企业VPN网设计专业方案.doc

《企业VPN网设计专业方案.doc》由会员分享，可在线阅读，更多相关《企业VPN网设计专业方案.doc（11页珍藏版）》请在咨信网上搜索。

-第二学期 《计算机网络》实习任务书 为加强学生对《计算机网络》理论和技术深入了解，本学期《计算机网络》课程结束后，按要求应进行相关实习，特制订实习任务书以下： 一、 实习目标 经过实习使学生对局域网、企业内部网、虚拟局域网和互联网技术有深入了解和应用能力，对相关协议较为熟悉，对组网硬件、软件和系统和市场有正确定位。 二、 实习要求 1. 认真完成相关实习任务，实习期间不得请假，确保出勤率。 2. 经过网络ISP调研，掌握本门课程关键和难点（或各章中重、难点）。 3. 独立完成对应实习任务，对组网过程和所用方法和技巧有明确定识。 4. 学生最终成绩由平时成绩和答辩现场成绩两部分组成。 三、实习内容（附后） 企业（VPN）网设计方案 某饮食龙头企业XXX集团现有20多家直营连锁店，营业总面积达20万平方米，每个月服务100万人次。现在，XXX集团营销网络关键分布全国9个城市。要求投资总额在200万元左右。 1.网络现实状况： （1）企业在全国共有9个办事处，期望能和总部共构建虚拟专网。 （2）总部及各地连接Internet地方提议采取ADSL连接。 2.网络要求： 　　在性能和安全满足条件下，采取较低成本能完成以下功效： （1）各办事处能组建虚拟专用网络连接，实现资源共享； （2）确保数据传输过程实时性、安全性和稳定性； （3）能实现企业ERP管理软件正常运行； （4）处理方案低成本； （5）方便安装和自动操作管理； （6）各局域网之间能相互资源访问。 3.设备选型： （1）设备型号，各层设备具体型号； （2）设备价格，各层设备公开报价。 4.方案概述 由参与设计学生自行确定。 电气和计算机学院 6月 一、 需求分析 1.1 网络现实状况 （1）企业在全国共有9个办事处，期望能和总部共构建虚拟专网。 （2）总部及各地连接Internet地方提议采取ADSL连接。 1.2 需求概况 在性能和安全满足条件下，采取较低成本能完成以下功效： （1）各办事处能组建虚拟专用网络连接，实现资源共享； （2）确保数据传输过程实时性、安全性和稳定性； （3）能实现企业ERP管理软件正常运行； （4）处理方案低成本； （5）方便安装和自动操作管理； （6）各局域网之间能相互资源访问。 二、网络计划 2.1企业网络关键实现有以下多个方面功效： · 资源共享功效： 网络内各个桌面用户可共享数据库、共享打印机，实现办公自动化系统中各项功效。 · 通信服务功效： 最终用户经过广域网连接能够收发电子邮件、实现Web应用、接入互联网、进行安全广域网访问。 · 多媒体功效： 支持多媒体组播，含有卓越服务质量确保功效。 · 远程VPN拨入访问功效： 系统支持远程PPTP接入，外地职员可利用INTERNET远程访问企业资源。 2．2企业网设计标准: · 实用性和经济性   系统建设应一直落实面向应用，重视实效方针，坚持实用、经济标准，建设企业网络系统。 · 优异性和成熟性 系统设计既要采取优异概念、技术和方法，又要注意结构、设备、工具相对成熟。不仅能反应该今优异水平，而且含有发展潜力，能确保在未来若干年内企业网络仍占领先地位。 · 可靠性和稳定性 在考虑技术优异性和开放性同时，还应从系统结构、技术方法、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行可靠性和稳定性，达成最大平均无故障时间，TP-LINK网络作为中国著名品牌，网络领导厂商，其产品可靠性和稳定性是一流。 · 安全性和保密性  在系统设计中，既考虑信息资源充足共享，更要注意信息保护和隔离，所以系统应分别针对不一样应用和不一样网络通信环境，采取不一样方法，包含系统安全机制、数据存取权限控制等，TP-LINK网络充足考虑安全性，针对小型企业多种应用，有多个保护机制，如划分VLAN、MAC地址绑定、802.1x、802.1d等。 · 可扩展性和易维护性 为了适应系统改变要求，必需充足考虑以最简便方法、最低投资，实现系统扩展和维护，采取可网管产品，降低了人力资源费用，提升网络易用性。 2．3要实现VPN网络要求含有以下多个基础要素 2.3.1固定IP地址 企业用户要想从家中或出差当地酒店或宾馆网络经过VPN方法连入企业网络就要求企业必需含有一个固定公网IP地址，不然用户在企业网络之外就无法找到企业网络。 2.3.2 VPN网关设备 企业内部必需含有供用户经过VPN方法连入设备，而且这种设备需要填写企业固定公网IP地址方便用户找到企业网络，这种设备就是VPN网关设备。 2.3．3 VPN用户端软件 用户端机器上需要安装VPN用户端软件，以方便用户经过VPN方法拨号进入企业网络。