需求分析

    在Interner和宽带还未普及的时候，提起“联网”这个词，大多数人脑里可能会想到银行的联网，但是像银行这样的大机构，它们的联网是通过租用电信公司的专线来实现的。不过采用这种方式的费用就很高了，对于普通企业来说很难承担。而随后宽带网络的普及很快，很多企业也采用宽带上网的方式了，与其分支机构之间的联网就不需要租用专线也能有满意的速度，不过由于他们之间的数据传输是在公用网上实现的，从而也带来了安全性的问题，如何保护自己的数据不被他人窃取呢？而保密的数据又如何稳定的传输呢？在这样的需求下，就需要开发一种新的技术了。VPN技术的出现，很好的解决了上面所说的问题。运用VPN技术，我们可以在公共互联网上跑我们企业的“虚拟专网”，运用“隧道”和各种安全的“加密”、“身份认证”技术达到在公网上通信的安全目的，如同在茫茫的广域网络中为用户拉出一条专线。现在很多中小企业都已经运用这种最经济的联网个案了。

    一般来说，有这种需求的用户除了总公司外，在不同地方都有两个以上的分支机构或分公司，这样的公司要在当今激烈的市场竞争中要取得优势，整个公司集团就需要有紧密的联系才能对市场做出快速的反映，捕捉到商机。选择哪种VPN连接方式就要看各自的需要了。

VPN的三种部署方案

1． 采用纯软件方式，总部安装VPN总部网关，分部安装VPN分部网关，移动用户（包括在外的笔记本和远程的单机）安装VPN客户端。这种方案有用微软的NT系统和桌面系统来做的,也有第三方开发的VPN服务与客户端软件。

2． 总部采用带VPN功能防火墙，分部用带VPN功能的宽带路由器，移动用户（包括在外的笔记本和远程的单机）安装防火墙带的VPN客户端。VPN防火墙这类设备相对一般的带VPN功能的宽带路由器来说比较专业。

3． 总部采用带VPN功能宽带路由器，分部能上宽带的用带VPN功能的宽带路由器，移动用户（包括在外的笔记本和远程的单机）安装WINDOWS带的VPN客户端。

    对于较大的企业来说可以选择第二种方案，在网络性能方面有更高考虑。因为在使用VPN加解密技术后，数据的传送速度将相应下降。小企业一般采用第三种方案就足够了。这个方案也较适合于类似网友所在公司的成长性潜在要求，能适应将来的分支机构增多的趋势，而且业务的发展，将来也可以接入一些商业伙伴的网络，实现安全的B2B电子商务。

    在这里我先介绍第二种方案，采用的设备是VTINFO的FV-6211和NS－1000。

    VTINFO FV-6211是一款真正的VPN防火墙产品（见图1），它的性能和规格如下：

【硬件配置】

 CPU： MIPS 100Mhz；

 内存：32M SDRam

 闪存：16M

 WAN：1个10/100 Base-TX

 DMZ：1个10/100 Base-TX

 LAN： 四个10/100 Base-TX

【技术指标】

 标准：  IEEE802.3 ，IEEE802.3u ，PPPoE(RFC2516)

 协议： CSMA/CD,TCP/IP,RIPI,RIP2 PPTP(VPN),PPPoE

 防火墙：使用一种状态封包检查(Stateful Inspection)的技术，；具备网络攻击DoS (Denial of Service) 的侦测与阻挡；提供追踪警示功能；具有 DMZ (De-Militarized Zone) ，允许 Internet 使用者透过防火墙存取您开放的服务器；NAT (Network Address Translation) 将许多内部私人网络的 IP 地址 透过一正式的 Inetrnet IP 传送到 Internet，如此更增加了安全性，易于设定的网络存取规则(Policy)，可以制定规则限制特定服务或应用程序。

VPN：100条专用 VPN 隧道；手动密钥和 IKE 分配；56 位 (DES) 或 168 位 (3DES) IPsec 加密算法；MD5 或 SHA-1 鉴别算法；预共享密钥；密钥寿命和 IKE 寿命时间设置；防止重放攻击；远程接入 VPN（PC-TO-LAN）、LAN-TO-LAN VPN。

图1：FV-6211

VTINFO NS-1000是一款防火墙宽带路由器（见图2），它的性能和规格如下：

【硬件配置】

 CPU： ARM9 166Mhz RISC

 内存： 16M SDRAM

 闪存： 2M

 WAN：1个10/100 Base-TX

 LAN： 4个10/100 Base-TX

【技术指标】

 标准：TCP/IP,DHCP Client/Server,PPP,PPPoE,ARP,ICMP,UTP,HTTP l 路由通讯协议 提供静态路由(Static Routing),动态路由(Dyn Routing-RIP I/II)

 防火墙：内建防火墙功能,支持封包过滤、阻断服务 (Denial of Service， DoS),SYN Ack, 状态封包检查 (Stateful Packet Inspection-SPI),阻断Cookies, Java, Java script, ActiveX等恶意封包等,以保障网络内所有服务器与计算机的安全. 同时,亦可针对网络内的所有使用者建立存取机制

VPN：5条专用 VPN 隧道；手动密钥和 IKE 分配；56 位 (DES) 或 168 位 (3DES) IPsec 加密算法；MD5 或 SHA-1 鉴别算法；预共享密钥；密钥寿命和 IKE 寿命时间设置；防止重放攻击；远程接入 VPN（PC-TO-LAN）、LAN-TO-LAN VPN。

图2：NS-1000