·全面发布C/S和B/S结构的应用
·客户端以Web浏览器方式访问
·提高分支用户接入速度,最高效率利用现有网络带宽
·将远程打印和磁盘映射到本地
·确保用户只访问授权使用的应用
·集中管理用户、服务器和应用
·对用户和应用使用情况详细统计
·使配置较低硬件运行高端软件节约硬件投入
·节约软件购入成本让正版软件全球使用
·节约软件实施成本
一、公司概况
某公司是总部在深圳,在北京、上海、广州、香港等地都有分公司,为了更好管理公司的各种业务财务数据,公司采用了金蝶K3、进销存、OA应用系统,公司希望将外地的各分公司的数据实时统计,统一管理,但由于各分支机构在各不同地区,因此公司总部无法实时将每个分公司的数据统一更加无法做到对各分支节点的财务数据进行有效及时的管理;公司有大量的在外出差移动办公用户需要随时随地的访问公司总部的应用系统,将一些情况统计到公司总部;老总经常外出,需要随时访问这些应用系统了解公司的业务状况;所以公司寻求一种解决方案可以实现将各地区的分支机构以及移动办公人员安全实时连入公司总部,使用总部的K3、进销存、OA系统,对公司业务数据进行统一的管理。
二、实施背景
目前市面上能够解决类似客户这样远程访问的产品和方案很多,出于经济易用的角度考虑,客户先后采用了几种方式来实现外地分公司远程访问总部数据,但随着使用的深入和公司规模的不断扩大,一些问题也都逐渐凸显了出来:
阶段一:动态域名解析+端口映射
由于采用专线和固定IP的方式投入成本比较高,客户在现有的ADSL宽带上网方式(动态IP)基础上,结合动态域名解析+端口映射的方式解决分公司远程访问K3 数据库的问题,在出口的路由器上做端口映射,映射到K3服务器上,出差人员和外地分公司随时随地接入总部K3的数据库进行操作。但是这种方式基本上把整个K3服务器暴露在公网上, 这种传统的数据传输方法对于现在网络上的黑客技术的防御能力是相当有限的,根本没有安全性可言,安全性比较令人担心;另外动态域名解析寻址方式的不稳定性,导致分公司经常无法正常稳定的访问总部数据,于是客户开始寻找一种安全稳定的互联方式。
阶段二:硬件VPN方式
从安全性和经济性考虑,客户采购了一款市面上低价位的硬件VPN的产品,利用VPN搭建的虚拟专用隧道安全传输K3数据, 安全的问题随之解决了,但是随着公司的不断壮大,数据传输交互的频繁、用户的增多,上马新的应用系统……,目前的VPN方式已不能满足需求:
1、 稳定性:VPN虽然安全,但由于网络带宽窄,环境不稳定等因素,再加上普通VPN本身的加密使用数据传输变慢等原因,很难做一些大数据量的功能使用(特别是K3这类的大型数据库),而且经常断线,操作起来变得异常困难,最终导致工作效率很低甚至根本无法使用。
2、 速度:一般远程接入解决方案只提供"接入"的网络功能, 在应用数据传输上却有着天壤之别!,一般远程访问是用户在自己的笔记本上安装K3的客户端,然后远程接入办公,访问K3服务器。这时应用层的数据是从K3的服务器通过网络传向K3的客户端,问题也就在这里,由于某些业务数据量很大,经常拥塞住网络,而基于TCP/IP的网络本身具有数据流量管理,大量的数据很可能被丢弃。.由于大量的数据量的传输,很可能造成网络瘫痪,甚至连访问WEB都不行!
