威海態迪妮連鎖服飾 VPN應用案例
背景介紹山東威海態迪妮服飾,是韓國著名品牌“TIDY&TINY”在中國的運營總部,負責全國的連鎖經營。現有威海分店、煙臺、淄博、太原、舟山、張家港等多家連鎖店,計畫在7月份全國達到30家分店,最終達到80家左右分店。隨著態迪妮服飾連鎖分店與行銷外點不斷增加,態迪妮服飾業務範圍也隨之趨於複雜與龐大,為了有效管理以及充分掌握各分點運營現狀,進行企業整體運營決策與分析,威海態迪妮服飾開始積極尋求VPN組網方案,希望可藉由VPN互連共用的特性,組建即時、穩定、安全的企業VPN網路。 圖一:態迪妮服飾 需求分析 山東威海態迪妮服飾表示,由於威海態迪妮服飾採用全國連鎖會員制度,加上有意加設分點安防監控設備等特殊考慮,因此提出了企業VPN必須具備基本需求如下:
- 穩定不中斷的網路品質:
穩定持續運作的聯機線路是保證網路帶寬使用與連鎖銷售管理系統運行的最基本的需要。態迪妮服飾希望不管是在VPN,或者是提供內網員工一般上網的公眾網路,均能維持良好、穩定的網路服務品質。以避免調用會員資訊過慢、進銷存資訊無法及時回饋造成整合資料時間過長,造成決策延誤等問題。 - 有效防制內外網病毒攻擊:
網路帶來海量的資訊同時,也帶來越來越多的攻擊及病毒。這些五花八門的病毒,造成企業網路安全的潛危機。但另購置防火牆設備又是一筆不小的開銷。因此,態迪妮服飾希望節約成本,路由設備最好具備防火牆功能,能夠有效防制駭客、ARP等攻擊,不影響企業上網與VPN品質。 - 節省設備建置、維護的成本:
態迪妮服飾有多家連鎖分店與多個行銷外點,希望在設備上可符合性價比高的需求,另外也可有效的精簡的後續維護成本,即使後續擴張經營也可輕鬆增加外點。
- 可管控企業員工上網行為:
很多員工在上班時間聊QQ、MSN等即時交流工具,通過BT等下載音樂電影,影響工作效率。這樣也可能有意無意間會帶來帶寬被佔用、網路訪問速度降低等問題,更嚴重是可能隨之而來的病毒、蠕蟲和木馬的威脅。因此,希望可對局域網中的電腦上網進行適當的管控,避免工作效率不佳的問題。 - 確保分點存取總部資訊的安全性:
希望可以通過安全的網路傳送的方式,讓各地連鎖分店及外點可以即時存取總部資源,如會員卡軟體系統、ERP系統、OA等伺服器,不易被有心人士或同業竊取公司機密。 - 設備操作設定必需快速容易上手:
由於連鎖從業人員,大多不具備專業的網路知識,因此希望設備的選擇要考慮到管理和使用的便利性,不管在設定或操作介面使用上,都能符合快速上手的標準。具備直觀的配置介面,最好還有簡化的配置設計,以節省不必要的時間浪費,減輕網管負擔。
應用方案根據態迪妮服飾的應用需求,多WAN VPN專家俠諾科技量身規劃了態迪妮服飾VPN組網方案,其具體的拓樸及方案特色如下:
圖一:威海態迪妮連鎖服飾網路拓撲圖 - 總部中心端:
威海態迪妮服飾有限公司做為連鎖總部中心端,接入網通百兆光纖線路,採用俠諾QVM660 VPN防火牆做為VPN設備,支援PPTP、IPSec VPN、SmartLink VPN、QnoKey IPSec用戶端密鑰等連機方式,與其他各連鎖分店與行銷外點建立VPN互連網路,實現即時通訊,共用總部中心端贏通會員管理系統、ERP、OA等應用系統。 - 連鎖分店:
態迪妮服飾分店眾多,VPN接入方式也不盡相同,根據各分店的實際應用,分別採取以下幾種VPN用戶端連接方式:
- QVM VPN:
其中張家港、太原、煙臺三家連鎖分店均採用QVM110 做為VPN閘道接入設備,運用俠諾特有的SmartLink VPN協議,與總部進行安全、快速的連機。SmartLink VPN是俠諾特殊設計的超快速VPN連機方式,只需輸入三個參數,就可取代標準IPSec VPN繁覆的設定步驟,對於分秒必爭的連鎖分店員工而言,是一個十分省心的功能設計。 - QnoKey:
QVM110對於規模小的單店來講成本偏高,所以新沂分店使用兼顧方便及安全的QnoKey智慧VPN連接鑰匙,成本相較路由設備又低了許多。QnoKey外形類似U盤,採用USB介面即插即用,配合用戶端安裝的免費附送撥號軟體,輸入密碼即可快進行IPSec VPN通道建立。 - IPSeC VPN:
