沟通VPN产品蓝皮书

2004-7-12　发布方：深圳沟通科技　网友评论 0 条　点击进入论坛

序　 言

    在国外，VPN已经迅速发展起来，2003年全球VPN市场达到500亿美元。在中国，虽然人们对VPN的定义还有些模糊不清，对VPN的安全性、服务质量（QoS）等方面存有疑虑，但互联网和电子商务的快速发展使我们有理由相信，VPN随着网络技术的发展会更加成熟。

    越来越多的用户认识到，随着Internet和电子商务的蓬勃发展，经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换速度。这些合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题，因为Internet是一个全球性和开放性的、基于TCP/IP技术的、不可管理的国际互联网络，    因此，基于Internet的商务活动就面临非善意的信息威胁和安全隐患。

    还有一类用户，随着自身的发展壮大与跨国化，企业的分支机构不仅越来越多，而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部门在连接分支机构方面也感到日益棘手。

    随着网络，尤其是网络经济的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸现传统企业网的功能缺陷：传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下，VPN以其独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，而更多地致力于企业的商业目标的实现。

产品介绍

    沟通VPN实现业界标准IPsec&IKE，提供RSA、预共享密钥身份验证，3DES数据加密，适应公网、内网环境下的网间互联 ，支持多对多接入点的带宽合并。采用端对端网状结构，任意两端都是对等的关系，配置简单，不存在中心点瓶颈，可以轻松构建企业虚拟专用网(VPN)，安全、简单、易用。

    沟通VPN首创NAT/FireWall后的两端间点对点通讯，无需任何数据中转。可以方便地运行在NAT/FireWall后的任何一台Windows2000/Xp/2003机器中， 可以避免对原有网关进行调整，同时可以得到原有NAT/FireWall的保护，方便又安全。 如图：

 
    集成L2防火墙，一方面可以确保网关不受外界攻击，同时 可以为互联的子网提供访问权限控制。

沟通VPN的技术功能列表:（见下页）

产品功能和技术亮点

“沟通VPN”遵循VPN的业界标准，同时采用了多项创新技术，使“沟通VPN”突破了传统VPN的应用领域。
    · 1. 实现IPsec&IKE
    · 2. 穿透NAT/FireWall
    · 3. 支持多种动态IP寻址
    · 4. 端点广播,自动组建网状网络
    · 5. 多对多带宽合并
    · 6.  集成L2防火墙
    · 7. 百分百对等结构,安装简单

1.  实现IPsec&IKE

    IETF(因特网工程任务组)于1998年11月公布了IP安全标准IPsec，以用于为通讯双方提供数据源验证、无连接数据完整性、数据机密性、抗重播等安全服务。IPsec由系列协议组成，其中主要包括：认证头(AH)、封装安全载荷(ESP)、Internet密钥交换(IKE)等。

    IKE(Internet Key Exchange)是一套密钥交换规范，它为IPsec中的数据验证(AH)、数据加密(ESP)提供安全的密钥交换手段。
“沟通VPN”对IPsec&IKE的支持情况如下：

  
2.  穿透NAT/FireWall
    “沟通VPN”采用隧道技术使两端可以穿透NAT/Firewall的阻隔，实现直接的点对点通讯。一般情况下，IPsec数据包不能穿越NAT，采用UDP包封装后的IPsec数据包可以穿越本端的NAT，到达位于公网中的对端，但如果对端也位于NAT后面，则不能到达，不能直接点对点通讯。

    “沟通VPN”通过引入中间握手服务器机制，成功突破了NAT/Firewall的限制，实现位于NAT后面的两端直接点对点通讯。如图：

 
    一旦成功建立起IPsec隧道，A，B两台主机所在的网络就可以直接相互访问。
    凭借穿透NAT/FireWall的能力，“沟通VPN”可以运行在NAT后的任一台Windows 2000/XP/2003机器中，可以避免对原有地NAT/Firewall网关的修改，同时又可以得到原有地NAT/Firewall的保护。

3. 支持多种动态IP寻址
    当互联的某一端采用公网IP接入Internet，则另一端的沟通VPN可以直接访问该公网IP，建立IPsec隧道。但一般情况下，ISP服务商只给接入用户分配动态的公网IP，“沟通VPN”采用动态域名和PHP/ASP脚本解决动态IP的寻址。

