河南省新鄭金芒果實業VPN應用成功案例
背景介紹 河南省新鄭金芒果實業總公司創建於1994年7月,屬於河南中煙工業公司新鄭捲煙廠下屬二級企業。公司地址位於新鄭市和莊鎮解放路南段,東鄰京珠高速公路和京廣鐵路大動脈,西鄰107國道,交通便利,地理優越。公司下屬多家子工廠與分公司,自身擁有先進的技術裝備和一流的管理,為新鄭市八大明星企業,新鄭市五十強企業之一,曾獲得鄭州市“振興杯”等榮譽稱號。 目前,與同屬雲南省金屬材料總公司的多家子公司及省內其他企業合作關係密切,且業務呈現高速成長,企業原有網路結構已經不能滿足現階段需求。為更有效的管理交易、運輸等業務資源,加強合作夥伴間的聯繫,雲南鋼材開始尋求更為安全、高速、智慧且經濟性較強的新企業VPN網路,希望憑藉高速運轉的資訊化網路,能夠輕鬆而高效的管理龐大的業務資源,增強市場競爭力,使雲南鋼材成為物流集團中最具競爭力的核心企業。
需求分析根據新鄭金芒果實業實際情況分析,總結需求有以下幾點: - 不改動原有網路框架,實現各分點對總部資料的安全訪問:
新鄭金芒果實業在總體網路應用的規劃上,希望不更動總部思科網路設備及伺服器架構,利用總部與分部1間的專線,實現分部2能及時訪問總部的伺服器進行安全存取,進行高效的即時同步資訊共用等服務應用。 - 簡化網路管理,減輕網管工作負擔:
新鄭金芒果實業希望實現網路的簡易化管理及應用,既可以在總體上實現分點的統一化管理,又可以針對各個分點的實際應用進行獨立網段的單獨管理。管理設置上簡化設置程式,使網管工作可輕鬆上手,減輕工作負擔。 - 有效帶寬管理,保證線路穩定暢通:
需要性能強勁硬體系統和有效的網路管理策略,避免網路堵塞、瞬間掉線等突發性事故,保證整個企業網路內部各應用系統的穩定性與高效性。
- 提高安全性能,防止機密資料外泄:
防止外部網路駭客的惡意攻擊及資料竊取,並能有效防治ARP等網路病毒,利用強大的防禦機制保證外部網路及內部局域網的全方位安全性。 - 較高性價比,具備一定的可擴展性能:
新解決方案所採用的硬體設備,不僅要考慮其當前的應用功能和性能,最好具備一定的可擴展性能,以方便未來企業發展所需要進行的硬體設備及應用軟體的擴充及升級。
應用方案根據以上所述的具體需求,新鄭金芒果實業委託高度性價比優勢的多WAN VPN防火牆廠商俠諾科技,為新鄭金芒果實業規劃整體的VPN組網方案,其具體的組網架構拓樸與方案特色如下: 圖:新鄭金芒果實業網路規劃拓撲圖
在瞭解了新鄭金芒果實業的整體需求及領導要求後,考慮集團總部不另架設備,分部2則有30左右資訊點接入,因此,決定在分部1處與分部2處均採用臺灣俠諾Qno QVM330 VPN防火牆作為接入VPN閘道設備,建立分部1與分部2間的VPN線路,分部2通過VPN連接到分部1,然後通過分部1與總部間的專線來訪問總部的伺服器進行相關服務存取。 分部1處通過專線到集團總部的cisco出口上網,分部2採用光纖單線接入,為VPN資料傳輸提供了高速的線路。分部2QVM330下面可接各部門PC機提供內部網路服務,並可通過QVM330進行內網有效管制。另QVM330具有多WAN口,為以後分部的VPN線路備援和帶寬增加提供了升級條件,保障了客戶的投資。QVM330 VPN路由器具有的VPN Smartlink功能讓原先VPN相關的20多個參數設置簡化成3個參數,極大的減少了網管的工作量。
方案特點
- NAT-T保障VPN正常穿透上層設備:
對新鄭金芒果實業來說,總部採用思科設備,分部1 通過專線從總 部光纖出口上網,如果不更動思科設備的原有設置,那麼分部2就無法直接與集團總部間建立VPN來訪問集團總部伺服器上的資料,只有通過分部1與分部2間建立VPN連接,才能夠實現分部2對總部的伺服器資料的存取。俠諾Qno QVM330支持VPN高級設定NAT-T功能,可以實現分部1的QVM330透過集團總部的思科設備與分 部2的QVM330建立穩定的VPN聯機,完美解決VPN聯機顯示通但無法訪問的問題。 - SmartLink VPN快速設定:
對於一般傳統的IPSecVPN設定,沒有太多專業知識的企業人員,常會因為多達20幾個參數感到茫然。俠諾QVM系列特有的SmartLink VPN功能,將大部份的設定參數的工作交由VPN閘道自動完成,用戶只需要輸中心端伺服器IP位址、用戶名、密碼三個參數,即可完成超快速VPN連機設定,現在就算是沒有太多網管專業知識的工作人員也可以輕鬆上手進行VPN連機設定了。 - 強大防火牆安全功能:
對於企業VPN面對來自外網的諸多病毒、或是財務帳號意外洩露、電腦被非法使用、惡意的內網攻擊等帶來的損失,都不容小覬。目前來說,最多的攻擊形式仍以ARP攻擊居多,Qno俠諾QVM系列 VPN防火牆設備都具有內建的防制ARP功能,憑藉自動檢視封包的機制,偵測過濾可疑的封包,做為防制ARP攻擊的第一道防線。可搭配IP /MAC雙向綁定,在路由器端以內網PC端進行IP/MAC綁定,即可達到防堵ARP無漏洞的效果。 - 穩定、快速的VPN連機品質:
俠諾QVM VPN防火牆系列,具有指定路由功能,可保障VPN使用帶寬與優先權,進一步穩定VPN連機品質。關於未來企業規模擴張,俠諾QVM VPN防火牆系列,均具備多個WAN介面,可同時接入多條ISP線路,可增加帶寬滿足更多外點VPN連機,以及內網的電腦使用, 還可同時運用VPN備援設定功能,避免當ISP不穩定或掉線時,VPN連機也隨之中斷聯機,造成無形的損失與傷害,有效提高VPN更上一層樓的穩定性。 - QVM中央控管的功能:
新鄭金芒果實業VPN網路運用運用SmartLink連機,可支持中央控管功能。分部2與分部1分別為中心端與接入端,在任一端管理介面都可查看VPN聯機情況,若需進一步協助設定或排解問題,管理人員也可直接進另一分部的管理介面,直接通過VPN進行設定管理,安全又有效率。 - 簡單而方便的配置及管理:
QVM系列產品都是Web中文頁面配置,沒有太多網路知識的網管人員也可輕易進行配置。即使是不懂網路的人員,經由簡單的培訓,也可進行操作。這一點大大消除了分部沒有專業技術網管的後顧之憂。 - 便利內網管理方便內網管控:
對於帶機30多台的分部2來說,QVM330支援QoS帶寬管理及彈性IP管理,讓網管對內網管控更加簡單。以設定聯機數、關鍵字、最大或最小帶寬等方式,有效限制帶寬佔用,讓內網其他用戶可正常聯網。可依據IP或應用服務連接埠分配帶寬或設定優先順序,優先傳送重要資訊資料不致延遲。內建DHCP伺服器,可提供局域網內電腦自動取得IP,方便管理。 未來拓展- 多WAN埠接入備援:
QVM330支持帶寬彙聚,支持帶寬彙聚、自動線路備援,多WAN口接入方式,讓企業有更大和彈性配置空間。目前企業分部採用單線光纖接入,後期發展可採用雙線不同ISP接入,不僅可以彙聚帶寬,而且還可以實現線路備援、資料分流、負載均衡等效果,給日後網路升級預留了空間。當一條線路掉線,會自動改用另一個WAN連接埠的線路連接,確保聯機不掉線。可同時運用備援功能,避免掉線時造成無形的損失與傷害。 - 指定路由強化網路穩定性:
另外一方面,多WAN口的設計,也提供了訪問網路快速穩定的途徑。QVM330支援指定路由功能,可通過協定綁定,將特定的服務或應用綁定在指定的埠,如WEB走WAN1,MAIL走WAN2等等,加速訪問速度,進一步保障網路的穩定性。也可將VPN綁定特定埠,保證VPN通道的穩定流暢。 - 策略路由解決VPN跨網瓶頸:
由於國內長期存在電信、網通互連不互通的問題,許多企業建立VPN時會發生跨ISP網路時帶寬不足,導致VPN不穩定或易於掉線。俠諾多WAN口的設計,可搭配策略路由的設定,讓不同ISP外點可直接連到對應VPN伺服器入口,實現“電信走電信、網通走網通”,從而有效解決跨網受限問題。 - 妥善的售後技術增值服務:
俠諾科技在大陸市場已深耕多年,特別注重產品的完整技術支援,除了提供優質產品、與時俱進的免費軟體升級外,還能獲得本地化的技術諮詢、產品安裝、維修服務。或者通過線上技術論壇、電話、即時通、E-mail等方式,也可與原廠技術人員取得聯繫,獲得即時的技術支持,協助問題解決,讓您買的安心、用的放心。
使用評測新鄭金芒果實業網管表示,通過上述解決方案,不更動原有網路架構,在總部不增加設備的前提下,實現了與思科設備的聯網,達成分部2對總部伺服器的訪問的目的,降低了網路運營成本。應用該方案以來,企業目前各類的業務資料傳輸、以及外點ERP / OA等運用,都大大提升了新鄭金芒果實業整體的工作效能,可以說真正成功的幫助新鄭金芒果實業,建構了一個簡便、快速、穩定、安全的企業資訊VPN網路。
|