解决方案模板(共18页).doc

《解决方案模板(共18页).doc》由会员分享，可在线阅读，更多相关《解决方案模板(共18页).doc（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上专心-专注-专业XXXX 行业行业 VPNVPN 解决方案解决方案 北京网康科技有限公司北京网康科技有限公司精选优质文档-倾情为你奉上专心-专注-专业目目 录录 文档说明编写日期2011.1201版本1.0阅读对象XX 酒店集团网络系统管理者方案概要通过建立 VPN 设备互联，达到远程访问与各分支互联目的精选优质文档-倾情为你奉上专心-专注-专业第一章第一章 酒店行业需求分析酒店行业需求分析1.11.1 背景背景随着人们生活水平的不断提高，旅游和餐饮成为了人们工作之余休闲放松的首选，旅游和餐饮行业在中国蓬勃发展，特别在经济发展较快、人均收入水平较高的地区，旅行社、中餐

2、馆、西餐馆遍布城市的每个角落。诸多旅游和餐饮企业随着业务的增加，规模的扩大，呈现出了众多较大型、多元化经营、综合性服务特点，旅游和餐饮电子商务也已经普遍应用，旅游管理系统、旅游财务系统、餐饮管理系统、餐饮 POS 机付款系统都需要以实时、高效、准确的应用来代替以往的手工操作、传真、电话时代，进入到自身虚拟专用网络平台时代。旅游和餐饮企业一般拥有众多的分散各地、各区的旅游营业报名点和连锁分店，为了更好的让下属营业点、异地分公司管理游客信息和旅游信息，连锁分店共享总部的数据信息，公司总部线路和人员安排，团队报名情况，众多旅游和餐饮企业都已经或者准备公司总部和个下属营业点，分公司，连锁分店之间构建信

3、息化平台，启用一套旅游和餐饮管理系统。通过网络汇集的大量数据和信息，通过互联网实时地、全方位、大容量转发，发挥了旅游和餐饮行业各种系统的作用。并通过在线实时向游客介绍国内各地旅游景点的情况和餐馆的菜式和分布，企业也可以通过虚拟网络平台实现在线报名，网上预定座位，预定车票、机票等众多业务，因此对信息化的要求也变得越加迫切。各大旅游公司和餐饮连锁店通常采取数据集中管理的方式，公司总部是中央数据库，各营业点多数连锁分店由小型的局域网或者单机组成，针对这一现状网康科技提出了 ASG VPN 的解决方案，通过 ASG VPN 网络设备，可使各分支营业点和连锁店的计算机与数据库所在的总部保持实时、不间断的

4、联系。XX 酒店集团组建于 XXXX 年 XX 月，隶属 XXXX 集团公司，是以酒店旅游为核心业务的精选优质文档-倾情为你奉上专心-专注-专业专业化公司。在北京、上海、天津、重庆、兰州等中心城市，已形成高星级商务酒店群；在三亚、峨嵋、九寨、大连、青岛、苏州、无锡、桂林、北戴河等重点风景名胜，已拥有自己的旅游度假山庄和疗养院。可为各类会议、商务活动、出国考察、旅游、培训、疗养、度假等提供各种服务平台。如何将各地酒店业务网络连网，将各个酒店所用的业务系统整合起来，以使得相应的客户信息管理与维护、酒店日常收支管理、各类业务应用系统可以安全、整合地管理；使相应的客户信息、财务信息可以方便查询，以便酒

5、店可以更方便地接待客户并提供满意服务；而且，各地酒店如何接入总部系统与资源库，总部与各地酒店、各地酒店如何沟通这些都是 XX 酒店集团希望解决的问题。为了实现酒店整合管理与高效沟通，XX 酒店集团计划部署一整套的网络互联解决方案，将各个分支酒店与总部网络互联，以实现各酒店业务系统的整合管理与高效沟通。目前，XX 酒店集团总部部署 IDC 机房，设有 Database，Application，Windows Server，Unix sever 以及公司网站等众多服务器，集团希望能够利用强大的软硬件系统，实现网络的高稳定性、可管理性、可扩展性。1.21.2 需要达到的目标需要达到的目标XX 酒店集

6、团本次网络建设的目标，主要是为了实现现有网络情况下的总部与分支酒店的互联。集团的重点需求集中在建成后网络的稳定性上，要求所构建的网络必须保证足够的稳定性来支撑 XX 酒店集团的运营业务。同时，集团对于网络的稳定性要求从诸多方面得到体现，这样就能保证网络在某一方面出现问题时，集团也能利用其他技术手段来支持网络连接的稳定性。在满足了稳定性的同时，集团对整个网络的安全性、可操控性也提出了要求。集团要总部对下属的各分支酒店进行接入互联，以实现他们与总部的互联；并且要充分的保证网络的稳定性，这样就能保证在线路不稳定的情况下也能保证网络数据的正常传输，为业务的正常运营提供保证。1.31.3 为什么选用为什

