A、成本低

    VPN 在设备的使用量及广域网络的频宽使用上，均比专线式的架构节省，故能使企业网络的总成本（Total Cost of Ownership）降低。根据分析，在 LAN-to-LAN 连接时，用 VPN 较使用专线的成本节省 30%～50% 左右；而就远程访问而言，用 VPN 更能比直接拨入到企业内部网络节省 60%～80% 的成本。

    B、灵活性强

    VPN 较专线式的网络架构更有弹性，当有必要将网络扩充或是变更网络架构时， VPN 可以轻易的达到目的，VPN 的平台具备完整的扩展性，大至企业总部的设备，小至各分公司，甚至个人拨号用户，均可被包含于整体的 VPN 架构中，同时，VPN 的平台亦具有对未来广域网络频宽扩充及连接更新架构的特性。

    C、良好的安全性

    VPN 架构中采用了多种安全机制，如信道（Tunneling）、加密（Encryption）、认证（Authentication）、防火墙（Firewall）及黑客侦防系统（Intrusion Detection）等技术，通过上述的各项网络安全技术，确保资料在公众网络中传输时不至于被窃取，或是即使被窃取了，对方亦无法读取封包内所传送的资料。

    D、管理方便

    VPN 使用了较少的设备来建立网络，使网络的管理较为轻松；不论分公司或是远程访问用户再多，均需通过VPN隧道的路径进入企业网络。

    这里提出的解决方案采用的都是硬件式VPN产品。VPN 的资料均需在加密之后，才由公众网络传送至接收端，再由接收端设备加以解密。故每一个封包在整个传输过程中都经过加密、解密一次，而加密、解密均是相当消耗 VPN 设备运算能力的工作。硬件式的 VPN 产品将加密、解密的钥匙储存于内存中，故较不易被损坏，同时加密解密的速度较快，其运作效能一定比软件 VPN 产品有较好的效果，同时软件式的 VPN 产品通常较难以管理。

    通过以上分析，我们发现采用这样的VPN网络拓扑结构，来实现分布网络之间的互联，作到信息资源的共享是完全可以替代以往的租用昂贵专用数字线路的方式。因此，这种安全可靠、费用低廉的VPN方案是值得每一个有需要虚拟私有网络联网的客户所采用。

vpn解决方案（图如下）：

    这里我先介绍采用的设备是VTINFO的FVB-6411和SSR-9104PLUS。

    VTINFO FVB-6411是一款真正的VPN防火墙产品（见图1），它的性能和规格如下：

    【硬件配置】

    CPU： Intel 400Mhz；

    内存：64M SDRam

    闪存：8M

    WAN：1个10/100 Base-TX

    DMZ：1个10/100 Base-TX

    LAN： 1个10/100 Base-TX

    【技术指标】

    标准： IEEE802.3 ，IEEE802.3u ，PPPoE(RFC2516)

    协议： CSMA/CD,TCP/IP,RIPI,RIP2 PPTP(VPN),PPPoE

    防火墙：使用一种状态封包检查(Stateful Inspection)的技术，；具备网络攻击DoS (Denial of Service) 的侦测与阻挡；提供追踪警示功能；具有 DMZ (De-Militarized Zone) ，允许 Internet 使用者透过防火墙存取您开放的服务器；NAT (Network Address Translation) 将许多内部私人网络的 IP 地址 透过一正式的 Inetrnet IP 传送到 Internet，如此更增加了安全性，易于设定的网络存取规则(Policy)，可以制定规则限制特定服务或应用程序。

    VPN：200条专用 VPN 隧道；手动密钥和 IKE 分配；56 位 (DES) 或 168 位 (3DES) IPsec 加密算法；MD5 或 SHA-1 鉴别算法；预共享密钥；密钥寿命和 IKE 寿命时间设置；防止重放攻击；远程接入 VPN（PC-TO-LAN）、LAN-TO-LAN VPN。

