河南新郑金芒果实业公司VPN应用案例
一、用户背景介绍
河南省新郑金芒果实业总公司创建于1994年7月,属于河南中烟工业公司新郑卷烟厂下属二级企业。公司地址位于新郑市和庄镇解放路南段,东邻京珠高速公路和京广铁路大动脉,西邻107国道,交通便利,地理优越。公司下属多家子工厂与分公司,自身拥有先进的技术装备和一流的管理,为新郑市八大明星企业,新郑市五十强企业之一,曾获得郑州市“振兴杯”等荣誉称号。
企业集团总部目前采用思科网络设备架设了OA、FTP等多个服务器,与分部1间铺设了一条专线,实现总部与分部一间高速服务存取,方便企业运营决策。由于企业发展,增设了分部2,为加强各分点与总部间的联络沟通及相关服务的及时访问等,新郑金芒果实业正寻求一种高效安全的解决方案,在不改变原有网络架构的基础上,达到以最低的成本实现分部1及分部2对总部服务器数据的安全访问。希望以优质的网络环境为平台,更好的服务于客户,成就企业的更高发展。
二、用户需求分析
根据新郑金芒果实业实际情况分析,总结需求有以下几点:
不改动原有网络框架,实现各分点对总部数据的安全访问:新郑金芒果实业在总体网络应用的规划上,希望不更动总部思科网络设备及服务器架构,利用总部与分部1间的专线,实现分部2能及时访问总部的服务器进行安全存取,进行高效的实时同步信息共享等服务应用。
简化网络管理,减轻网管工作负担:新郑金芒果实业希望实现网络的简易化管理及应用,既可以在总体上实现分点的统一化管理,又可以针对各个分点的实际应用进行独立网段的单独管理。管理设置上简化设置程序,使网管工作可轻松上手,减轻工作负担。
有效带宽管理,保证线路稳定畅通:需要性能强劲硬件系统和有效的网络管理策略,避免网络堵塞、瞬间掉线等突发性事故,保证整个企业网络内部各应用系统的稳定性与高效性;
提高安全性能,防止机密资料外泄:防止外部网络黑客的恶意攻击及资料窃取,并能有效防治ARP等网络病毒,利用强大的防御机制保证外部网络及内部局域网的全方位安全性。
较高性价比,具备一定的可扩展性能:新解决方案所采用的硬件设备,不仅要考虑其当前的应用功能和性能,最好具备一定的可扩展性能,以方便未来企业发展所需要进行的硬件设备及应用软件的扩充及升级。
三、新郑金芒果实业VPN组网方案
根据以上所述的具体需求,新郑金芒果实业经过多方对比,决定委托高度性价比优势的多WAN VPN防火墙厂商侠诺科技,为新郑金芒果实业规划整体的VPN组网方案,其具体的组网架构拓朴与方案特色介绍如下:
新郑金芒果实业VPN组网应用拓扑图
在了解了新郑金芒果实业的整体需求及领导要求后,侠诺工程师开始了VPN组网的方案实施:考虑到集团总部不另架设备,分部2则有30左右信息点接入,决定在分部1处与分部2处均采用Qno侠诺 QVM330 VPN防火墙作为接入VPN网关设备,建立分部1与分部2间的VPN线路,分部2通过VPN连接到分部1,然后通过分部1与总部间的专线来访问总部的服务器进行相关服务存取。
分部1处通过专线到集团总部的Cisco出口上网,分部2采用光纤单线接入,为VPN数据传输提供了高速的线路。分部2设置的QVM330下面可接各部门PC机提供内部网络服务,并可通过QVM330进行内网有效管制。另QVM330具有多WAN口,为以后分部的VPN线路备援和带宽增加提供了升级条件,保障了客户的投资。QVM330具有的VPN Smartlink功能让原先VPN相关的20多个参数设置简化成3个参数,极大的减少了网管的工作量。
四、方案特点分析
NAT-T保障VPN正常穿透上层设备:新郑金芒果实业总部采用思科设备,分部1 通过专线从总部光纤出口上网,如果不更动思科设备的原有设置,那么分部2就无法直接与集团总部间建立VPN访问集团总部服务器上的数据,只有通过分部1与分部2间建立VPN连接,才能够实现分部2对总部的服务器数据的存取。QVM330支持VPN高级设定NAT-T功能,可以实现分部1的QVM330通过集团总部的思科设备与分部2的QVM330建立稳定的VPN联机,完美解决了VPN联机显示通但无法访问的问题。
SmartLink VPN快速设定:对于一般传统的IPSecVPN设定,没有太多专业知识的企业人员,常会因为多达20几个参数感到茫然。而侠诺QVM系列特有的SmartLink VPN功能,将大部份的设定参数的工作交由VPN网关自动完成,用户只需要输入中心端服务器的IP地址、用户名、密码三个参数,即可完成超快速VPN连机设定,即使是没有太多网管专业知识的工作人员也可以轻松上手进行VPN连机设定。
