公司VPN部署设计方案

XXXXXXX有限企业VPN布署设计方案V1.009月10日项目名称：XXXX企业VPN布署项目项目编号LINK1212文档名称实施方案文档序号0910项目经理编写人XX完成日期.11.1文档修订说明：文档编号修订版本说明LINK0910V1.0方案未完善之处，待和甲方商榷之后再深入完善文档修订统计：日期修订版本修订内容修订人-09-10V1.0设计方案编写目录1 方案概述 41.1 文档目标 41.2 项目背景 41.3 方案制订目标 41.4 本文档使用人员 42 网络现实状况 52.1 现网分析 52.2 处理方法 53 网络规划 63.1 总部网络规划 63.2 IPsecvpn规划 73.3 出口链路规划 83.4 SSLVPN规划 93.5 交换网络规划 103.6 上网管理规划 114 产品介绍 124.1 Catalyst4506E 124.2 Catalyst2960 144.3 Cisco3845-SEC/K9 154.4 ASA5520 164.5 Cisco2821 174.6 Cisco1841 184.7 F5-BIG-LTM-1600-4G-R 194.8 SINFORM4300-SG 205 深圳凌格服务介绍 215.1 售后服务 215.2 技术培训介绍 216 附录 216.1 附录一：现场勘查汇报 21方案概述文档目标《XX有限企业VPN布署设计方案》是我企业关于此次项现在期规划设计方案，它包含我企业对XX企业网络现实状况分析、网络结构设计、产品性能介绍和售后服务介绍等。项目背景XX企业在全国各地有4个大型分企业、20个小型企业。因为办公业务系统对网络依赖性很强，所以现在各地之间全部使用第三方线路连接，每个月在专线上费用为6-7万人民币，但在网络数据安全性上面却不能得到确保。而且部分领导和员工在出差期间需要安全地经过因特网远程访问业务系统。方案制订目标鉴于现网存在维护成本高、安全性能低、网络利用率低下等缺点，本方案在制订过程中，将充分利用现网络结构和网络设备，依照需求，合理设计网络结构，确保网络可靠性、可用性与健壮性。在制订过程中，充分考虑情况以下：完成虚拟专线升级，同时也对总部带宽做总体升级和负载均衡；经过成熟SSLVPN技术实现任何时候任何地点安全接入；对总部用户上网行为进行严格管理；本文档使用人员本文档主要为XX企业网络整体规划提供参考，为XX有限企业网络维护工程师以及项目实施人员提供指导意见。网络现实状况现网分析XX企业现在网络结构以下列图所表示：插入现网结构图关键交换机性能不足，无法满足日益增加网络带宽需求；无法控制用户上网行为，造成网络拥塞、企业资料泄密、影响生产等；现在总部和各分支机构采取专线方式互联，成本昂贵；出差或者在家员工无法安全登录内部网络进行办公；无法实现上网电信和网通出口链路负载均衡。处理方法能够使用CiscoCatalyst4506E代替原来关键交换机，处理关键交换带宽不足问题；能够使用SINFORM4300-SG来控制内部用户上网行为；能够采取ADSL接入互联网，各分支机构经过IPsecVPN和总部通信；能够经过布署SSLVPN，使员工随时随地登录企业服务器进行办公；能够经过布署F5链路控制器实现出口链路负载均衡。网络规划总部网络规划总部网络结构规划以下所表示：出口路由器采取cisco3845,提供高性能IPsecVPN以及路由转发服务；出口链路控制器采取F5-BIG-LC-1600-4G-R,提供出口链路负载均衡等服务；防火墙采取高性能ASA5520提供强大SSLVPN服务；关键交换机采取CiscoCatalyst4506E，提供全千兆快速数据交换服务；接入层设备使用CiscoCatalyst2960交换机，与关键层交换机之间提议采取双链路互联，链路冗余；上网行为管理使用SINFORM4300-SG，采取旁路方式布署。IPsecvpn规划规划图以下所表示：采取DMVPN方式布署IPsecVPN，分支与中心、分支与分支之间动态建立IPsecVPN隧道；采取EIGRP动态路由协议，提供路由保护，快速收敛。出口链路规划出站连接。为了向企业用户访问互联网资源时提供高可性，LC使用defaultgatewaypool和SNAT（安全网络地址转换）将流量动态导向最好链路。Defaultgatewaypool包含了多个网关，F5LC将依照负载均衡算法选择一个最优网关，将当前数据发送到该网关，从而发送到对应ISP。入站连接。LC经过智能DNS解析功效，动态选择最好链路，将外部用户导向驻留在站点中资源。SSLVPN规划ASA防火墙规划图以下：将ASA5520划分为三个区域：DMA、INSIDE、OUTSIDE；在ASA5520上对DMZ区域相关服务器做SSLVPN。交换网络规划采取接入层、关键层交换网络结构。关键层网络采取冗余结构；使用Catalyst4506E交换机替换现网关键交换机；Catalyst4506E为模块化交换机，可按需最大配置5个业务模块，支持双电源输入；布署HSRP，提供冗余网关；PC接入层设备使用C2960交换机，每个C2960到C4506E线路配置为Trunnk，采取双链路互联，使用STP技术；署VLAN，隔离网络广播风暴，实现安全访问控制。上网管理规划上网行为管理规划以下列图所表示：用旁路布署方式；设备采取SINFORM4300-SG，提供高效流量管控、URL过滤、网络应用控制、信息内用审计、上网行为分析等功效。产品介绍Catalyst4506E

