集团VPN设备功能

CISCO VPN客户端软件的安装和使用说明为保证VPN广域网上业务系统的正常使用，原则上，当一个单位的员工有20人以上都需要访问集团公司的VPN资源时，必须通过硬件VPN设备以网关到网关的方式接入集团公司VPN广域网。

对于少量的、个别用户，可以通过CISCO VPN 客户端软件，以软拨号的方式接入集团公司VPN广域网。

软拨号方式与硬件网关方式相比，其缺点是：1、需要在各个计算机终端安装CISCO VPN客户端软件，受Windows操作系统的影响，该软件可能会安装不成功；2、每次访问集团公司VPN资源都需要输入用户名、密码建立VPN隧道，而且要求用户必须定期更改密码；3、VPN软客户端受Internet线路影响很大，所建立的VPN隧道稳定性相对较差。

另外，由于所有的操作，比如VPN 隧道的建立、数据的加解密等操作都由软件来完成，因此对计算机的性能要求较高；4、大量软客户端同时和硬件VPN网关建立隧道连接时，会影响VPN网关的性能，尤其是当并发用户数达到1200个时，将严重影响CISCO VPN网关的性能。

CISCO VPN客户端软件支持 Windows98及以后的版本。

对于Windows XP,至少需要128M的内存，同时还需要50M的磁盘空间。

在开始安装以前，需要使用具有管理员权限的账号登录本地计算机，该软件只支持本地安装，不支持通过网络安装。

一、软件安装打开VPN安装软件，双击setup.exe；等待程序运行，然后点击“Next”；继续点击“Next”；程序开始安装，出现语言选择提示，选择“English”，然后点击“OK”；继续点击Next；选择“I accept the license agreement”,然后点击Next继续；选择文件安装路径，如需修改的话，点击Browse选择具体路径，默认安装路径为C盘；点击NEXT继续开始安装；点击Finsish，系统会出现一个提示框，要求重启计算机。

集团VPN网络建设规划根据集团目前的网络环境及信息化应用情况，对公司VPN网络搭建的规划和建议如下：一、公司目前网络现状:1.联网方式：公司总部及项目公司使用光纤独享方式连接互联网，售楼处一般采用共享小区宽带或ADSL拨号上网方式；2.公司总部已经开通OA办公自动化、邮件系统、CRM、财务等系统的应用,目前这些系统均运行在公网上，信息传输的安全性及稳定性无法保障。

二、为什么需要搭建VPN网络1.从安全方面考虑：网络供应商提供的光纤、ADSL传输平台没有经过加密处理，重要数据和信息均是以明文在网上传输，如果有人利用网络监听分析工具，极易篡改、窃取甚至破坏企业数据，给公司造成损失；由于传输平台没有访问控制和安全隔离的功能,给外部非法人员提供了入侵的机会；2.从管理方面考虑:公司处于高速发展阶段,将拥有越来越多的项目公司和计算机设备,面临比较紧迫的问题就是信息的汇总、项目公司和公司总部的信息交互以及员工上网行为的控制及管理。

光纤、ADSL 等组网方式由于本身的技术限制,不可能提供强大的管理平台，也不可能解决大规模的应用和管理问题。

3.从经营角度考虑：公司需要一个实时的、安全的、高速的、快捷的、稳定的信息交互平台，来满足企业信息频繁传输的需要,提高企业的工作效率，加快企业的信息化建设，适应公司的快速发展，提升企业的良好形象。

三、建设方案及费用：目前企业建设VPN网络时较多会选择＊＊**，上网行为管理一般选择***＊：1.＊**＊:全球领先的网络设备供应商,其VPN产品可以实现公司间的网络连接，但不具备上网控制及流量管理功能。

2.**＊*:国内应用较广泛的上网管理设备供应商，产品具备上网控制和流量管理功能,可以满足公司应用需要。

3.连接方式及采购方案:4.设备采购清单:四、网络管理功能的优势:1、上网行为管控：对网页、QQ和MSN、网络游戏的登录访问进行限制和控制；2、有效利用带宽:对电驴、迅雷等各种P2P下载软件进行控制,保证网络带宽；3、提高安全性：可以屏蔽钓鱼网站和进行内容过滤，降低病毒感染几率;4、流量管理：通过带宽的有效利用，保证网络的正常运行.五、VPN网络实现的功能：1.为总部及各项目公司提供OA及邮件系统、售楼系统、财务系统等服务,建设覆盖整个公司的VPN网络.2.保障公司总部及各项目公司安全、稳定的信息交互;3.方便出差人员移动办公，可以上网的地方就可以使用；4.可以设定用户不同的访问权限，保障公司数据安全；5.通过实施上网行为控制及流量管理,提高办公效率。

某某集团VPN安全方案在此次XXX集团网络系统的安全建设中，网络安全的部署将依据应用业务的具体需求进行安全体系设计。

我公司将根据此次公司XXX集团业务运营的具体需要，进行详尽合理的网络设计，提供一个高可靠性、高安全性的网络安全体系。

1.网络建设整体方案建议在这部分中，我公司将根据公司XXX网络运营现状和具体发展需要提出完整的网络互连和系统安全解决方案。

1.1 网络建设需求分析当前XXX集团总部在上海，共有20多家分支企业，由于系统运营的需要，要求20个分支企业和总部进行安全网络通信。

由于专网费用过于昂贵,因此建议采用VPN技术构建集团的虚拟专网。

根据现在的网络情况来分析，各分部有两种网络数据访问模式：1．本企业到Internet网络的连接，需要访问互联网信息。

2．本企业到总部的数据下载、上传等保密数据的交互。

根据以上公司系统业务运营模式和数据交换方式，其网络建设的重点要完成各分部到总部的专网连接和各部访问Internet的双重目标。

1.2 网络建设原则在本次公司XXX网络安全设计方案中，我们将遵循以下网络设计原则：1. 切合实际应用，满足业务运营要求。

2. 提供简单、实用、完整的网络运营体系。

3. 充分考虑公司XXX网络运营的未来发展4. 充分考虑公司XXX网络建设整体投资5. 提供方便、完善的网络运行监控和管理功能1.3 网络建设方案根据以上的现有网络运营情况和具体业务要求，我们推荐XXX集团网络安全系统利用YISHANG（浙大网新）YISHANG高性能的防火墙设计构筑XXX集团的VPN网络。

在本方案中,我们充分利用IP VPN的网络技术,在原网络模型上完成各总部上Internet和业务数据保密传输的要求。

VPN是近年出现的一种新技术，它为企业的私网互连和上Internet提供了完整的解决方案。

企业连接远程网络最直接的方法就是使用专线，但问题很多，最主要的如费用昂贵、维护困难、接入点的选择不灵活以及多节点连接的困难等。

集团V网产品描述集团V网是将集团成员组成内部语音通信专网，网内成员通话可享受相应的优惠资费。

产品特点1、内部通话优惠：集团客户通过组网，实现集团网内移动手机互打优惠，节省通信成本。

2、双号呼叫，自由选择（VPMN）灵活的编号方案（短号码），即在呼叫时会显示短号码；3、费用可控，计费灵活对集团内部成员间的通话可采用单价、包月制、套餐制、费率制(暂不具备)等灵活计费方式。

灵活的话费控制和帐户管理；灵活的呼叫权限控制（vpmn）；可使用96951业务。

4、形象统一，便于管理（VPMN）提供完备的集团管理流程（如集团管理接入号、集团话务员、集团管理员、网外号码组、集团及用户状态管理、业务管理、灵活控制集团及成员权限），便于企业进行管理。

深层应用：集团用户可将其内部成员的手机和PBX分机组成一个共同的集团网，实现集团内所有电话（包括手机和PBX分机）的统一短号码编制，相互间可通过短号吗进行呼叫，集团内部分机还可直拨中国移动通信的IP电话。

