企业 IPSEC VPN 方案

上海设有公司总部，内有企业内部数据库服务器，供公司各分支机构查询使用。在全国各大区设有5个分公司，作为该大区的信息区域汇聚点，汇聚该区域内各子公司和合作伙伴的信息，并提供该区域内各子公司和合作伙伴的信息查询。

网络物理拓扑如下：

在上海公司总部使用一台相对高端的vpn设备作为公司的内部网的防火墙，利用期内带的VPN网关功能，为全公司提供VPN接入功能。
各区域分公司根据其下属子公司和合作伙伴的多少，选用vpn接入端设备作为公司防火墙和区域VPN节点。
各下属子公司、合作伙伴以及公司移动用户PC作为VPN用户按需连接上海总公司VPN节点或各区域分公司VPN节点。

VPN连接后，达到的网络逻辑拓扑如下：

各分公司可独立构成该区域VPN网，也可加入到总公司VPN网中构成全国性的VPN网。

企业利用Internet建立自己的IPSec VPN有许多便利条件：

1 经济
不再承担昂贵的固定线路的租费。连接长途分支时，采用Internet作为传输骨干是非常便宜的，但带宽却可以较高。

2 灵活
连接Internet的方式可以是10M、100M端口，也可以是2M或更低速的端口，还可以是便宜的DSL连接，甚至于拨号连接都可以连接Internet。可以连接到任意Internet通的地点，不受距离和运营商的网络限制。

3 广泛
IPSec VPN可以以低廉的价格连接少量的分支，也适合连接众多的分支。对社会保险行业、零售行业等众多的客户群，大量分支连接是IT部门领导头痛的事情。而IPSec VPN的核心设备的扩展性好，一个端口可以同时连接成千上万的分支，包括分支部门和移动办公的用户，而不需要SDH、DDN等一个端口对应一个远端用户。

4 多业务
远程的IP话音业务和视频也可传送到远端分支和移动用户，连通数据业务一起，为现代化办公提供便利条件，节省大量长途话费。

5 安全
IPSec VPN 的显著特点就是它的安全性，这是它保证内部数据安全的根本。在VPN 交换机上，通过多种方式保证层层安全。