CN103036757B - 一种网络架构及其配置方法 - Google Patents
一种网络架构及其配置方法 Download PDFInfo
- Publication number
- CN103036757B CN103036757B CN201110296156.5A CN201110296156A CN103036757B CN 103036757 B CN103036757 B CN 103036757B CN 201110296156 A CN201110296156 A CN 201110296156A CN 103036757 B CN103036757 B CN 103036757B
- Authority
- CN
- China
- Prior art keywords
- address
- vpn gateway
- router
- gateway
- network architecture
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络架构及其配置方法,该网络架构包括一个企业总部端装置和多个分支机构端装置,企业总部端装置包括主VPN网关、第一防火墙、内部服务器、外部服务器、第一交换机以及与第一交换机相连的多个第一客户机,主VPN网关与防火墙连接,主VPN网关与内部服务器连接,外部服务器通过互联网与第一防火墙连接,分支机构端装置包括第二防火墙、与第二防火墙相连的子VPN网关、与子VPN网关相连的第二交换机以及与第二交换机相连的多个第二客户机,网络架构还包括一个用于配置静态路由的路由器和另一企业的内网服务器,内网服务器通过路由器与主VPN网关相连。本发明的网络架构及其配置方法,使企业节省了更换设备的投资以及更新配置的人力物力。
Description
技术领域
本发明涉及通信网络领域,尤其涉及一种网络架构及其配置方法。
背景技术
随着各企业办公信息化发展的要求,VPN相关技术被越来越广泛地应用于企业与分支机构、商业合作伙伴、移动用户等的网络架构中。
以某公司的网络架构为例,如图1所示,企业及其分支机构的虚拟专用网部分包括企业总部端和多个分支机构端。企业总部端包括防火墙1,主VPN网关2,交换机3和多个客户机4。分支机构端包括多个分支机构单元,每个分支机构单元包括防火墙7,子VPN网关8,交换机9和多个客户机10。企业的内部服务器5与主VPN网关2相连接,企业的外部服务器6通过互联网与防火墙1相连接。该公司由总部和三个分公司组成,分别距离都比较远。公司总部和子公司分别架构了带VPN功能的路由器,使用VPN虚拟网络连接,共同访问公司总部的服务器上的各种工作相关的数据资源。
由于该公司的合作伙伴提出相关业务要求,需要公司总部和分公司均能够访问该合作伙伴架构于其内网服务器上的管理系统。该合作伙伴与该公司采用光纤方式专线连接,给与可用IP地址及内网服务器地址。然而,该公司总部的VPN设备购买时间较早,只有一个WAN口,无法提供实现总部外网连接和专线连接所必需的两个WAN接口,且没有扩展功能。因此,就需要将主VPN设备更换为具有多个WAN口的新设备。但是,更换设备一来投资费用较高,二来因目前设备需同时兼顾路由,防火墙等多项功能,配置复杂。导致更换设备成本很高。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是在追加成本小,能节省人力物力,同时对现有网络配置改动尽量小的基础上,提供一种包括企业及其分支机构的虚拟专用网与虚拟专用网相连接的企业合作伙伴内网的网络架构及其配置方法。
为实现上述目的,本发明提供了一种网络架构,包括一个企业总部端装置和多个分支机构端装置,所述企业总部端装置包括主VPN网关、第一防火墙、内部服务器、外部服务器、第一交换机以及与所述第一交换机相连的多个第一客户机,所述主VPN网关与所述防火墙连接,所述主VPN网关与所述内部服务器连接,所述外部服务器通过互联网与所述第一防火墙连接,所述分支机构端装置包括多个分支机构单元,每个所述分支机构单元包括第二防火墙、与所述第二防火墙相连的子VPN网关、与所述子VPN网关相连的第二交换机以及与所述第二交换机相连的多个第二客户机,所述网络架构还包括一个用于配置静态路由的路由器和另一企业的内网服务器,所述内网服务器通过所述路由器与所述主VPN网关相连。
进一步地,所述网络架构包括多个移动通信设备,所述移动通信设备通过互联网以PPTP方式连接到所述企业总部端装置。
进一步地,所述路由器为思科的1841路由器。
进一步地,所述内网服务器与所述路由器的WAN口连接。
进一步地,所述路由器是扩展路由器,用于扩展所述主VPN网关的WAN口。
进一步地,所述企业总部端装置与所述分支机构端装置之间通过所述主VPN网关和所述互联网,与各所述子VPN网关,以IPSEC方式建立VPN连接。
进一步地,所述主VPN网关与所述路由器通过RJ45网线连接,所述主VPN网关的WAN口与外部的网络连接,所述主VPN网关的LAN口与所述路由器的LAN口连接,所述内网服务器与所述路由器的WAN口通过RJ45网线连接。
