苏泊儿MPLSVPN实施.docx
- 文档编号:13146746
- 上传时间:2023-06-11
- 格式:DOCX
- 页数:11
- 大小:121.47KB
苏泊儿MPLSVPN实施.docx
《苏泊儿MPLSVPN实施.docx》由会员分享,可在线阅读,更多相关《苏泊儿MPLSVPN实施.docx(11页珍藏版)》请在冰点文库上搜索。
苏泊儿MPLSVPN实施
网络实施方案
技术有限公司
2011年10月
第1章项目概况1
1.1项目背景1
第2章网络总体规划1
2.1网络设计1
第3章IP地址规划2
3.1管理地址2
3.2互联地址3
3.2.1局域网互联地址3
3.3业务地址3
第4章VLAN和端口规划4
4.1VLAN划分4
第5章路由协议部署4
5.1路由选择4
第6章VPN部署5
6.1VPN设备5
6.2总部与分支机构对接5
6.3总部与移动人员对接6
第7章DMZ区域部署7
7.1DMZ区域概述7
7.2DMZ区域构建7
7.3DMZ区域结构图8
第8章测试方案8
8.1测试项目8
8.2硬件测试9
8.2.1硬件运行状态测试9
8.3冗余性测试:
9
8.4业务测试10
第1章项目概况
1.1项目背景
为满足公司业务上的需求,需组建一个网络系统用于办公。
总体来说,现代企业网络具有如下特点:
1、以客户为中心建立企业战略
2、以客户为导向的全流程业务解决方案
3、满足企业业务流的分类传送要求。
全流程信息化:
ERP,CRM,SCM,知识管理。
业务处理信息化:
财务统计,库存管理,报表计算。
4、满足数据、语音、视频综合业务传送
5、满足智能的策略控制服务
传统的企业局域网以资源共享为中心,以数据业务传送为主,无Qos保证,缺乏对语音、视频实时业务的支持;无法满足内容交换、业务优先级分类传送的需要;新企业网络对局域网络的需求要求满足综合业务及业务优先级分类传送的需要,提供端到端的Qos、安全、内容交换、策略管理。
第2章网络总体规划
2.1网络设计
网络拓扑图如下:
网络有如下优点:
1.采用核心交换机和接入交换机来构建扁平化的两层网络架构;
2.在AC上采用双线接入,做策略路由负载均衡;
3.深信服AC对局域网和VPN用户进行上网行为进行管理和监控;
4.建立DMZ区域对服务器数据进行保护;
第3章IP地址规划
3.1管理地址
设备的管理地址(即loopback地址)使用192.168.0.0/24网段。
序号
设备名称
管理地址
掩码
1
H3C-S7503E
192.168.0.1
32
2
FW1000
192.168.0.2
32
3
AC1300
192.168.0.3
32
4
H3C-S3600
192.168.0.5-8
32
3.2互联地址
3.2.1局域网互联地址
局域网设备的互联地址使用172.168.1.0/16网段。
序号
名称
本端地址
名称
对端地址
掩码
1
总部
172.16.1.1
总仓库
172.16.1.2
30
2
分支机构
172.16.1.3
30
……
172.16.1.4
30
3.3业务地址
业务地址使用10.0.0.0/8网段。
序号
业务部门
地址段
掩码
1
管理部
10.0.0.0
24
2
行政部
10.0.1.0
24
3
销售部
10.0.2.0
24
4
财务部
10.0.3.0
24
5
VPN用户
10.0.5.0
24
第4章VLAN和端口规划
4.1VLAN划分
VLAN100:
局域网互联网段;
VLAN200-900:
部门网段;
VLAN1000:
设备管理地址网段;
第5章路由协议部署
5.1路由选择
路由协议用于学习和维护路由,为网络通讯提供最佳路径,路由协议选择原则如下:
●开放性和标准化
必须使用国际标准的路由协议,保证网络的开放性,支持不同厂商设备的路由互连。
●可扩展性
使用的路由协议必须具备良好的扩展能力,能够支持网络规模的持续增长。
●支持数据分流
路由协议应该支持灵活的路由策略,通过调整路由策略,可以实现数据分流。
基于以上三点选择原则,商务快线网建设宜采用电信、网通双线接入。
在静态路由的基础上做策略路由;满足不同业务的需求以及实现数据分流和负载均衡。
如下图所示:
第6章VPN部署
6.1VPN设备
将VPN建立在防火墙上,AC架设在网关做路由模式。
这样AC可以对内网和VPN用户进行统一的管理。
6.2总部与分支机构对接
总部和分支机构通过GREoverIPsec进行对接。
GREoverIPsec
●支持组播,可传递路由协议。
●把所有的数据都进行加密,安全性更高
IPSECOverGRE即IPSEC在里,GRE在外。
先把需要加密的数据包封装成IPSEC包,然后再扔到GRE隧道里。
作法是把IPSEC的加密图作用在Tunnel口上的,即在Tunnel口上监控(访问控制列表监控本地ip网段-源i和远端ip网段-目的地),是否有需要加密的数据流,有则先加密封装为IPSEC包,然后封装成GRE包进入隧道(这里显而易见的是,GRE隧道始终无论如何都是存在的,即GRE隧道的建立过程并没有被加密),同时,未在访问控制列表里的数据流将以不加密的状态直接走GRE隧道,即存在有些数据可能被不安全地传递的状况。
