一、 需求概述

    隨著互聯網的發展，VPN的應用越來越普及、越來越成熟，現在，通過VPN建立遠程專網已經應用到企業、事業、行業及政府機關等多個領域；VPN除了實現專線一樣的聯網效果以外，還有自身的特點，例如網狀結構組網、三級網絡結構組網以及專線橋接功能。對于大的行業用戶來說，三級網絡結構和專線橋接功能應用普遍，對于大型連鎖機構來說，需要多個集散中心組成網狀結構，同時需要多個分支機構接入到這個網狀結構中來，從而構成復雜的混合網絡結構，要想完成這些專業的網絡結構組網，需要專業的VPN產品。

    迅博公司長期從事VPN/防火墻等安全產品的開發工作，產品應用于政府、行業、事業及企業等多種應用環境，產品除了基本的VPN功能，還包含強大的防火墻功能、訪問控制功能。對電子政務應用來說，對VPN產品有著更高的要求，不僅僅包含遠程聯網功能，還要包含強大的安全控制功能，不僅要適應二級、三級網絡結構，還要適應多級網絡結構、混合網絡結構，在使用上，要求VPN產品具備良好的網絡適應性，可以和多個廠家的網絡設備共存，而不需要改變任何網絡結構。此外，迅速VPN還支持如下聯網需求：

１．總部VPN網關支持多線路接入，實現負載均衡以解決南北方通信速度慢的問題。
２．客戶端VPN能夠支持備線，以解決客戶端網絡中斷時數據傳輸的問題。
３．各區域節點可從本地交換網絡中抽取不同網段的人員組成工作組，實現異地協同辦公。
４．專網范圍內可以從本地交換網絡中抽取不同網段的人員組成會議組，實現視頻會議。
５．有較好的兼容性，可以透明的接入客戶網絡，而無需改動客戶網絡。
６．通過嵌入訂制軟件的方式，實現VPN設備支持全自動的數據傳輸調度功能，實現無人值守情況下的數據交換功能。
７．支持ftp、郵件、共享等C/S或BS等方式的數據傳輸。
８．客戶端可以檢測服務端運行情況，并及時產生日志、報告。
9．客戶端有較強的身份識別能力。
10．具有簡便的配置界面，維護難度應較低并確保穩定性。

  下面是某大型連鎖機構的拓撲結構圖：

     上圖是公司遠程專網的邏輯結構示意圖，該公司在北京、上海設有四個集散中心，存有多個數據庫服務器，需要實時數據交互，因此這四個地方需要建立網狀的專網結構。上圖中紅色虛線為VPN隧道示意圖。
同時，該公司還有多個分支機構接入到這四個集散中心網絡中來，定期進行數據交互和傳送。

二、 方案描述

     根據該公司的上述需求，采用迅博NG2000/NG520/NG300/移動客戶端軟件實現上述組網方案，其中北京總公司安裝1臺NG2000設備，北京物流中心和上海分公司、上海物流中心采用NG520設備，支持兩條線路，可以實現線路故障自動切換功能；各分支機構采用NG300產品，如果分支機構機器數比較少，也可以只安裝迅博VPN移動 客戶端軟件。
     迅博NG300/NG520/NG2000采用平臺化開發技術，支持企業級防火墻，具有很強的安全性和擴展性。而NG300具有按需撥號功能，可以設置撥號時間，實現定時撥號功能。下面針對上述需求，詳細方案實現思路：

１．總部VPN網關支持多線路接入，支持透明模式，可以不改變總部網絡結構。
迅博NG2000VPN服務器可以支持雙線路INTERNET接入，除了實現雙線outbound負載均衡功能，還可以實現外部訪問的inbound負載均衡功能，具備此功能的網關產品，才能真正支持應用級的負載均衡功能，如VPN、WEB服務、EMAIL服務等。通過NG2000支持VPN策略路由及智能調度策略，可以實現網通和電信線路的快速互通，無論分支是哪個運營商，多可以自動選擇最快線路與總部的NG2000互聯。除了可以解決分支和總部之間的不同運營商互通問題，分支之間還可以利用NG2000的VPN HUB模式實現快速互通。
同時，NG2000支持透明模式VPN，可以把NG2000放到防火墻/路由器后，從而總部可以不改變任何網絡結構，建立VPN遠程專網。

2、客戶端VPN能夠支持備線，支持斷線自動重連，建立更加可靠的遠程網絡。
  迅博分支網關支持雙線outbount負載均衡功能，同時支持線路備份功能，可以在一條線路出現故障的情況下自動切換到另一條線路，切換時間可以由根據需要定制，其中線路切換時間可以在幾秒內完成，VPN隧道切換可以在30秒內完成。
 
