运营商XX地市VPN项目实施方案概要.docx
- 文档编号:8012134
- 上传时间:2023-01-27
- 格式:DOCX
- 页数:21
- 大小:276.20KB
运营商XX地市VPN项目实施方案概要.docx
《运营商XX地市VPN项目实施方案概要.docx》由会员分享,可在线阅读,更多相关《运营商XX地市VPN项目实施方案概要.docx(21页珍藏版)》请在冰豆网上搜索。
运营商XX地市VPN项目实施方案概要
工程实施文档
编号
密级
VPN项目
XX地市
实施方案
Version3.0
2012年9月
★
文档属性
属性
内容
项目名称:
VPN项目
项目编号:
文档主标题:
VPNXX地市实施方案
文档副标题:
实施方案
文档编号:
文档版本号:
3.0
版本日期:
2012/9/25
文档状态:
作者:
Ciscosystem
★文档变更过程
版本
修正日期
修正人
描述
1.0
2012年4月24日
胡强
新建
2.0
2012年4月26日
彭立
明确该项目实施需要提前准备的资源、vpn配置等
3.0
2012年9月25日
杨正
根据各地市实施资源需求条件添加设计方案二
第1章概述
1.1编写目的
撰写此文的主要目的是为了指导VPN项目XX地市顺利实施,本文档不包含非技术问题,只涉及和项目有关的实施、技术层面等相关的内容,以便通过参考本文档资料顺利完成VPN项目的实施工作。
1.2适用人员
本文档资料主要面向负责该项目的网络设计人员、实施人员、维护管理人员。
1.3实施范围
本文档内容涵盖了此次VPN项目所涉及的内容:
Ø项目实施条件
Ø硬件安装规范
Ø项目设备清单
Ø设备命名规则
Ø设备软件版本
ØIP地址分配规则
Ø交换网络设计
Ø局域网路由策略设计
Ø网络安全
Ø设备端口连接
第2章项目概述
2.1项目背景
城域网为众多的大客户提供MPLSVPN等数据业务,随着城域网的不断发展、完善,MPLSVPN客户在可预见的未来会显著增长。
但是,MPLSVPN为客户虽然很好的解决了站点(site)到站点(site)之间的数据访问需求,但却不能解决远程、移动工作人员访问办公网络的需求。
目前随着移动办公的增加,企业移动用户希望通过IPSEC或者SSLVPN接入的方法进入MPLSVPN需求也不断增加。
运营商城域网在提供企业专线服务的同时也需要具有能够提供企业VPN接入的能力。
2.2项目实施范围
根据项目建设目标,该项目实施主要工作有:
Ø设备上架
Ø基础调试
ØVPN测试
Ø认证系统对接
Ø业务开通(测试)
2.3项目实施原则
1.实施步骤的完整性,对于每一个实施步骤各方所需要执行的动作有明确的规定,有精确的时间顺序安排,对每一个动作有详细的操作步骤,对每一个执行的动作都有相应的检验机制。
2.详细描述实施方案的风险和局限性,明确使用实施方案所应承担的风险和将导致的后果。
3.在实施前需要各参与单位和人员最终确认实施方案的正确性、明确各方所执行的动作和担负的责任。
4.对于检查实施方案的每一个阶段是否达到方案要求,需要有每一阶段的测试内容,明确那些测试在指定时间点不能完成或完成后测试结果不正确的情况下需要采用网络回退方案,不再执行实施方案的下一个执行动作或不进入下一个实施阶段。
5.为了尽量减少业务中断时间,所有测试和改造工作都在重要业务停止时进行,同时对于参与测试的设备原有数据都要备份。
6.网络调整、应用切换方案在制定时要和所相关应用部门进行充分的沟通,要向应用部门介绍详细的切换过程,切换步骤、切换时间要征得相关应用部门的同意。
2.4项目实施阶段划分
该项目可以细分为如下7个阶段:
第一阶段:
设备到货、设备验货及前期准备;
第二阶段:
网络设备安装、布线;
第三阶段:
核心设备配置和调试;
第四阶段:
VPN测试;
第五阶段:
认证系统对接;
第六阶段:
整网测试;
第七阶段:
应用交付;
2.5项目实施环境要求
1.场地要求:
为设备、改造新增的网络设备提供足够的场地空间、机架。
温度、湿度条件要满足设备的需要。
改造的工具要齐全,比如做线工具、网线、地板起子。
2.电源要求:
为设备、改造新增的网络设备提供稳定的电源,足够的插座数量。