图1：FVB-6411

    VTINFO SSR-9104PLUS是一款防火墙宽带路由器（见图2），它的性能和规格如下：

    【硬件配置】

    CPU： MIOS 175Mhz RISC

    内存： 16M SDRAM

    闪存： 1M

    WAN：1个10/100 Base-TX

    LAN： 4个10/100 Base-TX

    【技术指标】

    标准：TCP/IP,DHCP Client/Server,PPP,PPPoE,ARP,ICMP,UTP,HTTP l 路由通讯协议 提供静态路由(Static Routing),动态路由(Dyn Routing-RIP I/II)

防火墙：内建防火墙功能,支持封包过滤、阻断服务 (Denial of Service， DoS),SYN Ack, 状态封包检查 (Stateful Packet Inspection-SPI),阻断Cookies, Java, Java script, ActiveX等恶意封包等,以保障网络内所有服务器与计算机的安全. 同时,亦可针对网络内的所有使用者建立存取机制

VPN：20条专用 VPN 隧道；手动密钥和 IKE 分配；56 位 (DES) 或 168 位 (3DES) IPsec 加密算法；MD5 或 SHA-1 鉴别算法；预共享密钥；密钥寿命和 IKE 寿命时间设置；防止重放攻击；远程接入 VPN（PC-TO-LAN）、LAN-TO-LAN VPN。

图2：SSR-9104PLUS

解决方案

    我们都知道这样的事实：目前在国内，要想能申请静态公网IP得付出高昂的费用。而一般的宽带接入最普及的是拨号的ADSL，这种接入方式的最大好处是能拥有动态的公网IP地址，它不仅费用低廉，而且速度还很快（1M的ADSL已经普及，2M的ADSL将得到很快发展），有了公网IP，我们就可以部署跨越INTERNET的端到端通信，这就是我们所想要的——动态VPN。所以本案例也是针对采用支持VPN隧道双方均为动态ADSL接入（动态公网IP地址）的VPN产品与方案——以总部为中心连接全国多个分支机构的VPN网络，用于传输企业内部的数据、语音、视频业务（例如：ERP、OA、财务管理、内部实时消息、VoIP，视频会议等），整个网络是将VPN架载在数据通信运营商的公网上。总部配备一台VTINFO的FVB-6411，其他分支机构各配备一台SSR-9104PLUS，而移动用户和在家工作的员工可以通过安装特定的VPN CLIENT软件（ＳＡＦＥＮＥＴ客户端拔号软件）连接至总部网络。

小结：

    至此，采用VTINFO专业VPN防火墙网关设备的VPN组网方案已经介绍完毕。我们可以看到这些VPN设置相对软件实现方式简洁，易于管理。若网友采用VTINFO方案，他的客户机的分支机构已能通过VPN访问总部内网，那么其它分布在全国零星机构，也可按同样的原理用SSR-9104PLUS连入总部的FVB-6411。FVB-6411能处理200个这样的分支机构。

    ERP软件技术平台的发展历史，经历了三个阶段：从文件/服务器(F/S)体系结构，到客户机/服务器(C/S)体系结构，再到浏览器/服务器(B/S)体系结构。目前最后一种是广泛采用的体系结构，而这个方案就是解决这个体系结构的。这样在总部的局域网内若已建设了ERP服务器，比如这台服务器的IP是：192.168.1.10，远程的分支用户用浏览器打开192.168.1.10，经过相应的身份验证就可以访问ERP服务。这就是VPN的功劳。

    本方案介绍了较专业的VPN实现方式，采用了VPN防火墙来实现VPN，它实际上还是一台网关设备，除了能解决局域网共享上广域网（INTERNET）以外，在VPN方面，和防火墙还有特殊的设计，在加解密方面采用了较安全的方案，保证用户的数据通信绝对安全。本文介绍的VTINFO VPN实现方案适用于中小型企业总分支机构的跨地域联网，在硬件性能和软件功能上足够强大。VTINFO单独选用IPSec VPN方式，在加密方面推荐使用3DES（128 位加密），MD5 或 SHA-1 鉴别算法；预共享密钥；密钥寿命和 IKE 寿命时间设置，防止重放攻击。