客户背景

　　慈溪汇丽机电有限公司地处中国浙江省，坐落于美丽的杭州湾之滨，毗邻两大著名国际港口城市——上海和宁波，享有优越的经济和技术条件，交通运输十分便利。汇丽公司是一家中型私营企业，主要从事生产和加工各类灰铸铁、球墨铸铁铸件，以及ＮＡＭＥ标准三相和单相高效电动机。公司内各类铸造、加工、检验和测试设备齐全，拥有众多高级技术和管理人才，具有自主开发、设计、生产和检测的雄厚实力。电动机产品已经通过UL和CSA等国际安全认证， 以及美国能源部高效节能CC认证。年出口额达3个多亿。

　　网络状况

　　汇丽机电办公大楼是整个集团公司的核心。楼宇布局共分为：1、2层行政部门；3层海外发展部和总经办；4层为集团信息部和市场部门。对于这样庞大、重要的机构，办公大楼各个楼层的隔离与共享，办公电脑的深层次管理和规划；保证其网络系统的稳定性，服务连续性，即时进行系统的监控，历史数据的整理，即时发现问题并解决问题是非常重要的。

　　在汇丽发展的同时，对为集团公司提供信息化服务的网络系统的要求随之增强。汇丽集团原先使用的是接入设备，在延续往日使用中，发现其已不能适应现今发展的需求，网络系统的服务连续性已经收到严重遏制，对当今网络中最为重要的安全性已经无法做到全方位的掌控。

　　为此，汇丽机电开始着手考虑整体网络架构的改造。

　　方案规划

　　艾泰科技在新的网络规划当中给汇丽机电推荐并使用了HiPER 4520VF VPN安全网关，对各个楼宇之间划分VLAN，并通过MAC绑定做好对各个PC的深层次控管，在原有网络寄出至上进行合理的优化。为客户实现下列需求：

　　1、提供线速转发的高吞吐量；

　　2、提供2个WAN口，可以实现ADSL、光纤等方式的自由组合。具备实时备份功能，能实现多线路带宽合并，可根据源或目的地址指定优先线路，还可依据出口带宽分配流量，使线路利用率达最高；

　　3、提供基于CBQ（Class-Based Queuing）算法的IP QoS功能，CBQ算法的特点是首先根据IP地址、协议、端口等信息对数据流进行分类，然后针对不同类别的数据流进行带宽控制；

　　4、防火墙策略可以实施到任何一个接口上。可防止入侵，防止DoS和DDoS攻击；可判别蠕虫病毒攻击，防止端口扫描、SYN攻击、ICMP Flooding等。

　　可以灵活地对内网用户进行分组，根据不同的用户组设定上网权限：支持按时间段实现包过滤和应用层过滤的技术。包过滤可根据数据包中的源/目的IP地址、协议、端口、源/目的MAC地址等信息进行过滤；应用层过滤可根据URL和关键字进行过滤。

　　对于简单上网限制，HiPER还提供了设置上网黑名单和白名单的功能；

　　5、提供友好的全中文WEB界面，直观易用、功能丰富；同时还提供传统的CLI界面，功能更丰富，支持Console、Telnet等多种管理方式；并且，两种方式下均支持通过Internet进行简便、安全的远程管理。

　　动态监控和管理内网中各主机的上网行为，实时发现异常主机，如感染病毒或发起攻击的主机。

　　提供标准的SNMP接口，可供远程SNMP服务器管理；提供系统日志功能，可通过远程SYSLOG服务器记录；

　　6、具备IPSec、L2TP/PPTP等VPN功能，它们可结合使用。允许L2TP/PPTP/IPSec ESP透明通过，支持客户端或服务器工作模式，支持使用动态地址构建VPN隧道，可实现网关到网关的连接和移动用户的接入。支持多达500条IPSec隧道和128条L2TP/PPTP隧道。

　　网络拓扑

　　

　　使用效果

　　在使用了艾泰HiPER4520VF VPN安全网关作为VPN宽带接入设备以后，汇丽集团的网络系统重新运行良好，大大增强数据传输的安全性能，整体网络的安全性能。而且可轻松实现了对各楼层PC的分层管理，使工作效率得到很大提升。