隨著互聯(lián)網(wǎng)的普及,各個(gè)行業(yè)的管理和經(jīng)營模式的發(fā)展口新月異。通過設(shè)置的專用網(wǎng)絡(luò)通訊設(shè)施進(jìn)行通訊,不論是公司內(nèi)部職員之間的聯(lián)系還是與客戶的合作洽談都能靈活方便的進(jìn)行。在眾多的關(guān)注因素中,網(wǎng)絡(luò)的安全性最為突出,其次,網(wǎng)絡(luò)的性能、可擴(kuò)展性、可管理性等也受到一定程度的重視。
小型遠(yuǎn)程辦公網(wǎng)絡(luò)既能保障公司內(nèi)部數(shù)據(jù)傳輸?shù)陌踩,又可以?jié)約成本,可謂一舉多得的好方法,但針對不同的公司規(guī)模、投入資金等硬性要求,就要采取略有不同的設(shè)計(jì)方案。影響組建網(wǎng)絡(luò)的因素大致分為外部因素和內(nèi)部因素,其中,外部因素主要是資金問題,包括硬件設(shè)備購置、線路租用和管理等費(fèi)用,其次是網(wǎng)絡(luò)的性能;內(nèi)部因素包括人員及資源分配和設(shè)備應(yīng)用,例如:驗(yàn)證授權(quán),共享文件,郵件,vpn服務(wù)等。
本文利用宇翔科技公司遠(yuǎn)程辦公網(wǎng)絡(luò)設(shè)計(jì)作為實(shí)際案例,針對外部和內(nèi)部因素,對公司員工數(shù)在100人內(nèi)的小型公司的遠(yuǎn)程辦公網(wǎng)絡(luò)設(shè)計(jì),開發(fā)了兩種網(wǎng)絡(luò)設(shè)計(jì)方案,并加以比較分析。
一、需求分析
宇翔科技有限公司總部坐落于國貿(mào)科技大廈,其客戶服務(wù)支持部門設(shè)立于和平里,總部有員工75人,遠(yuǎn)程客戶服務(wù)支持部門有員工20人。此次網(wǎng)絡(luò)設(shè)計(jì)主要是實(shí)現(xiàn)兩地辦公室之間的通訊,并保證資源共享以及資源內(nèi)部安全,同時(shí)總部需要提供vpn服務(wù)以便員工遠(yuǎn)程登錄公司內(nèi)部網(wǎng)絡(luò)完成工作。
二、網(wǎng)絡(luò)模塊設(shè)計(jì)
針對于兩個(gè)辦公地點(diǎn),構(gòu)建一個(gè)10/100m的交換以太網(wǎng)就能夠完全滿足應(yīng)用需求。在接入線路方面,小型辦公網(wǎng)絡(luò)環(huán)境對于流量的需求,一般是獲取信息或收發(fā)電子郵件等流量,使用adsl接入方式比較節(jié)約成本。在小型辦公網(wǎng)絡(luò)環(huán)境中,對可管理性和安全性因素的考慮也必不可少。
綜合分析公司的組織結(jié)構(gòu),決定設(shè)計(jì)以下兩種網(wǎng)絡(luò)模塊:
(一)總部互聯(lián)網(wǎng)模塊
總部互聯(lián)網(wǎng)模塊擁有與互聯(lián)網(wǎng)的連接,同時(shí)也端接vpn與公共服務(wù)(包括dns,http,ftp,smtp)信息流;ヂ(lián)網(wǎng)模塊不僅為內(nèi)部用戶提供了與互聯(lián)網(wǎng)的連接,而且允許用戶通過互聯(lián)網(wǎng)訪問公共服務(wù)器上的信息,同時(shí)還為遠(yuǎn)程工作人員提供了vpn訪問能力。互聯(lián)網(wǎng)模塊涉及的關(guān)鍵設(shè)備有:smtp服務(wù)器、dns服務(wù)器、ftp/http服務(wù)器、防火墻或防火墻路由器。
(二)遠(yuǎn)程辦公室網(wǎng)絡(luò)模塊
遠(yuǎn)程辦公室網(wǎng)絡(luò)模塊包含遠(yuǎn)程辦公室最終用戶工作站、分支驗(yàn)證服務(wù)器、管理服務(wù)器和支持這些設(shè)備所需的相關(guān)第2層基礎(chǔ)設(shè)施。目前可以選用已經(jīng)集成這些第2層交換功能的交換機(jī)來降低成本。
