某電子公司三地互通聯網
目錄
第1章 需求分析... 3
1.1 項目背景... 3
1.2 網絡現狀... 3
1.3 存在問題... 3
1.4 建設目標... 3
第2章 網絡建設原則... 4
第3章 總體建設方案... 4
3.1 設備選型... 4
3.2 網絡總體方案... 5
第4章 需求實現... 5
4.1 專線接入... 5
4.2 VPN備份... 5
4.2.1 總部及分支VPN備份... 6
4.2.2 移動人員VPN接入... 6
4.3 產品配置... 6
第5章 總體方案優勢... 7
第6章 產品簡介... 8
第1章 需求分析
1.1 項目背景
XX公司是廣東省內一家主營電子制造的中小型企業。目前包括廣州總部和東莞、深圳及佛山的三個分公司。公司總部大概有30多名員工,而其它三個分公司各有10名左右的員工。
1.2 網絡現狀
XX公司目前僅在公司總部和三個分公司分別建立了局域網。具體結構如下:
廣州總部以S3600為核心交換機,連接總部的30多臺主機及服務器。
三個分公司均是在核心部署一臺S3100作為核心交換機,連接多臺主機。
1.3 存在問題
目前,XX公司的整體網絡存在的主要問題是現有網絡功能單一,無法滿足日益增長的業務需求。目前建成的總部及分公司四處局域網,功能均只是簡單的內部郵件交互、文件傳輸及打印機共享等簡單的一些辦公功能,作用有限。而目前隨著業務的不斷發展,公司對于數據的遠程傳輸及共享需求越來越明顯。
l 各地分公司每月需要將銷售數據、產品需求等一些較為敏感的數據發送到總部,以便總部進行統籌。
l 總部則需要將銷售計劃、產品生產計劃等數據下發到各分公司,以便更好地指導其銷售及生產。
l 出差人員需要隨時隨地訪問總部及分公司各業務服務器,以便實時獲取業務相關信息。
1.4 建設目標
在保證原有網絡拓樸結構基本不變的前提下,以最小的投資實現如下功能:
l 租用專線,實現總部與各分公司的互聯。
l 租用ISP提供的線路,建立VPN網絡,進行備份。
在實現以上需求的同時,還需要保證網絡整體的高可靠性、高安全性、易管理性及未來的擴展性。
第2章 網絡建設原則
為達到XX公司網絡優化改造的目標要求,在網絡設計構建中,應始終堅持以下建網原則:
l 高可靠性:網絡系統的穩定可靠是應用系統正常運行的關鍵保證,在網絡設計中選用高可靠性網絡產品,合理設計網絡架構,制訂可靠的網絡備份策略,保證網絡具有故障自愈的能力,最大限度地支持各業務系統的正常運行。
l 標準開放性:系統設計采用國際標準,具有開放式體系結構,便于將來系統升級,以及和其它系統的專網、國際互聯網等的聯接。
l 靈活性及可擴展性:根據未來業務的增長和變化,網絡可以平滑地擴充和升級,減少最大程度的減少對網絡架構和現有設備的調整。
l 保護現有投資:在保證網絡整體性能的前提下,充分利用現有的網絡設備或做必要的升級,對其他的設備用作備份設備。
第3章 總體建設方案
3.1 設備選型
總部:MSR3020路由器。
分公司:MSR2021路由器。
MSR(Multiple Services Router)多業務開放路由器是H3C公司專門面向行業分支機構和大中型企業而推出的新一代網絡產品。
l 基于先進成熟的軟件平臺COMWARE與N-BUS的硬件架構,MSR集成了包含語音、數據、安全等多種業務,大大降低客戶投資及網絡的復雜度。
l 豐富的安全功能,包括Firewall、IPSec VPN、MPLS VPN、入侵保護、DDoS防御、攻擊防御等。
l 強大的VPN支持能力:基于專門的安全數據連接設計技術,采用內置硬件加密功能的CPU和主板上內置的硬件加密引擎(NDE),系列提供最高達500Mbps的加密性能及每秒最多3000個隧道的處理能力,有力保證轉發和加密同步高性能;
l 集成數據交換,真正實現了路由與交換的徹底融合,提供靈活擴展的以太網交換模塊或固定以太網交換端口,支持豐富的交換特性,極大地滿足了企業對于路由交換一體化組網方案的需要,極大節約客戶投資;
l 提供了方便快捷的故障定位工具,極大地提高了用戶網絡的可管理性。
作為總部公司的廣域網出口路由器,MSR3020以其豐富的VPN支持特性及強大的加密處理性能(250Mbps的加密性能及每秒2000個隧道)完成可以達到用戶的要求。
作為分公司廣域網出口路由器,MSR2021除了豐富的VPN特性及強大的加密處理性能(100Mbps的加密性能及每秒2000個隧道)之外,它自身還附帶8個二層以太網交換口,相當于內置一臺小型交換機,充份滿足客戶今后升級擴容需求。
3.2 網絡總體方案
網絡總體拓樸如下:#FormatImgID_1#
公司總體網絡拓樸圖
第4章 需求實現
4.1 專線接入
直接在總部及出口路由器配置相應的接口模塊,并配置提供的IP地址即可。
