北京猫王家具公司VPN组建方案
——Qno侠诺QVM系列Smart Link IPSec VPN功能应用
用户背景介绍
北京猫王家具有限公司创办于1991年,产品注册商标为“猫王家具”。专业生产钢木家具的实体型企业,中国家具协会理事单位。公司在太原拥有占地面积20000平方米的生产基地和10000平方米的物流中心,在全国各大中城市均有经销商,产品目前已出口日本、东南亚、欧洲等国。 公司引进德国豪迈(HOMAG)板式生产线、瑞士金马(ITWGEMA)静电喷涂生产线,具有专业的机械加工、静电喷涂表面的处理、板材加工能力。产品采用优质环保材料和成熟工艺制造,质量符合国家和行业标准,猫王家具已通过ISO—9001国际质量体系认证及绿色环保认证。
猫王公司具有较强的产品开发设计能力,匠心独运的猫王家具提供了不受局限的多重组合的可能性,其针对居室及其它办公需求的解决方案,使空间的条理性布置演变成艺术的升华。而与德国著名设计师的合作更使猫王家具彰显现代前卫的设计理念。多年来,猫王家具屡次获得殊荣,2001年在深圳第七届中国家具博览会上获“中国家具设计铜奖”,2000年在上海第六届中国家具博览会上获“中国家具设计银奖”,同年在北京获“中国优秀企业品牌形象奖”。
猫王公司的企业宗旨是通过专业的家居顾问,专注于向小资、白领、另类等时尚、个性一族,提供符合发达国家EHS标准的、风格简约、线条明快、富于个性的优质钢木家具,以营造宽敞、轻松的生活创意空间,与此同时,猫王公司将成为具有国际品质、倡导品味与个性化的专业化家具品牌。
由于业务上的扩大,公司内部以及各分支机构网络运行有多种企业应用,如内部WWW、文件共享服务、ERP系统以及数据库服务器,公司在未来可能开发更多的内部应用,如Client/Server模式的应用(TCP、UDP或TCP/UDP协议的应用),公司通过防火墙接入Internet。目前公司所有应用仅限于公司局域网内,出差员工不能访问。现在是现在外地各分公司的网络接入状况:
上海分公司:电脑联入Internet,实现了办公网络半自动化。
太原分公司:电脑联入Internet,实现了办公网络半自动化。
深圳分公司:电脑联入Internet,实现了办公网络半自动化。
用户需求
根据侠诺科技工程技术人员对猫王家具有限公司的深入了解和分析,此次网络方案实施在保证原由网络的需求下必须满足以下需求:
1、实现北京总公司内部局域网络互联,以及分公司、各分支机构和办事处的内部局域网络互联;
2、客户、合作伙伴或分公司可以安全访问公司授权访问的企业内部网络资源;
3、北京总部保证至少50台电脑连入Internet,还要考虑到公司以后的发展接入信息点的增加,同时实现各分公司通过相关设备连接到总部网络,同时还内建SQL Server数据库服务器,提供相关数据服务,建立ERP服务器,提供公司人事管理查询、添加和修改相关信息等要求;
4、上海、太原和深圳分公司保证至少30台电脑联入Internet,还要考虑到公司以后的发展接入信息点的增加,同时与总部实现互联。访问公司总部 SQL Server服务器,提交、查询和修改数据库相关信息。连接公司ERP系统提交、查询与修改相关信息等要求;
5、在各分支机构和总公司之间创造一个集成化的办公环境,为工作人员提供多功能的桌面办公环境,解决办公人员处理不同事务需要使用不同工作环境的问题;
6、支持不同机构间信息传递,解决由人工传送纸介质或磁介质信息的问题,实现工作效率和可靠性的有效提高;
7、通过路由器对用户实行统一的管理,对访问权限实行分级管理等要求,实现流量控制、端口镜象等要求,通过路由器的相关防火墙功能实现网络的安全管理。
VPN需求总结
针对用户的需求,通过VPN的配置可以解决互联问题,另外对VPN加以相应配置可以实现资料传输的安全性问题。
