这是最近实施的一个案子。多点vpn的方案，只有一个固定ip，其余都是adsl拨号上网，另外还要能使用拨号连接vpn。是一个比较典型的vpn连接方案，简单实用。

某餐厅使用netscreen防火墙实施vpn的方案

1.中心节点为吴兴路外卖中心，有固定ip的东方有线宽带，ip地址：218.242.XXX.XXX/28，网关：218.242.XXX.XXX，使用一台netscreen ssg-140-sb硬件防火墙。
ethernet0/3 为外网untrust端口，配置为有线通的公网ip，起到与外部连接vpn及提供内部电脑上网功能。
ethernet0/0 为trust端口，为内网业务系统使用网段，ip地址是10.10.10.0/24，分配给外卖中心的业务服务，不允许连接公网。
ethernet0/1 为trust端口，为办公电脑开通上网服务，ip地址是10.10.9.0/24，其中10.10.9.11-20这10个ip允许访问10网段的业务系统，同时也可以上网。其他改网段的ip地址只允许访问互联网，其中网络访问的权限仅限于QQ，msn，dns，http，https，pop3,smtp,mail功能。其中10.10.9.70地址分配给无线路由器用作给客人上网使用，网络限速256kbps.以保证业务系统有足够的带宽使用。
Vpn方面：开通与嘉华，港汇，金桥，正大的双向互访已经dail-up vpn的单向访问。

各门店使用的是netscreen ssg-5硬件防火墙。
2.港汇节点
使用vpn拨号上网，带宽为512k
ethernet0/0为untrust端口，使用adsl拨号上网，提供vpn连接及上网服务。
ethernet0/1 为DMZ区使用网段为10.10.111.1/24，其中10.10.111.70提供给无线路由器，为客人提供上网服务，限速为256kbps。
ethernet0/2-6为trust端口，网段为10.10.11.1/24，提供给业务系统使用。
开通11网段与吴兴路中心节点10网段的双向vpn连接
3.嘉华节点：
使用vpn拨号上网，带宽为512k
ethernet0/0为untrust端口，使用adsl拨号上网，提供vpn连接及上网服务。
ethernet0/1 为DMZ区使用网段为10.10.112.1/24，其中10.10.112.70提供给无线路由器，为客人提供上网服务，限速为256kbps。
ethernet0/2-6为trust端口，网段为10.10.12.1/24，提供给业务系统使用。
开通13网段与吴兴路中心节点10网段的双向vpn连接
4.金桥节点：
使用vpn拨号上网，带宽为512k
ethernet0/0为untrust端口，使用adsl拨号上网，提供vpn连接及上网服务。
ethernet0/1 为DMZ区使用网段为10.10.114.1/24，其中10.10.114.70提供给无线路由器，为客人提供上网服务，限速为256kbps。
ethernet0/2-6为trust端口，网段为10.10.14.1/24，提供给业务系统使用。
开通14网段与吴兴路中心节点10网段的双向vpn连接
5.金桥节点：
使用vpn拨号上网，带宽为512k
ethernet0/0为untrust端口，使用adsl拨号上网，提供vpn连接及上网服务。
ethernet0/1 为DMZ区使用网段为10.10.113.1/24，其中10.10.113.70提供给无线路由器，为客人提供上网服务，限速为256kbps。
ethernet0/2-6为trust端口，网段为10.10.13.1/24，提供给业务系统使用。
开通13网段与吴兴路中心节点10网段的双向vpn连接
6.使用netscreen-remote 软件实现移动终端对中心节点的vpn拨号，在中心节点中开通dail-up端对中心节点10网段的单向vpn连接。方便管理者在任何有网络的地方安全接入系统的内部网络进行管理维护。
 

原创文章如转载，请注明：
转载自醉生梦死的博客
原文地址：http://www.liusuping.com/it-tech/netscreen_vpn.html