根據(jù)成都卷煙廠的情況，我們設(shè)計出了一套以安奈特產(chǎn)品為主的網(wǎng)絡(luò)解決方案。

由上圖可見，安奈特的解決方案仍將整個網(wǎng)絡(luò)按照核心層、匯聚層和接入層的結(jié)構(gòu)來劃分設(shè)計。

核心層

在核心層，采用安奈特高性能模塊化的多層交換機AT-SB4008。AT-SB4000系列交換機提供強大的線速交換性能，在所有類型的端口上無阻塞的轉(zhuǎn)發(fā)各種不同長度的L2，L3數(shù)據(jù)。

本方案配置的核心交換機AT-SB4008采用分布式三層交換技術(shù)實現(xiàn)的全線速無阻塞的數(shù)據(jù)交換和轉(zhuǎn)發(fā)。安奈特AT-SB4000系列交換機的所有線卡均具備完全三層交換功能，并且隨時與交換控制引擎的三層交換信息保持同步。

由于每塊線卡均內(nèi)置有三層包轉(zhuǎn)發(fā)的功能，所以不同VLAN之間的路由就可以完全由各個線卡完成，而不需要每次三層數(shù)據(jù)轉(zhuǎn)發(fā)都去查詢交換引擎，從而可以大大地減少交換控制引擎的負(fù)擔(dān)。和傳統(tǒng)的集中式三層交換技術(shù)相比，采用分布式三層交換具有更好的可擴展能力，因為整個交換機的三層交換性能不隨著線卡的增加而減低。

安奈特的交換機更采用了基于硬件ASIC的三層交換，以保證全線速的包轉(zhuǎn)發(fā)。所以安奈特AT-4008實際上是在滿配置（插滿所有的8口千兆線卡）時，仍能提供100%無阻塞率。這對于需要大量數(shù)據(jù)交換和承載多媒體業(yè)務(wù)的成都卷煙廠企業(yè)，尤顯重要。

考慮到整個局域網(wǎng)的中心交換能力和足夠的穩(wěn)定可靠性，我們建議AT-SB4008采用雙交換控制引擎。雙交換控制引擎可以保證在主引擎故障時，slave引擎可以迅速接管主引擎的所有數(shù)據(jù)和工作，防止由于核心網(wǎng)絡(luò)故障而引起整個網(wǎng)絡(luò)的全面癱瘓。對于供電的可靠性，安奈特也同樣重視，我們推薦給成都卷煙廠的AT4008核心交換機支持2+1的交流電源備份。安奈特的方案也正是通過以上諸多措施來保證本網(wǎng)絡(luò)最大可能地避免出現(xiàn)單點故障。

采用安奈特的AT-SB4008的好處還在于AT-SB4000系列交換機提供市場領(lǐng)先的QoS機制，精細(xì)的控制能力，幫助用戶實現(xiàn)從物理層到第4層以上的帶寬流量控制，128級流量分類，以64k為增量的最大/最小帶寬保障，讓用戶可以靈活的部署基于策略和服務(wù)品質(zhì)協(xié)議(Service Level Agreements)的Qos流量治理，AT-SB4000在高速，靈活，基于硬件交換的平臺上，結(jié)合IEEE 802.1Q/p ，DiffServ，Rsvp等協(xié)議，實現(xiàn)了強大的QoS控制功能。當(dāng)前各個行業(yè)的用戶基于自身的應(yīng)用對網(wǎng)絡(luò)平臺有著不同的需求，例如：成都卷煙廠希望能在同一個網(wǎng)絡(luò)平臺上區(qū)分普通數(shù)據(jù)和多媒體業(yè)務(wù)的不同應(yīng)用數(shù)據(jù)流，提供相應(yīng)的帶寬保障策略，并部署多個各自獨立的組播組。 AT-SB4000系列交換機正是根據(jù)用戶對流量控制的不同期望而設(shè)計，可以真正提供給成都卷煙廠一套能支撐多業(yè)務(wù)數(shù)據(jù)平臺的網(wǎng)絡(luò)，并能保證服務(wù)質(zhì)量。

接入層

接入層網(wǎng)絡(luò)和核心層之間采用千兆光纖上連到AT-SB4008核心交換機上，交換機分別為AT-8024GB或者AT-8350GB。

接入層采用AT-8024連接到桌面。對于用戶比較多，AT-8024端口數(shù)不夠的，安奈特的增強型堆疊技術(shù)可以解決這個問題，并且可以大大地減少網(wǎng)絡(luò)治理的任務(wù)。首先，增強型堆疊可以擴展配線間交換機的端口數(shù)，以滿足成都卷煙廠某些科室/部門高端口數(shù)的需求；同時，通過堆疊的兩個或者多個交換機形成一個邏輯的交換機。這樣的好處在于：

