接点,因此核心层的设计遵循最高的可用性标准即24x7x365。我们设计的核心层消除了复杂性较高的服务或高接触性服务,以减少升级、维护或复杂配Z更改过程中的计划内或计划外中断。核心层基于两个在物理上和逻辑上分离的交换机,实现了更高的可用性,同时又没有加剧负责交付更多接入层服务的分布层的复杂性。
网络核心层选用Cisco Catalyst 作为核心交换机,提供多个千兆光纤模块,并与汇聚层交换机相连,使整个网络形成千兆主干。另外,中心交
换机在满足用户目前需求的基础上,将来还可接入万兆接口模块,充分实现了对网络的可扩展要求。
3.2. 广域网和远程站点
不管是在总部还是在远程站点,信息访问和数据流的畅通与否将直接影响您日常工作的进行。企业对总部和远程站点的要求不尽相同,因此广域网架构必须具备灵活性和可扩展性。
本文提供了一个强大的广域网设计,能够运用普通的技术和技巧从较小的广域网规模扩展到500个远程站点。这种方法使该架构能够适应更多客户的部署要求,而无需大规模定制。此外,拥有小型广域网的企业还可以随着需求的增长以统一的方式构建并扩展广域网。
远程站点的局域网通过广域网连接到公共传输网络。远程站点是指员工代表企业经营业务的远程分支机构。远程员工需要获得与总部员工同等水平的应用访问权限,但远程站点的员工通常少于总部员工。根据远程站点业务的重要性和该业务能否移往他处,您可以采用不同级别的冗余性,以保护通信免受广域网中断的影响。典型的企业广域网能够互联所有的运营地点,并将所有远程站点流量汇聚到拥有共Z数据中心的总部,或汇聚到一个包含主用或备份数据中心的独立运营地点。
广域网路由器的主要功能是在远程站点和应用所在的主站点之间传输数据。远程站点能够支持几个到数百个使用计算机、IP 电话和无线语音与数据服务的用户。远程站点路由器提供了一个公共平台,用于支持日益增多的服务和远程站点应用不断提高的性能要求。
. 通用的远程站点平台和集成服务降低了运营开支; . 基于 IP 的传输设计支持所有大型电信运营商的广域网连接服务; . 灵活、可扩展的设计提高了设计一致性,降低了复杂性; . 信息加密可保护在公共传输网络上传输的业务数据; . 远程站点连接包含基本连接选项和高永续性连接选项,以满足多种需求;
公共广域网传输方案多种多样,从MPLS VPN到宽带互联网或传统的专用线路不一而足。思科架构设计基于IP分组传输,为保护互联网上数据的私密性提供了加密功能,由此适用于所有公共传输方案。其灵活性使您能够混合使用MPLS VPN服务和基于互联网的VPN重叠功能,提供多种连接选项,这样不但实现了永续性,还通过减少IP 传输选项降低了复杂性。因此,现在企业可以利用标准的模块化方法构建适合自身需求的广域网。
广域网络路由器选择,总部可选高端7600系列、ASR1000系列或者ISR高端3900E系列路由器。分支机构可选择思科ISR800/系列路由器,或者思科精睿RV系列路由器。
思科精睿RV系列路由器,全部支持VPN的功能,既有支持无线,又有支持有线方式。路由器提供4或者8个交换端口,也有双WAN口的路由器可供选择。
3.3. 应用优化方案
应用优化通过消除数据冗余和服务缓存保证了广域网带宽的最佳利用,从而
提高了网络效率。在许多情况下,企业通过减少现有的非优化网络流量,可以避免在部署新应用时为广域网链路增加带宽。借助应用优化,IT部门能够将远程站点的应用服务器集中放Z在数据中心,同时可通过优化繁琐的局域网协议保持本地局域网级别应用的性能。
您可以将应用优化解决方案作为集群设备部署在广域网汇聚层,实现可扩展和永续的运行,也可以将此功能集成在远程站点路由器中,以减少占地面积,简化运营。该设计所采用的统一方法不受设备外形的限制,简化了部署和管理。此解决方案将把流量透明地重新定向到应用优化引擎,以最大限度降低对应用的影响,减少单点故障。思科广域网优化所采用的无隧道方法意味着,QoS 策略能够与同一链路上的优化流量和延迟敏感型多媒体流量进行互操作。
. 通过优化传输的数据推迟成本高昂的广域网带宽升级; . 通过服务集中化,在不影响性能的前提下推动 IT 整合,最大限度降低每个远程站点的成本; . 通过集中管理所有的广域网优化引擎,简化管理,提供带宽节约反馈信息; . 通过服务器和存储集中化增强数据保护;
3.4. 解决方案主要特点
骨干连接采用千兆或万兆,百兆或千兆连接桌面用户,线速核心第三层交换,使路由器专注于处理广域网流量,更多的网络插槽提供更强更灵活的扩展能力等。
解决方案特点如下:
. 网络的连通性
计算机等终端设备之间良好的连通性是需要满足的基本条件,网络环境就是提供需要通信的计算机设备之间互通的环境,以实现丰富多彩的网络应用。
. 网络的先进性
采用先进、成熟的网络通信技术,使网络轻松支持数据、语音、视像等多媒体应用,通过基于交换的技术替代传统的基于路由的技术,既满足了多种类数据的传输需求,也确保了网络技术和网络产品几年内不落后。
. 网络的可靠性
网络在初始建设时不仅考虑到了数据传输,还充分考虑了网络的冗余与可靠,一旦运行过程中网络发生故障,系统会很快恢复工作,否则带来了经济损失,影响了声誉和形象。
. 网络的安全性
&在竞争日益激烈的今天,网络的安全性有非常高的要求。很多在局域网和广域网络中传递的数据都是相当重要的信息,因此一定要保证数据安全保密,防止非法窃听和恶意破坏,在网络建设的开始就要考虑采用严密的网络安全措施。
. 网络的可管理性
随着网络规模的日益扩大,网络设备的数据和种类日益增加,网络应用日益多样化,网络管理也日益重要。良好的网络管理要重视网络管理人力和财力的事先投入,主动控制网络,不仅能够进行定性管理,而且还能够定量分析网络流量,了解网络健康状况。有预见性地发现网络上的问题,并将其消灭于萌芽状态,降低网络故障所带来的损失,使网络管理的投入达到事半功倍的效果。
. 网络的扩展性
网络建设为未来的发展提供良好的扩展接口是非常理智的选择。随着规模的扩大、业务的增长,网络的扩展和升级是不可避免的问题。思科通过模块化的网络结构设计和模块化的网络产品,能为用户的网络提供很强的扩展和升级能力。
. 网络的多媒体支持
由于视频会议、视频点播、IP电话等多媒体技术的日趋成熟,网络传输的数据已不再是单一数据了,多媒体网络传输成为世界网络技术的趋势。着眼于未来,对网络的多媒体支持是有很多需求的。同时,在网络带宽非常宝贵的情况下,丰富的QoS机制,如:IP优先、排队、组内广播和链路压缩等优化技术能使实时的多媒体和关键业务得到有效的保障。
. 网络的高性能
随着互联网的发展,上网用户的不断增多,访问和数据传输量剧增,网络负荷也相应加重;随着对多媒体技术的广泛应用,视频数据、音频数据也越来越耗费网络带宽。如果网络没有高性能,会导致系统反应缓慢,甚至在业务量突增时,发生系统崩溃、中止和异常等现象。高性能的网络也是一些关键业务或特殊应用的必备条件。
3.5. 基础网络设备参考
. 核心层(两台)
Catalyst 6500系列交换机
模块化、机箱式、高端口密度交换机
Catalyst 4500系列交换机
模块化、机箱式、高端口密度交换机
. 汇聚层(两台或者一台)
Catalyst 4500系列交换机
模块化、机箱式、高端口密度交换机
Catalyst 3750-X 系列交换机
支持堆叠和万兆上行的智能三层交换机
Catalyst 3560-X 系列交换机
支持万兆上行的智能三层交换机
. 接入层(若干台)
Catalyst 3750-X 系列交换机
支持堆叠和万兆上行的智能三层交换机
Catalyst 3560-X 系列交换机
支持万兆上行的智能三层交换机
