远程接入服务的普及
随着企业业务的扩展,分支机构不断增多,包括渠道、合作伙伴、远程或移动办公的需求在不断的增加。一个企业不同的营运点如何能够及时准确的获得所需的资料信息,是企业竞争力的体现,这一点越来越重要。
ERP 被认为是解决以上问题的主要工具。 随着国内一批知名企业的 ERP 成功实施和应用, ERP
实施为企业带来的先进管理思想正在被各个同行企业所学习和效仿。一些过去被认为是 ERP 所遗忘的角落的中小型企业,也开始纷纷引入
ERP 来帮助自身的企业信息化管理改革。应用 ERP 的过程中,企业不同营运点之间的数据例如财务系统、库存系统、订单系统等信息 的
同步也非常关键。这就存在着如何 建立 远程接入的问题。
企业在选择 ERP 远程接入技术时 ,第一个要考 虑问题 就是 ERP 应用需求的带宽 , ERP
通常有两种架构: CS(client/server 或客户 / 服务器架构 ) 和 BS(browse/server 或浏览器 /
服务器架构 ) ,以下分别说明:
l
客户 /
服务器架构 一般所需带宽较大, 在这种模式下客户端和服务器之间不一定使用 TCP/IP 协议 , 链路所需带宽通常在
100K~500Kbps 范围 , CS 架构往往从局域网角度开发实际上若没作优化,所需带宽可能大到 3-5Mbps
。客户端需要安装专用的客户端软件 ,造成管理上的麻烦 。 C/S 的优点是能充分发挥客户端 PC
的处理能力,很多工作可以在客户端处理后再提交给服务器,这样做的优点就是 服务器端负担轻, 响应速度快。
l
浏览器 /
服务器架构 从互联网的角度设计, 客户端和服务器之间使用 TCP/IP 协议,链路所需带宽 相对较小, 通常在
10K~100Kbps 范围。客户端只要安装浏览器( Browser ) 即可, B/S
最大的优点就是可以在任何地方进行操作而不用安装专门的软件,只要有一台能上网的电脑就能使用。客户端只负责数据输入,数据处理都在服务器端进行,客户端几乎不需要维护
管理方便 。 适用于互联网远程应用。
实际上,以上提供的数值为一般化数值,因不同软件的实现方式不同而会有不同。对于想要了解的用户,最快的方式就是自行量测。用户可以使用带宽测量软件实际测量
使用 ERP 的 带宽需求, 用户可从 互联网上下载免费的 NetMeter 软件 ,网址为
http://readerror.gmxhome.de/ 。 用户 在测量 ERP 软件的网络流量时,应关闭其它 所有 网络应用程序
,包括实时通讯、有网络功能的软件等,才会准确 。
而在量测时,不同的动作都必须量测,以得到较完全的数值,传输的上行下载方向也是很重要的。根据 Qno
侠诺工程师的经验,往往受到限制的一端是服务器的上行线路,因为必须因应多点同时大量小载的要求。
各种 远程接入方案
企业不同营运点之间的连接方式 主要可分为专有数据传输、 VPN 、及终端机服务三种,以下分别介绍之:
1.
DDN 是
Digital Data Network
的缩写形式,意即数字数据网。它是利用数字信道提供永久或半永久电路,为用户提供专用的数字数据点对点传输通道,也可以为用户提供接入到互联网的服务。
DDN 特点 为 质量稳定,物理线路可以使用光纤,故障率低,数字信道传输质量好,可提供高速带宽业务,数据传输速率高达 2Mbps 。
由于 可靠性高以往企业大多选择它 ,因为 DDN
通道之间是完全隔离的,因此它具有很好的安全性。但随着企业分布异地的机构越来越多,全部采用 DDN 接入方案的建设成本 非常的
高,这是 DDN 的一个主要的缺点。 对于经费有限的中小型企业更是不适用。
2.
