专利名称:一种网络架构及其配置方法
技术领域:
本发明涉及通信网络领域,尤其涉及一种网络架构及其配置方法。
背景技术:
随着各企业办公信息化发展的要求,VPN相关技术被越来越广泛地应用于企业与分支机构、商业合作伙伴、移动用户等的网络架构中。
以某公司的网络架构为例,如图1所示,企业及其分支机构的虚拟专用网部分包括企业总部端和多个分支机构端。企业总部端包括防火墙I,主VPN网关2,交换机3和多个客户机4。分支机构端包括多个分支机构单元,每个分支机构单元包括防火墙7,子VPN 网关8,交换机9和多个客户机10。企业的内部服务器5与主VPN网关2相连接,企业的外部服务器6通过互联网与防火墙I相连接。该公司由总部和三个分公司组成,分别距离都比较远。公司总部和子公司分别架构了带VPN功能的路由器,使用VPN虚拟网络连接,共同访问公司总部的服务器上的各种工作相关的数据资源。
由于该公司的合作伙伴提出相关业务要求,需要公司总部和分公司均能够访问该合作伙伴架构于其内网服务器上的管理系统。该合作伙伴与该公司采用光纤方式专线连接,给与可用IP地址及内网服务器地址。然而,该公司总部的VPN设备购买时间较早,只有一个WAN 口,无法提供实现总部外网连接和专线连接所必需的两个WAN接口,且没有扩展功能。因此,就需要将主VPN设备更换为具有多个WAN 口的新设备。但是,更换设备一来投资费用较高,二来因目前设备需同时兼顾路由,防火墙等多项功能,配置复杂。导致更换设备成本很高。发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是在追加成本小,能节省人力物力,同时对现有网络配置改动尽量小的基础上,提供一种包括企业及其分支机构的虚拟专用网与虚拟专用网相连接的企业合作伙伴内网的网络架构及其配置方法。
为实现上述目的,本发明提供了一种网络架构,包括一个企业总部端装置和多个分支机构端装置,所述企业总部端装置包括主VPN网关、第一防火墙、内部服务器、外部服务器、第一交换机以及与所述第一交换机相连的多个第一客户机,所述主VPN网关与所述防火墙连接,所述主VPN网关与所述内部服务器连接,所述外部服务器通过互联网与所述第一防火墙连接,所述分支机构端装置包括多个分支机构单元,每个所述分支机构单元包括第二防火墙、与所述第二防火墙相连的子VPN网关、与所述子VPN网关相连的第二交换机以及与所述第二交换机相连的多个第二客户机,所述网络架构还包括一个用于配置静态路由的路由器和另一企业的内网服务器,所述内网服务器通过所述路由器与所述主VPN网关相连。
进一步地,所述网络架构包括多个移动通信设备,所述移动通信设备通过互联网以PPTP方式连接到所述企业总部端装置。
进一步地,所述路由器为思科的1841路由器。
进一步地,所述内网服务器与所述路由器的WAN 口连接。
进一步地,所述路由器是扩展路由器,用于扩展所述主VPN网关的WAN 口。
进一步地,所述企业总部端装置与所述分支机构端装置之间通过所述主VPN网关和所述互联网,与各所述子VPN网关,以IPSEC方式建立VPN连接。
进一步地,所述主VPN网关与所述路由器通过RJ45网线连接,所述主VPN网关的 WAN 口与外部的网络连接,所述主VPN网关的LAN 口与所述路由器的LAN 口连接,所述内网服务器与所述路由器的WAN 口通过RJ45网线连接。
为实现上述目的,本发明还提供了一种网络架构的配置方法,包括如下步骤步骤 A)、将所述路由器的IP地址设置为与所述主VPN网关的IP地址在同一个网段中不冲突;
步骤B)、将所述路由器的所述WAN 口的IP地址配置为可访问所述内网服务器的 IP地址;
步骤C)、配置所述路由器的静态路由;
步骤D)、配置所述主VPN网关的静态路由;
步骤E)、对所述分支机构端装置的所述子VPN网关进行设置,将VPN连接的通道分别设为相应网段的24位全网段。
本发明的有益效果在于该网络架构及其配置方法通过在企业及其分支结构的虚拟专用网和企业合作伙伴内网服务器之间连接一个用于配置静态路由的路由器,并通过对该路由器的设置,使得在不更换主VPN网关设备的情况下,企业及其分支机构通过原主VPN 网关,经由该路由器可以访问合作伙伴的内网服务器。应用本发明的网络架构及其配置方法,使企业节省了更换设备的成本,并节省了更新配置的人力物力。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
图1是现有技术的网络架构 图2是本发明的网络架构图。
具体实施方式
下面结合附图来具体说明本发明的实施例。
如图2所示,一种网络架构,包括企业及其分支机构的虚拟专用网部分和一个路由器11。其中,路由器11是扩展路由器,用于扩展主VPN网 关的WAN 口。企业及其分支机构经由路由器11访问其合作伙伴的内网服务器12。
企业及其分支机构的虚拟专用网部分包括企业总部端和多个分支机构端。企业总部端包括防火墙1,主VPN网关2,交换机3和多个客户机4。其中,防火墙I用于抵御各类外来攻击。主VPN网关2兼顾公司总部主路由功能和VPN主路由功能,其中VPN主路由功能包括为分支机构的子VPN网关8提供IPSEC服务和为移动用户提供PPTP服务。分支机构端包括多个分支机构单元,每个分支机构单元包括防火墙7,子VPN网关8,交换机9和多个客户机10。其中,交换机9用于数据交换。客户机10为公司总部的办公电脑终端。企业的内部服务器5与主VPN网关2相连接,企业外部服务器6通过互联网与防火墙1相连接。企业与分支机构之间通过主VPN网关2,互联网和各子VPN网关8,以IPSEC方式 建立VPN连接。移动用户通过互联网和主VPN网关2及各子VPN网关8,以PPTP方式与企 业总部及其分支机构建立VPN连接。企业及其分支机构通过主VPN网关2经由路由器11 访问合作伙伴的内网服务器12。实施例1本实施例中,如图1所示,公司总部有三个分支机构,总部和分支机构分别架构 了 VPN设备,使用VPN虚拟网络连接,共同访问公司总部服务器。假设内网IP地址分别 为总部192. 168. 1. 0,分支机构1 :192. 168. 2. 0,分支机构2 192. 168. 3. 0,分支机构3 192. 168.4.0。现在因为业务需求,需要公司总部和分支机构访问合作伙伴的内网服务器 12,合作伙伴提供可用的IP地址(10. X. X. X)和内网服务器地址(192. 168. 0. X)。因此,要 实现公司总部外网连接和专线连接,主VPN网关2上必须有两个WAN 口。然而,假设该公司 的VPN设备购买时间较早,只有一个WAN 口,且没有扩展功能。于是采用了图2所示的网络 架构,在主VPN网关2和合作伙伴内网服务器12之间连接一台性能稳定的路由器11,并通 过以下配置方法,达到了在不追加成本,节省人力物力的情况下实现企业总部以及分支机 构对合作伙伴内网服务器12的专线访问。本发明的网络架构的配置方法如下步骤1,配置一台性能稳定的路由器11 (在本实施例中,采用思科1841路由器), 并将其的IP地址设为与企业总部的主VPN网关2同一个网段内的IP地址不冲突。(假设 主VPN网关2的IP地址为192. 168. 1. 1,1841路由器设为192. 168. 1. 3)步骤2,将主VPN网关2与1841路由器使用RJ45网线连接,主VPN网关2的WAN 口连接外网,LAN 口连接1841路由器的LAN 口,将合作伙伴的内网服务器12用RJ45网线 连接至1841的WAN 口。步骤3,将1841路由器的WAN 口配置为合作伙伴提供的可用IP地址(10. X. X. X)。步骤4,对1841路由器的静态路由进行配置,增加三条指令指令1)目的IP地址为0. 0. 0. 0,网关地址为10. X. X. X指令2)目的IP地址为192. 168. 0. 0,网关地址为10. X. X. X指令3)目的IP地址为192. 168. 0. X,网关地址为10. X. X. X指令4)三条指令的下一条设为该WAN的接口步骤5,对企业主VPN网关2进行设置,对该网关的静态路由进行配置,增加两条指 令指令1)目的IP地址为10. X. X. X,网关地址为192. 168. 1. 3指令2)目的IP地址为192. 168. 0. X,网关地址为192. 168. 1. 3步骤6,对分支机构内的子VPN网关8进行设置,将VPN连接的通道分别设为相应 网段的24位全网段分别为192.168. 2. 0/24 192. 168. 3. 0/24 192. 168. 4. 0/24通过以上配置和连接,实现了企业总部及分支结构对合作伙伴内网服务器12的 访问。本发明的网络架构和方法只需要增加一个路由器11,不需更换设备,不用追加成本, 节省了人力物力。
