1.网络改造方案.doc

网络改造方案一、 现状和目的网络的当前状况是所有的电脑（包括宿舍）都通过100Mbps的网线接入2台一层交换机组建成一个局域网，再通过水星路由器的共享方式上网，由于面对业务发展网络化越来越强的趋势，虽然建立了相应的上网行为管理制度，但宿舍区存在利用迅雷、BT等P2P下载电影之类的大型文件，此举不仅占用了大量带宽，造成了整个内部网络的堵塞，特别是在工作日上班时间，更是严重影响了正常业务的运作。而且在共享局域网内如果有中了ARP病毒的电脑，会使原来已经堵塞的网络更加雪上加霜。因此这次网络改造主要是通过智能路由器或者智能网桥对网络进行流量控制，以此避免网络堵塞而影响正常工作。二、 解决方案根据实际情况，提供了2个方案，方案一是通过智能路由器对现有共享网络进行带宽控制，方案二是在原有网络架构上再加一台智能网桥对各上网用户行为进行控制。下面详细说明2个方案的如何实施、优缺点和所需投入预算。(一) 方案一由于原来的网络架构中使用的交换机都是没有智能管理功能，所有电脑都是直连到路由器通过地址转换上网，共享使用80Mbps光纤带宽，因此建议使用企业级路由器H3C ER6300更换原来没有流量控制的水星路由器。1、 产品特点ER6300是H3C公司推出的一款高性能全千兆企业级路由器，它主要定位于以太网/光纤接入的政府、企业机构等网络环境。ER6300采用专业的64位双核网络处理器，并且支持丰富的软件特性，如多WAN接入、流量均衡、线路备份、防ARP攻击、流量限速、游戏报文优先、策略路由、网络流量监控等功能。双WAN口负载均衡ER6300提供2个10/100/1000BASE-T以太网WAN接口，同时提供3个10/100/1000BASE-T以太网LAN接口，方便扩展光纤接入线路，并实现双WAN口负载均衡，可根据线路实际带宽分配网络流量，达到充分利用带宽的目的。内置高性能防火墙ER6300内置高性能防火墙，除了支持普遍的访问控制和状态防火墙之外，还提供了丰富的防攻击和安全日志功能，有效地保证网络的安全性，解决路由器可能经常受到扫描和攻击的难题。ER6300提供多种攻击防范技术，包括针对Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗攻击的防范等等。可以防范大多数网络上存在的攻击。网络流量监控ER6300提供内网流量的实时监控和排序功能，同时提供多种安全日志，包括内外网攻击实时日志、地址绑定日志、流量告警日志和会话日志，供网管员实时监控网络运行状态和安全状态。ARP病毒双重防护ER6300通过IPMAC地址绑定功能，固定了网关的ARP列表，可以有效防止ARP欺骗引起的内网通讯中断；此外ER6300毫秒级的免费ARP的定时发送机制，可以有效地避免局域网PC中毒后引发的ARP攻击。网络流量限速BT，迅雷等P2P软件对网络带宽的过度占用会影响到网内其他用户的正常业务，ER6300通过基于IP或基于NAT表项的网络流量限速机制可以有效地控制单台PC的上/下行流量和建立的NAT表项的个数，限制了P2P软件对网络带宽的过度占用。2、 具体实施说明根据上述的产品特点，我们可以对现有网络进行重新规划。在“路由拓扑图”中，虽然边缘交换机接入电脑形式多样，但我们可以不使用DHCP功能，改为手动分配。为每个科室的电脑分配一个IP，然后再根据实际业务工作所需的带宽分配各IP的流量。然后对每个分配的IP进行MAC地址绑定，固定网关的ARP列表，不仅能有效防止ARP病毒的攻击，而且也能杜绝一些用户占用已分配好的IP。开启流量监控，对局域网内的电脑进行监控，发现有异常流量或者大量NAT连接数的，针对此电脑IP实施NAT表项的个数限制，达到限制P2P软件过度占用网络带宽的效果。3、 不足之处最多能负载300台电脑，不过以现在的网络情况，足以应付。非模块化的路由器，不便于以后LAN口的扩展，ER6300只有3个LAN，由于只是针对IP限制流量，故可以通过边缘交换机串联再链接至路由器，即可不需要那么多LAN口，也可以减少相应预算。(二) 方案二此方案是在原有的网络架构的路由器与光端收发器之间加装一台网桥主机，不分配IP，只做网络流控，避免外网攻击网桥主机。网桥主机建议使用联想的扬天或启天系列主机，国内大品牌能保证质量及售后维护，至于配置可选最便宜。主要部分是网卡的选择，建议使用型号为Intel(R) PRO/1000 MT Server的网卡。1、 软件特点Active Wall是一款专业的网络监控管理软件，支持网关、网桥、旁路、转发、单机等多种监控模式，支持VLAN和跨网段监控，适合任何网络结构。无需客户端，只要在一台电脑上安装即可过滤控制局域网内部所有电脑的上网行为。它能有效监视、控制和记录内部电脑在互联网上的活动，实时记录局域网内计算机所有收发的邮件、浏览的网页以及FTP上传下载的文件，监视和管理网内用户的聊天行为，控制网内用户访问指定网络资源或网络协议。主要功能有：网络身份验证、时段过滤、端口过滤、流量控制、实时流量显示、MAC地址过滤、IP地址过滤、DNS过滤、HTTP过滤、HTTPS过滤、SMTP过滤、POP3过滤、FTP过滤、P2P过滤、即时聊天过滤、代理转发、日志文件输出、告警邮件通知、告警消息通知、日志数据库输出。2、 具体实施说明根据“网桥拓扑图”主要的配置在Active Wall里，首先按照