远程分支网络覆盖解决方案

器进行路由和交换；分支机构与总部之间的业务流量既可以通过站点之间的广域网专用线路来转发，也可以通过Master和Local控制器之间的IPsec隧道来转发。 小型分支机构组网方式

对于小型的分支机构，由于用户数量较少，需要无线覆盖的面积不大，因此可以直接采用ALU的远程接入点来进行组网。每个位于分支机构的远程接入点在连接Internet后自动发起到中心控制器的IPsec加密隧道，并通过这个加密隧道自动同步软件版本和配置文件，然后根据配置文件部署相应的有线和无线配置，以及身份认证和安全策略。 按照企业业务特点和安全需求的不同，远程接入点可以支持三种转发模式：

完全隧道模式：即远程接入点上相应SSID以及有线端口上的流量全部经过IPsec

隧道转发到中心控制器上进行处理

分离隧道模式：远程接入点同步中心控制器上的所有安全策略，并且根据策略对流

量进行分类，部分流量送入IPsec隧道，由中心控制器进行处理，其余流量进行本地转发或者丢弃

本地桥接模式：远程接入点同步中心控制器上的所有安全策略，并根据策略对流量

进行策略控制，所有获准转发的流量进行本地转发，其余流量被丢弃。

1.1.3 ALU VBN技术优势

面对企业大量分支机构组网的需求，传统的解决方案主要包括VPN客户端和VPN路由器这两种方式。

VPN客户端的方式虽然部署简单，也能够提供基于Per-user的安全策略，但是由于其基于软件实现的本质特征，使得VPN客户端这种模式只能应用在个人电脑联网这样的环境中，既不适合多个用户同时联网的环境，也不适合多种终端类型的环境（如IP摄像头、打印机、IP电话等非PC类型的终端），从而使其应用具有很大的局限性。

与VPN客户端恰恰相反，VPN路由器的解决方案虽然能够满足大量用户、多样化终端类型环境下的虚拟组网，但是由于每一台VPN路由器都需要独立配置各种相关参数（包括软件更新、网络地址、VPN连接、安全策略等），因此当分支站点数量较大时，会造成网络管理人员维护负荷的成倍增长。此外，由于大多数VPN路由器只能提供路由、加密