威海直營分店由於前端已配備有網路設備,為節省原有資源,所以使用IPSec VPN方式連入總部VPN進行資源分享。 - PPTP VPN:
考慮成本因素,淄博、舟山兩家分店使用的是PPTP VPN。由於作業系統中內建了PPTP的用戶端軟體,因此對於用戶端有較高的方便性,基本上沒有成本。
方案特點
- SmartLink VPN 分點員工也可輕鬆完成VPN連機設定:
俠諾考慮許多連鎖零售業者並非網路專家,對於IPSec多達20幾個步驟的設定往往感到太過繁雜,因此提供獨創的SmartLink設定功能,將大部份的設定參數交由VPN閘道自動完成,只需要輸入伺服器IP、使用者名稱、以及密碼三個參數,就能立刻建立IPSec連機設定。現在就算是沒有太多專業知識的連鎖分店工作人員也可以輕鬆上手,進行超快速VPN連機設定了。 - 中央控管 總部一次掌握分點聯機狀況:
作為總部的網管,同時管理眾多VPN接入聯機是一個非常頭痛的問題。各個分支機搆的VPN隧道建立、聯機情況,還有帶寬利用率等這些都是在實際上需要時時留心的問題。俠諾QVM系列VPN產品提供集中的管理介面,只要在總店QVM660查看管理介面,就可一次看清最多二百個VPN聯機的情況,不必一一地檢查聯機的狀況。若需進一步協助設定或排解問題,網管也可直接點選分點圖示,直接進分店設備QVM110的管理介面,直接通過VPN進行查看或設定管理,安全又有效率。
- 帶寬管理 保證VPN帶寬與優先權:
態迪妮服飾連鎖分佈全國各地,各個店經常需要通過VPN聯網,調用會員資訊、查詢即時的進銷存資訊等,因此穩定、快速的VPN聯機品質就顯得格外重要。俠諾QVM VPN防火牆系列,具有指定路由功能,可保障VPN使用帶寬與優先權,進一步穩定VPN連機品質。另外在帶寬利用率上,QVM VPN防火牆的智慧QoS輕鬆實現高峰與低峰時間,享受不同大小的帶寬服務,並可設置服務優先順序,達成彈性的帶寬管理,也成就了帶寬使用率最佳化的表現,從而有效保證VPN帶寬。 - VPN Hub 分點間也能互連互通:
態迪妮服飾網管指出,通過VPN網路可實現總部與外點互通互連之外,還可運用VPN Hub的功能,可以讓各分店之間,通過總部中心端的轉發,實現分店間彼此的互聯互通,不需建立獨自的聯機,有效降低成本。VPN Hub功能,幫助態迪妮服飾各分店均可在第一時間掌握各點的會員情況及銷售庫存等訊息,以方便客戶、業務、銷售等相互支援,避免發生資訊孤島的狀況,提升連鎖銷售店面的管理效率與會員客戶服務的品質。 - 內建防火牆保證內外網安全:
態迪妮服飾網管表示,現在的網路資訊包羅萬象,隨之也帶來諸多的病毒攻擊,危害到公司寬頻與VPN網路影響用戶的正常使用,甚至威脅到會員管理軟體、ERP等各種應用系統。目前來說,最多的攻擊形式仍以ARP攻擊居多,俠諾QVM系列VPN防火牆設備具內建的防制ARP功能,藉由自動檢視封包的機制,偵測過濾可疑的封包,做為防制ARP攻擊的第一道防線。配合IP/MAC綁定,即可確保有效防止ARP病毒攻擊。可以掃描主機線上情況,進行統一綁定,然後對於綁定除外的IP/MAC進行封堵。輔以電腦安裝Qno提供的綁定軟體,這樣就安然無憂了。 - 支援動態IP環境:
對態迪妮服飾連鎖來說,連鎖分店一般採用ADSL線路接入,而ADSL線路又大多數提供動態IP。因此,為了讓連機品質不會隨著動態IP而不穩定,必須採用動態DNS功能變數名稱解析服務,才可解讀並將要求轉送到對應的伺服器。俠諾QVM VPN系列可支援多種動態DNS功能變數名稱解析服務,如QnoDDNS、3322.org、 DynDNS等,只要到這些免費網站進行登記即可使用。此外,態迪妮服飾網管在單WAN口上設定多種動態DNS相互備援,這樣下來即使某個動態DNS產生問題,也可以自動立即採用其他的動態DNS繼續進行服務,進一步增強了VPN連機在動態IP環境下的穩定性。 - NATT機制穩定VPN品質:
一般而言,寫字樓的網路架構,多半有一台主要核心路由器接入整體對外的ISP線路,許多企業分支機搆如” 勁霸茄克某分公司”再租用寫字樓的線路接入到自家路由器或者VPN設備上。但在使用VPN連機時,由於寫字樓的主要核心路由器,會將VPN所發出的ESP封包格式阻擋下來,因此會出現明明顯示為VPN聯機狀態,資訊卻無法傳輸的現象。俠諾VPN設備中具有內建的NATT機制,可將VPN設備所發出的ESP封包格式轉換為UDP或是TCP兩種封包格式,即可穿透寫字樓主要的核心路由器,成功傳輸VPN資訊。有效避免” 勁霸茄克”位在寫字樓中的分點機構,發生無法傳輸資訊的弊病。 - 穩定的視頻、通話品質:
由於” 勁霸茄克”總部與全國各地分公司、倉庫等分點機構間,常常必須舉行會議,討論分析目前的營運狀況。為了改善全省各地分公司、倉庫等分點機構必須來回奔波的麻煩,勁霸茄克也接入視頻會議、VOIP等系統。然而,我們發現許多企業在運用這些系統時,由於實體網路環境不一,容易發生模糊不清或者頻頻斷線的情況,俠諾建議” 勁霸茄克”可將此類的視頻或VOIP等應用,通過埠協定綁定在VPN通道中,利用VPN專屬隧道的特性,可以更進一步穩定視像、通話品質。 - 擴展性強:
由於” 勁霸茄克”透露了未來還有進一步擴張分點的計畫,因此非常擔憂設備面臨不堪使用而被淘汰的問題。關於這點,由於俠諾VPN產品均獲得國際VPN認證機構VPNC的認證,保障了產品與大廠VPN設備的互通相容性,因此將來” 勁霸茄克”再度擴張版圖時,也能與大廠的設備相通,不會有無法使用問題。
未來拓展
- 多WAN埠可彈性增加帶寬:
關於未來態迪妮服飾規模擴張,俠諾QVM VPN防火牆系列,均具備多個WAN介面,供企業彈性配置運用。可同時接入多條ISP線路,增加帶寬的同時,滿足更多外點VPN連機以及內網的電腦的聯網使用。另外,還可同時運用VPN備援設定功能,避免當ISP不穩定或掉線時,VPN連機也隨之中斷聯機,造成無形的損失與傷害。由此可見,多WAN埠給日後網路升級預留了空間,進而實現多WAN備援、VPN與公眾線路分流等效果,讓升級不是問題。 - 多VPN通道允許多外點多方式聯機:
態迪妮服飾中心端採用的QVM660,支援IPSec、PPTP、QVM VPN聯機功能。可同時處理200條IPSec聯機,可提供30個QVM外點用戶端聯機和50個PPTP行動用戶進行VPN聯機。由此可見,多條VPN通道完全能勝任未來態迪妮服飾的擴展任務。而且,連鎖外點可根據實際應用,靈活選擇適用的方式接入總部VPN進行資訊存取。 - 策略路由解決VPN跨網瓶頸:
由於國內長期存在電信、網通互連不互通的問題,態迪妮服飾的部分電信線路的連鎖分點與總部網通建立VPN時,可能會發生跨ISP網路時帶寬不足,導致VPN不穩定或易於掉線。俠諾多WAN口的設計,可搭配策略路由的設定,讓不同ISP外點可直接連到對應VPN伺服器入口,實現“電信走電信、網通走網通”,從而有效解決跨網受限問題。 - 帶寬管理強化VPN穩定度:
另外一方面,多WAN口的設計,也提供了VPN帶寬保證的功能。俠諾VPN系列可通過埠綁定,將VPN所有應用服務綁定在指定的埠,讓一般上網的應用服務只能從VPN指定之外的埠進出,而不能佔用VPN指定埠的帶寬,實現一般上網與VPN分流的目的,進一步保障了VPN連機的優先權與穩定度。 - 產品規格相容性強大:
俠諾產品均通過VPNC ( 國際VPN認證機構 ) 認證,具有較好的相容性。VPNC(www.vpnc.org)為國際VPN認證機構,可證明產品與大廠VPN設備的互通性。Qno俠諾VPN系列產品得到VPNC的認證,將來企業成長時,也能與大廠的設備相通,不會有無法使用問題。因此將來態迪妮服飾成長到一定龐大規模時,擴充其他品牌設備,也不會有無法進行VPN聯機問題。 效果評測態迪妮服飾應用俠諾QVM660/QVM110組建VPN網路後,運行基本穩定,有效的確保了內網與VPN網路的穩定性和流暢性,實現了連鎖店面的統一管理。保證了進銷存軟體穩定運行的同時,輕鬆解決了全國連鎖會員管理問題。後續態迪妮服飾還會陸續擴展,在全國各地設立其他連鎖,Qno俠諾VPN解決方案將有效解決VPN外點增加帶來的管理、成本等問題,加上俠諾良好的售後技術支持,可以說是為態迪妮服飾的發展提供了一個最佳的VPN資訊共用網路平臺。
|