xxx集团VP7N广域网实施方案1.doc

XXX集团公司 VPN广域网项目 实施方案建议书 目 录 第1章 实施方案概述 4 第2章 项目背景 5 第3章 建设目标 6 第4章 建设原则 7 第5章 项目概述 8 第6章 实施方案 9 6.1 集团中心网络结构 9 6.2 DMVPN实施设计 10 6.2.1 双DMVPN/双中心设计—集团中心7609配置 11 6.2.2 双DMVPN/双中心设计—集团中心3745配置 15 6.2.3 双DMVPN/双中心设计—成员企业3845配置 17 6.3 远程访问VPN设计 20 6.3.1 基于IPSEC 软客户端的远程访问VPN 20 6.3.2 基于SSL 的远程访问VPN 27 6.4 负载均衡设备与防火墙部署 29 6.5 成员企业VPN网关部署 30 6.6 DNS部署策略 33 6.7 AAA部署策略 33 6.8 路由协议及策略 34 6.9 IP地址规划 35 6.9.1 IP地址分配原则 35 6.9.2 IP地址分配参考 35 6.9.3 VPN广域网工程IP地址分配建议 36 6.10 设备名及端口命名规则 40 6.10.1 设备命名规则 40 6.10.2 LOOPBACK接口标识 41 6.10.3 路由端口(interface)命名规范 42 6.10.4 物理端口（port）描述规范 42 6.10.5 ROUTER-ID标识 42 6.11 安全策略 42 6.11.1 OSFP协议保护 43 6.11.2 访问控制 43 6.11.3 漏洞保护 44 6.11.4 反垃圾流量 45 6.11.5 其他手段 45 6.12 VOIP策略 46 第7章 网络割接 48 7.1 割接原则 48 7.2 割接内容 48 7.2.1 核心节点割接 48 7.2.2 成员节点割接 49 附件一 50 实施方案概述 本实施方案主要包含两个层次的内容：方案与配置命令，方案主要指出实施需要实现的目标、效果和实现手段，配置命令给出满足方案所需的命令语句。 由于建设规模大，特性复杂。本方案以项目的目标和效果为准，具体实现手段和配置命令在非原则性下可灵活处理（以补充和勘误为主），但改动前会与xxx建设集团充分沟通。 本方案命令部分主要体现DMVPN、Easy VPN、SSL VPN的配置；F5、CACS、CMS的配置方法在统一提交文档中体现 项目背景 xxx集团是中央管理的、跨国经营的综合性大型企业，是中国规模最大、最具实力的水利xxx建设企业。根据经济全球化进程加快、中国加入WTO的新形势，xxx集团按照“组织集团化、管理现代化、经营国际化”的战略思路，正在通过制度创新、科技创新和管理创新，实现跨越式发展，向国际一流的大型企业集团的战略目标迈进。“统一规划、统一标准、统一建设、统一管理”是xxx集团信息化建设工作的重要原则，在这一原则指导下，实现xxx集团VPN广域网的互联互通和资源共享。 xxx集团在全国拥有众多的成员企业，而且随着业务的发展还在不断地组建新的专业公司。随着国际业务的开展，xxx集团在世界各地开设了众多的办事处和工程项目点。为了发挥集团优势，加强集体化运作和管理，所有的一级成员企业以及部分重要工程项目点都需要与北京总部进行跨广域网络的远程连接以构成xxx集团的广域信息专网，本次广域网系统的建设主要解决集团总部与一级成员企业之间网络的互联互通问题，既要保障网络的安全、稳定、畅通，又要节省建设和运维成本。 建设目标 将要建设的xxx集团VPN广域网采用两层结构，集团公司总部作为整个VPN广域网的核心节点，由两台高性能的VPN设备采用负载均衡的方式组成，为全系统提供高性能、高可靠、高安全、易扩展的VPN接入服务。分布在全国各地的一级成员企业作为汇聚节点，各部署一台高性能的VPN设备，该VPN设备既负责和总部核心节点建立VPN连接，还承担着本单位下级单位、工程项目点VPN设备（本期建设不考虑二级单位的设备）的接入任务，并且在需要时各个一级成员企业之间可以建立动态VPN连接。建成后的VPN广域网必须具备完善的统一网管平台，可以分级授权管理，各级网络管理人员能够实时监控本级设备上所有的VPN隧道的运行状况以及用户的认证登录信息。 通过建设VPN广域网，实现xxx集团总部和各个成员企业以及重点工程项目点之间信息资源的共享，为xxx集团的生产、销售、管理等经营活动提供及时、准确的信息，同时为将来的语音和视频业务的开展提供前期准备。考虑到今后一级成员企业都将以专线方式组建广域网，并且在广域网上还将开通语音及视频服务的需要，为了保证设备的可重用性，本次VPN广域网建设所采用的设备必须是配置了专用硬件VPN模块的路由器