如果设备是双电源,要提供两路独立的电源,设备的每一个电源都是独立供电。
3.根据设备的摆放位置和设备接口的类型提供足够长度、合格的光纤跳线、双绞线跳线。
光纤跳线外面要增加塑料软管进行保护。
4.设备标签,用于对设备进行标识。
同时还要准备标签用来给设备端口连接进行标识。
2.6项目联系人
项目联系人清单
单位
总体职责
人员安排
人员
职责
XX移动
配合厂商进行设备安装、调试、测试,提供线路资源以及IP地址。
思科
设备安装调试
朱文春
销售经理
苏佺道
销售经理
彭亮
技术支持
胡强
项目经理
李建
项目经理助理
蔡春生
实施工程师
蔡鹏
实施工程师
陈鹏
实施工程师
杨正
实施工程师
第3章项目设备清单
3.1设备清单
设备清单
产品型号
产品描述
数量
ASA5585-S10-K8
CiscoASA5585-XFirewallEditionSSP-10bundleincludes8GigabitEthernetinterfaces,2GigabitEthernetSFPinterfaces,2GigabitEthernetmanagementinterfaces,5000IPsecVPNpeers,2PremiumVPNpeers,DESlicense
2
3.2设备适用范围
功能
设备型号
数量
说明
VPN接入
ASA5585
2
新购
第4章VPN设计及资源需求
4.1设计方案
4.1.1网络拓扑图
该拓扑图取消了两台SR路由器之间的光纤互联,但需在两台SR路由器及城域网间配置VPSL技术来实现VRRP协议信息的透传,以达到两台SR路由器冗余的目的(该设计方案是根据各地市情况,部分地市的两台SR路由器物理端口等资源的限制,不能提供两台SR路由器间光纤互联而提出的)。
以上拓扑图只是为了体现出VPN网关和接入SR的关系,故而图中的IP城域网部分为缩略图。
4.1.2资源需求
该项目设计为新增两台Ciscoasa5585VPN网关,分别接入两台不同的IP城域网SR路由器,避免出现单点故障。
其中图中的线路①、②、③均是此次项目新增线路,需要提前申请线路资源,④是VPLS虚拟通道,用于透传VRRP报文信息,在项目实施前提前确认好线路资源是否到位。
需求说明如下:
图中线路①、②为光纤链路,用于SR路由器对VPN网关的接入。
链路应布放至VPN网关所在的机柜,且尾纤接头规格为单模LC接头。
图中线路③为两台VPN网关之间的Failover链路,链路应布放在两台VPN网关之间。
图中虚拟线路④为VPLS技术实现的虚拟链路,在SR之间,建立一条L2VPLS隧道,承载城域网SR设备的VRRP心跳报文,实现两台SR路由器的主备。
备注:
以上四条链路务必实施前进行确认,链路资源到位后方可启动实施工作。
以上方案需实施工程师和地市相关各方协调确定使用哪种设计方案进行实施。
对于两种设计方案对在ASA防火墙上实施的条件和配置没有改变,设计方案二实施工程师需根地市移动各方协调确定VPLS协议已配置并测通方可进行项目实施。
4.2数据流向图
第5章网络设备安装
5.1网络设备命名
5.1.1命名规则
采用等长命名规则,字段分隔符为“-”(减号)
设备命名规则(示例)
字段1-字段2-字段3-zzz
字段1
GD:
广东
字段2
Guangzhou:
广州
字段3
标识功能区,最大长度6字符:
LIC:
license服务器
VPN:
VPN接入设备
zzz
长度3字符。
相同功能的设备按序号排列,001-999
5.1.2命名示例
根据以上网络设备名称规则,按照以下表格形式,给出所有网络设备的名称,及相关用途和描述。
网络设备名称(示例)
区域名称
设备名称
用途和描述
License服务器
GD-Guangzhou-LIC-001
License服务器001
GD-Guangzhou-LIC-002
License服务器002
业务操作区
GD-Guangzhou-VPN-001
VPN接入设备001
GD-Guangzhou-VPN-002
VPN接入设备002
5.2设备机房部署
根据各个机房具体环境完成VPN设备的安装。
5.3设备安装
5.3.1设备安装规则
Step 1将设备安装至机柜指定位置并固定
Step 2
连接管理端口.
