北京某企業(yè)網絡需求描述:
該企業(yè)在北京原有獨立辦公地點,使用UTT 5830G獨立管理網絡,主要使用VPN功能,將個大區(qū)的辦事處和各地工廠相連,共享CRM系統(tǒng)、OA辦公系統(tǒng)和服務器等資源,現由于公司戰(zhàn)略調整,需要將獨立的辦公地點搬遷到北京該集團總部,需要切換網絡,主要需要滿足以下需求:
1、外網線路切換,新辦公地點獨立兩條光纖(聯(lián)通、電信),需要完成線路的切換。
2、UTT 5830G只做VPN設備使用,不承載其他流量,繼續(xù)連接各大區(qū)辦事處和工廠局域網。
3、UTT 5830G需要連接到中糧集團復雜的局域網內,VPN客戶端通過UTT 5830G連接VPN后,直接訪問集團內部服務器。
4、集團內部局域網做了防火墻相關設置,只允許固定網段(10.0.202.0/24)訪問服務器,所以要求VPN客戶端連接VPN后做NAT轉換成合法網段訪問。保證VPN穩(wěn)定運行以及VPN訪問速度。
網絡拓撲圖:
設備型號:
總部VPN服務器UTT 5830G,分部辦事處和工廠UTT 3640、UTT 2512
方案描述:
1、電信、網通雙線接入
首先,設備需要連接到廣域網,客戶申請了兩條公網線路,電信、聯(lián)通雙線運行,大大提高了VPN性能,能夠兼容全國各地辦事處的網絡,解決了電信、聯(lián)通線路之間的延時問題。
2、設備與復雜的集團內部局域網對接
UTT 5830G原本在一個獨立的網絡環(huán)境中使用,現在需要切換到復雜的集團內部局域網中,而且局域網的拓撲圖對于我們來說是不透明的,我們只有設備之間互聯(lián)的地址信息和防火墻規(guī)則,在有限的環(huán)境下,需要我們更好的規(guī)劃和詳細的測試,才能保證切換時間最短,不影正常的VPN使用。
經過對僅有的兩個網絡參數的分析,能改大概估計出整個集團內網的網絡環(huán)境,UTT 5830G只是整個集團網絡的一個網絡出口,在整個網絡中有很多獨立的網絡出口,承載著不同的服務器,他們之間通過局域網的三層設備(路由器、三層交換機、防火墻)相連。
總結出與整個VPN方案相關聯(lián)的設備,需要通過VPN來訪問的兩個服務器組,網段分別是152.5.88.0/24和10.6.0.0/16,兩個服務器組做了安全防御設置,只允許10.0.202.0/24網段數據訪問,其他源地址均拒絕訪問。那么,我們需要解決的問題是VPN客戶端連接后訪問內網服務器時都要轉換成10.0.202.0/24網段地址。另外,UTT 5830G和局域網設備的互聯(lián)地址是172.17.36.15,網關172.17.36.1。
首先,需要將UTT 5830G與內網設備相連,并添加到內網需要訪問的兩個服務器組的細化路由。
其次,由于兩個服務器組只允許10.0.202.0/24網段的數據訪問,在lan口配置該網段的ip地址,以便分配給VPN客戶端使用。
最后,需要在集團內網的三層設備上配置10.0.202.0/24網段的回程路由,交給172.17.36.15。
3、利用VPN功能,實現分部訪問總部數據庫系統(tǒng)
該方案的主要目的是要通過VPN功能實現分部共享總部的CRM系統(tǒng)、OA辦公系統(tǒng)以及訪問數據庫系統(tǒng),我們在解決了UTT 5830G接入集團局域網后,需要完成VPN的相關設置,來保證分部的電腦可以通過VPN隧道連接到總部,然后再通過UTT 5830G的數據中轉,訪問到總部數據。
由于總部防火墻的特殊設置,我們需要做相應的操作來配合訪問數據庫,首先需要在VPN服務器端設置VPN客戶端接入后的虛接口ip地址為10.0.202.0/24網段地址,其次,VPN客戶端連接后訪問服務器需要做NAT,將源地址轉換成合法網段ip。另外,因為需要訪問的服務器非VPN服務器端直連網段,需要在VPN客戶端添加兩條相應路由,綁定VPN隧道。
4、VPN可視實際情況優(yōu)化
因為客戶有電信、聯(lián)通雙線,那么就可以根據VPN客戶端的實際接入線路情況來設置VPN隧道地址,如果客戶端是聯(lián)通線路,那么連接VPN時的隧道服務器ip地址就是UTT 5830G聯(lián)通線路的公網ip,電信線路同理,這樣設置后,VPN訪問速度得到保證,正常情況下維持在20ms以內,是一個理想值,用戶通過VPN遠訪問數據庫系統(tǒng),速度有明顯提升。
實施效果:
通過VPN網絡的改造,完成了客戶的所有需求,并達到了預期的改造效果,數據庫和各系統(tǒng)的訪問速度有了明顯的提升;UTT 5830G和內網的完美融合,給數據庫系統(tǒng)訪問奠定了良好的基礎,可謂是一次成功而又超乎想象的改造。艾泰科技優(yōu)良的售后服務又一次得到客戶的肯定,并且會一如既往的為客戶提供高效、零距離的服務,使客戶多變、復雜的網路需求能夠第一時間得到響應。
京公網安備 11010502049343號