【IT168 专稿】背景：

    江苏新华发行集团是一家大型文化企业集团。集团以江苏新华发行集团有限公司为核心企业，包括全省各市、县新华书店、省外文书店、扬州古籍书店共81家全资子公司，全省图书发行网点总数达888个。

    江苏新华发行集团非常重视信息化建设，到2002年已全面实现了业务管理和财务管理的信息化；集团总部及81家子公司的局域网建设也已初具规模。随着集团网络营销的发展和业务的不断扩大，构建一个高效、安全的广域网络系统是企业的发展的必然趋势。

    需求分析：

    近年来，VPN技术以其可以利用公共网络资源，建立安全可靠、经济便捷、高速传输的虚拟专用通道而引起了企业的广泛关注。随着信息化建设的深入以及各单位网络建设的广泛开展，VPN应用也逐渐显示出它的强大优势，基于ADSL等宽带接入的VPN解决方案得到了成功应用。

    小酷在本站论坛上常见到网友有关企业VPN需求方面的贴子，提的问题也比较深入，因此觉得VPN是现今企业实现广域联网的最好契机，它能以低成本实现安全联网的需求，而在这以前是租用昂贵专线才可以达成。本文将对江苏新华发行集团的VPN案例作为一个大型企业VPN联网方案的介绍。

    作为一个商业流通企业，连锁经营是新华集团面对竞争的非常好的选择。集团提出要充分发挥市场整合、仓储和发运能力方面的优势，把离散的、各自为政的各级子公司整合成更具有竞争活力的营销网络，通过企业网络神经系统的延伸，最终形成“市场一体化、信息一体化、库存一体化”的新型企业格局。集团总部及其子公司各自局域网虽已基本成型，但由于没有建立广域连接，导致总部不能及时掌握子公司的销售情况和配送信息，子公司不能及时了解总部的库存和配送情况。集团连锁营离不开一套健全的信息网络作为其中枢神经。新华集团在对各方面做了细致分析后，决定建设一个高带宽、低成本、安全可靠、覆盖全省的广域网系统。

    在我国的大型企业信息化建设中，各局域网建成以后，虽然能提高了各分支机构的营运效率，但还不能使集团化营运整体提高，必须建立起来跨区域联网。只有这样才能使整个集团的 “物流”、“资金流”、“信息流”真正运动起来，提高集团对市场的感应能力，进而提高企业竞争力。我们可以预见企业信息化建设的新一波浪潮将是企业基于VPN的“广域联网”的建设，一种低成本、高效益、安全的“广域网”。

    技术方案：

    华为3Com动态VPN星形组网

    新华发行集团整个广域网系统覆盖总部及其下属的81家子公司，采用华为3Com公司VPN综合解决方案。该方案中的网络由运营商的骨干网和集团的各个站点组成，方案是传统的第三层VPN的一种延伸，是可以构建在FDDI、ADSL、Cable Modem、ISDN、Modem等Internet接入方式之上的第三层VPN系统。所谓“延伸”就是VPN可以建立在如ADSL等只能获取动态公网IP地址接入上，称作为“动态VPN”。

    传统的第三层VPN要求VPN的双方必须有静态公网IP地址，双方地位对等，要明确知道各方的静态IP，并在本机设置详细的IP等参数。那么动态VPN又是什么呢？动态VPN是一种可以构建在ADSL，CableModem等各种使用动态IP的Internet宽带接入方式之上的第三层VPN系统。

    在传统三层VPN（IP VPN）组网方案中，一般采用GRE隧道、L2TP、IPSec等方式。这些方案存在一个弊端，就是必须事先配置好网关的VPN参数才能进行通信，当要建立一个一对一的连接的全网状VPN网络时，配置就会变得异常复杂。若其中任何一个节点的网关配置作了修改，那么其他所有节点都必须针对这台设备修改本地配置，这给维护增加了很大的难度。