4.2 VPN備份
VPN(Virtual Private Network,虛擬私有網)是近年來隨著Internet的廣泛應用而迅速發展起來的一種新技術,實現在公用網絡上構建私人專用網絡。
VPN技術按照不同的角度,可以分為多種類型,如L2TP VPN、IPSecVPN、BGP/MPLS VPN等。在實際應用中,由于L2TP由于擴展性差、隧道轉發效率低很少使用,BGP/MPLS VPN因為技術復雜、成本高昂、對網絡側設備依賴較高等因素,并不適合中小企業使用。
IPSec VPN技術屬于三層VPN技術,是通過IPSec 協議建立的VPN。IPSec協議是一個應用廣泛、開放的VPN安全協議,提供了如何使敏感數據在開放的網絡(如Internet)中傳輸的安全機制。
綜合考慮,選用IPSec VPN實現專線備份。
4.2.1 總部及分支VPN備份
整體方案采用單點單隧道方案來實現,即總部及分支均部署一臺MSR路由器,租用ISP提供的鏈路接入Internet,通過配置實現VPN組網。
4.2.2 移動人員VPN接入
主要是通過在移動人員電腦上安裝iNode VPN客戶端來實現。同時,為保證安全,還需要配置一個SecKey的USB身份認證鎖。它配合iNode使用,存儲用戶認證信息以及配置文件,還可與機器硬件信息綁定。
4.3 產品配置
廣州總部MSR3020安全組合機型,而三個分公司采用MSR2021路由器。移動辦公人員安裝iNode VPN客戶端并配置USB身份認證鎖。
MSR3020安全組合機型主要是針對VPN等安全性較高的情況專門設計,除了基本的主機和標準軟件外,還包括了ANDE加密模塊。整體價格比單獨配置低很多,具有很高性價比,非常適合中小企業用戶。
MSR2021自身附帶8個二層以太網交換口,相當于一臺小型交換機,大大降低了成本。
廣州總部
RT-MSR3020-AC-AS-H3
H3C MSR 30-20 路由器主機(AC),捆綁
ANDE模塊,標準版軟件
1
RT-SIC-1E1-F-H3
1端口非通道化E1-F接口模塊
1
CAB-E1-120ohm-3m-RJ45
E1接口電纜/1*RJ45(120歐)-3m
1
分公司
RT-MSR2021-AC-H3+LIC-S
H3C MSR 20-21 路由器主機(AC),256M內存,標準版軟件
3
RT-SIC-1E1-F-H3
1端口非通道化E1-F接口模塊
3
CAB-E1-120ohm-3m-RJ45
E1接口電纜/1*RJ45(120歐)-3m
3
移動辦公人員
SWP-CAMS-WIVPC-PFS-H3
H3C iNode-iNode VPN 客戶端組件(for Windows)-純軟件(CD)中文版專業版
1
NS-SecKey 1000-1
身份認證鎖- SecKey 1000-USB接口-1 PCS包裝
1
iNode客戶端提供以下規格的License:
LIS-CAMS-WIVP-PF10-H3
H3C iNode-iNode VPN客戶端組件(for Windows)中文版專業版-每增加10用戶應用軟件費用
LIS-CAMS-WIVP-PF50-H3
H3C iNode-iNode VPN 客戶端組件(for Windows)中文版專業版-每增加50用戶應用軟件費用
LIS-CAMS-WIVP-PF100-H3
H3C iNode-iNode VPN 客戶端組件(for Windows)中文版專業版-每增加100用戶應用軟件費用
第5章 總體方案優勢
在充分滿足客戶需求的基礎上,本方案有以下特點:
l 高可靠性
Ø 整網可靠:專線接入,并進行VPN備份。
Ø 設備可靠:MSR系列路由器本身提供電信級的可靠性,可以提供高達32年的無故障工作時間;支持冗余備份雙電源,模塊熱插拔;支持VRRP、備份中心、快速重路由等技術。
l 高安全性
Ø 整網安全:專線接入,有效保證數據安全。
Ø 設備安全: MSR路由器還集成了豐富的安全特性,包括Firewall、入侵保護、DDoS防御、攻擊防御等,大大提高了用戶整網安全。
l 高效保護客戶投資
Ø 原有的交換機全部保留,不用替換;
Ø MSR系列路由器使用安全組合機型,價格比單獨配置要經濟很多;
Ø MSR系列路由器實現路由與交換的徹底融合,提供了多種高密度端口的交換功能模塊,既是路由器,又是交換機,降低用戶網絡復雜度的同時,大大減少投資。
l 開放性:
Ø 業務開放:基于OAA(Open Application Architecture)開放的業務平臺,客戶完全可以自行開發量身定制的業務。
Ø 協議開放:采用大量業界成熟通用的協議,充分保證與其它廠商設備的互通性。
第6章 產品簡介
詳見產品彩頁。
更多產品信息,請見公司網站。
TAG:
