XX公司广域网组网技术建议书(省内专线接入 VPN备份)

1、XX公司广域网组网技术建议书（省内专线接入+VPN备份）杭州华三通信技术目录 TOC o 1-4 h z u HYPERLINK l _Toc164220429 第1章 需求分析 PAGEREF _Toc164220429 h 3 HYPERLINK l _Toc164220430 项目背景 PAGEREF _Toc164220430 h 3 HYPERLINK l _Toc164220431 网络现状 PAGEREF _Toc164220431 h 3 HYPERLINK l _Toc164220432 存在问题 PAGEREF _Toc164220432 h 3 HYPERLINK l _

2、Toc164220433 建设目标 PAGEREF _Toc164220433 h 3 HYPERLINK l _Toc164220434 第2章 网络建设原则 PAGEREF _Toc164220434 h 4 HYPERLINK l _Toc164220435 第3章 总体建设方案 PAGEREF _Toc164220435 h 4 HYPERLINK l _Toc164220436 设备选型 PAGEREF _Toc164220436 h 4 HYPERLINK l _Toc164220437 网络总体方案 PAGEREF _Toc164220437 h 5 HYPERLINK l _T

3、oc164220438 第4章 需求实现 PAGEREF _Toc164220438 h 5 HYPERLINK l _Toc164220439 专线接入 PAGEREF _Toc164220439 h 5 HYPERLINK l _Toc164220440 4.2 VPN备份 PAGEREF _Toc164220440 h 5 HYPERLINK l _Toc164220441 总部及分支VPN备份 PAGEREF _Toc164220441 h 6 HYPERLINK l _Toc164220442 移动人员VPN接入 PAGEREF _Toc164220442 h 6 HYPERLINK

4、 l _Toc164220443 产品配置 PAGEREF _Toc164220443 h 6 HYPERLINK l _Toc164220444 第5章 总体方案优势 PAGEREF _Toc164220444 h 7 HYPERLINK l _Toc164220445 第6章 产品简介 PAGEREF _Toc164220445 h 8需求分析项目背景XX公司是广东省内一家主营电子制造的中小型企业。目前包括广州总部和东莞、深圳及佛山的三个分公司。公司总部大概有30多名员工，而其它三个分公司各有10名左右的员工。网络现状XX公司目前仅在公司总部和三个分公司分别建立了局域网。具体结构如下：广州

5、总部以S3600为核心交换机，连接总部的30多台主机及服务器。三个分公司均是在核心部署一台S3100作为核心交换机，连接多台主机。存在问题目前，XX公司的整体网络存在的主要问题是现有网络功能单一，无法满足日益增长的业务需求。目前建成的总部及分公司四处局域网，功能均只是简单的内部邮件交互、文件传输及打印机共享等简单的一些办公功能，作用有限。而目前随着业务的不断发展，公司对于数据的远程传输及共享需求越来越明显。各地分公司每月需要将销售数据、产品需求等一些较为敏感的数据发送到总部，以便总部进行统筹。总部则需要将销售计划、产品生产计划等数据下发到各分公司，以便更好地指导其销售及生产。出差人员需要随时随

6、地访问总部及分公司各业务服务器，以便实时获取业务相关信息。建设目标在保证原有网络拓朴结构基本不变的前提下，以最小的投资实现如下功能：租用专线，实现总部与各分公司的互联。租用ISP提供的线路，建立VPN网络，进行备份。在实现以上需求的同时，还需要保证网络整体的高可靠性、高安全性、易管理性及未来的扩展性。网络建设原则为达到XX公司网络优化改造的目标要求，在网络设计构建中，应始终坚持以下建网原则：高可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持各业务系统的正常运行。标准开放

7、性：系统设计采用国际标准，具有开放式体系结构，便于将来系统升级，以及和其它系统的专网、国际互联网等的联接。灵活性及可扩展性：根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。保护现有投资：在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级，对其他的设备用作备份设备。总体建设方案设备选型总部：MSR3020路由器。分公司：MSR2021路由器。MSR（Multiple Services Router）多业务开放路由器是H3C公司专门面向行业分支机构和大中型企业而推出的新一代网络产品。基于先进成熟的软件平台COMWARE与N-BUS的硬

8、件架构，MSR集成了包含语音、数据、安全等多种业务，大大降低客户投资及网络的复杂度。丰富的安全功能，包括Firewall、IPSec VPN、MPLS VPN、入侵保护、DDoS防御、攻击防御等。强大的VPN支持能力：基于专门的安全数据连接设计技术，采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎（NDE），系列提供最高达500Mbps的加密性能及每秒最多3000个隧道的处理能力，有力保证转发和加密同步高性能；集成数据交换，真正实现了路由与交换的彻底融合，提供灵活扩展的以太网交换模块或固定以太网交换端口，支持丰富的交换特性，极大地满足了企业对于路由交换一体化组网方案的需要，极大节约客户投

