引言
某集團(tuán)公司下設(shè)單位約有30個(gè)左右,并且均為非企業(yè)注冊地辦事機(jī)構(gòu),遍布全國各地方省市。每個(gè)駐外辦事機(jī)構(gòu)均需同企業(yè)集團(tuán)公司進(jìn)行溝通聯(lián)絡(luò),如果采用專線聯(lián)系的方法,成本較高,難以實(shí)施。因此企業(yè)決定采用目前較為流行的VPN網(wǎng)絡(luò)形式進(jìn)行聯(lián)結(jié),這被認(rèn)為是較為高效且可行的方案。
為了提高企業(yè)的生產(chǎn)效率的同時(shí)并且提高企業(yè)的管理效率,加強(qiáng)信息化管理的程度,該企業(yè)集團(tuán)需要建立起穩(wěn)定、高速、可靠的網(wǎng)絡(luò)信息管理系統(tǒng)。新的網(wǎng)絡(luò)信息管理系統(tǒng)是一個(gè)集協(xié)作辦公、生產(chǎn)管理和視頻會(huì)議為一體的多功能企業(yè)網(wǎng)絡(luò),這個(gè)網(wǎng)絡(luò)包括各個(gè)駐外機(jī)構(gòu)與本企業(yè)集團(tuán)公司直接聯(lián)系用的VPN網(wǎng)絡(luò)系統(tǒng)。
由于該企業(yè)集團(tuán)公司在全國范圍內(nèi)擁有許多分支、下設(shè)機(jī)構(gòu),這就要求該網(wǎng)絡(luò)具有多種應(yīng)用途徑,包括:生產(chǎn)管理、OA、財(cái)務(wù)管理、銷售管理等等,并且這些應(yīng)用模式并不僅僅基于Web形式。IPSec VPN網(wǎng)絡(luò)是一種完美的解決方案,它可以為幾乎所有的應(yīng)用提供訪問頁面;并且,VPN也不僅僅是用于外部用戶方問和出差人員對內(nèi)部網(wǎng)絡(luò)的方問需要而設(shè)計(jì)的—— 即便是辦公人員和生產(chǎn)管理人員不在辦公室內(nèi),員工需要對集團(tuán)公司內(nèi)部網(wǎng)絡(luò)中的一些資源進(jìn)行方問使用,VPN可以滿足員工對內(nèi)部某些特定資源的訪問和使用。
該網(wǎng)絡(luò)的設(shè)計(jì)原則本著先進(jìn)性、實(shí)用性、經(jīng)濟(jì)性、可靠性, “四性合一” 的原則進(jìn)行VPN網(wǎng)絡(luò)的設(shè)計(jì)運(yùn)行,使得該網(wǎng)絡(luò)具有可靠性好、實(shí)用性高、擴(kuò)展性強(qiáng)以及標(biāo)準(zhǔn)統(tǒng)一的特點(diǎn),可以靈活地同用戶的各種需求相接合,為不同的網(wǎng)絡(luò)方問業(yè)務(wù)提供基礎(chǔ)保證。
二、VPN的核心層面
VPN (Virtual Private Network)是一種對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行封包后再加密傳輸?shù)募夹g(shù),可以在互聯(lián)網(wǎng)上建立起臨時(shí)、安全的連接,并傳遞私有數(shù)據(jù),能夠達(dá)到私人網(wǎng)絡(luò)的安全用戶級別,從而利用互聯(lián)網(wǎng)構(gòu)筑起企業(yè)專有網(wǎng)絡(luò),是企業(yè)內(nèi)部網(wǎng)絡(luò)的向外延伸,可以給用戶提供到專用網(wǎng)絡(luò)所必須具備的網(wǎng)絡(luò)功能,但是其本身又不是一個(gè)獨(dú)立自由的物理網(wǎng)絡(luò)系統(tǒng)。
VPN的核心技術(shù)是“隧道” (Tunneling)技術(shù),它的核心過程是在源局域網(wǎng)和公網(wǎng)的對接口位置,將數(shù)據(jù)作為負(fù)載封裝在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式里,在目的局域網(wǎng)和公網(wǎng)的對接口部分將已經(jīng)封裝的數(shù)據(jù)再解封,取出負(fù)載。封裝后的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞過程中經(jīng)過的邏輯路徑被稱為“隧道”。隧道技術(shù)允許VPN的數(shù)據(jù)流經(jīng)由路由,再通過網(wǎng)絡(luò),而且不論生成該數(shù)據(jù)流的是哪一種類型的網(wǎng)絡(luò)或者是設(shè)備。某種意義上講,VPN的操作可以獨(dú)立于其它網(wǎng)絡(luò)操作協(xié)議,隧道內(nèi)的數(shù)據(jù)流或者數(shù)據(jù)包可以是IP、甚至是IPX以及AppleTalk等不同類型的網(wǎng)絡(luò)數(shù)據(jù)包。所以VPN必須通過跨越于IP協(xié)的公用網(wǎng)絡(luò)共同構(gòu)建起安全專用通道實(shí)現(xiàn)公用網(wǎng)絡(luò)的私用傳遞。
