项目布景和需求

　　浙江金固股分有限公司是一家专业从事汽车零部件研产出产的平易近营企业，今朝公司具丰年产700万套钢圈，50万套消声器的出产能力。现有员工1000余人，此中中高级工程手艺人员120余人。跟着公司范围扩大年夜，企业当前IT范围、架构已不克不及知足企业成长的需求。以下，是金固收集的架构(改革前)

　　标题问题阐发：

　　金固股分当前利用是一台路由器作为收集网关，因为机能不足，常常造成办公大年夜楼的收集间断，严重影响用户的收集体验;

　　跟着视频会议系统的上线，收集标题问题几次爆发。用户私接的无线路由器也常常造成IT困扰;

　　终端用户计较机程度参差不一，尝尝呈现“上彀中毒”的环境，经常困扰着IT;

　　办事器透露在收集中，安然性没法包管。

　　扶植方案

　　为了统一考虑防火墙与无线摆设，我们建议采取FortiGate-300C和FortiAP-220B产品来知足客户需求。具体拓扑以下：

　　在此次的设计方案中，采取一台FortiGate-300C和18台FortiAP-220B，此中别离虚拟出一个虚拟防火墙和一个虚拟节制器。此中虚拟防火墙放在收集出口，起到网关代办署理上彀、防病毒(UTM)等功能;别的一个虚拟节制器利用两个接口连接到三层互换机，节制FortiAP-220B，并启用LACP端口聚合，以知足大年夜流量的需求。

　　别的，无线利用两个SSID，别离为“Guest”和“JinGu”。此中“Guest”用于来访客户的移动PC、手持设备，并限制拜候内网，恰当的流量限制;“JinGu”用于内部员工的便携式电脑、手持设备，并设定白名单，限制接进。

　　如许的方案设计的优势在于以下两点：

　　1. 安然性高：

　　在本来的布局中，没有打算收集的接进架构。办事器、PC、无线都在不异的广播域，一旦一台设备呈现标题问题，将影响到全部收集;别的防火墙作为网关出口，防御来自外围的报复打击。采取了虚拟防火墙后，可以进行别离设置无线、有线的拜候策略。

　　2. 性价比高

　　利用一台FortiGate-300C，可以同时知足UTM防火墙、无线节制器、SSL VPN等多个功能，避免费用的反复投进。别的FortiGate-300C机能很高，知足企业3-5年的收集打算(成长办公人员500人)。

　　3. 无线漫游

　　FortiAP-220B利用漫游功能，利用户从一楼到九楼收集不会间断，进步收集的移动性。

　　FortiGate-300C和FortiAP220B建设申明

　　如上图所示，FortiGate-300C，利用Port1作为Internal接口，连接三层互换机，利用Port3作为External口接进百兆宽带，这两个口作为ROOT防火墙，代办署理内网上彀、利用UTM策略等;别的Port7、Port8作为无线节制器的接口，并将两个接口经由过程802.3ad和谈绑定，知足大年夜流量需求。如许便可以实现一个设备，多重用处。

　　别的FortiAP-220B别离摆设在九层楼，颠末现场测试后，计较出18台可以知足全部大年夜楼的无线漫游。

　　摆设了FortiGate-300C后，收集运行状况杰出，FortiGate-300C的CPU利用率在10%以下，同样成功反对了多次收集报复打击。

　　FortiAP-220B简单把持，更等闲安装，别的漫游功能强大年夜，收集根基上不会间断，客户十分知足。

　　产品描述

　　FortiGate-300C

　　FortiAP-220B