实施方:侠诺科技
送评方:
项目背景
公司现有网络情况
贵公司内部以及各分支机构网络运行有多种企业应用,如内部WWW、文件共享服务、Exchange、公司ERP系统等,公司在未来可能开发更多的内部应用,如Client/Server模式的应用(TCP、UDP或TCP/UDP协议的应用),公司通过防火墙接入Internet。目前公司所有应用仅限于公司局域网内,出差员工不能访问。
总部网络内建设WWW、文件共享服务、Exchange、公司ERP系统,总部各部门局域网络实现联如Internet,但没有实现内部网络互联。
分支A赛百城公司:电脑联入Internet,实现了办公网络半自动化。
分支B系统集成公司:电脑联入Internet,实现了办公网络半自动化。
分支C百脑汇零售店:电脑联入Internet,实现了办公网络半自动化。
分支D山东光山分公司:电脑联入Internet,实现了办公网络半自动化。
分支E/F/G(工程部/安防部/网络工程部): 3个办事处电脑联入Internet,实现了办公网络半自动化。
用户需求分析
根据我方工程技术人员对郑州众诚科技发展有限公的深入了解和分析,此次网络方案实施在保证原由网络的需求下必须满足以下需求:
1、 实现总公司内部局域网络互联,以及分公司,各分支机构和办事处的内部局域网络互联;
2、 客户、合作伙伴或分公司可以安全访问公司授权访问的企业内部网络资源;
3、 出差员工利用公司笔记公共电脑(如机场侯机厅的计算机)也能够较安全地访问公司内部网络资源;
4、 总部保证内网保证至少100台电脑的联入Internet,还要考虑到公司以后的发展接入点的增加,同时实现一级分部通过相关设备在连到总部网络的同时还提供访问公司FTP服务器,连接公司ERP系统提交与查询相关信息等要求;
5、 分支机构A保证至少50台电脑的联入Internet,还要考虑到公司以后的发展接入点的增加,同时实现与总部实现互联同时还提供访问公司FTP服务器,连接公司ERP系统提交与查询相关信息等要求;
6、 分支机构B保证至少20台电脑的联入Internet,还要考虑到公司以后的发展接入点的增加,同时实现与总部实现互联同时还提供访问公司FTP服务器,连接公司ERP系统提交与查询相关信息等要求;
7、 分支机构C保证至少20台电脑的联入Internet,还要考虑到公司以后的发展接入点的增加,同时实现与总部实现互联同时还提供访问公司FTP服务器,连接公司ERP系统提交与查询相关信息等要求;
8、 分支机构D(山东分公司) 保证至少20台电脑的联入Internet,还要考虑到公司以后的发展接入点的增加,同时实现与总部实现互联同时还提供访问公司FTP服务器,连接公司ERP系统提交与查询相关信息等要求;
9、 分支机构E(山东分公司) 保证至少20台电脑的联入Internet,同时考虑到公司以后的发展接入点的增加,同时实现与总部实现互联同时还提供访问公司FTP服务器,连接公司ERP系统提交与查询相关信息等要求;
10、 分支机构E/F/G共3个办事处电脑联入Internet,同时考虑到公司以后的发展接入点的增加,同时实现与总部实现互联同时还提供访问公司FTP服务器,连接公司ERP系统提交与查询相关信息等要求;
11、 可以提供公司出差人员在各地通过互联网和公司网络实现 网络互联还提供访问公司FTP服务器,连接公司ERP系统提交与查询相关信息等需求;
12、 在各分支机构和总公司之间创造一个集成化的办公环境,为工作人员提供多功能的桌面办公环境,解决办公人员处理不同事务需要使用不同工作环境的问题;
13、 支持不同机构间信息传递,解决由人工传送纸介质或磁介质信息的问题,实现工作效率和可靠性的有效提高;
14、 通过路由器对用户实行统一的管理,对访问权限实行分级管理等要求,实现流量控制、端口镜象等要求,通过路由器的相关防火墙功能实现网络的安全管理。
VPN需求总结
针对用户的需求,通过VPN的配置可以解决互联问题,另外对VPN加以相应配置可以实现资料传输的安全性问题。
以现有技术来说,所谓最优选择其实必须根据远程访问的需求与目标而定。目前主流VPN方案有两种:IPSec/IKE和SSL VPN。当前企业需要安全的点对点连接,或用单一装置进行远程访问,并且让企业拥有管理所有远程访问使用能力,IPSec/IKE是最适合的解决方案。
比较那种传输方法比较好时更重要的问题是“那种安全技术最符合远程接入方案的需求?”IPSec可以保护任何IP流量,而SSL专注于应用层流量。IPSec适合长期的连接,即宽带、持续和网络层连接要求。SSL 仅适合于个别的,对应用层和资源的连接,而且支持的应用没有IPSec 多。
实现外出出差员工通过PPTP拨号连接公司网络完成相关工作。
设备选择
