廉价的VPN专网互联解决方案

　　本方案以一个实际案例为基础，介绍一种采用较低价位的"嵌入式硬件安全网关"（如：sgw 20E/sgw10E）和"软件安全网关"相结合的VPN专网构造方案。该方案具有很到的性价比，特别适合对投入预算要求苛刻的用户采用。

1．方案目标

通过宽带运营商（在：本案例中是广电的宽带网）提供的宽带接入端口，在总部和几个分部间建立"虚拟专用通道"，确保在不影响原有网络应用和用户使用习惯的基础上，为用户提供透明的信息安全传输服务。同时，为用户提供防火墙服务。

2．方案详解

该方案是一种低价位的VPN专网构建方案，特别适合对价格敏感，对性能要求不是特别高的用户采用。

在上图的专网构建方案中，总局采用的是硬件的ADT安全网关，基于使用环境和性价比的考虑，建议采用SGW 20E。该型号安全网关的特点见该型产品介绍。

城域一级（4个点）采用SGW10E的硬件网关。

广域一级（15个点）则采用一种软件安全网关解决方案，具体的构成如下：安全网关客户端软件 + Wise ID + Sygate(一种代理软件，也可采用其他的代理软件)。关于"安全网关客户端软件"和Wise ID见相应的产品介绍。

如上图方案中，城域一级以上网络采用硬件网关，这样骨干系统非常稳定可靠，城域一级以上网络是完全融为一体的VPN专网，各个网络之间可以完全透明地安全地相互访问（当然，能否相互访问完全依据网关的配置决定）。各个广域一级网络中的PC都通过软件安全网关的代理，通过加密隧道接入城域一级以上网络，安全访问城域一级以上网络的内网资源。

注意，由于广域一级网络采用的是"代理软件+安全网关客户端软件"的软件安全网关解决方案，所以存在下面两个限制：（1）在城域一级以上网络看来，所有广域一级网络内网的PC都是通过那台运行在Win2000上的软件网关接入总部和城域一级以上网络的，所以城域一级以上网络内网中PC只能访问到广域一级网络的这台代理网关，而不能访问到广域一级网络内网中的其他PC。（2）各广域一级网络之间的内网不能相互访问。如果广域一级网络也采用硬件安全网
关则不会存在上述2点限制。

3．系统组成

1） 总局（1点）
SGW 20E

1套ADT网关网管软件和1套安全网关客户端管理软件。

2）城域一级（4点）

SGW 10E

3）广域一级（15点）

每个分部一套"安全网关客户端软件"和一个Wise ID，用户自己提供一台不低于P3-600/128M以上内存的Win2000 普通PC做网关。