    采用动态域名寻址公网IP简单易用，只须在动态域名服务商注册，安装相应的客户端软件就可以了。如A,B两端，A端是公网端，其动态域名是.dns0755.net，则A端的沟通VPN本地名称应为.dns0755.net，对B端而言，B端的沟通VPN对端名称应为.dns0755.net。

    采用PHP/ASP脚本寻址公网IP，需要一个位于公网的WEB服务器，其中运行PHP/ASP服务脚本，则互联双方就可通过访问服务脚本得到公网端的公网IP。如图：

序　 言

    在国外，VPN已经迅速发展起来，2003年全球VPN市场达到500亿美元。在中国，虽然人们对VPN的定义还有些模糊不清，对VPN的安全性、服务质量（QoS）等方面存有疑虑，但互联网和电子商务的快速发展使我们有理由相信，VPN随着网络技术的发展会更加成熟。

    越来越多的用户认识到，随着Internet和电子商务的蓬勃发展，经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换速度。这些合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题，因为Internet是一个全球性和开放性的、基于TCP/IP技术的、不可管理的国际互联网络，    因此，基于Internet的商务活动就面临非善意的信息威胁和安全隐患。

    还有一类用户，随着自身的发展壮大与跨国化，企业的分支机构不仅越来越多，而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部门在连接分支机构方面也感到日益棘手。

    随着网络，尤其是网络经济的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸现传统企业网的功能缺陷：传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下，VPN以其独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，而更多地致力于企业的商业目标的实现。

产品介绍

    沟通VPN实现业界标准IPsec&IKE，提供RSA、预共享密钥身份验证，3DES数据加密，适应公网、内网环境下的网间互联 ，支持多对多接入点的带宽合并。采用端对端网状结构，任意两端都是对等的关系，配置简单，不存在中心点瓶颈，可以轻松构建企业虚拟专用网(VPN)，安全、简单、易用。

    沟通VPN首创NAT/FireWall后的两端间点对点通讯，无需任何数据中转。可以方便地运行在NAT/FireWall后的任何一台Windows2000/Xp/2003机器中， 可以避免对原有网关进行调整，同时可以得到原有NAT/FireWall的保护，方便又安全。 如图：

 
    集成L2防火墙，一方面可以确保网关不受外界攻击，同时 可以为互联的子网提供访问权限控制。

沟通VPN的技术功能列表:（见下页）

产品功能和技术亮点

“沟通VPN”遵循VPN的业界标准，同时采用了多项创新技术，使“沟通VPN”突破了传统VPN的应用领域。
    · 1. 实现IPsec&IKE
    · 2. 穿透NAT/FireWall
    · 3. 支持多种动态IP寻址
    · 4. 端点广播,自动组建网状网络
    · 5. 多对多带宽合并
    · 6.  集成L2防火墙
    · 7. 百分百对等结构,安装简单

1.  实现IPsec&IKE

    IETF(因特网工程任务组)于1998年11月公布了IP安全标准IPsec，以用于为通讯双方提供数据源验证、无连接数据完整性、数据机密性、抗重播等安全服务。IPsec由系列协议组成，其中主要包括：认证头(AH)、封装安全载荷(ESP)、Internet密钥交换(IKE)等。

    IKE(Internet Key Exchange)是一套密钥交换规范，它为IPsec中的数据验证(AH)、数据加密(ESP)提供安全的密钥交换手段。
“沟通VPN”对IPsec&IKE的支持情况如下：

  
2.  穿透NAT/FireWall
    “沟通VPN”采用隧道技术使两端可以穿透NAT/Firewall的阻隔，实现直接的点对点通讯。一般情况下，IPsec数据包不能穿越NAT，采用UDP包封装后的IPsec数据包可以穿越本端的NAT，到达位于公网中的对端，但如果对端也位于NAT后面，则不能到达，不能直接点对点通讯。

    “沟通VPN”通过引入中间握手服务器机制，成功突破了NAT/Firewall的限制，实现位于NAT后面的两端直接点对点通讯。如图：

 
    一旦成功建立起IPsec隧道，A，B两台主机所在的网络就可以直接相互访问。
    凭借穿透NAT/FireWall的能力，“沟通VPN”可以运行在NAT后的任一台Windows 2000/XP/2003机器中，可以避免对原有地NAT/Firewall网关的修改，同时又可以得到原有地NAT/Firewall的保护。

