现在很多公司都是采用IPSec VPN网络来办公的,现在有这么一家公司:公司总部在北京,有一个分支机构在上海,以及移动办公人员。目前存在以下问题:
1)分支机构与总公司之间的网络不能互通,企业IT基础架构无法扩展到分支机构,使得IT应用中的组织安全边界,身份认证无法实现唯一。总部IT系统资源难与分支机构共享。很大程度影响了信息的传递,业务沟通,资源的共享。
2)分支机构与出差在外的移动人员无法使用总部的各种网络版专业软件授权。
3)总部的很多信息管理应用系统无法为分支使用。
根据公司的网络状况和实际需求,为此设计了相应的VPN方案:
1)采用与硬件防火墙结合的IPSec技术构建公司虚拟专网。在分支机构提升网络技术及管理水平,以满足公司总部与分支机构之间的数据交互需求。
2)将公司总部的IT基础架构及相关管理技术措施扩展到分支机构。总部建设有完善的网络完全体系。网络防病毒,补丁管理,IT资产管理等基础管理系统,这些管理策略和措施通过VPN建设覆盖到分支网络。
总部设有主域控制器,在分支机构安装一台服务器,担当辅助域服务器以及文件服务器,应用程序服务器,补丁管理服务器等多重角色,作为公司IT基础架构的传承者,为分支机构提供服务器。该服务器由总部信息中心远程管理,执行唯一的管理策略,不会增加分支机构信息管理的负担。(www.xing528.com)
3)在实施VPN工程的同时,将公司总部各应用系统同步推进到分支机构,成效易见。建设VPN的目的就是为了扩展个系统的应用范围。
4)移动办公人员可以通过在计算机上安装远程客户端软件和配置参数以实现远程访问,权限管理通过域账户控制。
此外,为了提高系统稳定性,在具体实现时还需要注意系统设计。在中心结点或重要的结点,可以考虑采用多台VPN安全网关,采用并行的结构,来进行负载均衡和热备份。多台安全网关之间通过VRRP协议或串口达成一致。公司对应的VPN网络拓扑图如图6-12所示。
图6-12 公司VPN网络拓扑图
总而言之,整个方案不仅为了实现VPN,而且分支机构也可以和总部一样同步相关应用,让远程客户尽快体会到VPN带来的好处。实现VPN后,提高了分支机构网络及信息管理的水平,上到了一个新的台阶。
基于IPSec的VPN的实现,通过现有的Internet网络建立起公司网络的互联,最终建立起一个私有网络,这不仅节省网络建设和运行维护的费用,也使得公司总部和分支机构间的业务联系更加紧密、便捷。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。