Catalyst 2960S 系列交换机
支持堆叠、万兆上行和静态路由的千兆交换机
Catalyst 2960 系列交换机
支持千兆上行百兆交换机
SG 300 系列交换机
支持静态路由的可网管千兆交换机
SF 300 系列交换机
支持静态路由的可网管百兆交换机
. 路由器(若干台)
7600系列路由器
企业总部,广域网汇聚路由器
ASR 1000系列路由器
企业总部,广域网汇聚路由器
ISR 3900系列路由器
企业总部,广域网汇聚路由器
ISR 0系列路由器
分支机构,远端路由器
思科精睿RV系列路由器
分支机构,远端路由器
详细信息欢迎垂询思科区域中小企业客户经理和中小企业客户技术支持工程师,或参考思科网站:
. English: . 中文:
4. 专业服务业网络安全解决方案
随着计算机网络的发展,网络已成为社会广泛应用不可或缺的工具。然而,人们在享受互联网带来的种种便利的同时,也摆脱不了计算机病毒的肆虐。网络应用同样也给人们带来烦恼和不利,甚至造成重大损失。它不仅干扰系统的正常运行,使一些软件不能正常使用,影响运行速度、频繁死机、破坏数据、网络及服务器瘫痪等,而且由于黑客的侵入使局域网服务器文件外泄,造成不良的影响和损失,带来严重后果。因此,防范计算机病毒的侵蚀和计算机网络安全使用,愈来愈被人们所重视,愈来愈成为人们广泛关注的问题。
安全产品是每个网络部署不可或缺的组成部分,也可以作为网络基础架构的一部分,比如在互联网边缘就是如此。安全产品也可以作为一种服务部署,用于保护具体的使用案例或应用。法规遵从、信息保护、以及网络和桌面可靠性策略都要求您将安全服务融入基础设施中,而不是在事后进行添加。
. 防止电子邮件受到 SPAM 和嵌入式攻击的威胁; . 利用互联网上的攻击和攻击爆发信息,实现最可靠的威胁防御; . 为员工和合作伙伴提供安全可靠的远程接入; . 为基于硬件和基于软件的 VPN 客户端提供最大的灵活性; . Web接入可接受使用控制策略,支持对互联网用户进行风险管理;
4.1. 专业服务业网络安全现状和挑战
现阶段,专业服务业的信息流是这个企业的核心所在,网络的安全和数据的可用性变的异常重要。任何的网络不可达或数据丢失都会影响到客户的满意度,影响到企业的信誉。和其它行业的信息系统一样,专业服务业信息系统在日常运行中面临各种安全风险会带来的安全应用事故。
网络安全主要体现在以下几个方面:
1)分支机构网络互联安全,专业服务行业大量的分支机构与总部的网络互联、需要可靠安全的传输通道。
2)日常工作中大量Internet访问以及与客户的电子邮件往来,Internet出口安全、上网安全、邮件安全尤为重要。
3)局域网安全,防止各种网络中的内部攻击,以免造成网络瘫痪。
4)数据中心安全,需要确保数据安全,避免信息被偷窃、修改和未授权的访问。
4.2. 互联网边缘安全设计
互联网边缘是企业进入互联网的网关。这一通往外部世界的网关必须提供安全的基础设施,以支持电子邮件和网络访问以及客户和合作伙伴对公司信息的公开访问。企业所面临的挑战在于,如何以一种安全的方式提供这种基本的接入服务,防止造成过度复杂的环境。
常见的办法就是在互联网边缘部署防火墙、入侵防御设备和VPN设备,来保护网络接入。但是构建这种安全防护系统需要花费大量时间整合多个渠道和制造商的产品,对专业技术的要求也比较高。本文提供了一种简化的设计,可减少需要使用的网络设备,同时不影响可扩展性、安全性或永续性。由于互联网边缘设计的每个部分都提供有扩展选项,因此企业可以根据自身需求混合搭配各种服务选项。
. 提供快速安全的互联网接入,提高生产效率 . 保护重要资产免遭互联网攻击,防止业务中断 . 利用高永续性设计避免单点故障 . 为面向网络的应用提供一个安全可靠的环境
互联网边缘的防火墙功能负责对访问DMZ服务的互联网主机、访问互联网服务的内部主机以及访问内部和外部服务的DMZ主机进行接入控制。资源访问和可接受使用方面的具体策略必须符合企业的安全策略。作为网络基础架构的一部分,互联网边缘设计使企业能够灵活控制用户的连接方式和允许的访问类型。防火墙采用完全冗余的配Z,而且可以利用单个或双重互联网接入进一步减少单点故障,实现高可用性。
互联网网关使企业暴露在蠕虫、病毒、僵尸网络和其它攻击的威胁之下。防火墙中的集成入侵防御系统(IPS)模块可对防火墙策略准入的流量进行进一步检查,以检测和消除攻击。IPS模块将检查流量来源的信誉,以快速决定是否阻挡流量。基于信誉的过滤使IPS模块能够根据信息源的信誉拦截两倍数量的攻击,从而提高可扩展性,此外它还可以不依赖签名提供零日攻击防护,同时减少误报。
企业的形象和声誉通常与其互联网边缘的Web服务器的能力有关,即能否为客户或合作伙伴提供高效的信息或应用访问。IT机构面临的重大挑战在于如何可靠地交付这些应用和资源。应用交付技术能够帮助IT机构提高应用的可用性、性能和安全性。互联网边缘的应用感知服务器负载均衡器(SLB)可提供核心服务器负载均衡功能,将会话路由到最佳的服务器,同时防止正在运行的服务器上出现无效服务。安全和虚拟化服务支持服务器分割和基于角色的细粒度管理。这些
服务与先进的应用加速相结合,为面向互联网的Web应用提供了一个强大的架构。
为了提高生产效率,企业始终在不断进行业务扩张、提高员工移动能力并与研发机构和商业建立合作伙伴关系。利用传统的专用线路或拨号连接来提供连通性的成本极高,不是一种可行的方案。在思科的设计中,防火墙的另一个功能是提供集成VPN,为员工、承包商或合作伙伴提供对企业网络的远程访问。系统将根据与企业的验证资源相集成的验证程序和策略控制提供远程访问连接。灵活的IPsec 和SSL VPN 接入拥有与防火墙和IPS同样的HA设计。
防火墙和IPS提供了周边防御和检测功能,但如何才能确保员工正确使用互联网接入或防御嵌入在授权应用中的攻击呢?互联网边缘设计包含网络安全服务,可过滤电子邮件和确保网络冲浪安全及控制。在这种综合设计中,只需少量思科设备即可满足互联网边缘的核心安全要求,这些设备由思科通过一个基于可扩展解决方案的方法开发而成,旨在满足企业的需求。
4.3. 思科一体化安全解决方案
4.3.1. 思科ASA 5500安全解决方案
Cisco ASA 5500系列提供了一个易于使用安全网络一体化解决方案。它结合了防火墙隔离、入侵保护、Anti-X和VPN功能,您可对您的网络受到的保护充满信心。通过终止垃圾邮件、间谍软件和其他互联网威胁,员工生产率得到了提高。IT人员也从处理病毒和间谍软件消除以及系统清洁任务中解放出来。您可集中精力发展业务,而无需为最新病毒和威胁担忧。
图:ASA 5500系列一体化安全解决方案
Cisco. ASA 5500系列提供了全面的网关安全和VPN连接。凭借其集成的防火墙和Anti-X功能,Cisco ASA 5500系列能在威胁进入网络和影响业务运营前,就在网关处将它们拦截在网络之外。这些服务也可扩展到远程接入用户,提供一条威胁防御VPN连接。
最值得信赖、广为部署的防火墙技术,Cisco ASA 5500系列构建于Cisco PIX 安全设备系列的基础之上,在阻挡不受欢迎的来访流量的同时,允许合法业务流量进入。凭借其应用控制功能,该解决方案可限制对等即时消息和恶意流量的传输,因为它们可能会导致安全漏洞,进而威胁到网络。
市场领先的Anti-X 功能,通过内容安全和控制安全服务模块(CSC-SSM)提供的强大的Anti-X功能,Cisco ASA 5500系列提供了全面保护所需的重要的网络周边安全性。