    为此，华为3Com为此推出了“C/S（客户机/服务器）架构的动态VPN解决方案”。这个方案不但解决了大量VPN网关配置和管理的难题，而且还可以支持分支机构采用廉价高速的各类型宽带接入（动态公网IP），可谓一举两得。这给大型企业VPN组网带来一种灵活和低成本的解决方案。

    在这种动态VPN方式中，总部的路由器作为Server（服务器），其他分支的路由器作为Client（客户机），形成以Server为中心的星形VPN网络。每个Client需要在Server有注册信息，Server的任务是获得Client的注册信息，任何Client只需通过Server知道Server中其它节点网关的注册信息就能够进行通信。

    Client / Server方式动态VPN不需要知道其他Client网关的任何信息，只需要配置自己的信息并指定相应的Server就可以完成VPN配置。所以使用动态VPN时用户只需配置一次，不管其他Client设备怎么更改也能够进行通讯，同时用户也不用关心自己当前使用的IP地址是多少，适应了现在国内宽带接入获得动态IP地址的这种状况。华为3Com公司提出的动态VPN解决方案,不但使企业在动态IP地址上建立VPN成为可能，而且使用户付出较低的成本就可以享受宽带VPN带来的方便。下图为传统三层VPN与C/S动态VPN网络拓朴图比较。（见图1）

图1（点击看大图）

    新华集团的VPN方案实现和设备选型

    在新华集团总部，配置了两台Quidway NetEngine 05核心路由器，做为相互备份和均衡负载。在子公司，路由器采用Quidway R3680和Quidway R2621。

    总部路由器的接入为专线方式，基于两个方面的考虑：一是出于总部是业务处理的核心，要求有100%的线路稳定性；二是申请固定公网IP地址。

    分公司路由器的接入为宽带方式，有动态公网IP 。分公司通过华为3COM的“C/S动态VPN方案”，同时建立了两条隧道分别与总部的两台NE05相连。

    出差员工则可以用移动电脑通过拨号接入 Internet 后，通过VPDN （如 Windows2000 ， Windows XP 等操作系统自带）的支持，在集团企业端的 VPN 路由器通过员工资格认证后，建立从移动电脑到集团企业 VPN 路由器之间的 VPDN 连接。

    整个解决方案具有网络架构简单，利用公众网络可以大幅节省长途专线的费用，同时也使办事处员工的移动办公成为可能。该方案为新华集团构建了一个高可靠、高性价比的多业务网络平台。网络拓朴如下：（见图2）

图2（点击看大图）

    （1）总部VPN网关：

    Quidway® NetEngine 05骨干路由器是华为3Com系列路由器中的高端产品，具有先进的分布式转发体系结构和灵活的组网能力，它本身具有的边缘接入特性。产品致力于面向电信级运营网络和企业级核心网络，有强大的专线接入及VPN业务能力，提供丰富的业务，具备完善QOS和安全特性。（见图3）

图3（点击看大图）

    Quidway® NetEngine 05骨干路由器特性：

    高可靠性：主控板冗余设计，主备倒换实现零丢包率；2+1或1＋1电源热备份；接口备份、端口捆绑实现了链路的高可靠性；VRRP协议保证了设备间的可靠性；主控板及接口板均支持热插拔；整机实现7x24小时的不间断运行。
    高性能：分布式的转发结构，高性能的CPU配合自主知识产权的IP TurboEngine TM技术， NE05的整机转发性能超过1.6Mpps。
    安全性：支持包过滤防火墙及动态防火墙ASPF，支持用户的认证和路由协议的验证， 支持标准协议的IPSEC和IKE，支持华为IspKeeper抗流量攻击技术。
    路由处理能力：支持静态路由、RIP、OSPF、BGP、IS-IS等单播路由协议、策略路由和多播路由协议IGMP、PIM、MBGP、MSDP等。
    IPv6路由能力：全面支持IPv4和IPv6，提供丰富的IPV6协议。支持多种IPv4向IPv6的过渡技术：手工配置隧道、自动配置隧道、6to4隧道、NAT-PT、6PE等；支持IPv6静态路由，支持BGP4/BGP4+、RIPng、OSPFv3、ISISv6等动态路由协议；支持ICMPv6 MIB、UDP6 MIB、TCP6 MIB、IPv6 MIB等。
    业务能力：支持专线接入、PPPOE接入、PPPOA接入、PPPOEOA接入、以太网VLAN接入、Portal、Web认证、端口出租、DHCP RELAY、DNS、DLSW。
    强大的VPN业务能力：支持L2TP、GRE、IPSEC、FR、EOIP、IP透传、L3 MPLS VPN、L2 MPLS VPN等VPN业务，提供隧道融合与VPN互通，提供安全和多层次的MPLS VPN解决方案。
    高密度端口：NE05提供4个通用I/O槽位，单框最大负载能力为：8个155M POS接口，20个100M 以太网接口，64个E1/CE1接口。