为实现上述目的,本发明还提供了一种网络架构的配置方法,包括如下步骤:步骤A)、将所述路由器的IP地址设置为与所述主VPN网关的IP地址在同一个网段中不冲突;
步骤B)、将所述路由器的所述WAN口的IP地址配置为可访问所述内网服务器的IP地址;
步骤C)、配置所述路由器的静态路由;
步骤D)、配置所述主VPN网关的静态路由;
步骤E)、对所述分支机构端装置的所述子VPN网关进行设置,将VPN连接的通道分别设为相应网段的24位全网段。
本发明的有益效果在于:该网络架构及其配置方法通过在企业及其分支结构的虚拟专用网和企业合作伙伴内网服务器之间连接一个用于配置静态路由的路由器,并通过对该路由器的设置,使得在不更换主VPN网关设备的情况下,企业及其分支机构通过原主VPN网关,经由该路由器可以访问合作伙伴的内网服务器。应用本发明的网络架构及其配置方法,使企业节省了更换设备的成本,并节省了更新配置的人力物力。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是现有技术的网络架构图;
图2是本发明的网络架构图。
具体实施方式
下面结合附图来具体说明本发明的实施例。
如图2所示,一种网络架构,包括企业及其分支机构的虚拟专用网部分和一个路由器11。其中,路由器11是扩展路由器,用于扩展主VPN网关的WAN口。企业及其分支机构经由路由器11访问其合作伙伴的内网服务器12。
企业及其分支机构的虚拟专用网部分包括企业总部端和多个分支机构端。企业总部端包括防火墙1,主VPN网关2,交换机3和多个客户机4。其中,防火墙1用于抵御各类外来攻击。主VPN网关2兼顾公司总部主路由功能和VPN主路由功能,其中VPN主路由功能包括为分支机构的子VPN网关8提供IPSEC服务和为移动用户提供PPTP服务。分支机构端包括多个分支机构单元,每个分支机构单元包括防火墙7,子VPN网关8,交换机9和多个客户机10。其中,交换机9用于数据交换。客户机10为公司总部的办公电脑终端。企业的内部服务器5与主VPN网关2相连接,企业外部服务器6通过互联网与防火墙1相连接。
企业与分支机构之间通过主VPN网关2,互联网和各子VPN网关8,以IPSEC方式建立VPN连接。移动用户通过互联网和主VPN网关2及各子VPN网关8,以PPTP方式与企业总部及其分支机构建立VPN连接。企业及其分支机构通过主VPN网关2经由路由器11访问合作伙伴的内网服务器12。
实施例1
本实施例中,如图1所示,公司总部有三个分支机构,总部和分支机构分别架构了VPN设备,使用VPN虚拟网络连接,共同访问公司总部服务器。假设内网IP地址分别为:总部:192.168.1.0,分支机构1:192.168.2.0,分支机构2:192.168.3.0,分支机构3:192.168.4.0。现在因为业务需求,需要公司总部和分支机构访问合作伙伴的内网服务器12,合作伙伴提供可用的IP地址(10.X.X.X)和内网服务器地址(192.168.0.X)。因此,要实现公司总部外网连接和专线连接,主VPN网关2上必须有两个WAN口。然而,假设该公司的VPN设备购买时间较早,只有一个WAN口,且没有扩展功能。于是采用了图2所示的网络架构,在主VPN网关2和合作伙伴内网服务器12之间连接一台性能稳定的路由器11,并通过以下配置方法,达到了在不追加成本,节省人力物力的情况下实现企业总部以及分支机构对合作伙伴内网服务器12的专线访问。
本发明的网络架构的配置方法如下:
步骤1,配置一台性能稳定的路由器11(在本实施例中,采用思科1841路由器),并将其的IP地址设为与企业总部的主VPN网关2同一个网段内的IP地址不冲突。(假设主VPN网关2的IP地址为192.168.1.1,1841路由器设为192.168.1.3)
步骤2,将主VPN网关2与1841路由器使用RJ45网线连接,主VPN网关2的WAN口连接外网,LAN口连接1841路由器的LAN口,将合作伙伴的内网服务器12用RJ45网线连接至1841的WAN口。
步骤3,将1841路由器的WAN口配置为合作伙伴提供的可用IP地址(10.X.X.X)。
步骤4,对1841路由器的静态路由进行配置,增加三条指令:
指令1)目的IP地址为:0.0.0.0,网关地址为:10.X.X.X
指令2)目的IP地址为:192.168.0.0,网关地址为:10.X.X.X
指令3)目的IP地址为:192.168.0.X,网关地址为:10.X.X.X
指令4)三条指令的下一条设为该WAN的接口
步骤5,对企业主VPN网关2进行设置,对该网关的静态路由进行配置,增加两条指令:
指令1)目的IP地址为:10.X.X.X,网关地址为:192.168.1.3
指令2)目的IP地址为:192.168.0.X,网关地址为:192.168.1.3
步骤6,对分支机构内的子VPN网关8进行设置,将VPN连接的通道分别设为相应网段的24位全网段:
分别为:192.168.2.0/24 192.168.3.0/24 192.168.4.0/24
通过以上配置和连接,实现了企业总部及分支结构对合作伙伴内网服务器12的访问。本发明的网络架构和方法只需要增加一个路由器11,不需更换设备,不用追加成本,节省了人力物力。