防间谍软件,阻止间谍软件通过互联网流量(HTTP和FTP)和电子邮件流量进入您的网络。通过在网关处阻拦间谍软件,使IT支持人员无需再进行昂贵的间谍软件清除过程,并提高员工生产率。
防垃圾邮件,有效地阻拦垃圾邮件,且误报率极低,有助于保持电子邮件效率,不影响与客户、供应商和合作伙伴的通信。
防病毒,屡获大奖的防病毒技术在您基础设施中最有效的地点-互联网网关处防御已知和未知攻击,保护您的内部网络资源。在周边清洁您的电子邮件和Web流量,即无需再进行耗费大量资源的恶意软件感染清除工作,有助于确保业务连续性。
防泄密,确定针对泄密攻击的防盗窃保护,因此可防止员工无意间泄漏公司或个人信息,以导致经济损失。
针对Web接入、电子邮件(SMTP和POP3)以及FTP的实时保护。即使机构的电子邮件已进行了保护,但许多员工仍会通过公司PC或笔记本电脑访问自己的个人电子邮件,从而为互联网威胁提供了另一个入点。同样,员工可能直接下载受到感染的程序或文件。在互联网网关对所有Web流量进行实时保护,可减少这一常被忽略的安全易损点。
URL过滤,Web和URL过滤可用于控制员工对于互联网的使用,阻止他们访问不适当的或与业务无关的网站,从而提高员工生产率,并减少因员工访问了不应访问的Web内容而承担法律责任的机会。
电子邮件内容过滤,电子邮件过滤减少了公司因收到通过电子邮件传输的攻击信息而承担法律责任的机会。过滤也有助于符合法律法规,可帮助机构达到Graham Leach Bliley 和数据保护法案等的要求。
威胁防御VPN,Cisco ASA 5500系列为远程用户提供了威胁防御接入功能。该解决方案提供了对内部网络系统和服务的站点间访问和远程用户访问。此解决方案结合了对于SSL和IPSec VPN功能的支持,可实现最高灵活性。因为这一解决方案将防火墙和Anti-X服务与VPN服务相结合,可确保VPN流量不会带来恶意软件或其他威胁。
为了方便用户的安全部署和管理,随此解决方案提供了思科自适应安全设备管理器(ASDM),它具有一个基于浏览器的、功能强大、易于使用的管理和监控界面。这一解决方案在单一应用中提供了对于所有服务的全面配Z。此外,向导可指导用户完成配Z的设Z,实现迅速部署。
4.3.2. 远程接入VPN和分支机构安全
思科基于集成多业务路由器(ISR)的企业级VPN解决方案,在可扩展的平台、安全性、服务、应用和管理五大VPN实施要素方面,具有基于标准的开放式的体系结构和可扩充的端到端网络互连能力。借助先进的ISR路由器,用户能够部署多种VPN连接方式,通过安全可靠的加密手段,保护应用系统的信息资源。
下图是基于ISR路由器的一个典型的VPN实施方式:
. 使用思科ISR高端路由器3900系列做为企业总部的VPN网关,用来聚合来自分支机构、合作单位、远程终端的VPN各种应用。 . 在分支机构中,根据机构的规模和应用状况可选择思科ISR路由器中的0系列,或者思科精睿RV系列路由器做为VPN的网关。
此VPN解决方案的特点:
1、安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
2、服务质量保证(QoS)
VPN网关应当为数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3、可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4、可管理性
从用户角度可方便地进行管理、维护。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配Z管理、访问控制列表管理、QoS管理等内容。
5、多种VPN的连接方式
思科公司基于ISR路由器VPN解决方案为用户提供了多种VPN的连接方式,包括IPSec、SSL、动态多点VPN(DMVPN)等。
与总部通常有较为完善的网络安全部署不同,对于大量的分支机构,如何部署合适的网络连接设备应对当前的各种网络威胁,例如:黑客攻击,蠕虫病毒,非法上网行为等等,是另外一个需要考虑的重要问题。这些网络威胁,既冲击了分支机构的网络安全,又消耗了大量网络资源,严重影响了系统的正常运行。
思科新一代的ISR800系列路由器为中小型的分支机构和小型办公室提供了可靠的网络解决方案,来防御各种网络中的威胁,保证了网络资源应用,确保了分支机构广域网络的正常运行。
. 思科ISR路由器部署在分支机构,提供了安全的Internet访问; . 提供先进的防火墙,能够监控电子邮件,即时消息传递和HTTP流量; . 可以在分支机构的本地设备实施防御蠕虫病毒的安全策略,节省广域网网络带宽; . 入侵防御系统(IPS):这种深度包检测特性能够有效阻止各种网络攻击; . 内容过滤:一种基于预订的集成安全解决方案,能够提供基于类别的分级;关键字拦截;并可抵御广告软件、恶意软件、间谍软件和URL 阻截; . 即使是DOS攻击,也可保持可用性;
4.3.3. Web安全网关
当前,基于互联网Web数据流传播的各种安全威胁,开始在全球范围盛行,使商用网络暴露在这些威胁带来的内在危险之下。现行的网关防御机制已经证明不足以抵御多种基于Web的恶意软件入侵。据业内估计,大约75%的商用电脑感染了间谍软件,但是在网络周边部署了恶意软件防御系统的企业却不足10%。基于Web的恶意软件传播速度快,变种能力强,其危害性日益严重,对网络安全技术相对薄弱的企业来说,拥有一个强健的网络周边并抵御这些安全威胁侵害的安全平台就显得极为重要。
除此以外,当今基于Web的威胁87%是通过合法的网站发出的。基于Web的恶意软件有着速度快、多样性强和变种频繁出现的攻击威胁特点,这要求企业必须使用一个强大的、安全平台才能将日益严峻的上网威胁屏蔽在网络之外。
Cisco. IronPort S系列 Web 安全网关是业界开创先河的,也是唯一的将传统的URL过滤、信誉过滤和恶意软件过滤功能集中到单一平台来消除上述风险的Web安全设备。通过综合利用这些创新的技术,Csico IronPort S 系列网关能够帮助企业在保证Web数据流安全和控制Web数据流风险方面,应对所面临的日益严峻的挑战。
Cisco IronPort S系列网关结合了多种先进技术,通过单台、集成的网关抵御恶意软件,帮助企业实施安全策略及控制网络流量。提供的多层防护包括Cisco IronPort Web名誉过滤器.,多层防恶意软件扫描引擎和第四层(L4)数据流监视器,它可以监控非80端口的恶意软件活动。所有这一切为企业提供了一个强大的具有最优性能和功效的Web安全平台。同时Cisco IronPort S系列提供智能化的HTTPS解密的能力,从而对加密数据流应用所有的安全及访问策略。
在实际的应用环境中,可以选择以下两种模式部署S系列网关
. 直连模式:客户机直接连接到S系列,由S系列提供HTTP/HTTPS/FTP流量的代理支持。
. 透明模式:由第四层交换机或WCCP路由器转发流量至S系列,由S系列提供对客户机透明的代理支持。
4.3.4. 电子邮件安全网关
垃圾邮件以及随邮件传播的病毒、恶意程序、间谍软件等是当前来自互联网的另一种主要的安全威胁。这种威胁往往会带来极大的安全风险:随意打开来历不明的电子邮件或者点击邮件中的附件或链接都有可能形成对业务系统的攻击。此外,网络管理人员需要耗费大量精力用于清理垃圾邮件,也严重影响了对正常业务系统的管理和维护。因此,如何对电子邮件应用进行高效的安全防御和管理,也是当前部署安全解决方案时需要重点考虑的内容。
Cisco IronPort C系列电子邮件安全网关是针对电子邮件安全威胁的最佳解决方案。基于Cisco IronPort专有的为企业目标设定的AsyncOS.操作系统,
