vpn组建北京猫王家具公司VPN组建方案

vpn组建:北京猫王家具公司VPN组建方案疯狂代码:http:/CrazyCoder.cn/NeworkTechnology/Article37613.htmll用户背景介绍北京猫王家具有限公司创办于1991年产品注册商标为猫王家具.专业生产钢木家具实体型企业中国家具协会理事单位公司在太原拥有占地面积20000平方米生产基地和10000平方米物流中心在全国各大中城市均有经销商产品目前已出口日本、东南亚、欧洲等国　　公司引进德国豪迈(HOMAG)板式生产线、瑞士金马(ITWGEMA)静电喷涂生产线具有专业机械加工、静电喷涂表面处理、板材加工能力产品采用优质环保材料和成熟工艺制造质量符合国家和行业标准猫王家具已通过ISO-9001国际质量体系认证及绿色环保认证猫王公司具有较强产品开发设计能力匠心独运猫王家具提供了不受局限多重组合可能性其针对居室及其它办公需求解决方案使空间条理性布置演变成艺术升华而和德国著名设计师合作更使猫王家具彰显现代前卫设计理念多年来猫王家具屡次获得殊荣2001年在深圳第7届中国家具博览会上获中国家具设计铜奖2000年在上海第6届中国家具博览会上获中国家具设计银奖同年在北京获中国优秀企业品牌形象奖.猫王公司企业宗旨是通过专业家居顾问专注于向小资、白领、另类等时尚、个性族提供符合发达国家EHS标准、风格简约、线条明快、富于个性优质钢木家具以营造宽敞、轻松生活创意空间和此同时猫王公司将成为具有国际品质、倡导品味和个性化专业化家具品牌由于业务上扩大公司内部以及各分支机构网络运行有多种企业应用如内部WWW、文件共享服务、ERP系统以及数据库服务器公司在未来可能开发更多内部应用如Client/Server模式应用(TCP、UDP或TCP/UDP协议应用)公司通过防火墙接入Internet.目前公司所有应用仅限于公司局域网内出差员工不能访问现在是现在外地各分公司网络接入状况:上海分公司:电脑联入Internet实现了办公网络半自动化太原分公司:电脑联入Internet实现了办公网络半自动化深圳分公司:电脑联入Internet实现了办公网络半自动化l用户需求根据侠诺科技工程技术人员对猫王家具有限公司深入了解和分析此次网络方案实施在保证原由网络需求下必须满足以下需求:1、实现北京总公司内部局域网络互联以及分公司、各分支机构和办事处内部局域网络互联；2、客户、合作伙伴或分公司可以安全访问公司授权访问企业内部网络资源；3、北京总部保证至少50台电脑连入Internet还要考虑到公司以后发展接入信息点增加同时实现各分公司通过相关设备连接到总部网络同时还内建SQLServer数据库服务器提供相关数据服务建立ERP服务器提供公司人事管理查询、添加和修改相关信息等要求；4、上海、太原和深圳分公司保证至少30台电脑联入Internet还要考虑到公司以后发展接入信息点增加同时和总部实现互联访问公司总部SQLServer服务器提交、查询和修改数据库相关信息连接公司ERP系统提交、查询和修改相关信息等要求；5、在各分支机构和总公司的间创造个集成化办公环境为工作人员提供多功能桌面办公环境解决办公人员处理区别事务需要使用区别工作环境问题；6、支持区别机构间信息传递解决由人工传送纸介质或磁介质信息问题实现工作效率和可靠性有效提高；7、通过路由器对用户实行统管理对访问权限实行分级管理等要求实现流量控制、端口镜象等要求通过路由器相关防火墙功能实现网络安全管理lVPN需求整理总结针对用户需求通过VPN配置可以解决互联问题另外对VPN加以相应配置可以实现资料传输安全性问题以现有技术来说所谓最优选择其实必须根据远程访问需求和目标而定目前主流VPN方案有两种:IPSec/IKE和SSLVPN.当前企业需要安全点对点连接或用单装置进行远程访问并且让企业拥有管理所有远程访问使用能力IPSec/IKE是最适合解决方案比较那种传输思路方法比较好时更重要问题是那种安全技术最符合远程接入方案需求？IPSec可以保护任何IP流量而SSL专注于应用层流量IPSec适合长期连接即宽带、持续和网络层连接要求SSL仅适合于个别对应用层和资源连接而且支持应用没有IPSec多据传输要遵循标准IPSec加密协定l设备要求对于VPN设备选择必须严格根据猫王家具有限公司司用户需求遵循着方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则来选择VPN设备网络设备下面就时间情况整理总结选择设备几个要点:1、采用硬件VPN网关产品保证能安全、方便、快捷地进入并能够访问指定内部网络资源和服务；2、总公司和分公司网络建立VPN加密隧道确保数据传输安全VPN设备须具有高稳定性和高可靠性以保障信息网络正常运行；3、支持ADSL线路经济型全动态IP地址VPN组网方案并具有DHCP功能以实现局域网络自动分配IP需求；4、对本地内网实施上网访问控制通过VPN设备访问控制策略对内网PC进行严格访问控制如:为确保安全性可对允许上网PC进行IP和MAC绑定并通过网关中安全策略设置对这些PC数据流进行状态检测以确保不能被仿冒；也可以使用网关中用户上网认证功能使用户在使用浏览器上网浏览时首先要通过网关访问密码认证等；5、对外网可以抵御黑客入侵起到Firewall作用其自身强大全状态检测Firewall功能和IDS抗攻击微引擎将