随着互联网的普及,各个行业的管理和经营模式的发展口新月异。通过设置的专用网络通讯设施进行通讯,不论是公司内部职员之间的联系还是与客户的合作洽谈都能灵活方便的进行。在众多的关注因素中,网络的安全性最为突出,其次,网络的性能、可扩展性、可管理性等也受到一定程度的重视。
小型远程办公网络既能保障公司内部数据传输的安全性,又可以节约成本,可谓一举多得的好方法,但针对不同的公司规模、投入资金等硬性要求,就要采取略有不同的设计方案。影响组建网络的因素大致分为外部因素和内部因素,其中,外部因素主要是资金问题,包括硬件设备购置、线路租用和管理等费用,其次是网络的性能;内部因素包括人员及资源分配和设备应用,例如:验证授权,共享文件,邮件,vpn服务等。
本文利用宇翔科技公司远程办公网络设计作为实际案例,针对外部和内部因素,对公司员工数在100人内的小型公司的远程办公网络设计,开发了两种网络设计方案,并加以比较分析。
一、需求分析
宇翔科技有限公司总部坐落于国贸科技大厦,其客户服务支持部门设立于和平里,总部有员工75人,远程客户服务支持部门有员工20人。此次网络设计主要是实现两地办公室之间的通讯,并保证资源共享以及资源内部安全,同时总部需要提供vpn服务以便员工远程登录公司内部网络完成工作。
二、网络模块设计
针对于两个办公地点,构建一个10/100m的交换以太网就能够完全满足应用需求。在接入线路方面,小型办公网络环境对于流量的需求,一般是获取信息或收发电子邮件等流量,使用adsl接入方式比较节约成本。在小型办公网络环境中,对可管理性和安全性因素的考虑也必不可少。
综合分析公司的组织结构,决定设计以下两种网络模块:
(一)总部互联网模块
总部互联网模块拥有与互联网的连接,同时也端接vpn与公共服务(包括dns,http,ftp,smtp)信息流。互联网模块不仅为内部用户提供了与互联网的连接,而且允许用户通过互联网访问公共服务器上的信息,同时还为远程工作人员提供了vpn访问能力。互联网模块涉及的关键设备有:smtp服务器、dns服务器、ftp/http服务器、防火墙或防火墙路由器。
(二)远程办公室网络模块
远程办公室网络模块包含远程办公室最终用户工作站、分支验证服务器、管理服务器和支持这些设备所需的相关第2层基础设施。目前可以选用已经集成这些第2层交换功能的交换机来降低成本。
下面对两种模块的实现方法进行几点解释。
首先,无论选用哪种设备,都要考虑一些vpn的因素。在互联网模块中,一般使用带有防火墙和vpn功能的路由器。它使小型网络变的更加灵活。在目前的环境中,大多数有线和dsl路由器和调制解调器都是由电信服务供应商提供的,可用于连接以太网防火墙。如果设备要求wan连接(如电信供应商的dsl电路),那么,就必须使用路由器,此时使用专用防火墙不具备轻松配置安全性和vpn服务的优势。路由器倾向于允许信息流通过,防火墙的缺省设置则倾向于阻止信息通过。
此外,从过滤的角度讲,除了将公共服务区域的信息流限定到相关地址和端口外,在相反的方向上也在进行过滤。如果某个攻击涉及到一个公共服务器(通过规避防火墙和基于主机的ids),那么这个服务器应该不会再进一步攻击网络。为了缓解这种攻击,具体的过滤将防止公共服务器向其他任何地点发出任何未授权请求。此外,dmi上的专用vlan可以防止一个被破坏的公共服务器攻击同一区域的其他服务器。这种信息流甚至不能被防火墙发现,由此可以证明专用vlan的重要性。在邮件服务方面,防火墙在第7层过滤smtp信息,以便只允许必要的命令到达邮件服务器。防火墙与路由器的安全功能中通常包括一些有限的nids功能。这种功能会影响设备的性能,但是在遭受到了攻击的情况下却能提供一些关于攻击的信息。这之间存在着一些平衡,牺牲了一些性能来换取信息的透明度。如果不使用ids,许多攻击将被放弃,但监控站不会知道发生了什么具体攻击。vpn连通性是通过防火墙或防火墙/路由器实现的。远程地点用预共享的密钥进行彼此验证,远程用户则通过远程办公室模块中的访问控制服务器得到验证。考虑到宇翔科技公司的规模和资源分配,倾向于选择集成防火墙功能的路由器方案。
远程办公室模块的主要功能是交换生产和管理信息流,并为公司管理服务器和用户提供连接,可以选用集成所需第2层交换功能的交换机。在交换机内部实施vlan,以减少设备间的信任关系利用攻击,但这样远程办公室模块中就没有第3层服务,由于内部网络的开放性,这种设计应该注重应用和主机的安全性。所以,远程办公室的系统中建议安装杀毒软件和监测网络系统。
三、方案设计
根据以上的模块化设计,拟定两种方案如下:
方案一:总部办公室和远程办公室全部使用互联网模块,办公室之间用低速ddn专线连接,在两间办公室设立分别的动态目录管理,即不同的域,但是都归属于同一个森林,两间办公室都存在自己的dns解析,并且设定对方的dns来解析来自对方网络的需求。
方案二:总部办公室使用互联网模块,连接到isp提供的网络服务,而远程办公室只使用远程办公室模块,所有验证都通过总部服务器进行。但是为了保证远程办公室的员工使用互联网资源,两间办公室之间必须用高速t1专线连接,以保障带宽和响应速度。在该方案中,若当所有的远程办公室的员工同时试图登陆到域中时,专线就容易产生拥塞甚至超时。为了解决同时间内大量的请求使得专线负担过重的问题,在远程办公室模块中加入ad缓存,定期以小流量与总部办公室的动态目录进行同步,这样就能对专线拥塞起到一定的缓解作用。
四、性能分析
对比两种设计方案,在方案一中,两间办公室分别有自己的互联网介入,这无疑提高了员工访问外部网的速度,然而在两个网段之间互访的过程中,低速的ddn专线经常造成超时,或者资源不能定位。这种不利因素影响了集成两间办公室之间的业务联系和资源整合。另外考虑到费用因素,方案一无疑增加了租用线路的费用,而且硬件成本也相应增加。两间办公室都需要完整的公共服务支持,如dns,http,vpn等。
表1.方案一和方案二优缺点比较
在方案二中,远程办公室只使用了远程办公室模块,基本上完成第2层交换,所有的登录验证和互联网访问都会通过t1专线达到总部办公室,这样节约了在远程办公室设置第2套互联网访问设备的费用,并且基本上解决了公司内部资源共享问题。根据上面提到,为了能够避免在网络高峰期造成拥塞,本地的ad缓存可以帮助远程办公室的员工登录进入域,并且定期更新资源分配。相应的网络监测软件可以协助确定网络的繁忙期,这样利用空闲事情完成ad更新和dns更新。如上表1列举了两种方案的优缺点。
根据两种方案的优缺点比较,最终确定了第二种设计方案更合适,使用高速专线连接远程办公室到总部办公室,两间办公室共享互联网模块来访问外部网。为了能有效地利用专线,在远程办公室设计ad缓存,能够在网络的非繁忙期进行同步。
五、结论
通过分析宇翔科技有限公司的资源以及网络分布状况,进而对小型远程办公网络的架构给出了两种设计方案,并在文中进行了分析探讨。通过这次的方案选择,深入地了解了一般小型公司的网络设计技巧和性能分析,以及如何利用路由器和第2层交换机进行网络信息交换。同时,对于dns,http,vpn等领域有了新的认识,并且应用于实践中。对于中小型公司远程访问的安全考虑方面也进行了一些研究,利用网络技术中的过滤功能等来预防潜在的攻击以及隐患。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:小型远程办公网络设计与实施
本文网址:http://www.toberp.com/html/consultation/1083943646.html