背景说明

   NB 连锁药店为一小规模的连锁药店，老板小姜经过几年的努力，在同一个城市开设了三家分店。为了每天进行销售点系统的同步及财务结帐，拟采用VPN将城市中不同营业点加以联机，每个点可查询总店的库存，而总店每天可链接不同营业点的销售系统，作帐务的同步。

   由于每个药店都有2－3 台计算机，所以希望每部计算机都可通过局域网经ADSL上网，通过网络各药店中的销售系统可安全地连络到总店的服务器。所传送的信息必须加以保密，以免泄露给第三者。而小姜也希望在家中可以通过VPN进入总店的服务器，执行部份帐务的查询。

   由于小姜希望能以最经济的方式，把VPN建立起来，等到日后营业扩张，再升级到其他等级的设备，所以希望采用安全限制下，最经济的方案。

网络配置

   与老板小姜商量后，建议采取以下的配置：
   总店一台 VS-3020 作为防火墙兼VPN网关，总店用户通过 VS-3020 的WAN口/DMZ口，以2路ADSL上网，保证各分店的通畅接入；而各分店则采用VS-3020 作为上网网关兼VPN网关，以单路ADSL上网。小姜在家中，则可以笔记本计算机内建的Windows IPSec用户端软件，连接到总店的服务器。

   本配置采用IPSec VPN协议，IPSec VPN协议为公认最安全的协议。许多市面上的网络设备都支持，所以日后扩展不是问题。而IPSec提供的保密功能则可确保传输数据不会被中途拦截，遭受有心人士利用。

    在总店 VS-3020 的局域网交换端口可用来连接服务器，或向下连接交换机。

产品选型

    本方案全部选用 中电 VS-3020产品，单机用户则采用Windows 2000或更新版本上的VPN用户端软件。选用规格如下：

VS-3020：
  多功能VPN企业防火墙，采用Intel IXP533MHz网络处理器，功能强大适合中型组织。用于本案，可因应未来组织成长需要。主要功能为：

*  内建防火墙主动侦测技术, SPI,DoS,ActiveX,Java,Cookie Block 功能
*  1 10/100Mbps WAN + 1 10/100Mbps DMZ(WAN2)+ 1 10/100Mbps LAN
*  内建 Intel IXP420BD-533Mhz RISC CPU
*  支持无限人数上网以及ADSL 固接/PPPoE计时制/Cable Modem等皆可使用
*  通信协议TCP/IP,NAT,NAPT,PAT,DHCP,DDNS,Multi-DMZ,TFTP,IPSec等
*  支持封包过滤功能IP/MAC/URL Filter .(In-Out Filter Access Control)
*  支持MSN,ICQ,Game等网络应用, 使用多线下载分享软件不当机(EMule/Edonky..etc)
*  内建标准IPSec Server/Client ,支持DES(56Bit)/3DES(168bit) 100 个VPN 通道同时使用.
*  QoS带宽管理,可依照IP或是端口来限定保证带宽与最高带宽,网络使用更加畅通效率加倍

方案点评
  本方案以经济及防护性为重点，提供入门企业一个最基本的VPN建置方案，可供有志于尝试VPN网络的用户参考。