我设计的一个冗余VPN拓扑。请各大神来评价
前一段时间刚刚考完CCIE-Security。现在面临做毕业设计。题目是建一个具有冗余的VPN“大型”企业网架构。附图是我的Topology。由于没有工作经验,不知道我的设计跟现网中的设计相差多少。由于想拿优秀论文,所以请教各位大神。请大神们点评一下,那些地方需要修改。
以下是我的思路(如有不清晰请提出):{**第6点最纠结**}
(1)Topology需要在GNS3上运行,ASA用虚拟机模.
(2)整个Topology接入层以及以下的层面都没有做出详细设计,想这些不是重点,所以PC,Server这些都直接在核心层连了起来。
(3)Topology中ISP左边的是企业网总部,右边是企业网分部的代表。
(4)总部的VPN主要是做在ASA上面的(只了解Cisco的设备,图中的设备都是针对Cisco的)。总部ASA上打算配置Remove-VPN和Ipsec-VPN(L2L-VPN吧。还能做更好的请指出,谢谢!)。分支机构是用Router-7200来作为网关以及配置Ipsec-VPN的。移动用户上装了Cisco的VPN软件。
(5)总部ASA上是用了A/A热备两台防火墙的。
(6)整个展现出来的网络都希望没有单点故障。这点很纠结:总部连接外网的两台路由器就是单点故障的地方,不知道怎么修改。
其余的在Topology上应该都有体现,若有什么我表达的不清晰的地方请大家提出。先在此谢谢!!!
路过学习一下 {:6_280:}{:6_280:} 帮顶 自己顶一下。 只是搭建一个拓扑,拿个优秀很多学校还是有难度的,因为工作量太少,这个个把小时可以做完的吧,最好加一些自己的研究,理论分析。至于单点故障,前面都是冗余链路,接ISP怎么不用啊。完全没有单点故障的话,除非像数据中心一样,做1:1网络中心,服务器终端使用多网卡设备。{:6_298:} longbaba 发表于 2015-12-13 14:18
只是搭建一个拓扑,拿个优秀很多学校还是有难度的,因为工作量太少,这个个把小时可以做完的吧,最好加一些 ...
那就是总部接入ISP那里,每个ISP的接入点都由两台Router起VRRp备份这样吗?
由于我的毕设题目是针对VPN的冗余设计,所以防火墙一下的不做重点关注,图中的PC,SERVER目的是测试。
学校老师不太懂这些的。最后论文里面肯定吹很多这些理论。
不知道我刚刚说的接ISP的想法对不对?
原图里面还有没有什么是对现在现网中不太好的地方。 路过学习一下 自己再顶一个 {:6_267:} 冗余做法如下
内部冗余:使用VRRP,对二层进行网关的冗余,可避免单点故障,保证设备能接入网络
外部冗余:使用双路由器做出口,对指向ISP的路由做一主一备,比如说默认路由一个路由器做一个,但是优先级不同,就会形成一主一备
跨ISP的vpn冗余:那就需要vpn的hub端至少有两个hub,分别与spoke端两个路由器,形成两组VPN,就冗余了 内部冗余还可以用协议来完成,是三层的冗余,就是多两个设备,不多说了。
6楼说的对,你应该多加一些专业的,细致的分析,比如流量的大小,流量的走向,以这个为基础,来设计网络,还要考虑到安全,健壮等问题。
关于流量的走向就可以多很多东西,比如说组播,mplsvpn,qos,bgp属性(包括很多控制流量的东西),这些你都可以提 你好,请问楼主在吗? 掬水留香 发表于 2016-3-27 13:56
你好,请问楼主在吗?
在呢,怎么了? 路過學習
页:
[1]
2