企业 VPN 网设计方案.docx

企业 VPN 网设计方案.docx

《企业 VPN 网设计方案.docx》由会员分享，可在线阅读，更多相关《企业 VPN 网设计方案.docx（8页珍藏版）》请在冰点文库上搜索。

企业VPN网设计方案

2016-2017学年第二学期

《计算机网络》实习任务书

为加强学生对《计算机网络》理论和技术的深入理解，本学期《计算机网络》课程结束后，按要求应进行相关实习，特制定实习任务书如下：

一、实习目的

通过实习使学生对局域网、企业内部网、虚拟局域网和互联网技术有进一步的理解和应用能力，对相关协议较为熟悉，对组网的硬件、软件以及系统和市场有准确的定位。

二、实习要求

1.认真完成相关实习任务，实习期间不得请假，保证出勤率。

2.通过网络ISP调研，掌握本门课程的重点与难点（或各章中的重、难点）。

3.独立完成相应的实习任务，对组网的过程以及所用的方法与技巧有明确认识。

4.学生最后成绩由平时成绩与答辩现场成绩两部分组成。

三、实习内容（附后）

企业（VPN）网设计方案

某饮食龙头企业XXX集团现有20多家直营连锁店，营业总面积达20万平方米，每月服务100万人次。

目前，XXX集团营销网络主要分布全国9个城市。

要求投资总额在200万元左右。

1.网络现状：

（1）公司在全国共有9个办事处，希望能与总部共构建虚拟专网。

（2）总部及各地连接Internet地方建议采用ADSL连接。

2.网络要求：

　　在性能和安全满足的条件下，采用较低的成本能完成以下功能：

（1）各办事处能组建虚拟专用网络连接，实现资源共享；

（2）保证数据传输过程的实时性、安全性和稳定性；

（3）能实现公司ERP管理软件的正常运行；

（4）解决方案低成本；

（5）方便的安装和自动的操作管理；

（6）各局域网之间能相互资源访问。

3.设备选型：

（1）设备型号，各层设备的具体型号；

（2）设备价格，各层设备的公开报价。

4.方案概述

由参与设计的学生自行确定。

电气与计算机学院

2016年6月

一、需求分析

1.1网络现状

（1）公司在全国共有9个办事处，希望能与总部共构建虚拟专网。

（2）总部及各地连接Internet地方建议采用ADSL连接。

1.2需求概况

在性能和安全满足的条件下，采用较低的成本能完成以下功能：

（1）各办事处能组建虚拟专用网络连接，实现资源共享；

（2）保证数据传输过程的实时性、安全性和稳定性；

（3）能实现公司ERP管理软件的正常运行；

（4）解决方案低成本；

（5）方便的安装和自动的操作管理；

（6）各局域网之间能相互资源访问。

二、网络规划

2.1企业网络主要实现有以下几个方面的功能：

·资源共享功能：

网络内的各个桌面用户可共享数据库、共享打印机，实现办公自动化系统中的各项功能。

·通信服务功能：

最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。

·多媒体功能：

支持多媒体组播，具有卓越的服务质量保证功能。

·远程VPN拨入访问功能：

系统支持远程PPTP接入，外地员工可利用INTERNET远程访问公司资源。

2．2企业网设计原则:

·实用性和经济性?

?

系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设企业的网络系统。

·先进性和成熟性

系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。

不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内企业网络仍占领先地位。

·可靠性和稳定性

在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，TP-LINK网络作为国内知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。

·安全性和保密性?

在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，TP-LINK网络充分考虑安全性，针对小型企业的各种应用，有多种的保护机制，如划分VLAN、MAC地址绑定、802.1x、802.1d等。

