vpn组网方案,让异地组网更简单

企业如何组网？

本文列举三种企业组网的方案，你可以参考下。方案1：IPSEC VPN简单来说，IPSEC是一种协议，或者说是一个框架。基于该安全协议实现远程接入，即为IPSEC VPN。优势IPSEC VPN的应用历时悠久，技术和相应的设备也都很成熟；同时，其利用对称、非对称密钥和摘要算法，再配合身份认证、加密、完整性校验等手段，能够在较大程度上保障安全性。

劣势由于IPSEC VPN需要在互联网环境中创建加密虚拟隧道，因此其网络质量和稳定性不可控；同时也由于其穿越了互联网，因此存在被旁路监听的风险。方案2：SDH专线SDH即Synchronous Digital Hierarchy（同步数字体系）专线，也叫数字专线，目前各大运营商针对企业组网所提供的主要业务产品。

SDH基本等同于利用光纤直连两个分支机构（当然在实际应用中，中间链路多为运营商提供，且存在复用的情况）。优势网络质量稳定、部署简单、技术成熟、维护成本低、安全性高劣势如中心点出现问题，将影响分支间的互访；而如果希望增加冗余度，可选择在分支机构之间也部署专线，但势必会增加成本。方案3：MPLS VPN技术原理MPLS VPN采纳了ATM（Asynchronous Transfer Mode，异步传输模式）的VPI（Virtual Path Identifier，虚路径标识符）/VCI（Virtual Channel Identifier，虚通道标识符）交换思想，综合了IP路由技术和二层交换的两种优点。

IP网络本是面向无连接的网络，但在MPLS VPN网络中，路由信息由IGP（Interior Gateway Protocol，内部网关协议）、BGP（Border Gateway Protocol，边界网关协议）等路由协议进行收集并生成路由表，而后为特定的路由表项添加标签，这就增加了面向连接的属性，在某种程度上提供了QoS保证，满足不同类型服务的QoS要求。

架构组成典型的MPLS VPN网络中包含以下3种类型的网元：PE：服务提供商边缘路由器，与用户的CE设备直连。PE负责管理VPN用户，建立LSP连接，创建和管理VRF（Virtual Routing Forwarding，VPN路由转发表）。P：服务提供商网络中的骨干路由器，不与CE直连，只需具备MPLS标签数据包转发能力，根据外层标签进行报文转发，不参与VPN用户的添加删除和VRF表项的创建维护工作。

CE：用户网络边缘设备，与服务提供商的PE设备直连，负责将本地路由发布到PE设备上，但CE无须支持MPLS，也感知不到VPN的存在。MPLS VPN模式下，各分支见并非直连，也没有所谓的中心分支节点，而是全部就近接入到POP节点，从而打通到MPLS骨干网的链路。优点分支节点就近接入，节约本地专线费用，避免因跨地区、跨运营商等网络不稳定因素；地址隔离和路由隔离能够抵抗黑客攻击及标记欺骗；设备接入方面相对便捷，客户只需将CE设备连接到运营商的网络边缘设备即可；可扩展性更高。

企业组网有必要专线服务吗？

要取决公司组网的应用场景。一般情况下，专线组网多运用于以下几大场景：1、当下无纸化办公的大环境下，可以通过MPLS VPN专线组网构建企业的视频会议专网，满足企业各种各样的视频会议需求。2、构建运营支撑网，就是利用MPLS VPN技术在统一的物理网络实现多个逻辑上相互独立的VPN专网。3、在宽带城域网需要同时服务多种不同的客户，承载多种不同的业务时，可以根据网络实际情况开通相应的VPN业务。

两个摄像头距离20公里怎么连接？

两个摄像头距离20公里，网线其实已经无法连接了，我们常规的做法就是利用光纤连接或无线网桥连接，两种方式在施工和成本上都各有优势，具体分析一下。光纤连接按照标准，网线的最大传输距离是100米，超过100米的监控传输，采用光纤连接是常用的一种方式。光纤是以光脉冲的形式来传输信号，材质以玻璃或有机玻璃为主，由纤维芯、包层和保护套组成。

