文档编号:480
浏览:7584 评分:50
最后更新于:2009-11-18
艾泰科技隆重推出HiPER 811智能宽带网关/路由器,深受中小型企业的广泛关注。现在以某企业为范例,介绍下HiPER 811用于企业环境的几个重要功能:带宽管理、防火墙、VPN(虚拟专用网络)、防病毒防攻击。
需求:
1、 某企业A需要针对内网每台接入网络的计算机进行带宽管理,以达到带宽合理分配的目的,不至于出现带宽滥用的现象,A公司目前是4M的光纤接入,35台电脑。
2、 需要针对不同性质的部门的上网需求进行控制,与工作无关的上网应用禁止在工作时间内使用,比如:星期一到星期五早8点到晚20点,以及周末全天允许员工使用电脑上网,其余时间禁止上网。
3、 该公司设置了两家分公司B与C,分公司B与C需要实时地访问总公司A的服务器,传输与工作相关的文件或运行软件。
4、 内网经常出现ARP攻击,为了维持内网的稳定,需要解决ARP攻击所造成的上网掉线或访问网络速度慢的问题。
解决办法:
1、 根据我们的建议,在设置带宽管理功能的“最大下载速率”与“最大上传速率”时,可以通过“总接入带宽÷计算机总数量×4”的计算公式得到结果设定相应数值。如上述需求所述A公司的总接入带宽时4M,计算机总数量时35台,通过计算公式,得到0.457M≈457K,那么我们可设置“最大下载速率”为512Kbit/s,“最大上传速率”为384Kbit/s(可以根据实际情况做适当调整),如图1所示。
图1
注释:目前HiPER 811的限速机制,超过限速的主机ping 网关或外网IP地址将会出现丢包,但其他主机不受影响。某些交换机支持的QOS(服务质量保证)功能主要是实现流控,比如某类数据包的抑制或优先转发,而网关(HiPER 811)是对带宽进行管理。如果内网使用的交换机支持QOS功能,建议与HiPER 811的带宽管理功能同时使用。
2、 为了对员工的上网行为进行分时段控制,我们可以先设置时间段,如图2所示。
图2
注释:一个跨越零点的时间段必须设置成两个连续的时间单元,例如,从晚上8点到次日凌晨5点需以24:00:00分为两个时间单元,第一个时间单元为20:00:00~23:59:59,第二个时间单元为00:00:00~05:00:00。
3、 完成时间段设置后,可进入“防火墙”中设置相关策略。例如:员工电脑的IP地址段为192.168.1.11-192.168.1.40,需要达到星期一到星期五早8点到晚20点,以及周末全天允许员工使用电脑上网,其余时间禁止上网的需求。
1) 定义员工地址范围,如图3所示:
图3
2) 先设置“允许上网”的策略,如图4所示:
图4
3) 后设置“禁止上网”的策略,如图5所示:
图5
4) 最后启用访问控制策略,如图6所示:
图6
注释:当HiPER 811收到一个数据包后,将从访问控制信息列表的顶端开始向下搜索匹配的策略,匹配的第一个策略将被用于数据包,并且后面的策略不再检查,如果没有找到匹配的策略,该数据包将被丢弃。
4、 通过HiPER 811支持的2条隧道的VPN功能,将A公司与B公司建立一条VPN,A公司与C公司建立一条VPN,使得B和C公司可以访问到A公司的服务器,如图7、图8所示。
图7
图8
注释:PPTP/L2TP服务器要从VPN地址池取出一个IP地址分配给拨入用户,作为连接PPTP/L2TP隧道两端的路由地址。地址池可任意定义,但不能和方案中已有IP地址段重复。
5、 对于防止内网ARP攻击,可在HiPER 811将内网所有电脑的IP与MAC地址进行绑定(适用于电脑的IP地址时固定不变的),如图9所示。开启HiPER 811的ARP欺骗防御功能,或下载HiPER 811提供的绑定网关的批处理程序,并且在内网每台电脑上运行。
图9