深信服Sinfor集团用户VPN解决方案

    需求分析

　　集团型企业随着自身业务的发展，在全国各地拥有众多分支机构，构建成了一个庞大的生产和销售网络。随着企业规模的扩大和业务的发展，越来越多的信息化建设项目如ERP系统等都将逐步在

　　全公司全面推广与应用。集团企业不断面对着管理外地机构的高成本、应用系统和数据共享及信息传输安全等巨大压力，迫切需要一种使得驻外机构和外出办公人员都可以访问到企业内部关键数据的远程联网方案，随时随地共享商业信息，提高工作效率。

　　综合考虑投资成本、安全性等多种因素的同时，宽带网络的普及具备了较好的应用条件，所以整个集团的基础网络建设采用VPN(虚拟专用网)，在Internet基础上构建各分支机构及移动用户与总部的网络互联平台。

　　由于各集团用户经营方式以及与下属各分支机构关系的不同，集团客户通常有两种或多种组织架构，要求VPN网络能够满足不同的组织机构的需求，并且可以在多种价格间灵活、无缝切换。

　　作为国内领先的VPN研发产商，深信服科技的SINFOR M5100/S5100安全网关，就是一种能够解决集团型企业上述问题的高性价比方案。

　　VPN组网方案

　　基于集团架构的VPN网络架构

　　方案一:

　　集团希望实现总部对全国办事处、工厂等所有分支机构进行统一管理，可以采用以公司总部为中心的星型网络。如下图1所示，公司总部为整个VPN网络的中心，各办事处、工厂全部直接与总部网络互联。

　　方案二:

　　集团本身具有纵向、垂直的经营模式，则可以采用以公司总部为中心的三级网络。如图2所示，公司总部为一级中心，各大区分公司为二级中心、与总部网络互联，各大区下辖的办事处则接入各自所属的分公司网络。

　　总部-分公司

　　总部与分公司通过Internet构建VPN网络，实现总部与办事处之间的实时互访。

　　分公司-办事处

　　各办事处分别接入所属的分公司，网络结构清晰、并具备各自的接入权限和管理权限。

　　此种方案，满足了集团整体VPN网络架构的要求，根据集团经营模式实现总部与分支机构及分支机构间的VPN互联，构建完整的基础网络平台，并可根据权限的设定和网络拓扑的需要分别设定接入节点和对接入结点进行权限控制，增强公司基础网络的稳定性和可靠性。

　　移动用户在外只要接入Internet，就可以访问授权的网络，如总部或相关的分公司。

　　具体网络拓扑如下:

　　产品选型

　　深信服科技推出的SINFOR M5100，作为唯一一款同时获得2004～2005年“计算机世界”的年度产品奖和“中国计算机报”的编辑选择奖的VPN产品，是一款高性价比的硬件VPN/防火墙网关，适用于中型企业总部网络或大型企业的区域总部网络。

　　因此，对于集团总部网络，推荐采用SINFOR M5100硬件网关。它能够支持以任意方式接入Internet(如有固定IP的专线、动态IP的ADSL拨号等)。是一个高性能、高安全、高稳定性的集团企业级通讯平台，并集成了企业级防火墙和共享上网器及各项网络权限分配等功能模块，为远程用户提供安全、高效的接入手段。

　　异地分支机构可分两种情况:1、大型的分公司，需要为它的三级单位提供接入服务，可在网络出口处部署SINFOR M5100硬件网关，并且它和集团总部之间的联接不占用授权序列号;2、小型分支机构，可以在网络的出口处部署用于分支接入的安全型S5100硬件网关。S5100接入Internet后，便可以与总部局域网互连互通，如同在同一个......