《企业vpn网设计方案》由会员分享,可在线阅读,更多相关《企业vpn网设计方案(11页珍藏版)》请在金锄头文库上搜索。
1、2016-2017 学年第二学期计算机网络实习任务书为加强学生对计算机网络理论和技术的深入理解,本学期计算 机网络课程结束后,按要求应进行相关实习,特制定实习任务书如下:一、实习目的通过实习使学生对局域网、企业内部网、虚拟局域网和互联网技术有 进一步的理解和应用能力,对相关协议较为熟悉,对组网的硬件、软件以 及系统和市场有准确的定位。二、实习要求1. 认真完成相关实习任务,实习期间不得请假,保证出勤率。2. 通过网络 ISP 调研,掌握本门课程的重点与难点(或各章中的重、 难点)。3. 独立完成相应的实习任务,对组网的过程以及所用的方法与技巧有 明确认识。4. 学生最后成绩由平时成绩与答辩现场
2、成绩两部分组成。三、实习内容(附后)企业(VPN网设计方案某饮食龙头企业XXX集团现有20多家直营连锁店,营业总面 积达20万平方米,每月服务100万人次。目前,XXX集团营销网 络主要分布全国 9个城市。 要求投资总额在 200 万元左右。1. 网络现状:(1) 公司在全国共有 9 个办事处,希望能与总部共构建虚拟专 网。(2) 总部及各地连接In ter net地方建议采用ADSL连接。2. 网 络 要求 : 在性能和安全满足的条件下,采用较低的成本能完成以下功 能:(1)各办事处能组建虚拟专用网络连接,实现资源共享;( 2) 保证 数据 传输 过程的 实 时 性、 安全 性和 稳 定 性
3、 ;(3) 能实现公司ERP管理软件的正常运行;( 4)解决方案低成本;(5)方便的安装和自动的操作管理;( 6)各局域网之间能相互资源访问。3. 设备选型:(1) 设备型号,各层设备的具体型号;(2) 设备价格,各层设备的公开报价。4. 方案概述由参与设计的学生自行确定。电气与计算机学院 2016年6月需求分析网络现状(1 )公司在全国共有9个办事处,希望能与总部共构建虚拟专网。(2)总部及各地连接In ter net地方建议采用ADSL连接。需求概况 在性能和安全满足的条件下,采用较低的成本能完成以下功能:(1)各办事处能组建虚拟专用网络连接,实现资源共享;(2)保证数据传输过程的实时性、
4、安全性和稳定性;(3)能实现公司ERP管理软件的正常运行;(4)解决方案低成本;(5)方便的安装和自动的操作管理;(6)各局域网之间能相互资源访问。二、网络规划企业网络主要实现有以下几个方面的功能:资源共享功能:网络内的各个桌面用户可共享数据库、 共享打印机,实现办公自动化系统中 的各项功能。通信服务功能: 最终用户通过广域网连接可以收发电子邮件、实现 Web应用、接入互联网、进行安全的广域网访问多媒体功能:支持多媒体组播,具有卓越的服务质量保证功能。远程VPN拨入访问功能:系统支持远程PPTP接入,外地员工可利用INTERNE远程访问公司资源。2. 2企业网设计原则:实用性和经济性?系统建设
5、应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设企业的网络系统。先进性和成熟性系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的 相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来 若干年内企业网络仍占领先地位。可靠性和稳定性在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、 系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和 稳定性,达到最大的平均无故障时间,TP-LINK网络作为国内知名品牌,网 络领导厂商,其产品的可靠性和稳定性是一流的。安全性和保密性?在系统设计中,既考虑信息资源的充分共享,更要注意信息的保
6、护和隔离, 因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施, 包括系统安全机制、数据存取的权限控制等,TP-LINK网络充分考虑安全性,针对小型企业的各种应用,有多种的保护机制,如划分VLAN MAC地址绑定、可扩展性和易维护性为了适应系统变化的要求,必须充分考虑以最简便的方法、 最低的投资,实 现系统的扩展和维护,采用可网管产品,降低了人力资源的费用,提高网络 的易用性。2. 3要实现VPN网络要求具备如下几个基本要素231固定IP地址公司用户要想从家中或者出差当地的酒店或宾馆网络通过VPN方式连入公司网络就要求公司必须具备一个固定的公网IP地址,否则用户在公司网络之外就无