使用本业务带来的好处适用对象：有内部通话需求的客户群体或需要对内部通话进行有效管理的集团客户，例如：金融行业、贸易行业、物流行业、零售行业等。

1、保证通信质量，节省办公成本组网可使网内移动手机互打享受打折优惠。

特别适用于内部通信需求多的企业或集团。

2、短号功能便捷通信针对办公的地点分散，如跨省、跨国的集团群体，重点推介通过VPMN业务短号功能：短号拨打方便。

可自行编号（如总经理10开头，01表示主任，则如短号显示1001接受者就知道是总经理办公室的电话），对已有固话分机的集团客户，也可将短号设置成分机号码，解决公司人员多，机构复杂，电话号码难于管理的问题。

业务办理如果您有意购买相关产品和服务，或者想进一步了解该产品的具体资费标准和优惠措施，敬请垂询中国移动客户服务热线10086或联系您的客户经理或前往当地中国移动公司营业厅集团客户专区/专席。

主要客户目前中国移动福建公司集团客户使用率超过80％。

双重线路备援VPN 打造信息化矿业集团——Qno侠诺QVM系列应用河南黄金矿业集团案例一、企业背景河南黄金矿业集团是国家黄金产业的重点单位，集开采、冶炼等项目于一身的大型企业。

集团公司总部设在三门峡市，外省及市下属各乡镇辖括多家分公司和生产单位，企业的分布网点多且地域广泛，业务交流频繁。

随着近几年市场经济的更加深化和国家对国有大型企业的深入整合，为企业带来了广阔的发展机遇。

业务量的持续提升使公司内部数据处理与外部的信息交流不断加大，所以迫使黄金矿业集团对自己的VPN网络进行升级和改造，以适应未来巨大的发展空间。

二、网络需求分析Qno侠诺工程师对黄金矿业集团的业务经营需求和原有网络进行了详细的调查之后，其VPN网络需求分析如下：1、河南黄金矿业集团是国有大型企业，其分公司和下属机构较多。

所以，网络除了要满足企业总部与各分支点互联实现信息共享，还必须满足跨网连接功能，以消除“网络系统服务中断”或“跨网VPN不稳定”给企业带来的影响，提高企业的运作效率；2、分支点多必然导致传输数据较大，在要求高数据转发率的同时，稳定性必须有充分的保障，因此网络设备一定要具备VPN备援功能；3、由于集团经营的业务种类繁多、数量极大、范围广阔，而且需要通过VPN网络进行处理的信息和数据繁杂，如财务数据、业务统计、销售业绩、库存状况等，管理起来非常麻烦。

因此，网络的简单配置、管理与维护就显得极为重要。

4、基于未来发展因素的考虑，在VPN网络的功能扩展性方面也有较强需求，以实现多功能的组合应用，例如：满足VoIP视频电话、会议等；5、为了保证VPN网络顺畅运行，在充分安全的基础上，管制员工一定的占用带宽的网络应用（如QQ、迅雷、BT），QoS是必备功能；6、所有的网络应用功能能够实现的前提下，网络架构的成本也是企业考虑的重要因素。

所以，性价比一定要符合总体功能需求和成本预算。

三、具体方案策划及拓扑图企业网络的总体架构：在总部、下属公司与各支点之间建立一个VPN局域网，使得总部及分部能够在一个复杂的互联网络中，进行业务数据的安全传递。

集团VPN部署方案介绍集团财务信息化采用的是VPN+Citrix+金蝶K3的模式，其中VPN总部采用SinforM5100VPN/防火墙网关产品,其部署图如下：集团VPN部署图下属企业建议采用两种VPN方案接入公司总部：1.采用pdlan移动客户端实现单点接入总部；2.采用SinforS5100实现企业局域网整体接入总部。

1、采用pdlan移动客户端实现单点接入此方案适用于8人以下VPN应用的下属企业。

需要在每台VPN应用的PC机上插入Sinfor公司的VPN移动模块（USBKey）和安装Pdlan软件。

Internet的接入方式可采用ADSL+宽带路由器+交换机此方案的互联网接入类型是ADSL拨号方式，这种方式目前有中国电信，中国网通，中国铁通在提供，方案的特点是只要有电话线接到的地方，就可以方便快速地组网。

但在这里由于我们Citrix的应用采用的中国电信深圳IP城域网，所以下属企业的ISP（因特网服务提供商）一定要选择中国电信，需要的网络设备有：ADSL（一般情况下都是局方提供），宽带路由器，交换机。

