客户体验：上海进才中学

我们的客户

上海进才中学共有两个校区，两地校区网络出口均在该市社发局，并共用社发局的一个公网地址。

他的需求

1）南北两校区的公网出口均在社发局，而真正的公网出口只是社发局的一个公网地址。

2）两校区之间由于管理权集中在社发局的网络管理人员，因此只开放了两校区之间的一个简单的Web应用。

3）两个校区之间要实现真正意义上的互通，只能通过社发局的网络管理人员开放相关的端口或者通过路由实现，但这种方式对于社发局的网络管理人员来说手续相当烦琐。

他的体验

采用单臂模式与SSL隧道方式建立两个内网之间的通道，同时通过在校区的前端路由器以及三层交换机上添加路由，实现校区之间的网络互连。为了使目前学校间推广的校校通业务，正常运行，各学校出口路由器均采用路由模式，不做NAT转换，各学校均直接以本身的内网网段访问出去，使得各学校均处于同一个大的地址网段中。因此在这种情况下冰峰采用先进的SSL隧道方式建立VPN通道，实现两校区之间的网络互连。

在一般情况下，由于局域网间VPN的建立必须至少有一端是直接的公网IP地址，从而导致为了通过VPN设备来实现该要求，又不得不改动现有的网络结构以满足VPN建立的要求，导致原本只是放置VPN设备来建立VPN通道的需求在实施过程中就变得非常复杂，需要大量得改动现有结构。同时，如果将设备作为网关使用，又需要承担大量的上网数据，从而在一定程度上会影响VPN的效率。

在这种情况，冰峰推出了目前为止国内唯一的在两端都在NAT后的情况下建立VPN的技术。通过这种方式，冰峰的VPN设备在两端均可直接放在内网中，做成单臂模式，只是将VPN设备作为一台普通电脑一样直接接到内网交换机上即可。设备本身只做VPN使用，而不承担任何上网数据的处理。

在实现方式上，冰峰VPN设备通过在一端设备上建立SSL账号，由另一端通过在设备上进行SSL拨号来进行VPN连接，建立SSL隧道，而两端若要进行VPN间的数据传输则通过该隧道进行传输，从而实现了在不改动原有网络结构的情况下建立VPN的需求。

他的成功：

上海冰峰这种两端NAT环境下建立VPN隧道的成功，打消了许多客户担心建立VPN网络时需要改动原来的网络结构，重新部署网络而大量增加工作量的顾虑，是对于已经有了一定网络规模，有了完善的网络部署或者网络受限于其他环境而又需要通过VPN来建立网络连接，实现业务高效安全的客户的最佳解决方案。

通过实际调研，冰峰发现，由于目前很多学校都有分部或分校区，因此校区之间的互连也就显得相当的必要，同时由于存在上述的问题，使得通过上层机构的网络调整来实现互连又不那么实际，因此在中小学中使用VPN具有相当大的发展空间。