Cip07IronPort C系列能够满足对电子邮件的大容量和高可用性的扫描需求,减少与垃圾邮件、病毒和其他各种威胁相关的系统宕机时间,从而支持对邮件系统的高效管理并有效减轻网络管理人员的工作负担。
IronPort C系列在一个网关设备上集成了思科独有的预防性过滤器和基于特征码的反应性过滤器,配合内容过滤和高级加密技术,为客户提供了目前业界最高级的邮件安全服务。同时,利用思科安全情报运营中心和全球威胁协作组织使Cisco IronPort网关产品更聪明,更迅速。这一先进技术使企业可以从最新的互联网威胁中提高他们的安全性,并且使得保护用户更加透明化。
下图描述了C系列邮件安全网关的部署方式:
4.3.5. 构建内部基础网络的安全
在诸多的局域网安全问题中,由于历史原因,令网络管理员感到最头痛的问题就是IP地址的管理;最担心的问题就是账号、密码的盗取以及信息的失窃和篡改;而最棘手的问题就是木马、蠕虫病毒爆发对网络造成的危害。据CSI/FBI计算机犯罪与安全调查显示,信息失窃已经成为当前最主要的犯罪。在造成经济损失的所有攻击中,有75%都是来自于园区内部。这样,企业网络内部就必须采用更多创新方式来防止攻击,如果我们将网络中的所有端口看成潜在敌对实体获取通道的“端口防线”,网络管理员就必须知道这些潜在威胁都有那些,以及需要设Z哪些安全功能来锁定这些端口并防止这些潜在的来自网络第二层的安全攻击。
网络第二层的攻击是网络安全攻击者最容易实施,也是最不容易被发现的
安全威胁,它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。因为任何一个合法用户都能获取一个以太网端口的访问权限,这些用户都有可能成为黑客,同时由于设计OSI模型的时候,允许不同通信层在相互不了解情况下也能进行工作,所以第二层的安全就变得至关重要。如果这一层受到黑客的攻击,网络安全将受到严重威胁,而且其他层之间的通信还会继续进行,同时任何用户都不会感觉到攻击已经危及应用层的信息安全。
所以,仅仅基于认证(如IEEE 802.1x)和访问控制列表(ACL,Access Control Lists)的安全措施是无法防止来自网络第二层的安全攻击。一个经过认证的用户仍然可以有恶意,并可以很容易地执行本文提到的所有攻击。目前这类攻击和欺骗工具已经非常成熟和易用。
以上所提到的攻击和欺骗行为主要来自网络的第二层。在网络实际环境中,其来源可概括为两个途径:人为实施,病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插木马,从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。木马、蠕虫病毒的攻击不仅仅是攻击和欺骗,同时还会带来网络流量加大、设备CPU利用率过高、二层生成树环路、网络瘫痪等现象。
归纳前面提到的局域网目前普遍存在的安全问题,根据这些安全威胁的特征分析,这些攻击都来自于网络的第二层,主要包括以下几种:
. MAC地址泛滥攻击 . DHCP服务器欺骗攻击 . ARP欺骗 . IP/MAC地址欺骗
利用Cisco Catalyst交换机内部集成的安全特性,采用创新的方式在局域网上有效地进行IP的地址管理、阻止网络的攻击并减少病毒的危害。Cisco Catalyst 智能交换系列的创新特性针对这类攻击提供了全面的解决方案,将发生在网络第二层的攻击阻止在通往内部网的第一入口处,主要基于下面的几个关键的技术。
. Port Security . DHCP Snooping . Dynamic ARP Inspection (DAI) . IP Source Guard
我们可通过在思科交换机上组合运用和部署上述技术,从而防止在交换环
境中的“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等,更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户IP和对应的交换机端口,防止IP地址冲突。同时对于大多数具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。
通过启用端口安全功能,可有效防止MAC地址泛洪攻击,网络管理员也可以静态设Z每个端口所允许连接的合法MAC地址,实现设备级的安全授权。动态端口安全则设Z端口允许合法MAC地址的数目,并以一定时间内所学习到的地址作为合法MAC地址。
通过配ZPort Security可以控制:
. 端口上最大可以通过的MAC地址数量 . 端口上学习或通过哪些MAC地址 . 对于超过规定数量的MAC处理进行违背处理
端口上学习或通过哪些MAC地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口MAC,直到指定的MAC地址数量,交换机关机后重新学习。目前较新的技术是Sticky Port Security,交换机将学到的mac地址写到端口配Z中,交换机重启后配Z仍然存在。
对于超过规定数量的MAC处理进行处理一般有三种方式(针对交换机型号会有所不同):
. Shutdown:端口关闭。 . Protect:丢弃非法流量,不报警。 . Restrict:丢弃非法流量,报警。
Catalyst交换机可通过DHCP Snooping技术保证DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。 通过截取一个虚拟局域网内的DHCP信息,交换机可以在用户和DHCP服务器之间担任就像小型安全防火墙这样的角色,“DHCP监听”功能基于动态地址分配建立了一个DHCP绑定表,并将该表存贮在交换机里。在没有DHCP的环境中,如数据中心,绑定条目可能被静态定义,每个DHCP绑定条目包含客户端地址(一个静态地址或者一个从DHCP服务器上获取的地址)、客户端MAC地址、端口、VLAN ID、租借时间、绑定类型(静态的或者动态的)。
通过部署动态ARP检查(DAI,Dynamic ARP Inspection)来帮助保证接入交换机只传递“合法的”的ARP请求和应答信息。DHCP Snooping监听绑定
表包括IP地址与MAC地址的绑定信息并将其与特定的交换机端口相关联,动态ARP检测(DAI-Dynamic ARP Inspection)可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP),确保应答来自真正的ARP所有者。Catalyst交换机通过检查端口记录的DHCP绑定信息和ARP应答的IP地址决定是否真正的ARP所有者,不合法的ARP包将被删除。
DAI配Z针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭,如果ARP包从一个可信任的接口接收到,就不需要做任何检查,如果ARP包在一个不可信任的接口上接收到,该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样,DHCP Snooping对于DAI来说也成为必不可少的,DAI是动态使用的,相连的客户端主机不需要进行任何设Z上的改变。对于没有使用DHCP的服务器个别机器可以采用静态添加DHCP绑定表或ARP access-list实现。