7、么选用 VPNVPN 联网方式联网方式需要考虑的问题需要考虑的问题通过以上的要求，我们分析需要考虑的主要问题如下：精选优质文档-倾情为你奉上专心-专注-专业A、在各种组网方式中进行选择。进行异地网络互联，有四种方式。一是专线互连（如 DDN、FR 或 ATM 连接） ；二是远程拨号接入；三是直接利用 Internet 构筑起本公司的 Intranet 或 Extranet；四是依赖于目前高速发展的 Internet 组建的 VPN 网络。其他的如微波，WLAN 等方式在全省以及全国范围的需求下不做考虑。B、必须考虑整个方案的安全性和稳定性、可管理性和可维护性，以及能够满足未来网络发展的需要。比

8、如要考虑以后的 IP 语音与视频会议系统，这需要全网或者一个大区域内的互联互通。C、要考虑网络建设容易程度与建成后的维护容易程度。VPNVPN 的优势的优势在上面的几种选择方式中如果投入资金允许并且对稳定性和可靠性要求非常高的情况下，可考虑专线互连专线互连的方式。远程拨号远程拨号接入方式的特点是前期投入较少，只需要在公司总部和分公司等地安装拨号接入服务器，并且使用比较简单。但此种互联方式的弱点是速度慢（电话拨号最高只可达56Kbps） ，稳定性差，长时间使用必定带来高昂的长途电话费用。在现代信息化系统要求带宽和稳定性都较高的情况下，远程拨号接入方式不可取。直接利用 Internet 构筑起本公

9、司的 IntranetIntranet 或 ExtranetExtranet， Internet 迅速发展无所不在以及诱人的低价位，的确令众多厂商开始采用这种办法，但是直接利用 Internet 只能进行 WEB、E-MAIL 等有限的应用，并且 Internet 天生的开放性使安全性又成了问题，公司的机密数据一旦在 Internet 传输，若没有安全性保障，其后果可想而知。VPNVPN 是多种联网方式中最好的选择，那么 VPN 究竟有什么优势呢，它是不是能够解决企业考虑的问题？VPN 是计算机网络的新技术，它将使 Internet 成为一种商业工具，并为 Intranet 和Extranet

10、 的应用带来良好的前景。具体而言，VPN 具有以下显著的优点：1 1 安全性高安全性高企业通过公网实现跨地域的系统互联必然面临安全问题。用 VPN 构建网络具备相当高的安全性，主要有如下几点安全要素：保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址假冒（IP Spoofing）的能力。 保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子篡改数据精选优质文档-倾情为你奉上专心-专注-专业的能力。 保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。 提供动态密钥交换功能和集中安全管理服务。 提供安全防护措施和访问控制，具有抵抗黑客通过 VPN 通

11、道攻击企业网络的能力，并且可以对 VPN 通道进行访问控制。2 2 降低成本降低成本当使用 Internet 时，实际上只需要付短途电话费，却收到了长途通信的效果。因此，借助 ISP 来建立 VPN，就可以节省大量的通信费，此外，VPN 还可以使企业不必投入大量的人力和物力去安装和维护 WAN 设备和远程访问设备。3 3 容易扩展容易扩展支持多种接入实现方式，并且网络是动态的，可以随时增减用户，便于集中控制访问权限。如果想扩大 VPN 的容量和覆盖范围，做的事情很少，而且能立时实现：只需与新的ISP 签约，建立帐户；或者与原有的 ISP 重签合约，扩大服务范围。4 4 完全控制主动权完全控制主

12、动权VPN 使企业可以使用 ISP 的设施和服务，同时又完全掌握着自己网络的控制权。比方说，企业可以把拨号访问交给 ISP 去做，由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。VPN 组网技术与专线组网技术相比，优点是节省用户的通信费用，方便用户网络互联和灵活扩充，并且提高企业网络的可管理性；缺点是稳定性可靠性不如专线网络。以上几个优点是市面上的 VPN 都具有的，但是单单具有上面这些特点的 VPN 还是不能解决企业考虑的问题。我国互联网这几年发展迅速，特别是骨干网建设已经走在世界的前列。用户端的互联网接入技术，如 ADSL、Cable 或者是以太网都已经非常稳定可靠

