引言

    某集團公司下設單位約有30個左右，并且均為非企業(yè)注冊地辦事機構(gòu)，遍布全國各地方省市。每個駐外辦事機構(gòu)均需同企業(yè)集團公司進行溝通聯(lián)絡，如果采用專線聯(lián)系的方法，成本較高，難以實施。因此企業(yè)決定采用目前較為流行的VPN網(wǎng)絡形式進行聯(lián)結(jié)，這被認為是較為高效且可行的方案。

    為了提高企業(yè)的生產(chǎn)效率的同時并且提高企業(yè)的管理效率，加強信息化管理的程度，該企業(yè)集團需要建立起穩(wěn)定、高速、可靠的網(wǎng)絡信息管理系統(tǒng)。新的網(wǎng)絡信息管理系統(tǒng)是一個集協(xié)作辦公、生產(chǎn)管理和視頻會議為一體的多功能企業(yè)網(wǎng)絡，這個網(wǎng)絡包括各個駐外機構(gòu)與本企業(yè)集團公司直接聯(lián)系用的VPN網(wǎng)絡系統(tǒng)。

    由于該企業(yè)集團公司在全國范圍內(nèi)擁有許多分支、下設機構(gòu)，這就要求該網(wǎng)絡具有多種應用途徑，包括：生產(chǎn)管理、OA、財務管理、銷售管理等等，并且這些應用模式并不僅僅基于Web形式。IPSec VPN網(wǎng)絡是一種完美的解決方案，它可以為幾乎所有的應用提供訪問頁面；并且，VPN也不僅僅是用于外部用戶方問和出差人員對內(nèi)部網(wǎng)絡的方問需要而設計的—— 即便是辦公人員和生產(chǎn)管理人員不在辦公室內(nèi)，員工需要對集團公司內(nèi)部網(wǎng)絡中的一些資源進行方問使用，VPN可以滿足員工對內(nèi)部某些特定資源的訪問和使用。

    該網(wǎng)絡的設計原則本著先進性、實用性、經(jīng)濟性、可靠性， “四性合一” 的原則進行VPN網(wǎng)絡的設計運行，使得該網(wǎng)絡具有可靠性好、實用性高、擴展性強以及標準統(tǒng)一的特點，可以靈活地同用戶的各種需求相接合，為不同的網(wǎng)絡方問業(yè)務提供基礎(chǔ)保證。

二、VPN的核心層面

    VPN (Virtual Private Network)是一種對網(wǎng)絡數(shù)據(jù)進行封包后再加密傳輸?shù)募夹g(shù)，可以在互聯(lián)網(wǎng)上建立起臨時、安全的連接，并傳遞私有數(shù)據(jù)，能夠達到私人網(wǎng)絡的安全用戶級別，從而利用互聯(lián)網(wǎng)構(gòu)筑起企業(yè)專有網(wǎng)絡，是企業(yè)內(nèi)部網(wǎng)絡的向外延伸，可以給用戶提供到專用網(wǎng)絡所必須具備的網(wǎng)絡功能，但是其本身又不是一個獨立自由的物理網(wǎng)絡系統(tǒng)。

    VPN的核心技術(shù)是“隧道” (Tunneling)技術(shù)，它的核心過程是在源局域網(wǎng)和公網(wǎng)的對接口位置，將數(shù)據(jù)作為負載封裝在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式里，在目的局域網(wǎng)和公網(wǎng)的對接口部分將已經(jīng)封裝的數(shù)據(jù)再解封，取出負載。封裝后的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞過程中經(jīng)過的邏輯路徑被稱為“隧道”。隧道技術(shù)允許VPN的數(shù)據(jù)流經(jīng)由路由，再通過網(wǎng)絡，而且不論生成該數(shù)據(jù)流的是哪一種類型的網(wǎng)絡或者是設備。某種意義上講，VPN的操作可以獨立于其它網(wǎng)絡操作協(xié)議，隧道內(nèi)的數(shù)據(jù)流或者數(shù)據(jù)包可以是IP、甚至是IPX以及AppleTalk等不同類型的網(wǎng)絡數(shù)據(jù)包。所以VPN必須通過跨越于IP協(xié)的公用網(wǎng)絡共同構(gòu)建起安全專用通道實現(xiàn)公用網(wǎng)絡的私用傳遞。