三、VPN網(wǎng)絡(luò)的硬件解決方案和設(shè)備選擇方案
依據(jù)集團(tuán)內(nèi)部的需要,考慮經(jīng)濟(jì)、質(zhì)量等各方面不同因素,VPN網(wǎng)絡(luò)的核心VPN設(shè)備網(wǎng)御神州G10,各省市分支機(jī)構(gòu)選取設(shè)備為網(wǎng)御神州G7,移動(dòng)終端用戶選取了網(wǎng)御神州Client軟件。
網(wǎng)御神州G10的構(gòu)建基于網(wǎng)御神州(北京)科技公司的安全路由設(shè)計(jì)技術(shù)(SRT),并集合了管理、路由、接入、安全策略等功能,在單一的硬件設(shè)計(jì)基礎(chǔ)之上,提供了IP路由接入、虛擬專用網(wǎng)絡(luò)、加密、認(rèn)證等安全設(shè)計(jì)功能。網(wǎng)御神州G10采用了處理能理較強(qiáng)的雙核2.6HZ處理器,支持了8000個(gè)隧道同時(shí)發(fā)出,能夠?yàn)樵撈髽I(yè)集團(tuán)的VPN網(wǎng)絡(luò)提共超強(qiáng)的服務(wù)和傳輸性能,并且能夠滿足企業(yè)集團(tuán)對于安全生產(chǎn)、辦公的能力網(wǎng)御神州G7是建構(gòu)于路由技術(shù)(SRT)之上的產(chǎn)品,并且使用了900HZ的處理器,擁有3個(gè)16/160-T以太終端網(wǎng)口,可以提供600個(gè)隧道的同時(shí)運(yùn)行。
四、VPN核心設(shè)備的布置與安裝
網(wǎng)御神州G10與天防火墻G60并列排布,如圖1中所示:
圖1 網(wǎng)御神,NGlO與防火墻G60布局
網(wǎng)御神州Gl0 VPN設(shè)備和防火墻G60并列布屬,上連NCiseo PIX防火墻,G10 VPN設(shè)備和PIX相連接的端口IP設(shè)為私有地址。在PIX上建立起VPN隧道連接所需的四個(gè)端口:50(ESP)、600、68(AN),增設(shè)一條靜態(tài)的NAT:從公有網(wǎng)絡(luò)的地址到G10 VPN的私有地址之間,G60的配置不改變。
五、各地分支機(jī)構(gòu)的節(jié)點(diǎn)解決方案及硬件配置
由于該集團(tuán)公司外設(shè)機(jī)構(gòu)有30多個(gè),遍布全國各省市自治區(qū)。每個(gè)駐外機(jī)構(gòu)與集團(tuán)公司內(nèi)部的VPN聯(lián)接,均需要通過公用網(wǎng)絡(luò),當(dāng)然這個(gè)公用網(wǎng)絡(luò)是經(jīng)過VPN加密的。集團(tuán)公司內(nèi)部的服務(wù)器可以同駐外機(jī)構(gòu)的服務(wù)器相互訪問,駐外機(jī)構(gòu)之間的服務(wù)器不需要直接進(jìn)行相互訪問。每個(gè)駐外機(jī)構(gòu)的員工大致控制在60人之內(nèi),主要的服務(wù)系統(tǒng)包括:辦公自動(dòng)化系統(tǒng)、郵件系統(tǒng)和視頻會(huì)議系統(tǒng)等。集團(tuán)公司使用10.x.x.x的私用網(wǎng)絡(luò)地址,經(jīng)過信息港NAT映射為公網(wǎng)地址再進(jìn)行互相訪問;駐外機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)要使用集團(tuán)公司統(tǒng)一分配的私有地址。VPN設(shè)備還支持移動(dòng)辦公用戶通過互聯(lián)網(wǎng)連接集團(tuán)公司內(nèi)網(wǎng)。
根據(jù)集團(tuán)公司的要求,將駐外的機(jī)構(gòu)用戶分成兩類:一類是移動(dòng)類型的用戶,這主要針對通過互聯(lián)網(wǎng)及接人到集團(tuán)公司內(nèi)部單機(jī)或者比較小的駐外機(jī)構(gòu)(僅有數(shù)臺計(jì)算機(jī))。對于這類用戶,安裝網(wǎng)御神州Client軟件。通過用戶名和密碼,用戶將VPN軟件的使用與Internet聯(lián)接起來(通過VPN聯(lián)接集團(tuán)公司內(nèi)部網(wǎng)絡(luò)),如圖2所示。
