远程分支网络覆盖解决方案

由于XXX企业的远程站点多数为小型站点或者家庭办公室，人员较少，面积不大，只需要单个远程接入点就能够满足整个分支机构的覆盖，因此考虑直接采用RAP方式，利用部署在总部的ALU中心控制器，并在每个远程站点部署一台ALU RAP2或RAP5-WN远程接入点，实现远程站点的有线和无线统一接入。

在远程站点中，所有的有线终端（如台式电脑、IP话机和打印机等）直接或者通过二层交换机连接ALU RAP设备的有线端口，无线用户则通过相应的SSID连接网络。其中，连接内网的终端用户工作在Split-Tunnel模式下，VLAN和IP地址均通过ALU RAP设备与总部控制器之间的IPsec加密隧道由总部控制器分配，网关指向总部控制器，所有的内网业务流量通过加密隧道转发到总部控制器进行处理，所有的Internet流量直接由ALU RAP设备进行地址转换后转发到Internet网络；外来的访客工作在本地转发模式下，VLAN和IP地址由ALU RAP设备分配，网关指向ALU RAP，所有访客都不能访问内部网络，只能通过RAP进行地址转换后访问Internet网络。

对于特定的重要的远程站点，还可以采用ALU RAP5-WN实现基于3G网络的线路备份功能。当Internet线路出现故障时，ALU RAP可以自动检测到端口故障或者中间设备故障，自动切换到3G线路，并通过3G线路建立与总部控制器之间的IPsec隧道，实现与总部之间的远程组网。ALU RAP上联端口的切换时间取决于3G网络信号的强弱和拨号时延，一般约为1~2分钟。