3. 支持多种动态IP寻址
    当互联的某一端采用公网IP接入Internet，则另一端的沟通VPN可以直接访问该公网IP，建立IPsec隧道。但一般情况下，ISP服务商只给接入用户分配动态的公网IP，“沟通VPN”采用动态域名和PHP/ASP脚本解决动态IP的寻址。

    采用动态域名寻址公网IP简单易用，只须在动态域名服务商注册，安装相应的客户端软件就可以了。如A,B两端，A端是公网端，其动态域名是.dns0755.net，则A端的沟通VPN本地名称应为.dns0755.net，对B端而言，B端的沟通VPN对端名称应为.dns0755.net。

    采用PHP/ASP脚本寻址公网IP，需要一个位于公网的WEB服务器，其中运行PHP/ASP服务脚本，则互联双方就可通过访问服务脚本得到公网端的公网IP。如图：

4. 端点广播,自动组建网状网络
    使用“沟通VPN”组建VPN，可以选择任一个端点充当广播端点，其中配置了所有需要互联的端点。广播端点可以向所有对端广播其它互联端点的连接信息， 对端根据获取的连接信息自动完成与其它端点的互联，形成网状网络。

    端点广播功能可以简化网状网络的配置。

5. 多对多带宽合并
    采用LinkMe(Linking Multi Entry)带宽合并技术，实现两端之间多对多接入点的带宽合并,令两端之间的访问速度倍增。

LinkMe带宽合并技术具有如下的特点：
    LinkeMe在IP层进行带宽合并，独立于所有Internet接入方式，如V.90，ISDN，ADSL，LAN，T1等。
    可以合并沟通VPN网关所在局域网中的所有Internet出口的带宽，包括运行沟通VPN的机器中的全部(PPP)出口，以及同一局域网中(具有独立网关)的其它(NAT)出口。
    结合沟通VPN对NAT/Firewall的穿透能力，LinkMe可以突破NAT/Firewall实现带宽合并。

下面是一个带宽合并的示例，网络环境如下：

    本端：在运行的机器中配置两个ADSL的PPPOE拨号，在的[带宽合并]配置中选中“需要自动合并所有PPP出口”。该机器的内部IP是192.168.0.1。

    对端：采用两个ADSL共享器（名称分别是NAT1,NAT2）分别拨号上网，并进行NAT共享。第一个共享器NAT1的内部IP是192.168.1.1, 第二个共享器NAT2的内部IP是192.168.1.2。在的[带宽合并]配置中把两个共享器的内部IP以“外部出口网关”的方式添加到带宽合并列表中。
在添加对端时，选中“两端启动带宽合并”。网络示意图如下：

6. 集成L2防火墙
    “沟通VPN”集成L2(第二层)防火墙，可以有效地对所有经过VPN网关收发的IP包进行阻隔，提供灵活的IP规则编辑功能，可以制定VPN网络之间的访问权限。

的L2防火墙的技术特点如下：
    在数据链路层(L2)对IP包进行阻隔，可以确保操作系统内核不受外界任何影响。
    保护VPN网关后的所有子网。
    具备防DoS攻击的能力。
    可以任意设定IP规则。
    “沟通VPN”的L2防火墙的主要用途：
    设定IP规则，确保沟通VPN网关不受外界攻击，使系统可以更安全地运行。
    制定VPN网络之间的访问权限。

7. 百分百对等结构,安装简单
    “沟通VPN”采用对等结构设计，每一端都具有相同的功能，为组网提供最大的灵活性，其组建的网状网络不存在任何“中心点瓶颈”，所有端点都一致的功能、界面，可以有效地减少用户的使用困难。

沟通VPN与“硬件”VPN比较

 
支持的应用程序
    沟通VPN 支持基于IP协议的应用程序，例如windows 的资源管理器，用户可以象在局域网中一样使用资源管理器进行文件共享。

    大型的应用，如金蝶、用友、新中大的财会系统、ERP系统、CRM系统。用户安装这些软件时，只需要按照它们的安装说明安装，并按局域网的方法进行网络配置，即可以实现远程应用。