在本实施例中,路由器11为思科1841路由器。当然,本发明并不限于此,路由器11可以为其他的具有配置静态路由的功能,且稳定高效的路由器。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域的技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (6)
1.一种网络架构,包括一个企业总部端装置和多个分支机构端装置,所述企业总部端装置包括主VPN网关、第一防火墙、内部服务器、外部服务器、第一交换机以及与所述第一交换机相连的多个第一客户机,所述主VPN网关与所述第一防火墙连接,所述主VPN网关与所述内部服务器连接,所述外部服务器通过互联网与所述第一防火墙连接,所述分支机构端装置包括多个分支机构单元,每个所述分支机构单元包括第二防火墙、与所述第二防火墙相连的子VPN网关、与所述子VPN网关相连的第二交换机以及与所述第二交换机相连的多个第二客户机,其特征在于,所述网络架构还包括一个用于配置静态路由的路由器和另一企业的内网服务器,所述内网服务器通过所述路由器与所述主VPN网关相连;
所述主VPN网关与所述路由器通过RJ45网线连接,所述主VPN网关的WAN口与外部的网络连接,所述主VPN网关的LAN口与所述路由器的LAN口连接,所述内网服务器与所述路由器的WAN口通过RJ45网线连接。
2.如权利要求1所述的网络架构,其中所述网络架构包括多个移动通信设备,所述移动通信设备通过互联网以PPTP方式连接到所述企业总部端装置。
3.如权利要求1或2所述的网络架构,其中所述路由器为思科的1841路由器。
4.如权利要求3所述的网络架构,其中所述路由器是扩展路由器,用于扩展所述主VPN网关的WAN口。
5.如权利要求4所述的网络架构,其中所述企业总部端装置与所述分支机构端装置之间通过所述主VPN网关和所述互联网,与各所述子VPN网关,以IPSEC方式建立VPN连接。
6.一种如权利要求5所述的网络架构的配置方法,其特征在于,包括如下步骤:
步骤A)、将所述路由器的IP地址设置为与所述主VPN网关的IP地址在同一个网段中不冲突;
步骤B)、将所述路由器的所述WAN口的IP地址配置为可访问所述内网服务器的IP地址;
步骤C)、配置所述路由器的静态路由;其中增加三条指令:
指令1)目的IP地址设为:0.0.0.0;网关地址设为:可用于访问所述内网服务器的IP地址;
指令2)目的IP地址设为:前三位与所述内网服务器的IP地址的前三位相同,最后一位取0;网关地址设为:可用于访问所述内网服务器的IP地址;
指令3)目的IP地址设为:与所述内网服务器的IP地址相同;网关地址设为:可用于访问所述内网服务器的IP地址;
指令4)三条指令的下一条设为所述WAN口;
步骤D)、配置所述主VPN网关的静态路由;其中增加两条指令:
指令1)目的IP地址设为:可用于访问所述内网服务器的IP地址;网关地址设为:所述路由器的IP地址;
指令2)目的IP地址设为:与所述内网服务器的IP地址相同;网关地址设为:所述路由器的IP地址;
步骤E)、对所述分支机构端装置的所述子VPN网关进行设置,将VPN连接的通道分别设为相应网段的24位全网段。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110296156.5A CN103036757B (zh) | 2011-09-30 | 2011-09-30 | 一种网络架构及其配置方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110296156.5A CN103036757B (zh) | 2011-09-30 | 2011-09-30 | 一种网络架构及其配置方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103036757A CN103036757A (zh) | 2013-04-10 |
| CN103036757B true CN103036757B (zh) | 2015-08-19 |
Family
ID=48023266
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110296156.5A Active CN103036757B (zh) | 2011-09-30 | 2011-09-30 | 一种网络架构及其配置方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103036757B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104378231A (zh) * | 2014-11-06 | 2015-02-25 | 四川传世科技有限公司 | 企业无线路由器的控制系统和控制方法 |
| CN108023802B (zh) * | 2016-11-01 | 2020-11-10 | 中国移动通信集团广东有限公司 | 数据传输系统及方法 |
| CN106534153B (zh) * | 2016-11-30 | 2023-06-13 | 广东科达洁能股份有限公司 | 基于互联网建立桥接专线系统 |
