运营商XX地市VPN项目实施方案概要.doc

资源描述

《运营商XX地市VPN项目实施方案概要.doc》由会员分享，可在线阅读，更多相关《运营商XX地市VPN项目实施方案概要.doc（26页珍藏版）》请在三一办公上搜索。

1、工程实施文档编号密级VPN项目XX地市实施方案Version 3.02012年9月文档属性属性内容项目名称： VPN项目项目编号：文档主标题： VPNXX地市实施方案文档副标题：实施方案文档编号：文档版本号：3.0版本日期：2012/9/25文档状态：作者：Cisco system 文档变更过程版本修正日期修正人描述1.02012年4月24日胡强新建2.02012年4月26日彭立明确该项目实施需要提前准备的资源、vpn配置等3.02012年9月25日杨正根据各地市实施资源需求条件添加设计方案二目录第1章概述51.1 编写目的51.2 适用人员51.3 实施范围5第2章项目概述62.1

2、项目背景62.2 项目实施范围62.3 项目实施原则62.4 项目实施阶段划分72.5 项目实施环境要求72.6 项目联系人8第3章项目设备清单93.1 设备清单93.2 设备适用范围9第4章 VPN设计及资源需求104.1 设计方案二124.1.1网络拓扑图124.1.2资源需求134.2 数据流向图14第5章网络设备安装155.1 网络设备命名155.1.1命名规则155.1.2命名示例155.2 设备机房部署165.3 设备安装165.3.1设备安装规则165.4 设备安装注意事项175.4.1安装准备工作175.4.2设备安装步骤17第6章设备软件版本186.1 设备软件版本推荐

3、原则186.2 设备软件版本规划186.3 设备license授权升级18第7章网络连接207.1 物理接口连接207.2 VLAN划分20第8章 IP地址规划228.1 地址空间228.2 防火墙failover地址22第9章路由规划239.1 路由规划原则239.2 路由规划明细23第10章 VPN网关设备参数配置2410.1 VPN网关基础网络环境配置参数2410.2 创建一个VPN的策略组2510.3 Clientless SSL VPN配置参数2510.4 Anyconnect SSL VPN配置参数2610.5 与AAA服务器联动测试配置参数2610.6 IPsec VPN(E

4、Zvpn)配置参数27第1章概述1.1 编写目的撰写此文的主要目的是为了指导 VPN项目XX地市顺利实施，本文档不包含非技术问题，只涉及和项目有关的实施、技术层面等相关的内容，以便通过参考本文档资料顺利完成 VPN项目的实施工作。1.2 适用人员本文档资料主要面向负责该项目的网络设计人员、实施人员、维护管理人员。1.3 实施范围本文档内容涵盖了此次VPN项目所涉及的内容：项目实施条件硬件安装规范项目设备清单设备命名规则设备软件版本 IP 地址分配规则交换网络设计局域网路由策略设计网络安全设备端口连接第2章项目概述2.1 项目背景城域网为众多的大客户提供MPLS VPN等

5、数据业务，随着城域网的不断发展、完善，MPLS VPN客户在可预见的未来会显著增长。但是，MPLS VPN为客户虽然很好的解决了站点（site）到站点(site)之间的数据访问需求，但却不能解决远程、移动工作人员访问办公网络的需求。目前随着移动办公的增加，企业移动用户希望通过IPSEC或者SSL VPN接入的方法进入MPLS VPN需求也不断增加。运营商城域网在提供企业专线服务的同时也需要具有能够提供企业VPN接入的能力。2.2 项目实施范围根据项目建设目标，该项目实施主要工作有：设备上架基础调试 VPN测试认证系统对接业务开通（测试）2.3 项目实施原则1. 实施步骤的完整性，对于

6、每一个实施步骤各方所需要执行的动作有明确的规定，有精确的时间顺序安排，对每一个动作有详细的操作步骤，对每一个执行的动作都有相应的检验机制。2. 详细描述实施方案的风险和局限性，明确使用实施方案所应承担的风险和将导致的后果。3. 在实施前需要各参与单位和人员最终确认实施方案的正确性、明确各方所执行的动作和担负的责任。4. 对于检查实施方案的每一个阶段是否达到方案要求，需要有每一阶段的测试内容，明确那些测试在指定时间点不能完成或完成后测试结果不正确的情况下需要采用网络回退方案，不再执行实施方案的下一个执行动作或不进入下一个实施阶段。5. 为了尽量减少业务中断时间，所有测试和改造工作都在重要业务停止