以现有技术来说,所谓最优选择其实必须根据远程访问的需求与目标而定。目前主流VPN方案有两种:IPSec/IKE和SSL VPN。当前企业需要安全的点对点连接,或用单一装置进行远程访问,并且让企业拥有管理所有远程访问使用能力,IPSec/IKE是最适合的解决方案。
比较那种传输方法比较好时更重要的问题是“那种安全技术最符合远程接入方案的需求?”IPSec可以保护任何IP流量,而SSL专注于应用层流量。IPSec适合长期的连接,即宽带、持续和网络层连接要求。SSL 仅适合于个别的,对应用层和资源的连接,而且支持的应用没有IPSec 多。
据传输要遵循标准IPSec的加密协定。
设备要求
对于 VPN设备的选择必须严格根据猫王家具有限公司司用户的需求,遵循着方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则来选择VPN设备网络设备。下面就时间情况总结选择设备的几个要点:
1、采用硬件VPN网关产品,保证能安全、方便、快捷地进入,并能够访问指定的内部网络资源和服务;
2、总公司和分公司网络建立VPN加密隧道,确保数据传输安全, VPN设备须具有高稳定性和高可靠性,以保障信息网络的正常运行;
3、支持ADSL线路的经济型的全动态IP地址VPN组网方案,并具有DHCP功能,以实现局域网络自动分配IP需求;
4、对本地内网实施上网的访问控制,通过VPN设备的访问控制策略,对内网PC进行严格的访问控制。如:为确保安全性,可对允许上网的PC进行IP和MAC绑定,并通过网关中的安全策略设置对这些PC的数据流进行状态检测,以确保不能被仿冒;也可以使用网关中的“用户上网认证”功能,使用户在使用浏览器上网浏览时,首先要通过网关的访问密码认证等;
5、对外网可以抵御黑客的入侵,起到Firewall作用。其自身强大的全状态检测Firewall功能和IDS抗攻击微引擎,将对内网实施有效保护。另外,如果已经部署了Firewall也可和Firewall一起,构成两道网络防护屏障,为以后进一步加强总部内网的安全留下发展的空间。须具有控制和限制的安全机制和措施,应具备防火墙和抗攻击等功能;
6、具备完善的带宽管理功能,将网络出口带宽合理地分配给隧道流量(业务数据)和其它Internet流量(浏览、邮件等);
7、整个集团公司VPN网络的建立,必须统一规划全网的IP地址。对总部以及各分支机构的网络节点的IP地址要进行统一规划,对各个功能子网段做明确划分,通常以“满足目前需求,保留一定的扩展性”为原则,整个VPN网络内部的IP地址不能有冲突;
8、部署灵活,维护方便,提供强大的管理功能,以减少系统的维护量以适应大规模组网需要。
现在时常上的VPN产品繁多,而且功能各不相同,Qno侠诺的工程师遵循方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则,同时联系对猫王家具有限公司的需求分析,建议在选选择VPN连接设备上推荐侠诺科技的QVM系列VPN防火墙路由器。
配合Qno侠诺领先同行独家的QVM功能,独有SmartLink IPSec VPN设定,只需输入VPN服务器IP、用户名、密码即可自动完成IPSec VPN建置,直接进入路由器QVM功能设定客户端与QVM服务器进行虚拟私有网联机,或是设定为QVM服务器功能接受客户端的虚拟私有网联机,支持备援功能,断线可从另一个WAN自动建立联机。
QVM系列VPN防火墙路由器产品内建进阶型防火墙功能,能够阻绝大多数的网络攻击行为, 使用了SPI封包主动侦测检验技术(Stateful Packet Inspection),封包检验型防火墙主要运作在网络层,执行对每个连接的动态检验,也拥有应用程序的警示功能,让封包检验型防火墙可以拒绝非标准的通讯协议所使用的连结,预设自动侦测并阻挡。QVM1000亦同时支持使用网络地址转换 Network Address Translation (NAT)功能以及Routing 路由模式,使网络环境架构更为弹性,易于规划管理。