13、。但是，为什么在国外已经很普及的 VPN 的应用在国内还没有大规模的使用呢？究其原因，最根本的就是 VPN 这种技术还没有深入人心，并且传统的 VPN 设备使用复杂，需要专门的技术人员来实施。综合考虑以上情况，在网络组建前期必须进行详尽的调查与测试，寻找一种适合组建大规模 VPN 网络的，专业智能的， “傻瓜式”的 VPN 产品来组建此通信网络。在方案中必须要求可以集中管理、配置简单、维护方便、扩展容易和可灵活定义网络拓扑。在市面上有很多 VPN 产品，那么究竟那一种 VPN 产品才是企业最好的选择呢？针对企业上面的需求，精选优质文档-倾情为你奉上专心-专注-专业采用网康科技的 ASG VPN

14、 解决方案正是一种非常好的解决方案。精选优质文档-倾情为你奉上专心-专注-专业第二章第二章 应用安全网关应用安全网关 VPNVPN 解决方案解决方案2.12.1 网络拓扑图网络拓扑图这张图要换掉，换成实际的网络拓扑图这张图要换掉，换成实际的网络拓扑图图一 VPN 网络示意图2.22.2 方案说明方案说明XX 酒店集团网络规模较大，分支酒店都需要跟它通信，进行数据交换，这样就对稳定性要求更高，接入带宽要求更大，所以建议在总部使用 ASGXXXX 型号 设备。使用 10M 的上网专线接入 Internet。因为需要对外提供访问服务，所以使用一个固定的公网 IP 地址。ASGXXXX 是具有高性能的

15、 VPN 接入设备（中心点的终端设备） ，提供作为智能接入终端的所有功能，如高性能的防火墙，移动客户端接入服务，带宽管理，流量监控,统计汇总等。分支酒店所处网络规模相对于专网接入中心点来说规模较小，仅仅需要接入总部ASGXXXX 设备。所以，根据规模大小，建议使用在各分支酒店采用 ASGXXXX 终端设备，可采用上网专线接入和 ADSL 接入，不要求有固定的公网 IP 地址。2.32.3 方案特点方案特点ASG VPN 系列设备在部署以后，可以达到以下效果：安全性高，ASG VPN 设备不但提供了构建 IPSec VPN + SSL VPN 高安全性，同时提供企业级的防火墙功能，用户安全策略，

16、数据加密技术最大限度提高用户数据安全性；扩展性好，通过 ASG VPN 构建企业 VPN 的解决方案本身的灵活性，为企业以后网络的扩展提供很大的伸缩可能，企业可以根据自身的情况任意灵活的扩展；实施周期短，只需简单的配置就可以达到整个集团网络互联的目的；管理维护简单，既有简单友好的 WEB 配置界面，也有实时的日志功能，方便系统管理员的维护和管理精选优质文档-倾情为你奉上专心-专注-专业2.42.4 方案优势方案优势a、降低企业日常工作成本根据 Strategic Network 指出，组建企业 Intranet VPN 网络和拨号 VPN 网络相比可以节省高达 60%的日常成本，这个成本包括日

17、常的维护和设备损耗的成本。拨号 VPN 网络要求应用 VPN 服务器需要进行拨号链接和应用访问双重负载，当拨号用户增多时，对企业中心网络的维护和设备损耗是极大的考验，并且大大提高了网络单点故障率。而采用 ASG VPN 设备之后，就不再需要 VPN 服务器了，而是在总部和分支酒店的 APN设备之间建立一条虚拟专线（俗称：隧道） ，这样总部的局域网和分支酒店的局域网就连在一起了，组成了一个更大的局域网，而且他们之间的访问是可以通过安全策略进行控制的，管理起来很方便。b、降低设备购买成本ASG VPN 设备主要以 VPN 链接组网为主要功能，基于 Intel NP 高性能处理器为硬件架构。同时本身

18、集成其他网络功能和服务。1 台 ASG VPN = 1 台专业高性能网络防火墙+SSL VPN 网关 + IPSec VPN 网关，每个节点只需要一台 ASG VPN 设备就能担任 3 台专业网络设备的工作量，设备整合效率提高 75%，如果考虑设备成本，单独购买和分别购买相比，节约网络整体成本 90%以上。c、降低企业管理和网络维护成本ASG VPN 设备提高良好的人机管理界面和功能，让企业在日常 IT 管理维护中节省可观的内部管理和支持成本，而且网康科技提供 24 小时全年无休的服务与支持，有技术经验丰富的人员快速解决企业 IT 故障问题。通过 ASG VPN 设备构建起来的 VPN 专网中

