复杂网络 艾泰VPN组网轻松Hold住

  北京某企业网络需求描述:
  
  该企业在北京原有独立办公地点,使用UTT 5830G独立管理网络,主要使用VPN功能,将个大区的办事处和各地工厂相连,共享CRM系统、OA办公系统和服务器等资源,现由于公司战略调整,需要将独立的办公地点搬迁到北京该集团总部,需要切换网络,主要需要满足以下需求:
  
  1、外网线路切换,新办公地点独立两条光纤(联通、电信),需要完成线路的切换。
   
  2、UTT 5830G只做VPN设备使用,不承载其他流量,继续连接各大区办事处和工厂局域网。
   
  3、UTT 5830G需要连接到中粮集团复杂的局域网内,VPN客户端通过UTT 5830G连接VPN后,直接访问集团内部服务器。
   
  4、集团内部局域网做了防火墙相关设置,只允许固定网段(10.0.202.0/24)访问服务器,所以要求VPN客户端连接VPN后做NAT转换成合法网段访问。保证VPN稳定运行以及VPN访问速度。
  
  网络拓扑图:
  
  设备型号:
  
  总部VPN服务器UTT 5830G,分部办事处和工厂UTT 3640、UTT 2512
  
  方案描述:
  
  1、电信、网通双线接入
  
  首先,设备需要连接到广域网,客户申请了两条公网线路,电信、联通双线运行,大大提高了VPN性能,能够兼容全国各地办事处的网络,解决了电信、联通线路之间的延时问题。
 
  
  2、设备与复杂的集团内部局域网对接
  
  UTT 5830G原本在一个独立的网络环境中使用,现在需要切换到复杂的集团内部局域网中,而且局域网的拓扑图对于我们来说是不透明的,我们只有设备之间互联的地址信息和防火墙规则,在有限的环境下,需要我们更好的规划和详细的测试,才能保证切换时间最短,不影正常的VPN使用。
  
  经过对仅有的两个网络参数的分析,能改大概估计出整个集团内网的网络环境,UTT 5830G只是整个集团网络的一个网络出口,在整个网络中有很多独立的网络出口,承载着不同的服务器,他们之间通过局域网的三层设备(路由器、三层交换机、防火墙)相连。
  
  总结出与整个VPN方案相关联的设备,需要通过VPN来访问的两个服务器组,网段分别是152.5.88.0/24和10.6.0.0/16,两个服务器组做了安全防御设置,只允许10.0.202.0/24网段数据访问,其他源地址均拒绝访问。那么,我们需要解决的问题是VPN客户端连接后访问内网服务器时都要转换成10.0.202.0/24网段地址。另外,UTT 5830G和局域网设备的互联地址是172.17.36.15,网关172.17.36.1。
  
  首先,需要将UTT 5830G与内网设备相连,并添加到内网需要访问的两个服务器组的细化路由。
 
 
  
  其次,由于两个服务器组只允许10.0.202.0/24网段的数据访问,在lan口配置该网段的ip地址,以便分配给VPN客户端使用。
 
  
  最后,需要在集团内网的三层设备上配置10.0.202.0/24网段的回程路由,交给172.17.36.15。
  
  3、利用VPN功能,实现分部访问总部数据库系统
  
  该方案的主要目的是要通过VPN功能实现分部共享总部的CRM系统、OA办公系统以及访问数据库系统,我们在解决了UTT 5830G接入集团局域网后,需要完成VPN的相关设置,来保证分部的电脑可以通过VPN隧道连接到总部,然后再通过UTT 5830G的数据中转,访问到总部数据。
 
  
  由于总部防火墙的特殊设置,我们需要做相应的操作来配合访问数据库,首先需要在VPN服务器端设置VPN客户端接入后的虚接口ip地址为10.0.202.0/24网段地址,其次,VPN客户端连接后访问服务器需要做NAT,将源地址转换成合法网段ip。另外,因为需要访问的服务器非VPN服务器端直连网段,需要在VPN客户端添加两条相应路由,绑定VPN隧道。
 
 
  
  
  4、VPN可视实际情况优化
 
  因为客户有电信、联通双线,那么就可以根据VPN客户端的实际接入线路情况来设置VPN隧道地址,如果客户端是联通线路,那么连接VPN时的隧道服务器ip地址就是UTT 5830G联通线路的公网ip,电信线路同理,这样设置后,VPN访问速度得到保证,正常情况下维持在20ms以内,是一个理想值,用户通过VPN远访问数据库系统,速度有明显提升。
  
  实施效果:
   
  通过VPN网络的改造,完成了客户的所有需求,并达到了预期的改造效果,数据库和各系统的访问速度有了明显的提升;UTT 5830G和内网的完美融合,给数据库系统访问奠定了良好的基础,可谓是一次成功而又超乎想象的改造。艾泰科技优良的售后服务又一次得到客户的肯定,并且会一如既往的为客户提供高效、零距离的服务,使客户多变、复杂的网路需求能够第一时间得到响应。

 

2015 ©上海艾泰科技有限公司 版权所有 沪ICP备5037453号