一、  需求概述

网络维护人员比较少，甚至有些小企业没有维护人员，缺乏正规的安装和维护。
保障网络的可靠性连接。网络建设的首要特性是保证终端之间的可靠连接，保障网络应用信息流的不中断。网络设备以及组网模式的可靠性是网络可靠的重要基础。
提高使用效率。中小企业网都需要突破简单的互联业务，通过单一网络承载多种应用系统，满足企业语音、视频、数据的三网合一传送，是减少网络建设种类，降低建网成本的关键。
降低使用成本。国内企业的网络管理以及维护水平相对较低，尤其是在企业信息化之初，如果网络的维护过于复杂，一方面不利于网络的使用，另一方面也不利于企业内部网络维护队伍的建设和成长。一个简单易用、功能强大的网络管理平台能极大的降低网络维护难度。从长远来看，企业加强对自身网络维护人员的技术培训仍必不可少，高水平的技术人员在网络规划、缩短故障排除时间方面的作用仍是网管系统所不能代替的。
提高网络的安全性。随着企业信息化的深入，越来越多的企业核心数据要通过网络来承载，如何保证机密信息在传递过程中的安全性，这对于企业来说至关重要。尤其是当企业网从内部局域网连接发展到和广域网互联的时候，任何网络设备或者解决方案的漏洞都会造成对企业很大的打击。
 

需求分析

MIRCOTECH 公司有7多个分支机构，一个在上海的总部. 各分支机构每天都有局域网的数据,监控的设备要和总公司沟通。MIRCOTECH 公司一直在寻找一种有效的性能价格比高而且实用的方案。如今，各种宽带上网方式迅速发展，基于Internet构建集团的VPN网络无疑是一种高性价比的方案。

该公司各分支机构基本上都具备连接Internet的能力，接入方式均为ADSL接入方式，分支机构通过PPPoE拨号上网，运营商分配一个公网地址；ADSL Modem由运营商配置，大都是桥接模式。

中心点采用HiPER 3300VF作为全国各分支机构的总VPN网关，采用ADSL动态线路接入。

由于大部分分支机构和总部的VPN网关使用的公网IP地址不固定，这就要求采用的VPN网关能支持动态DNS功能，以方便管理。

方案规划

从实际应用情况来看，一般是各地分支机构和总公司联系，各分支机构之间不相互通信，因此，网络结构采用星型，各个分支机构仍然使用原有的接入方式和线路，并且均通过VPN隧道与总公司连接。网络结构如图1所示。

图1：MIRCOTECH 公司VPN网络结构

产品选型

根据需求和规划，要求各分支机构使用的宽带接入比较复杂,既能支持ADSL接入，FTTB+LAN接入，也能支持Cable Modem接入，同时还可以实现共享上网。支持IPSec协议，能实现3DES加密和SHA-1认证；不管它们使用的是静态地址还是动态地址，均可实现IPSec，而且，支持以e-mail地址、域名、IP地址或者其他字符串的认证方式。如果运营商分配的是私网地址，还要求相应设备支持IPSec NAT穿透。另外，为了便于管理，如果运营商分配的是公网地址，相应设备还应提供DDNS功能，从而，当需要查看各分支机构的情况时，可在总公司通过telnet远程管理。

MIRCOTECH 公司希望各分支机构采用的VPN设备能够满足以上组网要求，而且还要实用、性价比高、稳定性好，能够快速解决碰到的组网问题。上海迈康信息科技有限公司的HiPER VPN安全网关，包括HiPER 2510VF、HiPER 3300VF等系列产品完全能够满足上述要求，它们具备灵活、强大的VPN功能，相关特点如下：