解决方案

ERP整合网络应用解决方案

需求分析：
    集团型企业的各个职能机构分部在不同的区域，以深圳某公司为例：工厂在关外，行政总部在市内写字楼，销售分公司分布在全国各地。在应用ERP软件时，销售、采购、仓库、计划、生产要协同工作，数据要实时传送。但是地域的分布导致无法进行数据的传输，使用专线费用昂贵，沟通VPN可以有效解决这个问题。

解决方案：
    根据管理的需要，在数据量较大的地方设置ERP服务器。使用沟通VPN把整个集团纳入到同一个网络中来，不同的职能机构访问同一个ERP服务器，就可以实现数据的实时交换。

网络拓扑图如下：

 
方案效益：
    ERP系统得以在整体集团实现应用，优化流程，实现管理提升；
    花费较少的投资即实现专线的效果；
    搭建了统一的网络平台，扩充性良好；
    增强的安全性能，保证ERP系统数据的安全。

集团公司专用网方案

参考深圳润讯集团公司的实际应用

1. 用户需求
    集团公司在国内、国外都有相当多的分支机构，分支机构之间、总部与分支机构之间日常需要交换大量数据(信息)。寻找一种安全、廉价的组网方式，实现各分支机构网络互联，成了集团公司急待解决的问题。

2. 用户网络环境
    目前，集团公司骨干机构采用专线组网，实现了骨干机构网络互联。大部分分支机构只能采用间接的方式与集团公司骨干机构交换数据(信息)，如电子邮件。

3. 解决方案
    基于Internet的软件VPN可以利用集团公司各个分支机构现有的网络资源(计算机、上网带宽)实现网络互联。考虑到分支机构分布在不同地区、国家，各地所提供的Internet接入方式不完全相同，要求软件VPN的实现必须足够灵活，以适应不同的Internet接入环境。另外，VPN需要提供足够灵活的组网方案，以提供高效的任意两个机构之间的网络互访。

3.1 组网方案
VPN网络采用对等网状结构，从而提供以下的优越性能：
    实现任意两个机构之间的网络互访
    避免中心点瓶颈，确保VPN的传输效率
    随时重新划分需要互联的机构，非相关机构不受影响

各个分支机构可以采用如下Internet接入方式：
    公网IP ADSL
    私网IP ADSL，NAPT方式共享
    私网IP的小区宽带，NAPT方式共享
    公网IP的小区宽带
    GPRS移动接入

 
    由于我们的VPN软件实现了内网（私网IP，NAPT方式共享）间的点对点通讯，用户可以灵活地选择Internet接入方式。

3.2 网络配置
    VPN软件可以安装在分支机构局域中的某一台计算机中，如果使用计算机作为Internet接入网关，则VPN软件可以安装在该计算机中，如果采用IP共享器作为Internet接入网关，则VPN软件可以安装在局域网中的任何一台计算机中。

    要求各个分支机构的局域网统一划分子网，使得每个局域网分别属于不同的子网。本例中，具体的子网划分如下：

    局域网中的其它机器可以通过增加路由记录的方法实现与分部、总部的局域网互访。如分部1的计算机访问总部，可以这样设置路由：
    route  -p　add 　192.168.0.0  mask  255.255.255.0  192.168.1.1

3.2.1总部的VPN配置
    本例中，总部需要与三个分部互联，同时还与若干个移动用户互联。VPN的配置主要包括本地配置和对端配置。

本地配置：
    1. 注册用户名称。
    2. 本端名称/域名，这里填ZB
    3. 工作模式，选择网关方式。
    4. 内网IP、内网掩码，这里应该是192.168.0.1、255.255.255.0。
    5. 虚拟Internet接入IP，缺省即可。
    6. Internet接入方式，请选择内网。

    本例中，对端包括三个分社，若干个移动用户，只需要把它们逐个添加到对端列表中即可。下面是分部1的配置：

对端配置：
    1. 对端名称，这里填FB1.
    2. 对端上网方式，这里选内网。
    3. 与对端握手方式：通过中间服务器

序　 言

    在国外，VPN已经迅速发展起来，2003年全球VPN市场达到500亿美元。在中国，虽然人们对VPN的定义还有些模糊不清，对VPN的安全性、服务质量（QoS）等方面存有疑虑，但互联网和电子商务的快速发展使我们有理由相信，VPN随着网络技术的发展会更加成熟。

