VPN网络在企业生产办公中的应用

引言

    某集团公司下设单位约有30个左右，并且均为非企业注册地办事机构，遍布全国各地方省市。每个驻外办事机构均需同企业集团公司进行沟通联络，如果采用专线联系的方法，成本较高，难以实施。因此企业决定采用目前较为流行的VPN网络形式进行联结，这被认为是较为高效且可行的方案。

    为了提高企业的生产效率的同时并且提高企业的管理效率，加强信息化管理的程度，该企业集团需要建立起稳定、高速、可靠的网络信息管理系统。新的网络信息管理系统是一个集协作办公、生产管理和视频会议为一体的多功能企业网络，这个网络包括各个驻外机构与本企业集团公司直接联系用的VPN网络系统。

    由于该企业集团公司在全国范围内拥有许多分支、下设机构，这就要求该网络具有多种应用途径，包括：生产管理、OA、财务管理、销售管理等等，并且这些应用模式并不仅仅基于Web形式。IPSec VPN网络是一种完美的解决方案，它可以为几乎所有的应用提供访问页面；并且，VPN也不仅仅是用于外部用户方问和出差人员对内部网络的方问需要而设计的—— 即便是办公人员和生产管理人员不在办公室内，员工需要对集团公司内部网络中的一些资源进行方问使用，VPN可以满足员工对内部某些特定资源的访问和使用。

    该网络的设计原则本着先进性、实用性、经济性、可靠性， “四性合一” 的原则进行VPN网络的设计运行，使得该网络具有可靠性好、实用性高、扩展性强以及标准统一的特点，可以灵活地同用户的各种需求相接合，为不同的网络方问业务提供基础保证。

二、VPN的核心层面

    VPN (Virtual Private Network)是一种对网络数据进行封包后再加密传输的技术，可以在互联网上建立起临时、安全的连接，并传递私有数据，能够达到私人网络的安全用户级别，从而利用互联网构筑起企业专有网络，是企业内部网络的向外延伸，可以给用户提供到专用网络所必须具备的网络功能，但是其本身又不是一个独立自由的物理网络系统。

    VPN的核心技术是“隧道” (Tunneling)技术，它的核心过程是在源局域网和公网的对接口位置，将数据作为负载封装在公网上传输的数据格式里，在目的局域网和公网的对接口部分将已经封装的数据再解封，取出负载。封装后的数据包在互联网上传递过程中经过的逻辑路径被称为“隧道”。隧道技术允许VPN的数据流经由路由，再通过网络，而且不论生成该数据流的是哪一种类型的网络或者是设备。某种意义上讲，VPN的操作可以独立于其它网络操作协议，隧道内的数据流或者数据包可以是IP、甚至是IPX以及AppleTalk等不同类型的网络数据包。所以VPN必须通过跨越于IP协的公用网络共同构建起安全专用通道实现公用网络的私用传递。

三、VPN网络的硬件解决方案和设备选择方案

    依据集团内部的需要，考虑经济、质量等各方面不同因素，VPN网络的核心VPN设备网御神州G10，各省市分支机构选取设备为网御神州G7，移动终端用户选取了网御神州Client软件。

    网御神州G10的构建基于网御神州(北京)科技公司的安全路由设计技术(SRT)，并集合了管理、路由、接入、安全策略等功能，在单一的硬件设计基础之上，提供了IP路由接入、虚拟专用网络、加密、认证等安全设计功能。网御神州G10采用了处理能理较强的双核2．6HZ处理器，支持了8000个隧道同时发出，能够为该企业集团的VPN网络提共超强的服务和传输性能，并且能够满足企业集团对于安全生产、办公的能力网御神州G7是建构于路由技术(SRT)之上的产品，并且使用了900HZ的处理器，拥有3个16／160-T以太终端网口，可以提供600个隧道的同时运行。

四、VPN核心设备的布置与安装

    网御神州G10与天防火墙G60并列排布，如图1中所示：

图1 网御神,NGlO与防火墙G60布局

    网御神州Gl0 VPN设备和防火墙G60并列布属，上连NCiseo PIX防火墙，G10 VPN设备和PIX相连接的端口IP设为私有地址。在PIX上建立起VPN隧道连接所需的四个端口：50(ESP)、600、68(AN)，增设一条静态的NAT：从公有网络的地址到G10 VPN的私有地址之间，G60的配置不改变。

五、各地分支机构的节点解决方案及硬件配置

    由于该集团公司外设机构有30多个，遍布全国各省市自治区。每个驻外机构与集团公司内部的VPN联接，均需要通过公用网络，当然这个公用网络是经过VPN加密的。集团公司内部的服务器可以同驻外机构的服务器相互访问，驻外机构之间的服务器不需要直接进行相互访问。每个驻外机构的员工大致控制在60人之内，主要的服务系统包括：办公自动化系统、邮件系统和视频会议系统等。集团公司使用10．x．x．x的私用网络地址，经过信息港NAT映射为公网地址再进行互相访问；驻外机构的内部网络要使用集团公司统一分配的私有地址。VPN设备还支持移动办公用户通过互联网连接集团公司内网。

    根据集团公司的要求，将驻外的机构用户分成两类：一类是移动类型的用户，这主要针对通过互联网及接人到集团公司内部单机或者比较小的驻外机构(仅有数台计算机)。对于这类用户，安装网御神州Client软件。通过用户名和密码，用户将VPN软件的使用与Internet联接起来(通过VPN联接集团公司内部网络)，如图2所示。

图2 VPN联接内部网络流程图

    为保证核心网络安全，使用网御神州的SPlitTunneling安全机制，该机制能够令到远程办公室的网点既可以通过IPSec隧道访问集团公司的内部网站，也可以访问集团公司的外部网站，为了排除相应的安全隐患，可以对其进行防火墙软件的安装。如下图3中所示。

图3 大型分支机构VPN联接图

    另一种用户的情况如下描述中所示：

    1．用户没有相应的防火墙和地址转换器的功能，并且使用着公用地址的分支机构。对于这些大型分支机构来说，因为使用公共地址，所以这些分支机构不需要址址转换器，因此，可以通过网御神州G7经由以太网分别接人路由器和局域网交换机等内容，网御神州G7可以再次充当起VPN的网关以及防火墙的功能，另外也可以将VPN和防火墙一起考虑。

    2．用户有防火墙，但是使用公用地址的分支机构和用户也有防火墙，使用私有地址的分支机构。

    以上两种形式的结构图由于较为复杂，就不在文中再列示。

六、项目的整体评价

    一是，VPN在企业公司集团中的应用简化了企业集团的网络设计，使得长途线路进行安装、配置的任务量急剧地减少，可以简化Internet的设计特征；二是，降低了公司的设计成本，VPN的建立，使得企业的生产销售及办公活动全部都置于网络可监控的情况之下，使得网络维护和使用的成本极大地降低，借助于Intemet网络来建立ISP联接的VPN，能够节省大量通信费用；三是，VPN网络的安全性较高，网络的安全性是企业集团公司考虑的最重要的方面，VPN能够以多种方式来保证用户网络的安全性能，首先是VPN对数据封包的加密，另外也对VPN设备的防火墙功能的使用也可以加大企业内、外部网络的安全性；四是扩展VPN软件更为容易，如果分支机构增加也只需要增加相应的网御神州设备即可建立起VPN联接，访问到企业的内部网络。

七、总结

    该企业集团公司利用VPN技术与企业各驻外机构进行联接和沟通，形成相应的VPN网络，使用维护和建设费率都较低，在能够提供足够安全保障的前提下，才实现信息资源的远程访问，能够进行异地协作办公，生产管理控制以及视频会议等等多种功能，使整个企业的管理信息化，系统化。VPN网络不仅能够给下属机构提供网络联接服务，满足了各个分支机构对于网络互联网和企业内部网络的访问需求。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：VPN网络在企业生产办公中的应用

本文网址：http://www.toberp.com/html/consultation/1083947962.html