提供IPSec、L2TP/PPTP等VPN功能，它们可结合起来使用。支持客户端或服务器模式，支持使用动态地址构建VPN隧道，可实现网关到网关的连接和移动用户的接入。其具有以下重要特点：

l          支持自动IKE或者手动建立IPSec隧道

l          ESP和AH协议

l          3DES，DES和AES加密

l          SHA-1和MD5认证

l          主模式和野蛮模式

l          抗重播

l          支持IPSec NAT穿透

l          每个接口都可以支持VPN

l          支持星型连接和网状连接

l          VPN隧道两端无需固定的IP地址

  概述

具备多个分支机构的单位，分支机构往往需要和总部进行数据交换，如实现电子商务，财务软件互联等，简单经济的方法是通过VPN。如果总部只有一个线路，一旦该线路出现故障，各个分支机构就无法完成业务。本方案通过一种简单方便的方式实现了VPN隧道的备份，实现各个分支机构和总部中心服务器数据交换的不间断工作。通过本方案，也解决了各个分支机构上网的问题。

需求分析

上海电信下属某单位为了提高工作效率，需要建立一套内部电子商务系统，而该单位在全市有几十个分支机构，每个分支机构的数据需要实时传送到中心，而且，还需要一定的安全功能。由于组网的复杂性和费用，各个分支机构上网的连接方式不再是传统的DDN和帧中继的方式，各个分支机构的上网方式不尽相同，有通过电信ADSL连接Internet，也有通过FTTH连接Internet。因此，通过宽带接入实现VPN成为一种切实可行的经济选择。然而，需要建设的网络不仅能满足各个分支机构上网的需要，而且能实时向中心服务器传送各个分支机构的数据。如果在中心点采用单一的线路，一旦这个线路出现故障，下面各个分支机构就无法向上传送数据，将会严重影响业务的运行。因此，本着将线路故障造成的损失降到最低的目的，中心点再申请一个做为备份线路，在主线路出现故障的时候，各个分支机构可以通过备份线路将数据传送到中心服务器。

方案规划

该网络结构比较简单，也很清晰，各个分支机构可以通过各种方式连接到公共网络，如ADSL，LAN等。每个分支机构申请一个线路，运营商分配一个公网地址，使用一个可以支持L2TP或者IPSec over L2TP的VPN设备，该设备既支持将电子商务的数据传送到中心服务器，也支持分支机构上网的要求。传送电子商务数据的时候，可以检测到中心主线路失效时，能将VPN切换到备份线路。中心采用双线路接入，需要放置一台VPN服务器，该VPN服务器能支持双线路固定地址接入，不仅能支持从第一个口接入VPN隧道连接请求，还能支持从第二个口接入VPN隧道连接请求。

VPN协议可以选择的方式有

1、使用L2TP连接

2、使用IPSec over L2TP连接

第一种方式的优点是组网配置简单，带宽利用效率比较高，缺点是安全性不太高。第二种方式的优点是安全性高，缺点是配置复杂，带宽利用效率比第一种稍微有些下降。

网络连接的拓扑示意图如下：
 

由于每个分支机构的上网机器一般在几十台以内，地址规划的方式可以按照如下方式，分支机构1的地址192.168.1.0/24，分支机构2的地址192.168.2.0/24依此类推。总部中心机房的地址规划是192.168.200.0/24。

如果在各个分支机构已经有了网络，而且地址都已经设定，考虑到统一更改地址带来很大的工作量，为了避免某些分支机构使用相同的地址空间，因此，在配置分支机构的HiPER的时候，启用L2TP上的NAT功能，这样可以避免由于相同地址冲突带来修改的困扰。

 
上海迈康科技  021－51089657 | 24hour: 13816505269  QQ: 168470982  msn:  markcomtech@hotmail.com

HiPER 3300VF VPN 防火墙

HiPER 3300VF是为互联网应用开发的整合式VPN安全网关，集VPN、NAT、防火墙和流量控制等功能为一体。它具备高效的加密算法、优化的硬件设计及简单易用的管理界面，可以作为中小型企业VPN汇聚和接入的首选，方便地部署到网络中。双WAN口提供多出口的选择，实现线路备份和负载均衡。

