一、用戶背景介紹
江蘇常松機械集團有限公司位于江蘇省常州市市中心,創建于1991年,是工貿一體的集團型股份制企業。公司主導產品包括工程機械(裝載機)、彩色鋼板、鍍鋅板、塑料機械、內燃機配件等幾大系列。 公司于常州有一號及二號兩個分廠,在上海及江陰都設有分公司。
常松集團本著“以科技為先導,以質量為中心,不斷創新,向用戶提供滿意的產品和服務”的質量方針,經過十幾年的努力發展,先后榮獲“國家二級企業”、“省級先進企業”、“AAA級資信企業”、“工商免檢企業”、“重合同守信用企業”、“江蘇省優秀民營企業”、“常州市知名商標”等榮譽稱號,并通過ISO9001:2000版質量管理體系認證,QS9000、ISO/TS16949質量體系認證。
公司內部以及各分支機構網絡以前一直在通過D牌804型號產品作為VPN網關,運行多種企業應用程序,如內部文檔共享服務、ERP系統以及PDM數據庫服務器。隨著企業規模的不斷擴大,該產品已經無法滿足企業應用需求。
二、用戶需求
常松集團提出以下網絡建置需求:
1、實現常州總公司內部局域網互聯,分公司、各分支機構和辦事處的內部局域網互聯;
2、客戶、合作伙伴或分公司可以安全訪問公司授權訪問的企業內部網絡資源;
3、常州總部保證至少100臺計算機連入國際網絡,考慮到公司以后的發展接入信息點的增加,同時實現各分公司通過相關設備連接到總部網絡,同時還內建SQL Server數據庫服務器,提供相關數據服務,建立ERP服務器,提供公司財務,人事管理、添加和修改相關信息等要求;
4、上海、江陰分公司保證至少50臺計算機聯入國際網絡,常州1-2號分廠保證至少20臺計算機聯入國際網絡;還要考慮到公司以后的發展接入信息點的增加,同時與總部實現互聯。訪問公司總部SQL Server服務器,PDM服務器;提交、查詢和修改數據庫相關信息。連接公司金蝶K3 ERP系統提交、查詢與修改相關信息等要求;
5、在各分支機構和總公司之間創造一個集成化的辦公環境,為工作人員提供多功能的桌面辦公環境,解決辦公人員處理不同事務需要使用不同工作環境的問題;
6、支持不同部門間信息傳遞,解決由人工傳送紙介質或磁介質信息的問題,實現工作效率和可靠性的有效提高;
7、通過路由器對用戶實行統一管理,對訪問許可權實行分級管理等要求,實現流量控制、埠鏡象等要求,通過路由器的相關防火墻功能實現網絡的安全管理。
針對用戶的需求,俠諾科技工程師建議通過VPN的配置可以解決互聯問題,另外對VPN加以帶寬管理及內部權限控管相應配置可以實現數據傳輸的安全性問題。[NextPage]
三、設備要求
根據江蘇常松機械集團有限公司用戶的需求,對于 VPN設備的選擇,必須嚴格遵循著方便實用、高效低成本、安全可靠、網絡架構彈性大等相關原則來選擇VPN設備網絡設備。下面就用戶需求情況總結選擇設備的幾個要點:
1、所選用硬件VPN網關,保證能安全、方便、快捷地進入,并能夠訪問指定的內部網絡資源和服務;
2、總公司和分公司網絡建立VPN加密隧道,確保數據傳輸安全, VPN設備須具有高穩定性和高可靠性,以保障信息網絡的正常運行;
3、支持以ADSL線路基礎的經濟型的全動態IP地址VPN組網方案,并具有DHCP功能,以實現局域網自動分配IP需求;
4、對本地內網實施上網的訪問控制,通過VPN設備的訪問控制策略,對內網PC進行嚴格的訪問控制。如:為確保安全性,可對允許上網的PC進行IP和MAC綁定,并通過VPN網關中的安全策略設置對這些PC的數據流程進行狀態檢測,以確保不能被仿冒;也可以使用產品中的“用戶上網認證”功能,使用戶在使用流覽器上網流覽時,首先要通過閘道的訪問密碼認證等;
5、對外網可以抵御黑客的入侵,起到Firewall作用。其自身強大的全狀態檢測Firewall功能和IDS抗攻擊微引擎,將對內網實施有效保護。另外,如果已經部署了Firewall也可和Firewall一起,構成兩道網絡防護屏障,為以后進一步加強總部內網的安全留下發展的空間。須具有控制和限制的安全機制和措施,應具備防火墻和抗攻擊等功能;
6、具備完善的帶寬管理功能,將網絡出口帶寬合理地分配給隧道流量(業務數據)和其它網際網絡流量(瀏覽、郵件等);
7、整個公司VPN網絡的建立,必須統一規劃全網的IP地址。對總部以及各分支機構的網絡節點的IP地址要進行統一規劃,對各個功能子網段做明確劃分,通常以“滿足目前需求,保留一定的擴展性”為原則,整個VPN網絡內部的IP地址不能有沖突;
