最新XX公司广域网组网技术建议书(省内专线接入+VPN备份).doc

Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateXX公司广域网组网技术建议书(省内专线接入+VPN备份)文档大小：297x210mmXX公司广域网组网技术建议书（省内专线接入+VPN备份）目录第1章 需求分析31.1 项目背景31.2 网络现状31.3 存在问题31.4 建设目标3第2章 网络建设原则4第3章 总体建设方案43.1 设备选型43.2 网络总体方案5第4章 需求实现54.1 专线接入54.2 VPN备份54.2.1 总部及分支VPN备份64.2.2 移动人员VPN接入64.3 产品配置6第5章 总体方案优势7第6章 产品简介8第1章 需求分析1.1 项目背景XX公司是广东省内一家主营电子制造的中小型企业。目前包括广州总部和东莞、深圳及佛山的三个分公司。公司总部大概有30多名员工，而其它三个分公司各有10名左右的员工。1.2 网络现状XX公司目前仅在公司总部和三个分公司分别建立了局域网。具体结构如下：广州总部以S3600为核心交换机，连接总部的30多台主机及服务器。三个分公司均是在核心部署一台S3100作为核心交换机，连接多台主机。1.3 存在问题目前，XX公司的整体网络存在的主要问题是现有网络功能单一，无法满足日益增长的业务需求。目前建成的总部及分公司四处局域网，功能均只是简单的内部邮件交互、文件传输及打印机共享等简单的一些办公功能，作用有限。而目前随着业务的不断发展，公司对于数据的远程传输及共享需求越来越明显。l 各地分公司每月需要将销售数据、产品需求等一些较为敏感的数据发送到总部，以便总部进行统筹。l 总部则需要将销售计划、产品生产计划等数据下发到各分公司，以便更好地指导其销售及生产。l 出差人员需要随时随地访问总部及分公司各业务服务器，以便实时获取业务相关信息。1.4 建设目标在保证原有网络拓朴结构基本不变的前提下，以最小的投资实现如下功能：l 租用专线，实现总部与各分公司的互联。l 租用ISP提供的线路，建立VPN网络，进行备份。在实现以上需求的同时，还需要保证网络整体的高可靠性、高安全性、易管理性及未来的扩展性。第2章 网络建设原则为达到XX公司网络优化改造的目标要求，在网络设计构建中，应始终坚持以下建网原则：l 高可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持各业务系统的正常运行。l 标准开放性：系统设计采用国际标准，具有开放式体系结构，便于将来系统升级，以及和其它系统的专网、国际互联网等的联接。l 灵活性及可扩展性：根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。l 保护现有投资：在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级，对其他的设备用作备份设备。第3章 总体建设方案3.1 设备选型总部：MSR3020路由器。分公司：MSR2021路由器。MSR（Multiple Services Router）多业务开放路由器是H3C公司专门面向行业分支机构和大中型企业而推出的新一代网络产品。l 基于先进成熟的软件平台COMWARE与N-BUS的硬件架构，MSR集成了包含语音、数据、安全等多种业务，大大降低客户投资及网络的复杂度。l 丰富的安全功能，包括Firewall、IPSec VPN、MPLS VPN、入侵保护、DDoS防御、攻击防御等。l 强大的VPN支持能力：基于专门的安全数据连接设计技术，采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎（NDE），系列提供最高达500Mbps的加密性能及每秒最多3000个隧道的处理能力，有力保证转发和加密同步高性能；l 集成数据交换，真正实现了路由与交换的彻底融合，提供灵活扩展的以太网交换模块或固定以太网交换端口，支持丰富的交换特性，极大地满足了企业对于路由交换一体化组网方案的需要，极大节约客户投资；l 提供了方便快捷的故障定位工具，极大地提高了用户网络的可管理性。作为总部公司的广域网出口路由器，MSR3020以其丰富的VPN支持特性及强大的加密处理性能（250Mbps的加密性能及每秒2000个隧道）完成可以达到用户的要求。作为分公司广域网出口路由器，MSR2021除了丰富的VPN特性及强大的加密处理性能（100Mbps的加密性能及每秒2000个隧道）之外，它自身还附带8个二层以太网交换口，相当于内置一台小型交换机，充份满足客户今后升级扩容需求。