成都卷烟厂网络解决方案

根据成都卷烟厂的情况，我们设计出了一套以安奈特产品为主的网络解决方案。

由上图可见，安奈特的解决方案仍将整个网络按照核心层、汇聚层和接入层的结构来划分设计。

核心层

在核心层，采用安奈特高性能模块化的多层交换机AT-SB4008。AT-SB4000系列交换机提供强大的线速交换性能，在所有类型的端口上无阻塞的转发各种不同长度的L2，L3数据。

本方案配置的核心交换机AT-SB4008采用分布式三层交换技术实现的全线速无阻塞的数据交换和转发。安奈特AT-SB4000系列交换机的所有线卡均具备完全三层交换功能，并且随时与交换控制引擎的三层交换信息保持同步。

由于每块线卡均内置有三层包转发的功能，所以不同VLAN之间的路由就可以完全由各个线卡完成，而不需要每次三层数据转发都去查询交换引擎，从而可以大大地减少交换控制引擎的负担。和传统的集中式三层交换技术相比，采用分布式三层交换具有更好的可扩展能力，因为整个交换机的三层交换性能不随着线卡的增加而减低。

安奈特的交换机更采用了基于硬件ASIC的三层交换，以保证全线速的包转发。所以安奈特AT-4008实际上是在满配置（插满所有的8口千兆线卡）时，仍能提供100%无阻塞率。这对于需要大量数据交换和承载多媒体业务的成都卷烟厂企业，尤显重要。

考虑到整个局域网的中心交换能力和足够的稳定可靠性，我们建议AT-SB4008采用双交换控制引擎。双交换控制引擎可以保证在主引擎故障时，slave引擎可以迅速接管主引擎的所有数据和工作，防止由于核心网络故障而引起整个网络的全面瘫痪。对于供电的可靠性，安奈特也同样重视，我们推荐给成都卷烟厂的AT4008核心交换机支持2+1的交流电源备份。安奈特的方案也正是通过以上诸多措施来保证本网络最大可能地避免出现单点故障。

采用安奈特的AT-SB4008的好处还在于AT-SB4000系列交换机提供市场领先的QoS机制，精细的控制能力，帮助用户实现从物理层到第4层以上的带宽流量控制，128级流量分类，以64k为增量的最大/最小带宽保障，让用户可以灵活的部署基于策略和服务品质协议(Service Level Agreements)的Qos流量管理，AT-SB4000在高速，灵活，基于硬件交换的平台上，结合IEEE 802.1Q/p ，DiffServ，Rsvp等协议，实现了强大的QoS控制功能。当前各个行业的用户基于自身的应用对网络平台有着不同的需求，例如： 成都卷烟厂希望能在同一个网络平台上区分普通数据和多媒体业务的不同应用数据流，提供相应的带宽保障策略，并部署多个各自独立的组播组。 AT-SB4000系列交换机正是根据用户对流量控制的不同期望而设计，可以真正提供给成都卷烟厂一套能支撑多业务数据平台的网络，并能保证服务质量。

接入层

接入层网络和核心层之间采用千兆光纤上连到AT-SB4008核心交换机上，交换机分别为AT-8024GB或者AT-8350GB。

接入层采用AT-8024连接到桌面。对于用户比较多，AT-8024端口数不够的，安奈特的增强型堆叠技术可以解决这个问题，并且可以大大地减少网络管理的任务。首先，增强型堆叠可以扩展配线间交换机的端口数，以满足成都卷烟厂某些科室/部门高端口数的需求；同时，通过堆叠的两个或者多个交换机形成一个逻辑的交换机。这样的好处在于：

堆叠可以简化网络的管理。堆叠在一起的所有交换机从网络管理的角度来看，是一个管理单元，而不是多个的管理单元；

堆叠可以让你仅仅通过一个管理会话（management session）实现对多个交换机的管理。您可以通过对主交换机的管理会话来实现对处在同一个堆叠的所有交换机的管理；

堆叠可以节省IP地址空间，因为所有处在同一个堆叠的交换机只需要分配一个IP地址就可以实现网络管理；

安奈特的增强型堆叠可以让交换机更加灵活地布置在网络当中的任意地方，从而摆脱物理线缆长度的束缚，使网络设计和规划更加灵活。Internet接入

Internet的接入配置一台AR-745模块化路由器，连接ISP的线路使用DDN专线。

在成都卷烟厂的网络接入Internet的同时，如果没有专业的防火墙，也将来自Internet上的恶意网络攻击引入了内部的网络。为了防止网络攻击，通常的做法是购买基于Unix的软件防火墙（如Check Point）或者一台专门的防火墙设备(如Cisco PIX系列)。基于软件的防火墙通常配置比较复杂，而且性能不是很高；专门的防火墙设备则成本较高。安奈特公司的AR745路由器内置的防火墙则为用户提供了新的解决方案，在实现安全措施的同时，还同时为企业节省了一大笔开支。

AR745路由器内置有基于状态检测的防火墙功能。安奈特公司AT-AR700系列路由器的基于状态检测防火墙通过了ICSA认证，通过对数据包内容的检测和连接状态的检测，可以为内网提供有效的保护。它可以提供比较广泛的防DoS攻击，包括：死亡之Ping、SYN/FIN泛洪、Smurf攻击、端口扫描、碎片攻击和IP欺骗。当一旦受到攻击后，路由器可以自动通过E-mail报警。AT-AR700系列路由器还提供事件触发，防火墙事件日志和信息统计，最终将生成一个全面的安全日志。两个内置的10/100Mbps以太网端口可以划分为内网和外网，加入10Mbps的以太网模块后，可以建立DMZ区。

安奈特的基于状态检测的防火墙是用以替代传统的静态防火墙的；

状态检测防火墙是根据数据流动态地设立过滤原则；

只有授权的用户才可以通过防火墙；

端口数的开放是根据需要而开放，并且一旦需要终止时，防火墙会立即关闭掉该端口；

所有没有特定指出的用户均被过滤掉。

远程用户接入

远程用户接入，安奈特有两种解决方案：PSTN拨号接入，L2TP接入。

PSTN接入

采用PSTN接入，则需要在路由器AR745上加装8端口的异步接口，另外再外接MODEM池，通过普通的MODEM实现和PSTN的连接。远端用户或者出差在外的用户则需要拨号到公司，利用PSTN实现远程接入。

AT-AR700系列路由器提供了更高性价比，综合多业务的路由器平台，专门为大、中型企业，分支办公机构设计。这些企业都需要较高灵活性，管理性，可扩展性以及较高性能的边缘接入路由器。AT-AR700系列路由器可以提供出色的路由功能，VPN功能以及防火墙服务，符合IETF的IPSec和ISAKMP标准，获得了ICSA认证。

综上所述，本方案将全部采用通行国际网络协议和标准，可以保证成都卷烟厂的网络做到不同厂商的设备之间仍然能够相互兼容，最大限度保护以往的投资。