一、客戶背景

絲恩道時裝（上海）有限公司，創立於2011年，是一家及設計研發、生產、銷售為一體的企業。公司旗下首個時尚優雅女裝品牌“MESUX”“米岫”作為中國高級女裝的新貴，品牌組建國際化的設計團隊，先後吸引韓國、臺灣、義大利等著名設計師的加入合作，2013年品牌開始與曾服務於多個國際著名品牌並多次獲得國際獎項的義大利著名設計師ALBERTO ZAMBELLI及其設計團隊合作，從而使品牌的設計、企劃都在義大利工作室完成，使品牌更具國際化。
公司持續與義大利、韓國、日本、法國等國際面料公司公司合作，開發出既符合國際風尚又適合國內市場需求的面料。作為誕生于亞洲的時尚優雅高端女裝，在歐洲完成企劃設計，面料選擇後，在亞洲完成後期生產製作，務求能完全符合30-45歲東方女性的體型及穿著習慣，使品牌既有與生俱來的東方文化神韻，又能與國際時尚接軌，經典與創新的結合，水乳交融。
品牌面市不足一年半時間，店鋪超過五十家，年銷售接近一個億，公司將會以每年超過100%的提升率，用五年時間完成單一品牌對中國銷售管道的建設，儘早進入品牌公司化經營。

 

二、需求分析

絲恩道時裝目前有上海總部，湖南等多家分公司，並於上海普陀區、浦東區、黃埔區等區分設多個分點，公司希望各地分點進行VPN互聯的同時，並對總部進行全面的無線覆蓋，考慮成本預算，希望盡可能以少量AP個數即可達到完美覆蓋效果。經分析匯總，該VPN網路總體要求如下所示：

• 總部與分點之間需要通過VPN進行相互訪問，以進行資料資訊傳輸，方便公司開展工作、總部進行工作戰略部署等操作。
• 總部中心端需要有良好的穩定性，保持24小時不間斷提供網路服務，並可隨時建立VPN連接。
• 總部希望提供良好的無線應用網路環境，以滿足現在越來越多的無線終端入網應用。
• 希望不管是在VPN，或者是提供內網員工一般上網的公眾網路，均能維持良好、穩定的網路服務品質。以避免網路慢、資訊資料無法及時回饋造成集成資料時間過長，造成決策延誤等問題。
• 希望能在總部瞭解掌握並可管控分點網路應用狀態等資訊，以節省網路維護成本。
• 希望通過路由器可對用戶實行統一管理，實現對內網上網行為管制、流量控制等要求，配置管理簡單方便。
• 希望節約成本，路由設備最好具備防火牆功能，能夠有效防制駭客、ARP等攻擊，不影響公司上網與VPN品質，使網路具有足夠的安全能力。
• 希望在設備上可符合性價比高的需求，另外也可有效的精簡的後續維護成本，即使後續擴張經營也可輕鬆增加外點，為未來擴展留有空間。

總部對無線網路需求：

• 對總部中心的全部區域進行無線覆蓋，長時間運行、無死角、不斷線，以滿足總部中心大面積、高流量的無線用網需求。
• 需要有多種技術措施和應用功能保障無線網路的安全和總部中心內網資料的安全。
• 需要高度的穩定性，滿足總部中心多用戶同時上網的穩定聯網需求。
• 硬體性能要充分保障總部中心的頻寬利用率，充分保證無線用戶的快速、暢通的上網體驗。
• 對無線網路進行有效的區隔與安全防禦，以保障辦公、員工、公司訪客及總部中心客戶上網的安全穩定運行。
• 無線網維護簡單，所有AP統一由無線管理器APC進行配置設置，不僅大大減少無線網管的維護工作量，也間接節省人力成本。
• 建設的無線網路應可支撐無縫Wi-Fi 用戶端漫遊功能。

三、解決方案

經分析研究，上海地區代理商捷盾資訊最終選定了完整的解決方案。在架構上，絲恩道時裝（上海）有限公司總部中心組網核心設備採用高性能的多功能企業級核心路由器；下接POE交換機；再將無線AP接入到各個POE交換機上，所有無線AP可以通過無線APC進行統一的管理。（注：POE交換機可以通過網線對無線AP進行遠端供電，避免為每個無線AP部署電源）。分點採用多WAN埠VPN路由器，與總部進行即時的VPN互聯。

