qno

1

昆明某汽车连锁销售VPN网络方案

一、网络需求分析

随着信息化的发展，许多连锁经销商已经实现总部及远程连锁店店内仓储、物流等系统

串连，使企业整体运营流程能更快速的反应，在竞争激烈的行业中脱颖而出。总部与分公司、

分公司与二级分点、以及与供应商之间的安全通信及信息交换，又能最大限度地保护原有投

资，方便、快捷地建立起一个跨地区的企业应用网络呢？VPN技术以其可以利用公网资，建

立安全、可靠、经济、高效的传输网络。如果连锁企业建立VPN网络，可以在广域网环境下

传递各种数据报表，建立和局域网环境下相同的多种应用，包括分布式OA、分布式ERP、分

布式CRM、分布式财务管理、分布式SCM等等。另外，企业也可通过VPN网络开展远程

VoIP电话、远程视频会议、远程视频监控等，实现良好的多点沟通及管控。

昆明某汽车连锁销售分公司，为了将本部网络与总公司和各个二级销售网点连接起来，

对其规划的VPN网络应有如下几点总体需求：

网络中心端方便集中管理：需要能够实时准确地获取总部及分点的各种数据，以便及时

调整各项策略，快速反应市场需求。这就需要各分支外点与总部中心端进行连接，实时反馈

运营信息汇整到总部进行数据分析。面对众多不同性质规格的分支外点，总部需要能够集成

多种接入的方式、并讲究高效能的运转性能，以应付众多外点的接入。管理面上也需要简易

方便的设计，让总部中心端在进行有效的整合管控工作时，能够相对减轻网管维护的负担。

分支外点简易部署有弹性：企业众多分支机构一般没有网管人员，加上每个分支机构的

性质规模、上网方式多不相同，提高了分支外点建置的复杂度。因此，连锁外点寻求的是最

好可以在不需要作任何联机和管理的动作，就能轻松实现快速、有弹性的进行部署，以满足

不同地点，不同上网方式需求的联网方案。

数据、网络的安全要求：对于连锁行业来说，各点间信息的实时性、交互性要求非常高，

连带的信息传输的安全性是不容忽视的。传输过程中数据被窃取和侦听所造成的损失是不可

估计的。账号意外泄露、计算机被非法使用、恶意的网络攻击等等都显示着连锁行业网络接

入安全性需要得到有效保证。

网络成长的可扩展要求：在信息化如此强势的今天，国内连锁销售行业区域集中扩张和

跨地区扩张战略并举，随之而来的网络扩展，也成为连锁行业要考虑的问题之一。连锁行业

所追求的网络建置方案，是需要能满足现在及未来几年，甚至更长时间的企业需求。

2

二、VPN网络解决方案

根据以上的需求分析，结合其分公司欲将总公司VPN和分点VPN线路分开的要求，侠诺规

划出的VPN网络解决方案拓扑图如下：

分公司网络中心端和二级销售外点采用不同规格的侠诺QVMVPN设备，利用其多WAN的特

性将线路1和线路2分开，保证网络传输和通信的快速畅通；利用内网VLAN划分的特性，

将内网和外网分开，结合内置的防火墙可确保其网络安全；侠诺QVMVPN产品均通过国际

VPNC标准认证，保证了它与公司总部其他VPN设备的兼容性。

三、功能特点：

SmartLinkVPN：是Qno侠诺为了解决IPSec配置困难，所开发的特有协议。它有IPSec的安

全性，配置上却像PPTP一样容易，只需要输入用户名、密码、服务器IP即可快速完成VPN

建置，也是适合网段对网段的联机。具备中央控管功能，通过总部路由器管理界面，分支外

点的VPN联机状况一目了然；也可远程登入各分支外点的路由器界面进行管控，有助网管集

中管理、免于奔波轻松管理。支持VPNHub功能。各分支外点与总部中心点联通后，可以让

分点间经由中央总部实现互联互通，不需建立独自的联机，简化管理，更能节省资源。通过

VPNHub功能，不同运营商电信网通线路还可经由总部中央点进行转换，可优化VPN跨网联

3

机，大大增加VPN的稳定度及响应速度。支持VPN备援，一旦掉线可从其它广域端口重建

隧道，加强稳定度。

多WANVPN：支持多网VPN，让位于电信的外点通过电信线路建立VPN隧道，而位于网通

的外点通过网通线路建立VPN隧道，解决跨网带宽受限，大幅增加VPN的稳定度及响应速

度。支持VPN带宽管理，通过协议绑定，分流VPN联机与其它联网，保证VPN带宽。可将

内部ERP、CRM、SCM系统等重要应用服务及VoIP网络电话或视频会议服务集成在特定线

路VPN里，可获得带宽保证与稳定联机，排除因线路造成的联机不通或通话质量不佳的问题。