3、 移动的支持:一般笔记本是无线上网的,无线上网理论上号称可以达到几百K,但实
际往由于线路接入环境不同相差很大,一般是一百K左右,甚至几十K,几K.这样,由于大量的数据量的传输,很可能造成网络瘫痪,甚至连访问WEB都不行!因此,这样的方案很容易出现问题.不能充分发挥VPN的特长.也不适合远程接入办公的需求。
4、 集中分类管理接入用户:公司上马了新的应用系统也需要远程投入使用,对于接入用户访问权限的管理成了一个问题,公司的各应用系统的使用是有权限要求的,比如用户U1只能访问K3系统,用户U2只能访问A3系统,如何保证远程用户接入后安全的访问各种应用系统也成了急待解决的问题。
5、 简单易用:对于C/S结构的软件,需要在远程接入的PC上安装客户端,使得操作和维护都比较复杂。
因此,这样的方案很容易出现问题.不能充分发挥VPN的特长.也不适合远程接入办公的需求. 客户故寻需求一种能够实现K3等管理软件高速稳定传输数据、简单易用经济、并且能够集中分类管理远程接入用户的解决方案。
三、解决方案设计与实现
3.1解决方案
"超级连接VPN+KRun"方案基于现在Internet基础,以低成本的接入方式即可实现各类应用系统的跨网段实施、文件共享、打印机共享、网络邻居、TELNET、信使消息、内网Web、FTP访问、网络电话、网络视频会议等功能。
本方案重点要解决的是在客户现有网络环境中,稳定、高速、安全、经济的远程互联运行并且安全管理接入用户使用应用系统的问题。在深圳总部内网一台装有windows 2000 server以上的服务器安装"超级连接VPN"总部版同时架设KRun服务器,做为整个VPN网络的管理中心,总部应用软件数据库服务器的网关指向安装总部版机器;在各地分公司内网一台装有windows 2000的计算机上安装"超级连接VPN"分支版软件,网内其他机器的网关指向安装分支版的机器,即可带动整个局域网联入深圳总部;在外出差人员和老总携带的笔记本上安装Hlink移动版即可实现,分公司和在外出差人员的。具体的实施如下图:
"超级连接VPN+KRUN"操作界面(通过方式Web登陆)
3.2"超级连接VPN+KRUN"方案优势
1、安全性:"超级连接VPN"构建的互连平台搭建后,所有的数据都在VPN构建的私网中传输,以改以往数据在公网传输的形式,结合"超级连接VPN"的硬件鉴权,时间、身份权限管理等功能安全性大有提高。
2、稳定性: "超级连接VPN+Krun"的组合方案,不仅解决了安全问题,而且对网速要求很低,,稳定性大大增强。而且客户可以申请两条ADSL线路,利用"超级连接VPN"的双线路,将线路叠加解决带宽不够,数据阻塞的问题,并且在某一条线路不稳定时可以自动切换到正常线路。
3、速度:"超级连接VPN+Krun"的组合方案恰恰是抓住了这个关键,采用"统一数据传输"(UDT,Unification Data Transmission)的网络新技术,使得传输性能大大提高! 统一数据传输是将任何业务数据都统一成标准终端数据的技术。比如,前面说了K3业务数据,大量的业务数据不再需要通过互联网的漫漫长途,只要在本地传送就可以了。UDT将会所有数据统一成终端控制数据在VPN里边传输。因此,无论是成千上万条的记录查询,还是多用户同时接入进行复杂的操作,对于UDT来讲都没有任何差别!因为所有的操作都是在K3服务器本地操作,与网速毫无关系。
4、远程接入管理:Krun提出了访问权限的概念,经过总部管理员配置KRun访问权限,用户可用"超级连接VPN"连接到公司总部,只能访问发布在KRUN上的应用程序和文件而不是访问到服务器的桌面,取而代之的是属于自己权限的系统选项按钮,因此,他只能访问自己所属系统,在KRun的环境下用户没有权利做其他的工作,使得服务器的安全性大大加强。.
5、C/S软件WEB化访问:现有应用程序即刻web化--对已发布应用程序提供基于浏览器的访问,而不需要重写或专门开发,将C/S结构访问WEB化,客户端无需安装,大大减少了使用和维护量。
6、移动用户:"超级连接VPN" 硬件客户端,无需软件安装配置,即插即连,方便的解决的之前移动用户数据统一管理的问题。
7、经济性:与国外同类的解决方案相比,"超级连接VPN+KRun"实现效果相同,而且客户的投入成本大大降低。
转载地址:http://www.netsp.com.cn/Article/netsafe/VPN/200609/20060913210816.html
