【51CTO.com綜合報道】隨著社會的發(fā)展，企業(yè)分支機(jī)構(gòu)的建立，客戶分布日益廣泛，合作伙伴也越來越多，這使得傳統(tǒng)企業(yè)網(wǎng)絡(luò)的功能缺陷越來越凸現(xiàn)，各公司均根據(jù)行業(yè)特點(diǎn)在企業(yè)總部部署如OA系統(tǒng)、ERP系統(tǒng)、財務(wù)系統(tǒng)、GIS地理信息系統(tǒng)等應(yīng)用軟件，將企業(yè)分布在各地的分支機(jī)構(gòu)和辦事處與企業(yè)總部互聯(lián)，達(dá)到安全地共享數(shù)據(jù)和軟件資源的目的。而最好的辦法就是建立VPN網(wǎng)絡(luò)，它可以為企業(yè)提供安全、可靠、經(jīng)濟(jì)、高效的數(shù)據(jù)實(shí)時傳輸和獲取體驗(yàn)。而這一切，都要得益于D-Link的網(wǎng)絡(luò)產(chǎn)品和解決方案。這里以黑龍江省公路橋梁建設(shè)集團(tuán)有限公司的VPN接入為經(jīng)典案例，向大家進(jìn)行介紹，并希望對其他公司有所啟發(fā)。

認(rèn)識VPN虛擬專用網(wǎng)

VPN，全稱為Virtual Private Network，即虛擬專用網(wǎng)。它可以利用公網(wǎng)資源，建立安全、可靠、經(jīng)濟(jì)、高效的傳輸鏈路。在VPN技術(shù)的支持下，位于不同地區(qū)的連鎖店只需分別接入當(dāng)?shù)氐幕ヂ?lián)網(wǎng)，就可以組成一個高效統(tǒng)一的VPN網(wǎng)絡(luò)。而且，在VPN下工作，公司總部和分去機(jī)構(gòu)就像在一個局域網(wǎng)內(nèi)工作一樣，在保持高速連接的同時，更能夠與領(lǐng)導(dǎo)和同事們實(shí)時協(xié)調(diào)工作，做到高效決策、快速處理，全面提升企業(yè)的核心競爭力。尤為重要的是，VPN網(wǎng)絡(luò)是十分安全的，信息絕對不可能被競爭對手所竊聽，更不會造成商業(yè)情報的泄露，全面保障企業(yè)的利益。所以，現(xiàn)在很多企業(yè)都已經(jīng)在使用VPN網(wǎng)絡(luò)了。

黑龍江省公路橋梁建設(shè)集團(tuán)有限公司背景

黑龍江省公路橋梁建設(shè)集團(tuán)有限公司成立于1983年，注冊資金8.24億元，具有承包境內(nèi)外公路工程和境內(nèi)國際招標(biāo)工程，以及境外工程所需設(shè)備、材料出口的資格。隨著企業(yè)業(yè)務(wù)的發(fā)展，公司對網(wǎng)絡(luò)建設(shè)的要求也逐步提高。

黑龍江省公路橋梁建設(shè)集團(tuán)業(yè)主需求

總部一般來說是企業(yè)信息存放、處理的中心，作為單獨(dú)的VPN網(wǎng)絡(luò)，內(nèi)部主機(jī)數(shù)量少，數(shù)據(jù)流量大，安全性和實(shí)時性要求高，交換能力、穩(wěn)定性和安全性都相當(dāng)重要，接入層根據(jù)企業(yè)的實(shí)際情況，應(yīng)用二層或三層交換機(jī)作匯聚。

同時，集團(tuán)員工經(jīng)常會出差，而且還可能會涉及到項(xiàng)目的財務(wù)等敏感信息，所以對于安全性要求很高，最好可以支持L2TP/IPSec協(xié)議。

公路橋梁建設(shè)集團(tuán)VPN接入方案設(shè)計(jì)

1.方案拓?fù)鋱D與設(shè)計(jì)