使用VPN结构,以上的问题就可迎刃而解:两个办公室间联机,可通过VPN建立的隧道,经由先进地加密技术安全地互相传送,不会被恶意第三者截取分析;非标准TCP/IP的应用,也可通过VPN专有隧道连通,就像在同一个局域网一样;在外移动的行动用户,只要可以连上网路,即可通过VPN设定连回公司,使用各种办公室应用;办公室间的传输,例如视频会议、语音通讯,通过VPN即不受到网路运行商的管制,带宽不会受到限制。
由于VPN的应用受到网管者的欢迎,因此技术也不断演进。一般常见的VPN协定有PPTP、IPSec、SSL等。其中PPTP为微软支持的协定,设定较方便,但保全性不够;IPSec公认是最安全的协定,但是设定复杂,一般的用户不容易操作;SSL则需在服务器端进行介面转换,并不是所有的应用程序都可支持。
在实际操作上,VPN的架设还面临其他的问题:例如当互联网联机掉线时,再安全的VPN也没有作用;中国由于IP资源有限,因此VPN联机必须基于双方为动态IP的基础上建立;由于幅员广大,网管人员要跑遍各个分公司的成长太高,VPN的设定最好简单清楚,略有网略知识者即可完成;每个ISP的IP分派方式都不同,IPSec并不一定都能穿透。
现在时常上的VPN产品繁多,而且功能各不相同,我们本着遵循着方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则,同时联系对郑州众诚科技发展有限公的需求分析,建议在选者VPN连接设备上推荐市场上侠诺科技有限公司的Qno品牌 QVM系列VPN防火墙路由器产品。
Qno QVM系列VPN防火墙路由器产品支持 IPSec VPN连接, 适用于各办公室, 事业伙伴及远程使用者一个安全便利的网络加密方式,包括3DES, DES, 以及AH/ESP加密方式。 VPN 功能提供了各分支点间或大多数远程使用者采VPN方式,将资料自动加密解密的通讯方式,支持Gateway To Gateway ,Client To Gateway与Group VPNs 等模式。具备PPTP服务器功能,具备联机状态显示,可以满足在外出差或想要连回总部或分公司的用户也可使用PPTP或IPSec方式连回企业网络,相对来说PPTP要比IPSec易配制,对移动办公用户比较适合。
而且还配合Qno领先同行独家的QVM功能,独有Smart Link IPSec VPN设定,只需输入VPN服务器IP、用户名、密码即可自动完成IPSec VPN建置,你直接进入路由器QVM功能设定客户端与QVM服务器进行虚拟私有网联机,或是设定为QVM服务器功能接受客户端的虚拟私有网联机,支持备援功能,断线可从另一个WAN自动建立联机。
QVM系列VPN防火墙路由器产品内建进阶型防火墙功能,能够阻绝大多数的网络攻击行为, 使用了SPI封包主动侦测检验技术(Stateful Packet Inspection),封包检验型防火墙主要运作在网络层,执行对每个连接的动态检验,也拥有应用程序的警示功能,让封包检验型防火墙可以拒绝非标准的通讯协议所使用的连结, 预设自动侦测并阻挡。 QVM1000亦同时支持使用网络地址转换 Network Address Translation (NAT)功能以及Routing 路由模式,使网络环境架构更为弹性,易于规划管理。
所以选择侠诺科Qno品牌 QVM系列VPN防火墙路由器产品QVM1000、QVM330以及QVM100作为VPN连接设备,同时Qno路由器产品还满足网络管理以及防火墙功能,实现公司内部网络管理和网络安全的需要。同时在价格上底于同类产品,可以减少你的投资成本。
总部网络通过光扦连接外网,连接路由器交换机选择三层千兆交换机,三层千兆交换机之间用光纤连接,以满足内部网络 VLAN的划分,同时考虑到今后公司的发展,信息点扩充的需要。
网络拓扑结构
企业通过Internet数据传输平台,实施加密的VPN实现接入的办法主要有多种,针对贵公司的网络现状,我们彩用IPSec VPN和PPTP VPN相结合的方法。
经过与其工作人员讨论,总公司以一条光纤联机(ISP分配的固定IP地址),而分公司以用光纤或ADSL联机均可(公网动态IP),作为联机的基础。总公司选择Qvm1000机型,连接四条光纤(ADSL可选,ADSL可连接同一网络营运商来做备援服务,以避免单一营运商掉线的风险及不同运营商网络之间的互卡);分公司则采用Qvm330,各地分支机构可以选择不同网络营运商的线路。对于各分支自己内部的VPN系统,分点办事处建议选用Qvm100,价格较低。对于最以上总公司及分支机构的不同WAN口VPN联机均互相备援,以确保联机的稳定VPN联机采用IPSec协定,以保障联机的安全。总公司与各分公司的VPN设定,通过侠诺专有的SmartLink功能进行。网管人员只要将设备寄到分支机构,并提供总公司VPN通道IP、用户名及密码,即可由具一般计算机操作能力用户完成设定。在外出差或想要连回总部或分公司的用户也可使用PPTP或IPSec方式连回企业网络,相对来说PPTP要比IPSec易配制,对移动办公用户比较适合。
