綜述

　　許多集團公司在各地擁有工廠等生產基地，更在全國遍布了密集的銷售網絡，為了讓各銷售網絡的能夠作到即時溝通，常常需要大量的投資。而艾泰科" title="泰科">泰科技的VPN解決方案，能夠兼顧性能和價格，實現真正意義上的高質量，低價格的網絡VPN互聯，并且支持ADSL動態下IPSec野蠻模式。

　　需求分析

　　某集團在全國擁有200多個銷售處和聯絡處，各聯絡處每天都有財務的數據和武漢總部溝通。集團一直在尋找一種有效的性能價格比高而且實用的方案。最初準備使用長途專線連接到總部，這種方案的成本和使用費用都很高，對于企業來說無疑是很大的負擔。如今，各種寬帶上網方式迅速發展，基于Internet構建集團的VPN網絡無疑是一種高性價比" title="高性價比">高性價比的方案。

　　該公司各聯絡處基本上都具備連接Internet的能力，接入方式" title="接入方式">接入方式多種多樣。數量最多的是ADSL接入方式，聯絡處通過PPPoE撥號上網，運營商分配一個公網地址；ADSL Modem由運營商配置，大都是橋接模式，也有部分是路由模式。其次是FTTB+LAN方式，運營商提供公網地址或私網地址，如果是私網地址，聯絡處往Internet傳輸數據時還要經過運營商的NAT設備。還有部分聯絡處使用有線通方式，通過DHCP獲得IP地址。

　　中心點已定型，采用Netscreen 204作為全國各聯絡處的總VPN網關，申請了聯通和網通的線路各一條，并在Netscreen的前端使用Radware的Linkproof 作為線路負載均衡設備。

　　因此，在各個聯絡處使用的設備首先必須同總部的Netscreen設備兼容，也就是說可以在它們之間建立VPN隧道；其次還需滿足各聯絡處上網瀏覽的需求；另外，由于大部分聯絡處的VPN網關使用的公網IP地址不固定，這就要求采用的VPN網關能支持動態DNS功能，以方便管理。

　　方案規劃

　　從實際應用情況來看，一般是各地聯絡處和武漢總部聯系，各聯絡處之間不相互通信，因此，網絡結構" title="網絡結構">網絡結構采用星型，各個聯絡處仍然使用原有的接入方式和線路，并且均通過VPN隧道與總部連接。在這里，使用保密性好的IPSec協議建立VPN隧道，加密方式3DES，認證方式" title="認證方式">認證方式是SHA-1。網絡結構如圖1所示。

　　

　　圖1：某集團VPN網絡結構

　　產品選型

　　根據需求和規劃，要求各聯絡處使用的VPN網關設備必須與Netscreen兼容；能支持ADSL接入，FTTB+LAN接入，也能支持Cable Modem接入，同時還可以實現共享上網。支持IPSec協議，能實現3DES加密和SHA-1認證；不管它們使用的是靜態地址還是動態地址，均可實現IPSec，而且，支持以e-mail地址、域名、IP地址或者其他字符串的認證方式。如果運營商分配的是私網地址，還要求相應設備支持IPSec NAT穿透。另外，為了便于管理，如果運營商分配的是公網地址，相應設備還應提供DDNS功能，從而，當需要查看各聯絡處的情況時，可在武漢總部通過telnet遠程管理。

　　集團希望各聯絡處采用的VPN設備能夠滿足以上組網要求，而且還要實用、性價比高、穩定性好，能夠快速解決碰到的組網問題。上海艾泰科技有限公司的HiPER VPN安全網關，包括HiPER 2231CS、HiPER 3110、HiPER 3100VF、HiPER 3300VF等系列產品完全能夠滿足上述要求，它們具備靈活、強大的VPN功能，相關特點如下：

　　提供IPSec、L2TP/PPTP等VPN功能，它們可結合起來使用。支持客戶端或服務器模式，支持使用動態地址構建VPN隧道，可實現網關到網關的連接和移動用戶的接入。其具有以下重要特點：

　　支持自動IKE或者手動建立IPSec隧道

　　ESP和AH協議

　　3DES，DES和AES加密

　　SHA-1和MD5認證

　　主模式和野蠻模式

　　抗重播

　　支持IPSec NAT穿透

　　每個接口都可以支持VPN

　　支持星型連接和網狀連接

　　VPN隧道兩端無需固定的IP地址

　　方案實施和運行

　　在長達三個月的5個點的試用中，HiPER VPN網關表現出了和中心點Netscreen的良好的兼容性和穩定性。到目前為止，全國已經實施超過100個點，分布在20多個省，運行穩定。

　　方案點評

　　本解決方案中，通過為集團構建基于Internet的星型VPN網絡，很好地解決了該公司各聯絡處和公司總部的互聯互通問題。各聯絡處采用HiPER VPN網關作為VPN網絡的聯網設備，不僅可以大大降低該企業的組網成本，還可保證網絡的安全性、穩定性和易維護性，同時也很好的滿足了各聯絡處自身的其他上網要求。總而言之，本方案是構建VPN網絡的高性價比方案。