我有二臺NetScreen-5GT，分別在二個不同的網絡，請問連接VPN要怎麼配裝，一邊是ADSL，沒有固定IP，另一邊是光纖，有固定IP 1 QT"c %W@  
謝謝！

你为什么用繁体字,难道是台湾或香港人?

呵呵，我也想知道，加吧

怎样设置VPN？能举个案例一步一步地说明么？

答：VPN的设置很简单，只要所有要联网的分部有宽带上网的条件即可，每个分部用一台VPN网关（硬件产品），VPN网关一般都有一个WAN（广域网口）口，一个LAN（局域网口）口，WAN口接ADSL猫，LAN口接分部局域网的交换机，每个分部和总部都是如此，通过IE游览器进入VPN网关的设置界面，如：在IE的地址栏里输入VPN网关的IP地址192.168.1.1，即进入设置界面，在里面输入ADSL的上网用户名和密码，同时在VPN设置里输入VPN连接的用户名和密码（还有对方的公网IP或域名), 这样，分部或总部的局域网通过VPN网关共享上网，同时也建立的VPN的连接，你可以访问INTERNET的同时去访问任意分部局域网中的任何一台电脑，如：查找对方计算机的名字或在IE里输入要查找的计算机的IP地址，或者在IE里输入总部服务器某个应用程序的的IP即可运行。 下面我们举个实际应用的例子逐步设置VPN： 客户背景及网络环境 北京恒信兴业有限公司是一家制造性的企业，公司注册资金2000万，是生产油罐类使用的液位仪的一家高科技公司，公司总部在中关村数码大厦，其生产基地在辽宁朝阳，在沈阳，北京，上海，广州，乌鲁木齐，包头，济南都有销售部门。北京总部的网络环境为一大型规模LAN，共有电脑150台，网段为192.168.10.x,10M光纤宽带，生产基地和各市的销售分公司为ADSL宽带或城域网，局域网规模都为中等，电脑为20－－100台。 客户需求 公司为提高工作效率和管理方便，计划以VPN的方式把各个网络连接在一起，在此平台的基础上运行C/S结构的OA系统和U8财务系统，并且为节省长途话费，在此平台上还要运行VOIP系统。 方案实施 我们选用专业的VPN设备------VPN的GW系列来架设VPN平台，在北京，考虑到总部的局域网的规模较大，所有的电脑都要通过VPN网关共享上网，同时又是各分公司连接VPN时所有数据的汇总点，所以我们选用了中高端配置的GW2000型号的VPN网关，GW2000从硬件的CPU,内存，到软件的VPN通道数和VPN的吞吐量都可以胜任公司的需求。辽宁朝阳，沈阳，北京，上海，广州，乌鲁木齐，包头，济南由于局域网规模较小，同时考虑公司费用的问题，在以上分公司的局域网分别架设低端配置的GW 200型号的VPN网关设备。GW系列VPN网关内建FIREWALL和路由功能，对于客户来说无需学会复杂的设置，不用担心ADSL上网IP地址变动的问题，产品本身做了最优化最安全的设置，并采用独创的VDN技术，只要接入INTERNET，马上就可以和其他的局域网联接在一起，从而使所有分公司的局域网和总部连接成一个大的局域网（每个局域网的网段必须不在同一网段），这样，大家的工作就等于在一个局域网内工作了，可以运行各种系统，如上海分公司IP地址为192.168.1.2用户在电脑IE地址栏中输入192.168.10.18,就可以访问北京总部IP地址为192.168.10.18的OA服务器。

. 纯软件VPN和硬件VPN有什么区别，哪个更好？

. 答：VPN是一种技术，软件和硬件只是这种技术不同的表现形式。所以，仅以软件或是硬件来衡量产品的优劣意义不大，用户应该从技术层面比较不同的产品，即便VPN产品的表现形式相同其技术实质可能差别甚远，例如都有VPN功能，但高端的Cisco VPN设备和低端的带有VPN功能的共享上网器在技术含量上差距就非常大。 单纯的软件或硬件VPN现在都缺乏竞争力。目前主流的VPN产品都在向软、硬结合的方向发展，以适应更广泛的用户选择。

