企業(yè)需求

　　現(xiàn)在有家企業(yè)，其有兩個辦公地址。一個是位于郊區(qū)開發(fā)區(qū)的生產加工廠;另外一個是位于報關中心很近的外貿公司。其實這兩家企業(yè)，從法律意義上來說，是兩家公司。但是，其實其老板就是一個。雖然這兩家企業(yè)分處兩地，但是，企業(yè)希望這兩家企業(yè)的內部網(wǎng)絡能夠互相訪問。具體的來說，需要實現(xiàn)如下需求。

　　1、開發(fā)區(qū)的生產企業(yè)已經(jīng)在網(wǎng)絡上部署了企業(yè)資源計劃系統(tǒng)即ERP項目的應用。現(xiàn)在企業(yè)希望，在市區(qū)的外貿公司仍然可以方便的訪問生產企業(yè)內網(wǎng)上的ERP系統(tǒng)。另外，在生產加工企業(yè)內網(wǎng)上，還部署了文件服務器。企業(yè)也希望外貿公司的員工可以正常的對文件服務器進行訪問，包括文件的讀取與存儲。

　　2、文件備份策略。在生產加工企業(yè)，為了終端用戶文件的安全，在生產加工企業(yè)有文件備份服務器，每天定時的對用戶終端的電腦進行備份。本來的話，也可以在外貿企業(yè)設立文件備份服務器，但是考慮到外貿公司只有五個員工，若為他們專門設置文件備份服務器的話，那就顯得比較浪費。企業(yè)希望，他們外貿公司員工終端上的重要文件，也能夠備份到生產企業(yè)的文件備份服務器上。

　　現(xiàn)在需求就聚焦在一個點上，如何讓兩個分處各地的辦事處內部網(wǎng)絡能夠互相訪問，同時要保障訪問的速度與安全不會出現(xiàn)問題。

　　一、 利用VPN把分處各地的網(wǎng)絡有機的聯(lián)系起來

　　若我們想把企業(yè)的兩個異地內部網(wǎng)絡有機的聯(lián)系起來的話，個人認為比較合理的方式是采用寬帶路由器+ADSL撥號的方式，然后再結合VPN(虛擬專用網(wǎng))技術來實現(xiàn)兩個內部網(wǎng)絡的連接。這個方式可以實現(xiàn)兩個內部網(wǎng)絡之間的高速、安全的數(shù)據(jù)傳輸。

　　首先，利用VPN技術可以保障兩個內部網(wǎng)絡之間數(shù)據(jù)訪問的安全性，如外貿公司在利用VPN技術訪問企業(yè)的ERP系統(tǒng)查詢客戶信息或者定單信息的時候，就可以保障這些數(shù)據(jù)在VPN中傳播的安全性。VPN是虛擬專用網(wǎng)的簡稱，他的基本原理就是在公共網(wǎng)絡上，為通信的雙方開辟一條獨立的通道。在通信的過程中，其他未經(jīng)授權的數(shù)據(jù)包是不能闖入這個通道中的;同時，還可以結合數(shù)據(jù)加密技術，保證在隧道中傳輸?shù)臄?shù)據(jù)是加密處理過的，就算有些不法之人有這個技術能夠闖入這個隧道獲得這些數(shù)據(jù)包，但是因為加密過的，所以，他們取得這些數(shù)據(jù)包也是一無用處。

　　其次，利用ADSL撥號上網(wǎng)的方式，基本上可以滿足企業(yè)在速度方面的需求。ADSL現(xiàn)在的速度還是比較可以的，一般來說，可以達到2M/秒。若企業(yè)去申請一個企業(yè)帳號的話，速度會更快，當然所需要的帶寬越大，其費用也就相對來說比較高。除非企業(yè)想在兩個辦事處之間部署視頻會議等應用，否則的話，2M的帶寬已經(jīng)可以滿足企業(yè)日常兩個辦事處內部網(wǎng)絡之間的互相訪問，包括對企業(yè)資源計劃系統(tǒng)與文件服務器等大型信息化管理系統(tǒng)的正常訪問。

　　再者，個人認為這種解決方式是比較物美價廉的。一方面，現(xiàn)在ADSL的價格不是很貴，特別是若采用包年的方式的話，2M帶寬一年的費用一千都不到，企業(yè)完全可以接受;同時，為VPN技術配置一個寬帶路由器的話，也不需要多少的成本。另一方面，利用這個方案的話，采用VPN技術，可以保障企業(yè)內部網(wǎng)絡訪問的安全性。利用比較少的成本，來實現(xiàn)速度、安全方面的需求，都是一個比較明智的選擇。

　　其實，有時候我們也不一定要在寬帶路由器上實現(xiàn)VPN技術。想現(xiàn)在的服務器，如微軟的2003服務器已經(jīng)可以實現(xiàn)VPN的技術支持。也就是說，現(xiàn)在VPN技術不僅可以在硬件上實現(xiàn)，而且，還可以脫離硬件，通過軟件直接實現(xiàn)企業(yè)外部用戶通過VPN技術訪問企業(yè)內部的網(wǎng)絡及其所部署的信息化應用。

　　不過，話說回來，利用這個解決方案的話，畢竟是一個折中的方案，外貿公司想要訪問生產企業(yè)的內部服務器的話，還是會受到一些限制。如首先要保證，外貿企業(yè)與生產加工企業(yè)的內部用戶都能夠順利的訪問外部的公共網(wǎng)絡，如此的話，才有可能在彼此雙方之間建立通信。所以，有時候因為一些意外事故，如地震或者因為施工不小心把光纜挖斷了，導致某一方不能順利訪問公共網(wǎng)絡的時候，就會產生問題了，他們彼此之間將不能訪問，直到這個故障被清除。

　　另外一個問題就是，在彼此雙方都要建立一個VPN的訪問監(jiān)督機制，來稽核利用VPN通道訪問企業(yè)內部的網(wǎng)絡用戶是否都是合法的，有沒有非法的入侵者。在企業(yè)內部網(wǎng)絡中，可以通過防火墻等技術手段，把企業(yè)的內部服務器及其終端系統(tǒng)跟外面的公共網(wǎng)絡隔離開來，從而保障內部網(wǎng)絡不受外界的干擾。但是，現(xiàn)在若采用了VPN等外部連接方案的話，若用戶帳戶與密碼泄露，若外部人員就可以輕松的通過虛擬專用網(wǎng)絡訪問企業(yè)內部信息。可見，VPN技術雖然安全性比較高，但是，若帳戶與密碼泄密的話在，則一切安全技術手段都將沒有用處。所以，采用這種解決方案的話，會加重網(wǎng)絡管理員在企業(yè)網(wǎng)絡安全上的管理負擔。

　　二、 利用NAT技術把內部計算機放到網(wǎng)上去

　　NAT是網(wǎng)絡地址轉換的簡稱。他符合國際上的IETF標準。簡單的說，NAT技術是把企業(yè)內部網(wǎng)絡的地址轉換成一個外部可以辨別的合法地址，然后，別人就可以根據(jù)這個合法地址訪問企業(yè)內部的計算機。我們都知道，現(xiàn)在公共的IP地址數(shù)量非常有限，以前設計者也沒有考慮到網(wǎng)絡會普及的這么迅速。所以在IP地址缺乏的情況下，有的企業(yè)可能只具有一個合法的IP地址。所以，這就限制了企業(yè)外部用戶對于企業(yè)內部計算機的訪問。而現(xiàn)在NAT技術，就是把企業(yè)內部網(wǎng)絡上的電腦通過一定的技術手段跟企業(yè)的外部合法地址對應起來。如此的話，外部訪問者只要通過訪問這個公共的IP地址，而不是電腦的私有地址，就可以找到自己需要的信息。

　　如現(xiàn)在企業(yè)的加工企業(yè)有一個FTP服務器，外貿企業(yè)需要每天從這個服務器中上傳與下載文件。但是，加工企業(yè)只有一個合法的IP地址，同時，為了安全的考慮，把FTP服務器是放在企業(yè)的內網(wǎng)上，也就是說，F(xiàn)TP服務器是一個私有的地址。一般情況下，外貿公司跟加工企業(yè)分屬兩個不同的網(wǎng)絡段，所以，外貿企業(yè)的員工是不能訪問到FTP服務器的。但是，我們現(xiàn)在有一種技術，可以把這個私有的IP地址跟合法的IP地址對應起來。當外貿企業(yè)通過IP地址與端口號或者服務協(xié)議訪問時，NAT服務器就可以幫助用戶找到其內部對應的電腦，然后連過去，讓外部人員進行訪問內部的FTP服務器。類似的道理，通過這種手段，可以把加工企業(yè)內部的文件服務器、ERP系統(tǒng)服務器等等都一一的對應到合法的IP地址上，如此的話，外部就可以通過這個合法的IP地址，進行訪問加工企業(yè)內部的服務器。

　　同樣，現(xiàn)在NAT技術不僅可以在硬件設備上實現(xiàn)，如思科的路由器上，同時，也可以在軟件上實現(xiàn)這個功能。若企業(yè)的資金實力雄厚，可以購買專門的NAT服務器來實現(xiàn)這個功能。而若企業(yè)的資金有限，覺得購買專業(yè)的NAT服務器力不從心的話，則可以采用軟件來實現(xiàn)NAT技術。如微軟的2003服務器已經(jīng)可以實現(xiàn)這個技術。不過一分錢一分貨，專業(yè)的NAT設備的話，其無論從性能，還是從管理上，都上依靠軟件模擬實現(xiàn)無法比擬的。所以，企業(yè)要根據(jù)自己公司的情況，NAT的利用程度及實現(xiàn)的應用不同，進行恰當?shù)倪x擇。若企業(yè)要憑借NAT技術實現(xiàn)大型的應用，或者對于安全上要求比較高的話，最好采用專業(yè)的NAT服務器設備，以保障在性能與安全上都有一個滿意的回報。

　　NAT有很多工作方式，不過最常用的工作方法為根據(jù)端口來轉換。利用這種方式的話，所有的信息流看起來好象都來源于同一個IP地址。這個特性可以把企業(yè)內部的電腦屏蔽起來。也就是說，外部訪問者只知道我現(xiàn)在訪問的是一臺IP地址為多少多少、端口是什么什么的電腦。但是，其并不清楚，其訪問的電腦是哪一臺。根據(jù)端口來進行轉換，這是中小企業(yè)采用NAT技術的首選的工作方式。

　　NAT技術的另外一個比較吸引人的特點就是對于用戶來說，是完全透明的。也就是說，我現(xiàn)在外貿公司的員工需要訪問公司的FTP服務器時，其并不需要知道我內部電腦的IP地址或者端口，他只需要知道，企業(yè)的公網(wǎng)的IP地址，不過，我們一般用的都是域名即可。NAT服務器會根據(jù)用戶所訪問的服務，去自動對應內部的服務器。所以，外貿企業(yè)不用去記憶哪些生澀的端口之類的信息。對于他們來說，他們無論是要訪問企業(yè)的FTP服務器還是訪問企業(yè)內部的文件服務器，他們都只需要知道一個名稱即可。而到底是訪問企業(yè)內部的哪臺電腦的話，這是NAT服務器會自動判斷的。