合勤科技方案满足网络多层次需求

项目背景
日前，坐落在某市中心的地铁大厦正式封顶。作为高档商用写字搂，该地铁大厦包括地铁集散厅出口、营业厅、餐饮、办公及会所，附近星级酒店云集，办公大楼林立，三十余家银行，十多家证券行，充满浓郁的文化和商业气息。

由于其“地铁商圈”的特殊地理位置，该大厦尤其需要以一流的硬件和软件设施，为客户提供周到、全方位的服务。而大厦所面向的客户群体具有多样化，其所需要的网络服务也复杂化、多样化，网络带宽、网络安全、网络的扩展与管理以及语音通信的通畅都成为非常重要的问题。因此，大厦亟需一套完整高效、极具性价比的网络解决方案。

用户需求
该地铁大厦共24层，顶楼为咖啡厅，其余均为商业用户。由于商业需要，首先，大厦需要为客户提供超高速带宽，适应多种综合应用；其次，不同用户有不同的带宽和服务质量需要，以免不必要的资源浪费或是增加用户成本；再者，隔离不同用户间的数据通信，保证用户安全；同时，由于如今网络语音通信的成本优势，大多数商业用户都使用VoIP语音电话，就必须保障VoIP语音通信的顺畅；另外，网络具备弹性才易于未来的扩展和管理，降低大厦维护成本。因此，网络的安全是必须的，而安全同时的性能保证也同样重要。

解决方案
针对该地铁大厦的需求，合勤科技在对项目进行细致研究，提出了有针对性的解决方案。合勤科技为整个网络采用全千兆架构，提供具备线速能力，能够提供无阻塞数据转发，并可提供充足宽带的ZyXEL GS-1124、GS-2024、GS-3012交换机系列，以保障各种综合应用。同时配合ZyWALL 1050千兆UTM防火墙，为用户提供高速数据传输能力和高质量服务。

方案中所应用的一系列产品中，ZyWALL 1050是一台大中型企业UTM应用网关，融合了整合防火墙、VPN、负载平衡、宽带管理、IDP、内容过滤等丰富功能，能够提供设置传输优先级或限制每个连接使用带宽的带宽管理策略，并且可通过集中日志的方式始终跟踪网络带宽使用情况。同时，ZyWALL 1050支持VoIP的功能能够给语音通话提供最大的安全特性，使各企业搭建一个更加高效、稳定、可靠的商业网络成为可能。

而ZyXEL GS-1124、GS-2024、GS-3012交换机系列根据不同的性能进行功能分工、任务分配、协同工作，来强化安全及带宽的使用。此外，简单的架设、维护和升级使解决方案应用更加人性，而合理的价格也是合勤科技为用户的细心考虑。

具体实施
该地铁大厦的具体网络应用拓扑图如下：

如上图所示，合勤科技在互联网接入口架设一台ZyWALL 1050，并连接一台GS-1124交换机，在保证流量控制以及高速传输速率的同时，保障一个安全、受信任的VPN网络中数据的传输，以提供24小时不间断的稳定网络服务，然后再统一通过GS-3012传输至各个用户。为满足不同用户的不同需求，合勤科技又按照该地铁大厦现有的功能分割的VIP商户、普通商户、会议室、咖啡厅四个分区，采用GS-2024作为VIP商户和会议室的接入，而咖啡厅和普通商户则采用GS-1124非可管理千兆交换机进行接入，即插即用。

首先，商业用户有工作效率需求，信息安全保密需求，因此如何获取安全与效率兼得的保障非常重要。因此，合勤科技采用ZyWALL 1050，利用强大弹性的7层应用粒度管理，对P2P，如BT、电驴、迅雷等消耗带宽严重的应用进行控制，限制他们的最高带宽。同时，为邮件、网页浏览、FTP等正常流量进行带宽保证。然后通过分层，多级的应用层带宽管理，优化整个网络带宽，建立健康稳定的网络。

