企業(yè)需求
現(xiàn)在有家企業(yè),其有兩個辦公地址。一個是位于郊區(qū)開發(fā)區(qū)的生產加工廠;另外一個是位于報關中心很近的外貿公司。其實這兩家企業(yè),從法律意義上來說,是兩家公司。但是,其實其老板就是一個。雖然這兩家企業(yè)分處兩地,但是,企業(yè)希望這兩家企業(yè)的內部網(wǎng)絡能夠互相訪問。具體的來說,需要實現(xiàn)如下需求。
1、開發(fā)區(qū)的生產企業(yè)已經(jīng)在網(wǎng)絡上部署了企業(yè)資源計劃系統(tǒng)即ERP項目的應用。現(xiàn)在企業(yè)希望,在市區(qū)的外貿公司仍然可以方便的訪問生產企業(yè)內網(wǎng)上的ERP系統(tǒng)。另外,在生產加工企業(yè)內網(wǎng)上,還部署了文件服務器。企業(yè)也希望外貿公司的員工可以正常的對文件服務器進行訪問,包括文件的讀取與存儲。
2、文件備份策略。在生產加工企業(yè),為了終端用戶文件的安全,在生產加工企業(yè)有文件備份服務器,每天定時的對用戶終端的電腦進行備份。本來的話,也可以在外貿企業(yè)設立文件備份服務器,但是考慮到外貿公司只有五個員工,若為他們專門設置文件備份服務器的話,那就顯得比較浪費。企業(yè)希望,他們外貿公司員工終端上的重要文件,也能夠備份到生產企業(yè)的文件備份服務器上。
現(xiàn)在需求就聚焦在一個點上,如何讓兩個分處各地的辦事處內部網(wǎng)絡能夠互相訪問,同時要保障訪問的速度與安全不會出現(xiàn)問題。
一、 利用VPN把分處各地的網(wǎng)絡有機的聯(lián)系起來
若我們想把企業(yè)的兩個異地內部網(wǎng)絡有機的聯(lián)系起來的話,個人認為比較合理的方式是采用寬帶路由器+ADSL撥號的方式,然后再結合VPN(虛擬專用網(wǎng))技術來實現(xiàn)兩個內部網(wǎng)絡的連接。這個方式可以實現(xiàn)兩個內部網(wǎng)絡之間的高速、安全的數(shù)據(jù)傳輸。
首先,利用VPN技術可以保障兩個內部網(wǎng)絡之間數(shù)據(jù)訪問的安全性,如外貿公司在利用VPN技術訪問企業(yè)的ERP系統(tǒng)查詢客戶信息或者定單信息的時候,就可以保障這些數(shù)據(jù)在VPN中傳播的安全性。VPN是虛擬專用網(wǎng)的簡稱,他的基本原理就是在公共網(wǎng)絡上,為通信的雙方開辟一條獨立的通道。在通信的過程中,其他未經(jīng)授權的數(shù)據(jù)包是不能闖入這個通道中的;同時,還可以結合數(shù)據(jù)加密技術,保證在隧道中傳輸?shù)臄?shù)據(jù)是加密處理過的,就算有些不法之人有這個技術能夠闖入這個隧道獲得這些數(shù)據(jù)包,但是因為加密過的,所以,他們取得這些數(shù)據(jù)包也是一無用處。
其次,利用ADSL撥號上網(wǎng)的方式,基本上可以滿足企業(yè)在速度方面的需求。ADSL現(xiàn)在的速度還是比較可以的,一般來說,可以達到2M/秒。若企業(yè)去申請一個企業(yè)帳號的話,速度會更快,當然所需要的帶寬越大,其費用也就相對來說比較高。除非企業(yè)想在兩個辦事處之間部署視頻會議等應用,否則的話,2M的帶寬已經(jīng)可以滿足企業(yè)日常兩個辦事處內部網(wǎng)絡之間的互相訪問,包括對企業(yè)資源計劃系統(tǒng)與文件服務器等大型信息化管理系統(tǒng)的正常訪問。
再者,個人認為這種解決方式是比較物美價廉的。一方面,現(xiàn)在ADSL的價格不是很貴,特別是若采用包年的方式的話,2M帶寬一年的費用一千都不到,企業(yè)完全可以接受;同時,為VPN技術配置一個寬帶路由器的話,也不需要多少的成本。另一方面,利用這個方案的話,采用VPN技術,可以保障企業(yè)內部網(wǎng)絡訪問的安全性。利用比較少的成本,來實現(xiàn)速度、安全方面的需求,都是一個比較明智的選擇。
其實,有時候我們也不一定要在寬帶路由器上實現(xiàn)VPN技術。想現(xiàn)在的服務器,如微軟的2003服務器已經(jīng)可以實現(xiàn)VPN的技術支持。也就是說,現(xiàn)在VPN技術不僅可以在硬件上實現(xiàn),而且,還可以脫離硬件,通過軟件直接實現(xiàn)企業(yè)外部用戶通過VPN技術訪問企業(yè)內部的網(wǎng)絡及其所部署的信息化應用。
不過,話說回來,利用這個解決方案的話,畢竟是一個折中的方案,外貿公司想要訪問生產企業(yè)的內部服務器的話,還是會受到一些限制。如首先要保證,外貿企業(yè)與生產加工企業(yè)的內部用戶都能夠順利的訪問外部的公共網(wǎng)絡,如此的話,才有可能在彼此雙方之間建立通信。所以,有時候因為一些意外事故,如地震或者因為施工不小心把光纜挖斷了,導致某一方不能順利訪問公共網(wǎng)絡的時候,就會產生問題了,他們彼此之間將不能訪問,直到這個故障被清除。
另外一個問題就是,在彼此雙方都要建立一個VPN的訪問監(jiān)督機制,來稽核利用VPN通道訪問企業(yè)內部的網(wǎng)絡用戶是否都是合法的,有沒有非法的入侵者。在企業(yè)內部網(wǎng)絡中,可以通過防火墻等技術手段,把企業(yè)的內部服務器及其終端系統(tǒng)跟外面的公共網(wǎng)絡隔離開來,從而保障內部網(wǎng)絡不受外界的干擾。但是,現(xiàn)在若采用了VPN等外部連接方案的話,若用戶帳戶與密碼泄露,若外部人員就可以輕松的通過虛擬專用網(wǎng)絡訪問企業(yè)內部信息。可見,VPN技術雖然安全性比較高,但是,若帳戶與密碼泄密的話在,則一切安全技術手段都將沒有用處。所以,采用這種解決方案的話,會加重網(wǎng)絡管理員在企業(yè)網(wǎng)絡安全上的管理負擔。
二、 利用NAT技術把內部計算機放到網(wǎng)上去
NAT是網(wǎng)絡地址轉換的簡稱。他符合國際上的IETF標準。簡單的說,NAT技術是把企業(yè)內部網(wǎng)絡的地址轉換成一個外部可以辨別的合法地址,然后,別人就可以根據(jù)這個合法地址訪問企業(yè)內部的計算機。我們都知道,現(xiàn)在公共的IP地址數(shù)量非常有限,以前設計者也沒有考慮到網(wǎng)絡會普及的這么迅速。所以在IP地址缺乏的情況下,有的企業(yè)可能只具有一個合法的IP地址。所以,這就限制了企業(yè)外部用戶對于企業(yè)內部計算機的訪問。而現(xiàn)在NAT技術,就是把企業(yè)內部網(wǎng)絡上的電腦通過一定的技術手段跟企業(yè)的外部合法地址對應起來。如此的話,外部訪問者只要通過訪問這個公共的IP地址,而不是電腦的私有地址,就可以找到自己需要的信息。
如現(xiàn)在企業(yè)的加工企業(yè)有一個FTP服務器,外貿企業(yè)需要每天從這個服務器中上傳與下載文件。但是,加工企業(yè)只有一個合法的IP地址,同時,為了安全的考慮,把FTP服務器是放在企業(yè)的內網(wǎng)上,也就是說,F(xiàn)TP服務器是一個私有的地址。一般情況下,外貿公司跟加工企業(yè)分屬兩個不同的網(wǎng)絡段,所以,外貿企業(yè)的員工是不能訪問到FTP服務器的。但是,我們現(xiàn)在有一種技術,可以把這個私有的IP地址跟合法的IP地址對應起來。當外貿企業(yè)通過IP地址與端口號或者服務協(xié)議訪問時,NAT服務器就可以幫助用戶找到其內部對應的電腦,然后連過去,讓外部人員進行訪問內部的FTP服務器。類似的道理,通過這種手段,可以把加工企業(yè)內部的文件服務器、ERP系統(tǒng)服務器等等都一一的對應到合法的IP地址上,如此的話,外部就可以通過這個合法的IP地址,進行訪問加工企業(yè)內部的服務器。
同樣,現(xiàn)在NAT技術不僅可以在硬件設備上實現(xiàn),如思科的路由器上,同時,也可以在軟件上實現(xiàn)這個功能。若企業(yè)的資金實力雄厚,可以購買專門的NAT服務器來實現(xiàn)這個功能。而若企業(yè)的資金有限,覺得購買專業(yè)的NAT服務器力不從心的話,則可以采用軟件來實現(xiàn)NAT技術。如微軟的2003服務器已經(jīng)可以實現(xiàn)這個技術。不過一分錢一分貨,專業(yè)的NAT設備的話,其無論從性能,還是從管理上,都上依靠軟件模擬實現(xiàn)無法比擬的。所以,企業(yè)要根據(jù)自己公司的情況,NAT的利用程度及實現(xiàn)的應用不同,進行恰當?shù)倪x擇。若企業(yè)要憑借NAT技術實現(xiàn)大型的應用,或者對于安全上要求比較高的話,最好采用專業(yè)的NAT服務器設備,以保障在性能與安全上都有一個滿意的回報。
NAT有很多工作方式,不過最常用的工作方法為根據(jù)端口來轉換。利用這種方式的話,所有的信息流看起來好象都來源于同一個IP地址。這個特性可以把企業(yè)內部的電腦屏蔽起來。也就是說,外部訪問者只知道我現(xiàn)在訪問的是一臺IP地址為多少多少、端口是什么什么的電腦。但是,其并不清楚,其訪問的電腦是哪一臺。根據(jù)端口來進行轉換,這是中小企業(yè)采用NAT技術的首選的工作方式。
NAT技術的另外一個比較吸引人的特點就是對于用戶來說,是完全透明的。也就是說,我現(xiàn)在外貿公司的員工需要訪問公司的FTP服務器時,其并不需要知道我內部電腦的IP地址或者端口,他只需要知道,企業(yè)的公網(wǎng)的IP地址,不過,我們一般用的都是域名即可。NAT服務器會根據(jù)用戶所訪問的服務,去自動對應內部的服務器。所以,外貿企業(yè)不用去記憶哪些生澀的端口之類的信息。對于他們來說,他們無論是要訪問企業(yè)的FTP服務器還是訪問企業(yè)內部的文件服務器,他們都只需要知道一個名稱即可。而到底是訪問企業(yè)內部的哪臺電腦的話,這是NAT服務器會自動判斷的。