另外,通过DAI可以控制某个端口的ARP请求报文频率。一旦ARP请求频率的频率超过预先设定的阈值,立即关闭该端口。该功能可以阻止网络扫描工具的使用,同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用。
除了ARP欺骗外,黑客经常使用的另一手法是IP地址欺骗。常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗,其目的一般为伪造身份或者获取针对IP/MAC的特权。Catalyst IP源地址保护(IP Source Guard)功能打开后,可以根据DHCP侦听记录的IP绑定表动态产生PVACL,强制来自此端口流量的源地址符合DHCP绑定表的记录,这样攻击者就无法通过假定一个合法用户的IP地址来实施攻击了,这个功能将只允许对拥有合法源地址的数据保进行转发,合法源地址是与IP地址绑定表保持一致的,它也是来源于DHCP Snooping绑定表。因此,DHCP Snooping功能对于这个功能的动态实现也是必不可少的,对于那些没有用到DHCP的网络环境来说,该绑定表也可以静态配Z。
IP Source Guard不但可以配Z成对IP地址的过滤也可以配Z成对MAC地址的过滤,这样,就只有IP地址和MAC地址都于DHCP Snooping绑定表匹配的通信包才能够被允许传输。此时,必须将 IP源地址保护IP Source Guard与端口安全Port Security功能共同使用,并且需要DHCP服务器支持Option 82时,才可以抵御IP地址+MAC地址的欺骗。
与DAI不同的是,DAI仅仅检查ARP报文, IP Source Guard对所有经过定义IP Source Guard检查的端口的报文都要检测源地址。
通过在交换机上配ZIP Source Guard,可以过滤掉非法的IP/MAC地址,包含用户故意修改的和病毒、攻击等造成的。同时解决了IP地址冲突的问题。
此外,在最新的Catalyst 3750-X和Catalyst 3560-X交换机内,还内Z了一系列全新的TrustSec安全技术。例如,采用基于IEEE 802.1ae标准的MAC Security技术,交换机在面向主机的端口上提供了对以太网数据在数据链路层的线速加密,以防止中间人攻击;支持包括802.1x、MAC认证旁路、Web认证等多种认证方式为不同类型的接入终端提供一致的安全体验,等等。
以上所列的基础安全防护的功能,均内Z在思科的Catalyst交换机内,无需另外购买。
4.4. 安全设备参考
Cisco ASA 5500系列
提供一体化的安全解决方案,包括防火墙隔离、IPS、VPN、内容过滤等
Cisco IPS 4200 系列
硬件IPS设备
Cisco IronPort S160
Web安全网关
Cisco IronPort C160
电子邮件安全网关
Cisco Catalyst 2960S
思科接入层交换机
详细信息欢迎垂询思科区域中小企业客户经理和中小企业客户技术支持工程师,或参考思科网站:
. English: . 中文:
5. 专业服务业统一无线解决方案
5.1. 解决方案概述
如果能让员工在任何地点都保持连接,企业将可以提高员工的工作效率和效益。有线端口网络设计能为身在办公室或其它有线网络覆盖的地点的用户提供连接,作为这一网络的组成部分,无线网络使用户能在前往会议地点的途中保持连接,而且可将咖啡厅或其它聚会场所改为临时会议室。借助无线网络,用户能够超越建筑物的物理限制,随时保持网络连接和信息的持续传输。
无线网络采用Wi-Fi 技术而非蜂窝技术来传输数据、语音甚至视频。位于远程站点或总部的用户可以通过同样的方式连接到语音和数据服务,从而为企业创造了一个无缝集成的工作环境。
第一代无线局域网产品通常安全性不高,而且网络管理员难以对其进行管理。管理员自主配Z和运行无线接入点,但是事实证明这是一种不可扩展的部署和运营模式。对于需要在远程站点和总部部署安全的无线基础设施的企业,这种传统的独立式接入点模式是一种成本高昂的解决方案。
思科的设计方案采用了集中式无线局域网控制器(WLC),能够对总部和远程站点的所有接入点进行控制。除了对无线接入点的集中管理之外,WLC的集中化方法还提供了许多其它优势。为确保安全地访问无线局域网,WLC可支持所有用户基于公司目录进行身份验证,由此无需在每个接入点上保留单独的用户名和密码数据库。通过集成的访客控制器,您可以为企业的重要访客和合作伙伴用户提供连接,他们的流量将与已验证的内部用户流量分开。您可以对多个WLC 进行集群,以实现负载均衡、可扩展性和冗余性,支持维护和意外停机时的系统永续运行。
虽然WLC主要为总部和多数远程站点提供集中控制,您也可以在大型地点安装本地WLC,以提供出色的漫游功能,同时保持中央管理。未安装本地WLC的远程站点的无线接入点允许非访客流量直接进入本地局域网,由此可以避免流量先传输到中央控制器,然后再返回远程站点,导致浪费宝贵的广域网带宽。
5.2. 思科统一无线网络架构
思科统一无线网络架构主要包含以下部分:无线控制器,无线访问接入点AP,无线网管系统WCS,无线定位服务系统MSE,用户认证系统Radius服务器,以及支持以太网供电的接入交换机和负责数据交换的汇聚及核心交换机。
思科统一无线网络架构.可扩充性架构.减少管理点.WCS统一网管.无线控制器通过LWAPP隧道管理配置无线接入点.支持lightweight 和standalone两种架构的无线接入点Wireless LAN Controller直观的图形化界面简化配置, 监视, 和故障排查Mobility Services Engine (MSE)对客户端, 资产标签, 和非法无线设备进行高精度定位追踪CAPWAPCisco Aironet.1250 Series (802.11n)Standalone Access PointsWireless Control System (WCS)Lightweight Access Pointsand Context-Aware Mobility
无线控制器和AP是无线网完成数据转发的基础部件。在控制器加AP的网络架构下,所有关于无线射频管理、网络安全管理等的智能处理都在控制器上集中处理,而AP只完成空口侧数据的收发。在实际工作中,每台控制器会管理一定数量的AP,并与每台AP建立CAPWAP隧道。用户数据经无线介质到达AP后,AP将数据封装到隧道中传送到控制器。控制器将数据解出,并根据管理员设定的安全、QoS等管理策略,进行处理。最后经有线网络发送。
思科无线网络产品系列是为那些希望为本身业务、IP电话和融合多媒体应用系统广泛部署无线覆盖的一款完整802.11解决方案。这款解决方案将最新的行业标准与一种集中架构和先进功能结合起来,创建一种安全、经济有效并且极具扩展性的无线局域网(WLAN)基础设施。思科无线网络产品系列包括规划和实施所需的工具和功能,使首次部署无线局域网(WLAN) 能快捷简便的完成,也适合于企业逐步演进事先精确设计的无线移动基础设施。
5.2.1. 访客与合作伙伴无线接入
企业经常接待各种来访者,他们在访问期间也需要访问网络。这些访客包括客户、合作伙伴和供应商,根据他们来访的目的,他们造访的公司部门和运营地点也有所不同。为了帮助这些访客用户保持高效工作状态并履行工作职责,您应该在网络内部全面部署访客接入,而不仅仅是在公司前台或会议室。
思科智能企业架构――面向企业组织的无边界网络架构具备出色的灵活性,允许无线网络在为员工提供无线语音和数据访问的同一无线接入点和控制器基础设施上提供访客接入。这种集成能力通过在单个基础设施上提供多种服务,简化了网络运营,降低了资本支出和运营支出。