支持动态IP环境，提供QnoDDNS、3322及DynDNS等DDNS服务，即使使用ADSL取得动

态IP，也可让用户以记域名的方式来存取服务器，方便实现架设虚拟服务器、建立企业VPN

网络及远程登入管理的目的。并支持DDNS备援功能，可设置多套DDNS服务，互为备援，

有助VPN联机稳定。

整合多广域网线路集中管理：内建多WAN端口，可提供多条广域网线路接入集中管理。具有

带宽汇聚、线路备援、负载均衡、电信网通策略路由等亮点，主要可起到节省成本、稳定联

机的优点。另外，预留WAN口也提供将来企业规模扩充时使用，以便增加带宽和添加机器。

支持带宽汇聚，可以多条ADSL取代光纤，汇聚线路增加带宽，降低运营成本。支持多线负

载均衡功能，依企业不同的需要，进行联机数或IP负载均衡，优化对外带宽使用。支持策略

路由功能，可自动分流电信网通线路流量，保证联机反应快速，网络运行稳定。支持自动线

路备援，一条线路掉线，会自动改用另一个WAN端口的线路连接，确保联机不掉线。

智能带宽管理：可针对用户分群组管理，方便网管进行不同性质用户的管理。带宽管理及防

火墙功能都支持群组功能，网管进行配置也简单方便。支持带宽管理，以设定联机数、关键

字、最大或最小带宽等方式，有效限制带宽占用，防制BT、P2P及视频下载等大量占用带宽

问题。另外针对宽带线路资源较大的环境，更简便的管理方式是采用Qno侠诺独有的动态智

能带宽管理SmartQoS功能，简化用户配置，针对实际网络带宽使用情形来决定是否启用带宽

管理，或是对大流量用户才进行限制其带宽。可依需要设置启用时间及流量门槛，于高峰时

段及带宽占有达到设定门槛后，自动启动进行带宽管理，网管不再需要一一查找监控占用带

宽用户。内建二次逞罚功能，可针对连续占用带宽用户，进行全面网络包检测，加以抑制。

对于一般未大量占用带宽用户，则不进行检测，可有效节省拥塞期间带宽管理工作对网络处

理器的工作负担，带宽管理效能也大幅获得提升。

网络安全防攻击防火墙：内网用户众多，不可避免的会发生黑客、蠕虫病毒、ARP、DOS等

各式攻击，防火墙、防病毒攻击的安全防护功能是绝对必要的。Qno侠诺多WAN安全路由器，

内置高级防火墙，进行数据包双向过滤，有效防止冲击波、木马等病毒。内置“ARP攻击防御

能力”，无须藉由其它软件即可进行ARP攻击防制。通过内网计算机及路由器IP/MAC地址绑

定功能，固定网关ARP列表，确保有效防止ARP病毒攻击。免费提供侠诺专用ARP客户端

自动绑定软件，用户无需自行打网络命令，即可进行IP/MAC地址绑定，大幅减少网管负担。

4

防内外网攻击，针对目前常见的DOS攻击，具备短包、碎片包、ICMP、SynFlood、TCP/UDP

端口过滤等功能。

支持虚拟局域网VLAN，可将网络划分为不同的虚拟局域网，各个虚拟局域网广播包互不相

通，限制病毒与无用信息流通，可提高网络效能、增加网络防护能力及安全性，网络结构更

灵活、方便。

管制QQ/MSN/SKYPE/BT应用：提供一键封QQ/MSN/SKYPE/BT简易管制功能，可设置管

制时段，管控员工上网行为，有效提升员工工作效率。内网有大量的BT下载的话可能引起内

部网络雍塞、造成数据传输延迟，更加严重的可能会造成整个网络的瘫痪。一键封BT，搭配

管制字符串及带宽管理限制，可达到有效防制BT的目的。对于重要用户或特殊用户，可以通

过排除功能，设置不需要受管制的用户。将其IP或部分IP段设为不受管制，使这些用户可以

正常使用QQ、MSN、SKYPE、BT等应用。

对外公开服务器建置：信息化的普及，让众多的连锁企业可能架设不同的公开服务器给外部

的用户，让外部的用户存取。Qno侠诺多WAN安全路由器，可通过内建DMZ端口，连接一

个或多个服务器，建立对外开放服务器，将服务器隔离到外网，可得到最高的安全性。用以

架设如图像文件交换、报告缴交等用途FTP或相关系统服务器，也可建立公司WEB服务器，

方便对外宣传等。

方便的配置及管理：中文网页配置，采用Web浏览器即可以直观的中文进行配置，没有太多

网络知识的网管人员也可轻易进行配置。即使是不懂网络的人员，经由简单的培训，也可进

行操作。支持远程管理功能，让网管可以经由配置，从外网也可进入路由器。远程管理功能

方便在网络管理人员外出出差时，遇到网络问题，只要有互联网联机，就能以远程登入进行

解决。远程管理功能也让Qno侠诺技术支持渠道可以远程进入，协助问题的解决及排除。

四、产品选型：

