一、 需求概述

    随着互联网的发展，VPN的应用越来越普及、越来越成熟，现在，通过VPN建立远程专网已经应用到企业、事业、行业及政府机关等多个领域；VPN除了实现专线一样的联网效果以外，还有自身的特点，例如网状结构组网、三级网络结构组网以及专线桥接功能。对于大的行业用户来说，三级网络结构和专线桥接功能应用普遍，对于大型连锁机构来说，需要多个集散中心组成网状结构，同时需要多个分支机构接入到这个网状结构中来，从而构成复杂的混合网络结构，要想完成这些专业的网络结构组网，需要专业的VPN产品。

    迅博公司长期从事VPN/防火墙等安全产品的开发工作，产品应用于政府、行业、事业及企业等多种应用环境，产品除了基本的VPN功能，还包含强大的防火墙功能、访问控制功能。对电子政务应用来说，对VPN产品有着更高的要求，不仅仅包含远程联网功能，还要包含强大的安全控制功能，不仅要适应二级、三级网络结构，还要适应多级网络结构、混合网络结构，在使用上，要求VPN产品具备良好的网络适应性，可以和多个厂家的网络设备共存，而不需要改变任何网络结构。此外，迅速VPN还支持如下联网需求：

１．总部VPN网关支持多线路接入，实现负载均衡以解决南北方通信速度慢的问题。
２．客户端VPN能够支持备线，以解决客户端网络中断时数据传输的问题。
３．各区域节点可从本地交换网络中抽取不同网段的人员组成工作组，实现异地协同办公。
４．专网范围内可以从本地交换网络中抽取不同网段的人员组成会议组，实现视频会议。
５．有较好的兼容性，可以透明的接入客户网络，而无需改动客户网络。
６．通过嵌入订制软件的方式，实现VPN设备支持全自动的数据传输调度功能，实现无人值守情况下的数据交换功能。
７．支持ftp、邮件、共享等C/S或BS等方式的数据传输。
８．客户端可以检测服务端运行情况，并及时产生日志、报告。
9．客户端有较强的身份识别能力。
10．具有简便的配置界面，维护难度应较低并确保稳定性。

  下面是某大型连锁机构的拓扑结构图：

     上图是公司远程专网的逻辑结构示意图，该公司在北京、上海设有四个集散中心，存有多个数据库服务器，需要实时数据交互，因此这四个地方需要建立网状的专网结构。上图中红色虚线为VPN隧道示意图。
同时，该公司还有多个分支机构接入到这四个集散中心网络中来，定期进行数据交互和传送。

二、 方案描述

     根据该公司的上述需求，采用迅博NG2000/NG520/NG300/移动客户端软件实现上述组网方案，其中北京总公司安装1台NG2000设备，北京物流中心和上海分公司、上海物流中心采用NG520设备，支持两条线路，可以实现线路故障自动切换功能；各分支机构采用NG300产品，如果分支机构机器数比较少，也可以只安装迅博VPN移动 客户端软件。
     迅博NG300/NG520/NG2000采用平台化开发技术，支持企业级防火墙，具有很强的安全性和扩展性。而NG300具有按需拨号功能，可以设置拨号时间，实现定时拨号功能。下面针对上述需求，详细方案实现思路：

１．总部VPN网关支持多线路接入，支持透明模式，可以不改变总部网络结构。
迅博NG2000VPN服务器可以支持双线路INTERNET接入，除了实现双线outbound负载均衡功能，还可以实现外部访问的inbound负载均衡功能，具备此功能的网关产品，才能真正支持应用级的负载均衡功能，如VPN、WEB服务、EMAIL服务等。通过NG2000支持VPN策略路由及智能调度策略，可以实现网通和电信线路的快速互通，无论分支是哪个运营商，多可以自动选择最快线路与总部的NG2000互联。除了可以解决分支和总部之间的不同运营商互通问题，分支之间还可以利用NG2000的VPN HUB模式实现快速互通。
同时，NG2000支持透明模式VPN，可以把NG2000放到防火墙/路由器后，从而总部可以不改变任何网络结构，建立VPN远程专网。

2、客户端VPN能够支持备线，支持断线自动重连，建立更加可靠的远程网络。
  迅博分支网关支持双线outbount负载均衡功能，同时支持线路备份功能，可以在一条线路出现故障的情况下自动切换到另一条线路，切换时间可以由根据需要定制，其中线路切换时间可以在几秒内完成，VPN隧道切换可以在30秒内完成。
 