我们可先看这个方案的网络拓朴图。

（见下图）在这个方案中，ADSLMODEM一般会是局方提供。

其提供的ADSLMODEM会比较好一些，因为它是大批量的采购，价格上有优势；另外，技术也比较成熟了，所以用户可以放心使用。

宽带路由器的作用。

宽带路由器相信大家都已经非常熟悉了，它的出现也是针对家庭级、SOHO级和中小型企业应用的网关设备。

它集成了路由、交换、安全等功能于一体，相对小型用户来说已经非常强大，而价格远远低于用作网关的服务器和传统路由器，完全可以在一般应用中代替这些网关设备。

它基于WEB方式的配置操作界面对用户来很方便，不需要专业网管人员，就能轻易配置各种网络接入类型的网络参数，安全选项，互联网应用。

宽带路由器一般的标准端口配置是有一个WAN口，四个交换口。

对于家庭用户来说，交换端口够用；但对微型企业来说可能会不够用（特别是企业的成长，会不断有人员加入），所以可以再购买一个16口或24口的交换机（如本案例）。

虚拟专用网业务VPN（600）1. 600业务概述虚拟专用网业务VPN（600）允许业务用户利用公共网建立自己的专用网，该专用网可以有自己的编码，可以跨地区或跨国家。

通过VPN，专业用户可以享受到类似公用网的服务。

典型的VPN虚拟专用网可以提供专用CENTREX、全网专用号码、网内专用小交换机信号的透明传送、异类专用交换机接口、蜂窝网接入、与其他专用网接口、处理超量电话流的装置以及电话屏蔽等服务。

2. 600业务功能虚拟专用网业务VPN（600）业务可以实现以下功能：●同一VPN内的用户可以互相呼叫（网内呼叫）。

●除了可以实现网内呼叫外，还可以对VPN以外的用户进行呼叫（网外呼叫）。

●可以实现远端接入功能。

即一个VPN用户可以在任何非本VPN的话机上呼叫VPN用户（远端接入呼叫）。

●一个VPN用户可以把呼叫的费用记在规定的帐号上。

●可以实现呼叫前转功能。

●缩位拨号在VPN用户呼叫网外用户时，为了减少所拨号码，用户可以使用缩位拨号，缩位号码为1位。

缩位号码可以整个VPN群共用一个，也可以是每个VPN成员定义的一个自己的缩位拨号表。

具有缩位拨号性能的用户一定是有权进行网外用户的VPN用户。

但是同一VPN内用户则不采用缩位拨号。

●闭合用户群VPN的用户归属于某一个用户群，这个群内的用户只允许在群内进行呼叫，既不允许闭合用户群用户呼叫闭合用户群以外的用户，也不允许闭合用户群以外的用户呼叫闭合用户群的用户。

●同时，也可以设定一定的权限，只有有权限的用户才可以不受限制对网外用户进行呼叫。

●可以进行呼叫筛选包括可选的网外呼叫阻截和网内呼叫阻截。

客户可以利用这项功能决定可以在网内或从远端接入进行，如只允许进行国内呼叫。

●限制同时呼叫次数，超过限制次数，系统不予接续。

●可以通过话务员登录对呼叫进行分配。

客户可以选择向用户提供标准和定制的话音通知。

如可向拨打某个号码的用户发出“欢迎使用XXX公司的专用网”的录音通知。

1 产品简介1.1 VPN通讯支持VPN SERVER ，VPN CLIENT；采用IPSEC 安全机制；使用3DES(168位加密)数据通讯；支持IKE(Internet Key Exchange)协议。

支持密钥的自动更新，同时可保证会话密钥的完美向前保密；支持DYNAMIC DNS ，支持无固定IP的应用；支持穿透NAT功能；认证算法采用MD5 SH-1 ，PRE-SHARED KEY；可支持800条IPSEC通道，可组成网状连接；支持VPN通道自动恢复功能。