３．各區域節點可從本地交換網絡中抽取不同網段的人員組成工作組，實現異地協同辦公。
  對于區域接點，可以通過設置，實現直連的網狀結構組網（mesh network），以提高網絡效率。通過適當的IP地址規劃和網絡設計，通過在NG2000中設置訪問策略和規則，可以對整個VPN區域進行訪問控制，從而組成一個獨立的VPN辦公區域。這個VPN辦公區域可以和VPN 業務區域隔離，從而保證業務和管理數據的分流，實現網絡的可管理性和可維護性。

4、可以建立直連網絡，實現一些特殊的應用，如視頻會議
  通過建立區域接點之間的VPN網狀網，可以實現對帶寬要求嚴格的視頻會議應用，同時NG2000采用高性能的嵌入式平臺，128位加密吞吐率可最高達到80M/S，可以保證高帶寬下的視頻應用。此外，可以利用NG2000的防火墻功能，對VPN區域重新劃分，劃分獨立的VPN視頻子區域。
  下圖是區域中心直連網絡結構示意圖：

５．有較好的兼容性，可以透明的接入客戶網絡，而無需改動客戶網絡。
迅博VPN網關可以多種接入方式，支持專線/ADSL/CABLE MODEM/小區寬帶/寫字樓寬帶等接入方式，可以支持多重NAT穿透，支持ADSL斷線重聯以及隧道重連功能。同時，迅博VPN支持透明模式接入，可以在不改變現有網絡結構的情況下部署VPN，通過將VPN接入到現有網絡的交換機下，VPN網關如同一臺PC機，專門實現VPN隧道加密通訊功能，這樣可以保護客戶已有的設備投資，又可以提高VPN網絡的可維護性和安全性。

傳統上，部署VPN網絡涉及多個環節，如果VPN接點很多，IP網段規劃就會非常復雜，路由設置也比較麻煩。迅博VPN全線產品均可以支持全自動路由模式，在VPN網關配置過程中可以不用關心網段和路由問題，VPN網關會自動進行協議，自動增加路由。
同時，分支VPN網關支持防ARP欺騙病毒功能，即使網絡其他機器感染此病毒，也不會造成VPN掉線現象。

6．支持多種協議應用，如TCP/IP/IPX/NETBIOS等。
通過總部和分支建立遠程專網，可以實現遠程數據實時交換平臺，支持各種標準的TCP/IP應用，如FTP、郵件、文件共享等。同時，通過VPN自帶防火墻功能，可以對VPN接入用戶進行策略管理，可以實現粒度更細的應用級控制，具體可以到端口、協議、IP地址、數據方向等控制，通過對VPN訪問權限進行管理，除了安全方面的控制，還可以很好的避免因為某個分支網絡干擾病毒、木馬而對總部網絡和其他分支網絡造成沖擊。

7．客戶端可以檢測服務端運行情況，并及時產生日志、報告。
客戶端VPN可以生成網絡日志，實時報告外網的接入情況、VPN的隧道情況以及網絡流量、連接信息等功能。同時客戶端VPN還可以產生業務傳輸數據日志，可以實時生成文件傳輸的時間、傳輸方向、傳輸大小等信息。
通過日志信息，網絡管理人員可以有效的監控VPN網絡運行情況和數據交換情況，同時可以做為歷史記錄備案。

8．客戶端有較強的身份識別能力。
為了提高遠程VPN接入的安全性，迅博VPN支持多種級別的認證安全性，首先客戶端采用戶名/密碼的認證方式，用戶和密碼用中心點VPN服務器來管理，同時可以設置接入類別，不同用戶類別不能混合使用用戶和密碼；此外迅博VPN還支持USB KEY數字證書認證方式，使接入認證具有金融級的安全性。
為了提高客戶數據傳輸過程的合法性和完整，可以在VPN平臺內部對傳輸的文件進行SHA1/SHA2或MD5身份處理，這樣可以在應用層實現數據來源的唯一性和合法性。下圖展示了從多個層次實現VPN的安全傳輸技術。

  VPN安全傳輸示意圖

9．簡便的配置界面，維護難度應較低并確保穩定性。
 迅博VPN采用良好的WEB配置界面，采用動態生成技術，可以實現傳統GUI才能實現的接口功能，通過采用動態網頁和嵌入式腳本技術，使開發友好的界面成為可能，使非專業人員都可以對VPN配置操作。