如何解决企业内网卡顿掉线ARP病毒攻击等问题.docx

北京派网软件有限公司 告别虚伪“安全”拥抱可用可控低成本企业网络 引言：中国的中小企业(SMB)市场，一直是一个令很多人垂涎，但是又无从下手的市场。无数世界顶级厂商折翼沙场，国内一线厂商不敌XXLink，究其根本原因还是在所谓“安全神坛”上不肯走下来，沉浸于用“恐吓取材”来引导客户需求。而实际上，SMB客户的需求相对实际和简单，企业的网络管理主要有如下几方面的需求： 网络出口的优化 普通的网络防火墙只是起到了网络的接入和数据包的过滤，对于广大用户提出的链路负载均衡需求经常被告知额外增加负载均衡器来实现，无形增加企业的投资成本，对于企业希冀降低带宽出口成本采用PPPOE多拨链路聚合方法的实现，一些网关根本不支持这些功能，即使支持，由于虚拟多拨的不支持、物理端口数量的缺少和做不到负载集群使效果大打则扣。 权限分级管理，保障网络可用性 还在热衷于三层交换机划分VLAN进行部门间的管理那就OUT了，三层交换的成本远比二层交换昂贵，而且需要配备专业的技术团队进行维护，当某个VLAN用户私接一个小路由造成网络中断的情景更是令网络中心抓狂不已，而且今后企业网络管理的趋势应当是权限分级管理，保障网络可用性，架设BRAS服务在企业网首当其冲。 3. 管理网络应用，规范上网行为 企业里最为老板头疼的事情当属在上班期间玩游戏、看电影或使用带宽资源无限制的疯狂P2P下载，干些和工作不沾边的行为，这些行为严重消耗着企业资源，影响企业的办公和生产效率，上班期间合理管控娱乐行为、P2P下载、网络电视等非保障性应用，如何保障企业OA办公系统的正常运营提高生产效率是最为优先考虑的问题 日志审计和大数据挖掘 对于网监部门的审计、对于员工浏览WEB有多少是和工作相关的内容，对于访问网络是否可造成机密数据流失的安全性防护，对于大数据时代商机的深度挖掘采集，这些都离不开专业的日志存储系统进行分析取证，传统的防火墙或UTM网关或有网络接入或有日志审计，但是在整体上不是很全面，功能不符或要额外付费开通。 企业无线网络优化 无线网络的质量好坏直接关系着一个企业的形象，在会议室或访客中心显得尤为重要，无线接入能力的提升，不能仅仅依靠规避信道交叉和调整功率AP降低干扰来解决，无线接入能力的提升在很大程度上依赖于控制STA的流量，因为无线带宽资源是有限的，在有限的带宽内当多个用户同时过大的占用上行和下行带宽，会造成网络的拥堵；同时私接路由和随身wifi的滥用可能会干扰内部功率信号，使信号衰减，而且私接路由的不当使用还会照成DHCP冲突等安全性问题，企业的无线网络应当受到优化和保护。 针对以上需求，Panabit推出了一套可用可控低成本一体化企业网络优化解决方案，该方案有效解决了出口带宽优化、权限分级管理、上网行为规范、上网行为审计和无线网络优化等问题。下为Panabit企业网络出口优化示意图： 解决方案说明： 企业的出口网关，主要的功能是将内部私有的IP地址转换成可在Internet传输的合法公网IP，供终端用户上网，与传统网关不同的是Panabit除了具备上述功能外，还提供了基于7层的应用流量负载均衡和应用路由的出口优化功能。在网络出口的接入方式，如图，Panabit可提供基于静态IP分配和PPPOE拨号两种方式，出口线路数可建立多达500多条，启用应用负载均衡功能可同时对这500条以上线路进行带宽流量的叠加汇聚或进行带宽流量的分担（500条线路的类型可以混搭，可以是静态IP亦或PPPOE拨号）。考虑到节约链路成本的情况，Panabit建议采用ADSL多拨线路汇聚叠加，以成本低廉的ADSL链路汇聚叠加后的带宽效果达到和高成本购买静态IP带宽一样的效果；在出口应用保障里启用“应用路由”功能，可以选择按照“应用协议”进行路由，使关键应用流量走优质的线路带宽，非关键应用走劣质的线路带宽，保证了关键类协议出口的质量。 下图为部分Panabit多拨大叠加效果图： 下图为应用分流效果图： 在权限分级管理方面，早期企业主要靠划分VLAN和ACL协议端口号来解决，因为在当时网络应用相对单一，端口号固定，远没有大量出现像现在端口号复用伪装的应用，另一方面，感染ARP病毒导致区域网络中断的情况也时有发生，一直得不到有效的解决办法。如今，网络应用的发展催生了企业权限分级管理技术的方式向个人帐号权限技术转变。Panabit可同时为终端接入用户提供静态/DHCP和PPPOE帐号拨入的两种接入服务，根据帐号所属组的不同分派不同的访问权限。例如，企业职工通过DHCP只能访问企业内部资源，访问Internet使用自己的帐号拨号上网，这些帐号可以分属不同的组，每个组划分不同的权限，权限按组随意控制。用户这样设置后可以把QQ，微信等应用放入特权，从而达到认证随人在公司内任意迁移，不受限制，降低网管复杂度。