在本实施例中,路由器11为思科1841路由器。当然,本发明并不限于此,路由器 11可以为其他的具有配置静态路由的功能,且稳定高效的路由器。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域的技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,`皆应在由权利要求书所确定的保护范围内。
权利要求
1.一种网络架构,包括一个企业总部端装置和多个分支机构端装置,所述企业总部端装置包括主VPN网关、第一防火墙、内部服务器、外部服务器、第一交换机以及与所述第一交换机相连的多个第一客户机,所述主VPN网关与所述防火墙连接,所述主VPN网关与所述内部服务器连接,所述外部服务器通过互联网与所述第一防火墙连接,所述分支机构端装置包括多个分支机构单元,每个所述分支机构单元包括第二防火墙、与所述第二防火墙相连的子VPN网关、与所述子VPN网关相连的第二交换机以及与所述第二交换机相连的多个第二客户机,其特征在于,所述网络架构还包括一个用于配置静态路由的路由器和另一企业的内网服务器,所述内网服务器通过所述路由器与所述主VPN网关相连。
2.如权利要求1所述的网络架构,其中所述网络架构包括多个移动通信设备,所述移动通信设备通过互联网以PPTP方式连接到所述企业总部端装置。
3.如权利要求1或2所述的网络架构,其中所述路由器为思科的1841路由器。
4.如权利要求3所述的网络架构,其中所述内网服务器与所述路由器的WAN口连接。
5.如权利要求4所述的网络架构,其中所述路由器是扩展路由器,用于扩展所述主VPN网关的WAN 口。
6.如权利要求5所述的网络架构,其中所述企业总部端装置与所述分支机构端装置之间通过所述主VPN网关和所述互联网,与各所述子VPN网关,以IPSEC方式建立VPN连接。
7.如权利要求6所述的网络架构,其中所述主VPN网关与所述路由器通过RJ45网线连接,所述主VPN网关的WAN 口与外部的网络连接,所述主VPN网关的LAN 口与所述路由器的LAN 口连接,所述内网服务器与所述路由器的WAN 口通过RJ45网线连接。
8.—种如权利要求7所述的网络架构的配置方法,其特征在于,包括如下步骤步骤A)、将所述路由器的IP地址设置为与所述主VPN网关的IP地址在同一个网段中不冲突;步骤B)、将所述路由器的所述WAN 口的IP地址配置为可访问所述内网服务器的IP地址;步骤C)、配置所述路由器的静态路由;步骤D)、配置所述主VPN网关的静态路由;步骤E)、对所述分支机构端装置的所述子VPN网关进行设置,将VPN连接的通道分别设为相应网段的24位全网段。
全文摘要
本发明公开了一种网络架构及其配置方法,该网络架构包括一个企业总部端装置和多个分支机构端装置,企业总部端装置包括主VPN网关、第一防火墙、内部服务器、外部服务器、第一交换机以及与第一交换机相连的多个第一客户机,主VPN网关与防火墙连接,主VPN网关与内部服务器连接,外部服务器通过互联网与第一防火墙连接,分支机构端装置包括第二防火墙、与第二防火墙相连的子VPN网关、与子VPN网关相连的第二交换机以及与第二交换机相连的多个第二客户机,网络架构还包括一个用于配置静态路由的路由器和另一企业的内网服务器,内网服务器通过路由器与主VPN网关相连。本发明的网络架构及其配置方法,使企业节省了更换设备的投资以及更新配置的人力物力。
文档编号H04L12/771GK103036757SQ20111029615
公开日2013年4月10日 申请日期2011年9月30日 优先权日2011年9月30日
发明者黄育舜 申请人:上海煤气第二管线工程有限公司