• 上海總部中心端：考慮上海總部PC使用者多，光纖線路接入，因此，上海總部採用俠諾全方位VPN設備SVM9023作為中心端設備。SVM9023支持PPTP、IPSec VPN、SmartLink VPN、QnoKey IPSec用戶端金鑰等多種連機方式，可與外點建立多樣化VPN互連網路，實現即時通訊。內部網路可哥劃分 VLAN，將各個應用區域區隔開來，預防廣播風暴及病毒傳播，提高安全性。在提供VPN及核心路由的同時，可作為無線AP的核心管理設備，並統一管理總部中心內分佈建築各處的無線AP、統一配發AP的無線參數設置。
• 各地分點接入端：公司湖南分點規模較大，因此可採用俠諾多WAN埠VPN路由器SVM9201作為VPN接入設備，上海本地的分點則採用俠諾SVM9047作為外點接入設備，不僅可以與總部快速安全的聯接VPN，也可提供穩定的無線應用網路環境給分點，並可通過SVM9047對分點內網網路進行相關的管控，提升網路應用效率。
• 總部無線AP：採用俠諾智慧吸頂式AP WCM1750產品，白色外殼設計安全又美觀。分配原則秉承信號利用率高、穩定性強、覆蓋率大的原則，在總部中心內客流量大、娛樂休息等密集使用區域多佈設AP，人員稀疏區域少放置AP，讓設備價值得到充分利用。

3.1 選擇設備

本方案在設備選擇上，本著以儘量少的設備，達成最大的效果收益為原則，考慮成本預算、未來擴展及實際應用等多方面需求，最終選擇俠諾APC無線設備管理GQF650及高速智慧吸頂式無線AP WCM1750作為方案的主設備與無線接入點設備，組建完整的無線網路。

3.2 技術特點

• APC無線設備管理
  俠諾無線裝置管理員，除了具備VPN產品的多功能(負載均衡、QoS、防火牆、PPTP、IPSec、SSL VPN等)以外，也可針對無線設備管理需求提供遠端系統管理，包括遠端重啟、修改設置、配置匯入匯出、升級等，還可針對上網行為進行控制，例如:網路許可 權管理(允許或拒絕非法AP)，頻寬許可權管理(限制用戶上網頻寬)，遠端查看連網的手機、平板、或員工電腦的連線狀態等。
• 雙核CPU效能
  俠諾設備採用64位元元雙核網路專用處理器，其效能在Intel-IXP處理器的基礎上大幅度提升，使路由器整體的效能提升了3~20倍。此外，CPU除了能在同一時間分散處理連線外，也能維持封包最重要的順序性，不至於讓網路傳輸的資料秩序紊亂。用雙核取代單核，有了更加強大的效能，企業內網資料轉發更快、可增加更多的應用與服務、擴展更大的網路規模，同時，更強的效能意味著設備的抗攻擊能力更強，使企業網路在更加安全的環境下高效的運轉，全面提升企業網路效能。
  

  

  
  
• VPN Hub
  通過VPN網路可實現總部與外點互通互連之外，還可運用VPN Hub的功能，可以讓各分點之間，通過總部中心端的轉發，實現分點間彼此的互聯互通，不需建立獨自的連線，有效降低成本。VPN Hub功能，幫助公司各分點均可在第一時間掌握各點的相關資訊，以方便業務、銷售、市場、行政等相互支援，避免發生資訊孤島的狀況，從而提升公司管理效率 與客戶服務的品質。
• VPN心跳
  針對VPN不穩定的狀況，俠諾SSL產品還支援“VPN心跳”（VPN Heart Beat）功能，可儉測各條VPN 流量狀態，並視儉測狀態來決定VPN連線是否重連，進一步確保VPN的穩定性。“VPN心跳”啟用主動迴圈偵測機制，發出偵測封包，並可設置偵測次數與間隔時間。當發出的偵測得到回應, 則停止此次偵測且間隔時間重新算起。如果偵測失敗次數達到一定的次數，就確認為斷線，將斷掉該條VPN通道，但如果在設置中有勾選Keepalive 或是有VPN流量通過，該VPN通道就能自動重新連線。而且，偵測失敗後，網管可在系統日誌中查看，各條VPN 通道的“心跳”偵測失敗並不影響其他條線路，從而更加保證VPN的穩定性。該功能兼具成本考慮，可以提供企業在補強VPN設備環境時，不需要因為 VPN穩定性不足而導致全面更換設備。

  