下面對兩種模塊的實(shí)現(xiàn)方法進(jìn)行幾點(diǎn)解釋。
首先,無論選用哪種設(shè)備,都要考慮一些vpn的因素。在互聯(lián)網(wǎng)模塊中,一般使用帶有防火墻和vpn功能的路由器。它使小型網(wǎng)絡(luò)變的更加靈活。在目前的環(huán)境中,大多數(shù)有線和dsl路由器和調(diào)制解調(diào)器都是由電信服務(wù)供應(yīng)商提供的,可用于連接以太網(wǎng)防火墻。如果設(shè)備要求wan連接(如電信供應(yīng)商的dsl電路),那么,就必須使用路由器,此時(shí)使用專用防火墻不具備輕松配置安全性和vpn服務(wù)的優(yōu)勢。路由器傾向于允許信息流通過,防火墻的缺省設(shè)置則傾向于阻止信息通過。
此外,從過濾的角度講,除了將公共服務(wù)區(qū)域的信息流限定到相關(guān)地址和端口外,在相反的方向上也在進(jìn)行過濾。如果某個(gè)攻擊涉及到一個(gè)公共服務(wù)器(通過規(guī)避防火墻和基于主機(jī)的ids),那么這個(gè)服務(wù)器應(yīng)該不會再進(jìn)一步攻擊網(wǎng)絡(luò)。為了緩解這種攻擊,具體的過濾將防止公共服務(wù)器向其他任何地點(diǎn)發(fā)出任何未授權(quán)請求。此外,dmi上的專用vlan可以防止一個(gè)被破壞的公共服務(wù)器攻擊同一區(qū)域的其他服務(wù)器。這種信息流甚至不能被防火墻發(fā)現(xiàn),由此可以證明專用vlan的重要性。在郵件服務(wù)方面,防火墻在第7層過濾smtp信息,以便只允許必要的命令到達(dá)郵件服務(wù)器。防火墻與路由器的安全功能中通常包括一些有限的nids功能。這種功能會影響設(shè)備的性能,但是在遭受到了攻擊的情況下卻能提供一些關(guān)于攻擊的信息。這之間存在著一些平衡,犧牲了一些性能來換取信息的透明度。如果不使用ids,許多攻擊將被放棄,但監(jiān)控站不會知道發(fā)生了什么具體攻擊。vpn連通性是通過防火墻或防火墻/路由器實(shí)現(xiàn)的。遠(yuǎn)程地點(diǎn)用預(yù)共享的密鑰進(jìn)行彼此驗(yàn)證,遠(yuǎn)程用戶則通過遠(yuǎn)程辦公室模塊中的訪問控制服務(wù)器得到驗(yàn)證。考慮到宇翔科技公司的規(guī)模和資源分配,傾向于選擇集成防火墻功能的路由器方案。
遠(yuǎn)程辦公室模塊的主要功能是交換生產(chǎn)和管理信息流,并為公司管理服務(wù)器和用戶提供連接,可以選用集成所需第2層交換功能的交換機(jī)。在交換機(jī)內(nèi)部實(shí)施vlan,以減少設(shè)備間的信任關(guān)系利用攻擊,但這樣遠(yuǎn)程辦公室模塊中就沒有第3層服務(wù),由于內(nèi)部網(wǎng)絡(luò)的開放性,這種設(shè)計(jì)應(yīng)該注重應(yīng)用和主機(jī)的安全性。所以,遠(yuǎn)程辦公室的系統(tǒng)中建議安裝殺毒軟件和監(jiān)測網(wǎng)絡(luò)系統(tǒng)。
三、方案設(shè)計(jì)
根據(jù)以上的模塊化設(shè)計(jì),擬定兩種方案如下:
方案一:總部辦公室和遠(yuǎn)程辦公室全部使用互聯(lián)網(wǎng)模塊,辦公室之間用低速ddn專線連接,在兩間辦公室設(shè)立分別的動態(tài)目錄管理,即不同的域,但是都?xì)w屬于同一個(gè)森林,兩間辦公室都存在自己的dns解析,并且設(shè)定對方的dns來解析來自對方網(wǎng)絡(luò)的需求。
