东方华盾电信行业VPN解决方案

　　某电信公司是一家以经营数据通讯为主的单位，根据客户的具体需求，计划为用户推出一项新的数据业务。为用户的ADSL捆绑多个静态IP地址，把ADSL变成“准专线接入”。为了实现这个目标，需要采用基于包封装技术的VPN设备。针对该电信公司提出的项目需求，

　　我们提出以下的解决方案

　　方案的说明如下

　　（1） 电信机房使用两台高端VPN300硬件网关，配置为热备份方式工作。同时分配一个静态IP地址，作为整个VPN系统的中转中心。

　　（2） 使用一个WINDOWS 2000 server服务器作为安全认证中心。安全认证中心主要的作用是用于管理整个VPN系统。为各个VPN提供在线身份认证功能，同时能够监控全部VPN设备的状态。

　　（3） 电信公司给定一段静态IP地址，并且配置路由器，保证目标是这些静态IP地址的报文，能够转发到中心VPN设备。这些IP报文到达中心VPN设备以后，VPN300通过匹配隧道，转发给相应的客户VPN设备。

　　（4） 电信用户采用华盾VPN100设备接入。可以使用ADSL线路（RJ45接口桥模式接入）。如果没有ADSL线路，也可以采用其他连接方式，包括小区宽带、智能大厦的宽带接入等等。华盾VPN隧道能够穿透NAT和防火墙设备。

　　用户通过VPN100设备与电信建立通讯隧道。电信公司给用户分配一段静态IP地址。凡是访问这些IP地址的报文，能够正确地通过隧道转发给用户。

　　这个解决方案解决了以下的主要问题

　　（1） 静态IP地址的映射

　　静态IP地址可以通过VPN隧道映射到客户的机器上。可以映射2－255个地址。足以满足绝大多数用户的需要。

　　在客户系统上看来，一切效果和专线完全一致。

　　（2）接入方式问题

　　华盾VPN产品支持多种方式接入。不仅能够应用于普通的ADSL系统，也能够支持NAT方式。因此，客户即使不安装ADSL，其他的上网方式也能够实现该功能。

　　（3）可靠性

　　华盾VPN软件基于Linux内核设计，并且经过裁减。运行稳定可靠。硬件采用高可靠的工控机。整机完全能够满足7X24小时的电信运行模式。

　　另外中心VPN网关采用热备份方式运行。即使在一个VPN硬件出错的前提下，系统依然能够运行良好。

　　VPN系统有很强的容错性，即使丢包率大于65％以上，系统仍然能够维持隧道的畅通。有效保证了客户系统的可靠性。

　　（4）安全性

　　华盾VPN设备内置完整的防火墙。自身只作为网络设备转发IP报文，对外不提供服务，基于Linux内核的体系，各种蠕虫、病毒也不会攻击奏效。

　　通过正确配置防火墙规则，VPN设备对于用户网络能够提供很好的防护功能。