长沙县电信VPN方案.docx
《长沙县电信VPN方案.docx》由会员分享,可在线阅读,更多相关《长沙县电信VPN方案.docx(25页珍藏版)》请在冰点文库上搜索。
长沙县电信VPN方案
VPN组网建设方案
第一章网络设计方案
1.1项目背景与原则
网络办公打破了传统的工作模式,组建一个跨区域的私有网络转变以前传统分离的网络,将所有的分支网络完全融合在一起,利于管理。
作为一项改变传统工作模式的网络,通过我们的努力,建立一个较完善的计算机网络体系和内容丰富的综合信息资源库,实现信息资源数字化、办公自动化、管理现代化、决策科技化,全面提高工作效率。
建设原则
长沙县电信网络建设坚持以下原则:
——统筹规划,分步实施。
按照应用需求,全面规划和统一部署网络、安全、应用基础设施、信息资源及应用系统的建设;统一标准和规范,确保大楼网络系统的安全与可靠性;制定可行的分步实施计划。
——整合资源,协同共享。
强化全局意识,充分利用现有资源,加大整合力度,把增量投入与存量整合有机结合起来,带动存量资产的整合优化,互联互通、信息共享,为企业提供有力的支持。
——平台统一,业务分建。
建设大楼网络平台,在平台上实现员工之间信息交换,消除“信息孤岛”,达到节约投资、安全可靠的目的。
业务系统根据需求,分层推进,分工建设。
——发展完善,与时俱进。
既坚持实用性、先进性、经济性、安全性,又具有可扩展性和一定的前瞻性,适应大楼网络的持续改进的需求,适应不同时期大楼网络建设有效利用及系统建设不断完善的要求,保证大楼网络持续发展的需要。
1.1.1网络结构及示意图
在长沙县电信网络拓扑图中,各村部设备采用华赛生产的USG2160防火墙,自带8口内网交换口,同时该防护墙带有路由器功能,能全面保障网络的安全同时提供用户网络访问,该机型IPsecVPN数据的加密性能也很强,能充分满足网络的需求,同时还便于后期网络的扩容;总部采用华赛的高性能千兆防火墙USG2230,高性能的IPsecVPN的加密能力,对于总部除了要提供VPN加密还要提供数据的转发,该机能提供高速转发,能满足用户现今需求,同时方便用户扩容。
各分支路由器通过配置IPsecVPN自动和总部建立IPsecVPN隧道,将用户的数据进行加密传至总部,总部接收到数据后对其进行解密,完成一系列的网络通信,此时对于用户来说,这个隧道是完全透明的,各种应用程序完全不知道隧道的存在。
为保证网络安全可靠,考虑到网络冗余问题,网络中采用3G无线网卡做为备份链路进行VPN链接,保障当一个线路出现问题时能够切换到另一个网,保障网络可用。
1.1网络方案
网络系统拓扑图
根据客户需求,本方案主要采用专线的方式进行组网,网络总部到网络各分支均采用专线的方式进行互联,同时考虑到网络冗余性,网络中还部署3G无线的互联,并且通过VPN的方式进行互联,做到一个备份的作用,保障网络可用性。
采用此种组网方案,设备互联地址由用户自行规划,并且地址固顶,最大的优点就是安全和稳定,采用专线方式不会链接外网可以充分保障网络安全,并且网络稳定好,网络带宽独享给用户,任何时候保障用户的带宽,保障业务。
采用3G的模式备份主要为防止运营商的有限链路出现问题,可以及时的切换到备份3G链路,从而保证网络可靠性。
方案中总部必须要有固定IP地址,各分部通过VPN的方式连接到总部网络。
1.2网络建设性能与技术需求
1、先进性和成熟性
系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。
不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证企业网络建设的领先地位,网络主干设备选用高带宽的、千兆位及万兆位线速路由交换技术。
2、高性能