7、时进行，同时对于参与测试的设备原有数据都要备份。6. 网络调整、应用切换方案在制定时要和所相关应用部门进行充分的沟通，要向应用部门介绍详细的切换过程，切换步骤、切换时间要征得相关应用部门的同意。2.4 项目实施阶段划分该项目可以细分为如下7个阶段：第一阶段：设备到货、设备验货及前期准备；第二阶段：网络设备安装、布线；第三阶段：核心设备配置和调试；第四阶段：VPN测试；第五阶段：认证系统对接；第六阶段：整网测试；第七阶段：应用交付；2.5 项目实施环境要求1. 场地要求：为设备、改造新增的网络设备提供足够的场地空间、机架。温度、湿度条件要满足设备的需要。改造的工具要齐全，比如做线工具、网线、地板

8、起子。2. 电源要求：为设备、改造新增的网络设备提供稳定的电源，足够的插座数量。如果设备是双电源，要提供两路独立的电源，设备的每一个电源都是独立供电。3. 根据设备的摆放位置和设备接口的类型提供足够长度、合格的光纤跳线、双绞线跳线。光纤跳线外面要增加塑料软管进行保护。4. 设备标签，用于对设备进行标识。同时还要准备标签用来给设备端口连接进行标识。2.6 项目联系人项目联系人清单单位总体职责人员安排人员职责XX移动配合厂商进行设备安装、调试、测试，提供线路资源以及IP地址。思科设备安装调试朱文春销售经理苏佺道销售经理彭亮技术支持胡强项目经理李建项目经理助理蔡春生实施工程师蔡鹏实施工程师陈鹏实施工

9、程师杨正实施工程师第3章项目设备清单3.1 设备清单设备清单产品型号产品描述数量ASA5585-S10-K8Cisco ASA 5585-X Firewall Edition SSP-10 bundle includes 8 Gigabit Ethernet interfaces, 2 Gigabit Ethernet SFP interfaces, 2 Gigabit Ethernet management interfaces, 5000 IPsec VPN peers, 2 Premium VPN peers, DES license23.2 设备适用范围功能设备型号数量说明VPN接入

10、ASA55852新购第4章 VPN设计及资源需求4.1 设计方案4.1.1网络拓扑图该拓扑图取消了两台SR路由器之间的光纤互联，但需在两台SR路由器及城域网间配置VPSL技术来实现VRRP协议信息的透传，以达到两台SR路由器冗余的目的（该设计方案是根据各地市情况，部分地市的两台SR路由器物理端口等资源的限制，不能提供两台SR路由器间光纤互联而提出的）。以上拓扑图只是为了体现出VPN网关和接入SR的关系，故而图中的IP城域网部分为缩略图。4.1.2资源需求该项目设计为新增两台Cisco asa5585 VPN网关，分别接入两台不同的IP城域网SR路由器，避免出现单点故障。其中图中的线路、均是此次

11、项目新增线路，需要提前申请线路资源，是VPLS虚拟通道，用于透传VRRP报文信息，在项目实施前提前确认好线路资源是否到位。需求说明如下：图中线路、为光纤链路，用于SR路由器对VPN网关的接入。链路应布放至VPN网关所在的机柜，且尾纤接头规格为单模LC接头。图中线路为两台VPN网关之间的Failover链路，链路应布放在两台VPN网关之间。图中虚拟线路为VPLS技术实现的虚拟链路，在SR之间，建立一条L2 VPLS隧道，承载城域网SR设备的VRRP心跳报文，实现两台SR路由器的主备。备注：以上四条链路务必实施前进行确认，链路资源到位后方可启动实施工作。以上方案需实施工程师和地市相关各方协调确定使

12、用哪种设计方案进行实施。对于两种设计方案对在ASA防火墙上实施的条件和配置没有改变，设计方案二实施工程师需根地市移动各方协调确定VPLS协议已配置并测通方可进行项目实施。4.2 数据流向图第5章网络设备安装5.1 网络设备命名5.1.1命名规则采用等长命名规则，字段分隔符为“-”(减号)设备命名规则（示例）字段1-字段2-字段3- zzz字段1GD：广东字段2Guangzhou ：广州字段3标识功能区，最大长度6字符：LIC：license服务器VPN：VPN接入设备zzz长度3字符。相同功能的设备按序号排列，001-9995.1.2命名示例根据以上网络设备名称规则，按照以下表格形式，给出所

13、有网络设备的名称，及相关用途和描述。网络设备名称（示例）区域名称设备名称用途和描述License服务器GD-Guangzhou-LIC-001License服务器001GD-Guangzhou-LIC-002License服务器002业务操作区GD-Guangzhou-VPN-001VPN接入设备001GD-Guangzhou-VPN-002VPN接入设备0025.2 设备机房部署根据各个机房具体环境完成VPN设备的安装。5.3 设备安装5.3.1设备安装规则Step1 将设备安装至机柜指定位置并固定Step2 连接管理端口.Step3 将设备SFP光纤模块安装至SFP插槽Step4 连接光纤