1.2 防火墙保护网络地址转换(NAT)；带宽平均，对多个用户，可自动平均分配各条线路带宽，对同一级别的用户，会自动平均分配带宽。

URL地址的限定；限制站点的访问，过滤不需要的网站；MAC地址绑定，用户认证 (Authentication) ；只允许有授权的访问；虚拟主机，端口映射功能；可提供管理服务器群的负载平衡能力；流量带宽控制及优先级设置；按您的需求管理流量；预防DoS，扫描，嗅探式攻击；日志。

1.3 其它支持集团用户的多级复杂网络服务器赠送一年动态DNS 账号支持DMZ支持电话线，ADSL等上网方式断线自动连接DHCP服务对内部网进行动态IP地址管理提供SNMP服务，方便集成管理内置流量监视器全部配置基于WEB页面，安全(SSL)连接模式，一个非专业人士几分钟内就可以安装完毕全面支持H.323协议，建立VOIP易如反掌1.4 VPN SEC 系列用途简介对于局域网（LAN），有着非常广泛的应用，一个企业内部的各台电脑之间可以实时的共享文件、数据库等各种信息资源。

但对位于的不同的地理位置之间的分支机构，或是企业的移动办公用户，又如何来构建一个更大的局域网呢？建立虚拟专用网VPN（ Virtual Private Network）越来越成为人们的重中之选。

利用Internet建立虚拟专用通道，通过加密，实现安全可靠的信息传输。

从而不必再设专线，既方便安全又节省费用。

以下描述针对于集团层面综合VPN的建设方案进行补充描述，该补充基于综合VPN项目组完成的《综合VPN业务技术方案》，省层面综合VPN技术方案可参考集团层面综合VPN技术方案，根据自身网络实际情况，选择合理可行的技术方案。

1. 建设方案分析以下的描述主要在于分析采用何种方式实现综合VPN 业务的触发，同时约定同振功能不作为综合VPN 业务属性，而作为本地层面开展的一种业务。

无论何种方案在业务层均新建跨固网、C 网的综合业务平台；在业务触发方式和交互协议方面有如下四种建设方案。

放音设备的建设方案见下一节。

1.1 方案一：DC1 SSP+INAP 1.1.1 方案描述z 固网业务触发点为现网DC1 SSP ，只触发主叫业务，作被叫时不触发业务；C 网为目标网，业务触发点为端局MSC （GMSC ）/SSP ，C 网VPN 用户作主叫、被叫都触发到业务平台。

z VPN 业务平台与固网之间采用INAP 协议；平台与C 网之间采用WIN 协议。

1.1.2 组网图WI NW I NW I N1.2 方案二：DC1 SS+INAP1.2.1 方案描述z固网业务触发点为八大区的现网DC1 SS，只触发主叫业务，作被叫时不触发业务；C网为目标网，业务触发点为端局MSC（GMSC）/SSP，C网VPN 用户作主叫、被叫都触发到业务平台。

z VPN业务平台与固网之间采用INAP协议；平台与C网之间采用WIN协议。

1.2.2 组网图话务连接信令连接固网业务触发话务路由固网业务触发信令路由1.3 方案三：DC1 SS+SIP1.3.1 方案描述z固网业务触发点为八大区的现网DC1 SS，只触发主叫业务，作被叫时不触发业务；C网为目标网，业务触发点为端局MSC（GMSC）/SSP，C网VPN 用户作主叫、被叫都触发到业务平台。

z VPN业务平台与固网之间采用SIP协议；平台与C网之间采用WIN协议。

话务连接信令连接固网业务触发话务路由固网业务触发信令路由MRS1.4 方案四：CDMA (G)MSC+WIN1.4.1 方案描述z由C网MSC（GMSC）/SSP负责所有固网、C网业务的触发——其中固网业务触发时，固网汇接局根据VPN业务接入码路由至C网GMSC，由C网GMSC负责业务触发，只触发主叫业务，作被叫时不触发业务；C网为目标网，业务触发点为端局MSC（GMSC）/SSP，C网VPN用户作主叫、被叫都触发到业务平台。

集团用户VPN接入网解决方案组成一个属于自己的互联网络一直是集团用户的长远需求和追求目标，尤其在当前信息已作为一种生产要素的情况下，如何快速获取信息已变成集团用户需要解决的重要课题。

