一、用户背景介绍

    浙江新东方外语培训学校是经浙江省教育厅批准、由浙江新东方出国服务有限公司独资组建的专业外语培训机构。学校以诚信、守法、高效、务实为办学原则，以出国语言培训为主，兼多语种实用语言培训和各类考试的考前培训。学校教学区位于环境优美的杭州新开发区滨江区，设有教师、学生公寓，教学环境舒适。新东方以其先进的办学理念、一流的教学管理，致力于为浙江留学海外的学子及商业人士提供专业的语言培训服务。为更好的对教学资源进行管理及扩大服务网络，新东方正寻求一种安全、高速的智能化的信息管理方式，希望能够借助高效的信息化管理，加速及更加轻松的管理教学资源。

二、用户需求分析

    根据新东方集团网络主管焉先生指出，浙江新东方学校教学区位于滨江区，设有教学办公、教师学生公寓、附属公司办公等多个功能区域，共有电脑350台左右。陆续将增设多个培训分点，以扩大培训服务网络。考虑学校现有情况及发展空间，如何有效整合教学信息资源，经反复商讨与研究后，该用户的相关需求总结如下：

    有效管控内网上网行为：很多学员在教学时间聊qq、msn等即时交流工具，通过bt等下载音乐电影，影响学习效率。这样也可能有意无意间会带来带宽被占用、网络访问速度降低等问题，更严重是可能随之而来的病毒、蠕虫和木马的威胁。因此，学校希望通过路由器对用户实行统一管理，最大限度地发挥网络的作用，可对局域网中的电脑上网进行适当管控，有效而可靠的管制内网用户使用特定软件。
 
　　防病毒攻击加强网络安全：学校的学员信息、教学资料等都具有高度机密性，为避免数据被窃取或侦听，造成学员不必要的麻烦及学校不可估计的损失，因此希望通过网络设备，在一定程度上抵挡来自内外网的各种网络攻击，特别是arp攻击，保证网络正常运行及数据信息安全。

    设备设定操作需快速容易：网络管理设置一般较复杂，不易上手，很多指令式的路由器给网管带来了困扰。因此，新东方学校希望设备的选择要考虑到管理和使用的便利性，具备直观的配置接口，最好还有简化的配置设计，能符合快速上手的标准，以节省不必要的时间浪费，减轻网管负担。

    需要具备一定的可扩展性：新东方现在正处于高速发展期，将增设多个培训分点。因此考虑到新东方培训服务网络扩张，为了预备未来快速成长，希望所选择网络具有vpn功能，且必须具备一定程度的扩展性，能满足未来3~5年或甚至更长时间的扩展需求。

三、组网方案介绍

    根据学校应用需求和多方厂家对比，新东方学校网络主管焉先生最终决定，委托多wan vpn防火墙厂商——侠诺科技，为新东方培训学校规划整体的vpn组网解决方案。其具体的组网架构拓朴与方案介绍如下：

    浙江新东方外语培训学校，合计教学、办公、宿舍所用电脑，大概有350多台计算机，10m的电信光纤单线接入。qvm1000下面接多个交换机分别接入教学、宿舍等不同区域的pc机，另有部分教学pc等使用无线路由接入。web/mail服务器连在qvm1000上，提供邮件服务及对外网站访问，展示公司形象。

    通过vlan功能划分为教学、办公、宿舍等不同的虚拟局域网，进行有效隔离，防止病毒等肆意传播。

四、方案特点介绍

    强效防火墙有效防病毒攻击：侠诺qvm1000安全路由器，具备主动式封包检测功能，只需单向启动各式黑客攻击、蠕虫病毒防护功能，即可简易完成配置，有效防止内外网恶意攻击，确保企业网络安全，减少网络受攻击带来的损失。近期arp病毒通过qq等传播盗号木马等，qvm1000自带的防止arp病毒攻击的功能，配合ip/mac绑定，对arp病毒攻击进行了有效防治。此外，qno侠诺考虑要绑定所有用户pc端的ip/mac有一定的难度，因此侠诺提供免费的arp自动绑定软件，工作人员可以有针对性的选择套用绑定程序，达到双向绑定的目的。

    qos带宽管理优化带宽使用：bt下载、在线视频点播等操作造成的带宽卡网问题，现在完全解决。qvm1000具备的侠诺二代多元qos带宽管理功能，支持一周七天、一天三个时段采取不同的带宽管理政策，管理者可根据不同的网络应用环境、时段，自由选择管控方式，达到带宽利用率最佳化的目的。该功能包含有传统qos带宽管控及智能smartqos管理，可根据联机数、关键字、最大或最小带宽等方式进行管控，也可启动动态智能管理，对于特殊的应用或用户进行特殊限制。这个功能并不禁止特定的应用，只是加以限制，从而更弹性的提供带宽服务。

    弹性ip管理方便内网管控：学校内部不同的区域有不同的网络使用需求，内网管理显得尤为重要。qvm1000支持ip群组管理功能，通过该功能让网管对内网管控更加简单。现在，只需要根据不同的ip地址，将学校内网分成教学、办公、宿舍等，然后针对性的进行访问控制设置。一键封qq、msn、skype简易管理功能，可分群组或分时段管制内部上网，防止过度下载等行为占用过大的带宽而影响到数据整合或重要业务项目，如设置晚上10点后学生公寓限制网络等。还能设定排除名单，特殊的人士照样可以使用，不受到影响，如boss高管等。

    虚拟局域网vlan：qvm1000支持vlan子网划分，网管可将不同网段的用户完成分开，各个虚拟局域网广播包互不相通，限制病毒与无用信息流通，可提高网络效能、增加网络防护能力及安全性，网络结构更灵活、方便。对网络进行vlan的划分以后，可使各部分网络独立运行，将潜在的安全威胁性降到最小，可避免因不正常封包或病毒传播，而影响整个局域网的情形。

    简易又方便的系统管理：qvm1000全中文化配置及管理界面，所有设定参数与网络状态清楚明确、简单易懂，轻松完成网络设置。此外，qvm1000还支持强大的系统日志功能，可通过对日志管理和查找，即时监控系统状态及内外流量，进而作对应的配置，确保内网运作无误。