8、部署靈活,維護方便,提供強大的管理功能,以減少系統的維護量以適應大規模組網需要。
現在時下的VPN產品繁多,而且功能各不相同,由Qno俠諾常州地區代理商——常州程錦網絡公司,通過上述用戶要求,建議在選選擇VPN連接設備上推薦俠諾科技的QVM系列VPN防火墻路由器。
QVM系列VPN防火墻路由器產品內建進階型防火墻功能,能夠阻絕大多數的網絡攻擊行為, 使用了SPI封包主動儉測檢驗技術(Stateful Packet Inspection),封包檢驗型防火墻主要運作在網絡層,執行對每個連接的動態檢驗,也擁有應用程序的警示功能,讓封包檢驗型防火墻可以拒絕非標準的通信協議所使用的鏈接,默認自動儉測并阻擋。QVM系列亦同時支持使用網絡地址轉換 Network Address Translation (NAT)功能以及Routing 路由模式,使網絡環境架構更為彈性,易于規劃管理。
此外,Qno俠諾另有領先于業界的獨家QVM功能,獨有SmartLink IPSec VPN設定,只需輸入VPN服務器IP、用戶名、密碼即可自動完成IPSec VPN建置,直接進入路由器QVM功能設定用戶端與QVM服務器進行虛擬私有網聯機,或是設定為QVM服務器功能接受用戶端的虛擬私有網聯機,支持備援功能,斷線可從另一個WAN自動建立聯機。
四、VPN網絡設計以及網絡拓撲結構
江蘇常松機械集團有公司網絡應用拓樸圖 [NextPage]
在了解集團整個網絡狀況和集團領導要求后,考慮到下一代網絡業務(VoIP,網絡視頻會議)對帶寬的要求,決定采用臺灣俠諾QNO QVM660 VPN防火墻作為集團總部的VPN網關,同時接入電信10M光纖一條;江陰分公司/常州1-2號分廠各接入電信10M 光纖一條,上海分公司接入電信ADSL 寬帶一條;鑒于各分公司的規模,均采用QNO QVM330作為接入端的VPN網關,QVM660和QVM330都具有多WAN口,為以后分公司的VPN鏈路備援和帶寬增加提供了升級條件,保障了客戶的投資; QNO QVM系列的VPN路由器具有的VPN Smartlink功能讓原先VPN相關的23個參數設置簡化成3個參數,在公司總部即可觀察和修改分部的VPN設置,極大的減少了網管的工作量。
常州總部:100信息點接入,選用QVM660;
上海 江陰分公司:50信息點接入,逐步更換成QVM330;
常州1-2號分廠: 20信息點接入,逐步更換成QVM330;
五、方案達到目的
常州總部與上海 江陰分公司,常州1-2號分廠透過VPN聯機采用IPSec協定,確保傳輸數據的安全;
1、多WAN口的設計,可根據不同帶寬的需求,也可同時滿足VPN備援的功能,提供多一層的安全保障。公司領導對于VPN聯機要求高度穩定,即使斷線也要立即接回,不影響正常運作;
2、管制內網用戶上網行為,內網用戶使用BT、點點通影響其它人上網或限定時間管制上MSN、QQ、或上網;
3、解決了疾風病毒及蠕蟲毒病所苦,通過 QVM系列的路由器的設置解決了網速因被黑客攻擊而受影響或內網用戶常被疾風病毒及蠕蟲毒病的侵擾。
六、效果評測與擴展建議
應用俠諾科技的QVM系列產品及其解決方案1個月以來,江蘇常松機械集團有限公司的網絡管理人員表示比較滿意,網絡運行良好。特別是QNO VPN路由器的一些人性化設置非常方便(比如一鍵封QQ 彈性QOS流量控制),很好的對企業員工進行了權限控制,另外現在分公司連接公司ERP系統提交、查詢與修改相關信息非常方便,與各分公司業務往來再也不用花費更多的時間了。
在網絡擴展方面,針對江蘇常松機械集團有限公司的實際情況和發展,工程技術人員給出了以下建議:
1、QVM660可支持高速雙向Cable Modem (有線電視) 上網,或是使用 ADSL 以及光纖接入。在應用上,對外的WAN口聯機可支持高速雙向Cable Modem (有線電視) 上網,或是使用 ADSL 以及光纖接入。而對內的聯機則可透過DMZ端,連接到對外開放的服務器。內部用戶則通過LAN端連接。DMZ服務器,如論壇、下載服務器,可對外界用戶開放;LAN口用戶則受到防火墻的保護,網管人員也可對其存取加以控管;
2、為了改善總公司與分點單位的溝通,還可架設視頻會議系統,進行生產協調或信息交流,需要穩定的傳輸能力;
3、對于以后公司的B/S訪問模式的應用程序,公司可以隨時嵌入SSL VPN網關設備來實現移動用戶或臨時用戶的遠程
京公網安備 11010502049343號