运营商XX地市VPN项目实施方案Word文件下载.docx

资源描述

运营商XX地市VPN项目实施方案Word文件下载.docx

《运营商XX地市VPN项目实施方案Word文件下载.docx》由会员分享，可在线阅读，更多相关《运营商XX地市VPN项目实施方案Word文件下载.docx（20页珍藏版）》请在冰豆网上搜索。

运营商XX地市VPN项目实施方案Word文件下载.docx

★文档变更过程

版本

修正日期

修正人

描述

1.0

2012年4月24日

胡强

新建

2.0

2012年4月26日

彭立

明确该项目实施需要提前准备的资源、vpn配置等

2012年9月25日

杨正

根据各地市实施资源需求条件添加设计方案二

第1章概述

1.1编写目的

撰写此文的主要目的是为了指导VPN项目XX地市顺利实施，本文档不包含非技术问题，只涉及和项目有关的实施、技术层面等相关的内容，以便通过参考本文档资料顺利完成VPN项目的实施工作。

1.2适用人员

本文档资料主要面向负责该项目的网络设计人员、实施人员、维护管理人员。

1.3实施范围

本文档内容涵盖了此次VPN项目所涉及的内容：

项目实施条件

硬件安装规范

项目设备清单

设备命名规则

设备软件版本

IP地址分配规则

交换网络设计

局域网路由策略设计

网络安全

设备端口连接

第2章项目概述

2.1项目背景

城域网为众多的大客户提供MPLSVPN等数据业务，随着城域网的不断发展、完善，MPLSVPN客户在可预见的未来会显著增长。

但是，MPLSVPN为客户虽然很好的解决了站点（site）到站点（site）之间的数据访问需求，但却不能解决远程、移动工作人员访问办公网络的需求。

目前随着移动办公的增加，企业移动用户希望通过IPSEC或者SSLVPN接入的方法进入MPLSVPN需求也不断增加。

运营商城域网在提供企业专线服务的同时也需要具有能够提供企业VPN接入的能力。

2.2项目实施范围

根据项目建设目标，该项目实施主要工作有：

设备上架

基础调试

VPN测试

认证系统对接

业务开通（测试）

2.3项目实施原则

1.实施步骤的完整性，对于每一个实施步骤各方所需要执行的动作有明确的规定，有精确的时间顺序安排，对每一个动作有详细的操作步骤，对每一个执行的动作都有相应的检验机制。

2.详细描述实施方案的风险和局限性，明确使用实施方案所应承担的风险和将导致的后果。

3.在实施前需要各参与单位和人员最终确认实施方案的正确性、明确各方所执行的动作和担负的责任。

4.对于检查实施方案的每一个阶段是否达到方案要求，需要有每一阶段的测试内容，明确那些测试在指定时间点不能完成或完成后测试结果不正确的情况下需要采用网络回退方案，不再执行实施方案的下一个执行动作或不进入下一个实施阶段。

5.为了尽量减少业务中断时间，所有测试和改造工作都在重要业务停止时进行，同时对于参与测试的设备原有数据都要备份。

6.网络调整、应用切换方案在制定时要和所相关应用部门进行充分的沟通，要向应用部门介绍详细的切换过程，切换步骤、切换时间要征得相关应用部门的同意。

2.4项目实施阶段划分

该项目可以细分为如下7个阶段：

第一阶段：

设备到货、设备验货及前期准备；

第二阶段：

网络设备安装、布线；

第三阶段：

核心设备配置和调试；

第四阶段：

VPN测试；

第五阶段：

认证系统对接；

第六阶段：

整网测试；

第七阶段：

应用交付；

2.5项目实施环境要求

1.场地要求：

为设备、改造新增的网络设备提供足够的场地空间、机架。

温度、湿度条件要满足设备的需要。

改造的工具要齐全，比如做线工具、网线、地板起子。

2.电源要求：

为设备、改造新增的网络设备提供稳定的电源，足够的插座数量。

如果设备是双电源，要提供两路独立的电源，设备的每一个电源都是独立供电。

3.根据设备的摆放位置和设备接口的类型提供足够长度、合格的光纤跳线、双绞线跳线。

光纤跳线外面要增加塑料软管进行保护。

4.设备标签，用于对设备进行标识。

同时还要准备标签用来给设备端口连接进行标识。

2.6项目联系人

项目联系人清单

单位

总体职责

人员安排

人员

职责

XX移动

配合厂商进行设备安装、调试、测试，提供线路资源以及IP地址。

思科

设备安装调试

朱文春

销售经理

苏佺道

彭亮

技术支持

项目经理

李建

项目经理助理

蔡春生

实施工程师

蔡鹏

陈鹏

第3章项目设备清单

3.1设备清单

设备清单

产品型号

产品描述

数量

ASA5585-S10-K8

CiscoASA5585-XFirewallEditionSSP-10bundleincludes8GigabitEthernetinterfaces,2GigabitEthernetSFPinterfaces,2GigabitEthernetmanagementinterfaces,5000IPsecVPNpeers,2PremiumVPNpeers,DESlicense