VPN 协议比较

IPSec/GRE与PPTP的比较 目前有一些软件的VPN产品，基于PPTP协议。 PPTPPPTP（Point?to?Point Tunneling Protocol）是点对点的协议，基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法，或者使用Microsoft的点对点加密算法MPPE。 而L2TP（Layer 2 Tunneling Protocol）是 L2FP（Layer 2 Forwarding Protocol）和PPTP的结合，依赖PPP协议建立拨号连接，加密的方法也类似于PPTP，但这是一个两层的协议，可以支持非IP协议数据包的传输，如ATM 或X.25，因此也可以说L2TP是PPTP在实际应用环境中的推广。 无论是PPTP，还是L2TP，它们对现代安全需求的支持都不够完善，应用范围也不够广泛。事实上，缺乏PKI技术所支持的数字证书，VPN 也就缺少了最重要的安全特性。简单地说，数字证书可以被认为是用户的护照，使得他（她）有权使用VPN，证书还为用户的活动提供了审计机制。缺乏数字证书的VPN对认证、完整性和不可否认性的支持相对而言要差很多。 IPSec基于PKI技术的IPSec协议现在已经成为架构VPN 的基础，它可以为路由器之间、防火墙之间或者路由器和防火墙之间提供经过加密和认证的通信。虽然它的实现会复杂一些，但其安全性比其他协议都完善得多。由于IPSec是IP层上的协议，因此很容易在全世界范围内形成一种规范，具有非常好的通用性，而且IPSec本身就支持面向未来的协议——IPv6。总之，IPSec还是一个发展中的协议，随着成熟的公钥密码技术越来越多地嵌入到IPSec中，现在，该协议会在VPN世界里扮演越来越重要的角色。 由于IPSec必须在端系统OS内核的IP层或节点网络设备的深层以实现，所以IPSec的密钥管理协议是IPSec需要进一步完善的问题。 除了它定义的IP传输的加密机制外，IPSec还定义了IP OVER IP隧道模式的包的格式，这也就是通常指的IPSec隧道模式。一个IPSec隧道是由隧道客户和隧道服务器组成的。它们都使用IPSec隧道和协商加密机制。 IPSec兼容设备在OSI模型的第三层（网络层）提供加宇航局、验证、授权、管理，对于用户来说是透明的（即在应用层不用作任何事情），用户使用时和平常无区别。密钥交换、核对数字签名、加密等都在后台自动进行。 下图是一个典型的IPSec数据包的格式。 ） IP包头 AH包头 ESP包头 上层协议（数据） 另外，为了组建大型VPN，需要认证中心（CA）来进行身份证和分发用户公共密钥。 IPSec可用两种方式对数据流加密： 隧道方式：对整个IP包加密，使用一个新的IPSec包打包。这种隧道协议是在IP协议上进行的。因此不支持多协议。 传输方式：原IP包的地址部分不处理，仅对数据净荷（data payload）进行加密。 IPSec支持的组网方式包括：主机之间、主机与网关、网关之间的组网。这里网关指执行IPSec的路由器或防火墙。 IPSec还对远程访问用户支持。同时还有一整套保证用户数据安全的措施，利用它建立起来的隧道具有更好的安全性和可靠性。IPSec可以和L2TP、GRE等隧道协议一同使用，给用户提供更大的灵活性和可靠性。 GRE GRE(通用路由协议封装）是由Cisco和Net-smiths等公司于1994年提交给IETF的，标号为RFC1701和RFC1702。目前有多数厂商的网络设备均支持GRE隧道协议。 GRE规定了如何用一种网络协议去封装另一种网络协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义，允许用户使用IP包封装IP、IPX、AppleTalk包，并支持全部的路由协议（如RIP2、OSPF等）。通过GRE，用户可以利用公共IP网络连接IPX网络、AppleTalk网络，还可以使用保留地址进行网络互连，或者对公网隐藏企业网的IP地址。 GRE协议的主要用途有两个：企业内部协议封装和私有地址封装。在国内，由于企业网几乎全部采用的是TCP/IP协议，因此在中国建立隧道时没有对企业内部协议封装的市场需求。企业使用GRE的唯一理由应该是对内部地址的封装。当运营商向多个用户提供这种方式的VPN业务时会存在地址冲突的可能性。 三层隧道协议比较 第三层隧道与第二层隧道相比，优点在于它的安全性、可扩展性及可靠性。从安全的角度来看，由于第二层隧道一般终止在用户网设备（CPE）上，会对用户网的安全及防火墙技术提出较严竣的挑战。而第三层的隧道一般终止在ISP的网关上，不会对用户网的安全构成威胁。从可扩展性角度来看，第二层IP隧道将整个PPP帧封装在报文内，可能会产生传输效率问题；其次，PPP会话会贯穿整个隧道，并终止在用户网的网关或服务器上。由于用户网内的网关要保存大量的PPP对话状态及信息，这会对系统负荷产生较大的影响，当然也会影响系统的扩展性。除此之外，由于PPP的LCP(数据链路层控制)及NCP(网络层控制)对时间非常敏感，IP隧道的效率会造成PPP会话超时等问题。第三层隧道终止在ISP网内，并且PPP会话终止在RAS处，网点无需管理和维护每个PPP会话状态，从而减轻系统负荷。 第三层隧道技术对于公司网络还有一些其他优点，网络管理者采用第三层隧道技术时，不必在他们的远程为客户原有设备（CPE）安装特殊软件。因为PPP和隧道终点由ISP的设备生成，CPE不用负担这些功能，而仅作为一台路由器。第三层隧道技术可采用任意厂家的CPE予以实现。使用第三层隧道技术的公司网络不需要IP地址，也具有安全性。服务提供商网络能够隐藏私有网络和远端节点地址。

