某连锁企业VPN组网方案

一、 用户需求

1、 利用VPN技术将多家分支机构的网络与总部连接起来，完成分支机构PC、POS等设备对总部ERP系统的访问；

2、 利用VPN网络，实现总部对下属分支机构各种IT设备的远程管理；

3、 采用快捷便利、低维护成本的VPN技术组建网络；

4、 远端局域网的安全控制力度应与总部的安全控制力度相一致；

5、 设备应易于管理、监控，采用集中式管理方式；

6、 设备应支持多外口连接；可以做到VPN冗余及故障切换，为今后扩容预留；

7、 考虑未来的网络应用扩展，如VoIP设备的使用、网络摄像设备的部署；

二、 

三、 网络拓扑结构规划

本方案中，我们采用德国Astaro公司的网络安全产品，利用Astaro公司独特的VPN设备——RED，快速组建一个免配置、免维护的星型VPN网络。

德国Astaro公司是于2000年成立的一家专注于UTM领域的网络安全厂商。旗下的多功能安全网关ASG系列产品在欧洲各大网络媒体评测中屡获殊荣；2010年革新性的分支机构VPN设备RED，更是获得了创新大奖，让更多的用户体验到科技带来的便利与成本的节约。

四、 

五、 网络描述说明

1、 总公司描述（VPN中心节点）

VPN中心节点 —— 部署两台ASG220设备

在总公司的Internet接入点，部署两台Astaro的多功能安全网关ASG220，ASG220提供1.8Gbps的防火墙处理能力，30万的并发连接，260Mbps的VPN处理能力，可以满足当前VPN中心节点的性能要求。两台ASG 200启用双机热备份功能，可以保证VPN网关7 x 24小时的可用性。

ASG 220的任务

n 作为VPN中心节点，负责完成各分支机构局域网络与总公司建立VPN连接；

n 总公司内部用户上网均可通过ASG 200连接到Internet；

n 各分支机构内部用户上网均由RED封装后通过VPN隧道传递到总公司，由总公司的ASG设备统一制定安全访问控制策略，做到严格的集中管理；

n 承载企业内部ERP系统的运行；

ASG 220的安全控制策略

n 实现基于端口的通讯管理，通过策略设计，可以屏蔽掉与业务无关的通讯端口，防止链路带宽被非法通讯占用；

n 实现基于IM和P2P的控制，可以针对IP地址或用户名/用户组，来实现不同用户对IM软件和P2P软件的使用控制；

n 实现基于时间的通讯管理，通过时间策略的设计，可以限定在一个特定的时间区间执行网络通讯控制；

n 实现针对某项应用的流量控制；

2、 分支机构描述

分支机构节点 —— 部署一台 Astaro RED

在分支机构部署一台RED，负责完成与总公司的VPN建立。RED是一款具有革新意义的分支VPN专用设备，其免配置、免维护的特性，可以实现VPN快速部署组网，无需维护VPN配置的特点，大大地降低了用户与集成商的后期运维成本。

RED的任务

n RED如同总公司ASG设备的一个物理接口，通过Internet延伸到了分支机构的局域网里；

n 作为分支机构的出口设备之一，RED将分支机构的全部数据流封装在VPN隧道中传输给总公司，因此分支机构与Internet的全部通讯，都是由总公司的ASG设备来控制，实现了更紧密的集中管控；

n 分支机构内网用户如同在总公司局域网里一样工作；

n 承担分支机构PC的IP地址分配任务，使用DHCP over VPN技术，全部分支机构的PC所获得的IP地址，都是在总部ASG设备上规划的，这样做到了企业全局化、一体化的IP地址管理工作；

n 未来的各类增值应用，如VoIP通讯与视频通讯，均封装在VPN隧道中，用户的使用体验如同在局域网中一样；

RED的连接

n 在分支机构应配置有一台小型拨号路由器，负责完成Internet的连接，和提供DHCP服务，

n RED的WAN口连接到拨号路由器的LAN口，通过DHCP获得一个可以连接到Internet的IP地址；

n RED的LAN口，连接内部局域网的交换机，如果内部PC数量不超过4台，可以将4台PC直接连接在RED的4个LAN口上；

n PC的网卡设置为自动获得IP地址；

3、 网络管理

使用Astaro安全网关产品组建网络时，用户可以直接使用浏览器对设备进行管理。RED设备的配置只需要在总公司的ASG设备上添加RED的ID号即可，很大程度上简化了管理员用传统方式对多台设备的管理的工作量。

用户可以通过ASG的图形化管理界面，实时监控到设备的工作状态，网络的运行状态。实时查询网络通讯情况。

用户可以每天接收到一份来自ASG的统计报表，为管理员汇总一天的网络状态、设备状态、安全事件等信息。

ASG设备的日志本地存储，可以确保用户随时调取某时间段的日志进行事件分析、取证。

六、 整体IP地址规划建议

设计原则：总公司与分支机构局域网内部IP地址，不可以出现重叠使用的现象；以避免VPN路由无法建立的情况发生。

项目实施前，应详细进行IP地址规划，以确保VPN网络通畅。

七、 VPN网络设备清单

总部AG 220双机热备份，下属10家分支机构组网方案设备清单（代理商价格）

总部单台ASG 220设备，下属10家分支机构组网方案设备清单（代理商价格）

总部单台ASG 120设备，下属5家分支机构组网方案设备清单（代理商价格）

以上价格均含3年硬件保修、技术支持服务。

八、 Astaro的售后服务

1、 硬件设备的保修

Astaro公司所销售的硬件产品，自购买并激活之日起，均提供1年的硬件质量保证，如产品出现硬件质量问题，保修期内免费更换同型号设备。用户可单独过买现场备机服务。

2、系统软件的服务

Astaro公司所销售的硬件产品，自购买并激活之日起，均提供1年的免费系统软件升级。Astaro定期发布系统软件的升级版本。用户所需要的系统升级软件可以通过Astaro官方网站下载。

3、技术支持的服务

Astaro公司所销售的硬件产品，自购买并激活之日起，均提供1年的免费5x8电话支持、远程协助支持等服务。用户可单独购买现场服务。用户可每年续买技术支持服务。

4、技术培训的服务

Astaro公司所销售的硬件产品，不包含现场技术培训服务，用户可以参加Astaro公司每个季度举办的技术培训课程，或者单独购买现场技术培训服务。