思科架构的关键优势就在于,可确保访客网络接入不影响网络的安全性。总部和各远程站点的每个接入点都可以配Z为受控的开放式无线连接。从无线接入点,访客流量将通过单独的网络隧道传输到位于互联网边缘DMZ 的访客无线控制器。流量将从无线访客网络直接传送到负责保护公司私有资产的防火墙。
为了控制访客和合作伙伴的无线连接,访客用户将被转到登录界面,他们必须提供用户名和密码才能进入访客网络。前台接待人员或其他礼宾人员可以为他们提供一个临时访客账户,需要每天或每周更换一个新密码。这种高度灵活的设计使企业能够根据需要定制控制和管理措施,同时保持网络架构的安全性。
5.2.2. 远程办公解决方案
近年来专业服务类业务的迅速发展,分支机构增多,咨询专家频繁出差或外出,而能够及时、有效地沟通已成为专业服务公司进一步发展的重要保障。如何让他们及时、有效取得所内及客户信息并协同工作,一直是律师、会计等事务所需要不断改进的重要课题。远程办公解决方案,保证专家能够及时掌握客户信息和需求,处理相关业务并对客户提出的紧急问题做出及时响应。信息而且更新不但要及时,更要确保很高的安全性,所以远程办公局域网必须同时兼备灵活性、顺畅性与安全性的特点
借助思科远程办公室解决方案,企业可以将园区或总部的办公网络扩展到远程站点或远程员工。该解决方案包含语音和视频IP 通信及协作应用,这些应用由一系列易于部署和维护的高级网络和安全服务提供支持。
作为思科虚拟办公室解决方案的一部分,思科和授权合作伙伴能够帮助您成功部署和集成头端解决方案组件,并通过提供规划、设计和实施方面的支持引导您实现远程站点部署和管理的自动化。我们还能帮助您降低运营成本,保持设备高效运行,并通过长期的运营支持和优化不断评估、调整和升级您的思科虚拟办公室,使之与公司的发展变革和安全威胁的更新保持同步。
思科提供了多种远程办公服务,来支持员工灵活地安排工作日程,无需前往公司就能在一个舒适的环境中工作,同时确保员工在任何地方都可以高效地开展工作。思科虚拟办公室(Cisco Virtual Office)提供了一个全面的远程办公解决方案,支持以有线和无线方式,通过集成多业务路由器和VPN访问网络资源。
本解决方案概述将着重介绍思科无线远程办公(OfficeExtend)解决方案,它是思科虚拟办公室的重要组成部分。思科无线远程办公(OfficeExtend)是一个无线解决方案,可以利用无线接入点和控制器,将企业网络延伸到远程办公人员,全部时间和部分时间在家办公的员工,以及移动办公的外聘人员。
思科无线远程办公(OfficeExtend)是一款安全、简便且经济高效解决方案,能够将企业无线网络延伸到远程地点。它可以在临时性办公场所,或者传统办公室空间之外的地点,为各种类型的员工提供移动连接,其中包括远程办公人员,全部时间和部分时间在家办公的员工,以及移动办公的外聘人员。无线远程办公(OfficeExtend)接入点可以插入到提供互联网连接的路由器中,建立起一条指向企业网络的加密隧道,这样远程员工就能够像在公司办公室里一样,在外出途中访问数据、语音、视频和应用。
无线远程办公(OfficeExtend)包括远程地点和企业总部办公室组件。用在远程地点的组件包括:
. 一个带有互联网连接的路由器 . Cisco Aironet. 1140 系列或 Cisco Aironet 1130AG 系列无线接入点 . Cisco 统一通信无线 IP 电话(可选)
企业总部办公室组件有:
. 配有WirelessPLUS软件授权的Cisco 5500系列无线局域网控制器 . Cisco 无线控制系统(WCS) . 思科安全访问控制服务器 (ACS)
无线远程办公(OfficeExtend)
位于远程地点的用户,可以通过无线远程办公(OfficeExtend)解决方案安全地访问与企业办公室中无线网络上相同的服务。无线远程办公(OfficeExtend)解决方案能够支持数据、语音和视频,以及各种类型的应用,例如Cisco Unified MeetingPlace. 会议、Cisco WebEx. 技术和双模电话。在家庭办公室中进行初次设Z时,远程员工需要将接入点连接路由器。无线远程办公(OfficeExtend)接入点已由网络管理员使用思科无线控制系统(WCS)预先进行设Z。它将会自动地建立一条加密的隧道,通过Cisco 5500系列无线控制器连接到企业总部。一部预先注册的IP电话还将自动连接到Cisco Unified Communications Manager,访问企业的电话号码、语音邮件和用户设Z。
无线远程办公(OfficeExtend)可以在接入点和控制器之间建立起一条加密的数据报传输层安全(DTLS)连接,从而:
. 建立与企业办公室设Z相同的远程WLAN连接。 . 提供基于思科统一无线IP电话和Wi-Fi语音电话的语音服务。这一语音服务还支持呼叫感知功能(即能够跟踪呼叫统计数据)。 . 支持个人服务集识别符(SSID)和企业SSID,允许非企业设备访问互联网。 . 支持M-Drive技术,以确保无线服务质量(QoS)和可靠的连接。
无线远程办公(OfficeExtend)解决方案能够为在传统办公室之外工作的员工提供安全的、丰富的网络服务,包括远程办公人员,全部时间和部分时间在家办公的员工,移动办公的外聘人员,以及管理人员。无线远程办公(OfficeExtend)解决方案可以为身处任何地点的员工创建出一个无线办公环境。
5.2.3. 移动协作解决方案
思科移动协作解决方案集成了Cisco WebEx、思科统一通信、思科统一无线网络和思科高级服务等产品线的产品和服务,致力于为移动工作地点带来出色的协作体验。
工作地点体验
思科通过扩展其战略向越来越多的设备提供网络服务,同时简化这些设备与无线网络的连接方式。
. 用于iPhone的Cisco WebEx Meeting Center 1.2版本可以从苹果应用商店(Apple Applications Store)免费下载。该版本进一步扩展了应用,在会议召开前期及会议期间,使主机能够直观的使用iPhone安排会议和邀请与会者参会。 . 思科通过发展思科兼容扩展计划(Cisco Compatible Extensions Program),来满足不断变化的设备发展需求。全新思科兼容扩展服务计划采用功能模块化设计,分为基础服务、管理服务、协作服务和环境感知服务等四项服务,设备制造商能够为具体设备选择最适合的服务。现在,该计划已经赢得AeroScout、Atheros、博通(Broadcom)、Ekahau、英特尔、Intermec、宝利通(Polycom)、Redpine Signals、Summit Data Communications和德州仪器(Texas Instruments)等大量芯片厂商和设备制造商的广泛生态系统链的鼎力支持。
无线网络平台
作为下一代802.11n无线技术领域的领先厂商,思科提供了全面的802.11n解决方案,包括接入点、控制器和管理系统等,并且能够通过一个开放的API提供网络信息和服务。
. 全新Cisco 5500系列无线控制器(5500 Series Wireless Controller)针对802.11n网络进行了优化。独立测试证实,该平台在提供视频和丰富媒体协作应用方面,相比前几代无线控制器能够实现高达1000%的性能提升。