总部100信息点接入,选用QVM1000,内置300条ipsec,100条pptp
分支A赛百城公司: 40-50信息点接入,选用QVM330,内置50条ipsec
分支B系统集成公司: 20信息点接入,选用QVM330,内置50条ipsec
分支C百脑汇零售店: 20信息点接入,选用QVM330,内置50条ipsec
分支D山东光山分公司:20信息点接入,选用QVM330,内置50条ipsec
分支E/F/G(工程部/安防部/网络工程部): 办事处3个可以选用QVM100,内置5条ipsec(也可选用QVM330,内置50条ipsec)
我们公司有足够的实力,从事过许多大型系统的安装,有经验丰富的工程师,能够得到原厂商及时的技术支持,设备在安装前。本公司制定有严格的操作规程,所有的工程人员都必须严格遵守。并严格按照设备安装程序的说明安装。
产品的安装与调试,若为贵公司直接用户将由本公司上门安装调试直到用户清单为止。若为经销商的用户我们将提供最大的技术支持(不含上门)。
方案的效果与特点
1、现有功能运用
通过对网络的假设调试后经过一段时间的运行可以得到的最大的好处课余列如下几点。
1. 总部与分公司透过VPN联机采用IPSec协定,可确保传输数据的安全。
2. 多WAN口的设计,可因应不同带宽的需求,也可同时满足VPN备援的功能,提供多一层的安全保障。公司领导对于VPN联机要求高度稳定,即使断线也要立即接回,不能影响运作。
3. 总公司与各工厂及分公司的VPN设定,透过侠诺专有的SmartLink功能进行。网管人员只要将设备寄到分支机构,并提供总公司VPN闸道IP、用户名及密码,即可由具一般计算机操作能力用户完成设定。在外出差或想要连回总部或分公司的用户也可使用PPTP或IPSec方式连回企业网路。需要快速建立VPN网络 ,对VPN没有太多的了解或认识,但又需要建立一稳定可靠VPN网络。
4. 对于移动用户或临时用户可以借用PPTP拔入,方便快捷。
5. 管制内网用户上网行为,内网用户使用BT、点点通影响其他人上网或限定时间管制上MSN、QQ、或上网。
6. 为冲击波及蠕虫毒病所苦,网速因被黑客攻击而受影响或内网用户常被冲击波及蠕虫毒病所苦。通过 QVM系列的路由器的设置可以解决这样的问题。
2、可扩充性
针对贵公司今后的饿发展可以总结以下可以扩展需求。
1、 QVM1000可支持高速双向Cable Modem (有线电视) 上网,或是使用 ADSL 以及光纤接入。在应用上,对外的WAN口联机可支持高速双向Cable Modem (有线电视) 上网,或是使用 ADSL 以及光纤接入。而对内的联机则可透过DMZ端,连接到对外开放的服务器。内部用户则透过LAN端连接。DMZ服务器,如论坛、下载服务器,可对外界用户开放;LAN口用户则受到防火墙的保护,网管人员也可对其存取加以控管。
2、 为了改善总公司与分点单位的沟通,还可架设视频会议系统,进行生产协调或信息交流,需要稳定的传输能力。
3、 连接多条线路,以取代带宽升级,例如以多条ADSL取代光纤,费用成省又可弹性运用。
4、 VoIP服务需要稳定联机:公司内部建置网路电话VoIP服务,但因ISP管制或线路问题,通话质量不佳。
5、 同时考虑到公司信息点的增加,其QVM1000最大满足500个信息点的连入,以支持同时120,000个联机数。QVM330最多支持100个信息点的连入,以支持同时100,000个联机数。
欲了解详情请直接与厂商联系或通过硅谷动力联系:
电子邮件:solution@mail.enet.com.cn
应用与方案频道:http://www.enet.com.cn/cio
政府采购频道:http://www.enet.com.cn/egov
信息化热线电话:86-10-65245588转3137
传真:86-10-65243096
更多内容请看VPN技术、SSL VPN详细知识介绍专题、VPN解决方案专题,或进入讨论组讨论。
相关专题
- VPN技术 (1067篇文章)
- SSL VPN详细知识介绍专题 (1067篇文章)
- VPN解决方案 (228篇文章)
- VPN解决方案 (136篇文章)
- vpn解决方案 (238篇文章)
- 组建大学宿舍局域网不求人 有线篇 (18371次浏览)
- 网吧新点金石:锐捷解决方案 (383次浏览)
- 技术型网管必备 全面认识网络设备接口 (125次浏览)
- 网络管理必须要引入应用量化管理 (58次浏览)
- Qno侠诺GQF1100大型网吧升级应用案例 (23次浏览)
- 迷雾中的灯塔 802.11n转正前的风雨历程 (0次浏览)
