引言

    某集團公司下設單位約有30個左右，并且均為非企業注冊地辦事機構，遍布全國各地方省市。每個駐外辦事機構均需同企業集團公司進行溝通聯絡，如果采用專線聯系的方法，成本較高，難以實施。因此企業決定采用目前較為流行的VPN網絡形式進行聯結，這被認為是較為高效且可行的方案。

    為了提高企業的生產效率的同時并且提高企業的管理效率，加強信息化管理的程度，該企業集團需要建立起穩定、高速、可靠的網絡信息管理系統。新的網絡信息管理系統是一個集協作辦公、生產管理和視頻會議為一體的多功能企業網絡，這個網絡包括各個駐外機構與本企業集團公司直接聯系用的VPN網絡系統。

    由于該企業集團公司在全國范圍內擁有許多分支、下設機構，這就要求該網絡具有多種應用途徑，包括：生產管理、OA、財務管理、銷售管理等等，并且這些應用模式并不僅僅基于Web形式。IPSec VPN網絡是一種完美的解決方案，它可以為幾乎所有的應用提供訪問頁面；并且，VPN也不僅僅是用于外部用戶方問和出差人員對內部網絡的方問需要而設計的—— 即便是辦公人員和生產管理人員不在辦公室內，員工需要對集團公司內部網絡中的一些資源進行方問使用，VPN可以滿足員工對內部某些特定資源的訪問和使用。

    該網絡的設計原則本著先進性、實用性、經濟性、可靠性， “四性合一” 的原則進行VPN網絡的設計運行，使得該網絡具有可靠性好、實用性高、擴展性強以及標準統一的特點，可以靈活地同用戶的各種需求相接合，為不同的網絡方問業務提供基礎保證。

二、VPN的核心層面

    VPN (Virtual Private Network)是一種對網絡數據進行封包后再加密傳輸的技術，可以在互聯網上建立起臨時、安全的連接，并傳遞私有數據，能夠達到私人網絡的安全用戶級別，從而利用互聯網構筑起企業專有網絡，是企業內部網絡的向外延伸，可以給用戶提供到專用網絡所必須具備的網絡功能，但是其本身又不是一個獨立自由的物理網絡系統。

    VPN的核心技術是“隧道” (Tunneling)技術，它的核心過程是在源局域網和公網的對接口位置，將數據作為負載封裝在公網上傳輸的數據格式里，在目的局域網和公網的對接口部分將已經封裝的數據再解封，取出負載。封裝后的數據包在互聯網上傳遞過程中經過的邏輯路徑被稱為“隧道”。隧道技術允許VPN的數據流經由路由，再通過網絡，而且不論生成該數據流的是哪一種類型的網絡或者是設備。某種意義上講，VPN的操作可以獨立于其它網絡操作協議，隧道內的數據流或者數據包可以是IP、甚至是IPX以及AppleTalk等不同類型的網絡數據包。所以VPN必須通過跨越于IP協的公用網絡共同構建起安全專用通道實現公用網絡的私用傳遞。

三、VPN網絡的硬件解決方案和設備選擇方案

    依據集團內部的需要，考慮經濟、質量等各方面不同因素，VPN網絡的核心VPN設備網御神州G10，各省市分支機構選取設備為網御神州G7，移動終端用戶選取了網御神州Client軟件。

    網御神州G10的構建基于網御神州(北京)科技公司的安全路由設計技術(SRT)，并集合了管理、路由、接入、安全策略等功能，在單一的硬件設計基礎之上，提供了IP路由接入、虛擬專用網絡、加密、認證等安全設計功能。網御神州G10采用了處理能理較強的雙核2．6HZ處理器，支持了8000個隧道同時發出，能夠為該企業集團的VPN網絡提共超強的服務和傳輸性能，并且能夠滿足企業集團對于安全生產、辦公的能力網御神州G7是建構于路由技術(SRT)之上的產品，并且使用了900HZ的處理器，擁有3個16／160-T以太終端網口，可以提供600個隧道的同時運行。

