某学校网络优化改造方案.doc

此文档收集于网络，如有侵权，请联系网站删除XXXXXXXXX学校 网络优化改造方案 方案设计：XXX网络公司 设计部门：XXXXXXXX中心 设计时间： 一、优化改造目的随着互联网的飞速发展和电视、电脑、手机、平板应用的发展普及，互联网已进入一个新时代，在这个网络办公时代，互联网已成为网络审批、网络办公、信息传递不可缺少的一个通道。教育信息化也成为未来教育的一个重要途径。与此同时，随着高速带宽网络的接入，学校网络的安全问题凸显。为保证学校网络的稳定可靠，创建学校的安全网络环境，根据学校具体情况提出优化改造方案二、现网存在问题1、学校网络接入存在瓶颈，网络出口带宽无法突破100M限制。现有网络使用光电转换器（佳讯数码）接入，因光电转换器存在100M带宽限制，对超过100M的带宽接入无法实现。综合考虑后期网络带宽扩容和网络IP带宽的充分使用，应通过新的接入方式解除网络带宽瓶颈。2、学校设备陈旧，无法满足网络需求。根据电信技术人员对现场设备的检查和网络结构的分析，现有网络设备多数为无管理、无VLAN划分、无QoS保障、无速率限制、无ARP攻击防范等功能设备，所有计算机和监控设备之间无隔离，设备之间无分级设置，在整个局域网为一个共有的广播域，单台主机对网络影响很大。3、学校网络无核心交换层。学校所有路由和交换功能都由路由器承担，路由器负荷较重且路由设备陈旧，性能无法满足要求。4、学校网络存在路由层环路现象。电信接入先到TP-link1024D交换机，通过交换机连接路由器，再通过路由器返回交换机，而该交换机为无VLAN划分交换机，导致在此接入中存在环路，以此引起局域网所有计算机MAC地址等信息全部暴露至接入互联网，对网络安全存在很大隐患。5、学校举办网站等服务器没有硬件防火墙防护，对学校的信息安全存在很大威胁。在2015年2月份工信部安全扫描中发现学校网络遭受黑客攻击，成为僵尸木马被控端，黑客可通过控制服务器进行信息窃取、发布网络不法信息和对其他网络进行攻击，扫描报告大概情况如下表：被控端IP被控端地区本端IP本端端口日期&时间05中国香港5202015/2/17 20:4082澳大利亚5202015/2/17 21:1882澳大利亚5202015/2/17 21:1882澳大利亚5202015/2/17 20:4182澳大利亚5202015/2/17 21:418美国5202015/2/17 20:494越南5202015/2/17 20:4006巴西5202015/2/17 20:4034越南5202015/2/17 20:4086巴西5202015/2/17 20:4040西班牙5202015/2/17 20:450美国5202015/2/17 20:408美国5202015/2/17 20:43 6、根据现场了解，学校网络接入层监控视频流较大，占用接入层网络约50M带宽，现网接入层为100M互联，存在瓶颈，无法满足学校局域网使用要求。三、优化改造方案1、改造学校互联网接入出口为1000M模式，解决学校出口瓶颈。2、更换学校路由器（现有H3C设备做为备用，无需增加）作为备用。3、在电信接入层增加防火墙进行防护，确保服务器免受攻击。4、改造接入连接方式，在学校总机房增加核心交换机，通过局域网网关下移至交换层，减轻局域网转发对路由器和防火墙的压力。5、更换接入层交换机（现有交换机最高100M），将所有交换机之间的互联改为1000M，解除100M带宽局限。6、在网络使用量大的教学楼增加一台核心接入交换机（24口），解决学校网络拥塞。7、通过VLAN划分将学校网络划分为服务器区域、办公区域、教学区域、视频监控区域四大区域，减少冲突域、增加广播域，减少区域之间的相互影响。通过以上改造，实现网络结构的层次化和区域化，规划网络结构如下：运营商1000M防火墙1000M核心交换机（VLAN14）办公楼楼交换机办公楼交换机办公楼交换机宿舍楼交换机门房交换机教学楼接入核心PCPCPCPCPCPCPCPC监控交换3交换2交换1 （网络结构图） 四、优化改造设备介绍1、防火墙：NS-F1000-E-SI-SCB-ACl 整机三层及应用层吞吐量4Gbpsl 最大TCP并发连接数100万、每秒新建连接数CPS6万l 主机含交流主机/双电源l 12个千兆口，所有端口可光可电l CPU：RMIXLS416*1l 内存：DRAM 4G*1l 包过滤、基础和扩展的访问控制列表、基于接口的访问控制列表、基于时间段的访问控制列表、基于面向对象的访问控制列表、动态包过滤l ASPF应用层报文过滤应用层协议：IM（QQ、MSN）FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245，RTP/RTCP）；传输层协议：TCP、UDPl 抗攻击特性Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query FloodARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范地址/端口扫描的防范DoS/DDoS攻击防范TCP Proxy 功能ICMP重定向或不可达报文控制功能Tracert报文控制功能带路由记录选项IP报文控制功能静态和动态黑名单功能MAC和IP绑定功能透明防火墙基于MAC的访问控制列表支持802.1q VLAN 透传 纠错2、中心核心交换：迈普SM4320-28FC-ACl 24个SFP光口l 12个10/100/1000Base-T电接口l 两个扩展插槽，可以扩展千兆/万兆端口l 双交流电源l 整机交换机容量：360Gbpsl IPv4包转发率：215Mppsl 支持MAC地址学习数目限制；静态MAC配置；黑洞MACl 支持基于端口、MAC、协议、IP子网的VLAN，支持VLAN Mapping、支持Voice VLAN、支持GVRP。l 标准IP ACL、扩展IP ACL、标准MAC ACL、IPv6 ACL、自反ACL、高级ACL。l ICMP Flood拦截、Smurf攻击拦截、Fraggle攻击拦截、LAND攻击拦截、SYN Flood攻击拦截l 基于端口、MAC地址、IP地址、IP优先级、DSCP优先级、TCP/UDP端口号、协议类型等3、接入核心交换机（教学楼）：SM3320-28TP-ACl 24个10/100/1000Base-T电接口l 4个SFP光口（支持百兆、千兆模式）l POE支持802.3 af、atl 两个扩展插槽l 双交流电源4、接入交换机（中心机房）：SM3120-28TC-ACl 24个100Base-T电接口l 2个千兆电接口l 2个SFP光口（支持百兆、千兆模式）l 2个SFP光口l 完善的安全管理、QoS、组播等功能l 支持QinQ、VLAN Mapping功能，为行业用户的多业务隔离，业务提供灵活的解决方案等l 提供SHELL、TELNET、WEB、SNMP、集群管理、第三方软件等网管支持5、接入交换机：SM3120-20TC-ACl 16个10/100Base-T电接口l 2个千兆电接口l 2个SFP光口（支持百兆、千兆模式）l 2个SFP光口l 完善的安全管理、QoS、组播等功能l 支持QinQ、VLAN Mapping功能，为行业用户的多业务隔离，业务提供灵活的解决方案等l 提供SHELL、TELNET、WEB、SNMP、集群管理、第三方软件等网管支持五、设备报价按照网络优化改造方案，采购网络设备均按照网络查询价格报价，实际采购价格与网络价格相差不大，具体清单如下：设备类型设备型号单价数量小计备注防火墙NS-F1000-E-SI-SCB-AC1中心核心交换SM4320-28FC-AC1