堆疊可以簡化網(wǎng)絡(luò)的治理。堆疊在一起的所有交換機從網(wǎng)絡(luò)治理的角度來看，是一個治理單元，而不是多個的治理單元；

堆疊可以讓你僅僅通過一個治理會話（management session）實現(xiàn)對多個交換機的治理。您可以通過對主交換機的治理會話來實現(xiàn)對處在同一個堆疊的所有交換機的治理；

堆疊可以節(jié)省ip地址空間，因為所有處在同一個堆疊的交換機只需要分配一個IP地址就可以實現(xiàn)網(wǎng)絡(luò)治理；

安奈特的增強型堆疊可以讓交換機更加靈活地布置在網(wǎng)絡(luò)當(dāng)中的任意地方，從而擺脫物理線纜長度的束縛，使網(wǎng)絡(luò)設(shè)計和規(guī)劃更加靈活。Internet接入

Internet的接入配置一臺AR-745模塊化路由器，連接ISP的線路使用DDN專線。

在成都卷煙廠的網(wǎng)絡(luò)接入Internet的同時，假如沒有專業(yè)的防火墻，也將來自Internet上的惡意網(wǎng)絡(luò)攻擊引入了內(nèi)部的網(wǎng)絡(luò)。為了防止網(wǎng)絡(luò)攻擊，通常的做法是購買基于Unix的軟件防火墻（如Check Point）或者一臺專門的防火墻設(shè)備(如Cisco PIX系列)。基于軟件的防火墻通常配置比較復(fù)雜，而且性能不是很高；專門的防火墻設(shè)備則成本較高。安奈特公司的AR745路由器內(nèi)置的防火墻則為用戶提供了新的解決方案，在實現(xiàn)安全措施的同時，還同時為企業(yè)節(jié)省了一大筆開支。

AR745路由器內(nèi)置有基于狀態(tài)檢測的防火墻功能。安奈特公司AT-AR700系列路由器的基于狀態(tài)檢測防火墻通過了ICSA認(rèn)證，通過對數(shù)據(jù)包內(nèi)容的檢測和連接狀態(tài)的檢測，可以為內(nèi)網(wǎng)提供有效的保護。它可以提供比較廣泛的防DoS攻擊，包括：死亡之Ping、 SYN/FIN泛洪、Smurf攻擊、端口掃描、碎片攻擊和IP欺騙。當(dāng)一旦受到攻擊后，路由器可以自動通過E-mail報警。AT-AR700系列路由器還提供事件觸發(fā)，防火墻事件日志和信息統(tǒng)計，最終將生成一個全面的安全日志。兩個內(nèi)置的10/100Mbps以太網(wǎng)端口可以劃分為內(nèi)網(wǎng)和外網(wǎng)，加入 10Mbps的以太網(wǎng)模塊后，可以建立DMZ區(qū)。

安奈特的基于狀態(tài)檢測的防火墻是用以替代傳統(tǒng)的靜態(tài)防火墻的；

狀態(tài)檢測防火墻是根據(jù)數(shù)據(jù)流動態(tài)地設(shè)立過濾原則；

只有授權(quán)的用戶才可以通過防火墻；

端口數(shù)的開放是根據(jù)需要而開放，并且一旦需要終止時，防火墻會立即關(guān)閉掉該端口；

所有沒有特定指出的用戶均被過濾掉。

遠(yuǎn)程用戶接入xt>遠(yuǎn)程用戶接入，安奈特有兩種解決方案：PSTN撥號接入，L2TP接入。

PSTN接入

采用PSTN接入，則需要在路由器AR745上加裝8端口的異步接口，另外再外接MODEM池，通過普通的MODEM實現(xiàn)和PSTN的連接。遠(yuǎn)端用戶或者出差在外的用戶則需要撥號到公司，利用PSTN實現(xiàn)遠(yuǎn)程接入。

AT-AR700系列路由器提供了更高性價比，綜合多業(yè)務(wù)的路由器平臺，專門為大、中型企業(yè)，分支辦公機構(gòu)設(shè)計。這些企業(yè)都需要較高靈活性，治理性，可擴展性以及較高性能的邊緣接入路由器。AT-AR700系列路由器可以提供出色的路由功能，VPN功能以及防火墻服務(wù)，符合IETF的IPSec和ISAKMP標(biāo)準(zhǔn)，獲得了ICSA認(rèn)證。

綜上所述，本方案將全部采用通行國際網(wǎng)絡(luò)協(xié)議和標(biāo)準(zhǔn)，可以保證成都卷煙廠的網(wǎng)絡(luò)做到不同廠商的設(shè)備之間仍然能夠相互兼容，最大限度保護以往的投資。