XXX学校 网络优化改造方案

XXXXXXXXX学校 网络优化改造方案

方案设计：XXX网络公司 设计部门：XXXXXXXX中心 设计时间：2015年4月

XXX学校 网络优化改造方案

一、优化改造目的

随着互联网的飞速发展和电视、电脑、手机、平板应用的发展普及，互联网已进入一个新时代，在这个网络办公时代，互联网已成为网络审批、网络办公、信息传递不可缺少的一个通道。教育信息化也成为未来教育的一个重要途径。与此同时，随着高速带宽网络的接入，学校网络的安全问题凸显。为保证学校网络的稳定可靠，创建学校的安全网络环境，根据学校具体情况提出优化改造方案 二、现网存在问题

1、学校网络接入存在瓶颈，网络出口带宽无法突破100M限制。现有网络使用光电转换器（佳讯数码）接入，因光电转换器存在100M带宽限制，对超过100M的带宽接入无法实现。综合考虑后期网络带宽扩容和网络IP带宽的充分使用，应通过新的接入方式解除网络带宽瓶颈。

2、学校设备陈旧，无法满足网络需求。根据电信技术人员对现场设备的检查和网络结构的分析，现有网络设备多数为无管理、无VLAN划分、无QoS保障、无速率限制、无ARP攻击防范等功能设备，所有计算机和监控设备之间无隔离，设备之间无分级设置，在整个局域网为一个共有的广播域，单台主机对网络影响很大。

3、学校网络无核心交换层。学校所有路由和交换功能都由路由器承担，路由器负荷较重且路由设备陈旧，性能无法满足要求。

4、学校网络存在路由层环路现象。电信接入先到TP-link1024D交换机，通过交换机连接路由器，再通过路由器返回交换机，而该交

XXX学校 网络优化改造方案

换机为无VLAN划分交换机，导致在此接入中存在环路，以此引起局域网所有计算机MAC地址等信息全部暴露至接入互联网，对网络安全存在很大隐患。

5、学校举办网站等服务器没有硬件防火墙防护，对学校的信息安全存在很大威胁。在2015年2月份工信部安全扫描中发现学校网络遭受黑客攻击，成为僵尸木马被控端，黑客可通过控制服务器进行信息窃取、发布网络不法信息和对其他网络进行攻击，扫描报告大概情况如下表：

被控端IP 183.91.52.205 120.150.183.182 120.150.183.182 120.150.183.182 120.150.183.182 216.68.93.38 42.112.125.34 177.92.62.106 118.70.203.134 187.45.229.186 83.213.127.240 23.104.206.150 216.68.93.38 被控端地区 中国香港 澳大利亚 澳大利亚 澳大利亚 澳大利亚 美国 越南 巴西 越南 巴西 西班牙 美国 美国 本端IP 本端端口 520 520 520 520 520 520 520 520 520 520 520 520 520 日期&时间 2015/2/17 20:40 2015/2/17 21:18 2015/2/17 21:18 2015/2/17 20:41 2015/2/17 21:41 2015/2/17 20:49 2015/2/17 20:40 2015/2/17 20:40 2015/2/17 20:40 2015/2/17 20:40 2015/2/17 20:41 2015/2/17 20:40 2015/2/17 20:43 6、根据现场了解，学校网络接入层监控视频流较大，占用接入层网络约50M带宽，现网接入层为100M互联，存在瓶颈，无法满足学校局域网使用要求。 三、优化改造方案

1、改造学校互联网接入出口为1000M模式，解决学校出口瓶颈。 2、更换学校路由器（现有H3C设备做为备用，无需增加）作为备用。

XXX学校 网络优化改造方案

3、在电信接入层增加防火墙进行防护，确保服务器免受攻击。 4、改造接入连接方式，在学校总机房增加核心交换机，通过局域网网关下移至交换层，减轻局域网转发对路由器和防火墙的压力。

5、更换接入层交换机（现有交换机最高100M），将所有交换机之间的互联改为1000M，解除100M带宽局限。

6、在网络使用量大的教学楼增加一台核心接入交换机（24口），解决学校网络拥塞。

7、通过VLAN划分将学校网络划分为服务器区域、办公区域、教学区域、视频监控区域四大区域，减少冲突域、增加广播域，减少区域之间的相互影响。

通过以上改造，实现网络结构的层次化和区域化，规划网络结构如下：

运营商1000M 防火墙 1000M 核心交换机（VLAN1——4） 教学楼接入核心 门房交换机 宿舍楼交换办公楼交换办公楼交换办公楼楼交 交换1 交换2 交换3 监控 PC PC PC PC PC PC PC PC