规划主要包括广域网方案和安全方案两个大类的设计。
1.1 广域网方案设计分析
根据需求分析,目前松陵、杨舍的办事处规模及业务数据流量较小,对于采用2M以上广域网专线的方案虽然传输速率有保障但每年费用较高,故未采纳。而目前电信ADSL或广电CableModem网络技术成熟且应用范围广泛,广域网络线路投资费用较低,更适合于松陵、杨舍这样的小型办事机构。苏州总部目前的出口路由器上行的广域网是电信网络,考虑到不同ISP网络互访存在访问速度不定的延时等问题,故建议在松陵、杨舍两处采用电信的ADSL线路。出口路由器的方案实施考虑过两种情形,一种是用目前具备路由功能的ADSL产品作为基本路由器,另一种是购置专用路由器承担路由的功能。考虑到今后办事处后期业务的扩展、语音等其他新业务数据的支持,普通的路由型ADSL设备不能够提供上述业务支持,故此次采用思科2821路由器用于两个新建办事处的出口路由器设备。Cisco2821作为工业级的分支机构路由器,较其他类型产品提供了更高的稳定性和更大的扩展性。对于ADSL接口实现的问题,方案实施过程中也考虑过两种情况,**种是在Cisco2821路由器上加上WIC-1ADSL模块,让路由器的WIC-1ADSL模块接口直接接入电信POST;第二种是购买专用桥接型ADSL设备,路由器作为桥接型ADSL设备的下行设备,由ADSL接入电信POST。这两种方案都可以实现分支机构通过ADSL线路访问,但价格第二种占优势,客户在比较性价比后*终要求采用第二种方案。ADSL设备选用了D-Link的DSL-2300E设备,该产品支持ADSL2/ADSL2+,在长距离上可达到514公里传输距离,可拥有更佳的覆盖距离及范围,能够满足此次项目的需求。
1.2 广域网访问安全设计分析
对于松陵、杨舍办事处访问苏州总部安全性的需求,及企业负责人、合作企业服务器系统需要从互联网访问苏州总部内网服务器的需求,可以从总部的网络系统上进行安全数据加固配置或进行网络升级改造的方式来解决。利用ASA5520自带的IPSecVPN功能,可以为外网750个用户提供基于IPSecVPN的并发连接,但IPSecVPN需要在每个客户端安装客户端软件并进行配置;如果使用ASA5520的SSLVPN功能或购买独立的SSLVPN产品,则需要额外的购买费用。根据当前VPN访问对需求的满足及两种VPN方案费用对比,用户建议倾向于利用ASA5520自带的IPSecVPN功能先行完成安全数据传输功能,待以后业务发展网络需升级时再行考虑SSLVPN的部署。考虑到松陵、杨舍办事处互联网访问实际情况,从对内网的安全加固需要出发在Cisco2821下挂一台ASA5510防火墙,以实现对办事处内部的数据业务安全保护。
2.网络实施
2.1 广域网实施
2.1.1 PPPoE技术原理
PPP协议作为广域网协议扩展了HDLC协议结构,通过在数据包中提供LCP、NCP和数据帧的功能提供拨号连接、串行连接及DSL连接。目前中国电信PPPoE网络结构原理如图2所示,以此次实施的方案为例,分支机构办事处的分频器下联至ADSL设备和电话,上联到电信的DSLAM设备,由DSLAM将低频语言信号、高频数字信号分别转发到PSTN网络和IP宽带接入网。经过RADIUS服务器验证用户名和密码的合法性后,*后由BRAS/BAS计费网关设备终结PPPoE数据,以后数据就通过IP城域网或IP骨干网转发至目标地。类似于PPP协议,PPPoE协议会话也有建立和初始化链路阶段,但作为基于以太网的协议,在初始化过程中增加了发现和会话阶段。PPPoE协议的发现阶段是为了识别DSLAM设备的MAC地址,完成此步操作后CPE路由器就和DSLAM设备都获取了建立连接关系所需的信息。PPPoE协议会话阶段将协商PP2PoE的MRU净载荷(数据域),以太网的MTU为1500字节,PPPoE的头部6个字节和协议字段2个字节需要占用,故MRU在CPE路由器上需要设置为1492个字节。
2.1.2 Cisco路由器PPPoE实现配置过程中,首先在2821路由器上为PPPoE配置以太网接口,此次分支机构使用Gig0/0端口作为外网接口连接DSL-2300E,使用Gig0/1端口连接ASA5510防火墙。
2.2 VPN实施3
2.2.1 IPSecVPN技术原理
VPN(VirtualPrivateNetwork),是在ISP提供的公网中通过提供一个安全和稳定的隧道,为数据流量建立一个临时且安全的链路。VPN所建立的链路两端没有传统的端到端的物理链路,而是利用公网资源动态建立实现,通过对数据加密、验证和身份识别等多种技术,在企业广域网访问过程中实现高的安全和可靠性。IPSec协议作为VPN技术中的一种,提供了强大的安全、加密、认证和密钥管理功能,其工作于三层协议,可以直接传输网络协议数据包。
2.2.2 ASA防火墙
IPSecVPN实现远程接入客户端的验证可以在本地,也可以在AAA服务器中实现。考虑到项目中的VPN客户数目分类不多且访问对象单一,验证工作就放在ASA防火墙中执行。
2.2.3 用户访问安全实现
为保证集团网络的安全可靠,在总部及各个分支机构的接入层交换机上配置交换机自动学习MAC地址并做MAC地址绑定,对连接终端的交换机接口一律配置为portfast以加速STP的收敛速度,配置如图9所示。同时在接入层和汇聚层交换机中启用了基于VLAN、IP、端口的ACL安全访问控制,以保证数据访问的安全可靠。
3.结束语
该存储物流集团网络改造实施后的广域网和VPN技术满足了企业日常业务数据需求。目前,苏州总部ASA5520可以承担750个并发IPSecVPN访问,如果以后VPN用户数目超过这个范围,建议购置专用的SSLVPN设备。玉山目前承担总部数据备份工作,考虑到今后业务数据流量增加,可以考虑增加广域网加速器,在不扩充广域网链路带宽的前提下可以有效提升广域网数据传输效率。