VPN 是
Virtual Private Network 的缩写,是指在公共的互连网络中建立私有专用网络, 也 称为 “ 虚拟专用网 ”
,因为数据被加密后仍然在公共网络中传播,而不是真正在物理上隔离的专用网。由于使用公网传输,与专线的费用相比 VPN
的价格低廉,可有效的为企业节约成本。 VPN
具有安全、灵活、以及可扩展性强等特点,能充分满足企业分支机构、移动办公安全通信的需求。近几年来企业逐渐趋向采用比较新的 VPN
技术作为远程访问和网络互联的解决方案。
常见 VPN 有 三 种协议: PPTP 、 IPSec 和 SSL ,下面 简单说明 一下它们之间的
差异 :
l
PPTP
协议是微软公司提出来的, PPTP 已被嵌入到微软的操作系统中,用于 Microsoft 的路由和远程访问服务 ,
它属于数据链路层的协议。 PPTP
具有简单易行的优点,但是它们的可扩展性都有一定的局限。更重要的是,它们都没有提供内在的安全机制。端点用户需要在连接前手工建立加密信道,没有强加密和认证支持,安全程度差。这也是它们最大的弱点。因此这种模式在
ERP 环境中是不适合的。
l
IPSec
是 IETF 支持的标准之一,它在第三层即 IP
层对数据进行加密。可以对终端站点间所有的传输数据进行保护,而不管是哪类网络应用。它能够在不同局域网之间以及远程客户端与中心节点之间建立安全的传输通道,因此应用较广。需要强调的是:由于
VPN 环境中用户数据在被加密后仍然在公网上传输,因此加密技术非常重要,它直接影响到用户数据的安全。而 IPSec
是在这方面作的比较好的一种技术。 IPSec VPN 的主要缺点在于配置复杂,并且客户端需要安装复杂的软件,而且当用户数量增加时,
VPN 的管理难度将呈几何级数增长。
l
SSL
属于应用层协议是近些年发展起来的协议,它的优势主要集中在 VPN 客户端的部署和管理上,它无需安装客户端,主要是由于浏览器内嵌了
SSL 协议,也就是说是基于 B/S 结构的业务时,可以直接使用浏览器完成 SSL 的 VPN 建立;但对于非 web
页面的文件访问,往往要借助于应用转换。有些 SSL VPN 产品所能支持的应用转换器和代理的数量非常少,而有些能很好地支持 FTP
、网络文件系统和微软文件服务器的应用转换。 但 SSL VPN 并不能真正形成局域网对局域网的应用,而是针对用户应用层面的安全防护。
3.
Terminal
Service 是基于 RDP
(远程桌面协议)的远程控制软件,他的速度快,操作方便,作为远程接入所需带宽较小,比较适合用来进行常规操作。但是, Terminal
Service 使用的是虚拟桌面,再加上编程的 问题 ,当使用 Terminal Service
进行安装软件或重起服务器等与真实桌面交互的操作时,往往会出现意想不到的结果,而且每个用户相对的成本是较高的,对于中小型企业是一个负担。
从以上的说明,我们可以了解作为远程接入要从几个不同的方面考虑:所提供的连接是否安全、配置管理是否方便、扩展是否有弹性、及构建成本高低是否经济。
Qno SmartLink VPN 远程接入方案
对于中小型企业来说,由于没有网管,所以网络配置简易、好管理是一大要求。再者传送信息的安全,也是相当重要的,以免敏感信息外泄。随着企业的发展,外点的增加也要求扩展的方便。其实以上的功能,只要购买高价位的远程接入方案或以大带宽的
DDN 专线,都可以达到。但对于中小企业而言,业主往往量入为出,在费用方面多有控制,无法购买高价的产品。
因此,侠诺科技针对中国广大的中小型企业的需要,推出诉求简易配置、多重安全、扩展弹性、再加上构建成本合理的
VPN 功能,以满足中小型企业的远程接入需要。 SmartLink VPN 架构上组合了 IPSec 及 SSL
技术,安全性高。设置方式极大地简化了 IPSec 的配置的过程,稍具网络知识的用户就可以部署。该设计曾荣获 IT168
