企业背景
郑州众诚科技发展有限公司是一家以电脑及网络技术推广应用为基础,专业从事资讯系统集成、电脑及网络产品销售、电脑软硬件产品开发生产的高科技民营股份制企业。公司成立于1993年,位于郑州市闻名的高科技区—河南科技市场内。注册资本2,000万元。现有营业及办公面积三千多平方米。公司自成立以来,本着品质第一、诚信为本的企业宗旨,一步一个脚印地向前发展。十年来的创业之路,众诚科技历经市场风雨洗礼,不断地发展壮大,已逐步发展成为集科研、开发、生产和销售为一体的综合性企业。综合实力位居我省IT行业的领先地位。
该公司内部以及各分支机构网络运行有多种企业应用,如总部内建设WWW、完档共用服务、Exchange、公司ERP系统等。公司在未来可能开发更多的内部应用,如Client/Server模式的应用(TCP、UDP或TCP/UDP协议的应用),公司通过防火墙接入Internet。目前公司所有应用仅限于公司局域网内,出差员工不能访问。
分支A赛百城公司、分支B系统集成公司、分支C百脑汇零售店、分支D山东光山分公司以及分支E/F/G(工程部/安防部/网络工程部)3个办事处,各分支机构都以电脑联入Internet,概念上实现了半自动化办公网络。
用户需求分析
根据Qno侠诺工程师对郑州众诚科技发展有限公司的深入了解和分析,此次网络方案实施在保留原有网络环境的情况下,必须满足以下需求:
1、实现总公司内部区域网络互联,以及分公司、各分支机构和办事处的内部区域网络互联;
2、客户、合作伙伴或分公司可以安全访问公司授权访问的企业内部网络资源;
3、出差员工利用笔记本或公共电脑(如机场候机厅的电脑)也能够较安全地访问公司内部网络资源;
4、总部内网保证至少100台电脑联入Internet,还要考虑到公司以后的发展接入点的增加,同时实现一级分部通过相关设备在连到总部网络的同时还提供访问公司FTP伺服器,连接公司ERP系统提交与查询相关资讯等要求;
5、分支机构A保证至少50台电脑的联接Internet,分支机构B保证至少20台电脑的联接Internet,分支机构C、分支机构D(山东分公司)保证至少20台电脑的联接Internet, 分支机构E/F/G共3个办事处电脑联接Internet,同时考虑到各分支公司以后的发展接入点的增加,同时实现与总部实现互联同时还提供访问公司FTP伺服器,连接公司ERP系统提交与查询相关资讯等要求;
6、可以提供公司出差人员在各地通过互联网和公司网络实现网络互联,还提供访问公司FTP服务器,连接公司ERP系统提交与查询相关资讯等需求;
7、在各分支机构和总公司之间创造一个集成化的办公环境,为工作人员提供多功能的桌面办公环境,解决办公人员处理不同事务需要使用不同工作环境的问题;
8、支援不同机构间资讯传递,解决由人工传送纸介质或磁介质资讯的问题,实现工作效率和可靠性的有效提高;
9、通过路由器对用户实行统一的治理,对访问许可权实行分级治理等要求,实现流量控制、埠镜像等要求,通过路由器的相关防火墙功能实现网络的安全治理。 网络拓扑结构
众诚科技通过Internet资料传输平台,实施加密的VPN实现接入的办法主要有多种,针对该公司的网络现状,决定采用Qno侠诺SmartLink VPN和PPTP VPN相结合的方法。Qno侠诺SmartLink VPN适用于点对点的区域网络连接,采用简单的三个参数即可建立VPN,则时具有ipsec的安全及SSL的方便性。PPTP则适用于移动用户,可采用电脑内部的PPTP用户端功能,可以很方便地在笔记本电脑或是临时使用的电脑上进行配置。以上两种组合,可解决局域网互联及移动用户的问题。
