【IT168 专稿】也许广州本田的用户没有想到,你的那台车何时下线,保养了几次,现在大致行驶了多少公里,这些连自己也可能忘了的事项,广州本田全都知道。广州本田不但在生产管理中完全电子信息化,通过建立起来Internet的网络基础架构与全国的广州本田特约销售服务店建立了信息网络,可以及时了解各地的销售情况和用户反馈的产品质量信息。可以说,从公司生产的第一台车起,直到今天生产的每一台产品车的信息,都完整地保存在公司的中心数据库之中。
广州本田ERP的总体目标是:在公司运行的全过程中,实现信息共享,资源共享。系统的范围包括了公司的内部运行、特约店、供应商以及用户业务联系的全过程。包括以下三大系统:HI-PACK系统运行着生产和销售系统,DMS(Dealer Management System经销商管理系统,包括:整车销售、零配件销售和售后服务)/DCS(通讯系统)系统运行着特约店管理系统和信息通讯系统,EPS系统则运行着供应商电子采购系统。其中与特约店的DCS系统是本文感兴趣的。
广州本田已经在全国共建立了200多家“四位一体”特约店,成立一套成熟的销售管理系统作为广州本田中央数据处理和决策中心,特约店通讯系统DCS使广州本田的销售管理系统形成一个完整的神经网络系统,遍布全国各个特约店得到的市场信息,通过DCS系统传回广州本田销售管理系统,建立起广州本田与特约店、客户、市场进行沟通的信息网络。DCS系统基于INTERNET技术,实现了与200家特约店双向的信息沟通。
从上述我们可以看出广州本田与它的特约经销店之间的数据处理方式是:集中处理和集中存储。那么广州本田与它的特约经销店之间网络是如何互联,及如何实现。下面我们将通过一个广州本田的特约经销店——恒安特约经销店来说明。
恒安特约经销店广域网连接介绍
按惯例我们还是先看系统连接示意图:(图1)
&picid=645356.gif) |
| 图1(点击看大图) |
在图1中我们看出恒安特约店是申请接入2M的电信光纤专线,接入单模双向收发的PHOTON(飞通)PTD230M-51 10/100M自适应带宽可控网管光纤收发器。然后从收发器的以太网口用交叉双绞线接入NetScreen-5GT VPN防火墙UNTRUST(非信任)端口,到这里恒安特约店的广域网就算完成。恒安店的内部局域网的交换机接入NetScreen-5GT的1、2、3、4中任何一个端口。销售终端、销售服务器及其它PC接入交换机。
从这个广域网接入方案,我们可以看出,随着INTERNET技术、宽带IP网络技术、VPN(虚拟专网)技术等三大技术的应用,传统的广域网技术,如帧中继、DDN专线已经不用,专业的昂贵的用于协议适配的企业级路由器也可以不用。通过VPN设备就可以实现广域网的互联互通,也就是采用“宽带技术+INTERNET+VPN”的技术就能实现跨地域的“联网”。
而内部的局域网显得很普通,只采用了三台D-LINK DES-1024R+ 10/100M二层接入型交换机通过星形布线接入特约店的所有服务器和PC。听说交换机和服务器也是广州本田指定的型号。当然上述的NetScreen-5GT VPN防火墙也是指定,并带过来的。这再一次体现了广州本田对网络建设的“够用”原则,功能绝不过剩,而是随着企业的发展,网络也不断成长。
广域网设备介绍
本案所使用的广域网连接设有两个:一个是PHOTON(飞通)PTD230M-51 10/100M自适应带宽可控网管光纤收发器;一个是NetScreen-5GT VPN防火墙。下面分别介绍。
(1)PHOTON(飞通)PTD230M-51光纤收发器(图2)
PTD230M-51系列的突出特点是带宽(Rate Limit)控制功能,收发器的带宽可以在0Kbps到100Mbps之间任意设置,便于网络运营商给不同的用户分配不同的带宽。支持数据帧长达1916字节,可以兼容目前所有协议。10/100M自适应,支持带内网管和RFD(Remote Fault Detect)功能,可以将10/100Base-TX的双绞线电信号和100Base-FX的光信号进行相互转换。PTD230M-5x系列的典型应用是以太网的长距离互连,收发器可以通过网管设置为自适应和强制为10/100M、全/半双工,可以适合不同的应用场合。PTD230M-51是双波长的单纤双向插卡式收发器系列采用非常先进的光电器件,使用单根光纤就可以完成双向通信,大大提高了光纤网络的利用率,节省了光纤资源,传输距离从20~60公里。PTD230M-51工作时,局端卡插在PTD305十六槽机架,远端卡插在PTD307远端机架(机盒)。平均无故障工作时间(MTBF)在5万小时以上,符合电信级运营标准。
本案例的光纤专线是接入中国电信的城域网,由局端分配2M的带宽。所以PTD230M-51的带宽(Rate Limit)控制功能正适应了局方的需要。
