综述

　　许多集团公司在各地拥有工厂等生产基地，更在全国遍布了密集的销售网络，为了让各销售网络的能够作到即时沟通，常常需要大量的投资。而艾泰科技的VPN解决方案，能够兼顾性能和价格，实现真正意义上的高质量，低价格的网络VPN互联，并且支持ADSL动态下IPSec野蛮模式。

　　需求分析

　　某集团在全国拥有200多个销售处和联络处，各联络处每天都有财务的数据和武汉总部沟通。集团一直在寻找一种有效的性能价格比高而且实用的方案。最初准备使用长途专线连接到总部，这种方案的成本和使用费用都很高，对于企业来说无疑是很大的负担。如今，各种宽带上网方式迅速发展，基于Internet构建集团的VPN网络无疑是一种高性价比的方案。

　　该公司各联络处基本上都具备连接Internet的能力，接入方式多种多样。数量最多的是ADSL接入方式，联络处通过PPPoE拨号上网，运营商分配一个公网地址；ADSL Modem由运营商配置，大都是桥接模式，也有部分是路由模式。其次是FTTB+LAN方式，运营商提供公网地址或私网地址，如果是私网地址，联络处往Internet传输数据时还要经过运营商的NAT设备。还有部分联络处使用有线通方式，通过DHCP获得IP地址。

　　中心点已定型，采用Netscreen 204作为全国各联络处的总VPN网关，申请了联通和网通的线路各一条，并在Netscreen的前端使用Radware的Linkproof 作为线路负载均衡设备。

　　因此，在各个联络处使用的设备首先必须同总部的Netscreen设备兼容，也就是说可以在它们之间建立VPN隧道；其次还需满足各联络处上网浏览的需求；另外，由于大部分联络处的VPN网关使用的公网IP地址不固定，这就要求采用的VPN网关能支持动态DNS功能，以方便管理。

　　方案规划

　　从实际应用情况来看，一般是各地联络处和武汉总部联系，各联络处之间不相互通信，因此，网络结构采用星型，各个联络处仍然使用原有的接入方式和线路，并且均通过VPN隧道与总部连接。在这里，使用保密性好的IPSec协议建立VPN隧道，加密方式3DES，认证方式是SHA-1。网络结构如图1所示。
 

　　图1：某集团VPN网络结构

　　产品选型

　　根据需求和规划，要求各联络处使用的VPN网关设备必须与Netscreen兼容；能支持ADSL接入，FTTB+LAN接入，也能支持Cable Modem接入，同时还可以实现共享上网。支持IPSec协议，能实现3DES加密和SHA-1认证；不管它们使用的是静态地址还是动态地址，均可实现IPSec，而且，支持以e-mail地址、域名、IP地址或者其他字符串的认证方式。如果运营商分配的是私网地址，还要求相应设备支持IPSec NAT穿透。另外，为了便于管理，如果运营商分配的是公网地址，相应设备还应提供DDNS功能，从而，当需要查看各联络处的情况时，可在武汉总部通过telnet远程管理。

　　集团希望各联络处采用的VPN设备能够满足以上组网要求，而且还要实用、性价比高、稳定性好，能够快速解决碰到的组网问题。上海艾泰科技有限公司的HiPER VPN安全网关，包括HiPER 2231CS、HiPER 3110、HiPER 3100VF、HiPER 3300VF等系列产品完全能够满足上述要求，它们具备灵活、强大的VPN功能，相关特点如下：

　　提供IPSec、L2TP/PPTP等VPN功能，它们可结合起来使用。支持客户端或服务器模式，支持使用动态地址构建VPN隧道，可实现网关到网关的连接和移动用户的接入。其具有以下重要特点：

　　支持自动IKE或者手动建立IPSec隧道

　　ESP和AH协议

　　3DES，DES和AES加密

　　SHA-1和MD5认证

　　主模式和野蛮模式

　　抗重播

　　支持IPSec NAT穿透

　　每个接口都可以支持VPN

　　支持星型连接和网状连接

　　VPN隧道两端无需固定的IP地址

　　方案实施和运行

　　在长达三个月的5个点的试用中，HiPER VPN网关表现出了和中心点Netscreen的良好的兼容性和稳定性。到目前为止，全国已经实施超过100个点，分布在20多个省，运行稳定。

　　方案点评

　　本解决方案中，通过为集团构建基于Internet的星型VPN网络，很好地解决了该公司各联络处和公司总部的互联互通问题。各联络处采用HiPER VPN网关作为VPN网络的联网设备，不仅可以大大降低该企业的组网成本，还可保证网络的安全性、稳定性和易维护性，同时也很好的满足了各联络处自身的其他上网要求。总而言之，本方案是构建VPN网络的高性价比方案。