３．各区域节点可从本地交换网络中抽取不同网段的人员组成工作组，实现异地协同办公。
  对于区域接点，可以通过设置，实现直连的网状结构组网（mesh network），以提高网络效率。通过适当的IP地址规划和网络设计，通过在NG2000中设置访问策略和规则，可以对整个VPN区域进行访问控制，从而组成一个独立的VPN办公区域。这个VPN办公区域可以和VPN 业务区域隔离，从而保证业务和管理数据的分流，实现网络的可管理性和可维护性。

4、可以建立直连网络，实现一些特殊的应用，如视频会议
  通过建立区域接点之间的VPN网状网，可以实现对带宽要求严格的视频会议应用，同时NG2000采用高性能的嵌入式平台，128位加密吞吐率可最高达到80M/S，可以保证高带宽下的视频应用。此外，可以利用NG2000的防火墙功能，对VPN区域重新划分，划分独立的VPN视频子区域。
  下图是区域中心直连网络结构示意图：

５．有较好的兼容性，可以透明的接入客户网络，而无需改动客户网络。
迅博VPN网关可以多种接入方式，支持专线/ADSL/CABLE MODEM/小区宽带/写字楼宽带等接入方式，可以支持多重NAT穿透，支持ADSL断线重联以及隧道重连功能。同时，迅博VPN支持透明模式接入，可以在不改变现有网络结构的情况下部署VPN，通过将VPN接入到现有网络的交换机下，VPN网关如同一台PC机，专门实现VPN隧道加密通讯功能，这样可以保护客户已有的设备投资，又可以提高VPN网络的可维护性和安全性。

传统上，部署VPN网络涉及多个环节，如果VPN接点很多，IP网段规划就会非常复杂，路由设置也比较麻烦。迅博VPN全线产品均可以支持全自动路由模式，在VPN网关配置过程中可以不用关心网段和路由问题，VPN网关会自动进行协议，自动增加路由。
同时，分支VPN网关支持防ARP欺骗病毒功能，即使网络其他机器感染此病毒，也不会造成VPN掉线现象。

6．支持多种协议应用，如TCP/IP/IPX/NETBIOS等。
通过总部和分支建立远程专网，可以实现远程数据实时交换平台，支持各种标准的TCP/IP应用，如FTP、邮件、文件共享等。同时，通过VPN自带防火墙功能，可以对VPN接入用户进行策略管理，可以实现粒度更细的应用级控制，具体可以到端口、协议、IP地址、数据方向等控制，通过对VPN访问权限进行管理，除了安全方面的控制，还可以很好的避免因为某个分支网络干扰病毒、木马而对总部网络和其他分支网络造成冲击。

7．客户端可以检测服务端运行情况，并及时产生日志、报告。
客户端VPN可以生成网络日志，实时报告外网的接入情况、VPN的隧道情况以及网络流量、连接信息等功能。同时客户端VPN还可以产生业务传输数据日志，可以实时生成文件传输的时间、传输方向、传输大小等信息。
通过日志信息，网络管理人员可以有效的监控VPN网络运行情况和数据交换情况，同时可以做为历史记录备案。

8．客户端有较强的身份识别能力。
为了提高远程VPN接入的安全性，迅博VPN支持多种级别的认证安全性，首先客户端采用户名/密码的认证方式，用户和密码用中心点VPN服务器来管理，同时可以设置接入类别，不同用户类别不能混合使用用户和密码；此外迅博VPN还支持USB KEY数字证书认证方式，使接入认证具有金融级的安全性。
为了提高客户数据传输过程的合法性和完整，可以在VPN平台内部对传输的文件进行SHA1/SHA2或MD5身份处理，这样可以在应用层实现数据来源的唯一性和合法性。下图展示了从多个层次实现VPN的安全传输技术。

  VPN安全传输示意图

9．简便的配置界面，维护难度应较低并确保稳定性。
 迅博VPN采用良好的WEB配置界面，采用动态生成技术，可以实现传统GUI才能实现的接口功能，通过采用动态网页和嵌入式脚本技术，使开发友好的界面成为可能，使非专业人员都可以对VPN配置操作。