·可扩展性和易维护性

为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用，提高网络的易用性。

2．3要实现VPN网络要求具备如下几个基本要素

2.3.1固定IP地址

公司用户要想从家中或者出差当地的酒店或宾馆网络通过VPN方式连入公司网络就要求公司必须具备一个固定的公网IP地址，否则用户在公司网络之外就无法找到公司的网络。

2.3.2VPN网关设备

公司内部必须具有供用户通过VPN方式连入的设备，并且这种设备需要填写公司的固定公网IP地址以便用户找到公司网络，这种设备就是VPN网关设备。

2.3．3VPN客户端软件

用户端机器上需要安装VPN客户端软件，以方便用户通过VPN的方式拨号进入公司网络。

根据采用的VPN协议不同，客户端软件又可以分为PPTP客户端、L2TP客户端、IPSEC客户端、SSL客户端等。

2.3.4VPN身份认证机制

在用户使用VPN客户端通过VPN方式拨号进入公司网络的过程中，VPN网关将会对VPN客户端进行身份认证以确保只有合法用户才可以连入公司网络。

现在使用于VPN网络的身份验证机制主要包括用户名加密码验证模式和数字证书模式两种。

三、网络总体设计方案

总体设计方案：

1．总部与办事处均采用ADSL方式上网

2．在总部配置一台华盾VPN100硬件设备作为网关

3．申请DDNS服务

4．在总部的网关上运行VPN网关系统，配置相关的VPN和防火墙规则

5．启动每个网关的VPN隧道策略，VNP客户端通过一个固定的域名与总部VNP网关联系，随时建立VNP隧道。

此时网络就可以通过VPN实现相互访问。

网关实现方案：

1.Internet接入线路的申请

为了创建网络，需要向电信申请一条ADSL专线来满足创建VPN网络的需求。

向电信申请30用户的电信线路，现有资费模式中最为合适的应该属于1888包月、免安装费、带宽为4M的资费标准。

2.VPN网关的部署

2.1VPN网关的配置选型

做为实现VPN网络的核心设备VPN网关，我们推荐使用华盾VPN网关100。

2.2VPN网关的安装部署

我们将来自电信的线路接入华盾VPN网关100，然后再在现有的Cisco3560上找一个空余口转换为三层接口并与网盾VPN网关内网口设置同一网段IP地址后，将VPN网关100和Cisco3560连接起来并配置相应路由以保证VPN100网段与现有网络能够通讯。

除此之外，我们还需要在华盾VPN网关100上进行配置以保证用户能够使用客户端拨号连入现有网络。

3VPN客户端软件的安装

为了方便用户通过VPN的方式拨号进入现有网络并保证现有网络的安全，我们为每一个需要在家或者出差时候进行远程办公的用户安装高安全性的IPSec协议VPN客户端软件。

4VPN身份认证机制的实现

为了确保现有网络的安全性，在用户使用客户端软件通过VPN方式拨入的时候，在VPN网关与客户端软件之间需要通过身份认证后才能够允许用户拨入现有网络。

由于用户名加密码验证模式容易因帐户被窃取而造成安全问题，为了最大程度的保证现有网络的安全性，我们推荐使用数字证书的身份验证模式。

在使用华盾VPN网关100实现VPN网络的过程中，我们建议由网管人员负责VPN证书的发放工作，然后使用USBKEY做为保存证书的载体对相应的证书做一个保存工作，然后将保存证书的USBKEY分别发放给相应的用户，以保证公司VPN网络身份的唯一性、安全性和可控性。

四、网络架构中的产品定型及报价

产品定型及报价

1、VPN网关（华盾VPN网关100）一台，安装在总部，实现网络防火墙及VNP网关功能，报价10万元

2、VPN客户端（华盾）50套，VNP客户端通过一个固定的域名与总部VNP网关联系，随时建立VNP隧道，报价30万元

3、USBKEY50个，报价3万元

产品规格：

项目型号

华盾VPN100

电源要求

输入电压（AC/DC）

AC100~240V,50-60Hz

功耗（W）

65W

环境参数

工作温度

0～+40oC

工作湿度

20～90％，不结露

保存温度

-20～+70oC

保存湿度

5～95％，不结露

物理指标

尺寸（HⅹWⅹD）

427.5（W）×300（D）×45（H）（mm）标准机架式1U机箱

重量（Kg）

6.2Kg

系统接口

网络接口

3*10/100MBase-TEthernet

串口

2个RS232串行控制口

USB接口

1个USB接口

VPN性能指标

并发隧道数

500条

峰值加密速度

≥20Mbps（ipsec吞吐率）

FireWall吞吐率

95Mbps

最大并发会话数

200，000条

平均无故障工作时间

60，000小时

支持协议标准

IPSEC协议

ESP、AH、IKE、NATT（0.6）

协议封装模式

隧道模式封装和传输模式封装

IKE认证方式

支持预共享密钥、数字证书

IKE交换模式

主模式、野蛮模式、快速模式

支持加密算法

对称密钥算法

DES、3DES、AES、blowfish、twofish、国家密码管理机构批准的高强度算法

非对称密钥算法

DH1024、DH2048、RSA1024、RSA2048

摘要算法

MD5、SHA1、SHA2

支持接入方式

支持接入方式

支持专线宽带接入、小区宽带接入、ADSL宽带接入、CABLEMODEM宽带接入、ISDN拨号接入、普通电话拨号接入等多种Internet接入方式；

网关附加功能

防火墙

状态包过滤、NAT地址转换、IP-MAC地址绑定等完善的防火墙功能

双机热备

支持双机热备

DHCP

支持DHCP服务器及客户端

带宽管理（Qos）

支持多优先级、多队列多种排队算法的动态带宽管理策略

DDNS

支持DDNS的动态域名解析

评语：

指导教师：

2012年6月22日