系统建设应始终贯彻面向应用,注重实效的方针,保证系统具有足够的数据传输带宽,并为可预计的业务提供足够的系统容量和提供QOS,COS服务品质,建设高性能网络系统,保护用户的投资。
3、可靠性和稳定性
在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。
4、安全性和保密性
在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等,如划分VLAN、MAC地址绑定、802.1x、802.1d、802.1w、802.1s、VRRP、ACL、PORT+IP+MAC绑定等。
5、可扩展性和可管理性
为了适应系统变化的要求,必须充分考虑以最简便的方法、最佳的投资,实现系统的扩展和维护,建议全线采用可网管产品,提供堆叠、集群功能,降低了人力资源的费用,提高网络的易用性、可管理性,同时又具有很好的可扩充性,实现网络的可维性。
6、结构化设计
分支:
网络各分支自行管理接入公网,通过路由器做vpn隧道连接总部。
总部:
连接各分支,承载广播调度系统,由总部统一指挥调度。
1.3网络设计思想
为了更好的满足当前对网络系统的需求并适应未来系统扩展的需要,必须在网络系统设计中考虑如下一些关键因素:
高带宽、低延迟。
目前及以后网络应用需要更高的带宽和更低的延迟。
网络流量类型不断变化,并变得越来越不可预测,均需要以最小的费用提供更高的带宽,处理网络背板流量;
对质量保证服务QoS的要求。
随着多媒体应用的逐步推广,对质量保证服务QoS的要求也不断增加。
网络系统必须支持多级别QoS以提供延迟极小的信道,并根据应用的要求提供不同级别的质量保证服务;
集成服务。
数据、视频和语音服务的集成是一个关键性因素。
因此,必须考虑WAN服务、网络主干、简化管理及降低费用等多个因素;
网络技术的成熟性。
除网络主干交换机、工作组交换机、安全产品、网卡等网络产品对该项网络技术的全面支持外,必须考虑是否可以提供嵌入的管理代理、管理应用工具和测试设备。
网络的安全性。
确保网络的安全是系统必不可少的部分,通过整个网络的规划与设计,运用各种技术来达到网络高安全性的要求。
依据以上思想原则我们将网络分为如下几个部分进行网络的规划与设计。
1.4总部网络设计
对于VPN网络来说,比较重要的环节就是网络总部,该节点不但承载各分支过来的数据的加密,还担负各节点间的数据转发,这对于网络总部的设备就提出了高转发性能,高IPsecVPN加密性的要求;IPsecVPN网络通常放置于公网之上,对于来自网络的各种攻击也必须进行防御。
对此,设备就必须具备如下功能:
采用高性能的数据转发的方式,在保持线速性能和低成本的基础上,能够有效的抗击网络抵御DDoS攻击、蠕虫、特洛伊木马、病毒、非法入侵和违规网络使用,更加适合大规模、多业务,复杂流量访问的网络。
提供防病毒模块,同时能及时的对病毒进行检测,对于隐藏在网络流量中的病毒,具有高效、精准的查杀能力。
提供 IPS入侵防御功能,及时进行IPS检测,可提供高效、精准的网络报文扫描能力,对于IPS躲避和欺骗技术做到准确识别。
支持ARPProxy;
提供丰富的路由协议:
RIP、OSPF、IS-IS、BGP4、WCMP、ECMP及策略路由;
支持VRRP;
支持DHCP-RELAY;
支持丰富的组播协议:
IGMP、PIM-DM、PIM-SM、DVMRP,支持IGMP源IP、源端口检查;
根据以上需求,结合我们实际经验,对于长沙电信网络总部,设备在选型方面采用防火墙,来防止公网过来的攻击,同时该设备具备高IPsecVPN加密能力及数据转发能力。
在网络数据方面,根据客户需求,我们采用ipsec的方式加密用户数据,保障网络数据传输的安全。
根据客户网络的要求,网络互联采用专线和3G无线的模式,采用两种链路的主要目的是保障网络的冗余,同时通过vpn方式来保证网络安全。
