台湾某企业,总部在台湾台北, 网段188.2.3.x/24  和苏州两地通过电信的2M DDN专线连接,苏州的cisco 2600路由器的ip: 192.168.10.254，台湾的cisco 2600路由器IP: 188.2.3.254
现在在南京有个小型办事处,3台电脑,希望建立ipsec vpn, 南京的3台电脑能否通过苏州访问到台湾台北的服务器.


  实现过程:
  

   苏州目前是通过10M专线上网的,有多个公网ip地址,目前有netscreen的防火墙,考虑到安全行,vpn设备希望放在防火墙的后面，综合考虑，vpn部署在防火墙后面。　给ｖｐｎ设备分配一个内网的地址，如192.168.10.2,通过netscreen设备中的VIP，进行IP地址映射，将公网地址映射的到vpn设备的单口，vpn设备采用了单臂接入方案，只有一个口接入到内网中。

   同时，在南京的小型办事处电脑上全部安装ipsec 的vpn客户端软件，在苏州的vpn设备中定义一段虚拟ip地址池，地址池的作用就是给南京的电脑拨入ｖｐｎ后得到的地址，如定义地址池为10.10.10.1-10.10.1.100。ｖｐｎ设备中同时做一个地址翻译的工作，将虚拟地址段翻译成为苏州目前的电脑网段，即将10.10.1.x翻译成192.168.10.x ，同时还需要在vpn设备中做路由设备，目的地址为188.2.3.x 网络接口vpn隧道，网关下一跳：192.168.10.254(cisco 2600 DDN专线路由器)


   整个方案完美的实现了南京通过苏州中转访问到台北，以前南京直接通过互联网访问台湾的延时大概有500ms，速度很慢，通过苏州中转后，延时为180ms，ERP系统运行速度大大提升了。并且安全性也很大的提升。