网络优化改造方案XX学校网络优化改造方案方案设计:XXX网络公司设计部门:XXXXXXXX中心设计时间:2016年4月网络优化改造方案一、优化改造目的随着互联网的飞速发展和电视、电脑、手机、平板应用的发展普及,互联网已进入一个新时代,在这个网络办公时代,互联网已成为网络审批、网络办公、信息传递不可缺少的一个通道。教育信息化也成为未来教育的一个重要途径。与此同时,随着高速带宽网络的接入,学校网络的安全问题凸显。为保证学校网络的稳定可靠,创建学校的安全网络环境,根据学校具体情况提出优化改造方案二、现网存在问题1、学校网络接入存在瓶颈,网络出口带宽无法突破100M限制。现有网络使用光电转换器(佳讯数码)接入,因光电转换器存在100M带宽限制,对超过100M的带宽接入无法实现。综合考虑后期网络带宽扩容和网络IP带宽的充分使用,应通过新的接入方式解除网络带宽瓶颈。2、学校设备陈旧,无法满足网络需求。根据电信技术人员对现场设备的检查和网络结构的分析,现有网络设备多数为无管理、无VLAN划分、无QoS保障、无速率限制、无ARP攻击防范等功能设备,所有计算机和监控设备之间无隔离,设备之间无分级设置,在整个局域网为一个共有的广播域,单台主机对网络影响很大。3、学校楼层交换机管理权限功能受局部限制,学校所有路由和交换功能都由路由器承担,路由器负荷较重且路由设备陈旧,性能无法满足要求,尤其是学校无线设备的增加更无法管理和控制。4、学校网络存在路由层环路现象。电信接入先到TP-link交换机,网络优化改造方案通过交换机连接方正防火墙,再传到核心交换机上,核心交器上虽有VLAN划分但没有管理用户设置,导致防火墙管理出现瓶颈,造成网速慢,连网页都是无法打开。100M光纤没有体现出来。5、根据现场了解,学校网络接入层监控视频流较大,占用接入层网络约50M带宽,现网接入层为100M互联,存在瓶颈,无法满足学校局域网使用要求。三、优化改造方案1、改造学校互联网接入出口为100M模式,解决学校出口瓶颈。2、学校增加用户管理路由器,采用用户拨号模式。3、更换电信接入设备,电信接入层增加防火墙进行防护,确保服务器免受攻击。4、改造接入连接方式,在学校总机房增加核心交换机,通过局域网网关下移至交换层,减轻局域网转发对路由器和防火墙的压力。5、更换接入层交换机(现有交换机最高100M),将所有交换机之间的互联改为100M,解除100M带宽局限。6、通过VLAN划分将学校网络划分为服务器区域、办公区域、教学区域、视频监控区域四大区域,减少冲突域、增加广播域,减少区域之间的相互影响。通过以上改造,实现网络结构的层次化和区域化,规划网络结构如下:网络优化改造方案(网络结构图)四、优化改造设备介绍1、防火墙:NS-F1000-E-SI-SCB-AC整机三层及应用层吞吐量≥4Gbps最大TCP并发连接数≥100万、每秒新建连接数CPS≥6万主机含交流主机/双电源12个千兆口,所有端口可光可电CPU:RMIXLS416*1内存:DRAM4G*1核心交换机(VLAN1——4)运营商100M防火墙100M教学楼接入核心交换1交换2交换3电脑室接入核心家属楼接入核心电脑室1电脑室2PCPCPCPCPC办公楼楼交换机PCPC电脑室3网络优化改造方案包过滤、基础和扩展的访问控制列表、基于接口的访问控制列表、基于时间段的访问控制列表、基于面向对象的访问控制列表、动态包过滤ASPF应用层报文过滤应用层协议:IM(QQ、MSN)FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245,RTP/RTCP);传输层协议:TCP、UDP抗攻击特性Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing、CC、SYNFlood、ICMPFlood、UDPFlood、DNSQueryFloodARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范地址/端口扫描的防范DoS/DDoS攻击防范TCPProxy功能ICMP重定向或不可达报文控制功能Tracert报文控制功能带路由记录选项IP报文控制功能静态和动态黑名单功能MAC和IP绑定功能透明防火墙网络优化改造方案基于MAC的访问控制列表支持802.1qVLAN透传纠错2、中心核心交换:迈普SM4320-28FC-AC24个SFP光口12个10/100/1000Base-T电接口两个扩展插槽,可以扩展千兆/万兆端口双交流电源整机交换机容量:360GbpsIPv4包转发率:215Mpps支持MAC地址学习数目限制;静态MAC配置;黑洞MAC支持基于端口、MAC、协议、IP子网的VLAN,支持VLANMapping、支持VoiceVLAN、支持GVRP。标准IPACL、扩展IPACL、标准MACACL、IPv6ACL、自反ACL、高级ACL。ICMPFlood拦截、Smurf攻击拦截、Fraggle攻击拦截、LAND攻击拦截、SYNFlood攻击拦截基于端口、MAC地址、IP地址、IP优先级、DSCP优先级、TCP/UDP端口号、协议类型等3、接入核心交换机(教学楼):SM3320-28TP-AC24个10/100/1000Base-T电接口4个SFP光口(支持百兆、千兆模式)POE支持802.3af、at网络优化改造方案两个扩展插槽双交流电源4、接入交换机(中心机房):SM3120-28TC-AC24个100Base-T电接口2个千兆电接口2个SFP光口(支持百兆、千兆模式)2个SFP光口完善的安全管理、QoS、组播等功能支持QinQ、VLANMapping功能,为行业用户的多业务隔离,业务提供灵活的解决方案等提供SHELL、TELNET、WEB、SNMP、集群管理、第三方软件等网管支持5、接入交换机:SM3120-20TC-AC16个10/100Base-T电接口2个千兆电接口2个SFP光口(支持百兆、千兆模式)2个SFP光口完善的安全管理、QoS、组播等功能支持QinQ、VLANMapping功能,为行业用户的多业务隔离,业务提供灵活的解决方案等提供SHELL、TELNET、WEB、SNMP、集群管理、第三方软件等网管支持网络优化改造方案五、设备报价按照网络优化改造方案,采购网络设备均按照网络查询价格报价,实际采购价格与网络价格相差不大,具体清单如下:设备类型设备型号单价数量小计备注防火墙NS-F1000-E-SI-SCB-AC1中心核心交换SM4320-28FC-AC1核心接入交换SM3320-28TP-AC1接入交换机SM3120-28TC-AC5接入交换机SM3120-20TC-AC3光模块(迈普)SFP-S2-L24P312光模块(H3C)SFP-GE-LX-SM1310-D3合计(不含税价格)六、工程施工及网络部署网络优化调整中的光缆、电缆、网线及网络优化调整配置方面未涉及,需要工程人员根据实际勘测报价。网络优化改造方案电信光纤接入100M普通交换机方正防火墙行为路由器电脑室家属区核心交换机