    越来越多的用户认识到，随着Internet和电子商务的蓬勃发展，经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换速度。这些合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题，因为Internet是一个全球性和开放性的、基于TCP/IP技术的、不可管理的国际互联网络，    因此，基于Internet的商务活动就面临非善意的信息威胁和安全隐患。

    还有一类用户，随着自身的发展壮大与跨国化，企业的分支机构不仅越来越多，而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部门在连接分支机构方面也感到日益棘手。

    随着网络，尤其是网络经济的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸现传统企业网的功能缺陷：传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下，VPN以其独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，而更多地致力于企业的商业目标的实现。

产品介绍

    沟通VPN实现业界标准IPsec&IKE，提供RSA、预共享密钥身份验证，3DES数据加密，适应公网、内网环境下的网间互联 ，支持多对多接入点的带宽合并。采用端对端网状结构，任意两端都是对等的关系，配置简单，不存在中心点瓶颈，可以轻松构建企业虚拟专用网(VPN)，安全、简单、易用。

    沟通VPN首创NAT/FireWall后的两端间点对点通讯，无需任何数据中转。可以方便地运行在NAT/FireWall后的任何一台Windows2000/Xp/2003机器中， 可以避免对原有网关进行调整，同时可以得到原有NAT/FireWall的保护，方便又安全。 如图：

 
    集成L2防火墙，一方面可以确保网关不受外界攻击，同时 可以为互联的子网提供访问权限控制。

沟通VPN的技术功能列表:（见下页）

产品功能和技术亮点

“沟通VPN”遵循VPN的业界标准，同时采用了多项创新技术，使“沟通VPN”突破了传统VPN的应用领域。
    · 1. 实现IPsec&IKE
    · 2. 穿透NAT/FireWall
    · 3. 支持多种动态IP寻址
    · 4. 端点广播,自动组建网状网络
    · 5. 多对多带宽合并
    · 6.  集成L2防火墙
    · 7. 百分百对等结构,安装简单

1.  实现IPsec&IKE

    IETF(因特网工程任务组)于1998年11月公布了IP安全标准IPsec，以用于为通讯双方提供数据源验证、无连接数据完整性、数据机密性、抗重播等安全服务。IPsec由系列协议组成，其中主要包括：认证头(AH)、封装安全载荷(ESP)、Internet密钥交换(IKE)等。

    IKE(Internet Key Exchange)是一套密钥交换规范，它为IPsec中的数据验证(AH)、数据加密(ESP)提供安全的密钥交换手段。
“沟通VPN”对IPsec&IKE的支持情况如下：

  
2.  穿透NAT/FireWall
    “沟通VPN”采用隧道技术使两端可以穿透NAT/Firewall的阻隔，实现直接的点对点通讯。一般情况下，IPsec数据包不能穿越NAT，采用UDP包封装后的IPsec数据包可以穿越本端的NAT，到达位于公网中的对端，但如果对端也位于NAT后面，则不能到达，不能直接点对点通讯。

    “沟通VPN”通过引入中间握手服务器机制，成功突破了NAT/Firewall的限制，实现位于NAT后面的两端直接点对点通讯。如图：

 
    一旦成功建立起IPsec隧道，A，B两台主机所在的网络就可以直接相互访问。
    凭借穿透NAT/FireWall的能力，“沟通VPN”可以运行在NAT后的任一台Windows 2000/XP/2003机器中，可以避免对原有地NAT/Firewall网关的修改，同时又可以得到原有地NAT/Firewall的保护。

3. 支持多种动态IP寻址
    当互联的某一端采用公网IP接入Internet，则另一端的沟通VPN可以直接访问该公网IP，建立IPsec隧道。但一般情况下，ISP服务商只给接入用户分配动态的公网IP，“沟通VPN”采用动态域名和PHP/ASP脚本解决动态IP的寻址。

    采用动态域名寻址公网IP简单易用，只须在动态域名服务商注册，安装相应的客户端软件就可以了。如A,B两端，A端是公网端，其动态域名是.dns0755.net，则A端的沟通VPN本地名称应为.dns0755.net，对B端而言，B端的沟通VPN对端名称应为.dns0755.net。