1.4.1USG2230防火墙特点及规格
特点
强可靠的UTM——有效保障用户关键业务
融合赛门铁克先进的IPS和反病毒技术,涵盖多种解压算法,整合虚拟引擎、脚本解析引擎、PDF引擎等独特引擎技术,融合多种反躲避检测技术,采用华为赛门铁克公司专有的“一体化检测引擎”技术,配合持续更新的特征库,铸就99%以上的检测率,实现真正安全。
IPS入侵防御功能采用了赛门铁克公司先进的IPS检测引擎,可提供高效、精准的网络报文扫描能力,对于IPS躲避和欺骗技术也可以做到准确识别。
AV防病毒模块采用了赛门铁克公司先进的病毒检测引擎,对于隐藏在网络流量中的病毒,具有高效、精准的查杀能力。
AS反垃圾邮件模块有效拦截垃圾邮件,净化企业邮件系统,解决垃圾邮件对正常工作带来的干扰问题。
URL过滤功能采用先进的匹配引擎,极大的缩短了URL匹配时间,使得URL过滤功能更加的高效。
高易用的UTM——即开即用,动态更新,实时保障
SecospaceUSG系列的UTM功能,结合在全球客户的实践经验,制定出最适合的检测策略,配合友好的图形界面,用户只需开启相关功能,不需要做任何配置即开始运行,做到真正易用。
部署在全球的升级中心,实时关注网络安全事件,动态更新UTM各类检测库、特征库,实时应对各种攻击方法——为用户网络提供真正可用、易用的综合防御设备。
深DPI能力,支持800多种应用协议识别——用户随心所欲控制网络应用,洁净网络环境
华为赛门铁克公司拥有业界一流的安全问题分析研究团队,经过多年的积累,在应用协议识别方面处于业务领先地位——精确识别800多种应用协议,主流应用全覆盖。
用户可以根据自身网络业务情况,按需控制网络流量,节约网络带宽并保证重要业务的可靠运行。
华为赛门铁克在全球部署多个攻防实验室、密网和蜜罐系统,检测超过13000G的网络流量,监控4000万网络域名,实时了解最新的安全威胁、攻击等信息,并提取相关特征以便用于产品更新,维持产品的高安全性,保证客户投资的持续增值
全业务集成能力,软、硬件按需选配、超强扩展——节约用户投资,降低TCO
SecospaceUSG2000系列产品集传统防火墙、UTM、路由、交换、无线(Wi-Fi、3G)、开放业务平台于一体;支持GE/FE/Serial/E1/CE1/3G/WIFI等多种类型板卡扩展;支持业界最多的VPN模式,包括:
GRE/IPSEC/L2TP/SSL/MPLSVPN。
用户可根据自身网络及业务需求,按需选配、自由组合,选择最适合企业的功能模块;并支持超强的扩展能力,适合企业日益增强的软、硬件要求,充分保护用户投资。
规格
型号
USG2100
USG2200
USG2130
USG2160
USG2210
USG2220
USG2230
USG2250
扩展及I/0
标配接口
1Wan+8Lan
2GECombo
扩展槽位
1MIC
2MIC
4MIC+2FIC
接口模块类型
MIC:
1E1、1CE1、1SA、2SA、1ADSL2+、1FE、5ESW、4G.SHDSL.bis、2G.SHDSL.bis、1G.SHDSL.bis、3G-WCDMA、3G-CDMA2000、3G-TD-SCDMA、DMIC-8FE2GE
USB扩展:
WCDMA3G、CDMA20003G、TD-SCDMA3G
MIC:
1FE、5FSW、1E1、1CE1、1WiFi、1SA、2SA、1ADSL2+、4G.SHDSL.bis、2G.SHDSL.bis、1G.SHDSL.bis、3G-WCDMA、3G-CDMA2000、3G-TD-SCDMA、DMIC:
8FE2GE
FIC:
2E1、2CE1、4E1、4CE1、8E1、8CE1、2F2C、1GE、4GE、16FXS、32FXS、GPON
