某电子公司三地互通联网
目录
第1章 需求分析... 3
1.1 项目背景... 3
1.2 网络现状... 3
1.3 存在问题... 3
1.4 建设目标... 3
第2章 网络建设原则... 4
第3章 总体建设方案... 4
3.1 设备选型... 4
3.2 网络总体方案... 5
第4章 需求实现... 5
4.1 专线接入... 5
4.2 VPN备份... 5
4.2.1 总部及分支VPN备份... 6
4.2.2 移动人员VPN接入... 6
4.3 产品配置... 6
第5章 总体方案优势... 7
第6章 产品简介... 8
第1章 需求分析
1.1 项目背景
XX公司是广东省内一家主营电子制造的中小型企业。目前包括广州总部和东莞、深圳及佛山的三个分公司。公司总部大概有30多名员工,而其它三个分公司各有10名左右的员工。
1.2 网络现状
XX公司目前仅在公司总部和三个分公司分别建立了局域网。具体结构如下:
广州总部以S3600为核心交换机,连接总部的30多台主机及服务器。
三个分公司均是在核心部署一台S3100作为核心交换机,连接多台主机。
1.3 存在问题
目前,XX公司的整体网络存在的主要问题是现有网络功能单一,无法满足日益增长的业务需求。目前建成的总部及分公司四处局域网,功能均只是简单的内部邮件交互、文件传输及打印机共享等简单的一些办公功能,作用有限。而目前随着业务的不断发展,公司对于数据的远程传输及共享需求越来越明显。
l 各地分公司每月需要将销售数据、产品需求等一些较为敏感的数据发送到总部,以便总部进行统筹。
l 总部则需要将销售计划、产品生产计划等数据下发到各分公司,以便更好地指导其销售及生产。
l 出差人员需要随时随地访问总部及分公司各业务服务器,以便实时获取业务相关信息。
1.4 建设目标
在保证原有网络拓朴结构基本不变的前提下,以最小的投资实现如下功能:
l 租用专线,实现总部与各分公司的互联。
l 租用ISP提供的线路,建立VPN网络,进行备份。
在实现以上需求的同时,还需要保证网络整体的高可靠性、高安全性、易管理性及未来的扩展性。
第2章 网络建设原则
为达到XX公司网络优化改造的目标要求,在网络设计构建中,应始终坚持以下建网原则:
l 高可靠性:网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持各业务系统的正常运行。
l 标准开放性:系统设计采用国际标准,具有开放式体系结构,便于将来系统升级,以及和其它系统的专网、国际互联网等的联接。
l 灵活性及可扩展性:根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和现有设备的调整。
l 保护现有投资:在保证网络整体性能的前提下,充分利用现有的网络设备或做必要的升级,对其他的设备用作备份设备。
第3章 总体建设方案
3.1 设备选型
总部:MSR3020路由器。
分公司:MSR2021路由器。
MSR(Multiple Services Router)多业务开放路由器是H3C公司专门面向行业分支机构和大中型企业而推出的新一代网络产品。
l 基于先进成熟的软件平台COMWARE与N-BUS的硬件架构,MSR集成了包含语音、数据、安全等多种业务,大大降低客户投资及网络的复杂度。
l 丰富的安全功能,包括Firewall、IPSec VPN、MPLS VPN、入侵保护、DDoS防御、攻击防御等。
l 强大的VPN支持能力:基于专门的安全数据连接设计技术,采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎(NDE),系列提供最高达500Mbps的加密性能及每秒最多3000个隧道的处理能力,有力保证转发和加密同步高性能;
l 集成数据交换,真正实现了路由与交换的彻底融合,提供灵活扩展的以太网交换模块或固定以太网交换端口,支持丰富的交换特性,极大地满足了企业对于路由交换一体化组网方案的需要,极大节约客户投资;
l 提供了方便快捷的故障定位工具,极大地提高了用户网络的可管理性。
作为总部公司的广域网出口路由器,MSR3020以其丰富的VPN支持特性及强大的加密处理性能(250Mbps的加密性能及每秒2000个隧道)完成可以达到用户的要求。
作为分公司广域网出口路由器,MSR2021除了丰富的VPN特性及强大的加密处理性能(100Mbps的加密性能及每秒2000个隧道)之外,它自身还附带8个二层以太网交换口,相当于内置一台小型交换机,充份满足客户今后升级扩容需求。
3.2 网络总体方案
网络总体拓朴如下:#FormatImgID_1#
公司总体网络拓朴图
第4章 需求实现
4.1 专线接入
直接在总部及出口路由器配置相应的接口模块,并配置提供的IP地址即可。