三、VPN網(wǎng)絡的硬件解決方案和設備選擇方案

    依據(jù)集團內(nèi)部的需要，考慮經(jīng)濟、質(zhì)量等各方面不同因素，VPN網(wǎng)絡的核心VPN設備網(wǎng)御神州G10，各省市分支機構(gòu)選取設備為網(wǎng)御神州G7，移動終端用戶選取了網(wǎng)御神州Client軟件。

    網(wǎng)御神州G10的構(gòu)建基于網(wǎng)御神州(北京)科技公司的安全路由設計技術(shù)(SRT)，并集合了管理、路由、接入、安全策略等功能，在單一的硬件設計基礎(chǔ)之上，提供了IP路由接入、虛擬專用網(wǎng)絡、加密、認證等安全設計功能。網(wǎng)御神州G10采用了處理能理較強的雙核2．6HZ處理器，支持了8000個隧道同時發(fā)出，能夠為該企業(yè)集團的VPN網(wǎng)絡提共超強的服務和傳輸性能，并且能夠滿足企業(yè)集團對于安全生產(chǎn)、辦公的能力網(wǎng)御神州G7是建構(gòu)于路由技術(shù)(SRT)之上的產(chǎn)品，并且使用了900HZ的處理器，擁有3個16／160-T以太終端網(wǎng)口，可以提供600個隧道的同時運行。

四、VPN核心設備的布置與安裝

    網(wǎng)御神州G10與天防火墻G60并列排布，如圖1中所示：

圖1 網(wǎng)御神,NGlO與防火墻G60布局

    網(wǎng)御神州Gl0 VPN設備和防火墻G60并列布屬，上連NCiseo PIX防火墻，G10 VPN設備和PIX相連接的端口IP設為私有地址。在PIX上建立起VPN隧道連接所需的四個端口：50(ESP)、600、68(AN)，增設一條靜態(tài)的NAT：從公有網(wǎng)絡的地址到G10 VPN的私有地址之間，G60的配置不改變。

五、各地分支機構(gòu)的節(jié)點解決方案及硬件配置

    由于該集團公司外設機構(gòu)有30多個，遍布全國各省市自治區(qū)。每個駐外機構(gòu)與集團公司內(nèi)部的VPN聯(lián)接，均需要通過公用網(wǎng)絡，當然這個公用網(wǎng)絡是經(jīng)過VPN加密的。集團公司內(nèi)部的服務器可以同駐外機構(gòu)的服務器相互訪問，駐外機構(gòu)之間的服務器不需要直接進行相互訪問。每個駐外機構(gòu)的員工大致控制在60人之內(nèi)，主要的服務系統(tǒng)包括：辦公自動化系統(tǒng)、郵件系統(tǒng)和視頻會議系統(tǒng)等。集團公司使用10．x．x．x的私用網(wǎng)絡地址，經(jīng)過信息港NAT映射為公網(wǎng)地址再進行互相訪問；駐外機構(gòu)的內(nèi)部網(wǎng)絡要使用集團公司統(tǒng)一分配的私有地址。VPN設備還支持移動辦公用戶通過互聯(lián)網(wǎng)連接集團公司內(nèi)網(wǎng)。

    根據(jù)集團公司的要求，將駐外的機構(gòu)用戶分成兩類：一類是移動類型的用戶，這主要針對通過互聯(lián)網(wǎng)及接人到集團公司內(nèi)部單機或者比較小的駐外機構(gòu)(僅有數(shù)臺計算機)。對于這類用戶，安裝網(wǎng)御神州Client軟件。通過用戶名和密碼，用戶將VPN軟件的使用與Internet聯(lián)接起來(通過VPN聯(lián)接集團公司內(nèi)部網(wǎng)絡)，如圖2所示。