DFIC:
X86、18FSW-2S、16GSW-4S
USB扩展:
WCDMA3G、CDMA20003G、TD-SCDMA3G
尺寸、电源、运行环境
尺寸(WxHxD)
420*255*43.6
442*414*43.6mm(W*D*H)
重量
5Kg
裸机5.4kg,满配≤8kg
电源AC
90~264VAC
90~264V,47~63Hz
电源DC
不支持
不支持
-48
~
-60V
功耗
典型空配功率15W,最大功率35W
100w
工作环境温度
0~40℃
0℃~45℃(运行),-5℃~55℃(短期)
环境湿度
10~90%,非冷凝
5%~95%不结露
序号
项目
技术参数
1
硬件架构
硬件平台采用先进的Multi-Core(多核)架构,处理器最低配置为2核8线程并行处理(投标方必须明确说明所投产品采用的是哪种架构及相应的处理器型号,并提供设备前后面板实物照片,这些都将作为中标后验收货物的依据)
2
接口类型及数量
千兆以太网接口≥2个,百兆以太网接口≥5个,E1接口≥1个
扩展插槽≥4个
3
性能参数
大包(1024字节)吞吐量≥800Mbps
小包(64字节)吞吐量≥200Mbps
最大并发连接数≥50万
新建连接速率≥2万cps
4
攻击防范
支持防扫描探测,包括:
地址扫描、端口扫描等;
支持可疑数据包检测与控制,包括:
IPOption控制、IP分片报文控制、TCP标记合法性检查、超大ICMP报文控制、ICMP重定向报文控制、ICMP不可达报文控制、TRACERT报文控制等;
支持网络攻击防御,包括:
synflood攻击、udpflood攻击、icmpflood攻击、DNSFlood攻击、ARP攻击、IPSpoofing攻击、LAND攻击、Smurf攻击、Fraggle攻击、Winnuke攻击、PingofDeath攻击、TearDrop攻击、Httpget攻击、CC攻击等
5
链路聚合
支持802.3ad链路聚合(LACP),可以将多个物理端口捆绑成一个逻辑端口以提升带宽
6
高可用性
支持双机热备及会话同步;
支持热补丁技术,升级软件不中断业务;
平均无故障间隔时间(MTBF)不低于500000小时
7
路由功能
支持静态路由、策略路由和RIP、OSPF等路由协议
8
NAT功能
支持NAT地址转换,包括接口地址转换(多对一)、静态地址转换(一对一)、地址池转换(多对多)、端口转换(一对多);支持NAT扩展功能,可实现无限IP地址转换;并且要求NAT支持以下应用协议:
(含T.120)、RAS、HWCC、SNP(多媒体)、SIP、ICMP、RTSP、NetBios、ILS、PPTP、QQ、MSN等
9
VPN功能
支持IPSec、L2TP、GRE等VPN协议;提供专用IPSecVPN客户端软件及VPN集中管理器
10
QoS
支持FIFO、CAR等队列排队算法,支持对特定源IP地址的连接速率/连接数限制,以及到特定目的IP地址的连接速率/连接数限制
11
P2P限流
支持BitTorrent、PPLive、PPStream、eDonkey、迅雷、GnuTella、QQlive、KUGOO、BaiBao、Soulseek、CCIPTV、PPGou、PPFilm、PP365、Kazaa、UUSee、TVAnts、BBSEE、Vagaa、Mysee、等30种以上的P2P应用流量控制;支持分协议控制;支持P2P总量控制;支持对指定用户的P2P流量限制
12
虚拟防火墙
支持虚拟防火墙,虚拟防火墙数量≥5个
13
系统日志
支持Syslog日志和二进制日志,并提供配套的日志服务器软件;支持NAT日志记录;支持流日志,能够对网络流量、DDoS攻击流量、P2P流量等进行统计分析排序,并自动输出图形报表
14
配置与管理