经过与讨论,建议总公司100资讯点接入,选择Qno侠诺QVM1000,连接四条光纤(ADSL可选,ADSL可连接同一网络营运商做备援服务,避免单一营运营商掉线的风险及不同运营商之间的互卡问题);分公司则采用Qno侠诺QVM330,各地分支机构可以选择不同网络营运商的线路。对于各分支自己内部的VPN系统,分点办事处建议选用Qno侠诺QVM100,价格较低。分支A赛百城公司,40-50资讯点接入,选用Qno侠诺QVM330。分支B系统集成公司、分支C百脑汇零售店以及分支D山东光山分公司分别20资讯点接入,选用Qno侠诺QVM330。分支E/F/G(工程部/安防部/网络工程部),3个办事处可选用Qno侠诺QVM100。
对于以上总公司及分支机构的不同WAN口VPN联机均互相备援,以确保联机的稳定VPN联机采用IPSec协定,以保障联机的安全。总公司与各分公司的VPN设定,通过Qno侠诺专有的SmartLink功能进行。在外出差或想要连回总部或分公司的用户也可使用PPTP或IPSec方式连回企业网络,相对来说PPTP要比IPSec易配制,对移动办公用户比较适合。
众诚科技IPSec VPN组网拓朴图
方案的效果与特点
1、现有功能运用
通过对网络的假设调试后经过一段时间的运行可以得到的最大的好处,列有如下几点:
A、总部与分公司通过VPN联机采用SmartLink VPN的内部金钥加密协定,可确保传输资料的安全;
B、实现总公司与各分支机构的ERP关系系统的连接;
C、多WAN口的设计,可应对不同带宽的需求,也可同时满足VPN备援的功能,提供多一层的安全保障。公司领导对于VPN联机要求高度稳定,即使断线也要立即接回,不能影响运作;
D、总公司与各工厂及分公司的VPN设定,通过Qno侠诺特有的SmartLink功能进行。网管人员只要将设备寄到分支机构,并提供总公司VPN闸道IP、用户名及密码,具备一般电脑操作水平的工作人员就可以轻松完成设定。在外出差或想要连回总部或分公司的用户也可使用PPTP或IPSec方式连回企业网络;
E、对于移动用户或临时用户可以借用PPTP接入,方便快捷;
F、管制内网用户上网行为,内网用户使用BT、点点通影响其他人上网或限定时间管制上MSN、QQ、或上网;
G、避免了因冲击波及蠕虫毒病,网速被骇客攻击而受影响或内网用户常被冲击波及蠕虫毒病困扰的烦恼,通过 QVM系列的路由器的设置就可以轻松解决以上问题。
2、可扩充性
针对该公司今后的网络发展,可以总结为以下几点:
A、QVM1000可支援高速双向Cable Modem (有线电视) 上网,或是使用 ADSL 以及光纤接入。在应用上,对外的WAN口联机可支援高速双向Cable Modem (有线电视) 上网,或是使用 ADSL 以及光纤接入。而对内的联机则可透过DMZ端,连接到对外开放的伺服器。内部用户则透过LAN端连接。DMZ服务器,如论坛、下载服务器,可对外界用户开放;LAN口用户则受到防火墙的保护,网管人员也可对其存取加以控管;
B、为了改善总公司与分点单位的沟通,还可架设视频会议系统,进行生产协调或资讯交流,需要稳定的传输能力。视频会议系统如有需要,可以进行带宽治理的配置,达到较稳定的传输效果;
C、连接多条线路,以取代带宽升级,例如以多条ADSL取代光纤,既省费用又可弹性运用;
D、VoIP服务需要稳定联机:公司内部建置网络电话VoIP服务,但因ISP管制或线路问题,通话品质不佳。带宽治理的配置,达到较稳定的传输效果;
E、同时考虑到公司资讯点的增加,其QVM1000最多满足支援同时120,000个联机数。QVM330最多支援同时100,000个联机数。
用户感受及评价
在使用了Qno侠诺的SmartLink VPN组网方案后,解决了不少实质问题,现在无论总公司、分公司、分支办公室和出差员工都可以轻松互连。现在网管员只需几项设定,即轻松可完成治理工作,省时力省心!