. 我想通过ADSL组建VPN网络，但是ADSL是动态IP地址，你们的产品支持动态的IP地址么？

. 答：可以。VPN GW系列完全支持基于动态IP地址上组建VPN网络，这个问题用户完全不用去考虑，只要要连接VPN的网络能上宽带就可以，且是任何宽带接入方式都可以。

你们是怎样解决ADSL动态（PPPOE)或城域网私网IP地址连接的问题？

答：目前VPN联网解决动态IP方式有几种，一是采用DDNS的技术，即用户去提供这类服务的服务商注册一个域名如：http://xxxx.3y3.cn，这个XXXX就是你注册的域名，在VPN CLENT要连接VPN SERVER时要输入公网的IP的地方添上你注册的域名即可，VPN连接的时候，客户端先发送连接请求到你注册的域名服务器查找总部VPN SERVER的公网IP地址，然后建立 VPN的连接。二是我们提供类似于域名服务商提供的服务，我们叫VDN服务，即VPN厂家在电信和网通都放置了十几台VDN SERVER组成集群系统，用户在使用我们产品的时候输入VDN SERVER颁发的LICENSE，VDN SERVER时时发送信息告诉每个VPN网关对方的IP地址，此信息只针对IP地址的变换，用户在VPN连接的时候所有的数据传输并不经过VDN SERVER，这样保证了数据的安全。第二种方式时专业的VPN网关设备采用的，对用户来说，只用做简单的几个动作：在VPN网关里输入ADSL用户名密码－－－在VPN网关里输入LICENSE(我们一般提前输入好）－－－接入公网－－VPN连接成功。目前两种方式的VPN产品和服务我们都提供。

. 如果我不购买VDN SERVER(VPN2500/5000)，那么作为服务商，你们如何保证长期稳定的提供这项服务？

. 答：首先，我们公司在电信和网通都放置了十几台VDN SERVER组成集群系统，任何时候，一旦有server发生故障或是某运营商的网络发生故障，我们的产品将自动切换到其他可用的VDN SERVER，因此您不用担心VDN服务器稳定性。 其次，我们和这些网络运营商都签署了二十年以上的长期合作协议，并支付相应款项。在该协议中止之前，这项服务都将持续提供。

基于IPSec协议的VPN CDAM/GPRS路由器的应用领域有那些？ 1、 在无法用有线上网的条件下（ISDN、ADSL、DDN专线、Cable modem等），用InRouter系列产品，同时可实现VPN功能。 2、 为有线的网络做备份，以保证业务交易正常进行。 3、 远程视频监控系统中的应用。 4、 用于银行ATM机交易，代替原有专线上网成本高和受地域条件限制的因素。 5、 远程对PLC（可编程控制器）和RTU（远程采集传输设备）进行数据的传输、查阅和管理以及控制。 例如：A、水和污水处理 B、电力 C、热网 D、环保 E、石油和煤矿气管网 F、智能交能 G、基础设施 总之，在能够提供电源且无各种线路接入公网，并且要安全地传输数据都可以采用我们的产品。

CDMA VPN设备实现的VPN网络与联通VPDN的比较 比较列表 CDMA VPN设备实现的VPN功能 联通VPDN UIM卡 普通数据卡 特殊数据卡 对网络运营商的依靠性 一般 完全依赖运营商 网络中心的运营费用 经济 较昂贵 网络中心的实施费用 无 较昂贵 网络中心的设备成本 一般 昂贵 网络中心是否需要AAA服务器 不需要 需要 网络中心是否需要重新申请专线 不需要 需要 远端CDMA路由器费用 较高（具有VPN功能的路由器） 一般（普通CDMA路由器） 远端CDMA设备运营费用 正常（可根据具体流量定制） 较高（每点需承担固定的接入费用） 对系统实施的难易程度 简单 复杂 对系统维护人员的要求 低 高 安全性 高 高 网络扩展性 简单方便、低成本 复杂繁琐、高成本 实现整个系统的成本 经济 昂贵（是CDMA VPN路由器方案成本的两倍以上）