产品型号QVM250QVM350QVM450QVM750

硬件规格

CPU处理器网络专用处理器IntelIXP425

266MHzRISC

IntelIXP425

533MHzRISC

IntelIXP425

533MHzRISC

Flash快闪8MB(64Mbit)8MB(64Mbit)16MB(128Mbit)16MB(128Mbit)

DRAM内存32MB(256Mbit)64MB(512Mbit)64MB(512Mbit)64MB(512Mbit)

网络界面

广域网WAN端口2222~4

非军事区DMZ端口1(WAN2/DMZ)1(WAN2/DMZ)1(WAN2/DMZ)1

局域网LAN端口34811~13

5

处理效能

绿色通道加速-FutureFutureFuture

联机数Sessions5,00030,00050,00070,000

防火墙效能双向转发

20-30Mbps

双向转发

200Mbps

双向转发

200Mbps

双向转发

200Mbps

VPN效能3DES/5Mbps3DES/60Mbps3DES/90Mbps3DES/90Mbps

线路备援/负载均衡

线路备援●●●●

线路联机侦测●●●●

联机数负载均衡●●●●

IP负载均衡Future●●●

策略路由Future●●●

虚拟绕径-Future●Future

广域网端口连接型态

DHCP自动取得IP地址●●●●

指定IP地址●●●●

ADSLPPPoE设定●●●●

PPTP设定-●●●

透通桥接模式-●●●

DHCP服务器

自动配发IP数量ClassCClassCClassCClassC

(Future多个

ClassC)

IP&MAC地址绑定●●●●

MAC地址控制●●●●

QoS带宽管理

动态智能带宽管理-●●●

保证带宽●●●●

最大带宽●●●●

优先级●●●●

IP群组管理-●●●

联机数量控制●●●●

防火墙Firewall

智能双向ARP绑定-FutureFutureFuture

SPI/DoS侦测●●●●

6

黑客攻击日志●●●●

网络存取管控规则●●●●

上网管控●●●●

Java/Cookies/ActiveX/

HTTPProxy管制

●●●●

一键封QQ、MSN、BT、

SKYPE

一键封QQFuture●●

IP过滤●●●●

服务端口过滤●●●●

虚拟私有网络VPN

VPN隧道数最多10最多100最多200最多300

认证功能MD5/SHA1MD5/SHA1MD5/SHA1MD5/SHA1

加解密功能DES/3DES/AESDES/3DES/AESDES/3DES/AESDES/3DES/AES

IKEKeyManagement●●●●

VPN透通●●●●

VPN备援●●●●

VPNHub-●●●

群组式GroupVPN●●●●

NAT穿透(NATT)●●●●

QVM服务器(远程中央

控管)

-●●●

QVM客户端●●●●

QnoKeyIPSec客户端密

钥

●●●●

PPTPVPN服务器最多支持10个

客户端

最多支持40个

客户端

最多支持80个

客户端

最多支持120个

客户端

网络地址转换NAT

一对一NAT功能●●●●

PAT端口地址转换●●●●

虚拟服务器功能●●●●

UPnP通讯协议●●●●

IP路由通讯协议

静态路由●●●●

动态路由RIPI/II-●●●

动态域名解析服务

DDNS

7

●●●●

3322/DynDNS●●●●

支持单一WAN端口同

步更新设置

●●●●

端口管理功能

端口配置-●●●

端口状态实时显示-●●●

虚拟局域网VLAN-●●●

硬件端口镜像-●●●

系统管理

电子白板-FutureFutureFuture

系统软件在线升级●●●●

网页管理功能●●●●

SNMP网络通讯协议-●●●

系统配置参数文件备份

/回复

●●●●

系统自我检测功能●●●●

系统日志/在线实时监

看

系统防火墙日志●●●●

电邮告警功能●●●●

系统流量状态显示●●●●

SNMPTrap●●●●

典型带机量

建议带机量30~50100~250300~500300~500

注：IPSec、QnoKeyVPN隧道数标示为出厂默认值，在隧道数总和相同下，用户可依需要任

意调整VPN隧道数值。