鑫方元网络科技有限公司

方案目的

　　 1、实现每个总部、分部局域网到局域网的互通；

　　 2、实现每个总部、分部每个客户端可以访问集团公司的OA Server；

　　 3、实现每个总部、分部局域网到集团公司局域网之间互通。

　　 准备工作

　　 1、每个VPN接入点的上网线路、VPN设备的准备；

　　 2、规划每个总部、分部、集团公司网段（均是192.168.x.0/24），VPN的用户名、密码、路由地址，路由器的内网IP地址和访问口令。

　　 3、中心点VPN Server（Cisco2600，作为VPN Server终结所有集团以及分公司远程的VPN隧道）、Radius Server（Windows2000 Server，作用是认证每个集团总部、总公司、分公司VPN接入的用户名、密码并为Cisco添加、删除访问路由）的准备、配置；

　　 4、中心点防火墙的配置。由于集团公司通过一台防火墙上网，所有PC网关均指向防火墙。需要在防火墙上作如下设置：

　　 a. 增加到VPN访问网段的路由：目的网段192.168.0.0/16，网关172.20.0.254（Cisco内网IP地址）；

　　 b. 访问列表中，允许172.20.0.0/16和192.168.0.0/16之间的双向互访。

　　 产品功能

　　 1、 HiPER 3110 具有防火墙的功能，实现防PING防端口扫描功能，能够有效防止DOS,DDOS攻击。并且可以设置100条防火墙策略，有效防止“冲击波”、“振荡波”等病毒。

　　 2、具有DDNS动态域名解析功能，可以实现动态IP下的VPN连接，为政务网提供低成本高效率的解决方案。

　　 3、具有网络监控功能，可以在中心监控各个网点的上网情况。

　　 4、 TELNET功能可以让工程师在远程操控路由器的，而不用去现场维护，有效减轻网络维护成本。

　　 5、具有QoS带宽管理功能，能够保证 “经理办公室”等能够分配足够的带宽，保证了政务的有效高效运行。

　　 6、 IP/MAC绑定功能，可以防止员工在上班时聊天等处理与工作无关的事务。

　　 本方案的风险控制

　　 1、方案中VPN Server的IP地址为221.6.17.98，所有VPN客户端均要连接这个地址。假如更换运营商线路或者更换IP地址的话，则所有客户端的配置均要修改。建议申请域名（比如www.jswh.com），将域名解析成实际地址。

　　那么在HiPER配置的时候只需要将“隧道服务器地址”配置成“www.xxxx.com”，同时需要配置“DNS服务器”。

　　 2、中心点的带宽。

　　需要对用户的访问习惯进行数学建模来设计中心点的实际带宽。

　　比如正常最大并发用户访问中心点为200用户，每个用户访问中心点应用流需要20bps的带宽，那么中心点的带宽就不应该低于200*20bps=4Mbps。

　　所有集团、总公司、分公司之间的互访也是通过VPN Server的，那么这部分的访问带宽也应该考虑进去。

　　 3、扩容能力。从Cisco的网站查询，该型号路由器最大支持300条L2TP隧道，也就是说本方案最大支持300并发VPN客户端。

　　 4、每个VPN的接入线路可以是多种以太网接入线路（PPPoE、固定IP、动态IP），但是必须注意一下私网IP地址的接入线路。在这种线路下，上层NAT设备可能关闭了L2TP（UDP 1701）的应用端口，也可能是不支持L2TP协议的穿透，这种情况下需要注意协调上层运营商的相关配置。