    采用PHP/ASP脚本寻址公网IP，需要一个位于公网的WEB服务器，其中运行PHP/ASP服务脚本，则互联双方就可通过访问服务脚本得到公网端的公网IP。如图：

4. 端点广播,自动组建网状网络
    使用“沟通VPN”组建VPN，可以选择任一个端点充当广播端点，其中配置了所有需要互联的端点。广播端点可以向所有对端广播其它互联端点的连接信息， 对端根据获取的连接信息自动完成与其它端点的互联，形成网状网络。

    端点广播功能可以简化网状网络的配置。

5. 多对多带宽合并
    采用LinkMe(Linking Multi Entry)带宽合并技术，实现两端之间多对多接入点的带宽合并,令两端之间的访问速度倍增。

LinkMe带宽合并技术具有如下的特点：
    LinkeMe在IP层进行带宽合并，独立于所有Internet接入方式，如V.90，ISDN，ADSL，LAN，T1等。
    可以合并沟通VPN网关所在局域网中的所有Internet出口的带宽，包括运行沟通VPN的机器中的全部(PPP)出口，以及同一局域网中(具有独立网关)的其它(NAT)出口。
    结合沟通VPN对NAT/Firewall的穿透能力，LinkMe可以突破NAT/Firewall实现带宽合并。

下面是一个带宽合并的示例，网络环境如下：

    本端：在运行的机器中配置两个ADSL的PPPOE拨号，在的[带宽合并]配置中选中“需要自动合并所有PPP出口”。该机器的内部IP是192.168.0.1。

    对端：采用两个ADSL共享器（名称分别是NAT1,NAT2）分别拨号上网，并进行NAT共享。第一个共享器NAT1的内部IP是192.168.1.1, 第二个共享器NAT2的内部IP是192.168.1.2。在的[带宽合并]配置中把两个共享器的内部IP以“外部出口网关”的方式添加到带宽合并列表中。
在添加对端时，选中“两端启动带宽合并”。网络示意图如下：

6. 集成L2防火墙
    “沟通VPN”集成L2(第二层)防火墙，可以有效地对所有经过VPN网关收发的IP包进行阻隔，提供灵活的IP规则编辑功能，可以制定VPN网络之间的访问权限。

的L2防火墙的技术特点如下：
    在数据链路层(L2)对IP包进行阻隔，可以确保操作系统内核不受外界任何影响。
    保护VPN网关后的所有子网。
    具备防DoS攻击的能力。
    可以任意设定IP规则。
    “沟通VPN”的L2防火墙的主要用途：
    设定IP规则，确保沟通VPN网关不受外界攻击，使系统可以更安全地运行。
    制定VPN网络之间的访问权限。

7. 百分百对等结构,安装简单
    “沟通VPN”采用对等结构设计，每一端都具有相同的功能，为组网提供最大的灵活性，其组建的网状网络不存在任何“中心点瓶颈”，所有端点都一致的功能、界面，可以有效地减少用户的使用困难。

沟通VPN与“硬件”VPN比较

 
支持的应用程序
    沟通VPN 支持基于IP协议的应用程序，例如windows 的资源管理器，用户可以象在局域网中一样使用资源管理器进行文件共享。

    大型的应用，如金蝶、用友、新中大的财会系统、ERP系统、CRM系统。用户安装这些软件时，只需要按照它们的安装说明安装，并按局域网的方法进行网络配置，即可以实现远程应用。

解决方案

ERP整合网络应用解决方案

需求分析：
    集团型企业的各个职能机构分部在不同的区域，以深圳某公司为例：工厂在关外，行政总部在市内写字楼，销售分公司分布在全国各地。在应用ERP软件时，销售、采购、仓库、计划、生产要协同工作，数据要实时传送。但是地域的分布导致无法进行数据的传输，使用专线费用昂贵，沟通VPN可以有效解决这个问题。

解决方案：
    根据管理的需要，在数据量较大的地方设置ERP服务器。使用沟通VPN把整个集团纳入到同一个网络中来，不同的职能机构访问同一个ERP服务器，就可以实现数据的实时交换。

网络拓扑图如下：

 
方案效益：
    ERP系统得以在整体集团实现应用，优化流程，实现管理提升；
    花费较少的投资即实现专线的效果；
    搭建了统一的网络平台，扩充性良好；
    增强的安全性能，保证ERP系统数据的安全。