四、VPN核心設備的布置與安裝

    網御神州G10與天防火墻G60并列排布，如圖1中所示：

圖1 網御神,NGlO與防火墻G60布局

    網御神州Gl0 VPN設備和防火墻G60并列布屬，上連NCiseo PIX防火墻，G10 VPN設備和PIX相連接的端口IP設為私有地址。在PIX上建立起VPN隧道連接所需的四個端口：50(ESP)、600、68(AN)，增設一條靜態的NAT：從公有網絡的地址到G10 VPN的私有地址之間，G60的配置不改變。

五、各地分支機構的節點解決方案及硬件配置

    由于該集團公司外設機構有30多個，遍布全國各省市自治區。每個駐外機構與集團公司內部的VPN聯接，均需要通過公用網絡，當然這個公用網絡是經過VPN加密的。集團公司內部的服務器可以同駐外機構的服務器相互訪問，駐外機構之間的服務器不需要直接進行相互訪問。每個駐外機構的員工大致控制在60人之內，主要的服務系統包括：辦公自動化系統、郵件系統和視頻會議系統等。集團公司使用10．x．x．x的私用網絡地址，經過信息港NAT映射為公網地址再進行互相訪問；駐外機構的內部網絡要使用集團公司統一分配的私有地址。VPN設備還支持移動辦公用戶通過互聯網連接集團公司內網。

    根據集團公司的要求，將駐外的機構用戶分成兩類：一類是移動類型的用戶，這主要針對通過互聯網及接人到集團公司內部單機或者比較小的駐外機構(僅有數臺計算機)。對于這類用戶，安裝網御神州Client軟件。通過用戶名和密碼，用戶將VPN軟件的使用與Internet聯接起來(通過VPN聯接集團公司內部網絡)，如圖2所示。

圖2 VPN聯接內部網絡流程圖

    為保證核心網絡安全，使用網御神州的SPlitTunneling安全機制，該機制能夠令到遠程辦公室的網點既可以通過IPSec隧道訪問集團公司的內部網站，也可以訪問集團公司的外部網站，為了排除相應的安全隱患，可以對其進行防火墻軟件的安裝。如下圖3中所示。

圖3 大型分支機構VPN聯接圖

    另一種用戶的情況如下描述中所示：

    1．用戶沒有相應的防火墻和地址轉換器的功能，并且使用著公用地址的分支機構。對于這些大型分支機構來說，因為使用公共地址，所以這些分支機構不需要址址轉換器，因此，可以通過網御神州G7經由以太網分別接人路由器和局域網交換機等內容，網御神州G7可以再次充當起VPN的網關以及防火墻的功能，另外也可以將VPN和防火墻一起考慮。

    2．用戶有防火墻，但是使用公用地址的分支機構和用戶也有防火墻，使用私有地址的分支機構。

    以上兩種形式的結構圖由于較為復雜，就不在文中再列示。

六、項目的整體評價

    一是，VPN在企業公司集團中的應用簡化了企業集團的網絡設計，使得長途線路進行安裝、配置的任務量急劇地減少，可以簡化Internet的設計特征；二是，降低了公司的設計成本，VPN的建立，使得企業的生產銷售及辦公活動全部都置于網絡可監控的情況之下，使得網絡維護和使用的成本極大地降低，借助于Intemet網絡來建立ISP聯接的VPN，能夠節省大量通信費用；三是，VPN網絡的安全性較高，網絡的安全性是企業集團公司考慮的最重要的方面，VPN能夠以多種方式來保證用戶網絡的安全性能，首先是VPN對數據封包的加密，另外也對VPN設備的防火墻功能的使用也可以加大企業內、外部網絡的安全性；四是擴展VPN軟件更為容易，如果分支機構增加也只需要增加相應的網御神州設備即可建立起VPN聯接，訪問到企業的內部網絡。

七、總結

    該企業集團公司利用VPN技術與企業各駐外機構進行聯接和溝通，形成相應的VPN網絡，使用維護和建設費率都較低，在能夠提供足夠安全保障的前提下，才實現信息資源的遠程訪問，能夠進行異地協作辦公，生產管理控制以及視頻會議等等多種功能，使整個企業的管理信息化，系統化。VPN網絡不僅能夠給下屬機構提供網絡聯接服務，滿足了各個分支機構對于網絡互聯網和企業內部網絡的訪問需求。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：VPN網絡在企業生產辦公中的應用

本文網址：http://www.guhuozai8.cn/html/consultation/1083947962.html