企业VPN网设计专业方案.doc

《企业VPN网设计专业方案.doc》由会员分享，可在线阅读，更多相关《企业VPN网设计专业方案.doc（11页珍藏版）》请在咨信网上搜索。

1、 -第二学期计算机网络实习任务书为加强学生对计算机网络理论和技术深入了解，本学期计算机网络课程结束后，按要求应进行相关实习，特制订实习任务书以下：一、 实习目标经过实习使学生对局域网、企业内部网、虚拟局域网和互联网技术有深入了解和应用能力，对相关协议较为熟悉，对组网硬件、软件和系统和市场有正确定位。二、 实习要求1. 认真完成相关实习任务，实习期间不得请假，确保出勤率。2. 经过网络ISP调研，掌握本门课程关键和难点（或各章中重、难点）。3. 独立完成对应实习任务，对组网过程和所用方法和技巧有明确定识。4. 学生最终成绩由平时成绩和答辩现场成绩两部分组成。三、实习内容（附后）企业（VPN）网设

2、计方案某饮食龙头企业XXX集团现有20多家直营连锁店，营业总面积达20万平方米，每个月服务100万人次。现在，XXX集团营销网络关键分布全国9个城市。要求投资总额在200万元左右。1.网络现实状况：（1）企业在全国共有9个办事处，期望能和总部共构建虚拟专网。 （2）总部及各地连接Internet地方提议采取ADSL连接。 2.网络要求：在性能和安全满足条件下，采取较低成本能完成以下功效：（1）各办事处能组建虚拟专用网络连接，实现资源共享； （2）确保数据传输过程实时性、安全性和稳定性； （3）能实现企业ERP管理软件正常运行； （4）处理方案低成本； （5）方便安装和自动操作管理； （6）各局

3、域网之间能相互资源访问。3.设备选型：（1）设备型号，各层设备具体型号；（2）设备价格，各层设备公开报价。4.方案概述由参与设计学生自行确定。电气和计算机学院6月一、 需求分析1.1 网络现实状况（1）企业在全国共有9个办事处，期望能和总部共构建虚拟专网。 （2）总部及各地连接Internet地方提议采取ADSL连接。 1.2 需求概况在性能和安全满足条件下，采取较低成本能完成以下功效：（1）各办事处能组建虚拟专用网络连接，实现资源共享； （2）确保数据传输过程实时性、安全性和稳定性； （3）能实现企业ERP管理软件正常运行； （4）处理方案低成本； （5）方便安装和自动操作管理； （6）各局

4、域网之间能相互资源访问。二、网络计划2.1企业网络关键实现有以下多个方面功效： 资源共享功效：网络内各个桌面用户可共享数据库、共享打印机，实现办公自动化系统中各项功效。 通信服务功效：最终用户经过广域网连接能够收发电子邮件、实现Web应用、接入互联网、进行安全广域网访问。 多媒体功效：支持多媒体组播，含有卓越服务质量确保功效。 远程VPN拨入访问功效：系统支持远程PPTP接入，外地职员可利用INTERNET远程访问企业资源。22企业网设计标准: 实用性和经济性系统建设应一直落实面向应用，重视实效方针，坚持实用、经济标准，建设企业网络系统。 优异性和成熟性系统设计既要采取优异概念、技术和方法，又

5、要注意结构、设备、工具相对成熟。不仅能反应该今优异水平，而且含有发展潜力，能确保在未来若干年内企业网络仍占领先地位。 可靠性和稳定性在考虑技术优异性和开放性同时，还应从系统结构、技术方法、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行可靠性和稳定性，达成最大平均无故障时间，TP-LINK网络作为中国著名品牌，网络领导厂商，其产品可靠性和稳定性是一流。 安全性和保密性在系统设计中，既考虑信息资源充足共享，更要注意信息保护和隔离，所以系统应分别针对不一样应用和不一样网络通信环境，采取不一样方法，包含系统安全机制、数据存取权限控制等，TP-LINK网络充足考虑安全性，针对小型企业

6、多种应用，有多个保护机制，如划分VLAN、MAC地址绑定、802.1x、802.1d等。 可扩展性和易维护性为了适应系统改变要求，必需充足考虑以最简便方法、最低投资，实现系统扩展和维护，采取可网管产品，降低了人力资源费用，提升网络易用性。23要实现VPN网络要求含有以下多个基础要素2.3.1固定IP地址企业用户要想从家中或出差当地酒店或宾馆网络经过VPN方法连入企业网络就要求企业必需含有一个固定公网IP地址，不然用户在企业网络之外就无法找到企业网络。2.3.2 VPN网关设备企业内部必需含有供用户经过VPN方法连入设备，而且这种设备需要填写企业固定公网IP地址方便用户找到企业网络，这种设备就是