圖2 VPN聯(lián)接內(nèi)部網(wǎng)絡流程圖

    為保證核心網(wǎng)絡安全，使用網(wǎng)御神州的SPlitTunneling安全機制，該機制能夠令到遠程辦公室的網(wǎng)點既可以通過IPSec隧道訪問集團公司的內(nèi)部網(wǎng)站，也可以訪問集團公司的外部網(wǎng)站，為了排除相應的安全隱患，可以對其進行防火墻軟件的安裝。如下圖3中所示。

圖3 大型分支機構(gòu)VPN聯(lián)接圖

    另一種用戶的情況如下描述中所示：

    1．用戶沒有相應的防火墻和地址轉(zhuǎn)換器的功能，并且使用著公用地址的分支機構(gòu)。對于這些大型分支機構(gòu)來說，因為使用公共地址，所以這些分支機構(gòu)不需要址址轉(zhuǎn)換器，因此，可以通過網(wǎng)御神州G7經(jīng)由以太網(wǎng)分別接人路由器和局域網(wǎng)交換機等內(nèi)容，網(wǎng)御神州G7可以再次充當起VPN的網(wǎng)關(guān)以及防火墻的功能，另外也可以將VPN和防火墻一起考慮。

    2．用戶有防火墻，但是使用公用地址的分支機構(gòu)和用戶也有防火墻，使用私有地址的分支機構(gòu)。

    以上兩種形式的結(jié)構(gòu)圖由于較為復雜，就不在文中再列示。

六、項目的整體評價

    一是，VPN在企業(yè)公司集團中的應用簡化了企業(yè)集團的網(wǎng)絡設計，使得長途線路進行安裝、配置的任務量急劇地減少，可以簡化Internet的設計特征；二是，降低了公司的設計成本，VPN的建立，使得企業(yè)的生產(chǎn)銷售及辦公活動全部都置于網(wǎng)絡可監(jiān)控的情況之下，使得網(wǎng)絡維護和使用的成本極大地降低，借助于Intemet網(wǎng)絡來建立ISP聯(lián)接的VPN，能夠節(jié)省大量通信費用；三是，VPN網(wǎng)絡的安全性較高，網(wǎng)絡的安全性是企業(yè)集團公司考慮的最重要的方面，VPN能夠以多種方式來保證用戶網(wǎng)絡的安全性能，首先是VPN對數(shù)據(jù)封包的加密，另外也對VPN設備的防火墻功能的使用也可以加大企業(yè)內(nèi)、外部網(wǎng)絡的安全性；四是擴展VPN軟件更為容易，如果分支機構(gòu)增加也只需要增加相應的網(wǎng)御神州設備即可建立起VPN聯(lián)接，訪問到企業(yè)的內(nèi)部網(wǎng)絡。

七、總結(jié)

    該企業(yè)集團公司利用VPN技術(shù)與企業(yè)各駐外機構(gòu)進行聯(lián)接和溝通，形成相應的VPN網(wǎng)絡，使用維護和建設費率都較低，在能夠提供足夠安全保障的前提下，才實現(xiàn)信息資源的遠程訪問，能夠進行異地協(xié)作辦公，生產(chǎn)管理控制以及視頻會議等等多種功能，使整個企業(yè)的管理信息化，系統(tǒng)化。VPN網(wǎng)絡不僅能夠給下屬機構(gòu)提供網(wǎng)絡聯(lián)接服務，滿足了各個分支機構(gòu)對于網(wǎng)絡互聯(lián)網(wǎng)和企業(yè)內(nèi)部網(wǎng)絡的訪問需求。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領(lǐng)域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.guhuozai8.cn/

本文標題：VPN網(wǎng)絡在企業(yè)生產(chǎn)辦公中的應用

本文網(wǎng)址：http://m.guhuozai8.cn/html/consultation/1083947962.html