7、法找到公司的网络。2.3.2 VPN网关设备公司内部必须具有供用户通过 VPN方式连入的设备,并且这种设备需要 填写公司的固定公网IP地址以便用户找到公司网络,这种设备就是 VPN网 关设备。.3 VPN客户端软件用户端机器上需要安装VPN客户端软件,以方便用户通过VPN的方式拨 号进入公司网络。根据采用的 VPN协议不同,客户端软件又可以分为 PPTP 客户端、L2TP客户端、IPSEC客户端、SSL客户端等。234 VPN身份认证机制 在用户使用VPN客户端通过VPN方式拨号进入公司网络的过程中,VPN网关 将会对VPN客户端进行身份认证以确保只有合法用户才可以连入公司网络。 现在使用于V
8、PN网络的身份验证机制主要包括用户名加密码验证模式和数 字证书模式两种。三、网络总体设计方案总体设计方案:1. 总部与办事处均采用ADSL方式上网2. 在总部配置一台华盾VPN10(硬件设备作为网关3. 申请DDNS艮务4. 在总部的网关上运行 VPN网关系统,配置相关的 VPN和防火墙规则5. 启动每个网关的VPN隧道策略,VNP客户端通过一个固定的域名与总部VNP网关联系,随时建立 VNP隧道。此时网络就可以通过 VPN实现 相互访问。网关实现方案:1.1 nternet接入线路的申请为了创建网络,需要向电信申请一条 ADSL专线来满足创建VPN网络的 需求。向电信申请30用户的电信线路,
9、现有资费模式中最为合适的应该属 于1888包月、免安装费、带宽为4M的资费标准。2. VPN网关的部署VPN网关的配置选型做为实现VPN网络的核心设备VPN网关,我们推荐使用华盾 VPN网关100。 VPN网关的安装部署我们将来自电信的线路接入华盾 VPN网关100,然后再在现有的Cisco 3560上找一个空余口转换为三层接口并与网盾 VPN网关内网口设置同一网 段IP地址后,将VPN网关100和Cisco 3560连接起来并配置相应路由以保 证 VPN 100网段与现有网络能够通讯。除此之外,我们还需要在华盾 VPN网关100上进行配置以保证用户能够 使用客户端拨号连入现有网络。3 VPN
10、客户端软件的安装为了方便用户通过 VPN的方式拨号进入现有网络并保证现有网络的安 全,我们为每一个需要在家或者出差时候进行远程办公的用户安装高安全性 的IPSec协议VPN客户端软件。4 VPN身份认证机制的实现为了确保现有网络的安全性,在用户使用客户端软件通过 VPN方式拨入 的时候,在VPN网关与客户端软件之间需要通过身份认证后才能够允许用户 拨入现有网络。由于用户名加密码验证模式容易因帐户被窃取而造成安全问 题,为了最大程度的保证现有网络的安全性, 我们推荐使用数字证书的身份 验证模式。在使用华盾VPN网关100实现VPN网络的过程中,我们建议由网管人员 负责VPNffi书的发放工作,然
11、后使用USBKEY故为保存证书的载体对相应的 证书做一个保存工作,然后将保存证书的 USB KEY分别发放给相应的用户, 以保证公司VPN网络身份的唯一性、安全性和可控性。四、网络架构中的产品定型及报价产品定型及报价1、VPN网关(华盾VPN网关100) 台,安装在总部,实现网络防火墙及VNP网关功能,报价10万元2、VPN客户端(华盾)50套,VNP客户端通过一个固定的域名与总部VNP网关联系,随时建立 VNP隧道,报价30万元3、USB KEY5(个,报价3万元产品规格:项自、型号华盾VPN100电源要求输入电压(AC/DCAC100240V, 50-60HZ功耗(W65W环境参数工作温度
12、0 +40C工作湿度2090%,不结露保存温度-20 +70C保存湿度5 95%,不结露物理指标尺寸(Hx W D)(W) X 300(D) X 45(H) (mm)标准机架式 1U 机箱重量(Kg)6.2Kg系统接口网络接口3*10/100MBase-T Ethernet串口2个RS232串行控制口USB接 口1个USB接口VPN性能指标并发隧道数500条峰值加密速度 20Mbps (ipsec 吞吐率)FireWall吞吐率95Mbps最大并发会话数200, 000 条平均无故障工作时间60, 000小时支持协议标准IPSEC协议ESP AH IKE、NATT()协议封装模式隧道模式封装和
13、传输模式封装IKE认证方式支持预共享密钥、数字证书IKE交换模式主模式、野蛮模式、快速模式支持加密算法对称密钥算法DES 3DES AES blowfish、two fish 、国家密码管理机构批准的高强度算 法非对称密钥算法DH1024 DH2048 RSA1024 RSA2048摘要算法MD5 SHA1 SHA2支持接入方式支持接入方式支持专线宽带接入、小区宽带接入、ADSL宽带接入、CABLEMODE宽带接入、ISDN拨号接入、普通电话拨号接入等多种Internet 接入方式;网关附加功能防火墙状态包过滤、NAT地址转换、IP-MAC地址绑定等完善的防火墙功能双机热备支持双机热备DHCP支持DHC用艮务器及客户端带宽管理(Qos)支持多优先级、多队列多种排队算法的动态带宽管理策略DDNS支持DDNS的动态域名解析评语: 指导教师:2012年6月22日
