當前位置:
首頁>
技術(shù)交流>聯(lián)華地產(chǎn)公司組網(wǎng)解決方案
聯(lián)華地產(chǎn)公司組網(wǎng)解決方案續(xù)一
網(wǎng)絡(luò)實現(xiàn)方案
根據(jù)客戶要求����,現(xiàn)做出如下解決辦法和技術(shù)描述:
全網(wǎng)規(guī)劃:(使用MPLS vpn專線組建一、二級����,三級網(wǎng)絡(luò)由ipsec vpn方式組建)
深圳總部:(推薦使用美國Juniper公司的SSG UTM防火墻)
鑒于總部是所有流量匯聚、病毒防護�����、入侵防御及攻擊防護的中心點��,所以建議架設(shè)更高級別的防火墻�����,推薦Juniper SSG 550M。同時加載AV防病毒�、DI(IPS入侵防御)模塊。
仍然采用原有的中國電信2M ip城域網(wǎng)接入方式�����,用以與現(xiàn)有使用電信線路的分公司進行ipsec vpn互聯(lián)��;
使用防火墻安全區(qū)域的功能,將現(xiàn)有深圳內(nèi)網(wǎng)分成不同級別的區(qū)域��,如trust區(qū)域�����、DMZ區(qū)域及untrust區(qū)域�,區(qū)域之間的訪問及ipsec vpn之間的訪問經(jīng)過防火墻嚴格控制�����,如分配在trust區(qū)域的員工訪問DMZ區(qū)域的OA���、E-mail服務(wù)器均必須過防火墻狀態(tài)檢測�����,同時可加載應(yīng)用層過濾及病毒檢測����,以保證更高級別的訪問安全�。分公司的用戶訪問ipsec vpn對端深圳總部的OA服務(wù)器時同樣也遵循這樣的規(guī)則,這樣就確保整體訪問的安全以達到公司對安全的要求���。
深圳總部與北京分部之間采用兩線路備份式鏈接��,采用MPLS-vpn鏈路���。總部使用兩臺cisco 2851路由器做為連接專線所用設(shè)備����,利用HSRP熱備份路由協(xié)議區(qū)分主�����、備路由器,內(nèi)網(wǎng)接口處接一臺交換機做分線所用��,然后再與防火墻相連�。
在深圳防火墻再劃出一個安全區(qū)域與兩臺cisco 3845或2851相連(實質(zhì)上只用一條線連接到與路由器之間的交換機上即可),此舉用于嚴格檢測和防患所有分部通過MPLS及IPsec vpn線路進來訪問深圳總部數(shù)據(jù)的安全�。
出于安全的考慮,在juniper防火墻上啟多層虛擬路由���,劃出trust-vr與公司內(nèi)部的動態(tài)路由互動�,劃出untrust-vr連接internet���,劃分出dmz-vr與服務(wù)器群單獨相連�����?傊唤ㄗh使用單一路由���,因為會存在安全風險�����。黑客的攻擊往往會借助這點,以查路由表的方式去獲取相應(yīng)的網(wǎng)絡(luò)或信息資源,然后利用枚舉法和探測法進行攻擊����。
Juniper SSG550M混合吞吐量為1G�,ipsec vpn吞吐量為660M,因為Juniper公司的所有產(chǎn)品均是基于ASIC硬件的設(shè)備��,所以在對ipsec vpn數(shù)據(jù)流進行加��、解密時��,能夠高效��、快速的進行��,不會取耗CPU的任何資源�����;诖��,我們在部署vpn之間的協(xié)商時�,為了保證數(shù)據(jù)傳輸?shù)母踩���,我們建議采用pre-3des-md5��、nofps-esp-3des-md5加密及hash方式建立��。
北京區(qū)域公司 :
以北京分公司做為北方網(wǎng)通線路通信的匯聚點��,所有使用北方網(wǎng)通ADSL線路的分公司���,全部以ipsec方式與北京分公司相連。在此建議北京的線路接入使用帶固定IP地址�,以方便ipsec vpn的配置工作。