7、VPN网关设备。2.33 VPN用户端软件用户端机器上需要安装VPN用户端软件，以方便用户经过VPN方法拨号进入企业网络。依据采取VPN协议不一样，用户端软件又能够分为PPTP用户端、L2TP用户端、IPSEC用户端、SSL用户端等。2.3.4 VPN身份认证机制在用户使用VPN用户端经过VPN方法拨号进入企业网络过程中，VPN网关将会对VPN用户端进行身份认证以确保只有正当用户才能够连入企业网络。现在使用于VPN网络身份验证机制关键包含用户名加密码验证模式和数字证书模式两种。三、 网络总体设计方案总体设计方案：1 总部和办事处均采取ADSL方法上网2 在总部配置一台华盾VPN100硬件设备作

8、为网关3 申请DDNS服务4 在总部网关上运行VPN网关系统，配置相关VPN和防火墙规则5 开启每个网关VPN隧道策略，VNP用户端经过一个固定域名和总部VNP网关联络，随时建立VNP隧道。此时网络就能够经过VPN实现相互访问。网关实现方案：1. Internet接入线路申请为了创建网络，需要向电信申请一条ADSL专线来满足创建VPN网络需求。向电信申请30用户电信线路，现有资费模式中最为适宜应该属于1888包月、免安装费、带宽为4M资费标准。2. VPN网关布署2.1 VPN网关配置选型做为实现VPN网络关键设备VPN网关，我们推荐使用华盾VPN网关100。2.2 VPN网关安装布署我们未来

9、自电信线路接入华盾VPN网关100，然后再在现有Cisco 3560上找一个空余口转换为三层接口并和网盾VPN网关内网口设置同一网段IP地址后，将VPN网关100和Cisco 3560连接起来并配置对应路由以确保VPN 100网段和现有网络能够通讯。除此之外，我们还需要在华盾VPN网关100上进行配置以确保用户能够使用用户端拨号连入现有网络。3 VPN用户端软件安装为了方便用户经过VPN方法拨号进入现有网络并确保现有网络安全，我们为每一个需要在家或出差时候进行远程办公用户安装高安全性IPSec协议VPN用户端软件。4 VPN身份认证机制实现为了确保现有网络安全性，在用户使用用户端软件经过VPN

10、方法拨入时候，在VPN网关和用户端软件之间需要经过身份认证后才能够许可用户拨入现有网络。因为用户名加密码验证模式轻易因帐户被窃取而造成安全问题，为了最大程度确保现有网络安全性，我们推荐使用数字证书身份验证模式。在使用华盾VPN网关100实现VPN网络过程中，我们提议由网管人员负责VPN证书发放工作，然后使用USB KEY做为保留证书载体对对应证书做一个保留工作，然后将保留证书USB KEY分别发放给对应用户，以确保企业VPN网络身份唯一性、安全性和可控性。四、 网络架构中产品定型及报价产品定型及报价1、 VPN网关(华盾VPN网关100)一台，安装在总部，实现网络防火墙及VNP网关功效，报价1

11、0万元2、 VPN用户端（华盾）50套，VNP用户端经过一个固定域名和总部VNP网关联络，随时建立VNP隧道，报价30万元3、 USB KEY50个，报价3万元产品规格：项目 型号华盾VPN100电源要求输入电压（AC/DC）AC100240V, 50-60Hz功耗（W）65W环境参数工作温度0+40oC工作湿度2090，不结露保留温度-20+70oC保留湿度595，不结露物理指标尺寸（HWD）427.5(W)300(D)45(H) (mm) 标准机架式1U机箱重量（Kg）6.2Kg系统接口网络接口3*10/100MBase-T Ethernet串口2个RS232串行控制口USB接口1个USB

12、接口VPN性能指标并发隧道数500条峰值加密速度20Mbps（ipsec吞吐率）FireWall吞吐率95Mbps最大并发会话数200，000条平均无故障工作时间60，000小时支持协议标准IPSEC协议ESP、AH、IKE、NATT（0.6）协议封装模式隧道模式封装和传输模式封装IKE认证方法支持预共享密钥、数字证书IKE交换模式主模式、野蛮模式、快速模式支持加密算法对称密钥算法DES、3DES、AES、blowfish、two fish、国家密码管理机构同意高强度算法非对称密钥算法DH1024、DH2048、RSA1024、RSA2048摘要算法MD5、SHA1、SHA2支持接入方法支持接入方法支持专线宽带接入、小区宽带接入、ADSL宽带接入、CABLE MODEM宽带接入、ISDN拨号接入、一般电话拨号接入等多个Internet接入方法；网关附加功效防火墙状态包过滤、NAT地址转换、IP-MAC地址绑定等完善防火墙功效双机热备支持双机热备DHCP支持DHCP服务器及用户端带宽管理（Qos）支持多优先级、多队列多个排队算法动态带宽管理策略DDNS支持DDNS动态域名解析评 语： 指导老师： 6月22日