3.2设备适用范围

功能

设备型号

说明

VPN接入

ASA5585

新购

第4章VPN设计及资源需求

4.1设计方案

4.1.1网络拓扑图

该拓扑图取消了两台SR路由器之间的光纤互联，但需在两台SR路由器及城域网间配置VPSL技术来实现VRRP协议信息的透传，以达到两台SR路由器冗余的目的（该设计方案是根据各地市情况，部分地市的两台SR路由器物理端口等资源的限制，不能提供两台SR路由器间光纤互联而提出的）。

以上拓扑图只是为了体现出VPN网关和接入SR的关系，故而图中的IP城域网部分为缩略图。

4.1.2资源需求

该项目设计为新增两台Ciscoasa5585VPN网关，分别接入两台不同的IP城域网SR路由器，避免出现单点故障。

其中图中的线路①、②、③均是此次项目新增线路，需要提前申请线路资源，④是VPLS虚拟通道，用于透传VRRP报文信息，在项目实施前提前确认好线路资源是否到位。

需求说明如下：

图中线路①、②为光纤链路，用于SR路由器对VPN网关的接入。

链路应布放至VPN网关所在的机柜，且尾纤接头规格为单模LC接头。

图中线路③为两台VPN网关之间的Failover链路，链路应布放在两台VPN网关之间。

图中虚拟线路④为VPLS技术实现的虚拟链路，在SR之间，建立一条L2VPLS隧道，承载城域网SR设备的VRRP心跳报文，实现两台SR路由器的主备。

备注：

以上四条链路务必实施前进行确认，链路资源到位后方可启动实施工作。

以上方案需实施工程师和地市相关各方协调确定使用哪种设计方案进行实施。

对于两种设计方案对在ASA防火墙上实施的条件和配置没有改变，设计方案二实施工程师需根地市移动各方协调确定VPLS协议已配置并测通方可进行项目实施。

4.2数据流向图

第5章网络设备安装

5.1网络设备命名

5.1.1命名规则

采用等长命名规则，字段分隔符为“-”（减号）

设备命名规则（示例）

字段1-字段2-字段3-zzz

字段1

GD：

广东

字段2

Guangzhou：

广州

字段3

标识功能区，最大长度6字符：

LIC：

license服务器

VPN：

VPN接入设备

zzz

长度3字符。

相同功能的设备按序号排列，001-999

5.1.2命名示例

根据以上网络设备名称规则，按照以下表格形式，给出所有网络设备的名称，及相关用途和描述。

网络设备名称（示例）

区域名称

设备名称

用途和描述

License服务器

GD-Guangzhou-LIC-001

License服务器001

GD-Guangzhou-LIC-002

License服务器002

业务操作区

GD-Guangzhou-VPN-001

VPN接入设备001

GD-Guangzhou-VPN-002

VPN接入设备002

5.2设备机房部署

根据各个机房具体环境完成VPN设备的安装。

5.3设备安装

5.3.1设备安装规则

Step

1将设备安装至机柜指定位置并固定

2连接管理端口.

3将设备SFP光纤模块安装至SFP插槽

4连接光纤

5连接电源

6开机并观察设备启动状态

5.4设备安装注意事项

5.4.1安装准备工作

为了保证设备的顺利安装，安装准备工作应确认以下几点。

在设备安装并固定之前，首先应对安装地点进行检查，确保安装地点是安全，干净，符合标准的场合，检查安装地点应考虑以下几点：

所有设备安装地点应保证电源，空调，电路的准备

防火墙进风口应预留充足空间，以利于空气循环和过滤

防火墙前后面板应预留充足空间，以利于板卡的安装和路由器维护

温度和湿度应满足要求

避免电源线和板卡连线的交叉

检查电源供应适合设备要求

设备应充分接地。

5.4.2设备安装步骤

现场安装人员应该记录各项操作的结果。

具体安装步骤请参考设备安装手册。

安装步骤

步骤

任务

确认防静电程序

准备和清理安装区域

安装架准备就绪

安装电源，接线板及保护接地

设备拆除封箱

设备安装上机架

记录设备及板卡的序列号

确认设备板卡及模块，安装在相应的机框内

连接设备电源及保护接地

连接机架内及机架间的通信电缆

确认电缆连接相应的面板

设备上电

装载并确认操作系统

配置网络设备

完成硬件安装测试

设备连接入网

完成试运行测试

完成安装记录

第6章设备软件版本

6.1设备软件版本推荐原则

对于该VPN项目的网络设备操作系统版本，我们遵循以下原则：

在满足该项目所需的网络功能的前提下，使用目前最成熟的软件版本，强调系统运行的稳定性。

在同一硬件平台上，尽量使用相同的软件版本，以减少不同软件版本之间的互操作性，减少管理的复杂度和工作量。

密切跟踪目前推荐的软件可能存在的bug，及时对该VPN项目所涉及设备网络稳定性进行评估。

6.2设备软件版本规划

根据目前路由器和交换机设备使用的接口模块以及软件运行环境，所有设备推荐使用的操作系统版本信息如下：

软件版本

软件名称

Asa-5585

8.4.0

6.3设备license授权升级

由于当前的license不支持3DES/AES加密，将导致Windows7不能正常使用Clientless的SSLVPN，通过更新license的方法启用设备3DES加密功能，通过showversion命令查看设备是已启用3DES加密，详细对比如下：

启用前：

启用后：

如果未启用，启用方法如下：

1.通过showversion命令获取当前设备的序列号；

2.到Cisco网站上获取授权码；

网址如下：

展开阅读全文