分析下需求,整个项目主要就是用自建的×××替换掉运营商的MPLS专线。

 

构筑Site-to-Site×××有很多方式,比如利用企业原有JuniperFortigate之类的防火墙创建等。

 

最后综合考虑下来还是利用原有的一些Cisco设备,加上采购一些新设备,使用CiscoDM×××方案来构建。

 

所谓DM××× (Dynamic Multipoint ×××),即动态多点虚拟专用网,是通过多点隧道路由封装(mGRE)建立隧道、下一跳解析协议(NHRP)解析分支点动态地址、IPSec技术加密相结合实现的。优点是性能好、扩展强,尤其是当支点越多时,优越性就越能体现。

 

最后设计方案图如下:(恩。。。因为原始设计图中有些企业私有信息,不方便直接贴出,所以我这里另外简单画了个)

wKioL1POaLny7Dx3AAHlNYZLwro509.jpg

 

1.上海作为DM×××路由中心,申请2条固定IP线路,并且需要不同局端点的出口光纤,其中一条有2个以上IP。一条Internet上网用,另一条DM×××用。

2.所有分部都申请同一运营商网络线路,带宽20Mbps以上,注意上下行速度是否一致,尽量有固定IP。这里就要看固定IP的性价比了,比如我这里是都选电信,其中合肥站点的含IP光纤每个月才800不到,这样肯定选含固定IP的啦。

3.所有分部的流量都先经过上海DM中心路由器,再从上海防火墙出口进入Internet。这样,只要在核心交换机和防火墙之间放置一台网络行为管理的硬件,就能对所有网络流量进行管理和监控。

4.DM中心路由器设置2台,即建立2tunnel,当主路由器故障时可以自动切换到备用路由器,主路由器恢复时又可自动切换回来。不会因为中心支点故障引起全网络停运。

5.Internet上网和备用DM中心路由器使用同一线路,不同IP,以节约费用。

6.Internet上网线路故障时,临时切换到主DM中心路由器上网。

7.上海到日本总社的MPLS还是保留,所有往日本的流量都从上海路由出去。因为中国往国际间Internet线路有时速度会抽风,原因嘛。。。大家都懂的。。。

8.设置Qos,以保证VOIP语音流量优先。

 

好了,方案初步设计完了,接下来是实施了。