門市與總公司VPN串聯問題

mpls-vpn

people10519 2016-07-25 21:43:15 ‧ 6750 瀏覽

小弟的公司旗下約有10多間門市，近日公司要我著手規劃門市與總公司利用VPN串聯起內部區域網路。而總公司現有僅使用居易科技 Vigor2952當作上網的IP分享器，其他門市也都使用各自的家用分享器上網。目前有以下兩個方案。

使用中華電信hi-Link的MLPS VPN架構門市與總公司的VPN。
在各門市皆架設防火牆，然後自使用IPSEC通道VPN串連起來。只是合作廠商說中間還需要加一台路由器，但我看http://www.tp-link.tw/faq-244.html
，這篇文章裡內容卻沒提到有需要路由器，就可以互相ping道不同網段。

因小弟是這方面的門外漢，對於很多網路技術還需要多多學習。
不知道各位網路的高手與前輩有何建議，還煩請多多指教，非常感恩。

看更多先前的討論...收起先前的討論...

窮嘶發發發 iT邦高手 1 級 ‧ 2016-07-26 09:06:29 檢舉

Vigor2952 這台有 100條 VPN 跟 50條 SSL VPN
怎麼不架起來用，你們只有10多間門市
問題在於這十多間門市的路由器可不可以建立 VPN 連接而已
所以正確的架構應該要去審查門市的路由器或防火牆能不能建立 VPN 連線 ( VPN Client )

做工仔人! iT邦大師 1 級 ‧ 2016-07-26 11:18:19 檢舉

建議自建VPN會比較好.因為門市異動(搬遷/增減門市議員都不用麻煩廠商.
做法:
1. 先規劃門市網段.建議放在10.XXX.XXX.XXX 的網段. (可以:10.1.XXX.XXX 北區, 10.2.XXX.XXX 中區.... 之類的分法,以後好管理)
2.利用目前用的Vigor2952 來跟門市建 VPN .(門市的防火牆全部改用 Vigor 的防火牆.如Vigor2110 ) , VPN方式為 LAN TO LAN . 建立方式:可以問居易的客服.(我問過:服務很好,會教您建).
3.再要一點經費:將總公司的Core switch 升到 L3 等級及再加買一台防火牆.
觀念: 總公司的 USER 上 Internet 是走新的防火牆.(如果新防火牆是 Vigor 2952會更好) , 與門市連線走舊的防火牆(等於廠商講的路由器).
4.總公司的網段也可以改為10.xxx.xxx.xxx ,但是要注意 server 能不能改IP (SERVER 要不要請廠商改IP ,會不會收錢)

mack078 iT邦新手 5 級 ‧ 2016-08-02 00:53:10 檢舉

讓我確認幾點事項好了:
15家門市 (假設) 192.168.10.1 - 192.168.35.1
你每家是連回總公司就好嗎 ? 還是都要門市互通?
假設15家門市，你的vpn承載的線路有幾條 ? (建議2-3條)
or 你可以和我聯絡 lind id : mack078
我會在告訴你如何進行

polier iT邦新手 5 級 ‧ 2016-08-13 09:23:51 檢舉

旅館，我現有實作是總公司和分館皆是裝居易的頻寬管理器3200和分館的2925，讓它們vpn串併連成內網，可以直接跟居易的各分點洽詢購買機器和網路架設，委由他們即可。

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

4 個回答

做工仔人!

iT邦大師 1 級 ‧ 2016-07-31 12:17:06

最佳解答

如果我是樓主, 我的規劃會是:

門市部份(門市要改網段應該比較容易):
防火牆 : 用Vigor2120 IP : 10.區碼.門市碼.254

總公司:
網路核心:用 L3 的switch (如果經費問題且總公司的IP使用數不多也可以考慮用 L2) =>主要考量降低防火牆的loading .(因為封包可以在L3 分流,不用到防火牆或Router 才分流,可以提升網路效能)