. 全新思科无线远程办公(Cisco Office Extend)解决方案对Cisco Virtual Office远程工作解决方案产品系列提供了有效补充,可将公司的无线网络扩展到远程地点,为移动员工提供无线数据、语音和视频服务。 . 全新Cisco Aironet 1524网状网接入点提供了更高的可扩展性,支持各种室外和室内工作地点的无线覆盖。 . 全新Cisco 3310移动业务引擎(Cisco 3310 Mobility Services Engine)能够针对中小企业的规模进行智能调节(smart-sized),支持环境感知和自适应无线IPS等现有移动服务,其基于开放API的界面能够支持第三方移动应用。
第三方应用
经由一个开放API,思科可为业务应用提供特定的网络信息。目前,业界正广泛推出针对网络安全保障、PCI法规遵从性和无线视频监控的业务应用。
. 网络安全保障解决方案将思科移动业务引擎提供的地点信息,安全的和网络性能关联引擎相集成,能够更快地发现并解决安全和网络性能问题。目前,ArcSight、NetScout Systems和RSA(EMC安全产品部)都利用思科移动业务引擎推出了网络安全保障解决方案,以更好的为客户提供服务。
5.2.4. 思科无线技术特色
5.2.4.1. CleanAir技术智能频谱管理
由于 Wi-Fi 在共享无需授权的波段工作,因此,要在 Wi-Fi 网络中支持高级别性能、安全性和可靠性,必须拥有集成式频谱智能和频谱管理。频谱管理对于在关键无线应用中为最终用户提供丰富、可靠的移动性体验至关重要。
商用 Wi-Fi 芯片集的有限射频可见性功能不能满足需要,因此思科集成了获得专利的频谱处理硬件和软件,专用于分析干扰,而且还创建了真正的企业级 Wi-Fi 芯片集。由于具有这种底层硅片功能,Cisco CleanAir 技术可对各个干扰源进行分类,并找出干扰源,告诉您它们如何影响网络性能或安全性。
Cisco CleanAir 是一种革命性的技术,在业界尚属首例。使用该技术,IT 经理可以访问自动收集的关于每个非 802.11干扰源的丰富频谱信息。CleanAir 技术提供的频谱智能支持全新级别的频谱管理。与以前的频谱管理工具相比,新的
集成式频谱管理是无线网络结构的一部分,而以前的频谱管理工具则仅适应于其他 Wi-Fi 设备,并且通常与无线网络分离。第二代频谱管理可充分感知所有无线频谱用户,而且能够采取行动来缓解或避免干扰,从而优化网络性能。
CleanAir 技术广泛应用于思科统一无线网络系统内部,通过以下方式提高无线质量:
. 侦测其他系统无法看到的射频干扰 . 识别来源,并在平面图中找到相应的位Z . 自动调整以优化干扰周围的无线覆盖范围
这一创新技术的优势在于:
. 自我修复和自我优化无线网络 . 更快地排除故障,减少中断时间 . 有效地实施策略 . 提供物理层安全性
5.2.4.2. VideoStream技术为客户提供高清无线视频体验
视频是一个非常苛刻的应用,它可以立刻将网络中的任何弱点暴露出来。通过Wi-Fi传送的视频的体验质量无论何时都必须是企业级的,即网络必须能够支持多种视频、音频和数据流以可靠同步的方式没有中断的传输。当延迟,丢包和抖动超出门限值,可用的视频迅速下降到零;与有线网络相比将视频应用扩展到Wi-Fi更具挑战。因为Wi-Fi网络的特点本身带来了可变数据速率,数据包丢失,和组播的不可靠性等一系列挑战,这与传统方式来确保服务质量(QoS)相悖。
思科视频流就绪 (VideoStream)技术将视频应用完美扩展到无线网络。
准入控制视频不可用视频媒体就绪的无线局域网优化视频应用保护无线网络的投资解决了射频方面和有线/无线相互集成的挑战将有线网络里的视频质量带到无线网络中极大改善视频质量和扩展性:临临界级别:高高性能高性能高性能APAPAPAPWLCSWITCH视频流优先机制保护包含重要内容的视频流可靠组播优先级资源预留控制
思科视频流就绪技术是思科统一无线网络一组新的系统级的特性,它包含了我们讨论过的可提供卓越的视频质量的关键性增强功能。思科视频流就绪技术展示了思科公司的射频和视频方面的专业知识,它周全的考虑到无线局域网的物理层、MAC层和应用层,为各种类型的视频应用提供了可靠、一致的平台。
视频流优先级
正如我们前面提到的,视频是一个高效的、极具影响力的通信手段,也是带宽密集型应用,正如我们所看到的,并不是所有的视频内容都具有相同的优先级。从前面的讨论中可以清楚看到,商业组织在视频上的投资不能影响网络带宽的消耗,关键业务的视频媒体必须优先。
随着视频流被接纳到网络中,网络管理员可以根据其重要程度将媒体流配Z为不同的优先级。这一特性可以在射频级别开启(2.4 GHz频段和5 GHz频段),也可以在SSID级别开启,这给管理员提供了更多的控制权来识别特定的视频流,并确定相应的质量服务。
配Z视频流具有比语音较低的优先级比和比尽力而为流量更高的优先级。所有其他的组播流量将被以尽力而为方式接纳,尽管他们以视频的优先级来标记着服务质量。
资源预留控制
随着越来越多的用户开始在工作场所的利用无线终端承载视频,能够优雅的管理、规模持续不断的增加和为在任何特定时间或地点的用户群提供高质量的体验是至关重要的。资源预留控制(RRC)提供了增强功能在MAC层部分管理准入和控制策略。准入和策略是基于射频测量,流量统计测量,和系统配Z来决定的。RRC提供了视频客户端的带宽保障机制,拒绝导致过载的客户端请求。信道利用率作为指标以确定系统是否有能力执行准入控制。
组播到单播转换
通过支持802.11n的数据传输速率,并在MAC层提供错误更正机制,思科视频流就绪具备组播到单播转换的能力,这大大增强了Wi-Fi承载视频的可靠性,远远超出了传统的无线网络尽力而为的特性。
无线客户端应用程序通过发送IGMP加入消息订阅IP组播流。有了可靠组播,这一IGMP请求消息被网络基础设施侦测到。系统检查视频流的认阅和配Z并收集数据和流量的政策。如果被请求的视频流被策略允许,响应被发送到连接到无线接入点的无线客户端,从而一旦视频流到达就启动可靠组播。该系统还将查看可用带宽和配Z的视频流度量以确定是否有足够的空口时间来支持新的视频订阅。此外,系统还会考虑现在的无线电射频负载和介质的健康情况来作出准入的决定。
如果上述条件都得到满足,无线接入点发送关联响应到无线客户端。这时无线接入点复制组播帧并将其转换为802.11单播帧。最后,可靠组播将视频流以单播形式直接提供给需要的客户端。
5.2.4.3. ClintLink技术保护客户投资提升无线品质
尽管802.11n技术的产品已经大行其道了,但很多客户仍然使用原有的802.11a/b/g产品,并且未来几年内才会逐步被替代。大多数企业会继续维护802.11a/g的设备,同时添加新的802.11n设备。思科公司充分考虑到了为企业的802.11a/g设备提供投资保护,开发了ClientLink技术,帮助企业将802.11n的性能优势扩展到802.11a/g设备的同时,增加了他们的使用寿命。
大多数的802.11n解决方案为802.11a/g客户端在上行方向(客户端到无线接入点)提供了某种程度上的性能提高,但是无法在下行方向(从无线接入点到客户端)提高性能。认识到这一点非常重要,因为大多数的客户端流量,比如说