Ipsec vpn隧道通道里可以承載數(shù)據(jù)信息�����,同時也可以傳遞病毒及木馬���。vpn一旦建立風險也隨之而來,分支機構(gòu)可以影響總部����,總部也同樣可以影響各分部,所以Juniper防火墻AV及DI功能可以對所有與之建立的vpn隧道進出流量進行應(yīng)用層過濾及病毒檢查���,有效防止病毒�����、木馬及黑客的攻擊����。
使用雙線路MPLS vpn與深圳總部相連�,選購cisco 2811路由器作為匯聚路由,通過專線把所有下屬售樓單位與項目部數(shù)據(jù)請求送至深圳總部�����,兩臺cisco 2811同樣采用HSRP熱備份路由協(xié)議區(qū)分主備路由����。
北京區(qū)域公司與北方的一些分公司擁用同級別網(wǎng)絡(luò)部署,但為了提記網(wǎng)絡(luò)訪問效果和方便管理���,在此規(guī)劃將所有項目部及售樓處統(tǒng)一到各區(qū)區(qū)域公司網(wǎng)絡(luò)處做匯聚����,然后再向深圳總部交互信息請求����。
北京區(qū)域出差人員安裝IPsec vpn撥號程序���,建立兩個或多個撥號目的組����,即可以建立與北京區(qū)域公司相連組���,也可以也深圳總部及其它區(qū)域公司相連�,連入后均實現(xiàn)的效果相同��,均可與深圳總部的服務(wù)器進行通信�。
上海區(qū)域公司
做為MPLS vpn專線接入,各級區(qū)域公司均相同��,按照規(guī)劃統(tǒng)一采購兩臺cisco 2811路由器做為匯聚級及熱備份����。
安全防火墻方面任采用原來思科ASA5510防火墻,按照ip城域網(wǎng)給出的配置完成設(shè)備配置���,同時與下聯(lián)Juniper SSG防火墻建立IPSEC vpn隧道����。
同樣為上海區(qū)域出差人員安裝IPsec vpn撥號程序,建立兩個或多個撥號目的組�����,即可以建立與北京區(qū)域公司相連組�,也可以也深圳總部及其它區(qū)域公司相連�����,連入后均實現(xiàn)的效果相同��,均可與深圳總部的服務(wù)器進行通信�����。
華東��、華南區(qū)分公司:(華東��、華南區(qū)以江蘇分公司為例)
華東及華南區(qū)域內(nèi)的所有分公司與區(qū)域總公司的級別相同���,均直接采用cisco路由器與深圳總部通過MPLS vpn專線連接���,所有數(shù)據(jù)直接通過專線進行路由。
建議采購cisco 1841路由器與深圳總部通過MPLS vpn專線相連���,同時建議采購Juniper SSG5防火墻與深圳總部SSG 550防火墻建立IPsec vpn作為MPLS vpn專線備份線路�,這樣即能做到鏈路高可用也能解決分公司用戶訪問internet����。
華北區(qū)分公司:(華北區(qū)以哈爾濱或沈陽分公司為例)
整個區(qū)分公司與區(qū)域公司級別相同,直接通過MPLS vpn線路與深圳相連�,所有數(shù)據(jù)直接通過專線進行路由���。
建議所有北區(qū)分公司采購Juniper SSG5防火墻作為訪問Internet及MPLS vpn專線備份設(shè)備�。同樣采用IPsec vpn方式備份���,但連接點與華東��、華南區(qū)不同���,北區(qū)各分公司IPsec vpn備份接入點必須是北區(qū)區(qū)域總公司,如北京區(qū)域公司�。因為北區(qū)地區(qū)與南方深圳總部不屬同一網(wǎng)絡(luò)運營商,所以建立IPsec vpn會出現(xiàn)很多問題�,導致時斷時續(xù)甚至無法建立。
聯(lián)華地產(chǎn)公司組網(wǎng)解決方案
聯(lián)華地產(chǎn)公司組網(wǎng)解決方案續(xù)二
