資源描述:
《某學校網(wǎng)絡優(yōu)化改造方案.doc》由會員上傳分享,免費在線閱讀��,更多相關內(nèi)容在工程資料-天天文庫�。
1、XX學校網(wǎng)絡優(yōu)化改造方案方案設計:XXX網(wǎng)絡公司設計部門:XXXXXXXX中心設計時間:2016年4月一����、優(yōu)化改造目的隨著互聯(lián)網(wǎng)的飛速發(fā)展和電視、電腦�����、手機�����、平板應用的發(fā)展普及���,互聯(lián)網(wǎng)已進入一個新時代�����,在這個網(wǎng)絡辦公時代����,互聯(lián)網(wǎng)已成為網(wǎng)絡審批�����、網(wǎng)絡辦公��、信息傳遞不可缺少的一個通道��。教育信息化也成為未來教育的一個重要途徑���。與此同時�����,隨著高速帶寬網(wǎng)絡的接入�,學校網(wǎng)絡的安全問題凸顯。為保證學校網(wǎng)絡的穩(wěn)定可靠��,創(chuàng)建學校的安全網(wǎng)絡環(huán)境�,根據(jù)學校具體情況提出優(yōu)化改造方案二、現(xiàn)網(wǎng)存在問題1�、學校網(wǎng)絡接入存在瓶
2、頸�����,網(wǎng)絡出口帶寬無法突破100M限制?����,F(xiàn)有網(wǎng)絡使用光電轉換器(佳訊數(shù)碼)接入�����,因光電轉換器存在100M帶寬限制�����,對超過100M的帶寬接入無法實現(xiàn)。綜合考慮后期網(wǎng)絡帶寬擴容和網(wǎng)絡IP帶寬的充分使用��,應通過新的接入方式解除網(wǎng)絡帶寬瓶頸����。2����、學校設備陳舊,無法滿足網(wǎng)絡需求�����。根據(jù)電信技術人員對現(xiàn)場設備的檢查和網(wǎng)絡結構的分析�����,現(xiàn)有網(wǎng)絡設備多數(shù)為無管理��、無VLAN劃分��、無QoS保障��、無速率限制���、無ARP攻擊防范等功能設備��,所有計算機和監(jiān)控設備之間無隔離�,設備之間無分級設置,在整個局域網(wǎng)為一個共有的廣播域����,單
3、臺主機對網(wǎng)絡影響很大�。3、學校樓層交換機管理權限功能受局部限制��,學校所有路由和交換功能都由路由器承擔�,路由器負荷較重且路由設備陳舊,性能無法滿足要求�����,尤其是學校無線設備的增加更無法管理和控制��。4�����、學校網(wǎng)絡存在路由層環(huán)路現(xiàn)象�。電信接入先到TP-link交換機��,通過交換機連接方正防火墻���,再傳到核心交換機上,核心交器上雖有VLAN劃分但沒有管理用戶設置��,導致防火墻管理出現(xiàn)瓶頸�����,造成網(wǎng)速慢���,連網(wǎng)頁都是無法打開。100M光纖沒有體現(xiàn)出來�����。5��、根據(jù)現(xiàn)場了解�,學校網(wǎng)絡接入層監(jiān)控視頻流較大,占用接入層網(wǎng)絡約50
4���、M帶寬��,現(xiàn)網(wǎng)接入層為100M互聯(lián)���,存在瓶頸��,無法滿足學校局域網(wǎng)使用要求���。三、優(yōu)化改造方案1���、改造學?���;ヂ?lián)網(wǎng)接入出口為100M模式����,解決學校出口瓶頸。2���、學校增加用戶管理路由器���,采用用戶撥號模式。3�����、更換電信接入設備,電信接入層增加防火墻進行防護�,確保服務器免受攻擊。4��、改造接入連接方式�,在學校總機房增加核心交換機��,通過局域網(wǎng)網(wǎng)關下移至交換層���,減輕局域網(wǎng)轉發(fā)對路由器和防火墻的壓力。5��、更換接入層交換機(現(xiàn)有交換機最高100M)�,將所有交換機之間的互聯(lián)改為100M,解除100M帶寬局限����。6、通過VL
5�、AN劃分將學校網(wǎng)絡劃分為服務器區(qū)域、辦公區(qū)域��、教學區(qū)域、視頻監(jiān)控區(qū)域四大區(qū)域�����,減少沖突域��、增加廣播域��,減少區(qū)域之間的相互影響�。通過以上改造,實現(xiàn)網(wǎng)絡結構的層次化和區(qū)域化�����,規(guī)劃網(wǎng)絡結構如下:運營商100M防火墻100M核心交換機(VLAN1——4)辦公樓樓交換機電腦室接入核心家屬樓接入核心教學樓接入核心PCPC電腦室2電腦室1PCPCPCPCPC交換3交換2交換1電腦室3(網(wǎng)絡結構圖)四�、優(yōu)化改造設備介紹1、防火墻:NS-F1000-E-SI-SCB-ACl整機三層及應用層吞吐量≥4Gbpsl最大
6�、TCP并發(fā)連接數(shù)≥100萬、每秒新建連接數(shù)CPS≥6萬l主機含交流主機/雙電源l12個千兆口���,所有端口可光可電lCPU:RMIXLS416*1l內(nèi)存:DRAM4G*1l包過濾��、基礎和擴展的訪問控制列表���、基于接口的訪問控制列表����、基于時間段的訪問控制列表�����、基于面向對象的訪問控制列表��、動態(tài)包過濾lASPF應用層報文過濾應用層協(xié)議:IM(QQ����、MSN)FTP、HTTP�、SMTP、RTSP�、H.323(Q.931��,H.245�����,RTP/RTCP)��;傳輸層協(xié)議:TCP�����、UDPl抗攻擊特性Land、Smurf���、
7����、Fraggle���、WinNuke��、PingofDeath�、TearDrop����、IPSpoofing、CC�、SYNFlood、ICMPFlood�、UDPFlood、DNSQueryFloodARP欺騙攻擊防范��、ARP主動反向查詢����、TCP報文標志位不合法攻擊防范�、超大ICMP報文攻擊防范地址/端口掃描的防范DoS/DDoS攻擊防范TCPProxy功能ICMP重定向或不可達報文控制功能Tracert報文控制功能帶路由記錄選項IP報文控制功能靜態(tài)和動態(tài)黑名單功能MAC和IP綁定功能透明防火墻基于MAC的訪問
8�����、控制列表支持802.1qVLAN透傳糾錯2��、中心核心交換:邁普SM4320-28FC-ACl24個SFP光口l12個10/100/1000Base-T電接口l兩個擴展插槽���,可以擴展千兆/萬兆端口l雙交流電源l整機交換機容量:360GbpslIPv4包轉發(fā)率:215Mppsl支持MAC地址學習數(shù)目限制�����;靜態(tài)MAC配置�����;黑洞MACl支持基于端口、MAC�、協(xié)議、IP子網(wǎng)的VLAN�,支持VLANMapping、支持VoiceVLAN����、支持GVRP��。l標準IPACL�、擴展IPACL�、標準MACACL、IP
