苏泊儿MPLSVPN实施方案文档格式.docx
《苏泊儿MPLSVPN实施方案文档格式.docx》由会员分享,可在线阅读,更多相关《苏泊儿MPLSVPN实施方案文档格式.docx(8页珍藏版)》请在冰豆网上搜索。
传统的企业局域网以资源共享为中心,以数据业务传送为主,无Qos保证,缺乏对语音、视频实时业务的支持;
无法满足内容交换、业务优先级分类传送的需要;
新企业网络对局域网络的需求要求满足综合业务及业务优先级分类传送的需要,提供端到端的Qos、安全、内容交换、策略管理。
第2章网络总体规划
2.1网络设计
网络拓扑图如下:
网络有如下优点:
1.采用核心交换机和接入交换机来构建扁平化的两层网络架构;
2.在AC上采用双线接入,做策略路由负载均衡;
3.深信服AC对局域网和VPN用户进行上网行为进行管理和监控;
4.建立DMZ区域对服务器数据进行保护;
第3章IP地址规划
3.1管理地址
设备的管理地址(即loopback地址)使用192.168.0.0/24网段。
序号
设备名称
管理地址
掩码
1
H3C-S7503E
192.168.0.1
32
2
FW1000
192.168.0.2
3
AC1300
192.168.0.3
4
H3C-S3600
192.168.0.5-8
3.2互联地址
3.2.1局域网互联地址
局域网设备的互联地址使用172.168.1.0/16网段。
名称
本端地址
对端地址
总部
172.16.1.1
总仓库
172.16.1.2
30
分支机构
172.16.1.3
……
172.16.1.4
3.3业务地址
业务地址使用10.0.0.0/8网段。
业务部门
地址段
管理部
10.0.0.0
24
行政部
10.0.1.0
销售部
10.0.2.0
财务部
10.0.3.0
5
VPN用户
10.0.5.0
第4章VLAN和端口规划
4.1VLAN划分
VLAN100:
局域网互联网段;
VLAN200-900:
部门网段;
VLAN1000:
设备管理地址网段;
第5章路由协议部署
5.1路由选择
路由协议用于学习和维护路由,为网络通讯提供最佳路径,路由协议选择原则如下:
●开放性和标准化
必须使用国际标准的路由协议,保证网络的开放性,支持不同厂商设备的路由互连。
●可扩展性
使用的路由协议必须具备良好的扩展能力,能够支持网络规模的持续增长。
●支持数据分流
路由协议应该支持灵活的路由策略,通过调整路由策略,可以实现数据分流。
基于以上三点选择原则,商务快线网建设宜采用电信、网通双线接入。
在静态路由的基础上做策略路由;
满足不同业务的需求以及实现数据分流和负载均衡。
如下图所示:
第6章VPN部署
6.1VPN设备
将VPN建立在防火墙上,AC架设在网关做路由模式。
这样AC可以对内网和VPN用户进行统一的管理。
6.2总部与分支机构对接
总部和分支机构通过GREoverIPsec进行对接。
GREoverIPsec
●支持组播,可传递路由协议。
●把所有的数据都进行加密,安全性更高
IPSECOverGRE即IPSEC在里,GRE在外。
先把需要加密的数据包封装成IPSEC包,然后再扔到GRE隧道里。
作法是把IPSEC的加密图作用在Tunnel口上的,即在Tunnel口上监控(访问控制列表监控本地ip网段-源i和远端ip网段-目的地),是否有需要加密的数据流,有则先加密封装为IPSEC包,然后封装成GRE包进入隧道(这里显而易见的是,GRE隧道始终无论如何都是存在的,即GRE隧道的建立过程并没有被加密),同时,未在访问控制列表里的数据流将以不加密的状态直接走GRE隧道,即存在有些数据可能被不安全地传递的状况。
而GREOverIPSEC是指,先把数据分装成GRE包,然后再分装成IPSEC包。
做法是在物理接口上监控,是否有需要加密的GRE流量(访问控制列表针对GRE两端的设备ip),所有的这两个端点的GRE数据流将被加密分装为IPSEC包再进行传递,这样保证的是所有的数据包都会被加密,包括隧道的建立和路由的建立和传递。
6.3总部与移动人员对接
移动人员建立L2tpoverIPsec进行对接
●L2TP使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。
只要求隧道媒介提供面向数据包的点对点的连接。
可以在IP(使用UDP),桢中继永久虚拟电路(PVCs),X.25虚拟电路(VCs)或ATMVCs网络上使用。
●L2TP扩展了PPP模型,允许第二层和PPP终点处于不同的由包交换网络相互连接的设备来。
●通过L2TP,用户在第二层连接到一个访问集中器(如:
调制解调器池、ADSLDSLAM等),然后这个集中器将单独得的PPP帧隧道到NAS。
这样,可以把PPP包的实际处理过程与L2连接的终点分离开来。
●L2TP使得PPP会话可以出现在接收会话的物理点之外的位置,它用来使所有的通道出现在单个的NAS上,并允许多链接操作,即使是在物理呼叫分散在不同物理位置的NAS上的情况下。
第7章DMZ区域部署
7.1DMZ区域概述
DMZ是英文“demilitarizedzone”的缩写,中文名称为“隔离区”,也称“非军事化区”。
它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。
另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
7.2DMZ区域构建
DMZ通常是一个过滤的子网,DMZ在内部网络和外部网络之间构造了一个安全地带。
DMZ防火墙方案为要保护的内部网络增加了一道安全防线,通常认为是非常安全的。
同时它提供了一个区域放置公共服务器,从而又能有效地避免一些互联应用需要公开,而与内部安全策略相矛盾的情况发生。
在DMZ区域中通常包括堡垒主机、Modem池,以及所有的公共服务器,但要注意的是电子商务服务器只能用作用户连接,真正的电子商务后台数据需要放在内部网络中。
在方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所有内部网络对DMZ的访问。
内部防火墙管理DMZ对于内部网络的访问。
内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机),当外部防火墙失效的时候,它还可以起到保护内部网络的功能。
而局域网内部,对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。
在这样的结构里,一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。
7.3DMZ区域结构图
第8章测试方案
8.1测试项目
测试项目编号
测试项目
测试子项目
测试结论表示方式说明
HARD_01
硬件测试
硬件运行状态测试
OK:
测试结果全部正确
POK:
测试结果大部分正确
NG:
测试结果有较大的错误
NT:
由于各种原因本次无法测试
REDU_02
线路冗余性测试
APPL_01
服务器测试
总项目数
8.2硬件测试
8.2.1硬件运行状态测试
测试编号
HARD_01_01
测试目的
检查网络设备的硬件运行状态。
测试工具
PC
测试对象
总部骨干路由器
测试步骤
1.登录到测试设备的命令行,查看硬件运行状态:
displaydevice
预期结果
正常情况下,所有板卡、模块显示为normal。
测试结果
❑OK❑POK❑NG❑NT
备注
8.3冗余性测试:
REDU_01_01
测试设备的冗余性
两台PC
预制条件
设备运行状态正常,网络连通性正常。
结果1:
ping丢20个包后恢复正常;
REDU_01_02
测试广域网链路的冗余性
广域网链路
ping丢15个包后恢复正常;
8.4业务测试
APPL_01_01
测试服务器系统可用性
1台PC
设备运行状态正常,网络连通性正常,业务系统运行正常。