苏泊儿MPLS-VPN实施方案

网络实施方案技术有限公司2011年10月第1章项目概况.....................................................................11.1项目背景...................................................................1第2章网络总体规划.................................................................12.1网络设计...................................................................1第3章IP地址规划...................................................................23.1管理地址...................................................................23.2互联地址...................................................................33.2.1局域网互联地址.......................................................33.3业务地址...................................................................3第4章VLAN和端口规划...............................................................44.1VLAN划分..................................................................4第5章路由协议部署.................................................................45.1路由选择...................................................................4第6章VPN部署......................................................................56.1VPN设备....................................................................56.2总部与分支机构对接.........................................................56.3总部与移动人员对接.........................................................6第7章DMZ区域部署..................................................................77.1DMZ区域概述................................................................77.2DMZ区域构建................................................................77.3DMZ区域结构图..............................................................8第8章测试方案.....................................................................88.1测试项目...................................................................88.2硬件测试...................................................................98.2.1硬件运行状态测试.....................................................98.3冗余性测试：...............................................................98.4业务测试..................................................................10第1章项目概况1.1项目背景为满足公司业务上的需求，需组建一个网络系统用于办公。总体来说，现代企业网络具有如下特点：1、以客户为中心建立企业战略2、以客户为导向的全流程业务解决方案3、满足企业业务流的分类传送要求。全流程信息化:ERP，CRM，SCM，知识管理。业务处理信息化:财务统计，库存管理，报表计算。4、满足数据、语音、视频综合业务传送5、满足智能的策略控制服务传统的企业局域网以资源共享为中心，以数据业务传送为主,无Qos保证,缺乏对语音、视频实时业务的支持;无法满足内容交换、业务优先级分类传送的需要；新企业网络对局域网络的需求要求满足综合业务及业务优先级分类传送的需要，提供端到端的Qos、安全、内容交换、策略管理。第2章网络总体规划2.1网络设计网络拓扑图如下：网络有如下优点：1.采用核心交换机和接入交换机来构建扁平化的两层网络架构；2.在AC上采用双线接入，做策略路由负载均衡；3.深信服AC对局域网和VPN用户进行上网行为进行管理和监控；4.建立DMZ区域对服务器数据进行保护；第3章IP地址规划3.1管理地址设备的管理地址（即loopback地址）使用192.168.0.0/24网段。序号设备名称管理地址掩码1H3C-S7503E192.168.0.1322FW1000192.168.0.2323AC1300192.168.0.3324H3C-S3600192.168.0.5-8323.2互联地址3.2.1局域网互联地址局域网设备的互联地址使用172.168.1.0/16网段。序号名称本端地址名称对端地址掩码1总部172.16.1.1总仓库172.16.1.2302分支机构172.16.1.330……172.16.1.4303.3业务地址业务地址使用10.0.0.0/8网段。序号业务部门地址段掩码1管理部10.0.0.0242行政部10.0.1.0243销售部10.0.2.0244财务部10.0.3.0245VPN用户10.0.5.024第4章VLAN和端口规划4.1VLAN划分VLAN100:局域网互联网段；VLAN200-900:部门网段；VLAN1000：设备管理地址网段；第5章路由协议部署5.1路由选择路由协议用于学习和维护路由，为网络通讯提供最佳路径，路由协议选择原则如下：开放性和标准化必须使用国际标准的路由协议，保证网络的开放性，支持不同厂商设备的路由互连。可扩展性使用的路由协议必须具备良好的扩展能力，能够支持网络规模的持续增长。支持数据分流路由协议应该支持灵活的路由策略，通过调整路由策略，可以实现数据分流。基于以上三点选择原则，商务快线网建设宜采用电信、网通双线接入。在静态路由的基础上做策略路由；满足不同业务的需求以及实现数据分流和负载均衡。如下图所示：第6章VPN部署6.1VPN设备将VPN建立在防火墙上，AC架设在网关做路由模式。这样AC可以对内网和VPN用户进行统一的管理。6.2总部与分支机构对接总部和分支机构通过GREoverIPsec进行对接。GREoverIPsec支持组播，可传递路由协议。把所有的数据都进行加密，安全性更高IPSECOverGRE即IPSEC在里，GRE在外。先把需要加密的数据包封装成IPSEC包，然后再扔到GRE隧道里。作法是把IPSEC的加密图作用在Tunnel口上的，即在Tunnel口上监控（访问控制列表监控本地ip网段-源i和远端ip网段-目的地），是否有需要加密的数据流，有则先加密封装为IPSEC包，然后封装成GRE包进入隧道（这里显而易见的是，GRE隧道始终无论如何都是存在的，即GRE隧道的建立过程并没有被加密），同时，未在访问控制列表里的数据流将以不加密的状态直接走GRE隧道，即存在有些数据可能被不安全地传递的状况。而GREOverIPSEC是指，先把数据分装成GRE包，然后再分装成IPSEC包。做法是在物理接口上监控，是否有需要加密的GRE流量（访问控制列表针对GRE两端的设备ip），所有的这两个端点的GRE数据流将被加密分装为IPSEC包再进行传递，这样保证的是所有的数据包都会被加密，包括隧道的建立和路由的建立和传递。6.3总部与移动人员对接移动人员建立L2tpoverIPsec进行对接L2TP使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。只要求隧道媒介提供面向数据包的点对点的连接。可以在IP（使用UDP），桢中继永久虚拟电路（PVCs),X.25虚拟电路（VCs）或ATMVCs网络上使用。L2TP扩展了PPP模型，允许第二层和PPP终点处于不同的由包交换网络相互连接的设备来。通过L2TP，用户在第二层连接到一个访问集中器（如：调制解调器池、ADSLDSLAM等），然后这个集中器将单独得的PPP帧隧道到NAS。这样，可以把PPP包的实际处理过程与L2连接的终点分离开来。L2TP使得PPP会话可以出现在接收会话的物理点之外的位置，它用来使所有的通道出现在单个的NAS上，并允许多链接操作，即使是在物理呼叫分散在不同物理位置的NAS上的情况下。第7章DMZ区域部署7.1DMZ区域概述DMZ是英文“demilitarizedzone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。7.2DMZ区域构建DMZ通常是一个过滤的子网，DMZ在内部网络和外部网络之间构造了一个安全地带。DMZ防火墙方案为要保护的内部网络增加了一道安全防线，通常认为是非常安全的。同时它提供了一个区域放置公共服务器，从而又能有效地避免一些互联应用需要公开，而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem池，以及所有的公共服务器，但要注意的是电子商务服务器只能用作用户连接，真正的电子商务后台数据需要放在内部网络中。在方案中，包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机)，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。而局域网内部，对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。7.3DMZ区域结构图第8章测试方案8.1测试项目序号测试项目编号测试项目测试子项目测试结论表示方式说明1HARD_01硬件测试硬件运行状态测试OK：测试结果全部正确POK：测试结果大部分正确NG：测试结果有较大的错误NT：由于各种原因本次无法测3REDU_02线路冗余性测试4APPL_01服务器测试