Step 3将设备SFP光纤模块安装至SFP插槽
Step 4连接光纤
Step 5连接电源
Step 6开机并观察设备启动状态
5.4设备安装注意事项
5.4.1安装准备工作
为了保证设备的顺利安装,安装准备工作应确认以下几点。
在设备安装并固定之前,首先应对安装地点进行检查,确保安装地点是安全,干净,符合标准的场合,检查安装地点应考虑以下几点:
Ø所有设备安装地点应保证电源,空调,电路的准备
Ø防火墙进风口应预留充足空间,以利于空气循环和过滤
Ø防火墙前后面板应预留充足空间,以利于板卡的安装和路由器维护
Ø温度和湿度应满足要求
Ø避免电源线和板卡连线的交叉
Ø检查电源供应适合设备要求
Ø设备应充分接地。
5.4.2设备安装步骤
现场安装人员应该记录各项操作的结果。
具体安装步骤请参考设备安装手册。
安装步骤
步骤
任务
1
确认防静电程序
2
准备和清理安装区域
3
安装架准备就绪
4
安装电源,接线板及保护接地
5
设备拆除封箱
6
设备安装上机架
7
记录设备及板卡的序列号
8
确认设备板卡及模块,安装在相应的机框内
9
连接设备电源及保护接地
10
连接机架内及机架间的通信电缆
11
确认电缆连接相应的面板
12
设备上电
13
装载并确认操作系统
14
配置网络设备
15
完成硬件安装测试
16
设备连接入网
17
完成试运行测试
18
完成安装记录
第6章设备软件版本
6.1设备软件版本推荐原则
对于该VPN项目的网络设备操作系统版本,我们遵循以下原则:
Ø在满足该项目所需的网络功能的前提下,使用目前最成熟的软件版本,强调系统运行的稳定性。
Ø在同一硬件平台上,尽量使用相同的软件版本,以减少不同软件版本之间的互操作性,减少管理的复杂度和工作量。
Ø密切跟踪目前推荐的软件可能存在的bug,及时对该VPN项目所涉及设备网络稳定性进行评估。
6.2设备软件版本规划
根据目前路由器和交换机设备使用的接口模块以及软件运行环境,所有设备推荐使用的操作系统版本信息如下:
设备型号
软件版本
软件名称
Asa-5585
8.4.0
6.3设备license授权升级
由于当前的license不支持3DES/AES加密,将导致Windows7不能正常使用Clientless的SSLVPN,通过更新license的方法启用设备3DES加密功能,通过showversion命令查看设备是已启用3DES加密,详细对比如下:
启用前:
启用后:
如果未启用,启用方法如下:
1.通过showversion命令获取当前设备的序列号;
2.到Cisco网站上获取授权码;网址如下:
3.获得新的授权码后,登入设备,进入到configuration模式下,使用activation-key命令输入新的授权码,重启后即可启用3DES/AES;
第7章网络连接
7.1物理接口连接
本次VPN网关端口连接如下表所示
本端设备名称
端口
IP地址
对端设备名称
端口
IP地址
备注
GD-XXXXX-VPN-001(Primary)
G0/0.1
10.1.1.1/30
GD-XXXXX-VPN-001(Standby)
G0/0.1
10.1.1.2/30
Failoverlink
G0/0.2
10.1.2.1/30
GD-XXXXX-VPN-001(Standby)
G0/0.1
10.1.1.2/30
Failoverlink
G0/8.1
SR01
外网接口
G0/8.101
SR01
企业1的IP地址
G0/8.102
SR01
企业2的IP地址
G0/8.103
SR01
企业3的IP地址
……
SR01
……
GD-XXXXX-VPN-001(Standby)
G0/0.1
10.1.1.2/30
GD-XXXXX-VPN-001(Primary)
G0/0.1
10.1.1.2/30
Failoverlink
G0/0.2
10.1.2.2/30
GD-XXXXX-VPN-001(Primary)
G0/0.1
10.1.1.2/30
Failoverlink
G0/8.1
SR02
外网接口
G0/8.101
SR02
企业1的IP地址
G0/8.102
SR02
企业2的IP地址
G0/8.103
SR02
企业3的IP地址
……
SR01
……
7.2VLAN划分
因本次VPN项目内网对接需要创建很多子接口与不同企业互联所以与SR的连接同样使用子接口,本着安全的设计理念不使用VLAN1做为互联VLAN,与SR连接的互联接口使用VLAN10,与SR连接的内部第一家企业使用VLAN101,第二家企业使用VLAN102,以此类推。
VLAN号
VLAN用途
备注
Vlan2
用于LANFailover
Vlan3
用于STATEFailover
Vlan10
VPN设备(outside接口)与SR互联,用于提供用户能够从互联网接入VPN网关
Vlan101
用于提供VPN网关访问企业1内部VLAN
Vlan102
用于提供VPN网关访问企业2内部VLAN
Vlan103
用于提供VPN网关访问企业3内部VLAN
……
……
备注:
如出现与SR现存的VLAN出现冲突,以SR现存的为标准,VPN网关进行调整。
第8章IP地址规划
8.1地址空间
需要确认如下IP地地址
网段
用途描述
备注
VPN设备(outside接口)与SR互联,用于提供用户能够从互联网接入VPN网关,
此地址应为互联网地址,至少有6个可用IP地址(已包含SR路由器使用的IP地址)
用于提供VPN网关访问企业1内部VLAN
此地址应为企业内部地址
用于提供VPN网关访问企业2内部VLAN
此地址应为企业内部地址
用于提供VPN网关访问企业3内部VLAN
此地址应为企业内部地址
……
……
此地址应为企业内部地址
8.2防火墙failover地址
所有的防火墙在建立高可用性的failover时使用以下地址作为内部通信地址。
设备名称
设备
端口
VLAN或IP地址
对端设备名称
设备端口
VLAN或者IP地址
GD-XXXXX-VPN-001(P)
G0/0.1
10.1.1.1/30
GD-XXXXX-VPN-001(S)
10.1.1.2/30
GD-XXXXX-VPN-001(P)
G0/0.2
10.1.2.1/30
GD-XXXXX-VPN-001(S)
10.1.2.2/30
第9章路由规划
9.1路由规划原则
VPN服务器:
VPN服务器区对接客户端的端口使用默认路由,对接SR的端口使用静态明细路由
9.2路由规划明细
目标
路由
0.0.0.0/0
下一跳为SR互联网的接口地址
企业内部地址
下一跳为SR企业接口的VLAN接口地址
第10章VPN网关设备参数配置
10.1VPN网关基础网络环境配置参数
!