&picid=645372.gif) |
| 图2(点击看大图) |
(2)NetScreen-5GT VPN防火墙(图3) 报价:3000-8500元
点击查看产品信息:http://product.it168.com/detail/doc/72984/price.shtml
在本项目中,采用了JUNIPER 的NetScreen - 5GT IPSEC VPN防火墙作为网关设备,也就是代替了传统路由器的位置。这台防火墙在一个小盒内集成了路由器、VPN、防火墙等诸多功能。
NetScreen - 5GT是一种功能丰富的企业级网络安全解决方案,装配intel IXP425 400MHZ网络处理器,128 MB内存及32 MB快闪内存,带一个 Untrust (非信任)10/100 以太网端口、四个 Trust10/100 以太网端口、一个控制台端口以及一个调制解调器端口。采用与 NetScreen 高端中央站点产品相同的防火墙、VPN 和 DoS 防御技术。NetScreen-5GT具有75Mbps防火墙处理能力和20Mbps的VPN处理能力,具有最多10条VPN隧道数,2000会话数,可满足小型规模的分公司/分支机构用户与远端中央站点安全通信的的需求。NetScreen -5GT 可以支持拨号式备份或者双以太网端口,在网络进行最关键任务的情况下提供冗余的互联网连接确保运作不受影响。NetScreen -5GT 更可支持内置的病毒扫描功能——状态和深层检测防火墙、IPSec VPN、拒绝服务防护、防病毒和Web过滤等,该功能提供了应用级防护,可帮助减少病毒对网络的威胁。最多VPN隧道数10条。路由协议支持RIPv1/v2、 OSPF、 BGP。
&picid=645386.gif) |
| 图3(点击看大图) |
选择VPN
如今信息化办公的日益普及与宽带技术的迅速发展,在企业中建立的远程移动、分支机构和公司总部的互联办公,这些已经是大势所趋。而建设这些所需安全和费用,一直是困扰众多中小型企业的难题,如何保证数据的传输安全和数据的完整性,也是一个非常关键的问题。以往的技术解决方案,就是在各分支机构拉一条DDN、帧中继、SDH的异地收费专线,直接连到总部,租费随着通讯距离的增加而递增。这种解决方案带来的高额线路费用,严重阻碍了企业的信息化发展。由于VPN技术的成熟,再结合如今的宽带技术,为企业带来一个高性价比的安全解决方案:宽带技术+INTERNET+VPN设备。Internet的接入费用则只承担 本地的接入费用,无论分支多远,费用却是一样的。因此,连接长途分支时,采用Internet作为传输骨干是非常便宜的,但带宽却可以较高。此外,VPN 设备功能强劲但造价低廉。
采用宽带技术+INTERNET+VPN的技术的解决方案好处具体表现在:成熟、低价的宽带技术,提供一个廉价的线路接入。VPN技术能够提供严格的加密与认证服务,确保传输过程的安全,保证数据的完整性、真实性和不可更改性。所部署的VPN设备,基于图形界面配置和维护,实现了复杂技术的简单化,对于用户的日常的维护也极其的轻松简单。对于各分支机构和企业总部,仅需申请当地的宽带接入,不再是昂贵的点对点专线接入;而对于移动用户,仅需进入到当地的互联网,即可实现远程VPN的互联。
IPSec VPN 被认为是企业级的VPN应用,在多个VPN技术中脱颖而出,目前流行应用在企业级的VPN方案中。而NetScreen - 5GT使用的VPN技术就是IPSec VPN,在广本恒安店的项目中用就是它,它可以以低廉的价格连接分支与总部商业绝密数据通信。
从上述我们已经知道恒安店采用的是中国电信的2M光纤专线宽带接入方式,光纤通过收发器转换后接入NetScreen - 5GT的UNTRUST端口。它还申请了两个公网IP,一个使用,一个备用。所以我们知道这个VPN方案是基于双方都有公网IP的企业级的方案。这个公网IP将分配在NetScreen - 5GT防火墙的UNTRUST端口上。
广本的在特约店布署了DMS(Dealer Management System经销商管理系统),管理着整车销售、零配件销售和售后服务的数据库,这个数据库是运行在IBM的DB2大型数据库系统上。在恒安店由销售终端向IBM服务器输入数据,然后再由IBM服务器集中通过安全的IPSec VPN管道向广州本田中心数据库发送数据。下图4为这个VPN方案的系统拓朴图。
&picid=645400.gif) |
| 图4(点击看大图) |
总结:
宽带接入+INTERNET+ IPSec VPN三大技术的组合为广州本田汽车恒安店完美的实现了这个分支机构与总部的商业数据通信的安全联网,以最经济成本再一资证明了当今安全、高速、低成本的广域联网的神话。这也是本文作者实际接触的经典VPN案例,希望能为苦于找相似成功方案的朋友有所帮助。
