某连锁酒店VPN组网方案

一、 用户需求

1、 利用VPN技术将30~40家连锁酒店的网络与总部连接起来，完成各酒店内业务系统与总部数据中心的安全通讯；

2、 采用快捷便利、低维护成本的VPN技术组建网络；

3、 远端局域网的VPN维护无需IT力量的投入；

4、 设备应易于管理、监控，采用集中式管理方式；

5、 设备应支持多外口连接；可以做到VPN冗余及故障切换，为今后扩容预留；

二、 

三、 网络拓扑结构规划

本方案中，我们采用德国Astaro公司的网络安全产品，利用Astaro公司独特的VPN设备——RED，快速组建一个免配置、免维护的星型VPN网络。

德国Astaro公司是于2000年成立的一家专注于UTM领域的网络安全厂商。旗下的多功能安全网关ASG系列产品在欧洲各大网络媒体评测中屡获殊荣；2010年革新性的分支机构VPN设备RED，更是获得了创新大奖，让更多的用户体验到科技带来的便利与成本的节约。

四、 

五、 网络描述说明

1、 总部描述（VPN中心节点）

VPN中心节点 —— 部署两台ASG 220设备

在总公司的Internet接入点，部署两台Astaro的多功能安全网关ASG 220，ASG 220提供1.8Gbps的防火墙处理能力，30万的并发连接，260Mbps的VPN处理能力，可以满足当前VPN中心节点的性能要求。

ASG 220的任务

n 作为VPN中心节点，负责完成各连锁酒店内业务主机与总公司建立VPN连接；

n 总部内部办公用户上网均可保持原有上网设备，也可通过ASG 220连接Internet；

n 各连锁酒店内业务主机的业务应用通讯均由RED封装后通过VPN隧道传递到总部数据中心，由总公司的ASG设备统一制定安全访问控制策略，做到严格的集中管理；

ASG 220的安全控制策略

n 实现基于端口的通讯管理，通过策略设计，可以屏蔽掉与VPN通讯无关的通讯端口，防止VPN隧道被非法通讯占用；

n 实现基于时间的通讯管理，通过时间策略的设计，可以限定在一个特定的时间区间执行网络通讯控制；

n 控制对总部资源的访问，利用访问策略对目的IP地址进行控制，使得远端PC只能反问到限定的IP资源；

n 可以控制各连锁酒店内的业务主机，只能使用业务系统而不可以连接到Internet进行个人通讯；

ASG 220的冗余设计

n 作为VPN中心节点，考虑到VPN网络承载酒店核心业务系统，因此我们建议采用双机热备份方式建议VPN中心节点；

n 并建议用户具备2条连接Internet的链路，完成链路备份；

n 这样的冗余设计可以确保VPN网络的可用性；

2、 各连锁酒店描述

连锁酒店局域网络 —— 部署一台 Astaro RED

在连锁酒店的局域网内部署一台RED，负责业务主机与总部数据中心的VPN建立。RED是一款具有革新意义的分支VPN专用设备，其免配置、免维护的特性，可以实现VPN快速部署组网，无需维护VPN配置的特点，大大地降低了用户与集成商的后期运维成本。

RED的任务

n RED如同总部ASG设备的一个物理接口，通过Internet延伸到了分支机构的局域网里；

n 作为连锁酒店业务系统的出口设备，RED可以将酒店的业务系统全部数据流封装在VPN隧道中传输给总部，因此总部可以对各酒店业务系统内的PC机进行严格的通讯控制，可以做到，业务系统PC机仅能实现与总部业务主机的通讯，而不可以连接到Internet，这样就很好地避免来自Internet的威胁；

n 各酒店内办公网络用户如同在总部局域网里一样工作；

n 承担酒店内业务主机的IP地址分配任务，使用DHCP over VPN技术，全部酒店的业务主机所获得的IP地址，都是在总部ASG设备上规划的，这样做到了企业全局化、一体化的IP地址管理工作；

n 未来的各类增值应用，如VoIP通讯与视频通讯，均封装在VPN隧道中，用户的使用体验如同在局域网中一样；

RED的连接

n 在各酒店仍然保持原有的Internet连接不变；RED设备不置换掉原有网络的Internet出口宽带路由设备；

n RED的WAN口连接到办公网络交换机的一个端口，通过DHCP获得一个可以从办公网络连接到Internet的IP地址；

n RED的LAN口，连接内部的业务系统主机，如果内部业务系统主机数量不超过4台，可以将4台PC直接连接在RED的4个LAN口上；

n PC的网卡设置为自动获得IP地址；

3、 网络管理

使用Astaro安全网关产品组建网络时，用户可以直接使用浏览器对设备进行管理。RED设备的配置只需要在总公司的ASG设备上添加RED的ID号即可，很大程度上简化了管理员用传统方式对多台设备的管理的工作量。

用户可以通过ASG的图形化管理界面，实时监控到设备的工作状态，网络的运行状态。实时查询网络通讯情况。

用户可以每天接收到一份来自ASG的统计报表，为管理员汇总一天的网络状态、设备状态、安全事件等信息。

ASG设备的日志本地存储，可以确保用户随时调取某时间段的日志进行事件分析、取证。

六、 整体IP地址规划建议

设计原则：总公司与分支机构局域网内部IP地址，不可以出现重叠使用的现象；以避免VPN路由无法建立的情况发生。

项目实施前，应详细进行IP地址规划，以确保VPN网络通畅。

七、 VPN网络设备清单

八、 Astaro的售后服务

1、 硬件设备的保修

Astaro公司所销售的硬件产品，自购买并激活之日起，均提供1年的硬件质量保证，如产品出现硬件质量问题，保修期内免费更换同型号设备。用户可单独过买现场备机服务。

2、系统软件的服务

Astaro公司所销售的硬件产品，自购买并激活之日起，均提供1年的免费系统软件升级。Astaro定期发布系统软件的升级版本。用户所需要的系统升级软件可以通过Astaro官方网站下载。

3、技术支持的服务

Astaro公司所销售的硬件产品，自购买并激活之日起，均提供1年的免费5x8电话支持、远程协助支持等服务。用户可单独购买现场服务。用户可每年续买技术支持服务。

4、技术培训的服务

Astaro公司所销售的硬件产品，不包含现场技术培训服务，用户可以参加Astaro公司每个季度举办的技术培训课程，或者单独购买现场技术培训服务。