此外，按照该地铁大厦现有的功能分割的VIP商户、普通商户、会议室、咖啡厅四个分区，合勤科技针对VIP商户和会议室对视频会议、多方语音VoIP会议等应用的较高要求，提供具备最高优先级的带宽保证，因此采用GS-2024作为VIP商户和会议室的接入，从而确保视频、语音流量以及带宽。其中，GS-2024、GS-3012支持QoS及IGMP snooping功能，独有的Fast Leave技术针对视频、语音流量进行带宽优化，同时在GS-3012配置针对视频、语音流量，以及所有VIP商业用户和会议室网段的L2/L3/L4访问控制列表，保证重要客户的带宽。而咖啡厅和普通商户要求没有那么高端，则采用GS-1124非可管理千兆交换机进行接入，即插即用，即可享用千兆高速网络。

在如此保证的带宽条件下，实现VoIP相对更加容易。对于目前通信发达的网络时代而言，商业网络逐步发展，VoIP的成本优势使得越来越多的企业，特别是跨国企业集团开始，或者已经部署VoIP网络，VoIP通信的顺畅需要带宽的保证，稳定充足的带宽是前提。在此次该地铁大厦的方案应用中，合勤科技的GS-2024/GS-3012及ZyWALL 1050的QoS功能专门应对语音、视频等带宽敏感应用。同时，ZyWALL 1050应用层SIP和H.323动态的打开那些VoIP需要使用的端口。一次通话结束，那些打开的端口重新关闭，避免恶意的端口扫描和侵入VoIP的网络。在这种情况下，VoIP的速度与安全兼得，为该地铁大厦的各个用户提供了方便快捷的通信方式，最主要是从用户角度出来，节约了用户的使用成本，可谓是一举两得。

在整个网络架构建设中，除了带宽，网络安全问题更是用户所关心的重要问题，数据通信是否安全直接影响到关系用户核心竞争力的商业机密是否安全。因此，带宽问题解决之后，还需要做到隔离不同用户间的数据通信，以保证用户安全。对此，合勤科技采用VLAN对不同功能区域和不同用户进行隔离。如拓扑图中所示的GS-2024/GS-3012二层千兆可管理交换机设置，具备全范围4k VLAN容量，适合多用户的划分。合勤科技独有的入侵锁定/MAC过滤/端口隔离等安全功能，配合L2/L3/L4访问控制列表，一方面将用户数据进行隔离，另一方面，阻止二层攻击，保障网络安全。同时，ZyWALL 1050支持三层虚拟技术（VLAN、Virtual/Alias interface），能根据需要为不同的物理端口设置VLAN接口或虚拟接口，同时，其集中星型（Hub-and-Spoke）VPN网络的冗余可管理特性更能让企业可根据自身情况随意构建多样、混合型的企业网络，避免了网络搭建的单一性。而且IDP入侵检测功能对所有数据流进行7层检测，抵御DoS/DDoS攻击、黑客入侵、蠕虫、木马等，提供专业级安全防护。如此一来，ZyWALL 1050就能作为专业的VPN集中器无缝保护企业数据在一个安全、受信任的VPN网络中传输。

可见，合勤科技此次的方案应用在性价比、可靠性、安全性方面做足了功夫，而合勤科技得到该地铁大厦的认可还不仅仅在此。搭建的网络所具备的弹性，以及易于扩展和管理的特性是它的另一优势。在接入层，GS-2024采用全冗余方式连线，中心汇聚层，GS-3012建立了光纤环网，配置冗余，增强网络健壮性，保证线路断开或者单台设备故障下，快速恢复，提供永续的网络，降低受到网络传输影响的可能性。在GS-3012的另一端连接的ZyWALL 1050，其多WAN支持功能，对电信，网通线路进行负载均衡，充分利用网络带宽，重要的是，设备自动选择最优化的线路，避免了ISP间的通讯障碍。同时ZyWALL 1050支持硬件HA，双机热备，一台工作的同时，另外一台做备份，在出现故障的时候，立刻进行自动切换，保障网络时刻畅通，非常适用于类似该地铁大厦这样的拥有众多、差异化的商业用户的大型企业或集团，提升大厦整体形象。

方案中的GS-1124、GS-2024、GS-3012交换机系列还可以在未来根据实际情况进行增加。

用户点评
该地铁大厦某网管表示：“之所以选择合勤科技，是因为合勤科技是少数能够提供完整解决方案的厂商之一。该地铁大厦由于不同的功能分区，用户的多样化使得稳定的产品质量和优秀的服务是我们选择产品的首要条件。合勤科技的解决方案在我们的测试中取得了优异的性能。在实际运行半年来，优良的网络饱受我们客户赞誉。

（责任编辑:陈毅东）