用户是某市工商局，该单位管理着 17 个直属工商所（市内）和 3 个下属县工商局；各县工商局也分别管理着多个基层工商所。

　　为了实现工商管理信息化、网络化，用户提出如下应用需求： 

　　1） 各县工商局和所有的基层工商所都能访问位于市局的工商登记系统和 315 服务器； 

　　2） 县工商局有一套自己的内部办公系统，希望其下属工商所能够使用。

　　现有网络情况  

　　1） 市工商局和各县工商局都申请了光纤接入 Internet ，目前都没有网关设备； 

　　2） 市内直属工商所和各县的基层工商所都只考虑让一台终端使用工商登记系统等内部服务器；目前这些工商所都已有 ADSL 线路。 

　　VPN 方案规划

　　在规划 VPN 方案时，我们首先对客户应用需求进行分析，并根据不改变现有行政管理归属权的原则提出以下基本方案： 

　　1） 在市工商局的局域网出口处安置一个 VPN 网关；

　　2） 在各县工商局的局域网出口处同样安置一个 VPN 网关； 

　　3） 在各个基层工商所的终端上安装安联 VPN 终端软件；

　　4） 市工商局为直属工商所提供 VPN 接入服务，并与各县工商局建立 VPN 隧道；

　　5） 各县市工商局分别为下属工商所提供VPN接入服务，并与市工商局建立VPN 隧道。

　　接下来，我们根据用户的现有网络情况确定将要使用的产品及设备布局方案。对于市工商局和各县工商局，我们直接选用安联 G100 网关，该设备同时起到 NAT 共享上网、防火墙、 VPN 网关等功能。对于所有的基层工商所，都在一台终端上安装安联 VPN 终端软件，该终端将通过 ADSL 接入 Internet 。

　　规划 VPN 方案的第三步是对市劳动局、县劳动局的网络地址进行规划，此步骤是本项目的关键。根据 VPN 的基本规划方案，我们制定了如下地址分配方案（仅以一个县工商局为例）：

　　单位                                    网段  

　　市工商局                           10.1.0 .0/255.255.255.0 

　　市局直属工商所的终端   ADSL 拨号后自动获得 

　　县工商局                          10.2.0 .0/255.255.255.0 

　　县局下属工商所的终端 

　　由县工商局 VPN 网关分配虚拟 IP ： 10.2.X.1 

　　注意：在规划地址时，每个县工商局的网段与下属工商所使用的虚拟 IP 必须彼此独立，且必须同属一个上级网段，同时该上级网段必须与市工商局使用的网段彼此独立。  

　　VPN 拓扑图  

　　在下面的拓扑图中，我们仅绘制出一个县工商局作为示例。 

　　 VPN 隧道配置

　　在本案中，为了实现多层 VPN 互联，我们需要在市工商局 VPN 网关上配置一条隧道策略；在各个县市工商 VPN 网关上配置两条隧道策略；在各个基层 VPN 终端上配置一条隧道策略。具体隧道策略说明如下：  

　　1） 市工商局 VPN 网关配置的隧道策略能够接受来自任何 IP 的隧道协商；在该隧道策略中将本地网络参数设为 10.1.0 .0/24 ；

　　2） 县工商局 VPN 网关的第一条 VPN 策略主动向市工商局 VPN 网关发起隧道协商。在该隧道策略中将本地网络参数设为 10.2.0 .0/16 （包含县工商局的网段和为基层工商所分配的虚拟 IP ），将远程网络参数设为 10.1.0.0/24 ；

　　3） 县工商局 VPN 网关的第二条 VPN 策略能够接受来自任何 IP 的隧道协商。在该隧道策略中将本地网络参数设为 10.0.0 .0/8 （包含县工商局的网段和市工商局的网段）； 

　　4） 市局直属工商所终端配置的隧道策略能够主动向市局 VPN 网关发起隧道协商，在该隧道策略中将远程网络参数设为 10.1.0 .0/24 ； 

　　5） 县局下属工商所终端配置的隧道策略能够主动向市局 VPN 网关发起隧道协商，在该隧道策略中将远程网络参数设为 10.0.0 .0/8 （包含县工商局的网段和市工商局的网段）； 

　　6） 市工商局 VPN 网关为直属工商所终端提供扩展认证，不需要使用虚拟 IP 功能 ；  

　　7） 县工商局 VPN 网关为县局下属工商所终端提供扩展认证，同时为每个终端分配一个虚拟 IP ，如 10.2.2 .1 。 

　　应用说明

　　市局直属工商所通过与市工商局建立 VPN 隧道可以访问工商登记系统（ 10.1.0 .4 ）和 315 服务器（ 10.1.0.101 ）；县局下属工商所通过与县工商局建立 VPN 隧道可以访问县局的内部办公系统（ 10.2.0.3 ），并通过县局 VPN 网关的路由功能和县局与市局建立的 VPN 隧道访问工商登记系统（ 10.1.0 .4 ）和 315 服务器（ 10.1.0.101 ）；同时县局与市局可以通过 VPN 隧道实现网络互联。 

　　案例总结

　　在本案中，县局下属的工商所终端、县局网络、市局网络实现了三级 VPN 互联。为了实现此方案，必须对网络地址和 VPN 隧道策略中的地址参数进行合理规划，以保证数据包在 VPN 域内能够被正确路由；同时为了保证基层终端可以利用多层 VPN 隧道访问到中层和总部的网络资源，必须使用虚拟 IP 功能，否则基层终端将只能访问到与其建立的 VPN 隧道的中层网络资源，而无法通过中层与总部的 VPN 隧道访问总部网络资源。