集团公司专用网方案

参考深圳润讯集团公司的实际应用

1. 用户需求
    集团公司在国内、国外都有相当多的分支机构，分支机构之间、总部与分支机构之间日常需要交换大量数据(信息)。寻找一种安全、廉价的组网方式，实现各分支机构网络互联，成了集团公司急待解决的问题。

2. 用户网络环境
    目前，集团公司骨干机构采用专线组网，实现了骨干机构网络互联。大部分分支机构只能采用间接的方式与集团公司骨干机构交换数据(信息)，如电子邮件。

3. 解决方案
    基于Internet的软件VPN可以利用集团公司各个分支机构现有的网络资源(计算机、上网带宽)实现网络互联。考虑到分支机构分布在不同地区、国家，各地所提供的Internet接入方式不完全相同，要求软件VPN的实现必须足够灵活，以适应不同的Internet接入环境。另外，VPN需要提供足够灵活的组网方案，以提供高效的任意两个机构之间的网络互访。

3.1 组网方案
VPN网络采用对等网状结构，从而提供以下的优越性能：
    实现任意两个机构之间的网络互访
    避免中心点瓶颈，确保VPN的传输效率
    随时重新划分需要互联的机构，非相关机构不受影响

各个分支机构可以采用如下Internet接入方式：
    公网IP ADSL
    私网IP ADSL，NAPT方式共享
    私网IP的小区宽带，NAPT方式共享
    公网IP的小区宽带
    GPRS移动接入

 
    由于我们的VPN软件实现了内网（私网IP，NAPT方式共享）间的点对点通讯，用户可以灵活地选择Internet接入方式。

3.2 网络配置
    VPN软件可以安装在分支机构局域中的某一台计算机中，如果使用计算机作为Internet接入网关，则VPN软件可以安装在该计算机中，如果采用IP共享器作为Internet接入网关，则VPN软件可以安装在局域网中的任何一台计算机中。

    要求各个分支机构的局域网统一划分子网，使得每个局域网分别属于不同的子网。本例中，具体的子网划分如下：

    局域网中的其它机器可以通过增加路由记录的方法实现与分部、总部的局域网互访。如分部1的计算机访问总部，可以这样设置路由：
    route  -p　add 　192.168.0.0  mask  255.255.255.0  192.168.1.1

3.2.1总部的VPN配置
    本例中，总部需要与三个分部互联，同时还与若干个移动用户互联。VPN的配置主要包括本地配置和对端配置。

本地配置：
    1. 注册用户名称。
    2. 本端名称/域名，这里填ZB
    3. 工作模式，选择网关方式。
    4. 内网IP、内网掩码，这里应该是192.168.0.1、255.255.255.0。
    5. 虚拟Internet接入IP，缺省即可。
    6. Internet接入方式，请选择内网。

    本例中，对端包括三个分社，若干个移动用户，只需要把它们逐个添加到对端列表中即可。下面是分部1的配置：

对端配置：
    1. 对端名称，这里填FB1.
    2. 对端上网方式，这里选内网。
    3. 与对端握手方式：通过中间服务器

3.2.2分部的VPN配置
    如果分部只希望与总社建立虚拟专用网连接，则只需要添加总部一个对端就可以了。

本地配置：
    1. 注册用户名称。
    2. 本端名称/域名，这里填FS1
    3. 工作模式，选择网关方式。
    4. 内网IP、内网掩码，这里应该是192.168.1.1、255.255.255.0。
    5. 虚拟Internet接入IP，缺省即可。
    6. Internet接入方式，请选择内网。

对端配置：
    1. 对端名称，这里填ZS.
    2. 对端上网方式，这里选内网。
    3. 与对端握手方式：通过中间服务器

3.3 网络安全
    我们的VPN软件基于IPsec标准实现，实现IKE密钥交换方法，提供预共享密钥、RSA身份验证，采用3DES数据加密。与VPN集成的防火墙可以有效控制各个分支机构间的网络互访。