14、Step5 连接电源Step6开机并观察设备启动状态5.4 设备安装注意事项5.4.1安装准备工作为了保证设备的顺利安装，安装准备工作应确认以下几点。在设备安装并固定之前，首先应对安装地点进行检查，确保安装地点是安全，干净，符合标准的场合，检查安装地点应考虑以下几点：所有设备安装地点应保证电源，空调，电路的准备防火墙进风口应预留充足空间，以利于空气循环和过滤防火墙前后面板应预留充足空间，以利于板卡的安装和路由器维护温度和湿度应满足要求避免电源线和板卡连线的交叉检查电源供应适合设备要求设备应充分接地。 5.4.2设备安装步骤现场安装人员应该记录各项操作的结果。具体安装步骤请参考设备

15、安装手册。安装步骤步骤任务1确认防静电程序2准备和清理安装区域3安装架准备就绪4安装电源，接线板及保护接地5设备拆除封箱6设备安装上机架7记录设备及板卡的序列号8确认设备板卡及模块，安装在相应的机框内9连接设备电源及保护接地10连接机架内及机架间的通信电缆11确认电缆连接相应的面板12设备上电13装载并确认操作系统14配置网络设备15完成硬件安装测试16设备连接入网17完成试运行测试18完成安装记录第6章设备软件版本6.1 设备软件版本推荐原则对于该VPN项目的网络设备操作系统版本，我们遵循以下原则：在满足该项目所需的网络功能的前提下，使用目前最成熟的软件版本，强调系统运行的稳定性。在同

16、一硬件平台上，尽量使用相同的软件版本，以减少不同软件版本之间的互操作性，减少管理的复杂度和工作量。密切跟踪目前推荐的软件可能存在的bug，及时对该VPN项目所涉及设备网络稳定性进行评估。6.2 设备软件版本规划根据目前路由器和交换机设备使用的接口模块以及软件运行环境，所有设备推荐使用的操作系统版本信息如下：设备型号软件版本软件名称Asa-55858.4.06.3 设备license授权升级由于当前的license不支持3DES/AES加密，将导致Windows 7不能正常使用Clientless的SSL VPN，通过更新license的方法启用设备3DES加密功能，通过show versio

17、n命令查看设备是已启用3DES加密，详细对比如下：启用前：启用后：如果未启用，启用方法如下：1. 通过show version命令获取当前设备的序列号；2. 到Cisco网站上获取授权码；网址如下：3. 获得新的授权码后，登入设备，进入到configuration模式下，使用activation-key命令输入新的授权码，重启后即可启用3DES/AES；第7章网络连接7.1 物理接口连接本次VPN网关端口连接如下表所示本端设备名称端口IP地址对端设备名称端口IP地址备注GD-XXXXX-VPN-001 (Primary)G0/0.110.1.1.1/30GD-XXXXX-VPN-001 (

18、Standby)G0/0.110.1.1.2/30Failover linkG0/0.210.1.2.1/30GD-XXXXX-VPN-001 (Standby)G0/0.110.1.1.2/30Failover linkG0/8.1SR01外网接口G0/8.101SR01企业1的IP地址G0/8.102SR01企业2的IP地址G0/8.103SR01企业3的IP地址SR01GD-XXXXX-VPN-001 (Standby)G0/0.110.1.1.2/30GD-XXXXX-VPN-001 (Primary)G0/0.110.1.1.2/30Failover linkG0/0.210.1.2

19、.2/30GD-XXXXX-VPN-001 (Primary)G0/0.110.1.1.2/30Failover linkG0/8.1SR02外网接口G0/8.101SR02企业1的IP地址G0/8.102SR02企业2的IP地址G0/8.103SR02企业3的IP地址SR017.2 VLAN划分因本次VPN项目内网对接需要创建很多子接口与不同企业互联所以与SR的连接同样使用子接口，本着安全的设计理念不使用VLAN 1 做为互联VLAN，与SR连接的互联接口使用VLAN 10，与SR连接的内部第一家企业使用VLAN101，第二家企业使用VLAN102，以此类推。VLAN号VLAN用途备注Vla

20、n 2用于LAN FailoverVlan 3用于STATE FailoverVlan 10VPN设备（outside接口）与SR互联，用于提供用户能够从互联网接入VPN网关Vlan 101用于提供VPN网关访问企业1内部VLANVlan 102用于提供VPN网关访问企业2内部VLANVlan 103用于提供VPN网关访问企业3内部VLAN备注：如出现与SR现存的VLAN出现冲突，以SR现存的为标准，VPN网关进行调整。第8章 IP地址规划8.1 地址空间需要确认如下IP地地址网段用途描述备注VPN设备（outside接口）与SR互联，用于提供用户能够从互联网接入VPN网关,此地址应为互联