产品特点：

灵活的VPN功能
具备IPSec、L2TP/PPTP等VPN功能，它们可结合使用。允许L2TP/PPTP/IPSec ESP透明通过，支持客户端或服务器工作模式，支持使用动态地址构建VPN隧道，可实现网关到网关的连接和移动用户的接入。最多可配置128条VPN隧道，并发40条。其IPSec具有以下重要特点：：

支持自动IKE或者手动建立IPSec隧道

ESP和AH协议

3DES，DES和AES加密

SHA-1和MD5认证

主模式和野蛮模式

抗重播

支持IPSec NAT穿透

每个接口都支持VPN

支持星型连接和网状连接

防火墙功能

防火墙策略可以实施到任何一个接口上。可防止入侵，防止DoS和DDoS攻击；可判别蠕虫病毒攻击，防止端口扫描、SYNC攻击、ICMP Flooding等。

流量控制

提供基于CBQ算法的IP QoS功能，能为指定主机或服务预留带宽、限制最高带宽，也能实现平均分配带宽，特别适合语音视频和数据混合的网络。

智能NAT和双WAN口

提供PAT及一对一的NAT功能，而且它们能同时使用。具备NATRe-routing功能，支持反向NAT，可设置多个内部网络服务器及DMZ主机。
具备实时备份功能，能实现多线路带宽合并，可根据源或目的地址指定优先线路，还可依据出口带宽分配流量，使线路利用率达最高。

管理和监控

提供WEB界面和命令行两种配置和管理方式；可动态监控和管理内网主机的上网行为，实时发现异常主机；提供标准的SNMP接口和系统日志功能；提供远程管理和监控功能。

关键特性

支持DSL，FTTX+LAN和Cable Modem连接，特别适合光纤接入

LAN口（内置4个交换式以太网口），1个WAN口和1个DMZ/WAN2口

LAN/WAN/DMZ支持正反线自适应，支持10/100M自适应

DMZ口支持对外的服务器连接，也可以作为第二个LAN口

支持快速转发，吞吐量最高可达200M，最多60K PPS

基于MAC地址的内网主机上行和下载速率限制

完善强大的DHCP（Server&Client&Relay）功能

支持端口镜像

基于端口的VLAN

支持UPnP

基于地址，协议和端口的包过滤

支持动态DNS

支持网络时间同步

支持时间段管理

支持MSN语音穿透

支持IP/MAC绑定

静态路由，动态路由RIP I和RIP II

详细规格：
外观尺寸：356mm*240mm*43mm

重 量：2 kg

工作环境：
温 度：0-40℃
高 度：0-4000m
相对湿度：10-90%, 不结露

电 源：
输入功率： 最大10W 正常 5W
交流电压（AC）：180～240V

支持的协议：
IP，TCP，ARP，UDP，ICMP，NAT，反向NAT，HTTP，IKE，ISAKMP

，ESP，AH，MD5，SHA-1，DES，3DES，AES，L2TP，PPTP，TFTP

，TELNET，SNMP，PPP，DHCP，触发式路由更新，PPPoE，PAP，

CHAP，SYSLOG

路由协议：
静态路由，RIP I和RIP II，负载均衡和备份，源地址路由

管理和配置：
WEB UI，CLI（串口和TELNET），Xport HiPER Manager

HiPER 4520VF VPN 防火墙

HiPER 4520VF是为互联网应用开发的整合式VPN安全网关，集VPN、NAT、防火墙和流量控制等功能为一体。使用新版本ReOS高效率的网络操作系统并采用了533Mhz的Intel IXP 425处理器，高效的ReOS软件结合Intel IXP处理器的高性能，使得HiPER 4520VF在吞吐量上达到极致，它通过硬件实现加密算法，配合简单易用的管理界面，可以作为大中型企业VPN汇聚和接入的首选，方便地部署到网络中。双WAN口提供多出口的选择，实现线路备份和负载均衡。

