需求分析

　　集团型企业随着自身业务的发展，在全国各地拥有众多分支机构，构建成了一个庞大的生产和销售网络。随着企业规模的扩大和业务的发展，越来越多的信息化建设项目如ERP系统等都将逐步在全公司全面推广与应用。集团企业不断面对着管理外地机构的高成本、应用系统和数据共享及信息传输安全等巨大压力，迫切需要一种使得驻外机构和外出办公人员都可以访问到企业内部关键数据的远程联网方案，随时随地共享商业信息，提高工作效率。

　　综合考虑投资成本、安全性等多种因素的同时，宽带网络的普及具备了较好的应用条件，所以整个集团的基础网络建设采用VPN(虚拟专用网)，在Internet基础上构建各分支机构及移动用户与总部的网络互联平台。

　　由于各集团用户经营方式以及与下属各分支机构关系的不同，集团客户通常有两种或多种组织架构，要求VPN网络能够满足不同的组织机构的需求，并且可以在多种价格间灵活、无缝切换。

　　作为国内领先的VPN研发产商，深信服科技的SINFOR M5100/S5100安全网关，就是一种能够解决集团型企业上述问题的高性价比方案。

　　VPN组网方案

　　基于集团架构的VPN网络架构

　　方案一:

　　集团希望实现总部对全国办事处、工厂等所有分支机构进行统一管理，可以采用以公司总部为中心的星型网络。如下图1所示，公司总部为整个VPN网络的中心，各办事处、工厂全部直接与总部网络互联。

　　方案二:

　　集团本身具有纵向、垂直的经营模式，则可以采用以公司总部为中心的三级网络。如图2所示，公司总部为一级中心，各大区分公司为二级中心、与总部网络互联，各大区下辖的办事处则接入各自所属的分公司网络。

　　总部-分公司

　　总部与分公司通过Internet构建VPN网络，实现总部与办事处之间的实时互访。

　　分公司-办事处

　　各办事处分别接入所属的分公司，网络结构清晰、并具备各自的接入权限和管理权限。

　　此种方案，满足了集团整体VPN网络架构的要求，根据集团经营模式实现总部与分支机构及分支机构间的VPN互联，构建完整的基础网络平台，并可根据权限的设定和网络拓扑的需要分别设定接入节点和对接入结点进行权限控制，增强公司基础网络的稳定性和可靠性。

　　移动用户在外只要接入Internet，就可以访问授权的网络，如总部或相关的分公司。

　　具体网络拓扑如下:

　　产品选型

　　深信服科技推出的SINFOR M5100，作为唯一一款同时获得2004～2005年“计算机世界”的年度产品奖和“中国计算机报”的编辑选择奖的VPN产品，是一款高性价比的硬件VPN/防火墙网关，适用于中型企业总部网络或大型企业的区域总部网络。

　　因此，对于集团总部网络，推荐采用SINFOR M5100硬件网关。它能够支持以任意方式接入Internet(如有固定IP的专线、动态IP的ADSL拨号等)。是一个高性能、高安全、高稳定性的集团企业级通讯平台，并集成了企业级防火墙和共享上网器及各项网络权限分配等功能模块，为远程用户提供安全、高效的接入手段。

　　异地分支机构可分两种情况:1、大型的分公司，需要为它的三级单位提供接入服务，可在网络出口处部署SINFOR M5100硬件网关，并且它和集团总部之间的联接不占用授权序列号;2、小型分支机构，可以在网络的出口处部署用于分支接入的安全型S5100硬件网关。S5100接入Internet后，便可以与总部局域网互连互通，如同在同一个办公室之内。

　　移动办公人员的操作使用更为简便，只需安装SINFOR移动客户端软件PDLAN，通过Mobile IP over VPN(移动IP)技术，能够获取总部局域网内的私网IP地址，访问总部局域网的“网上邻居”和相关资源，实现最便利的移动办公。

　　方案效果

　　在此VPN网络的基础之上，将集团总部、分支机构和移动用户连接成了同一个局域网，搭建了所有应用系统的互联平台，轻松实现数据流实时同步和远程办公、文件共享等功能。各种局域网内的应用都可以扩展到远程分支和移动用户。从而真正实现了集团范围内的系统共享化和信息一体化。

　　方案特点

　　1、稳定。集团企业需要选择一款稳定、可靠的VPN产品，以保障业务的正常运行。因为一旦由于VPN产品的故障而导致网络的中断，将严重影响业务的进行。深信服SINFOR M5100使用多种技术保证VPN网络的高度可靠性，目前已经大规模应用于数千家大型集团用户，承载着上万个网络的业务正常运行。

　　2、安全。SINFOR M5100硬件网关从四个方面确保安全性，第一，针对网络的安全保护，SINFOR M5100捆绑了企业级的防火墙，有效防止各种黑客攻击;第二，数据传输的安全性。SINFOR M5100安全网关集成高强度的加密算法，并可以进一步通过软件或硬件卡的形式进行加密算法的扩展，以实现对所有传输的数据进行加密，保证数据传输的安全;第三，接入的安全，除了标准的用户名、密码接入认证之外，同时提供硬件捆绑的接入认证-HARDCA硬件证书的形式(深信服科技发明专利之一)，对接入用户进行身份认证，确保接入用户的合法有效，即使用户名和密码泄露，也可以避免非法用户的接入;第四，接入之后的安全保障，SINFOR M5100硬件网关带有灵活细致的权限管理，能够给每个接入用户授权，指定特定用户访问局域网的特定资源，避免了病毒类文件的随意传播和越权访问带来的安全隐患。

　　3、高效。SINFOR M5100硬件网关所采用的流压缩技术，能够将网络的带宽利用率提高到130%，而其他VPN设备对网络的带宽利用率只能达到70%。对速度要求更高的用户，SINFOR VPN独有的带宽叠加技术(深信服科技发明专利)，能够将多条Internet的接入带宽叠加，提高VPN互联的速度，同时具有多线路备份功能，确保VPN通道不断线，持续畅通。

　　4、方便易用。SINFOR PDLAN 集成DKEY技术，可以将移动用户的安全策略存储在类似U盘的USB Key(又名DKEY)中。这样移动用户随身携带标识自己身份和存储了对应安全策略配置信息的DKEY，无需专业的网络技术和产品配置，即可以在任何一台电脑上安全地接入到总部。安装好PDLAN软件后，用户只需要插入DKEY，输入自己的密码就可以完成接入，实现了VPN客户端零配置，而在使用完后只需将KEY拔出即可,不用担心有任何的安全隐患,与使用银行信用卡在取款机上操作一样安全方便。

　　5、实现公司网络网状互联。如果集团具有纵向、垂直的经营模式，即可以将公司网络建立成多级互联和多网互联的网状通信平台。使得所有合法用户只需通过相应的授权便可以在全集团的网络上畅通无阻，实时、方便的应用公司所有资源，从而提高整体的工作效率。