支持中文界面WEB管理及命令行管理,支持基于SSH的远程安全管理
15
资质证书
《计算机信息系统安全专用产品销售许可证》
《国家信息安全产品认证EAL3级证书》
《涉密信息系统产品检测证书》
16
厂商资质
设备提供商需提供以下资质证书:
BS7799/ISO27001信息安全管理体系认证
CMM5(软件能力成熟度模型)认证
CMMI5(软件能力成熟度模型集成)认证
ISO9001质量管理体系认证
ISO14001环境管理体系认证
1.5分支网络设计
VPN网络,网络设备放置于公网之上,承担着网络的接入和访问,那么这对于网络的安全就必须要提高,对此网络设备要能够有效的抗击网络抵御DDoS攻击、蠕虫、特洛伊木马、病毒、非法入侵和违规网络使用;作为IPsevVPN的一个分子,该节点必须能都强有力的对数据进行加密,保护用户数据,对此网络设备必须具备如下功能:
提供防病毒模块,同时能及时的对病毒进行检测,对于隐藏在网络流量中的病毒,具有高效、精准的查杀能力。
提供 IPS入侵防御功能,及时进行IPS检测,可提供高效、精准的网络报文扫描能力,对于IPS躲避和欺骗技术做到准确识别。
支持ARPProxy;
提供丰富的路由协议:
RIP、OSPF、IS-IS、BGP4、WCMP、ECMP及策略路由;
支持VRRP;
支持DHCP-RELAY;
支持丰富的组播协议:
IGMP、PIM-DM、PIM-SM、DVMRP,支持IGMP源IP、源端口检查;
根据以上需求,结合我们实际经验,对于长沙电信网络分支,设备在选型方面采用防火墙,来防止公网过来的攻击,同时该设备具备高IPsecVPN加密能力及数据转发能力。
在网络数据方面,根据客户需求,我们采用ipsec的方式加密用户数据,保障网络数据传输的安全。
根据客户网络的要求,网络互联采用专线和3G无线的模式,采用两种链路的主要目的是保障网络的冗余,同时通过vpn方式来保证网络安全。
1.5.1USG2160防火墙特点
特点
强可靠的UTM——有效保障用户关键业务
融合赛门铁克先进的IPS和反病毒技术,涵盖多种解压算法,整合虚拟引擎、脚本解析引擎、PDF引擎等独特引擎技术,融合多种反躲避检测技术,采用华为赛门铁克公司专有的“一体化检测引擎”技术,配合持续更新的特征库,铸就99%以上的检测率,实现真正安全。
IPS入侵防御功能采用了赛门铁克公司先进的IPS检测引擎,可提供高效、精准的网络报文扫描能力,对于IPS躲避和欺骗技术也可以做到准确识别。
AV防病毒模块采用了赛门铁克公司先进的病毒检测引擎,对于隐藏在网络流量中的病毒,具有高效、精准的查杀能力。
AS反垃圾邮件模块有效拦截垃圾邮件,净化企业邮件系统,解决垃圾邮件对正常工作带来的干扰问题。
URL过滤功能采用先进的匹配引擎,极大的缩短了URL匹配时间,使得URL过滤功能更加的高效。
高易用的UTM——即开即用,动态更新,实时保障
SecospaceUSG系列的UTM功能,结合在全球客户的实践经验,制定出最适合的检测策略,配合友好的图形界面,用户只需开启相关功能,不需要做任何配置即开始运行,做到真正易用。
部署在全球的升级中心,实时关注网络安全事件,动态更新UTM各类检测库、特征库,实时应对各种攻击方法——为用户网络提供真正可用、易用的综合防御设备。
深DPI能力,支持800多种应用协议识别——用户随心所欲控制网络应用,洁净网络环境
华为赛门铁克公司拥有业界一流的安全问题分析研究团队,经过多年的积累,在应用协议识别方面处于业务领先地位——精确识别800多种应用协议,主流应用全覆盖。
用户可以根据自身网络业务情况,按需控制网络流量,节约网络带宽并保证重要业务的可靠运行。
华为赛门铁克在全球部署多个攻防实验室、密网和蜜罐系统,检测超过13000G的网络流量,监控4000万网络域名,实时了解最新的安全威胁、攻击等信息,并提取相关特征以便用于产品更新,维持产品的高安全性,保证客户投资的持续增值