产品特点:

灵活的VPN功能
具备IPSec、L2TP/PPTP等VPN功能，它们可结合使用。允许L2TP/PPTP/IPSec ESP透明通过，支持客户端或服务器工作模式，支持使用动态地址构建VPN隧道，可实现网关到网关的连接和移动用户的接入。支持多达500条IPSec隧道和128条L2TP/PPTP隧道，其IPSec具有以下重要特点：
· 支持自动IKE或者手动建立IPSec隧道
· ESP和AH协议
· 3DES，DES和AES加密
· SHA-1和MD5认证
· 主模式和野蛮模式
· 抗重播
· 支持IPSec NAT穿透
· 每个接口都支持VPN
· 支持星型连接和网状连接

防火墙功能

防火墙策略可以实施到任何一个接口上。可以设置上网黑名单和白名单，也可以通过业务管理实现包过滤的功能。
在ReOS 6.0版本中，HiPER 4520VF的防火墙功能实现了七层过滤，可以对MSN，QQ等即时通信软件实现上网控制，如允许或者禁止登录，允许或者禁止通过即时通信软件玩游戏和传文件；可以实现BT和edonkey等野蛮抢占带宽的P2P服务的控制，允许或者禁止这些服务的使用，或者控制这些P2P服务的带宽。
在ReOS 6.0版本中，HiPER 4520VF实现了入侵检测的功能，如Port scan，Udp flood，Tcp sink，Icmp flood，ARP Spoof等攻击的防范。
在ReOS 6.0版本中，HiPER 4520VF实现了多个关键字的过滤、URL的过滤和站点的过滤。

流量控制

提供基于CBQ算法的IP QoS功能，能为指定主机或服务预留带宽、限制最高带宽，也能实现平均分配带宽，特别适合语音视频和数据混合的网络。而且，HiPER的CBT带宽算法可以对网络内部BT等P2P海量带宽占用起到抑制作用，以减少因为P2P使用对其他用户的影响。

双WAN口和智能NAT

HiPER 4520VF提供了一个WAN口和一个DMZ口，DMZ口也可以做为第二个WAN口。双WAN口具备实时备份功能，能实现多线路带宽合并，可根据源或目的地址指定优先线路，还可依据出口带宽分配流量，使线路利用率达最高，可以实现同时ADSL/光纤等方式的自由组合。
提供PAT及一对一的NAT功能，而且它们能同时使用。具备NAT Re-routing功能，支持反向NAT，可设置多个内部网络服务器及DMZ主机。

管理和监控

提供WEB界面和命令行两种配置和管理方式；可动态监控和管理内网主机的上网行为，实时查看内网主机的使用带宽，发现异常主机；提供标准的SNMP接口和系统日志功能。

在ReOS 6.0版本中，增加了使用策略库的方式来配置HiPER 4520VF。如可以通过导入策略库的方法来配置防止冲击波，通过导入策略库的方法来增加中国电信的路由表等。

关键特性

· 支持DSL，FTTX+LAN和Cable Modem连接

· LAN/WAN/DMZ支持正反线自适应，支持10/100M自适应

· 转发能力可达210 K PPS(64byte小包)