4. 使用效果
    采用我们的VPN软件可以充分地利用现有的网络资源实现分支机构间的网络互联，其灵活的安装方式，可以做到对原有网络的“零”影响。

在VPN软件的支持下，以下应用变得简单可行：
    集团内部E-MAIL服务：只需要在总部安装一个E-MAIL服务器即可，安全可靠。
    集团内部QQ服务：只需要在总部安装一个QQ服务器，就可以实现包括所有分支机构在内的QQ服务。
    集团内部（可视）网络电话服务：用普通的NetMeeting就以实现可视通话
    传统的局域网应用软件可以自然地应用到所有分支机构
    移动办公，机构负责人可以用笔记本电脑随时通过Internet安全地访问公司主机

连锁店专用网方案

1. 用户需求
    连锁经营作为一种商业运作模式被越来越多的商家所采纳；这种模式虽然具有巨大的开拓市场潜力，但是却带来了管理成本的消耗。例如，对于分布式的数据如何集中，资源如何有效分配等，都会导致管理成本的提高。为了有效管理这些资源，北京某一文具连锁店开发了一套资源管理系统。然而，又要面临一个问题：如何把连锁店的数据实时集中到中部，成了急待解决的问题。

    本案例也适用于类似连锁店的超市、药店等特殊的连锁方式。

2. 用户网络环境

 
    目前，针对用户的需求，最普遍的联网方式是通过PSTN，也就是电话网络。在每一个连锁店安装一台Modem（调制解调器），在总部配置一个Modem池，并且申请与连锁店数一样多的电话线路。

    当连锁店需要联接总部时，连锁店的工作电脑通过调制解调器电话拨号，与位于总部的Modem池握手，从而与服务器建立一条数据通道，进行业务处理。

这种方案可以达到用户的目的，但缺点是显而易见的：

    1、设备购置费高：Modem池和电话申请费用。
    2、运作成本高：主要在于电话通讯费：假设费率是一分0.1元，每个连锁店一天连接10小时计算，则每天每个连锁店的通讯费将是：10 x 60 x 0.1= 60(元)。
    3、通讯速率低：一般Modem的传输速率是56kb/s

3. 解决方案
    在满足用户要求的前提下，针对以上缺点，我们提出了VPN解决方案：

3.1 组网方案

VPN网络采用对等网状结构，从而提供以下的优越性能：
    实现任意两个连锁店之间的网络互访
    避免中心点瓶颈，确保VPN的传输效率
    随时重新划分需要互联的连锁店，非相关机构不受影响

各个分支机构可以采用如下Internet接入方式：
    公网IP ADSL
    私网IP ADSL，NAPT方式共享
    私网IP的小区宽带，NAPT方式共享
    公网IP的小区宽带
    GPRS移动接入

    由于我们的VPN软件实现了内网（私网IP，NAPT方式共享）间的点对点通讯，用户可以灵活地选择Internet接入方式。

3.2 网络配置
    VPN软件可以安装在连锁店的工作站计算机中，要求各连锁店的局域网统一划分子网，使得每个局域网分别属于不同的子网。

3.3 网络安全
    我们的VPN软件基于IPsec标准实现，实现IKE密钥交换方法，提供预共享密钥、RSA身份验证，采用3DES数据加密。与VPN集成的防火墙可以有效控制各个分支机构间的网络互访。

4. 使用效果
    采用我们的VPN软件可以充分地利用现有的网络资源实现分支机构间的网络互联，其灵活的安装方式，可以做到对原有网络的“零”影响。

VPN方案还解决了PSTN方案的缺点：
    1、 不用购置Modem池，不用申请电话线。
    2、 联接互联网的费用远远比电话线路便宜。
    3、 VPN联接速率取决于上网速率，潜力无限。

相关案例

• ·IP VPN技术及其应用[组图]
• ·轻松实现移动安全办公——EETRUST SecureVPN
• ·医疗卫生行业异地互连VPN应用
• ·华为民航信息化网络解决方案[组图]
• ·华为小型机构VPN安全互联方案

• ·宽兆科技VPN/数据无线传输解决方案[图]
• ·NEC大客户城域网VPN的VoIP解决方案[图]
• ·中国联通虚拟专网VPN/VPDN专线系统[图]
• ·中联科技银行储蓄所GPRS联网解决方案[图]
• ·北京四达时代MPLS VPN的网络安全[组图]

推荐解决方案

领军企业实施案例

电子杂志订阅

赞助商链接