	 與門市建VPN 可用目前使用的  Vigor2952 
	 
	 總公司 user 上internet  用: 新購的 :  Vigor2952 
	 
	 所以在L3 上就會有二條 routing :
	    一條 : 到門市
			另一條: 總公司上internet 用
			
這樣的規劃: 
   1.總公司有二台  Vigor2952 可以相互備援.
 2.一般連鎖店都會分區:	用10 的網段就可以有區碼
 3.總公司的網段如果可以改. 建議:也改到10的網段並佔用一個區碼.
 4.門市的 Vigor2110 :要將設定值備份下來.同時總公司要多一台備用.(門市的防火牆故障時,可以將設備傳上備用機後. 就寄到或拿到門市更換)

回應 2
分享
檢舉

people10519 iT邦新手 5 級 ‧ 2016-08-02 21:35:33 檢舉

收到，非常感恩大頭前輩的回覆，沒想到這麼久了您還是這麼有耐心回覆，非常感恩:)

做工仔人! iT邦大師 1 級 ‧ 2016-08-03 08:41:40 檢舉

因為一直都沒有看到樓主選出最佳解答.
所以就認為樓主的問題尚未解決,
才會將原本在討論中對樓主的提醒再強化一下為回答.

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2016-07-26 00:18:15

如果版大公司的各個門市都在台灣本島

用VPN的方式來連接，可說是經濟又實惠，頻寬又可以增大非常多

採用點對點VPN一般常用有兩種安全性較佳的方式

一是 IPsec VPN ，另一是 SSL VPN

如果版大只想用一個總公司的路由器為主，而不想在各門市增購路由器

可以採用SSL VPN的方式連接

如果想一直保持門市與總公司VPN持續網路連接

建議還是以兩端均有硬體設備為方案

額外一提的是，現在有些無線網路可以採用Remote AP 的方式

方式很像建立SSL VPN，但毋需輸入帳密，也可以配合BYOD做安全認證

一次建立後，全省各地門市均通用，日後維護非常方便，以快遞收送設備即可

請參考以下鏈結影片，如有興趣，小弟下次再做進一步說明

https://www.youtube.com/watch?v=nel_bFs-EuA

回應
分享
檢舉

登入發表回應

林門神JanusLin

iT邦超人 1 級 ‧ 2016-07-26 15:44:30

"總公司現有僅使用居易科技 Vigor2952"

分處用Vigor2120或是Vigor2925這選擇應該是ok的

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

people10519 iT邦新手 5 級 ‧ 2016-07-26 16:24:48 檢舉

感恩前輩的回應，只是廠商說總部與各分店間還要架設一台路由器，是否有需要，感恩回覆。

做工仔人! iT邦大師 1 級 ‧ 2016-07-26 17:22:44 檢舉

不要架路由器.
多買一台L3 Switch(linesys的就很好用了) 及 Vigor 2925

建議自建VPN會比較好.因為門市異動(搬遷/增減門市議員都不用麻煩廠商.
做法:

先規劃門市網段.建議放在10.XXX.XXX.XXX 的網段. (可以:10.1.XXX.XXX 北區, 10.2.XXX.XXX 中區.... 之類的分法,以後好管理)
利用目前用的Vigor2952 來跟門市建 VPN .(門市的防火牆全部改用 Vigor 的防火牆.如Vigor2110 ) , VPN方式為 LAN TO LAN . 建立方式:可以問居易的客服.(我問過:服務很好,會教您建).
再要一點經費:將總公司的Core switch 升到 L3 等級及再加買一台防火牆.
觀念: 總公司的 USER 上 Internet 是走新的防火牆.(如果新防火牆是 Vigor 2952會更好) , 與門市連線走舊的防火牆(等於廠商講的路由器).
總公司的網段也可以改為10.xxx.xxx.xxx ,但是要注意 server 能不能改IP (SERVER 要不要請廠商改IP ,會不會收錢)