資源描述:
《某學(xué)校網(wǎng)絡(luò)優(yōu)化改造方案.doc》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1、XX學(xué)校網(wǎng)絡(luò)優(yōu)化改造方案方案設(shè)計:XXX網(wǎng)絡(luò)公司設(shè)計部門:XXXXXXXX中心設(shè)計時間:2016年4月一、優(yōu)化改造目的隨著互聯(lián)網(wǎng)的飛速發(fā)展和電視、電腦、手機、平板應(yīng)用的發(fā)展普及,互聯(lián)網(wǎng)已進入一個新時代,在這個網(wǎng)絡(luò)辦公時代,互聯(lián)網(wǎng)已成為網(wǎng)絡(luò)審批、網(wǎng)絡(luò)辦公、信息傳遞不可缺少的一個通道。教育信息化也成為未來教育的一個重要途徑。與此同時,隨著高速帶寬網(wǎng)絡(luò)的接入,學(xué)校網(wǎng)絡(luò)的安全問題凸顯。為保證學(xué)校網(wǎng)絡(luò)的穩(wěn)定可靠,創(chuàng)建學(xué)校的安全網(wǎng)絡(luò)環(huán)境,根據(jù)學(xué)校具體情況提出優(yōu)化改造方案二、現(xiàn)網(wǎng)存在問題1、學(xué)校網(wǎng)絡(luò)接入存在瓶
2、頸,網(wǎng)絡(luò)出口帶寬無法突破100M限制?,F(xiàn)有網(wǎng)絡(luò)使用光電轉(zhuǎn)換器(佳訊數(shù)碼)接入,因光電轉(zhuǎn)換器存在100M帶寬限制,對超過100M的帶寬接入無法實現(xiàn)。綜合考慮后期網(wǎng)絡(luò)帶寬擴容和網(wǎng)絡(luò)IP帶寬的充分使用,應(yīng)通過新的接入方式解除網(wǎng)絡(luò)帶寬瓶頸。2、學(xué)校設(shè)備陳舊,無法滿足網(wǎng)絡(luò)需求。根據(jù)電信技術(shù)人員對現(xiàn)場設(shè)備的檢查和網(wǎng)絡(luò)結(jié)構(gòu)的分析,現(xiàn)有網(wǎng)絡(luò)設(shè)備多數(shù)為無管理、無VLAN劃分、無QoS保障、無速率限制、無ARP攻擊防范等功能設(shè)備,所有計算機和監(jiān)控設(shè)備之間無隔離,設(shè)備之間無分級設(shè)置,在整個局域網(wǎng)為一個共有的廣播域,單
3、臺主機對網(wǎng)絡(luò)影響很大。3、學(xué)校樓層交換機管理權(quán)限功能受局部限制,學(xué)校所有路由和交換功能都由路由器承擔(dān),路由器負荷較重且路由設(shè)備陳舊,性能無法滿足要求,尤其是學(xué)校無線設(shè)備的增加更無法管理和控制。4、學(xué)校網(wǎng)絡(luò)存在路由層環(huán)路現(xiàn)象。電信接入先到TP-link交換機,通過交換機連接方正防火墻,再傳到核心交換機上,核心交器上雖有VLAN劃分但沒有管理用戶設(shè)置,導(dǎo)致防火墻管理出現(xiàn)瓶頸,造成網(wǎng)速慢,連網(wǎng)頁都是無法打開。100M光纖沒有體現(xiàn)出來。5、根據(jù)現(xiàn)場了解,學(xué)校網(wǎng)絡(luò)接入層監(jiān)控視頻流較大,占用接入層網(wǎng)絡(luò)約50
4、M帶寬,現(xiàn)網(wǎng)接入層為100M互聯(lián),存在瓶頸,無法滿足學(xué)校局域網(wǎng)使用要求。三、優(yōu)化改造方案1、改造學(xué)校互聯(lián)網(wǎng)接入出口為100M模式,解決學(xué)校出口瓶頸。2、學(xué)校增加用戶管理路由器,采用用戶撥號模式。3、更換電信接入設(shè)備,電信接入層增加防火墻進行防護,確保服務(wù)器免受攻擊。4、改造接入連接方式,在學(xué)??倷C房增加核心交換機,通過局域網(wǎng)網(wǎng)關(guān)下移至交換層,減輕局域網(wǎng)轉(zhuǎn)發(fā)對路由器和防火墻的壓力。5、更換接入層交換機(現(xiàn)有交換機最高100M),將所有交換機之間的互聯(lián)改為100M,解除100M帶寬局限。6、通過VL
5、AN劃分將學(xué)校網(wǎng)絡(luò)劃分為服務(wù)器區(qū)域、辦公區(qū)域、教學(xué)區(qū)域、視頻監(jiān)控區(qū)域四大區(qū)域,減少沖突域、增加廣播域,減少區(qū)域之間的相互影響。通過以上改造,實現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的層次化和區(qū)域化,規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)如下:運營商100M防火墻100M核心交換機(VLAN1——4)辦公樓樓交換機電腦室接入核心家屬樓接入核心教學(xué)樓接入核心PCPC電腦室2電腦室1PCPCPCPCPC交換3交換2交換1電腦室3(網(wǎng)絡(luò)結(jié)構(gòu)圖)四、優(yōu)化改造設(shè)備介紹1、防火墻:NS-F1000-E-SI-SCB-ACl整機三層及應(yīng)用層吞吐量≥4Gbpsl最大
6、TCP并發(fā)連接數(shù)≥100萬、每秒新建連接數(shù)CPS≥6萬l主機含交流主機/雙電源l12個千兆口,所有端口可光可電lCPU:RMIXLS416*1l內(nèi)存:DRAM4G*1l包過濾、基礎(chǔ)和擴展的訪問控制列表、基于接口的訪問控制列表、基于時間段的訪問控制列表、基于面向?qū)ο蟮脑L問控制列表、動態(tài)包過濾lASPF應(yīng)用層報文過濾應(yīng)用層協(xié)議:IM(QQ、MSN)FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245,RTP/RTCP);傳輸層協(xié)議:TCP、UDPl抗攻擊特性Land、Smurf、
7、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing、CC、SYNFlood、ICMPFlood、UDPFlood、DNSQueryFloodARP欺騙攻擊防范、ARP主動反向查詢、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范地址/端口掃描的防范DoS/DDoS攻擊防范TCPProxy功能ICMP重定向或不可達報文控制功能Tracert報文控制功能帶路由記錄選項IP報文控制功能靜態(tài)和動態(tài)黑名單功能MAC和IP綁定功能透明防火墻基于MAC的訪問
8、控制列表支持802.1qVLAN透傳糾錯2、中心核心交換:邁普SM4320-28FC-ACl24個SFP光口l12個10/100/1000Base-T電接口l兩個擴展插槽,可以擴展千兆/萬兆端口l雙交流電源l整機交換機容量:360GbpslIPv4包轉(zhuǎn)發(fā)率:215Mppsl支持MAC地址學(xué)習(xí)數(shù)目限制;靜態(tài)MAC配置;黑洞MACl支持基于端口、MAC、協(xié)議、IP子網(wǎng)的VLAN,支持VLANMapping、支持VoiceVLAN、支持GVRP。l標準IPACL、擴展IPACL、標準MACACL、IP