网站颁发卓越技术奖优秀技术奖及中计报 2005 年编辑选择奖,以下我们来看看 SmartLink 适用于中小型企业远程接入的特性 :
多 WAN 网络接入及 VPN 线路备份: Qno SmartLink VPN 产品线一律支持二或四个
WAN ,通过增加 WAN 口数量,增加连网带宽及应用弹性。增加 WAN 口数量可让企业对外联机因应业务或运行而成长 , 而且多
WAN 口连网都提供负载均衡的功能 , 可自动将内部使用者联机要求,自动分配于不同 WAN 口,以保证每个使用者上网联机的流畅度。而
VPN 线路备份支持总部及分支机构的 VPN 联机,一旦发生掉线,短时间自动由其它 WAN
口重建,使用者或分支机构只会感到短暂中断,就可继续工作。
方便的 VPN 配置 :IPSec 虽然公认是最值得信赖的 VPN
协议,但同时也是出名的难以设定。侠诺的技术支持经验发现在实际操作上,往往发生分支机构 IP 给定情况复杂,例如使用虚拟 IP
,原本设定无法穿透,而必须到现场修改的情况。 Qno SmartLink 设定将参数简化到三个:总部服务器 IP
、使用者名、及密码,只要进行简单的输入就能建立 IPSec 设定,也能轻易穿透不同的 IP 环境。
图: SmartLink
快速 IPSec 设定功能
图例: SmartLink 快速 IPSec 设定功能,只要三个参数,就可取代传统
IPSec 设定的二十余个参数,可节省构建 VPN 的时间及管理。
动态域名解析及域名解析备份:国内的情况,对于固定 IP
收取很高的费用。对于想要节省经费的企业,就必须因应动态 IP 基础,建立 VPN 联机。 SmartLink VPN 可经由动态
DNS 服务支持动态 IP 环境,可支持 3322.org, DynDNS, DtDNS 的服务设定。另外,服务器端每个 WAN
口并可支持多个不同动态 DNS 服务, 并互为备份。也就是每个接口均可同时设 定 3322.org, DynDNS, DDNS
其中二个以上的服务,万一当某一个 DDNS 的服务无法运作时,另一个 DDNS 的服务就可以替补上来,提供域名解析的服务。
VPN 中央控管管理: SmartLink VPN 系列产品提供集中的管理接口,网管人员只要在总部
QVM1000 的管理接口,就可一次查看最多三百个 VPN 联机的情况,不必一一地检查联机的状况。管理人员也可点总部 VPN
服务器上的图示,直接进入外点路由器的管理接口,直接通过 VPN 进行设定管理,安全又有效率。
强大带宽管理功能:侠诺专有的带宽管理 QoS 功能,可支持各种网管需要的功能。在防制带宽滥用,可有效阻挡
BT 、点点通、串流、 Skype 、 msn 或下载应用。在带宽保留方面,可针对 VoIP 或 ERP
应用,特别保留带宽,以保证重要应用的带宽不受到一般用户平日上网应用的影响。这些对于优化远程接入服务质量,都发挥了重要的作用。
侠诺 SmartLink VPN
的特点,对于制造业、连锁超市、连锁企业、物流业等多点联机的环境,都受到欢迎,以下介绍实际的产品及组网要点。
SmartLink VPN 功能产品及组网方式
Qno 侠诺的 QVM 系列产品线均内建 SmartLink VPN
功能,为针对中小型企业所设计的专业远程接入方案,内建多 WAN 负载均衡及强大防火强功能,属于全功能的宽带 VPN 路由器网关产品。
QVM 系列产品线包括可支持四 WAN VPN 的 QVM1000 、支持二 WAN VPN 的 QVM330 及二 WAN VPN
的 QVM100 。其中 QVM1000 及 QVM330 具备 VPN 服务器功能,而 QVM100 只具备 VPN
终端的功能。本系列产品均可支持 IPSec, PPTP 及 Qno 侠诺特有的 SmartLink VPN 功能。
以下针对远程接入网络大小,介绍不同组网方案:
适用于小规模的远程接入网络:最多支持外点五十个