插槽6冗余控制引擎选项没有SFP/GBIC密度24410GbEX2端口密度3210/100/1000密度24010/100密度240100BASE-FX、LX-10、BX-D密度240背板容量280GbpsPOE（以太网供电）支持每端口POE最高20W1+1电源保护有热拔插电源有电源模式支持交流和直流WS-X45-SUP6L-E增强第三层特征有总带宽（Gbps）280每秒分组数（Mpps）225CPUMhz800板载内存（MB）512板载闪存（MB）64,128小型闪存支持支持交换容量（Gbps）和吞吐率（Mpps）280225多层交换增强第二/三/四层服务和路由支持路由协议RIP、EIGRP、OSPF、ISIS、BGPQOS4Q/端口、监管、整形、拥塞防止ACL有MAC地址55K单播；16K组播无阻塞控制引擎端口2x10GECatalyst2960WS-C2960-48TC-L产品特征参数转发带宽（Gbps）WS-C2960-48TC-L：32每秒分组数（Mpps）WS-C2960-48TC-L：10.1支持MAC地址数WS-C2960-48TC-L：8000板载内存(MB)WS-C2960-48TC-L：64SFP/GBIC密度WS-C2960-48TC-L：210/100/1000密度WS-C2960-48TC-L：210/100密度WS-C2960-48TC-L：48MaxVLANs255VLANIDs4000流量控制能以小至1Mbps步幅确保带宽广播控制抑制广播风暴，达成临界点停顿发送高级QOSHeadOfLine预防拥塞机制，每端口4个发送队列映射802.1p8个优先级，WRED，WFQ，SP和FIFO队列调度算法，尽力而为服务，区分式服务，严格优先级轮转算法，加权优先级轮转算法，先到先服务算法。生成树IEEE802.1DSTP，IEEE802.1wRSTP，PVST/PVST+网络管理SNMPv1/v2，Telnet方式，CLI界面，支持BroadDrictor通用网管软件。Cisco3845-SEC/K9网络模块插槽4AIM插槽2HWIC插槽410/100/1000GE端口2SFP端口1PVDM插槽4内存256M缺省1+1电源保护有电源模式支持交流和直流ASA5520用户数：无限制内存：512M防火墙吞吐率：最高450MbpsVPN吞吐率：225MbpsIPSecVPN设备对：750SSLVPN设备对：750接口：4个10//100/1000,1个FE扩展插槽：1，SSM虚拟接口：150HA：主用/主用，主用/备用并发连接：280000新连接/秒1Cisco2821网络模块插槽1，支持NM,NME,NME-XUSB2接口卡插槽4，支持HWIC,WIC,VIC,VWIC板载AIM插槽210/100FE端口2PVDM插槽3电源模式支持交流和直流Cisco1841模块化插槽2内存128M缺省ADSL端口经过广域网接口卡提供ADSLoverPOTS/ISDNUSB110/100FE端口2ISDN端口经过广域网接口卡提供板载AIM插槽1板载硬件加密功效有IPsec隧道使用板载加密时，100个；使用VPNAIM加密时，800个IPsecVPN性能40MbpsIOS防火墙性能100Mbps路由协议BGP，EIGRP，OSPF，RIPv1，RIPv2QOS协议加权公平队列（WFQ），基于类别WFQ（CBWFQ），加权随机早期检测（WRED），承诺接入速率（CAR），资源预留协议（RSVP），基于网络应用识别电源模式支持交流F5-BIG-LTM-1600-4G-RTrafficThroughput:1GbpsHardwareSSL:Included:500TPSMaximum:5,000TPS,1GbpsbulkencryptionSoftwareCompression:Included:50MbpsMaximum:1GbpsProcessor:DualcoreCPUMemory:4GBHardDrive:320GBGigabitEthernetCUPorts:4GigabitFiberPorts(SFP):2optionalLX,SX,orcopperPowerSupply:One300Wincluded,dualpoweroptionSINFORM4300-SG稳定性多主模式：支持多主机运行模式，完美支持VRRP环境，将风险降到最低为用户提供可信、可靠管理，保障网络稳定性性能2G性能：支持2GInternet线路，性能为本，满足大流量用户管理需求，