    （2）分支VPN网关：

    Quidway R3680模块化中心路由器（见图4）是华为3Com公司面向企业级的网络产品，采用64位的微处理器技术，提供了极其丰富的业务特性，提供丰富的备份方案及QoS特性；采用模块化结构，具有更高的处理能力和更大的接入密度，既适合于在中小型企业网中担当核心路由器，也可以在大型网络中担当汇聚层路由器。电信级的设备，提供RPS冗余电源；高可靠性；采用更高主频的CPU，提升了处理性能；增加了MPLS、 ISIS、OSPF多进程等特性；提供备份中心技术、VRRP，大大提高网络可靠性。

图4（点击看大图）

    Quidway R2621模块化路由器（见图5）是华为3Com公司自主开发的面向企业级网络的产品，提供了丰富的软件特性，支持哑终端接入服务器功能，支持SNA/DLSw、VoIP特性等，提供丰富的备份方案及QoS特性；硬件采用模块化结构，在提供集成的高速以太网接口和同步串口的同时，又提供了丰富的可选配模块；既适合于在中小型企业网中担当核心路由器，也可以在一些大的分支机构中担当接入路由器。

图5（点击看大图）

    Quidway R3680/ Quidway R2621的共同特性：
    互连协议：以太网、桥、帧中继、X.25、HDLC、SDLC、LAPB、SLIP、PPP、PPP头压缩、MP、ISDN、PPPoE Client、按需拨号、拨号串循环备份、PPP/ISDN回呼、L2TP建立二层隧道、GRE建立三层隧道、宽带接入。
    网络协议：DHCP、VLAN、IPX、DLSw、RIP-1/RIP-2、OSPF、BGP、策略路由、组播、路由负载分担、地址借用、TCP报文头压缩、路由策略。
    网络安全：登录用户认证、RADIUS/Tacacs+认证/计费、IPSEC、IKE、硬件加密卡、防火墙支持对接口/时间段/MAC地址的过滤、高性能NAT。
    网络可靠性：接口/子接口间的物理层备份，虚链路/虚模板/拨号接口/逻辑接口间的链路层备份,动态路由实现网络层备份、VRRP实现设备层备份。
    配置管理：中英文双语、命令分级保护、故障诊断功能、RMON、SNMPv1/v2c/v3、系统日志、可通过FTP或TFTP进行系统升级。

    总结：

    业务效益的实现

    目前江苏新华发行集团的广域网建设已大部完成，实现了与苏南、苏中8个地区41家子公司，共计500多台终端的互联。

    运行结果表明，网络响应及时、运行稳定。各子公司和外出推销人员可以随时查看总部实时的库存信息，并可以根据自己的需要随时向总部申请配送。总部也可以及时了解子公司的销售情况，极大地增强了配送的有效性和及时性。

    新华集团表示：待网络全部建成后，还准备陆续开展财务联网管理、呼叫中心、视频会议系统、网络电话等新的业务。

    这将使这个VPN网络得到最大化应用，提高营运效率，降低成本，为企业带来极为强大的盈利能力。