某學校網路優化改造方案

*********學校

方案設計：***網路公司

設計部門：******xx中心

設計時間：2023年4月

一、優化改造目的

隨著網際網路的飛速發展和電視、電腦、手機、平板應用的發展普及，網際網路已進入乙個新時代，在這個網路辦公時代，網際網路已成為網路審批、網路辦公、資訊傳遞不可缺少的乙個通道。教育資訊化也成為未來教育的乙個重要途徑。與此同時，隨著高速頻寬網路的接入，學校網路的安全問題凸顯。

為保證學校網路的穩定可靠，建立學校的安全網路環境，根據學校具體情況提出優化改造方案

二、現網存在問題

1、學校網路接入存在瓶頸，網路出口頻寬無法突破100m限制。現有網路使用光電轉換器（佳訊數碼）接入，因光電轉換器存在100m頻寬限制，對超過100m的頻寬接入無法實現。綜合考慮後期網路頻寬擴容和網路ip頻寬的充分使用，應通過新的接入方式解除網路頻寬瓶頸。

2、學校裝置陳舊，無法滿足網路需求。根據電信技術人員對現場裝置的檢查和網路結構的分析，現有網路裝置多數為無管理、無vlan劃分、無qos保障、無速率限制、無arp攻擊防範等功能裝置，所有計算機和監控裝置之間無隔離，裝置之間無分級設定，在整個區域網為乙個共有的廣播域，單台主機對網路影響很大。

3、學校網路無核心交換層。學校所有路由和交換功能都由路由器承擔，路由器負荷較重且路由裝置陳舊，效能無法滿足要求。

4、學校網路存在路由層環路現象。電信接入先到tp-link1024d交換機，通過交換機連線路由器，再通過路由器返回交換機，而該交換機為無vlan劃分交換機，導致在此接入中存在環路，以此引起區域網所有計算機mac位址等資訊全部暴露至接入網際網路，對網路安全存在很大隱患。

5、學校舉辦**等伺服器沒有硬體防火牆防護，對學校的資訊保安存在很大威脅。在2023年2月份工信部安全掃瞄中發現學校網路遭受黑客攻擊，成為殭屍木馬被控端，黑客可通過控**務器進行資訊竊取、發布網路不法資訊和對其他網路進行攻擊，掃瞄報告大概情況如下表：

6、根據現場了解，學校網路接入層監控**流較大，占用接入層網路約50m頻寬，現網接入層為100m互聯，存在瓶頸，無法滿足學校區域網使用要求。

三、優化改造方案

1、改造學校網際網路接入出口為1000m模式，解決學校出口瓶頸。

2、更換學校路由器（現有h3c裝置做為備用，無需增加）作為備用。

3、在電信接入層增加防火牆進行防護，確保伺服器免受攻擊。

4、改造接入連線方式，在學校總機房增加核心交換機，通過區域網閘道器下移至交換層，減輕區域網**對路由器和防火牆的壓力。

5、更換接入層交換機（現有交換機最高100m），將所有交換機之間的互聯改為1000m，解除100m頻寬侷限。

6、在網路使用量大的教學樓增加一台核心接入交換機（24口），解決學校網路擁塞。

7、通過vlan劃分將學校網路劃分為伺服器區域、辦公區域、教學區域、**監控區域四大區域，減少衝突域、增加廣播域，減少區域之間的相互影響。

通過以上改造，實現網路結構的層次化和區域化，規劃網路結構如下：

網路結構圖）

四、優化改造裝置介紹

1、防火牆：ns-f1000-e-si-scb-ac

● 整機三層及應用層吞吐量≥4gbps

● 最大tcp併發連線數≥100萬、每秒新建連線數cps≥6萬

● 主機含交流主機/雙電源

● 12個千兆口，所有埠可光可電

● cpu：rmixls416*1

● 記憶體：dram 4g*1

● 包過濾、基礎和擴充套件的訪問控制列表、基於介面的訪問控制列表、基於時間段的訪問控制列表、基於物件導向的訪問控制列表、動態包過濾

● aspf應用層報文過濾

應用層協議：im（qq、msn）ftp、http、smtp、rtsp、h.323（q.931，h.245，rtp/rtcp）；傳輸層協議：tcp、udp

● 抗攻擊特性

land、smurf、fraggle、winnuke、ping of death、tear drop、ip spoofing、cc、syn flood、icmp flood、udp flood、dns query flood

arp欺騙攻擊防範、arp主動反向查詢、tcp報文標誌位不合法攻擊防範、超大icmp報文攻擊防範

位址/埠掃瞄的防範

dos/ddos攻擊防範

tcp proxy 功能

icmp重定向或不可達報文控制功能

tracert報文控制功能

帶路由記錄選項ip報文控制功能

靜態和動態黑名單功能

mac和ip繫結功能

透明防火牆

基於mac的訪問控制列表

支援802.1q vlan 透傳糾錯

2、中心核心交換：邁普sm4320-28fc-ac

● 24個sfp光口

● 12個10/100/1000base-t電介面

● 兩個擴充套件插槽，可以擴充套件千兆/萬兆埠

● 雙交流電源

● 整機交換機容量：360gbps

● ipv4包**率：215mpps

● 支援mac位址學習數目限制；靜態mac配置；黑洞mac

● 支援基於埠、mac、協議、ip子網的vlan，支援vlan mapping、支援voice vlan、支援**rp。

● 標準ip acl、擴充套件ip acl、標準mac acl、ipv6 acl、自反acl、高階acl。

● icmp flood攔截、smurf攻擊攔截、fraggle攻擊攔截、land攻擊攔截、syn flood攻擊攔截

● 基於埠、mac位址、ip位址、ip優先順序、dscp優先順序、tcp/udp埠號、協議型別等

3、接入核心交換機（教學樓）：sm3320-28tp-ac

● 24個10/100/1000base-t電介面

● 4個sfp光口（支援百兆、千兆模式）

● poe支援802.3 af、at

● 兩個擴充套件插槽

● 雙交流電源

4、接入交換機（中心機房）：sm3120-28tc-ac

● 24個100base-t電介面

● 2個千兆電介面

● 2個sfp光口（支援百兆、千兆模式）

● 2個sfp光口

● 完善的安全管理、qos、組播等功能

● 支援qinq、vlan mapping功能，為行業使用者的多業務隔離，業務提供靈活的解決方案等

● 提供shell、telnet、web、snmp、集群管理、第三方軟體等網管支援

5、接入交換機：sm3120-20tc-ac

● 16個10/100base-t電介面

● 2個千兆電介面

● 2個sfp光口（支援百兆、千兆模式）

● 2個sfp光口

● 完善的安全管理、qos、組播等功能

● 支援qinq、vlan mapping功能，為行業使用者的多業務隔離，業務提供靈活的解決方案等

● 提供shell、telnet、web、snmp、集群管理、第三方軟體等網管支援

五、裝置**

按照網路優化改造方案，採購網路裝置均按照網路查詢****，實際採購**與網路**相差不大，具體清單如下：

六、工程施工及網路部署

網路優化調整中的光纜、電纜、網線及網路優化調整配置方面未涉及，需要工程人員根據實際勘測**。

某學校網路優化改造方案

網路改造公升級方案

網路改造技術方案

XX網路改造方案書

某學校網路優化改造方案

網路改造公升級方案

網路改造技術方案

XX網路改造方案書

相關推薦