一、網絡現狀

　　單位目前從電信申請兩根光纖接入，其中一根通過網絡管理服務器專門提供給單位領導使用;另外一根光纖接入防火墻;下聯交換機，各個分支機關再通過光纖接入到交換機。網絡管理服務器上設置PPPoE Sevrer，內網采用PPPoE認證撥號上網，網絡比較穩定。分支機關采用固定IP接入到防火墻上網。

　　二、存在的問題

　　由于防火墻年代已久，功能的局限，根本無法對用戶的應用進行限制。ARP病毒、P2P造成帶寬濫用和內網DOS攻擊嚴重影響辦公正常業務使用。防火墻下聯交換機為普通型交換機，不具備管理能力，內網廣播風暴容易導致網絡擁堵。

　　三、改造方案

　　(一)方案之一，拓撲圖如下：

方案一拓撲圖

　　該方案采用單網關控制各個機關上網。具體實施步驟如下：

　　1. 網關：采用具備PPPoE服務器功能的高性能64位處理器的防火墻網關作為機關接入互聯網的接入控制。開啟PPPoE服務器，機關電腦PPPoE撥入到網關，可以徹底解決內網ARP欺騙。帶寬管理、P2P限速有效合理分配帶寬資源。防火墻默認開啟防止DOS攻擊防止常見病毒攻擊。

　　PPPoE服務器

　　防止內網攻擊

　　2.核心交換機：采用管理型交換機，具備廣播風暴抑制、VLAN隔離功能。廣播風暴抑制、VLAN隔離降低內網安全風險，同時減少大量廣播包對PPPoE撥號的影響。

　　(二)方案之二，拓撲圖如下：