3.2 网络总体方案网络总体拓朴如下：图1 XX公司总体网络拓朴图第4章 需求实现4.1 专线接入直接在总部及出口路由器配置相应的接口模块，并配置提供的IP地址即可。4.2 VPN备份VPN（Virtual Private Network，虚拟私有网）是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，实现在公用网络上构建私人专用网络。VPN技术按照不同的角度，可以分为多种类型，如L2TP VPN、IPSecVPN、BGP/MPLS VPN等。在实际应用中，由于L2TP由于扩展性差、隧道转发效率低很少使用，BGP/MPLS VPN因为技术复杂、成本高昂、对网络侧设备依赖较高等因素，并不适合中小企业使用。IPSec VPN技术属于三层VPN技术，是通过IPSec 协议建立的VPN。IPSec协议是一个应用广泛、开放的VPN安全协议，提供了如何使敏感数据在开放的网络（如Internet）中传输的安全机制。 综合考虑，选用IPSec VPN实现专线备份。4.2.1 总部及分支VPN备份整体方案采用单点单隧道方案来实现，即总部及分支均部署一台MSR路由器，租用ISP提供的链路接入Internet，通过配置实现VPN组网。4.2.2 移动人员VPN接入主要是通过在移动人员电脑上安装iNode VPN客户端来实现。同时，为保证安全，还需要配置一个SecKey的USB身份认证锁。它配合iNode使用，存储用户认证信息以及配置文件，还可与机器硬件信息绑定。4.3 产品配置广州总部MSR3020安全组合机型，而三个分公司采用MSR2021路由器。移动办公人员安装iNode VPN客户端并配置USB身份认证锁。MSR3020安全组合机型主要是针对VPN等安全性较高的情况专门设计，除了基本的主机和标准软件外，还包括了ANDE加密模块。整体价格比单独配置低很多，具有很高性价比，非常适合中小企业用户。MSR2021自身附带8个二层以太网交换口，相当于一台小型交换机，大大降低了成本。广州总部RT-MSR3020-AC-AS-H3H3C MSR 30-20 路由器主机(AC)，捆绑ANDE模块，标准版软件1RT-SIC-1E1-F-H31端口非通道化E1-F接口模块1CAB-E1-120ohm-3m-RJ45E1接口电缆/1*RJ45(120欧)3m1分公司RT-MSR2021-AC-H3+LIC-SH3C MSR 20-21 路由器主机(AC),256M内存,标准版软件3RT-SIC-1E1-F-H31端口非通道化E1-F接口模块3CAB-E1-120ohm-3m-RJ45E1接口电缆/1*RJ45(120欧)3m3移动办公人员SWP-CAMS-WIVPC-PFS-H3H3C iNode-iNode VPN 客户端组件(for Windows)-纯软件(CD)中文版专业版1NS-SecKey 1000-1身份认证锁- SecKey 1000-USB接口-1 PCS包装1iNode客户端提供以下规格的License：LIS-CAMS-WIVP-PF10-H3H3C iNode-iNode VPN客户端组件(for Windows)中文版专业版-每增加10用户应用软件费用LIS-CAMS-WIVP-PF50-H3H3C iNode-iNode VPN 客户端组件(for Windows)中文版专业版-每增加50用户应用软件费用LIS-CAMS-WIVP-PF100-H3H3C iNode-iNode VPN 客户端组件(for Windows)中文版专业版-每增加100用户应用软件费用第5章 总体方案优势在充分满足客户需求的基础上，本方案有以下特点：l 高可靠性Ø 整网可靠：专线接入，并进行VPN备份。Ø 设备可靠：MSR系列路由器本身提供电信级的可靠性，可以提供高达32年的无故障工作时间；支持冗余备份双电源，模块热插拔；支持VRRP、备份中心、快速重路由等技术。l 高安全性Ø 整网安全：专线接入，有效保证数据安全。Ø 设备安全： MSR路由器还集成了丰富的安全特性，包括Firewall、入侵保护、DDoS防御、攻击防御等，大大提高了用户整网安全。l 高效保护客户投资Ø 原有的交换机全部保留，不用替换；Ø MSR系列路由器使用安全组合机型，价格比单独配置要经济很多；Ø MSR系列路由器实现路由与交换的彻底融合，提供了多种高密度端口的交换功能模块，既是路由器，又是交换机，降低用户网络复杂度的同时，大大减少投资。l 开放性：Ø 业务开放：基于OAA（Open Application Architecture）开放的业务平台，客户完全可以自行开发量身定制的业务。Ø 协议开放：采用大量业界成熟通用的协议，充分保证与其它厂商设备的互通性。第6章 产品简介详见产品彩页。 更多产品信息，请见公司网站。-