· 基于MAC地址的内网主机上行和下载速率限制

· 基于地址，协议和端口的包过滤

· 站点、关键字和URL过滤

· 支持网络时间同步

· 支持时间段管理

· 基于端口的VLAN

· 支持UPnP

· 支持IP/MAC绑定

· 支持DNS代理

· 支持动态DNS

· 静态路由，动态路由RIP I和RIP II

· 支持多个L2TP，PPTP穿透，特别是支持多个IPSec/ESP的穿透

详细规格：

外观尺寸：440mm x 260mm x 44mm

重 量：2 kg

工作环境：
温 度：0-40℃
高 度：0-4000m
相对湿度：10-90%, 不结露

电 源：
输入功率： 最大10W 正常 5W
交流电压（AC）：100～240V

支持的协议：
IP，TCP，ARP，UDP，ICMP，NAT，反向NAT，HTTP，TFTP，

TELNET，SNMP，PPP，DHCP，触发式路由更新，PPPoE，PAP，

CHAP，SYSLOG

路由协议：
静态路由，RIP I和RIP II，负载均衡和备份，源地址路由

管理和配置：
WEB UI，CLI（串口和TELNET），Xport HiPER Manager

HiPER 3100VF VPN 防火墙

HiPER 3100VF是为互联网应用开发的整合式安全VPN网关产品，集VPN、NAT、防火墙和流量控制等功能为一体。它具备高效的加密算法、优化的硬件设计及简单易用的管理界面，可以作为小型企业VPN汇聚和接入方案的首选，方便地部署到网络中。 支持ipsec.

产品特点：
灵活的VPN功能具备IPSec、L2TP/PPTP等VPN功能，它们可结合使用。允许L2TP/PPTP/IPSec ESP透明通过，支持客户端或服务器工作模式，支持使用动态地址构建VPN隧道，可实现网关到网关的连接和移动用户的接入。最多可配置16条VPN隧道，并发8条。其IPSec具有以下重要特点：

支持自动IKE或者手动建立IPSec隧道

ESP和AH协议

3DES，DES和AES加密

SHA-1和MD5认证

主模式和野蛮模式

抗重播

支持IPSec NAT穿透

每个接口都支持VPN

支持星型连接和网状连接

 防火墙功能
防火墙策略可以实施到任何一个接口上。可防止入侵，防止DoS和DDoS攻击；可判别蠕虫病毒攻击，防止端口扫描、SYNC攻击、ICMP Flooding等。

流量控制
提供基于CBQ算法的IP QoS功能，能为指定主机或服务预留带宽、限制最高带宽，也能实现平均分配带宽，特别适合语音视频和数据混合的网络。

智能NAT
提供PAT及一对一的NAT功能，而且它们能同时使用。具备NAT Re-routing功能，支持反向NAT，可设置多个内部网络服务器及DMZ主机。

管理和监控
提供WEB界面和命令行两种配置和管理方式；可动态监控和管理内网主机的上网行为，实时发现异常主机；提供标准的SNMP接口和系统日志功能；提供远程管理和监控功能。

关键特性

支持DSL，FTTX+LAN和Cable Modem连接，特别适合光纤接入

LAN口（内置4个交换式以太网口），1个WAN口

LAN/WAN支持正反线自适应，支持10/100M自适应

支持快速转发，吞吐量最高可达200M，最多50K PPS

基于MAC地址的内网主机上行和下载速率限制

完善强大的DHCP（Server&Client&Relay）功能

支持端口镜像

支持UPnP

基于端口的VLAN

基于地址，协议和端口的包过滤

支持动态DNS

支持网络时间同步

支持时间段管理

支持MSN语音穿透

支持DNS代理

支持IP/MAC绑定

静态路由，动态路由RIP I和RIP II

详细规格：
外观尺寸：279mm*165mm*43mm

重 量：1.3kg

工作环境：
温 度：0-40℃
高 度：0-4000m
相对湿度：10-90%, 不结露

电 源：
输入功率： 最大5W 正常 3W
直流电压（DC）：9V

支持的协议：
IP，TCP，ARP，UDP，ICMP，NAT，反向NAT，HTTP，IKE，ISAKMP

，ESP，AH，MD5，SHA-1，DES，3DES，AES，L2TP，PPTP，TFTP

，TELNET，SNMP，PPP，DHCP，触发式路由更新，PPPoE，PAP，

CHAP，SYSLOG

路由协议：
静态路由，动态路由RIP I和RIP II，源地址路由

管理和配置：
WEB UI，CLI（TELNET和串口），Xport HiPER Manager