| CN110011975A (zh) * | 2019-03-07 | 2019-07-12 | 北京华安普特网络科技有限公司 | 一种用于企业管理软件的防火墙架构 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030079030A1 (en) * | 2001-08-22 | 2003-04-24 | Cocotis Thomas A. | Output management system and method for enabling access to private network resources |
| CN101136771B (zh) * | 2006-11-30 | 2010-05-19 | 中兴通讯股份有限公司 | 远程维护台访问操作维护模块服务器的方法 |
| CN202282786U (zh) * | 2011-09-30 | 2012-06-20 | 上海煤气第二管线工程有限公司 | 一种网络架构 |
-
2011
- 2011-09-30 CN CN201110296156.5A patent/CN103036757B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN103036757A (zh) | 2013-04-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100440846C (zh) | 虚拟专用网动态连接方法 | |
| CN103997414B (zh) | 生成配置信息的方法和网络控制单元 | |
| US20140279862A1 (en) | Network controller with integrated resource management capability | |
| US11252126B1 (en) | Domain name resolution in environment with interconnected virtual private clouds | |
| CN103118148B (zh) | 一种arp缓存更新方法和设备 | |
| Juan et al. | Multi-master ros systems | |
| CN103139037A (zh) | 用于实现灵活的虚拟局域网的方法和装置 | |
| CN105721306A (zh) | 一种配置信息的传输方法和装置 | |
| US11153185B2 (en) | Network device snapshots | |
| CN105162704A (zh) | Overlay网络中组播复制的方法及装置 | |
| CN103441936A (zh) | 转发邻接链路的发布方法 | |
| CN105939267B (zh) | 带外管理方法及装置 | |
| CN105763385A (zh) | 流量调度方法及装置 | |
| CN106936680B (zh) | 云计算平台异构网络之间互通的系统及方法 | |
| CN107547665A (zh) | 一种dhcp地址分配的方法、设备及系统 | |
| CN103036757B (zh) | 一种网络架构及其配置方法 | |
| CN107968849B (zh) | 一种网络专线接驳的方法及装置 | |
| CN102724767B (zh) | 一种移动用户的虚拟专用网接入方法及其装置 | |
| CN113783781A (zh) | 使虚拟私有云之间网络互通的方法和装置 | |
| CN105915383A (zh) | 远程路由器配置方法 | |
| CN104539902A (zh) | 一种ipc的远程访问方法和系统 | |
| CN105530159B (zh) | 一种实现跨IPv6和IPv4的VPN互访的方法和系统 | |
| CN103634214A (zh) | 一种路由信息生成方法及装置 | |
| CN101631060B (zh) | 一种边缘端口的管理方法和装置 | |
| CN109688241A (zh) | 基于SDN的IPv4/IPv6双栈转换方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: No.162 Weifang Road, China (Shanghai) pilot Free Trade Zone, Pudong New Area, Shanghai, 200122 Patentee after: Shanghai Energy Construction Group Co.,Ltd. Address before: 200122 No. 162, Weifang Road, Shanghai, Pudong New Area Patentee before: SHANGHAI MUNICIPAL GAS NO.2 PIPELINES ENGINEERING Co.,Ltd. |