强大的防火墙安全功能:对于企业VPN面对来自外网的诸多病毒、财务账号意外泄露、计算机被非法使用、恶意的内网攻击等带来的损失,都不容小觊。目前来说,最多的攻击形式仍以ARP攻击居多,Qno侠诺QVM系列 VPN防火墙设备都具有内建的防制ARP功能,凭借自动检视封包的机制,侦测过滤可疑的封包,做为防制ARP攻击的第一道防线。可搭配IP /MAC双向绑定,在路由器端以内网PC端进行IP/MAC绑定,即可达到防堵ARP无漏洞的效果。
稳定、快速的VPN连机质量:侠诺QVM VPN防火墙系列,具有指定路由功能,可保障VPN使用带宽与优先权,进一步稳定VPN连机质量。关于未来企业规模扩张,侠诺QVM VPN防火墙系列,均具备多个WAN接口,可同时接入多条ISP线路,可增加带宽满足更多外点VPN连机,以及内网的计算机使用, 还可同时运用VPN备援设定功能,避免当ISP不稳定或掉线时,VPN连机也随之中断联机,造成无形的损失与伤害,有效提高VPN更上一层楼的稳定性。
QVM中央控管的功能:新郑金芒果实业VPN网络运用SmartLink连机,可支持中央控管功能。分部2与分部1分别为中心端与接入端,在任一端管理接口都可查看VPN联机情况,若需进一步协助设定或排解问题,管理人员也可直接进另一分部的管理接口,直接通过VPN进行设定管理,安全又有效率。
简单而方便的配置及管理:QVM系列产品都是Web中文页面配置,没有太多网络知识的网管人员也可轻易进行配置。即使是不懂网络的人员,经过简单的培训,也可进行操作。这一点大大消除了分部没有专业技术网管的后顾之忧。
便利的内网管理,方便内网管控:对于带机量30多台的分部2来说,QVM330支持QoS带宽管理及弹性IP管理,让网管对内网管控更加简单。以设定联机数、关键字、最大或最小带宽等方式,有效限制带宽占用,让内网其他用户可正常联网。可依据IP或应用服务连接端口分配带宽或设定优先顺序,优先传送重要信息数据不致延迟。内建DHCP服务器,可提供局域网内电脑自动取得IP,方便管理。
五、方案未来拓展规划
多WAN端口接入备援:QVM330支持带宽汇聚,支持带宽汇聚、自动线路备援,多WAN口接入方式,让企业有更大和弹性配置空间。目前企业分部采用单线光纤接入,后期发展可采用双线不同ISP接入,不仅可以汇聚带宽,而且还可以实现线路备援、数据分流、负载均衡等效果,给日后网络升级预留了空间。当一条线路掉线,会自动改用另一个WAN连接端口的线路连接,确保联机不掉线。可同时运用备援功能,避免掉线时造成无形的损失与伤害。
指定路由强化网络稳定性:另外一方面,多WAN口的设计,也提供了访问网络快速稳定的途径。QVM330支持指定路由功能,可通过协议绑定,将特定的服务或应用绑定在指定的端口,如WEB走WAN1,MAIL走WAN2等等,加速访问速度,进一步保障网络的稳定性。也可将VPN绑定特定端口,保证VPN通道的稳定流畅。
策略路由解决VPN跨网瓶颈:由于国内长期存在电信、网通互连不互通的问题,许多企业建立VPN时会发生跨ISP网络时带宽不足,导致VPN不稳定或易于掉线。侠诺多WAN口的设计,可搭配策略路由的设定,让不同ISP外点可直接连到对应VPN服务器入口,实现“电信走电信、网通走网通”,从而有效解决跨网受限问题。
妥善的售后技术增值服务:侠诺科技在大陆市场已深耕多年,特别注重产品的完整技术支持,除了提供优质产品、与时俱进的免费软件升级外,还能获得本地化的技术咨询、产品安装、维修服务。或者通过在线技术论坛、电话、实时通、E-mail等方式,也可与原厂技术人员取得联系,获得即时的技术支持,协助问题解决,让您买的安心、用的放心。
六、方案应用效果评价
新郑金芒果实业网管表示,通过上述解决方案,不更动原有网络架构,在总部不增加设备的前提下,实现了与思科设备的联网,达成分部2对总部服务器的访问的目的,降低了网络运营成本。应用该方案以来,目前各类的业务数据传输、外点ERP / OA等运用,都大大提升了企业整体工作效能,可以说真正成功地帮助新郑金芒果实业建构了一个简便、快速、稳定、安全的企业VPN网络。