苏泊儿MPLS-VPN实施讲解.doc

网络实施方案 技术有限公司 2011年10月 第1章 项目概况 1 1.1 项目背景 1 第2章 网络总体规划 1 2.1 网络设计 1 第3章 IP地址规划 2 3.1 管理地址 2 3.2 互联地址 3 3.2.1 局域网互联地址 3 3.3 业务地址 3 第4章 VLAN和端口规划 4 4.1 VLAN划分 4 第5章 路由协议部署 4 5.1 路由选择 4 第6章 VPN部署 5 6.1 VPN设备 5 6.2 总部与分支机构对接 5 6.3 总部与移动人员对接 6 第7章 DMZ区域部署 7 7.1 DMZ区域概述 7 7.2 DMZ区域构建 7 7.3 DMZ区域结构图 8 第8章 测试方案 8 8.1 测试项目 8 8.2 硬件测试 9 8.2.1 硬件运行状态测试 9 8.3 冗余性测试： 9 8.4 业务测试 10 项目概况 项目背景 为满足公司业务上的需求，需组建一个网络系统用于办公。 总体来说，现代企业网络具有如下特点： 1、以客户为中心建立企业战略 2、以客户为导向的全流程业务解决方案 3、满足企业业务流的分类传送要求。 全流程信息化:ERP，CRM，SCM，知识管理。 业务处理信息化:财务统计，库存管理，报表计算。 4、满足数据、语音、视频综合业务传送 5、满足智能的策略控制服务 传统的企业局域网以资源共享为中心，以数据业务传送为主,无Qos保证,缺乏对语音、视频实时业务的支持;无法满足内容交换、业务优先级分类传送的需要；新企业网络对局域网络的需求要求满足综合业务及业务优先级分类传送的需要，提供端到端的Qos 、安全、内容交换、策略管理。 网络总体规划 网络设计 网络拓扑图如下： 网络有如下优点： 采用核心交换机和接入交换机来构建扁平化的两层网络架构 深信服AC对局域网和VPN用户进行上网行为进行管理和监控 建立DMZ区域对服务器数据进行保护； IP地址规划 管理地址 设备的管理地址（即loopback地址）使用/24网段。 序号 设备名称 管理地址 掩码 1 H3C-S7503E 32 2 FW1000 32 3 AC1300 32 4 H3C-S3600 -8 32 互联地址 局域网互联地址 局域网设备的互联地址使用/16网段。 序号 名称 本端地址 名称 对端地址 掩码 1 总部 总仓库 30 2 分支机构 30 …… 30 业务地址 业务地址使用/8网段。 序号 业务部门 地址段 掩码 1 管理部 24 2 行政部 24 3 销售部 24 4 财务部 24 5 VPN用户 24 VLAN和端口规划 VLAN划分 VLAN100:局域网互联网段； VLAN200-900:部门网段； VLAN1000：设备管理地址网段； 路由协议部署 路由选择 路由协议用于学习和维护路由，为网络通讯提供最佳路径，路由协议选择原则如下： 开放性和标准化 必须使用国际标准的路由协议，保证网络的开放性，支持不同厂商设备的路由互连。 可扩展性 使用的路由协议必须具备良好的扩展能力，能够支持网络规模的持续增长。 支持数据分流 路由协议应该支持灵活的路由策略，通过调整路由策略，可以实现数据分流。 基于以上三点选择原则，商务快线网建设宜采用电信、网通双线接入。在静态路由的基础上做策略路由；满足不同业务的需求以及实现数据分流和负载均衡。 如下图所示： VPN部署 VPN设备 将VPN建立在防火墙上，AC架设在网关做路由模式。这样AC可以对内网和VPN用户进行统一的管理。 总部与分支机构对接 总部和分支机构通过GRE over IPsec 进行对接。 GRE over IPsec 支持组播，可传递路由协议。 把所有的数据都进行加密，安全性更高 IPSEC Over GRE即IPSEC在里，GRE在外。先把需要加密的数据包封装成IPSEC包，然后再扔到GRE隧道里。作法是把IPSEC的加密图作用在Tunnel口上的，即在Tunnel口上监控（访问控制列表监控本地ip网段-源i和远端ip网段-目的地），是否有需要加密的数据流，有则先加密封装为IPSEC包，然后封装成GRE包进入隧道（这里显而易见的是，GRE隧道始终无论如何都是存在的，即GRE隧道的建立过程并没有被加密），同时，未在访问控制列表里的数据流将以不加密的状态直接走GRE隧道，即存在有些数据可能被不安全地传递的状况。而GRE Over IPSEC是指，先把数据分装成GRE包，然后再分装成IPSEC包。做法是在物理接口上监控，是否有需要加密的GRE流量（访问控制列表针对GRE两端的设备ip），所有的这两个端点的GRE