VPN网络设计以及网络拓扑结构
企业通过Internet数据传输平台,实施加密的VPN实现接入的办法主要有多种,针对猫王公司的网络现状,经过与其工作人员讨论,北京总公司以两条光普通 ADSL(ISP分配的固定IP地址),而分公司以用一条普通ADSL联机均可(公网动态IP),作为联机的基础。北京总公司选择QVM1000机型,连接2条ADSL(ADSL可选,ADSL可连接同一网络营运商来做备援服务,以避免单一营运商掉线的风险及不同运营商网络之间的互卡);分公司则采用QVM330,也可以选择不同网络营运商的线路。对于最以上总公司及分支机构的不同WAN口VPN联机均互相备援,以确保联机的稳定VPN联机采用IPSec协定,以保障联机的安全。总公司与各分公司的VPN设定,通过侠诺专有的SmartLink功能进行。网管人员把路由器设定好将设备寄到分支机构,并提供总公司VPN通道IP、用户名及密码,即可由具一般计算机操作能力用户完成设定。
北京总部50信息点接入,选用QVM1000,内置300条ipsec;
上海分公司: 30信息点接入,选用QVM330;
太原公司: 30信息点接入,选用QVM330;
深圳分公司: 30信息点接入,选用QVM330。
VPN组建方案网络拓朴图
方案达到目的
1、北京总部与分公司透过VPN联机采用IPSec协定,确保传输数据的安全;
2、多WAN口的设计,可因应不同带宽的需求,也可同时满足VPN备援的功能,提供多一层的安全保障。公司领导对于VPN联机要求高度稳定,即使断线也要立即接回,不影响正常运作;
3、总公司与各工厂及分公司的VPN设定,通过Qno侠诺专有的SmartLink功能进行。网管人员只需将设备寄到分支机构,并提供总公司VPN闸道IP、用户名及密码,即可由具一般计算机操作能力用户完成设定。在外出差或想要连回总部或分公司的用户也可使用PPTP或IPSec方式连回企业网路;
4、管制内网用户上网行为,内网用户使用BT、点点通影响其他人上网或限定时间管制上MSN、QQ、或上网;
5、解决了冲击波及蠕虫毒病所苦,通过 QVM系列的路由器的设置解决了网速因被黑客攻击而受影响或内网用户常被冲击波及蠕虫毒病的侵扰。
效果评测与扩展建议
应用侠诺科技的QVM系列产品及其解决方案六个月以来,猫王公司的网络管理人员表示比较满意,网络运行良好。现在连接公司ERP系统提交、查询与修改相关信息非常方便,与各分公司业务往来再也不用花费更多的时间了。
在网络扩展方面,针对猫公司的实际情况和发展,Qno侠诺工程出也给出了以下建议:
1、QVM1000可支持高速双向Cable Modem (有线电视) 上网,或是使用 ADSL 以及光纤接入。在应用上,对外的WAN口联机可支持高速双向Cable Modem (有线电视) 上网,或是使用 ADSL 以及光纤接入。而对内的联机则可透过DMZ端,连接到对外开放的服务器。内部用户则通过LAN端连接。DMZ服务器,如论坛、下载服务器,可对外界用户开放;LAN口用户则受到防火墙的保护,网管人员也可对其存取加以控管;
2、为了改善总公司与分点单位的沟通,还可架设视频会议系统,进行生产协调或信息交流,需要稳定的传输能力;
3、对于以后公司移动用户或临时用户可以借用PPTP拔入,方便快捷;
4、连接多条线路,以取代带宽升级,例如以多条ADSL取代光纤,费用节省又可弹性运用;
5、VoIP服务需要稳定联机:公司内部建置网路电话VoIP服务,但因ISP管制或线路问题,通话质量不佳;
6、同时考虑到公司信息点的增加,其QVM1000最大满足500个信息点的连入,以支持同时120,000个联机数。QVM330最多支持100个信息点的连入,以支持同时100,000个联机数。