我设计的一个冗余VPN拓扑。请各大神来评价

h910202250

前一段时间刚刚考完CCIE-Security。现在面临做毕业设计。题目是建一个具有冗余的VPN“大型”企业网架构。附图是我的Topology。由于没有工作经验，不知道我的设计跟现网中的设计相差多少。

由于想拿优秀论文，所以请教各位大神。请大神们点评一下，那些地方需要修改。

以下是我的思路（如有不清晰请提出）：{**第6点最纠结**}

（1）Topology需要在GNS3上运行，ASA用虚拟机模.
（2）整个Topology接入层以及以下的层面都没有做出详细设计，想这些不是重点，所以PC，Server这些都直接在核心层连了起来。
（3）Topology中ISP左边的是企业网总部，右边是企业网分部的代表。
（4）总部的VPN主要是做在ASA上面的（只了解Cisco的设备，图中的设备都是针对Cisco的）。总部ASA上打算配置Remove-VPN和Ipsec-VPN（L2L-VPN吧。还能做更好的请指出，谢谢！）。分支机构是用Router-7200来作为网关以及配置Ipsec-VPN的。移动用户上装了Cisco的VPN软件。
（5）总部ASA上是用了A/A热备两台防火墙的。
（6）整个展现出来的网络都希望没有单点故障。这点很纠结：总部连接外网的两台路由器就是单点故障的地方，不知道怎么修改。

其余的在Topology上应该都有体现，若有什么我表达的不清晰的地方请大家提出。先在此谢谢！！！

Rockyw

路过学习一下

创新咚呤

kongxin850124

帮顶

h910202250

自己顶一下。

longbaba

只是搭建一个拓扑，拿个优秀很多学校还是有难度的，因为工作量太少，这个个把小时可以做完的吧，最好加一些自己的研究，理论分析。至于单点故障，前面都是冗余链路，接ISP怎么不用啊。完全没有单点故障的话，除非像数据中心一样，做1:1网络中心，服务器终端使用多网卡设备。

h910202250

longbaba 发表于 2015-12-13 14:18
只是搭建一个拓扑，拿个优秀很多学校还是有难度的，因为工作量太少，这个个把小时可以做完的吧，最好加一些 ...

那就是总部接入ISP那里，每个ISP的接入点都由两台Router起VRRp备份这样吗？
由于我的毕设题目是针对VPN的冗余设计，所以防火墙一下的不做重点关注，图中的PC,SERVER目的是测试。
学校老师不太懂这些的。最后论文里面肯定吹很多这些理论。

不知道我刚刚说的接ISP的想法对不对？
原图里面还有没有什么是对现在现网中不太好的地方。

鸿鹄——帅帅

路过学习一下

h910202250

自己再顶一个

问舟

a49410335

冗余做法如下
内部冗余：使用VRRP，对二层进行网关的冗余，可避免单点故障，保证设备能接入网络
外部冗余：使用双路由器做出口，对指向ISP的路由做一主一备，比如说默认路由一个路由器做一个，但是优先级不同，就会形成一主一备
跨ISP的vpn冗余：那就需要vpn的hub端至少有两个hub，分别与spoke端两个路由器，形成两组VPN，就冗余了

a49410335

内部冗余还可以用协议来完成，是三层的冗余，就是多两个设备，不多说了。
6楼说的对，你应该多加一些专业的，细致的分析，比如流量的大小，流量的走向，以这个为基础，来设计网络，还要考虑到安全，健壮等问题。
关于流量的走向就可以多很多东西，比如说组播，mplsvpn，qos，bgp属性（包括很多控制流量的东西），这些你都可以提

掬水留香

你好，请问楼主在吗？

h910202250

掬水留香 发表于 2016-3-27 13:56
你好，请问楼主在吗？

在呢，怎么了？

sjses80519

路過學習