作为世界级特大型电力企业,华东天荒坪抽水蓄能有限责任公司成立于1998年,主要负责天荒坪抽水蓄能电站的建设与经营。该电站总装机容量180万千瓦,6台30万千瓦立轴可逆式抽水发电机组。是我国目前已建和在建的同类电站中单个厂房装机容量最大、水头最高的一座,也是亚洲一期最大,名列世界前茅的抽水蓄能电站。
华东天荒坪抽水蓄能有限责任公司有两个办公场所,分别是安吉天荒坪水电站和杭州天池宾馆两部分。根据华东电力集团的要求,需对公司的内网、外网进行隔离,防止内网资料外泄。
项目需求
水电站落成后,华东天荒坪抽水蓄能有限责任公司的内网建设也随之完成。在新的规划中,要求所有的办公室均需要开通外网,但是内网的建设却遇到了难题。现在的情况是,由于两地的办公室人员迅速增加,现有信息点的数量无法满足日益增多的办公人员的需求,如果利用交换机来扩充信息点,不利于管理而且容易造成网络瘫痪;同时,办公室已经装修完成,人员都已入驻办公,如果重新布线,势必影响到已有的装修和日常办公。
鉴于上述的实际情况,运用无线网络技术建设公司的外网系统无疑是一种非常好的解决方案。
此外,为了确保外网的安全性,华东天荒坪抽水蓄能有限责任公司要求客户端通过认证后才能上外网,并要绑定认证的用户名、密码、IP和MAC等信息,以防止盗用他人账号;禁止用户私设代理;并能使用多条外网链路,并可对用户的带宽流量等进行控制,能对P2P应用进行限制,保证外网畅通。
解决方案
华东天荒坪抽水蓄能有限责任公司对众多方案进行综合考量之后,最终选择D-Link公司为其实施无线网络解决方案。
在具体的实施中,考虑到管理、维护、安全、性能等综合因素,D-Link提供了无线交换机+瘦AP来组建华东天荒坪抽水蓄能有限责任公司的基本无线网络应用,结合用户的宽带有线接入设备,D-Link对无线接入点合理布局,实现了有效的无线网络覆盖。
此外,根据用户提出的网络认证需求,D-Link在核心交换机与防火墙之间架设一台认证计费网关作为无线接入用户的身份认证,并对网络整的出口流量做了优化,防止P2P程序对带宽造成影响。
针对网络的安全性,提供了一套整合了防火墙、负载均衡、容错能力、区域联防、内容过滤、IM/P2P应用控管、DoS防护及VPN远端安全连线功能的DFL-1600防火墙系统,它与D-Link交换机进行联动安全处理,将有效保障系统的安全性。
具体来说,整套方案应用了D-Link无线交换机DWS-3024、DWL-3500AP瘦AP、DSA-4000宽带接入网关、DRS-5000认证系统、DFL-1600防火墙来组建整个无线局域网,网络拓扑如下:
方案特点
在该无线方案中,D-Link结合用户的实际情况,灵活运用了无线技术,实现了高效、安全的快速接入,为保证用户高质量的办公环境提供了高效的无线网络环境。综合来看,D-Link所实施的方案具有以下突出特点:
DWL-3500AP和DWS-3024组建无线网络
DWS-3024是无线交换机,可以实现集中的AP管理、集中认证、简化的配置和应用、快速漫游等。除了在用户漫游时监视用户身份和维持他们的认证外,无线交换机还能配置和控制无线接入点的其他方面,包括RF信道和电源管理,无线流量分段,AP漫游和负载平衡,非法AP检测和AP访问安全。无线设备的应用简便并且不受物理位置的影响,对安全的无线移动性和策略的执行提供集中管理。
DFL-1600和D-Link交换机组建安全系统
D-LinkNetDefend防火墙DFL-1600提供高效能整合式的功能,包括防火墙、负载均衡、容错能力、区域联防、内容过滤、IM/P2P应用控管、DoS防护及VPN远端安全连线。DFL-1600防火墙支持ZoneDefense联动预警机制,可与D-Link交换机进行无缝整合,实现区域联动功能,如某台联网电脑出现病毒发包等恶意数据,在防火墙检测到后,可以对交换机进行联动处理,关闭出现问题的交换机端口,执行安全预警的工作或对受感染的电脑进行隔离来防止恶意数据流蔓延。D-Link交换机是属于2-4层的交换机,支持包过滤、安全控制、QOS、负载均衡、链路主备冗余连接等功能,可有效的控制病毒等恶意数据的扩散和保证链路的稳定性。
DSA-4000和DRS-5000组建认证系统
D-LinkDSA-400宽带接入网关,支持透明、路由、NAT等方式进行接入,使用Web认证方式,同时与D-LinkDRS-5000配合实现用户只需要一套帐号/密码,就可以接入网络和使用外网的共同认证。用户认证后才能正常访问网络,可实现非法用户不能上网,可限制用户的TCP连接数,控制用户的上网速率,限制用户的上下行带宽,禁止用户私设代理,限制用户使用P2P工具下载,支持ACL访问控制列表,可实现IP、ICMP、TCP/UDP的包过滤规则,禁止用户访问非法网站,同时也可防止病毒泛滥,堵塞出口带宽。
实施效果
方案实施后,华东天荒坪抽水蓄能有限责任公司负责人认为,D-Link提供的无线网络在实施中节省了用户大量的资源和时间,办公室的布局也更加的灵活。
在使用无线网络后,用户访问外网网络的速度有明显的改观。由于非认证用户无法使用外网,而且通过认证的用户无法通过代理等方式提供二级代理服务,有效的控制了使用外网的电脑数量,另外由于占用大量网络资源的P2P应用受到了限制,而且限制了每位用户使用的网络的上下行带宽,避免了某个用户占用大量网络资源的情况,使得网络带宽得到合理有效的利用。
此外,防火墙和交换机的区域联防功能有效的隔离了受感染的电脑,防止了恶意数据流的蔓延,杜绝了网络出口被病毒等恶意数据流堵塞的情况。
责任编辑:小草