以下是本例黑龍江省公路橋梁建設(shè)集團(tuán)有限公司VPN的方案，主要拓?fù)鋱D和設(shè)計(jì)如下：

圖1 黑龍江省公路橋梁建設(shè)集團(tuán)有限公司VPN網(wǎng)絡(luò)拓?fù)鋱D

2.集團(tuán)總部配置

集團(tuán)總部采用了DI-7200路由器（如圖2），使整個系統(tǒng)穩(wěn)定高效安全地運(yùn)行，故障快速恢復(fù)。它可對上網(wǎng)行為進(jìn)行管理，支持網(wǎng)址分類過濾、P2P流量過濾、聊天軟件過濾等。同時，它還支持網(wǎng)絡(luò)攻擊防御（如圖3）。而且DI-7200還支持病毒檢測，在啟用此功能后，DI-7200可以記錄內(nèi)網(wǎng)嫌疑中毒主機(jī)。另外，用戶也可以自行設(shè)置嫌疑帶毒網(wǎng)站的IP或者域名，啟用阻止病毒網(wǎng)站訪問功能之后，將會阻止內(nèi)網(wǎng)主機(jī)對帶毒網(wǎng)站的訪問。

DI-7200支持防ARP欺騙，同時還可以“一鍵”綁定內(nèi)網(wǎng)中所有IP/MAC對應(yīng)關(guān)系，也支持“禁止未綁定IP/MAC的主機(jī)通過”，啟用該功能，未進(jìn)行IP/MAC綁定的主機(jī)將無法訪問DI-7200，能夠防止非法用戶“蹭網(wǎng)”，也確保了安全通信。

圖2 D-Link DI-7200 VPN路由器

圖3 DI-7200提供網(wǎng)絡(luò)攻擊防御功能

3.分支辦公地點(diǎn)配置

企業(yè)分支機(jī)構(gòu)一般指分布在全國各地規(guī)模中等的分公司，公司內(nèi)部建有中等規(guī)模的局域網(wǎng)，同時通過當(dāng)?shù)豂SP提供的寬帶接入互聯(lián)網(wǎng)。本案例中分支辦公地點(diǎn)采用了DI-7100路由器（如圖4），通過IPSEC隧道安全地接入集團(tuán)總部。

圖4 D-Link DI-7100 VPN路由器

DI-7100提供了多種形式的VPN功能，尤其值得一提IPSEC方式的VPN連接，這種VPN方式最大的特點(diǎn)就是擁有極高的安全性，它采用IP認(rèn)證標(biāo)頭（Authentication Header， AH)以及IP封裝安全裝載(Encapsulating Security Payload，ESP)對VPN隧道和數(shù)據(jù)進(jìn)行安全認(rèn)證和數(shù)據(jù)加密。IP AH提供數(shù)據(jù)的完整性和認(rèn)證，但不包括機(jī)密性，而IP ESP原則上只提供機(jī)密性，但也可在ESP標(biāo)頭中定制適當(dāng)?shù)乃惴澳Ｊ絹泶_保數(shù)據(jù)的完整性并認(rèn)證，對用戶的數(shù)據(jù)進(jìn)行最大程度的保護(hù)。

DI-7100還支持電信/聯(lián)通智能策略路由，實(shí)現(xiàn)了電信流量走電信、聯(lián)通流量走聯(lián)通，徹底解決互聯(lián)互通問題，這樣接入總部速度將會更快。

4.出差員工和移動辦公配置

對于出差或移動辦公配置的員工，可以使用DI-7100 VPN路由器提供的L2TP協(xié)議接入VPN，從而順利聯(lián)入總部，實(shí)現(xiàn)隨時隨地辦公，就像在辦公室工作一樣。

總的說來，采用此方案后，分支機(jī)構(gòu)和出差、移動辦公的員工可以與集團(tuán)總部實(shí)現(xiàn)隨時接入，隨時在線，無紙化辦公，移動辦公。最大限度地發(fā)揮公司應(yīng)用系統(tǒng)的效率，實(shí)現(xiàn)各分支機(jī)構(gòu)與總部像在同一間辦公室里一樣共享并同步應(yīng)用財務(wù)管理、ERP、OA系統(tǒng)，使公司管理更加統(tǒng)一規(guī)范，保證財務(wù)、物流、信息流的實(shí)時更新，確保公司財務(wù)高效、透明、安全、快捷，市場信息的及時傳遞，營銷方案的及時執(zhí)行，全面提高了工作效率 。