由于传统互联网络(拨号PSTN、DDN、FR、N-ISDN)存在缺陷，始终没有能为集团用户构建起一张安全、可靠、高速的能实现语音、数据、视频一体化传输的综合性网络。

集团用户强烈的信息网络化需求，促进了VPN网络技术的快速发展，目前已出现了较为完善和可行的解决方法。

一集团用户的业务需求(1) OA办公需求: 主要是完成日常办公作业，进行近距离或远距离的快速数据交换与传输，从而达到提高办公效率和缩小日常开支的目的。

如公安单位，需要网络为其实现网上户口申报，案件通报，事故处理，信息公告和查询等业务。

通过网络可以使分布在各地的用户如在同一个虚拟办公室内办公。

(2) 主营业务需求: 部分集团用户对网络的依赖程度相当高，其主营业务必须在网络中得以实现。

比如银行，网络为其承担着储蓄、信用卡、电子汇兑、代收代付和一户通等业务。

网络已成为企业经营十分重要的组成部分，主营业务网络化需求远远超过了用户的OA办公需求。

(3) 语音的需求: 集团用户内外部的电话联系一般租用电信的PSTN，但申请多条电话模拟线路需花费企业许多资金，尤其长途话费更是昂贵，因此建立一个属于自己的内部语音通信网络的需求日益迫切。

(4) 视频的需求: 集团用户已不满足对纯数据业务的需求，有形的视频图像已成为企业十分有效的管理方法和手段。

如银行系统需要各重要部门的保安监控，公安、交警需要实时的场所、道路监控等等。

二集团用户对网络的需求越来越多的集团用户希望构筑属于自身的宽带VPN网络，他们对网络的一般要求是:(1) 宽带的网络: 集团用户过去多采用传统方式(拨号PSTN、DDN、FR、N-ISDN)组网，由于传统网络窄带的限制，使许多的增值业务无法顺利开展，并且传输速率过慢，使工作人员对网络信心不大。

连锁酒店VPN解决方案一、背景介绍随着全球经济的发展和人们对旅游的需求增加，连锁酒店行业迅速崛起。

然而，随之而来的网络安全问题也日益突出。

为了保障连锁酒店的网络安全，提高数据传输的可靠性和私密性，VPN（Virtual Private Network，虚拟专用网络）成为了一种常见的解决方案。

二、VPN解决方案的优势1. 数据传输安全：通过VPN建立的加密连接，可以保护敏感数据不被黑客窃取或者篡改。

2. 网络隐私保护：VPN可以隐藏用户的真实IP地址和位置信息，保护用户的隐私。

3. 跨地域连接：连锁酒店分布在不同地区，VPN可以实现不同酒店之间的安全连接，方便数据共享和管理。

4. 成本效益：与传统的专用路线相比，VPN建设和维护成本更低，适合中小型连锁酒店。

三、连锁酒店VPN解决方案的实施步骤1.需求分析：根据连锁酒店的规模、分布情况和业务需求，确定VPN的具体功能和性能要求。

2.网络设计：根据需求分析结果，设计VPN的网络拓扑结构，包括总部和各个分支酒店之间的连接方式、设备布局等。

3.设备采购：根据网络设计方案，选购适合的VPN设备，包括VPN路由器、防火墙等。

4.网络部署：按照网络设计方案，进行VPN设备的安装、配置和调试工作，确保VPN网络的正常运行。

5.安全策略制定：根据实际情况，制定VPN的安全策略，包括访问控制、加密算法选择等，以保障数据的安全性。

6.用户培训：对连锁酒店的员工进行VPN使用培训，提高员工对VPN的认识和操作技能。

7.监控和维护：建立VPN网络的监控系统，及时发现和解决网络故障，确保VPN网络的稳定性和可靠性。

四、连锁酒店VPN解决方案的应用案例以某连锁酒店集团为例，该集团拥有多家酒店分布在不同城市。

为了保障酒店之间的数据传输安全和管理的便捷性，他们采用了VPN解决方案。

1.网络设计：总部和各个分支酒店之间采用了站点到站点的VPN连接方式，通过IPSec协议进行数据加密和隧道建立。