全业务集成能力,软、硬件按需选配、超强扩展——节约用户投资,降低TCO
SecospaceUSG2000系列产品集传统防火墙、UTM、路由、交换、无线(Wi-Fi、3G)、开放业务平台于一体;支持GE/FE/Serial/E1/CE1/3G/WIFI等多种类型板卡扩展;支持业界最多的VPN模式,包括:
GRE/IPSEC/L2TP/SSL/MPLSVPN。
用户可根据自身网络及业务需求,按需选配、自由组合,选择最适合企业的功能模块;并支持超强的扩展能力,适合企业日益增强的软、硬件要求,充分保护用户投资。
规格
型号
USG2100
USG2200
USG2130
USG2160
USG2210
USG2220
USG2230
USG2250
扩展及I/0
标配接口
1Wan+8Lan
2GECombo
扩展槽位
1MIC
2MIC
4MIC+2FIC
接口模块类型
MIC:
1E1、1CE1、1SA、2SA、1ADSL2+、1FE、5ESW、4G.SHDSL.bis、2G.SHDSL.bis、1G.SHDSL.bis、3G-WCDMA、3G-CDMA2000、3G-TD-SCDMA、DMIC-8FE2GE
USB扩展:
WCDMA3G、CDMA20003G、TD-SCDMA3G
MIC:
1FE、5FSW、1E1、1CE1、1WiFi、1SA、2SA、1ADSL2+、4G.SHDSL.bis、2G.SHDSL.bis、1G.SHDSL.bis、3G-WCDMA、3G-CDMA2000、3G-TD-SCDMA、DMIC:
8FE2GE
FIC:
2E1、2CE1、4E1、4CE1、8E1、8CE1、2F2C、1GE、4GE、16FXS、32FXS、GPON
DFIC:
X86、18FSW-2S、16GSW-4S
USB扩展:
WCDMA3G、CDMA20003G、TD-SCDMA3G
尺寸、电源、运行环境
尺寸(WxHxD)
420*255*43.6
442*414*43.6mm(W*D*H)
重量
5Kg
裸机5.4kg,满配≤8kg
电源AC
90~264VAC
90~264V,47~63Hz
电源DC
不支持
不支持
-48
~
-60V
功耗
典型空配功率15W,最大功率35W
100w
工作环境温度
0~40℃
0℃~45℃(运行),-5℃~55℃(短期)
环境湿度
10~90%,非冷凝
5%~95%不结露
序号
项目
技术参数
1
硬件架构
专用硬件平台,非通用CPU(X86)架构(投标方必须明确说明所投产品的处理器型号,并提供设备前后面板实物照片,这些都将作为中标后验收货物的依据)
2
接口类型及数量
百兆WAN口≥1个,百兆LAN口≥8个,E1接口≥1个
3
3G接入
支持内置3G上网卡
4
性能参数
吞吐量≥200Mbps
最大并发连接数≥10万
新建连接速率≥2000cps
5
攻击防范
支持防扫描探测,包括:
地址扫描、端口扫描等;
支持可疑数据包检测与控制,包括:
IPOption控制、IP分片报文控制、TCP标记合法性检查、超大ICMP报文控制、ICMP重定向报文控制、ICMP不可达报文控制、TRACERT报文控制等;
支持网络攻击防御,包括:
synflood攻击、udpflood攻击、icmpflood攻击、DNSFlood攻击、ARP攻击、IPSpoofing攻击、LAND攻击、Smurf攻击、Fraggle攻击、Winnuke攻击、PingofDeath攻击、TearDrop攻击、Httpget攻击、CC攻击等
6
路由功能
支持静态路由、策略路由和RIP、OSPF等路由协议
7
VLAN
支持对LAN口进行VLA
升级会员 