21、网地址,至少有6个可用IP地址（已包含SR路由器使用的IP地址）用于提供VPN网关访问企业1内部VLAN此地址应为企业内部地址用于提供VPN网关访问企业2内部VLAN此地址应为企业内部地址用于提供VPN网关访问企业3内部VLAN此地址应为企业内部地址此地址应为企业内部地址8.2 防火墙failover地址所有的防火墙在建立高可用性的failover时使用以下地址作为内部通信地址。设备名称设备端口VLAN或IP地址对端设备名称设备端口VLAN或者IP地址GD-XXXXX-VPN-001(P)G0/0.110.1.1.1/30GD-XXXXX-VPN-001(S)10.1.1.2/30GD-XXX

22、XX-VPN-001(P)G0/0.210.1.2.1/30GD-XXXXX-VPN-001(S)10.1.2.2/30第9章路由规划9.1 路由规划原则VPN服务器：VPN服务器区对接客户端的端口使用默认路由，对接SR的端口使用静态明细路由9.2 路由规划明细目标路由0.0.0.0/0下一跳为SR互联网的接口地址企业内部地址下一跳为SR企业接口的VLAN接口地址第10章 VPN网关设备参数配置10.1 VPN网关基础网络环境配置参数!hostname GD-XXXXXXXX-VPN-001!enable password XXXXXXXXXXXX!interface GigabitEthe

23、rnet0/0.1 description LAN Failover Interface vlan 2!interface GigabitEthernet0/0.2 description STATE Failover Interface vlan 3!interface TenGigabitEthernet0/8.1 vlan 10 nameif outside security-level 10 ip address XX.XX.XX.XX XX.XX.XX.XX standby XX.XX.XX.XX !interface TenGigabitEthernet0/8.101 vlan 1

24、01 nameif enterprise1 security-level 100 ip address XX.XX.XX.XX XX.XX.XX.XX standby XX.XX.XX.XX !failoverfailover lan unit primaryfailover lan interface LANFailover GigabitEthernet0/0.1failover link StateFailover GigabitEthernet0/0.2failover interface ip LANFailover 10.1.1.1 255.255.255.252 standby

25、10.1.1.2failover interface ip StateFailover 10.1.2.1 255.255.255.252 standby 10.1.2.2monitor-interface insidemonitor-interface outside!asdm image disk0:/asdm-645.bin!route outside 0.0.0.0 0.0.0.0 XX.XX.XX.XX（互联网网关）route enterprise1 XX.XX.XX.XX XX.XX.XX.XX XX.XX.XX.XX（企业内部地址）!telnet 0.0.0.0 0.0.0.0 o

26、utside（实施期间将其打开方便维护和排错，实施完毕后可关闭）!username user1 attributes（可以创建一个临时用户用于测试） vpn-group-policy EnterpriseVPN vpn-tunnel-protocol ikev1 ssl-client ssl-clientless vpn-framed-ip-address XX.XX.XX.XX XX.XX.XX.XX service-type remote-access10.2 创建一个VPN的策略组!group-policy EnterpriseVPN internalgroup-policy Enter

27、priseVPN attributes vpn-tunnel-protocol ikev1 ssl-client ssl-clientless webvpn url-list none port-forward disable anyconnect ask none default webvpn customization value DfltCustomization keep-alive-ignore 4 user-storage none storage-key none hidden-shares none smart-tunnel disable activex-relay enab

28、le file-entry enable file-browsing enable url-entry enable smart-tunnel auto-signon disable!10.3 Clientless SSL VPN配置参数!webvpnenable outside!10.4 Anyconnect SSL VPN配置参数!webvpn anyconnect image disk0:/anyconnect-win-2.5.2014-k9.pkg 1 anyconnect enable10.5 与AAA服务器联动测试配置参数aaa-server ciscovpn protocol r

29、adiusaaa-server ciscovpn (outside) host 221.179.9.22key itellinauthentication-port 1812accounting-port 181310.6 IPsec VPN(EZvpn)配置参数!crypto ikev1 policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400!ip local pool Enterprise1 XX.XX.XX.XX-XX.XX.XX.XX mask XX.XX.XX.XX !tun

30、nel-group Enterprise1 type remote-accesstunnel-group Enterprise1 general-attributes address-pool Enterprise1 default-group-policy EnterpriseVPNtunnel-group Enterprise1 ipsec-attributes ikev1 pre-shared-key *!crypto ipsec ikev1 transform-set EnterpriseVPN esp-3des esp-sha-hmaccrypto dynamic-map ipsecvpn 10 set ikev1 transform-set EnterpriseVPNcrypto map ezvpn 10 ipsec-isakmp dynamic ipsecvpncrypto map ezvpn interface outsidecrypto ikev1 enable outside!

展开阅读全文