1、 一、用户背景介绍河南省新郑金芒果实业总公司创建于 1994 年 7 月,属于河南中烟工业公司新郑卷烟厂下属二级企业。公司地址位于新郑市和庄镇解放路南段,东邻京珠高速公路和京广铁路大动脉,西邻 107 国道,交通便利,地理优越。公司下属多家子工厂与分公司,自身拥有先进的技术装备和一流的管理,为新郑市八大明星企业,新郑市五十强企业之一,曾获得郑州市“ 振兴杯“等荣誉称号。企业集团总部目前采用思科网络设备架设了 OA、FTP 等多个服务器,与分部 1 间铺设了一条专线,实现总部与分部一间高速服务存取,方便企业运营决策。由于企业发展,增设了分部 2,为加强各分点与总部间的联络沟通及相关服务的及时访问
2、等,新郑金芒果实业正寻求一种高效安全的解决方案,在不改变原有网络架构的基础上,达到以最低的成本实现分部 1 及分部 2 对总部服务器数据的安全访问。希望以优质的网络环境为平台,更好的服务于客户,成就企业的更高发展。二、用户需求分析考试大获悉实际情况分析,总结需求有以下几点:不改动原有网络框架,实现各分点对总部数据的安全访问:新郑金芒果实业在总体网络应用的规划上,希望不更动总部思科网络设备及服务器架构,利用总部与分部 1 间的专线,实现分部 2 能及时访问总部的服务器进行安全存取,进行高效的实时同步信息共享等服务应用。简化网络管理,减轻网管工作负担:新郑金芒果实业希望实现网络的简易化管理及应用,
3、既可以在总体上实现分点的统一化管理,又可以针对各个分点的实际应用进行独立网段的单独管理。管理设置上简化设置程序,使网管工作可轻松上手,减轻工作负担。有效带宽管理,保证线路稳定畅通:需要性能强劲硬件系统和有效的网络管理策略,避免网络堵塞、瞬间掉线等突发性事故,保证整个企业网络内部各应用系统的稳定性与高效性;提高安全性能,防止机密资料外泄:防止外部网络黑客的恶意攻击及资料窃取,并能有效防治 ARP 等网络病毒,利用强大的防御机制保证外部网络及内部局域网的全方位安全性。较高性价比,具备一定的可扩展性能:新解决方案所采用的硬件设备,不仅要考虑其当前的应用功能和性能,最好具备一定的可扩展性能,以方便未来
4、企业发展所需要进行的硬件设备及应用软件的扩充及升级。三、新郑金芒果实业 VPN 组网方案根据以上所述的具体需求,考试大提示经过多方对比,决定委托高度性价比优势的多WAN VPN 防火墙厂商侠诺科技,为新郑金芒果实业规划整体的 VPN 组网方案,其具体的组网架构拓朴与方案特色介绍如下:在了解了新郑金芒果实业的整体需求及领导要求后,侠诺工程师开始了 VPN 组网的方案实施:考虑到集团总部不另架设备,分部 2 则有 30 左右信息点接入,决定在分部 1 处与分部 2 处均采用 Qno 侠诺 QVM330 VPN 防火墙作为接入 VPN 网关设备,建立分部 1 与分部 2 间的 VPN 线路,分部 2
5、 通过 VPN 连接到分部 1,然后通过分部 1 与总部间的专线来访问总部的服务器进行相关服务存取。分部 1 处通过专线到集团总部的 Cisco 出口上网,分部 2 采用光纤单线接入,为 VPN数据传输提供了高速的线路。分部 2 设置的 QVM330 下面可接各部门 PC 机提供内部网络服务,并可通过 QVM330 进行内网有效管制。另 QVM330 具有多 WAN 口,为以后分部的 VPN 线路备援和带宽增加提供了升级条件,保障了客户的投资。QVM330 具有的 VPN Smartlink 功能让原先 VPN 相关的 20 多个参数设置简化成 3 个参数,极大的减少了网管的工作量。四、方案特
6、点分析NAT-T 保障 VPN 正常穿透上层设备:新郑金芒果实业总部采用思科设备,分部 1 通过专线从总部光纤出口上网,如果不更动思科设备的原有设置,那么分部 2 就无法直接与集团总部间建立 VPN 访问集团总部服务器上的数据,只有通过分部 1 与分部 2 间建立VPN 连接,才能够实现分部 2 对总部的服务器数据的存取。QVM330 支持 VPN 高级设定NAT-T 功能,可以实现分部 1 的 QVM330 通过集团总部的思科设备与分部 2 的 QVM330建立稳定的 VPN 联机,完美解决了 VPN 联机显示通但无法访问的问题。SmartLink VPN 快速设定:对于一般传统的 IPSe