对内网实施有效保护另外如果已经部署了Firewall也可和Firewall起构成两道网络防护屏障为以后进步加强总部内网安全留下发展空间须具有控制和限制安全机制和措施应具备防火墙和抗攻击等功能；6、具备完善带宽管理功能将网络出口带宽合理地分配给隧道流量(业务数据)和其它Internet流量(浏览、邮件等)；7、整个集团公司VPN网络建立必须统规划全网IP地址对总部以及各分支机构网络节点IP地址要进行统规划对各个功能子网段做明确划分通常以满足目前需求保留定扩展性为原则整个VPN网络内部IP地址不能有冲突；8、部署灵活维护方便提供强大管理功能以减少系统维护量以适应大规模组网需要现在时常上VPN产品繁多而且功能各不相同Qno侠诺工程师遵循方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则同时联系对猫王家具有限公司需求分析建议在选选择VPN连接设备上推荐侠诺科技QVM系列VPN防火墙路由器配合Qno侠诺领先同行独家QVM功能独有SmartLinkIPSecVPN设定只需输入VPN服务器IP、用户名、密码即可自动完成IPSecVPN建置直接进入路由器QVM功能设定客户端和QVM服务器进行虚拟私有网联机或是设定为QVM服务器功能接受客户端虚拟私有网联机支持备援功能断线可从另个WAN自动建立联机QVM系列VPN防火墙路由器产品内建进阶型防火墙功能能够阻绝大多数网络攻击行为使用了SPI封包主动侦测检验技术(StatefulPacketInspection)封包检验型防火墙主要运作在网络层执行对每个连接动态检验也拥有应用警示功能让封包检验型防火墙可以拒绝非标准通讯协议所使用连结预设自动侦测并阻挡QVM1000亦同时支持使用网络地址转换NetworkAddressTranslation(NAT)功能以及Routing路由模式使网络环境架构更为弹性易于规划管理lVPN网络设计以及网络拓扑结构企业通过Internet数据传输平台实施加密VPN实现接入办法主要有多种针对猫王公司网络现状经过和其工作人员讨论北京总公司以两条光普通ADSL(ISP分配固定IP地址)而分公司以用条普通ADSL联机均可(公网动态IP)作为联机基础北京总公司选择QVM1000机型连接2条ADSL(ADSL可选ADSL可连接同网络营运商来做备援服务以避免单营运商掉线风险及区别运营商网络的间互卡)；分公司则采用QVM330也可以选择区别网络营运商线路对于最以上总公司及分支机构区别WAN口VPN联机均互相备援以确保联机稳定VPN联机采用IPSec协定以保障联机安全总公司和各分公司VPN设定通过侠诺专有SmartLink功能进行网管人员把路由器设定好将设备寄到分支机构并提供总公司VPN通道IP、用户名及密码即可由具般计算机操作能力用户完成设定北京总部50信息点接入选用QVM1000内置300条ipsec；上海分公司:30信息点接入选用QVM330；太原公司:30信息点接入选用QVM330；深圳分公司:30信息点接入选用QVM330.VPN组建方案网络拓朴图l方案达到目1、北京总部和分公司透过VPN联机采用IPSec协定确保传输数据安全；2、多WAN口设计可因应区别带宽需求也可同时满足VPN备援功能提供多层安全保障公司领导对于VPN联机要求高度稳定即使断线也要立即接回不影响正常运作；3、总公司和各工厂及分公司VPN设定通过Qno侠诺专有SmartLink功能进行网管人员只需将设备寄到分支机构并提供总公司VPN闸道IP、用户名及密码即可由具般计算机操作能力用户完成设定在外出差或想要连回总部或分公司用户也可使用PPTP或IPSec方式连回企业网路；4、管制内网用户上网行为内网用户使用BT、点点通影响其他人上网或限定时间管制上MSN、QQ、或上网；5、解决了冲击波及蠕虫毒病所苦通过QVM系列路由器设置解决了网速因被黑客攻击而受影响或内网用户常被冲击波及蠕虫毒病侵扰l效果评测和扩展建议应用侠诺科技QVM系列产品及其解决方案6个月以来猫王公司网络管理人员表示比较满意网络运行良好现在连接公司ERP系统提交、查询和修改相关信息非常方便和各分公司业务往来再也不用花费更多时间了在网络扩展方面针对猫公司实际情况和发展Qno侠诺工程出也给出了以下建议:1、QVM1000可支持高速双向CableModem(有线电视)上网或是使用ADSL以及光纤接入在应用上对外WAN口联机可支持高速双向CableModem(有线电视)上网或是使用ADSL以及光纤接入而对内联机则可透过DMZ端连接到对外开放服务器内部用户则通过LAN端连接DMZ服务器如论坛、下载服务器可对外界用户开放；LAN口用户则受到防火墙保护网管人员也可对其存取加以控管；2、为了改善总公司和分点单位沟通还可架设视频会议系统进行生产协调或信息交流需要稳定传输能力；3、对于以后公司移动用户或临时用户可以借用PPTP拔入方便快捷；4、连接多条线路以取代带宽升级例如以多条ADSL取代光纤费用节省又可弹性运用；5、VoIP服务需要稳定联机:公司内部建置网路电话VoIP服务但因ISP管制或线路问题通话质量不佳；6、同时考虑到公司信息点增加其QVM1000最大满足500个信息点连入以支持同时120000个联机数QVM330最多支持100个信息点连入以支持同时100000个联机数2008-12-1421:28:29疯狂代码