对于11a/g 设备减少覆盖漏洞.更高的数据率和更少的丢包ClientLink 的性能优势Miercom 实验室测试验证ClientLink 优势Miercom 实验室测试结果增加无线系统整体的信道容量.11a/g设备更快的处理时间意味着11n设备可以利用更多的“空口”时间,同样改善了11n设备的性能为11a/g设备提供更高的吞吐量.扩展现有设备的使用寿命,节省客户端升级费用Throughput vs. Distance对于11a/g 设备可以实现高达65% 的吞吐量增长高达27%的信道容量增长在动态的射频环境中减少覆盖漏洞ClientLink DisabledClientLink EnabledChannel Util of 74.2%Channel Util of 45.2%ClientLink DisabledClientLink Enabled& 14 Mbps& 14 Mbps25%75%56%44%网页浏览和文件下载,都是在下行方向。思科ClientLink技术提高了802.11a/g客户端下行链路的性能,从而提供了更好的网络覆盖以及更可靠的漫游体验。
另一个挑战是在同时部署了802.11n和802.11a/g设备的环境下,确保802.11a/g设备不会限制802.11n设备的性能。通过为802.11a/g设备提高下行链路的吞吐量,ClientLink为整个网络包括802.11n客户端,有效的提高了系统容量。
ClientLink通过在无线接入点上预先植入的高级信号处理进程进行工作。在学习到用最大限度的方式将从无线接入点多个天线上接收到的客户端信号结合起来之后,ClientLink使用这些信息,并通过最佳方式将数据包发送回客户端,这种技术称之为多输入多输出(MIMO)波束成形。此外,MIMO波束成形技术并不需要昂贵的外部天线就可实现。
5.2.4.4. 方便操作的无线管理系统
Cisco WCS 是无线网络的管理平台,用于对 802.11n 和 802.11a/b/g 企业级室内和室外无线网络进行全面的生命周期管理。这一极具灵活性的平台提供大量的工具和资源,以便对覆盖园区、远程、国内和国际位Z的无线局域网进行有效的规划、部署、监控、故障排除和报告。
fig1Cisco WCS 消除了无线局域网管理的复杂性。这一屡获殊荣的平台通过易于使用的集中化界面,让用户清楚地了解并控制无线局域网和射频环境。它简化了所有无线局域网操作,有助于确保 Wi-Fi 性能平稳、通过 Cisco CleanAir 减少射频干扰、增强网络安全性,并为所有移动最终用户提供最佳无线体验。Cisco WCS 只需最少的 IT 人员配备,即可满足最苛刻的运营需求。Cisco WCS 是维持经济高效、业务就绪的思科统一无线网络的理想平台。
Cisco. 无线控制系统 (WCS) 是业内最全面的管理平台,用于对 802.11n 和 802.11a/b/g 企业级无线网络的生命周期进行管理。这一强大的管理平台可提供经济高效的管理解决方案,使 IT 管理员可以成功规划、部署、监控室内和室外无线网络的情况,并进行排除故障和报告。
作为思科统一无线网络的管理平台,Cisco WCS 是支持高性能的应用程序和关键任务的解决方案,简化业务运营并提高生产效率。该系统还支持 Cisco CleanAir 技术,这项技术是思科统一无线网络的系统级功能,它使用硅片级智能创建自行恢复和自行优化的无线网络。Cisco CleanAir 技术在为 802.11n 网络提供性能保护的同时,通过自动减缓射频 (RF) 干扰的影响,提高无线网络的可靠性,来支持关键任务应用程序。
Cisco WCS 是一个全面的平台,伸缩自如,可满足跨本地、远程、国内和国际位Z的大中小型无线局域网的各种需求。此项获奖的解决方案可使 IT 经理在需要时立即使用所需的工具,只要从一个集中位Z便可实施和维护安全的无线局域网,不仅效率更高,而且最大程度地减少了 IT 人员配备。
Cisco WCS 直观的用户界面和使用简易的内Z工具,可提高 IT 效率、降低 IT 培训成本并最大程度地降低对 IT 人员配备需求,从而显著降低运营成本,即使网络不断扩展也是如此。与重叠管理工具不同的是,Cisco WCS 通过将全方位管理需求(包括射频、控制器和服务)结合到单个统一平台来降低运营成本。
5.3. 无线设备参考
802.11 a/b/g/n, 内Z天线,无线接入点
Aironet 1130AG
802.11 a/g 室内无线接入点
Aironet 1042
802.11 a/b/g/n, 内Z天线,无线接入点
802.11 a/b/g/n, 外Z天线,无线接入点
802.11 a/b/g/n, 内/外Z天线,无线接入点,支持CleanAir
Air-WLC5508-X-K9
无线控制器,分别支持12.25.50.100.250.500个AP,可通过购买License升级AP数量
WCS-APBASE-50/100
支持50/100个AP的无线网管系统
AIR-MSE-33xx-K9
无线定位服务器
详细信息欢迎垂询思科区域中小企业客户经理和中小企业客户技术支持工程师,或参考思科网站:
. English: . 中文:
6. 专业服务业协作通信解决方案
6.1. 专业服务业协作通信的现状
通信和协作服务的发展改变了我们的工作和生活方式。多年来,计算机的角色在不断演变,已经从最初的文件处理和系统接入工具发展为了支持日常通信和协作的工具。桌面计算机与座机、手机和其它计算机以多种方式进行交互,共享信息。协作服务使我们能够灵活地改变沟通对象、沟通方式和沟通时间。随着我们利用便捷、安全的协作工具与公司内外的各种群体,包括合作伙伴、客户和知识型员工等进行合作,我们的沟通对象变得更加广泛和多样化。随着企业采用随时随地的业务运作模式来加速业务决策,用户不必再长时间在办公室工作,工作时间也变得灵活多变。而随着工作时间的变化,我们工作的地点也发生了相应的改变。利用移动功能和无线服务,我们可以在办公室开展业务,或者在家中参加清晨或晚上的会议,或是在机场等候航班的时候处理业务,或者利用视频协作避免出差。
目前专业服务业在协作通信方面的信息化建设尚有很多问题,主要表现在以下几个方面:
■ 集成化问题
使用多种通讯工具和不同的电子邮件客户端工具造成信息分别存储于各种不同的媒介和档案中,无法进行快速查询;大量电子邮件中的正文与附件都自成体系,查找某一文件时常出现混淆;众多的常用文档充斥,其导入、存储、检索、修改与维护的方式各不相同,应用起来费时费力;
■ 协作性问题
网络会议由于各专家对于项目了解程度不一,准备不足,经常流于形式;无法共享其他律师掌握的项目和联系人资料,相互之间会出现重复工作的现象;无法及时知晓其他合作专家的日程安排,很难及时召集合作人员开会、讨论,以致协作过程出现困难,工作被延误;
■ 动态化问题
一份文件常必须由多个专家经手,但每人侧重的点及权限各不相同,在文件的流转过程中常会出现交叉与失误;由于专家经常外出调研,信息快速变化,难
以实现对于项目进程的动态化监控;项目相关人员,包括专家、助理、委托人等在项目进行中都有一定的动态变化,造成沟通困难;
■ 移动性问题
外出时常脱离局域网环境,无法与事务所及时进行资料、信息互动;长时间处于车辆、飞机上,大量时间碎片不能得到良好的应用,工作效率低下;
■ 保密性问题
由于专业服务工作的特殊性,如果大量机密信息与文件只能通过外部电子邮件或者外部通讯工具进行传递,很容易被监听获取,安全性缺乏保障;
6.2. 思科统一通信解决方案
思科统一通信(UC)产品系列旨在为几个到数万名用户提供语音和视频通信服务。IP 通信解决方案和终端可帮助您将统一的通信服务扩展到所有工作地点的用户,不管他们是在总部局域网、远程站点、家中还是出行路上。Cisco Unified Communications Manager(CUCM)是一个可扩展、可分布的高可用性企业级IP 电话呼叫处理系统,既能提供传统的电话功能,也能提供移动、在网状态和偏好选择等高级功能。借助思科IP 通