7、cVPN 设定,没有太多专业知识的企业人员,常会因为多达 20 几个参数感到茫然。而侠诺 QVM 系列特有的 SmartLink VPN 功能,将大部份的设定参数的工作交由 VPN 网关自动完成,用户只需要输入中心端服务器的IP 地址、用户名、密码三个参数,即可完成超快速 VPN 连机设定,即使是没有太多网管专业知识的工作人员也可以轻松上手进行 VPN 连机设定。强大的防火墙安全功能:对于企业 VPN 面对来自外网的诸多病毒、财务账号意外泄露、计算机被非法使用、恶意的内网攻击等带来的损失,都不容小觊。目前来说,最多的攻击形式仍以 ARP 攻击居多,Qno 侠诺 QVM 系列 VPN 防火墙设备
8、都具有内建的防制ARP 功能,凭借自动检视封包的机制,侦测过滤可疑的封包,做为防制 ARP 攻击的第一道防线。可搭配 IP /MAC 双向绑定,在路由器端以内网 PC 端进行 IP/MAC 绑定,即可达到防堵 ARP 无漏洞的效果。稳定、快速的 VPN 连机质量:侠诺 QVM VPN 防火墙系列,具有指定路由功能,可保障 VPN 使用带宽与优先权,进一步稳定 VPN 连机质量。关于未来企业规模扩张,侠诺QVM VPN 防火墙系列,均具备多个 WAN 接口,可同时接入多条 ISP 线路,可增加带宽满足更多外点 VPN 连机,以及内网的计算机使用, 还可同时运用 VPN 备援设定功能,避免当 IS
9、P 不稳定或掉线时, VPN 连机也随之中断联机,造成无形的损失与伤害,有效提高VPN 更上一层楼的稳定性。QVM 中央控管的功能:新郑金芒果实业 VPN 网络运用 SmartLink 连机,可支持中央控管功能。分部 2 与分部 1 分别为中心端与接入端,在任一端管理接口都可查看 VPN 联机情况,若需进一步协助设定或排解问题,管理人员也可直接进另一分部的管理接口,直接通过 VPN 进行设定管理,安全又有效率。简单而方便的配置及管理:QVM 系列产品都是 Web 中文页面配置,没有太多网络知识的网管人员也可轻易进行配置。即使是不懂网络的人员,经过简单的培训,也可进行操作。这一点大大消除了分部没
10、有专业技术网管的后顾之忧。便利的内网管理,方便内网管控:对于带机量 30 多台的分部 2 来说,QVM330 支持QoS 带宽管理及弹性 IP 管理,让网管对内网管控更加简单。以设定联机数、关键字、最大或最小带宽等方式,有效限制带宽占用,让内网其他用户可正常联网。可依据 IP 或应用服务连接端口分配带宽或设定优先顺序,优先传送重要信息数据不致延迟。内建 DHCP 服务器,可提供局域网内电脑自动取得 IP,方便管理。五、方案未来拓展规划多 WAN 端口接入备援:QVM330 支持带宽汇聚,支持带宽汇聚、自动线路备援,多 WAN 口接入方式,让企业有更大和弹性配置空间。目前企业分部采用单线光纤接入
11、,后期发展可采用双线不同 ISP 接入,不仅可以汇聚带宽,而且还可以实现线路备援、数据分流、负载均衡等效果,给日后网络升级预留了空间。当一条线路掉线,会自动改用另一个 WAN 连接端口的线路连接,确保联机不掉线。可同时运用备援功能,避免掉线时造成无形的损失与伤害。指定路由强化网络稳定性:另外一方面,多 WAN 口的设计,也提供了访问网络快速稳定的途径。QVM330 支持指定路由功能,可通过协议绑定,将特定的服务或应用绑定在指定的端口,如 WEB 走 WAN1,MAIL 走 WAN2 等等,加速访问速度,进一步保障网络的稳定性。也可将 VPN 绑定特定端口,保证 VPN 通道的稳定流畅。策略路由
12、解决 VPN 跨网瓶颈:由于国内长期存在电信、网通互连不互通的问题,许多企业建立 VPN 时会发生跨 ISP 网络时带宽不足,导致 VPN 不稳定或易于掉线。侠诺多WAN 口的设计,可搭配策略路由的设定,让不同 ISP 外点可直接连到对应 VPN 服务器入口,实现“电信走电信、网通走网通“ ,从而有效解决跨网受限问题。妥善的售后技术增值服务:侠诺科技在大陆市场已深耕多年,特别注重产品的完整技术支持,除了提供优质产品、与时俱进的免费软件升级外,还能获得本地化的技术咨询、产品安装、维修服务。或者通过在线技术论坛、电话、实时通、E-mail 等方式,也可与原厂技术人员取得联系,获得即时的技术支持,协助问题解决,让您买的安心、用的放心。六、方案应用效果评价通过上述解决方案,不更动原有网络架构,在总部不增加设备的前提下,实现了与思科设备的联网,达成分部 2 对总部服务器的访问的目的,降低了网络运营成本。应用该方案以来,目前各类的业务数据传输、外点 ERP / OA 等运用,都大大提升了企业整体工作效能,可以说真正成功地帮助新郑金芒果实业建构了一个简便、快速、稳定、安全的企业VPN 网络。
