技术方案--企业VPN建设技术方案模板.doc

《技术方案--企业VPN建设技术方案模板.doc》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、XX企业VPN建设技术方案华为3com华为3Co站郁艮公司2004^8月技术方案华为3com1概述和需求分析山于各种类型企业的业务模式和网络现状的不同，他们对VPN系统的需求也不尽相同。经过总结，可以把VPN需求归结为3类：•VPN通道作为主链路的备份链路：这种情况包括石化总部和各个分支结构的VPN通道，这种情况的建网模式通常是在总部和分支机构各放一个VPN网关设备，通过Internet形成VPN通道，对原来连接传统路由设备的DDN/SDH线路形成备份。•主链路和备份链路都是VPN通道：这种情况的建网模式通常在总部放置

2、两个VPN网关，在分支机构放置一个VPN网关，并和总部的两个VPN网关分别形成两个互为备份VPN通道，保证通道的高可靠性。•远程接入VPN：这种需求通过在员工的客户机上安装VPN客户端软件，为企业员工提供移动办公的手段。技术建议和分析在本节里，我们将根据在第一节里提到三种基本需求具体描述一下华为3Com的技术方案，并对相应的技术方案进行详细的分析。1.1VPN通道作为主链路的备份链路具体的拓扑如图1所示。技术方案图1、VPN通道作为备份链路的示意拓扑在图1中，我们可以看到中石化总部和各个分支机构之间己经通路由器和传统的

3、SDII/DDN链路进行互联，路山器通过运行动态路山协议维持対全网拓扑信息的动态感知并自动选路。在这种情况下，VPN通道是作为传统SDH/DDN链路的备份链路而引进的。为了保证主链路发生故障时，流量能够自动切换到VPN通道上，我们必须充分利用动态路市协议的智能性。但是由于协议的局限性，动态路由协议，如OSPF协议，是没法JEIPSEC隧道感知成一个“链路”的。因此，我们必须借助GRE隧道來实现OSPF穿越IPSEC隧道。也就是说，这里实现的技术模式是OSPFoverGREoverIPSEC。请参考图2。技术方案石化总部

4、SecPath100分支如杲用户交换机有路由功能.则路由的变动对用户罡透明的.VPN实旋不竊要变动原有拓扑如呆用户女换机有动态路由功能.则路由的变动对用户是透明的・VPN实施不需娶变动原有拓扌闵置在GREtunne接口上运行OSPF协仪.使其优先级低于主犍路的优先级，通过动态路由协仪保证饶路的自动切换和分支SecPath100作为VPN网关与石化总部SecPath1000^成IPSECVPNiM。SecPath100的外网地址可以是静态的，也可以是动态的，只要总部的SecPath1000的外网地址是静态的就可以成功组网

5、道.该GREtunnel承戟在IPSECVPN上形成对主犍路的备份SecPath1000SecPath1000的loopback接口（内网地址）和SecPath100的loopback按口（内网地址）构建GRE通图2OSPFoverGREoverIPSEC实现动态路市协议穿越IPSEC隧道在图2中，分支机构的SECPATH100作为VPN网关和石化总部的SECPATH1000VPN网关形成IPSECVPN通道。VPN策略配置在SECPATH1000和SECPATH100各口的外网接口上。这里只需要总部的SECPATH1

6、000具有固定Interne哋址，而分支机构的SECPATH无论是静态^InternetIP,还是动态&

7、0可以通过GRE通道交换动态路山协议。当主链路中断时，动态路由协议使得流量会自动切换到IPSECVPN通道上面。这里需要注意的石化总部和分支机构内网路由的部署。在图2屮，如果石化总部和分支机构的内网交换机都支持动态路市协议，那么路由的变动对最终的用户来讲是透明的・用户计算机只需将网关指向内网交换机，交换机会通过z力态路由协议选择正确的下一跳，并将用户的流量路山到正确的链路上。如果石化总部或者分支机构的内网交换机不支持动态路由协议，那么内网交换机就无法动态获得正确的路rti信息，这时必须使用静态路rh（这里我们假设分支结

8、构的内网交换机不支持动态路由协议）。如图3所示。技术方案如果用户交换机有动态路由功能.则路由的变动对用户是透明的。VPN实施不需要变动原有拓扌曲置如果用户交换机没有动态路由功能.可以通过VRRP协议使原来的路由器与SecPath为用户提供高可靠性。同时必须在路由器和SecPathlOO之何増加一条备份饶路。SecPathlOOOW