概述

　　具备多个分支机构的单位，分支机构往往需要和总部进行数据交换，如实现电子商务，财务软件互联等，简单经济的方法是通过VPN。如果总部只有一个线路，一旦该线路出现故障，各个分支机构就无法完成业务。本方案通过一种简单方便的方式实现了VPN隧道的备份，实现各个分支机构和总部中心服务器数据交换的不间断工作。通过本方案，也解决了各个分支机构上网的问题。


需求分析

　　上海电信下属某单位为了提高工作效率，需要建立一套内部电子商务系统，而该单位在全市有几十个分支机构，每个分支机构的数据需要实时传送到中心，而且，还需要一定的安全功能。由于组网的复杂性和费用，各个分支机构上网的连接方式不再是传统的DDN和帧中继的方式，各个分支机构的上网方式不尽相同，有通过电信ADSL连接Internet，也有通过FTTH连接Internet。因此，通过宽带接入实现VPN成为一种切实可行的经济选择。然而，需要建设的网络不仅能满足各个分支机构上网的需要，而且能实时向中心服务器传送各个分支机构的数据。如果在中心点采用单一的线路，一旦这个线路出现故障，下面各个分支机构就无法向上传送数据，将会严重影响业务的运行。因此，本着将线路故障造成的损失降到最低的目的，中心点再申请一个做为备份线路，在主线路出现故障的时候，各个分支机构可以通过备份线路将数据传送到中心服务器。


方案规划

　　该网络结构比较简单，也很清晰，各个分支机构可以通过各种方式连接到公共网络，如ADSL，LAN等。每个分支机构申请一个线路，运营商分配一个公网地址，使用一个可以支持L2TP或者IPSec over L2TP的VPN设备，该设备既支持将电子商务的数据传送到中心服务器，也支持分支机构上网的要求。传送电子商务数据的时候，可以检测到中心主线路失效时，能将VPN切换到备份线路。中心采用双线路接入，需要放置一台VPN服务器，该VPN服务器能支持双线路固定地址接入，不仅能支持从第一个口接入VPN隧道连接请求，还能支持从第二个口接入VPN隧道连接请求。

VPN协议可以选择的方式有

1、使用L2TP连接
2、使用IPSec over L2TP连接

第一种方式的优点是组网配置简单，带宽利用效率比较高，缺点是安全性不太高。
第二种方式的优点是安全性高，缺点是配置复杂，带宽利用效率比第一种稍微有些下降。

网络连接的拓扑示意图如下：

由于每个分支机构的上网机器一般在几十台以内，地址规划的方式可以按照如下方式，分支机构1的地址192.168.1.0/24，分支机构2的地址192.168.2.0/24依此类推。总部中心机房的地址规划是192.168.200.0/24。

如果在各个分支机构已经有了网络，而且地址都已经设定，考虑到统一更改地址带来很大的工作量，为了避免某些分支机构使用相同的地址空间，因此，在配置分支机构的HiPER的时候，启用L2TP上的NAT功能，这样可以避免由于相同地址冲突带来修改的困扰。


产品选型
　　各个分支机构可以选择HiPER 2231CS或者HiPER 3100VF做为客户端设备，中心设备可以选择HiPER 4520VF。HiPER 2231CS支持2个并发隧道，3100VF支持配置16个隧道，并发8个，HiPER 4520VF支持500个IPSec隧道和128个L2TP/PPTP隧道。

VPN安全网关的IPSec特点如下：

• 支持自动IKE或者手动建立IPSec隧道
  
• 支持ESP和AH协议，3DES/DES/AES加密，SHA1/MD5认证
  
• 主模式和野蛮模式
  
• 抗重播
  
• 支持IPSec NAT穿透

除此之外，HiPER VPN安全网关还可以支持L2TP/PPTP的客户端，服务端，也可以和IPSec一起使用，建立IPSec over L2TP/PPTP或者L2TP/PPTP over IPSec的隧道。


实现特点

1、总部中心点放置HiPER 4520VF，WAN口连接主线路，WAN2口连接备份线路，LAN口连接到内网。实现VPN服务器和总部上网二合一的功能。

2、各个分支机构和中心可以通过HiPER3100VF的NAT功能共享上网

3、各个分支机构使用HiPER的VPN的客户端功能，向中心服务器发起VPN隧道，建立网络连接。

4、当使用第一种组网方式，也就是通过L2TP方式组网时，在每个客户端配置2条VPN隧道，第一条隧道由客户端发起，终结在中心的VPN服务器的第一个外网连接口上，第二条隧道由客户端发起，终结在中心的VPN服务器的第二个外网连接口上，两条隧道采用主备方式，在主线路正常的情况下，所有的需要通过VPN传送的流量都通过和主线路建立的隧道；一旦主线路出现故障，客户端将采用第二条VPN隧道传送数据，也就是和中心VPN服务器的备份线路（第二个外网连接口）建立的隧道。

5、当采用第二种方式组网的时候，只需要将配置稍微做些改动，对传送的数据先进行IPSec加密，然后再通过L2TP隧道传送。

6、采用本网络建立的VPN具备有线路检测功能，也就是说如果一个线路失效，VPN隧道的两端设备能感知到这个故障，自动采取措施切换到备份线路。

7、HiPER具备的网络管理和监控功能有利于网络管理员对各个分支机构上网情况进行了解，如了解上网的带宽使用情况，内部每台机器上网使用的带宽。

8、HiPER具备的防火墙功能可以防止外部网络对各个分支机构和总部进行的扫描和攻击，同时也可以根据本单位的需求实现上网权限控制。

9、由于BT等P2P下载可能会占据大量的带宽，特别是对使用ADSL的分支机构影响非常明显，大量的非法下载影响到正常的业务数据传送。此时，可以通过HiPER的流量控制策略对内部主机的带宽使用进行调度和控制。

10、络管理的方式可以通过CLI或者WEB进行，可以通过内部网络进行或者通过外部网络进行。