成本低是中小企业主选择 VPN 的最主要原因。 70% 的被调查企业表示, VPN
不仅在公用网上实现了专网的安全应用,而且成本低。很多需要连接不同地点办公室的企业选用 VPN 的主要目的就是希望节省成本。
在本方案所提出来的产品为 QVM330 及 QVM100 。 QVM330
主要应用于中心端,应用于外点的 QVM100 。 QVM330 及 QVM100 是平衡访问自由度和安全性的出色解决方案, “
无客户端软件 ” 的技术使其易于使用和维护。对于入门的中小企业客户,不失为一个经济又能符合未来成长的整体方案。组网的特点为:
l
广域网:中心端 : 外接二条 ADSL 联机,一条用作 VPN 用,另一条用作宽带接入 ( 并可作 VPN 接入备份 )
。外点则可依需要接一条给 VPN 联机用,或再接第二条作宽 , 带接入用。
l
防火墙:使用 NAT 提供基本防护、计算机装设防毒软件。
l
VPN
:使用 SmartLink VPN 配置,建立联机方便快速。
l
管理:使用
Web 界面管理,容易方便。
很多网管在构建 VPN
时,接到的使命都是先找几个点试行,看成效如何再决定是否继续投资。但是在整体社会情势发展的情况下,中小企业往往需要不断成长,此时旧的设备是否能继续改变组态使用,或是需要废弃不用,就显得很重要。采用
QVM330 及 QVM100 的用户,在需要成长时,可在总部加购 QVM1000 ,将 QVM330 移到较大的分支机构即可。
适用于较大规模的远程接入网络:最多支持外点三百个。在这种情况,建议组网在中心采用 QVM1000
,而在外点采用 QVM330 。 QVM1000 采用强大的 Intel IXP425
系列网络处理器,足以支持较大容量的组网需求。组网的特点为:
l
中心端:外接一条光纤、一条 ADSL 联机,一条用作 VPN 用 , 另一条用作宽带接入 ( 并可作 VPN 接入备份 )
。外点如有同时使用电信及网通线路时,则需分别让各外点从电信及网通线路建立 VPN ,以避免 VPN 速度慢。
l
防火墙:启动防火墙防制 SPI, DoS, ActiveX, Java, Cookie
病毒、启动冲击波及蠕虫病毒防护。计算机装设防毒软件。
l
VPN
:使用 SmartLink VPN 配置,建立联机方便快速。或可使用 IPSec 与现有 VPN 产品配合。
l
管理:设定每个用户最大带宽。依政策设定定时开放或禁止特定应用上网服务,防止员工上网影响工作。重要服务器或领导 IP 设定
IP/MAC 绑定,防止权限盗用。设定日志功能或发信提醒功能。
l
成长:外点可依人数多少加购 QVM100/QVM330 扩充,最多可支持 300 个点。
结语
随着互联网技术的发展,扩展信息交流的途径、增加信息交换速度已成为企业、商业活动中不可忽视的任务之一,
VPN 技术的出现,不仅大大节省广域网的建设和运行维护费用,而且增强了网络的可靠性和安全性。越来越多的情况表明, VPN
已成为企业应用 ERP 营运点之间联网的最佳选择, VPN 技术将会得到迅猛发展。
但同时, VPN 技术也给技术人员带来新的挑战, IPSec
复杂的安装配置和管理就是最突出的问题,如果不加以解决,就会给 VPN 的建立、维护和管理带来困难,从而直接影响 VPN
网络的实际应用效果。
侠诺科技针对中小型企业远程接入需要,推出的 SmartLink VPN
远程接入方案能够解决这个问题,使用它就可以轻易地建立 IPSec VPN
连接,确保传输数据的安全,并有效地简化网管人员配置、管理和维护 VPN
网络的工作,节约时间也降低了维护成本。不管对于市场应用及产品功能,都值得从事企业网络构建的专业人员了解。
【本站声明】本站刊载的部分内容全部来源互联网,对于此类文章本站仅提供交流平台,不为其版权负责。如涉及侵犯您的知识产权的文章,请联系我们,我们将尽快做出更正。并向您表示感谢!同时特别感谢对本站所有支持的网友。