而GREOverIPSEC是指,先把数据分装成GRE包,然后再分装成IPSEC包。
做法是在物理接口上监控,是否有需要加密的GRE流量(访问控制列表针对GRE两端的设备ip),所有的这两个端点的GRE数据流将被加密分装为IPSEC包再进行传递,这样保证的是所有的数据包都会被加密,包括隧道的建立和路由的建立和传递。
6.3总部与移动人员对接
移动人员建立L2tpoverIPsec进行对接
●L2TP使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。
只要求隧道媒介提供面向数据包的点对点的连接。
可以在IP(使用UDP),桢中继永久虚拟电路(PVCs),X.25虚拟电路(VCs)或ATMVCs网络上使用。
●L2TP扩展了PPP模型,允许第二层和PPP终点处于不同的由包交换网络相互连接的设备来。
●通过L2TP,用户在第二层连接到一个访问集中器(如:
调制解调器池、ADSLDSLAM等),然后这个集中器将单独得的PPP帧隧道到NAS。
这样,可以把PPP包的实际处理过程与L2连接的终点分离开来。
●L2TP使得PPP会话可以出现在接收会话的物理点之外的位置,它用来使所有的通道出现在单个的NAS上,并允许多链接操作,即使是在物理呼叫分散在不同物理位置的NAS上的情况下。
第7章DMZ区域部署
7.1DMZ区域概述
DMZ是英文“demilitarizedzone”的缩写,中文名称为“隔离区”,也称“非军事化区”。
它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。
另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
7.2DMZ区域构建
DMZ通常是一个过滤的子网,DMZ在内部网络和外部网络之间构造了一个安全地带。
DMZ防火墙方案为要保护的内部网络增加了一道安全防线,通常认为是非常安全的。
同时它提供了一个区域放置公共服务器,从而又能有效地避免一些互联应用需要公开,而与内部安全策略相矛盾的情况发生。
在DMZ区域中通常包括堡垒主机、Modem池,以及所有的公共服务器,但要注意的是电子商务服务器只能用作用户连接,真正的电子商务后台数据需要放在内部网络中。
在方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所有内部网络对DMZ的访问。
内部防火墙管理DMZ对于内部网络的访问。
内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机),当外部防火墙失效的时候,它还可以起到保护内部网络的功能。
而局域网内部,对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。
在这样的结构里,一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。
7.3DMZ区域结构图
第8章测试方案
8.1测试项目
序号
测试项目编号
测试项目
测试子项目
测试结论表示方式说明
1
HARD_01
硬件测试
硬件运行状态测试
OK:
测试结果全部正确
POK:
测试结果大部分正确
NG:
测试结果有较大的错误
NT:
由于各种原因本次无法测试
3
REDU_02
线路冗余性测试
4
APPL_01
服务器测试
总项目数
4
8.2硬件测试
8.2.1硬件运行状态测试
测试编号
HARD_01_01
测试目的
检查网络设备的硬件运行状态。
测试工具
PC
测试对象
总部骨干路由器
测试步骤
1.登录到测试设备的命令行,查看硬件运行状态:
displaydevice
预期结果
正常情况下,所有板卡、模块显示为normal。
测试结果
❑OK❑POK❑NG❑NT
备注
8.3冗余性测试:
测试编号
REDU_01_01
测试目的
测试设备的冗余性
测试工具
两台PC
测试对象
总部骨干路由器
预制条件
设备运行状态正常,网络连通性正常。
预期结果
结果1:
ping丢20个包后恢复正常;
测试结果
❑OK❑POK❑NG❑NT
备注
测试编号
REDU_01_02
测试目的
测试广域网链路的冗余性
测试工具
两台PC
测试对象
广域网链路
预制条件
设备运行状态正常,网络连通性正常。
预期结果
结果1:
ping丢15个包后恢复正常;
测试结果
❑OK❑POK❑NG❑NT
备注
8.4业务测试
测试编号
APPL_01_01
测试目的
测试服务器系统可用性
测试工具
1台PC
预制条件
设备运行状态正常,网络连通性正常,业务系统运行正常。
测试结果
❑OK❑POK❑NG❑NT
备注
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 苏泊儿 MPLSVPN 实施