产品选型

　　基于目前旅游企业规模大都属于中小型企业，建议采用企业总部采用深信服硬vpn设备——集成防火墙的sinfor  s5100，各营业店和分支可采用分支软件和移动模块。

　　由于sinfor vpn产品都能实现远程安装，调试和配置，所以对于分散的各营业店不需要上门安装调试，搭建的vpn网络机构如下图：

　　整个组网过程如下：

　　1、 在公司总部将sinfor s5100硬件网关放置在internet出口处，将需要被各分点和远程移动人员访问的各种应用服务器（如财务系统、旅游业务管理系统、web服务器等）的网关指向sinfor  s5100硬件网关；

　　2、 在sinfor s5100硬件网关上配置总部虚拟ip池（该地址段为总部局域网内未被使用的ip地址，可与总部局域网同网段或不同网段，设置时请注意不要包含已经被使用的ip），使得通过vpn接入到总部的移动用户能够从这个ip池中获得与总部局域网相同网段的局域网ip地址；

　　3、 针对总部需开放资源情况设定总部vpn内网服务设置，以便为各接入用户分配相应权限（如对财务、oa、旅游各管理系统等）；

　　4、 配置sinfor s5100，为接入的分店和移动接入分配合法的用户名、密码等账号信息，可根据需要为每个账号分配不同的vpn权限，并为移动终端启用虚拟ip（可指定也可动态分配），在启动id鉴权的情况下，需要把所有需接入此总部的远程用户生成证书后传给总部管理员并分别绑定到对应的用户账号上；对于移动用户，管理员可选择是否为该移动用户启用dkey，若启用，需将对应dkey插入总部模块所在计算机的usb口上，sinfor s5100将会把此移动用户接入vpn所需的配置信息导入dkey，并将dkey作为用户接入时的身份认证依据；

  [2]