依据采取VPN协议不一样，用户端软件又能够分为PPTP用户端、L2TP用户端、IPSEC用户端、SSL用户端等。 2.3.4 VPN身份认证机制 在用户使用VPN用户端经过VPN方法拨号进入企业网络过程中，VPN网关将会对VPN用户端进行身份认证以确保只有正当用户才能够连入企业网络。现在使用于VPN网络身份验证机制关键包含用户名加密码验证模式和数字证书模式两种。 三、 网络总体设计方案 总体设计方案： 1． 总部和办事处均采取ADSL方法上网 2． 在总部配置一台华盾VPN100硬件设备作为网关 3． 申请DDNS服务 4． 在总部网关上运行VPN网关系统，配置相关VPN和防火墙规则 5． 开启每个网关VPN隧道策略，VNP用户端经过一个固定域名和总部VNP网关联络，随时建立VNP隧道。此时网络就能够经过VPN实现相互访问。 网关实现方案： 1. Internet接入线路申请 为了创建网络，需要向电信申请一条ADSL专线来满足创建VPN网络需求。向电信申请30用户电信线路，现有资费模式中最为适宜应该属于1888包月、免安装费、带宽为4M资费标准。 2. VPN网关布署 2.1 VPN网关配置选型 做为实现VPN网络关键设备VPN网关，我们推荐使用华盾VPN网关100。 2.2 VPN网关安装布署 我们未来自电信线路接入华盾VPN网关100，然后再在现有Cisco 3560上找一个空余口转换为三层接口并和网盾VPN网关内网口设置同一网段IP地址后，将VPN网关100和Cisco 3560连接起来并配置对应路由以确保VPN 100网段和现有网络能够通讯。 除此之外，我们还需要在华盾VPN网关100上进行配置以确保用户能够使用用户端拨号连入现有网络。 3 VPN用户端软件安装 为了方便用户经过VPN方法拨号进入现有网络并确保现有网络安全，我们为每一个需要在家或出差时候进行远程办公用户安装高安全性IPSec协议VPN用户端软件。 4 VPN身份认证机制实现 为了确保现有网络安全性，在用户使用用户端软件经过VPN方法拨入时候，在VPN网关和用户端软件之间需要经过身份认证后才能够许可用户拨入现有网络。因为用户名加密码验证模式轻易因帐户被窃取而造成安全问题，为了最大程度确保现有网络安全性，我们推荐使用数字证书身份验证模式。 在使用华盾VPN网关100实现VPN网络过程中，我们提议由网管人员负责VPN证书发放工作，然后使用USB KEY做为保留证书载体对对应证书做一个保留工作，然后将保留证书USB KEY分别发放给对应用户，以确保企业VPN网络身份唯一性、安全性和可控性。 四、 网络架构中产品定型及报价 产品定型及报价 1、 VPN网关(华盾VPN网关100)一台，安装在总部，实现网络防火墙及VNP网关功效，报价10万元 2、 VPN用户端（华盾）50套，VNP用户端经过一个固定域名和总部VNP网关联络，随时建立VNP隧道，报价30万元 3、 USB KEY50个，报价3万元 产品规格： 项目 型号 华盾VPN100 电源要求 输入电压（AC/DC） AC100~240V, 50-60Hz 功耗（W） 65W 环境参数 工作温度 0～+40oC 工作湿度 20～90％，不结露 保留温度 -20～+70oC 保留湿度 5～95％，不结露 物理指标 尺寸（HⅹWⅹD） 427.5(W)×300(D)×45(H) (mm) 标准机架式1U机箱 重量（Kg） 6.2Kg 系统接口 网络接口 3*10/100MBase-T Ethernet 串口 2个RS232串行控制口 USB接口 1个USB接口 VPN性能指标 并发隧道数 500条 峰值加密速度 ≥20Mbps（ipsec吞吐率） FireWall吞吐率 95Mbps 最大并发会话数 200，000条 平均无故障工作时间 60，000小时 支持协议标准 IPSEC协议 ESP、AH、IKE、NATT（0.6） 协议封装模式 隧道模式封装和传输模式封装 IKE认证方法 支持预共享密钥、数字证书 IKE交换模式 主模式、野蛮模式、快速模式 支持加密算法 对称密钥算法 DES、3DES、AES、blowfish、two fish、国家密码管理机构同意高强度算法 非对称密钥算法 DH1024、DH2048、RSA1024、RSA2048 摘要算法 MD5、SHA1、SHA2 支持接入方法 支持接入方法 支持专线宽带接入、小区宽带接入、ADSL宽带接入、CABLE MODEM宽带接入、ISDN拨号接入、一般电话拨号接入等多个Internet接入方法； 网关附加功效 防火墙 状态包过滤、NAT地址转换、IP-MAC地址绑定等完善防火墙功效 双机热备 支持双机热备 DHCP 支持DHCP服务器及用户端 带宽管理（Qos） 支持多优先级、多队列多个排队算法动态带宽管理策略 DDNS 支持DDNS动态域名解析 评 语： 指导老师： 6月22日