9、资；提供了方便快捷的故障定位工具，极大地提高了用户网络的可管理性。作为总部公司的广域网出口路由器，MSR3020以其丰富的VPN支持特性及强大的加密处理性能（250Mbps的加密性能及每秒2000个隧道）完成可以达到用户的要求。作为分公司广域网出口路由器，MSR2021除了丰富的VPN特性及强大的加密处理性能（100Mbps的加密性能及每秒2000个隧道）之外，它自身还附带8个二层以太网交换口，相当于内置一台小型交换机，充份满足客户今后升级扩容需求。网络总体方案网络总体拓朴如下：XX公司总体网络拓朴图需求实现专线接入直接在总部及出口路由器配置相应的接口模块，并配置提供的IP地址即可。VPN备份

10、VPN（Virtual Private Network，虚拟私有网）是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，实现在公用网络上构建私人专用网络。VPN技术按照不同的角度，可以分为多种类型，如L2TP VPN、IPSecVPN、BGP/MPLS VPN等。在实际应用中，由于L2TP由于扩展性差、隧道转发效率低很少使用，BGP/MPLS VPN因为技术复杂、成本高昂、对网络侧设备依赖较高等因素，并不适合中小企业使用。IPSec VPN技术属于三层VPN技术，是通过IPSec 协议建立的VPN。IPSec协议是一个应用广泛、开放的VPN安全协议，提供了如何使敏感数据在开放的网

11、络（如Internet）中传输的安全机制。 综合考虑，选用IPSec VPN实现专线备份。总部及分支VPN备份整体方案采用单点单隧道方案来实现，即总部及分支均部署一台MSR路由器，租用ISP提供的链路接入Internet，通过配置实现VPN组网。移动人员VPN接入主要是通过在移动人员电脑上安装iNode VPN客户端来实现。同时，为保证安全，还需要配置一个SecKey的USB身份认证锁。它配合iNode使用，存储用户认证信息以及配置文件，还可与机器硬件信息绑定。产品配置广州总部MSR3020安全组合机型，而三个分公司采用MSR2021路由器。移动办公人员安装iNode VPN客户端并配置USB

12、身份认证锁。MSR3020安全组合机型主要是针对VPN等安全性较高的情况专门设计，除了基本的主机和标准软件外，还包括了ANDE加密模块。整体价格比单独配置低很多，具有很高性价比，非常适合中小企业用户。MSR2021自身附带8个二层以太网交换口，相当于一台小型交换机，大大降低了成本。广州总部RT-MSR3020-AC-AS-H3H3C MSR 30-20 路由器主机(AC)，捆绑ANDE模块，标准版软件1RT-SIC-1E1-F-H31端口非通道化E1-F接口模块1CAB-E1-120ohm-3m-RJ45E1接口电缆/1*RJ45(120欧)3m1分公司RT-MSR2021-AC-H3+LIC

13、-SH3C MSR 20-21 路由器主机(AC),256M内存,标准版软件3RT-SIC-1E1-F-H31端口非通道化E1-F接口模块3CAB-E1-120ohm-3m-RJ45E1接口电缆/1*RJ45(120欧)3m3移动办公人员SWP-CAMS-WIVPC-PFS-H3H3C iNode-iNode VPN 客户端组件(for Windows)-纯软件(CD)中文版专业版1NS-SecKey 1000-1身份认证锁- SecKey 1000-USB接口-1 PCS包装1iNode客户端提供以下规格的License：LIS-CAMS-WIVP-PF10-H3H3C iNode-iNod

14、e VPN客户端组件(for Windows)中文版专业版-每增加10用户应用软件费用LIS-CAMS-WIVP-PF50-H3H3C iNode-iNode VPN 客户端组件(for Windows)中文版专业版-每增加50用户应用软件费用LIS-CAMS-WIVP-PF100-H3H3C iNode-iNode VPN 客户端组件(for Windows)中文版专业版-每增加100用户应用软件费用总体方案优势在充分满足客户需求的基础上，本方案有以下特点：高可靠性整网可靠：专线接入，并进行VPN备份。设备可靠：MSR系列路由器本身提供电信级的可靠性，可以提供高达32年的无故障工作时间；支持冗余备份双电源，模块热插拔；支持VRRP、备份中心、快速重路由等技术。高安全性整网安全：专线接入，有效保证数据安全。设备安全： MSR路由器还集成了丰富的安全特性，包括Firewall、入侵保护、DDoS防御、攻击防御等，大大提高了用户整网安全。高效保护客户投资原有的交换机全部保留，不用替换；MSR系