圖2 VPN聯(lián)接內(nèi)部網(wǎng)絡(luò)流程圖
為保證核心網(wǎng)絡(luò)安全,使用網(wǎng)御神州的SPlitTunneling安全機(jī)制,該機(jī)制能夠令到遠(yuǎn)程辦公室的網(wǎng)點(diǎn)既可以通過IPSec隧道訪問集團(tuán)公司的內(nèi)部網(wǎng)站,也可以訪問集團(tuán)公司的外部網(wǎng)站,為了排除相應(yīng)的安全隱患,可以對其進(jìn)行防火墻軟件的安裝。如下圖3中所示。
圖3 大型分支機(jī)構(gòu)VPN聯(lián)接圖
另一種用戶的情況如下描述中所示:
1.用戶沒有相應(yīng)的防火墻和地址轉(zhuǎn)換器的功能,并且使用著公用地址的分支機(jī)構(gòu)。對于這些大型分支機(jī)構(gòu)來說,因?yàn)槭褂霉驳刂,所以這些分支機(jī)構(gòu)不需要址址轉(zhuǎn)換器,因此,可以通過網(wǎng)御神州G7經(jīng)由以太網(wǎng)分別接人路由器和局域網(wǎng)交換機(jī)等內(nèi)容,網(wǎng)御神州G7可以再次充當(dāng)起VPN的網(wǎng)關(guān)以及防火墻的功能,另外也可以將VPN和防火墻一起考慮。
2.用戶有防火墻,但是使用公用地址的分支機(jī)構(gòu)和用戶也有防火墻,使用私有地址的分支機(jī)構(gòu)。
以上兩種形式的結(jié)構(gòu)圖由于較為復(fù)雜,就不在文中再列示。
六、項(xiàng)目的整體評價(jià)
一是,VPN在企業(yè)公司集團(tuán)中的應(yīng)用簡化了企業(yè)集團(tuán)的網(wǎng)絡(luò)設(shè)計(jì),使得長途線路進(jìn)行安裝、配置的任務(wù)量急劇地減少,可以簡化Internet的設(shè)計(jì)特征;二是,降低了公司的設(shè)計(jì)成本,VPN的建立,使得企業(yè)的生產(chǎn)銷售及辦公活動(dòng)全部都置于網(wǎng)絡(luò)可監(jiān)控的情況之下,使得網(wǎng)絡(luò)維護(hù)和使用的成本極大地降低,借助于Intemet網(wǎng)絡(luò)來建立ISP聯(lián)接的VPN,能夠節(jié)省大量通信費(fèi)用;三是,VPN網(wǎng)絡(luò)的安全性較高,網(wǎng)絡(luò)的安全性是企業(yè)集團(tuán)公司考慮的最重要的方面,VPN能夠以多種方式來保證用戶網(wǎng)絡(luò)的安全性能,首先是VPN對數(shù)據(jù)封包的加密,另外也對VPN設(shè)備的防火墻功能的使用也可以加大企業(yè)內(nèi)、外部網(wǎng)絡(luò)的安全性;四是擴(kuò)展VPN軟件更為容易,如果分支機(jī)構(gòu)增加也只需要增加相應(yīng)的網(wǎng)御神州設(shè)備即可建立起VPN聯(lián)接,訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)。
七、總結(jié)
該企業(yè)集團(tuán)公司利用VPN技術(shù)與企業(yè)各駐外機(jī)構(gòu)進(jìn)行聯(lián)接和溝通,形成相應(yīng)的VPN網(wǎng)絡(luò),使用維護(hù)和建設(shè)費(fèi)率都較低,在能夠提供足夠安全保障的前提下,才實(shí)現(xiàn)信息資源的遠(yuǎn)程訪問,能夠進(jìn)行異地協(xié)作辦公,生產(chǎn)管理控制以及視頻會(huì)議等等多種功能,使整個(gè)企業(yè)的管理信息化,系統(tǒng)化。VPN網(wǎng)絡(luò)不僅能夠給下屬機(jī)構(gòu)提供網(wǎng)絡(luò)聯(lián)接服務(wù),滿足了各個(gè)分支機(jī)構(gòu)對于網(wǎng)絡(luò)互聯(lián)網(wǎng)和企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問需求。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:VPN網(wǎng)絡(luò)在企業(yè)生產(chǎn)辦公中的應(yīng)用
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083947962.html