光纤分为单模光纤和多模光纤，监控传输多采用单模光纤，配合光纤收发器，最远传输距离可达几十公里，而且传输效果稳定。光纤连接，核心设备就是光纤收发器，需要成对使用，一个发射，一个接收。光纤传输的距离是受限于光纤收发器的光口规格，目前最远支持到80km传输。无线网桥连接无线网桥连接就是无线网络的桥接，它是利用无线传输的方式实现在两个或多个网络之间搭起通信的桥梁。

无线网桥是定位于远距离的无线传输，也是需要成对的使用，常见有点对点、点对多、中继回传三种连接的方式。利用无线传输，无线信号的强度非常重要，越是强劲、高质量的无线信号，传输视频监控数据更为稳定。使用无线网桥连接一定要有效的规避障碍物、隔离无线信道、避开无线干扰等。无线网桥的带宽一般有40M或80M，因此需要综合考虑传输距离、接入摄像头数量、选择频段等因素。

两者的对比光纤连接既能实现超远距离的传输，又能保证监控传输质量的稳定性。但由于使用光纤连接，施工布线要比网线要相对严格，施工难度较大，成本较高，主要是人工成本。这方案一般适用于需要远距离的监控传输，且数据吞吐量较大的监控工程中。网桥传输无需布线，可以极大的降低施工布线的难度，非常适用于野外空旷环境或布线难度较大的地方，成本造价相对便宜，但是稳定性无法和光纤连接相比。

华为Q2 Pro电力线的组网是一种怎样的体验？

应邀回答本行业问题。我做过八年的固网，十年的移动网络通信工作，对于这里可以说上几句。华为Q2 Pro电力线组网绝对不是最好的组网方案，但是它或许是最适合中国的组网方案。最好的家庭组网方案绝对是AC AP,但是这个方案的成本相对来说是最高的。网线、网线，在宽带的发展中，抛开光纤就是网线最佳，这个是无可便捷的，做为家庭大户型组网，如果在装修的时候就考虑到网络的问题，设计一套覆盖全家的AC AP方案绝对是最好的方案。

但是这个方案的设备采购成本高，而且还需要专业的公司来完成，最好的性能就需要最好的价格。而且，还有一点可能也是普通人专业人士很难做到的，就是后期的维护工作，这块还是需要有一些技术能力的，也可能是普通人很难完成的。路由器级联也是一种不错的选择，依然是以网线为基础的，而且也涉及到组网的设计和后期维护工作。顺便说一下Mesh路由器组网。

Mesh路由器组网是必须三只路由器才能组网的，它的结构就需要一对二，至少三只Mesh路由器才可能真正的完成这种Mesh组网，仅仅两只Mesh路由器是完成不了的，两只就是无线级联，这种的效果其实是最差的组网方案。而三只Mesh路由器，很显然是价格比较贵的，大家也可以自己去看看需要多少钱。相比而言，华为的Q2 Pro电力线组网是一种不是最强，但是可能是最适合普通家庭使用的组网方式。

华为的Q2 Pro,一子一母，加载了华为独立研发的"凌霄芯片"，以及PLC Turbo技术，可以确保200M的宽带在电力线上无损传输，这可能是中国普通家庭更需要的。其实这个锅，有时候也是需要装修公司来背的，就是由于普通用户对于网线的不了解，很多公司预埋的网线品质很差，甚至是直接预埋了含铜非常少，网线非常细的五类线，这些线缆质量不佳，当家里的宽带提升到100M以上的时候没，就会有很大的麻烦。

并且，也不是每个房间都有网线预埋，这样使用无线路由器覆盖的时候，就难免有了覆盖不到的区域。华为的Q2 pro无线路由器子母套装，哪里信号不好插哪里，是非常适合对于网络技术缺乏的用户使用的。如果对于网络品质要求比较高，而且家庭面积比较大的也可以使用Q2 pro三母套装，这种三只一组，Mesh和电力线双层保证下，无线网络品质将会更佳。

公司网络结构复杂，如何高效、简单实现异地组网？

目前很多单位都面临着这样的挑战：分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。作为一个网络工程师，在项目实践过程中，，我建议采用VPN网络实现这种异地连接。VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。

顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。

VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或WINDOWS2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。VPN有三种解决方案：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应。