• 全新的無線吸頂AP
  支援PoE供電，通過APC設定提供MAC的存取控制(ACL)，通過APC設定可提供隱藏SSID功能，有效防止SSID廣播洩漏，通過APC設定可提供4 SSID功能，同時支援WEP，WPA，WPA2，802.1x加密等先進的無線安全選項。
• 多重安全措施，防蹭網
  300M高速WiFi，符合802.11b/g/n，WDS無線橋接，延長無線網路範圍。具備WPS按鈕，無線加密輕鬆完成。提供多重AP，劃分不同無線網路群組，方便管理。無線網路許可權管制，只有被設定的MAC才可連上無線網路，防止陌生人連上無線網路。多種使用者認證方式、集中的安全管理，充分保證無線網路的安全性。
• 無線網路訪客隔離
  無線網路訪客用戶名管理，讓網管人員能夠通過單一裝置，執行滴水不漏的有無線網路訪客存取控制。輕巧的無線網路訪客隔離所提供的控制功能，可支援訪客一旦成功認證後，只能上網不能進入總部中心辦公內部網路，從而達到安全隔離的效果，並降低未授權使用者和危險裝置所導致的風險。

• AP無縫漫遊
  大範圍無線覆蓋區域內，使用者只需對眾多AP的其中之一進行一次連網認證，中央APC的無縫漫遊功能便可將用戶連網許可權同步至範圍內其他所有AP，省去重複認證的不便。無線用戶可從一個AP漫遊到另一個AP，用戶在移動的過程中完全感受不到無線AP之間的切換操作，實現多個AP之間的無縫漫遊。

• 強效防火牆
  防火牆效能雙向轉發率可達2Gbps線速，性能優越。主動式封包檢測功能，經由對網路層連線的動態檢測，拒絕或阻擋非標準通信協定的連線要求。主動進行資料包雙向過濾，有效防止衝擊波、木馬等病毒。針對目前常見的DOS攻擊，具備短包、碎片包、ICMP、SynFlood、TCP/UDP過濾等功能。具備ARP攻擊防禦能力、網站訪問黑名單、應用軟體管制等。
• QoS頻寬管理
  動態智慧頻寬管理功能，只需一次性設置，輕鬆解決BT、P2P及視頻影片下載等佔用頻寬問題。對於一般未大量佔用頻寬用戶，則不進行管控。支援頻寬管理時間排程，頻寬管控更精准有彈性。支援IP群組管理，以設置連線數、關鍵字、最大或最小頻寬等方式，有效限制頻寬佔用。保障場所經理、主管及VIP客人等重要人員或應用服務的頻寬需求優先暢通。
  

  

• 彈性IP管理
  內建DHCP伺服器，可提供局域網內電腦自動取得IP，方便管理。支援公網IP透通模式，DMZ/WAN連接埠可作切換使用，支援對外開放伺服器。支援一對一NAT，可將固定IP直接對應到內部網路虛擬IP電腦，作應用伺服器使用。
• 內網資料傳輸加速
  俠諾獨有綠色通道加速技術，小包轉發速度大幅提升。強調攻守兼備的加速技術，進行完整的包檢視，針對正常的網路包再另開綠色通道快速通過，發揮全力加速的作用，在加速的同時也確保了內部網路安全。
  

四、方案整體特點

• 實用性與經濟性
  方案實現了總部及多外點的互聯。由總部統一管理無線外點，節省人力管理成本。整體方案做到了資訊統一存取管理、各服務資訊企業共用，提供了工作效率，體現出實用性與經濟性。
• 可靠性與穩定性
  雙核效能帶動網路的流暢，確保網路可靠性； VPN heartbeat功能對穩定性的功用也是不可忽視的。俠諾VPN heartbeat可偵測VPN 的流量狀態，並視偵測狀態來決定VPN連線是否重連，從而更加保證VPN的穩定性。
• 安全性與保密性
  安全方面，俠諾全方位VPN內建強效防火牆，主動式封包檢測功能及資料雙向智慧過濾,可有效防禦常見病毒與木馬入侵，有力的保護內網安全。支援智慧型雙向ARP綁定功能，可有效防止衝擊波、木馬、常見DOS攻擊及頑固的ARP攻擊。而且，俠諾全方位VPN還支援頻寬管理、上網行為管理等功能，具備特殊網頁訪問限制、阻擋特定服務、QQ、MSN一鍵封、檔案類型阻擋等多項上網管理功能，就連炒股軟體、線上視頻等都能等到有效的封鎖管制，從而更加規範員工行為管理，網路安全穩定也更上層樓。
  
• 擴展性與易維護
  俠諾設備可滿足企業一定時間的擴展應用，並能方便的配置、添加與隨時調整網路，還可遠端系統管理VPN外點及無線外點，讓方案更加具有通用性與靈活性。簡便的安裝配置操作、管理操作，簡化了網管的工作量，讓維護也更為容易。