hostnameGD-XXXXXXXX-VPN-001
!
enablepasswordXXXXXXXXXXXX
!
interfaceGigabitEthernet0/0.1
descriptionLANFailoverInterface
vlan2
!
interfaceGigabitEthernet0/0.2
descriptionSTATEFailoverInterface
vlan3
!
interfaceTenGigabitEthernet0/8.1
vlan10
nameifoutside
security-level10
ipaddressXX.XX.XX.XXXX.XX.XX.XXstandbyXX.XX.XX.XX
!
interfaceTenGigabitEthernet0/8.101
vlan101
nameifenterprise1
security-level100
ipaddressXX.XX.XX.XXXX.XX.XX.XXstandbyXX.XX.XX.XX
!
……
!
failover
failoverlanunitprimary
failoverlaninterfaceLANFailoverGigabitEthernet0/0.1
failoverlinkStateFailoverGigabitEthernet0/0.2
failoverinterfaceipLANFailover10.1.1.1255.255.255.252standby10.1.1.2
failoverinterfaceipStateFailover10.1.2.1255.255.255.252standby10.1.2.2
monitor-interfaceinside
monitor-interfaceoutside
!
asdmimagedisk0:
/asdm-645.bin
!
routeoutside0.0.0.00.0.0.0XX.XX.XX.XX(互联网网关)
routeenterprise1XX.XX.XX.XXXX.XX.XX.XXXX.XX.XX.XX(企业内部地址)
!
telnet0.0.0.00.0.0.0outside(实施期间将其打开方便维护和排错,实施完毕后可关闭)
!
usernameuser1attributes(可以创建一个临时用户用于测试)
vpn-group-policyEnterpriseVPN
vpn-tunnel-protocolikev1ssl-clientssl-clientless
vpn-framed-ip-addressXX.XX.XX.XXXX.XX.XX.XX
service-typeremote-access
10.2创建一个VPN的策略组
!
group-policyEnterpriseVPNinternal
group-policyEnterpriseVPNattributes
vpn-tunnel-protocolikev1ssl-clientssl-clientless
webvpn
url-listnone
port-forwarddisable
anyconnectasknonedefaultwebvpn
customizationvalueDfltCustomization
keep-alive-ignore4
user-storagenone
storage-keynone
hidden-sharesnone
smart-tunneldisable
activex-relayenable
file-entryenable
file-browsingenable
url-entryenable
smart-tunnelauto-signondisable
!
10.3ClientlessSSLVPN配置参数
!
webvpn
enableoutside
!
10.4AnyconnectSSLVPN配置参数
!
webvpn
anyconnectimagedisk0:
/anyconnect-win-2.5.2014-k9.pkg1
anyconnectenable
10.5与AAA服务器联动测试配置参数
aaa-serverciscovpnprotocolradius
aaa-serverciscovpn(outside)host221.179.9.22
keyitellin
authentication-port1812
accounting-port1813
10.6IPsecVPN(EZvpn)配置参数
!
cryptoikev1policy10
authenticationpre-share
encryption3des
hashsha
group2
lifetime86400
!
iplocalpoolEnterprise1XX.XX.XX.XX-XX.XX.XX.XXmaskXX.XX.XX.XX
!
tunnel-groupEnterprise1typeremote-access
tunnel-groupEnterprise1general-attributes
address-poolEnterprise1
default-group-policyEnterpriseVPN
tunnel-groupEnterprise1ipsec-attributes
ikev1pre-shared-key*****
!
cryptoipsecikev1transform-setEnterpriseVPNesp-3desesp-sha-hmac
cryptodynamic-mapipsecvpn10setikev1transform-setEnterpriseVPN
cryptomapezvpn10ipsec-isakmpdynamicipsecvpn
cryptomapezvpninterfaceoutside
cryptoikev1enableoutside
!
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 运营商 XX 地市 VPN 项目 实施方案 概要