上海锦江旅馆VPN网络应用案例

目前，"锦江之星"已在国内多个城市开设有多家连锁店，将来在全国和东南亚范围内共有包括公司总部、业务分中心、地区分公司及连锁店在内的近200个左右的节点。其需求如下：

1）、总部能安全、实 时地与业务分中心、各连锁店传输相关数据信息；

2）、订房中心和各连锁店之间能够安全、实时地交换所需的相关订房数据信息；

3）、总部能对外提供邮件和WEB等服务。

4）、要能在适应公司网络结构的不断变化的同时，保证其数据的安全传输，因此，网络的构造要具备灵活性、易定制性。

总部（订房中心、备份中心）：使用VPN3005B接入Internet。VPN3005B上做SNAT（源地址转换）使总部（订房中心、备份中心）内部用户可以通过VPN3005B访问Internet。做DNAT（目的地址转换）使Internet网络上的用户可以访问总部的WEB、MAIL等服务器。可以在VPN3005B上做访问控制列表，以达到灵活控制内部用户访问Internet和阻止恶意Internet用户访问公司的WEB、MAIL等服务器的目的。下属每一个连锁店均与总部（订房中心、备份中心）各建立一条VPN隧道。以便通过该VPN隧道安全的访问公司内部特定的服务器。

连锁店：使用VPN3005B接入Internet。办公区PC分配固定IP，以便利于管理和使用。在VPN3005B上做DHCP服务器。为旅客区的用户动态分配IP。由VPN3005B做SNAT使用户可以通过该设备访问Internet。通过配置访问控制列表来控制用户对网络的访问。每个连锁店的VPN3005B都和总部、订房中心、备份中心建立各自的VPN隧道。通过该VPN隧道访问公司的内部指定服务。在VPN3005B上使用QOS方案来限制对Internet的访问流量，以保证正常办公的使用。

同时，"锦江之星"的所有相关VPN设备均可在中国电信的VPN网管系统中登陆入库，进行统一的链路状态监控及管理。

方案特点

1）总部自身具有功能完善、易于扩充的接入网络；

2）各连锁店能方便、可控地访问总部应用；

3）总部具有VPN扩展能力；

4）总部所在地外的各连锁店能以VPN接入总部；

5）总部所在地用户能够访问Internet；

6）总部所在地能设立Web Server 和Mail Server等；

7）各连锁店能够访问Internet，也可由防火墙等设施进行访问控制；

8）该方案对今后的网络安全整体架构具有兼容性及包容性，相关防病毒、IDS等安全设施均可无缝接入。

相关文章