綜述

　　許多集團(tuán)公司在各地?fù)碛泄S等生產(chǎn)基地，更在全國遍布了密集的銷售網(wǎng)絡(luò)，為了讓各銷售網(wǎng)絡(luò)的能夠作到即時溝通，常常需要大量的投資。而艾泰科" title="泰科">泰科技的VPN解決方案，能夠兼顧性能和價格，實現(xiàn)真正意義上的高質(zhì)量，低價格的網(wǎng)絡(luò)VPN互聯(lián)，并且支持ADSL動態(tài)下IPSec野蠻模式。

　　需求分析

　　某集團(tuán)在全國擁有200多個銷售處和聯(lián)絡(luò)處，各聯(lián)絡(luò)處每天都有財務(wù)的數(shù)據(jù)和武漢總部溝通。集團(tuán)一直在尋找一種有效的性能價格比高而且實用的方案。最初準(zhǔn)備使用長途專線連接到總部，這種方案的成本和使用費(fèi)用都很高，對于企業(yè)來說無疑是很大的負(fù)擔(dān)。如今，各種寬帶上網(wǎng)方式迅速發(fā)展，基于Internet構(gòu)建集團(tuán)的VPN網(wǎng)絡(luò)無疑是一種高性價比" title="高性價比">高性價比的方案。

　　該公司各聯(lián)絡(luò)處基本上都具備連接Internet的能力，接入方式" title="接入方式">接入方式多種多樣。數(shù)量最多的是ADSL接入方式，聯(lián)絡(luò)處通過PPPoE撥號上網(wǎng)，運(yùn)營商分配一個公網(wǎng)地址；ADSL Modem由運(yùn)營商配置，大都是橋接模式，也有部分是路由模式。其次是FTTB+LAN方式，運(yùn)營商提供公網(wǎng)地址或私網(wǎng)地址，如果是私網(wǎng)地址，聯(lián)絡(luò)處往Internet傳輸數(shù)據(jù)時還要經(jīng)過運(yùn)營商的NAT設(shè)備。還有部分聯(lián)絡(luò)處使用有線通方式，通過DHCP獲得IP地址。

　　中心點已定型，采用Netscreen 204作為全國各聯(lián)絡(luò)處的總VPN網(wǎng)關(guān)，申請了聯(lián)通和網(wǎng)通的線路各一條，并在Netscreen的前端使用Radware的Linkproof 作為線路負(fù)載均衡設(shè)備。

　　因此，在各個聯(lián)絡(luò)處使用的設(shè)備首先必須同總部的Netscreen設(shè)備兼容，也就是說可以在它們之間建立VPN隧道；其次還需滿足各聯(lián)絡(luò)處上網(wǎng)瀏覽的需求；另外，由于大部分聯(lián)絡(luò)處的VPN網(wǎng)關(guān)使用的公網(wǎng)IP地址不固定，這就要求采用的VPN網(wǎng)關(guān)能支持動態(tài)DNS功能，以方便管理。

　　方案規(guī)劃

　　從實際應(yīng)用情況來看，一般是各地聯(lián)絡(luò)處和武漢總部聯(lián)系，各聯(lián)絡(luò)處之間不相互通信，因此，網(wǎng)絡(luò)結(jié)構(gòu)" title="網(wǎng)絡(luò)結(jié)構(gòu)">網(wǎng)絡(luò)結(jié)構(gòu)采用星型，各個聯(lián)絡(luò)處仍然使用原有的接入方式和線路，并且均通過VPN隧道與總部連接。在這里，使用保密性好的IPSec協(xié)議建立VPN隧道，加密方式3DES，認(rèn)證方式" title="認(rèn)證方式">認(rèn)證方式是SHA-1。網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

　　

　　圖1：某集團(tuán)VPN網(wǎng)絡(luò)結(jié)構(gòu)

　　產(chǎn)品選型

　　根據(jù)需求和規(guī)劃，要求各聯(lián)絡(luò)處使用的VPN網(wǎng)關(guān)設(shè)備必須與Netscreen兼容；能支持ADSL接入，F(xiàn)TTB+LAN接入，也能支持Cable Modem接入，同時還可以實現(xiàn)共享上網(wǎng)。支持IPSec協(xié)議，能實現(xiàn)3DES加密和SHA-1認(rèn)證；不管它們使用的是靜態(tài)地址還是動態(tài)地址，均可實現(xiàn)IPSec，而且，支持以e-mail地址、域名、IP地址或者其他字符串的認(rèn)證方式。如果運(yùn)營商分配的是私網(wǎng)地址，還要求相應(yīng)設(shè)備支持IPSec NAT穿透。另外，為了便于管理，如果運(yùn)營商分配的是公網(wǎng)地址，相應(yīng)設(shè)備還應(yīng)提供DDNS功能，從而，當(dāng)需要查看各聯(lián)絡(luò)處的情況時，可在武漢總部通過telnet遠(yuǎn)程管理。

　　集團(tuán)希望各聯(lián)絡(luò)處采用的VPN設(shè)備能夠滿足以上組網(wǎng)要求，而且還要實用、性價比高、穩(wěn)定性好，能夠快速解決碰到的組網(wǎng)問題。上海艾泰科技有限公司的HiPER VPN安全網(wǎng)關(guān)，包括HiPER 2231CS、HiPER 3110、HiPER 3100VF、HiPER 3300VF等系列產(chǎn)品完全能夠滿足上述要求，它們具備靈活、強(qiáng)大的VPN功能，相關(guān)特點如下：

　　提供IPSec、L2TP/PPTP等VPN功能，它們可結(jié)合起來使用。支持客戶端或服務(wù)器模式，支持使用動態(tài)地址構(gòu)建VPN隧道，可實現(xiàn)網(wǎng)關(guān)到網(wǎng)關(guān)的連接和移動用戶的接入。其具有以下重要特點：

　　支持自動IKE或者手動建立IPSec隧道

　　ESP和AH協(xié)議

　　3DES，DES和AES加密

　　SHA-1和MD5認(rèn)證

　　主模式和野蠻模式

　　抗重播

　　支持IPSec NAT穿透

　　每個接口都可以支持VPN

　　支持星型連接和網(wǎng)狀連接

　　VPN隧道兩端無需固定的IP地址

　　方案實施和運(yùn)行

　　在長達(dá)三個月的5個點的試用中，HiPER VPN網(wǎng)關(guān)表現(xiàn)出了和中心點Netscreen的良好的兼容性和穩(wěn)定性。到目前為止，全國已經(jīng)實施超過100個點，分布在20多個省，運(yùn)行穩(wěn)定。

　　方案點評

　　本解決方案中，通過為集團(tuán)構(gòu)建基于Internet的星型VPN網(wǎng)絡(luò)，很好地解決了該公司各聯(lián)絡(luò)處和公司總部的互聯(lián)互通問題。各聯(lián)絡(luò)處采用HiPER VPN網(wǎng)關(guān)作為VPN網(wǎng)絡(luò)的聯(lián)網(wǎng)設(shè)備，不僅可以大大降低該企業(yè)的組網(wǎng)成本，還可保證網(wǎng)絡(luò)的安全性、穩(wěn)定性和易維護(hù)性，同時也很好的滿足了各聯(lián)絡(luò)處自身的其他上網(wǎng)要求?？偠灾?，本方案是構(gòu)建VPN網(wǎng)絡(luò)的高性價比方案。