企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接。

两个异地网络，如何组网？从而实现可以远程访问。都需要哪些设备和条件？

这类方式有很多种，VPN是一种相对经济安全的解决方案，如IPSEC VPN， SSL VPN，L2TP VPN等这些常用VPN，很多设备都支持，像防火墙，带VPN路由器都可以实现。而MPLS VPN就比较贵了。VPN根据不同的部署方式，可以采用端到端部署，服务器 客户端模式部署等方式。经济型的端到端部署，需要两端采用IPSEC VPN设备建立对等VPN网络，除设备支持IPSEC VPN外，需要两端都有公网IP地址。

有50-60台电脑和50-60个无线设备，怎么组网比较好？用什么AC及交换机？

根据我所知道的回答一下这个问题。根据题主在问题中提出的需求，60台电脑，60台无线设备，再算上各类办公设备比如打印机，监控，投影仪等，200多个终端实现网络互联。网络结构建议采用二层网络结构，汇聚层和接入层。汇聚层交换机汇聚层交换机选用性能类似华为S5720交换机的三层交换机；将办公的服务器，采用静态IP地址方式，比如内网数据库服务器，邮件服务器，业务服务器等，连接到汇聚交换机，提供更高的接入带宽；将无线AC管理器连接到汇聚交换机，用于对所有的AP进行配置和管理；汇聚层交换机配置VLANIF接口，作为用网终端的网关地址；可以使用汇聚交换机的DHCP功能，根据不同的VLAN，为用网终端分配IP地址，无需配置DHCP服务器，根据用户需求选择。

接入层交换机接入层交换机用于连接电脑和AP；接入交换机建议选用性能类似华为S2700交换机的性能，可以对交换机的端口划分VLAN；用于连接无线设备的AP也需要连接到接入层交换机。关于VLAN的划分由于用网终端在200个左右，所以建议通过划分VLAN的方式，隔离广播域，方便网络管理；将VLAN的接口地址配置到三层交换机，作为网关地址；提供一种划分VLAN的方式，如下图所示，供参考,根据实际情况选择。

一个大型企业怎么来规划网络，比如1000台电脑，怎么选择交换机、路由器和防火墙，有哪些好的建议吗？

对于1000多个节点的企业组网，需要考虑网络规划，网络可靠性设计，网络安全设计等，不仅仅是购买交换机，路由器和防火墙的问题。下文针对这个问题说一说。需求分析与不同的业务部门进行沟通，了解每个时间段的业务量，组网结构需要满足业务部门的需求；针对这种中大型局域网，需要根据部门或者位置划分VLAN,每个部门对应一个VLAN和网段，不同VLAN的数据在三层汇聚交换机或者核心交换机中交换数据；如下表所示，给出了一个VLAN划分和IP端的划分，根据实际情况进行规划。

网络拓扑结构网络拓扑结构如下图所示，内部网络采用三层结构，核心层，汇聚层，接入层。其中核心层用来完成数据的高速转发，核心层设备最好部署两台，增加整个网络的了可靠性。接入层设备用来实现办公电脑的接入，无线AP的接入，并且完成上网认证等；路由器连接运营商提供的出口网络；防火墙连接在出口路由器和内网核心交换机之间，用于保护内网，阻拦非法访问；如果企业有对外服务，比如对外网站，邮件等，需要将这些服务器连接到防火墙的DMZ区域。

IP地址的分配业务服务器和监控，打印机等应该使用静态地址，以便于管理控制；网络设备的IP地址使用32位掩码的地址，与办公网等隔离，防止非授权人员随意配置网络设备；网络设备的互联地址使用30位掩码的地址，比如静态路由器，OSPF路由的互联地址等，节约ip地址的同时可以提高收敛速度；办公电脑,无线终端的IP地址，建议使用DHCP服务器根据不同部门的VLAN进行自动分配。

一种新的组网方案可以考虑PON网络，即无源光网络，采用了类似与运营商网络的结构组建企业网，由OLT、ODN、ONU组成；OLT设备连接上游核心交换机，ODN连接ONU，实现接入，全程使用了光网络，用光纤代替双绞线，用分光器代替了汇聚交换机；这种组网方式适合初次组网，一次性投资比较大，但是后期管理维护费用会低很多；网络结构参考下图。