艾泰提供：最佳连锁VPN方案建议书

        2.1VPN 接入网关子系统

　　VPN 接入网关设备是整个 VPN 解决方案的核心部分，实现 Site-to-Site 的 VPN 接入，艾泰 USG/SRG  VPN 网关具有非常高的性能特性以及丰富的功能特性，支持防火墙、AAA、NAT、QoS 等技术；支持多种 VPN 业务，如 L2TP VPN、IPSec VPN、GRE VPN、MPLS VPN 等，可以针对客户需求通过拨号、LAN 或隧道等方式接入远端用户，构建 Internet、Intranet、Access 等多种形式的 VPN 网络。配合防火墙、AAA、NAT、QoS 等技术，安全网关可以确保在开放的 Internet 上实现安全的、满足可靠质量要求的私有网络。

　　VPN 接入网关子系统一般由总部 VPN 网关和分支机构 VPN 网关两部分组成：

艾泰 VPN 接入网关具有如下特点：

　　（1）支持虚拟多域技术

　　为了能够使得用户能够最大限度的使用网络设备资源，降低用户的网络构建成本，可以允许用户在一台 VPN 网关设备上支持多个 VPN 域, 每个 VPN 域可以定义为一个分支机构或一个部门, 并允许一台 VPN 网关设备下多个 VPN 域之间的 IP 地址重叠。这些域之间的 VPN 网络是完全隔离的。

　　（2）多种 VPN 技术融合

　　如上图所示，艾泰VPN 网关支持从 Internet 安全接入到 MPLS VPN 网络，通过一台VPN 网关设备的一个物理接口就可以为 Internet 上的众多分支机构接入到 MPLS VPN 骨干网中。用户认证通过 IKE 来提供，可以提供基于证书的方式，也可以采用pre-shared  key的方式。通过 IKE 认证就可以知道该 IPSec 隧道应该接入到哪个 MPLS VPN 中。艾泰   VPN 网关对每个 VPN 保持了独立的转发资源，从源头上就可以控制不同 VPN 用户之间无法互访。

　　（3）动态IP地址支持及 NAT 穿越技术

　　随着宽带应用的不断推广，中小企业使用 ADSL 上网的方式越来越多, 并且一般都是运营商动态分配的 IP 地址，这样就出现了一个问题，如何使用动态的 IP 地址来建立企业自己的 VPN 网络？艾泰 VPN 解决方案支持企业分支以动态 IP 方式地址接入，只需要配置自己的信息并指定总部的 VPN 网关就可以了, 不管其它分支设备怎么更改 IP 地址也都能够与之建立连接，进行互相通讯，同时用户也不用关心自己当前使用的 IP 地址是什么，更加适应现在动态 IP 地址的使用方式。

　　随着 Internet 网络的发展，IP 地址也变得越来越缺乏，因此当前许多 ISP 提供给用户的时候使用的是私网 I P地址，用户和外部进行通讯的时候需要经过 NAT 网关，NAT 网关的应用会给用户的业务带来一定的影响. 为了解决这个问题，IETF 专门为 IPSec 制定了“NAT 穿越（NATT）”协议草案，艾泰 VPN 解决方案涉及的产品都支持最新的 NATT 标准, 可以很好的解决私网 IP 地址通过 NAT 网关和其它节点建立起 VPN 网络。

　　（1）VPN 业务安全

　　VPN 的主要特点就是在公共网络构建一个属于企业自己的专用网络，使用了 VPN 技术之后企业内部的设备都在一个 VPN 网络内部，不管各个分支机构所处何地都像是公司内部网络，可以直接进行访问和数据传输。但是由于是在公网上传输数据，那么安全特性就显得尤为重要了，没有一定的安全机制，企业内部的数据在公网上就会被其他人所截取，企业内部的机器也将受到网络上其他设备的攻击，这样给企业将带来灾难性后果。