4.2 VPN备份
VPN(Virtual Private Network,虚拟私有网)是近年来随着Internet的广泛应用而迅速发展起来的一种新技术,实现在公用网络上构建私人专用网络。
VPN技术按照不同的角度,可以分为多种类型,如L2TP VPN、IPSecVPN、BGP/MPLS VPN等。在实际应用中,由于L2TP由于扩展性差、隧道转发效率低很少使用,BGP/MPLS VPN因为技术复杂、成本高昂、对网络侧设备依赖较高等因素,并不适合中小企业使用。
IPSec VPN技术属于三层VPN技术,是通过IPSec 协议建立的VPN。IPSec协议是一个应用广泛、开放的VPN安全协议,提供了如何使敏感数据在开放的网络(如Internet)中传输的安全机制。
综合考虑,选用IPSec VPN实现专线备份。
4.2.1 总部及分支VPN备份
整体方案采用单点单隧道方案来实现,即总部及分支均部署一台MSR路由器,租用ISP提供的链路接入Internet,通过配置实现VPN组网。
4.2.2 移动人员VPN接入
主要是通过在移动人员电脑上安装iNode VPN客户端来实现。同时,为保证安全,还需要配置一个SecKey的USB身份认证锁。它配合iNode使用,存储用户认证信息以及配置文件,还可与机器硬件信息绑定。
4.3 产品配置
广州总部MSR3020安全组合机型,而三个分公司采用MSR2021路由器。移动办公人员安装iNode VPN客户端并配置USB身份认证锁。
MSR3020安全组合机型主要是针对VPN等安全性较高的情况专门设计,除了基本的主机和标准软件外,还包括了ANDE加密模块。整体价格比单独配置低很多,具有很高性价比,非常适合中小企业用户。
MSR2021自身附带8个二层以太网交换口,相当于一台小型交换机,大大降低了成本。
广州总部
RT-MSR3020-AC-AS-H3
H3C MSR 30-20 路由器主机(AC),捆绑
ANDE模块,标准版软件
1
RT-SIC-1E1-F-H3
1端口非通道化E1-F接口模块
1
CAB-E1-120ohm-3m-RJ45
E1接口电缆/1*RJ45(120欧)-3m
1
分公司
RT-MSR2021-AC-H3+LIC-S
H3C MSR 20-21 路由器主机(AC),256M内存,标准版软件
3
RT-SIC-1E1-F-H3
1端口非通道化E1-F接口模块
3
CAB-E1-120ohm-3m-RJ45
E1接口电缆/1*RJ45(120欧)-3m
3
移动办公人员
SWP-CAMS-WIVPC-PFS-H3
H3C iNode-iNode VPN 客户端组件(for Windows)-纯软件(CD)中文版专业版
1
NS-SecKey 1000-1
身份认证锁- SecKey 1000-USB接口-1 PCS包装
1
iNode客户端提供以下规格的License:
LIS-CAMS-WIVP-PF10-H3
H3C iNode-iNode VPN客户端组件(for Windows)中文版专业版-每增加10用户应用软件费用
LIS-CAMS-WIVP-PF50-H3
H3C iNode-iNode VPN 客户端组件(for Windows)中文版专业版-每增加50用户应用软件费用
LIS-CAMS-WIVP-PF100-H3
H3C iNode-iNode VPN 客户端组件(for Windows)中文版专业版-每增加100用户应用软件费用
第5章 总体方案优势
在充分满足客户需求的基础上,本方案有以下特点:
l 高可靠性
Ø 整网可靠:专线接入,并进行VPN备份。
Ø 设备可靠:MSR系列路由器本身提供电信级的可靠性,可以提供高达32年的无故障工作时间;支持冗余备份双电源,模块热插拔;支持VRRP、备份中心、快速重路由等技术。
l 高安全性
Ø 整网安全:专线接入,有效保证数据安全。
Ø 设备安全: MSR路由器还集成了丰富的安全特性,包括Firewall、入侵保护、DDoS防御、攻击防御等,大大提高了用户整网安全。
l 高效保护客户投资
Ø 原有的交换机全部保留,不用替换;
Ø MSR系列路由器使用安全组合机型,价格比单独配置要经济很多;
Ø MSR系列路由器实现路由与交换的彻底融合,提供了多种高密度端口的交换功能模块,既是路由器,又是交换机,降低用户网络复杂度的同时,大大减少投资。
l 开放性:
Ø 业务开放:基于OAA(Open Application Architecture)开放的业务平台,客户完全可以自行开发量身定制的业务。
Ø 协议开放:采用大量业界成熟通用的协议,充分保证与其它厂商设备的互通性。
第6章 产品简介
详见产品彩页。
更多产品信息,请见公司网站。
TAG:
