方根都連鎖服飾背景
昆明市方根都商貿有限公司,是一家從事國內外知名品牌服裝銷售的公司。公司屬下擁有"歌力思"."藝之卉"."普普風"等十多種女裝知名品牌。目前在全省已擁有100餘家自營店及加盟店,
銷售網站遍佈全省各地。在昆明市:新西南、柏聯、昆百大、金碧、青年路、國防路、五一路等各大商業區都設立了專賣店,構成了一個有針對性的市場行銷組合。為了加強公司內部資訊的流通與管理,目前公司內部以及各分支機搆,已設有多種企業網路運行應用,如內部WWW、檔共用服務、Exchange、公司ERP系統等,近期內計畫開發更多的內部應用,如Client/Server模式的應用(TCP、UDP或TCP/UDP協定的應用)。
然而,”方根都”對於整體企業架構中,總部、分點機構、出差人員之間的資訊傳輸上,現階段仍採用功能變數名稱認證的方式進行總部ERP連機。然而,這種遠端接入的方式看似簡單方便,但由於傳輸的資訊未經過加密,企業業務機密資訊很容易被有心人士竊取或破壞,因此實際上存在相當大的安全隱患。有鑒於對企業資訊安全日益重視的趨勢,”方根都”也打算尋求相對應的解決方案,實現安全、簡便、快速、穩定的遠端連機。
方根都需求分析
根據”方根都”連鎖服飾公司表示,希望在現有的網路基礎上,可除了實現總公司、分點機構、移動用戶安全互連之外,還提出了以下需求:
合作夥伴也可連機:上下游客戶、合作夥伴,如紡織廠、成衣廠等機構,也可針對公司授權的企業內部網路支援進行安全存取訪問。
可用公共電腦進行連機:老總出差時可隨時利用公共電腦(如機場侯機廳的電腦),安全地訪問公司內部網路資源。
可使用所有的應用服務:在各地通過互聯網和公司網路實現網路互聯還提供訪問公司FTP伺服器,連接公司ERP系統提交與查詢相關資訊等需求; 為工作人員提供多功能的桌面辦公環境,解決辦公人員處理不同事務需要使用不同工作環境的問題;
支援不同機構間資訊傳遞:分點與分點之間,如分店A、分店B等需要臨時調貨、查詢尺寸等動作,彼此間的資訊也可立即互通互連,解決由人工傳送紙介質或磁介質資訊的問題,實現工作效率和可靠性的有效提高。
對用戶實行統一的管理:實現流量控制、埠鏡象等要求,通過路由器的相關防火牆功能實現網路的安全管理。
俠諾連鎖酒店VPN組網方案
根據連鎖酒店總部、分點機構、出差移動用戶等網路實體環境,俠諾量身規劃了”連鎖酒店組網方案”,其實體配置與應用特點如下:
|
圖一:連鎖酒店VPN網路拓撲圖 |
總部中心端:連鎖酒店總部中心端,可採用俠諾QVM 1000 VPN防火牆做為VPN設備,支援PPTP、IPSec VPN、SmartLink VPN、QnoKey IPSec用戶端密鑰等連機方式,與全國各分點、移動用戶建立VPN互連網路,實現即時通訊,共用總部中心端ERP、FTP等應用系統。
分點機構:分點可採用QVM330 做為VPN閘道接入設備,滿足VPN連機需求。由於分點機構人員多半較不具備網路專業知識,因此連機方式建議可選擇俠諾特有的SmartLink VPN協議,簡化IPSec VPN多達20幾個步驟的繁複設定,只需輸入三個參數,即可讓各分點機構可輕鬆進行安全、快速的VPN連機。
移動使用者:連鎖酒通常擁有為數不少的移動用戶,例如老總高層、出差業務、採購等員工。為了讓這些移動用戶能夠以最簡單的方法進行連機,加快存取總部各類業務資料的效率,因此建議採用俠諾特別研發的QnoKey IPSec用戶端密鑰技術,只要輸入密碼一個動作,即可實現安全、快速的連機。
方案應用特點:
SmartLink簡化IPSec設定:俠諾考慮”方根都”分點機構中的員工大多數並非網路專家,對於IPSec多達20幾個步驟的設定往往感到太過繁雜,因此提供獨創的SmartLink設定功能,將大部份的設定參數交由VPN閘道自動完成,只需要輸入伺服器IP、使用者名稱、以及密碼三個參數,就能立刻建立IPSec連機設定。同時具備中央控管的功能,當分點出現設定或其他技術的困難,可由中心端直接進行分點各項功能控管,省去網管必須來回奔波的麻煩。此外,SmartLink還有兩個強大的功能,第一個是支援VPN Hub功能,可以讓方根都各門市間間,透過總部中心端實現門市間調貨、查詢尺寸等快速資訊流通,且不需各自建立獨自聯機的方式,也大大降低了建置的成本。另一個是VPN線路備援機制,為了避免一旦出現互聯網聯機掉線時,VPN隧道也隨之失去聯機穩定性的風險,可先預設定另一個WAN埠為備援,一旦斷線可立刻經由備援WAN口重新建立VPN聯機,實現VPN服務不斷線的目的。
QnoKey IPSec 用戶端密鑰:俠諾考慮”方根都連鎖服飾”在移動用戶上,若要採用傳統的IPSec VPN連機,更加容易發生無法應付設定繁複的弊病,對於分秒必爭的出差業務人員而言,可以說是非常不方便的。基於此,俠諾針對”方根都”移動用戶,強烈建議改良IPSec VPN後的QnoKey IPSec 用戶端密鑰,只要插入一把U盤大小的QnoKey,輸入用戶名及密碼,即可自動執行相關設定,立即連機總部,即使是老總在機場等候的短暫時間,也可隨時運用公共電腦插入QnoKey進行快速連機。同時,QnoKey具有遺失保護措施,當出差外地的人員不小心遺失QnoKey時,可自動清除相關資料與參數並阻擋連機總部,避免企業機密資料,遭受有心人士竊取。
多WAN網路接入:”方根都”在總部與分點機構所採用的俠諾VPN設備,都是多WAN口的設計,在接入多條線路的前提之下,同時也成就了VPN帶寬保證,更加穩定VPN的連機品質。原理在於俠諾VPN設備可透過協定綁定,將VPN所有應用服務綁定在指定的埠,讓一般上網的應用服務只能從VPN指定之外的埠進出,而不能佔用VPN指定埠的帶寬,進一步保障了VPN帶寬使用的優先權與穩定度。
支援動態IP環境:當我們深入瞭解”方根都”的網路實體架構環境時,發現除了總部接入8條電信ADSL提供了固定的IP之外,分點機構大多數還是取得動態的IP。因此,為了讓連機品質不會隨著動態IP而產生不穩定的現象,必須採用動態DNS功能變數名稱解析服務,才可正確解讀並將要求轉送到對應的伺服器。而俠諾VPN設備可支援多種動態DNS功能變數名稱解析服務類型,如QnoDDNS、3322.org、 DynDNS等,”方根都”只要到這些免費網站進行登記即可使用。此外,為了避免某個動態DNS發生問題,VPN會隨之斷線的可能性,俠諾也在單一WAN口上設計多種動態DNS相互備援的功能,這樣下來即使某個動態DNS產生問題,也可以自動立即採用其他的動態DNS繼續進行服務,進一步增強了VPN連機在動態IP環境下的穩定性。
NATT機制穩定VPN品質:”方根都”有某些規模較小的分點機構,如辦事處等均位於寫字樓中。一般寫字樓的網路架構,多半有一台主要核心路由器接入整體對外的ISP線路,而企業如”方根都辦事處”必須租用寫字樓的線路接入到自家路由器或者VPN設備上。但在使用VPN連機時,由於寫字樓的主要核心路由器,會將VPN所發出的ESP封包格式阻擋下來,因此會出現明明顯示為VPN聯機狀態,資訊卻無法傳輸的現象。俠諾VPN設備中具有內建的NATT機制,可將VPN設備所發出的ESP封包格式轉換為UDP或是TCP兩種封包格式,即可穿透寫字樓主要的核心路由器,成功傳輸VPN資訊。有效避免”方根都”位在寫字樓中的分點機構,發生無法傳輸資訊的弊病。
穩定的視頻、通話品質:由於”方根都”總部與合作夥伴、各分點機構間,常常必須舉行會議,討論分析目前的營運狀況,為了避免合作夥伴、各分點機等人員必須來回奔波的麻煩,方根都也計畫將在近期內接入視頻會議、VOIP等系統。然而,我們發現許多企業在運用這些系統時,由於實體網路環境不一,容易發生模糊不清或者頻頻斷線的情況,俠諾建議”方根都”可將此類的視頻或VOIP等應用,通過埠協定綁定在VPN通道中,利用VPN專屬通道的特性,可以更進一步穩定視像、通話品質。
擴展性強:由於”方根都”透露了未來還有進一步擴張分點的計畫,因此非常擔憂設備面臨不堪使用而被淘汰的問題。關於這點,由於俠諾VPN產品均獲得國際VPN認證機構VPNC的認證,保障了產品與大廠VPN設備的互通相容性,因此將來”方根都”成長時,也能與大廠的設備相通,不會有無法使用問題。
“方根都”連鎖服飾公司表示,運用俠諾VPN解決方案之後,由於分店財務帳目、庫存量、銷售分析等資料資料,都可以安全即時的進行存取與管哩,大大降低了原本在時間、人力上所耗費的成本,再加上移動用戶工作效率的全面提升,的確讓”方根都連鎖服飾”的競爭力又更上一層樓了。
|