方案二:總部辦公室使用互聯(lián)網(wǎng)模塊,連接到isp提供的網(wǎng)絡(luò)服務(wù),而遠(yuǎn)程辦公室只使用遠(yuǎn)程辦公室模塊,所有驗(yàn)證都通過總部服務(wù)器進(jìn)行。但是為了保證遠(yuǎn)程辦公室的員工使用互聯(lián)網(wǎng)資源,兩間辦公室之間必須用高速t1專線連接,以保障帶寬和響應(yīng)速度。在該方案中,若當(dāng)所有的遠(yuǎn)程辦公室的員工同時(shí)試圖登陸到域中時(shí),專線就容易產(chǎn)生擁塞甚至超時(shí)。為了解決同時(shí)間內(nèi)大量的請求使得專線負(fù)擔(dān)過重的問題,在遠(yuǎn)程辦公室模塊中加入ad緩存,定期以小流量與總部辦公室的動態(tài)目錄進(jìn)行同步,這樣就能對專線擁塞起到一定的緩解作用。
四、性能分析
對比兩種設(shè)計(jì)方案,在方案一中,兩間辦公室分別有自己的互聯(lián)網(wǎng)介入,這無疑提高了員工訪問外部網(wǎng)的速度,然而在兩個(gè)網(wǎng)段之間互訪的過程中,低速的ddn專線經(jīng)常造成超時(shí),或者資源不能定位。這種不利因素影響了集成兩間辦公室之間的業(yè)務(wù)聯(lián)系和資源整合。另外考慮到費(fèi)用因素,方案一無疑增加了租用線路的費(fèi)用,而且硬件成本也相應(yīng)增加。兩間辦公室都需要完整的公共服務(wù)支持,如dns,http,vpn等。
表1.方案一和方案二優(yōu)缺點(diǎn)比較
在方案二中,遠(yuǎn)程辦公室只使用了遠(yuǎn)程辦公室模塊,基本上完成第2層交換,所有的登錄驗(yàn)證和互聯(lián)網(wǎng)訪問都會通過t1專線達(dá)到總部辦公室,這樣節(jié)約了在遠(yuǎn)程辦公室設(shè)置第2套互聯(lián)網(wǎng)訪問設(shè)備的費(fèi)用,并且基本上解決了公司內(nèi)部資源共享問題。根據(jù)上面提到,為了能夠避免在網(wǎng)絡(luò)高峰期造成擁塞,本地的ad緩存可以幫助遠(yuǎn)程辦公室的員工登錄進(jìn)入域,并且定期更新資源分配。相應(yīng)的網(wǎng)絡(luò)監(jiān)測軟件可以協(xié)助確定網(wǎng)絡(luò)的繁忙期,這樣利用空閑事情完成ad更新和dns更新。如上表1列舉了兩種方案的優(yōu)缺點(diǎn)。
根據(jù)兩種方案的優(yōu)缺點(diǎn)比較,最終確定了第二種設(shè)計(jì)方案更合適,使用高速專線連接遠(yuǎn)程辦公室到總部辦公室,兩間辦公室共享互聯(lián)網(wǎng)模塊來訪問外部網(wǎng)。為了能有效地利用專線,在遠(yuǎn)程辦公室設(shè)計(jì)ad緩存,能夠在網(wǎng)絡(luò)的非繁忙期進(jìn)行同步。
五、結(jié)論
通過分析宇翔科技有限公司的資源以及網(wǎng)絡(luò)分布狀況,進(jìn)而對小型遠(yuǎn)程辦公網(wǎng)絡(luò)的架構(gòu)給出了兩種設(shè)計(jì)方案,并在文中進(jìn)行了分析探討。通過這次的方案選擇,深入地了解了一般小型公司的網(wǎng)絡(luò)設(shè)計(jì)技巧和性能分析,以及如何利用路由器和第2層交換機(jī)進(jìn)行網(wǎng)絡(luò)信息交換。同時(shí),對于dns,http,vpn等領(lǐng)域有了新的認(rèn)識,并且應(yīng)用于實(shí)踐中。對于中小型公司遠(yuǎn)程訪問的安全考慮方面也進(jìn)行了一些研究,利用網(wǎng)絡(luò)技術(shù)中的過濾功能等來預(yù)防潛在的攻擊以及隱患。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:小型遠(yuǎn)程辦公網(wǎng)絡(luò)設(shè)計(jì)與實(shí)施
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083943646.html