19、能够很容易实施 OA、ERP、CRM 等软件应用并进行远程互联，这将极大提高企业的工作效率，给企业带来无尽的效益。通过 ASG VPN 对分支酒店网络流量可以进行分流，可以将一条线路专门用来上网，另一条线路专门用来在总部和分公司之间传输数据，这样既安全又通畅。由于是网对网的连接，所以不再需要那么多的帐号和密码，只要给出差人员等不定点的用户分配帐号就可以了，方便管理。精选优质文档-倾情为你奉上专心-专注-专业采用 ASG VPNN 设备，与经销商的网络互联也非常方便、安全，接入简单，也可以对其进行严格的访问控制。d、提高企业数据远程传输安全稳定性ASG VPN 设备采用的是最安全的 IPSecS

20、SL 协议，通过该协议传输的数据是经过严格加密的，几乎不可能破解，这样数据在网络上传输的时候即使被黑客查看到也是乱码，而且可以 VPN 可以保证数据的完整性，就算黑客查看到也不可能进行修改。e、提高企业内网安全性如果集团内部 IT 服务通过网络出口直接向 Internet 开放，将带来很大的安全隐患。由于数据采用明文方式传输，而且缺乏严格的身份认证措施，集团内部重要数据（如财务等）一旦被不怀好意之人侦听，危害不言而喻。采用 ASG VPN 解决方案后，可以杜绝 IT 应用发布环节上的安全隐患。而且 ASG VPN 只需对外开放一个 443 端口，隐藏内部的服务区结构，并可对远程访问设置更高的权

21、限粒度，实现更高的安全性。通过 APN 的防火墙对内网单机进行全面安全防护，减少内部漏洞，得以全面防范病毒及木马入侵，可以降低由此带来的资料损失，硬件破坏等，以中等规模机构而言，可以降低由此带来的损失达 1050 万/年。精选优质文档-倾情为你奉上专心-专注-专业第三章第三章 产品优势产品优势我们相信，只有专业才能造就品质。网康科技的 SSL VPN+IPsec 系列产品远程访问系统是专为企业、政府部门的总部与分支机构之间量身定制的远程访问系统，和商业 VPN 远程访问系统比较，我们的技术优势包括：3.13.1 安全性高安全性高ASG VPN 系统从加强对用户身份的鉴别和审计，对用户分组设置访

22、问权限，以及访问行为进行管理和自动监控等方面同时入手，确保数据的保密性和安全性。用户鉴别。除了使用用户名口令方式进行用户认证，ASG VPN 系统可以强制要求客户端使用数字证书来完成认证，同时数字证书与用户所使用的计算机绑定，用户的一个账号只能在某一台计算机上使用，实现用户的双因素认证，大大强化了认证强度和减少账号的出借外泄。ASG VPN 远程访问系统支持的用户鉴别机制包括： 本地用户名、密码认证 数字证书 LDAP 认证 CALIS 认证 RADIUS 认证 硬件 UKEY 认证 Token 认证可以基于用户组在网关和客户端设置两级访问策略限制并强制执行，规范用户的访问内容，彻底避免用户客

23、户机的二次代理问题。用户行为控制。ASG VPN 系统可以为用户组提供独立的用户访问行为管理，通过设置空闲时长，在线时长，速度上限，访问流量上限等安全策略配合使用，实现对用户访问动作的管理。如防止用户长时间登录到 ASG VPN 系统但不发生访问行为，浪费并发用户数量；速度和流量监控可以有效地防止用户突发性或持续性的恶意下载，同时系统可以自动审查用户行为，发现违规可以自动切断该用户的连接，等待管理员审核并处理后重新激活用户精选优质文档-倾情为你奉上专心-专注-专业方可正常使用。3.23.2 全面的全面的 SSLSSL VPNVPN 解决方案解决方案ASG VPN 远程访问系统无论是远程接入还是

24、节点互联，全部使用基于 SSL 协议的 VPN 技术，这样无论从使用和管理上都实现了最大的安全化，以及简单最大化。3.33.3 使用简单、方便使用简单、方便传统的远程访问设备，如果在政府与分支机构见进行部署，需要对防火墙设备进行网络映射等相应配置，造成了不必要的麻烦。网康科技 ASG VPN 远程访问系统采用专有的网络技术，可以灵活的部署于政府内部的任何位置，实现透明接入，不需要对政府的内部网络设备做任何的更改配置即可实现远程接入功能。位于不同地理位置的各个分支机构，可能会采用各种不同的网络接入方式来远程登陆到总部访问电子资源。ASG VPN 远程访问系统充分考虑到了这点，无论是利用浏览器还是

25、利用专用客户端都能够登陆访问到总部的电子资源。ASG VPN 远程访问系统能够通过以下网络接入方式来提供访问。 各种宽带连接 各种拨号连接，ADSL,PSTN,ISDN 等等 各种无线连接，GPRS，CDMA 等等 各种 NAT 环境，无需额外设置 通过代理服务器访问3.43.4 专用技术提高终端用户资源访问速度专用技术提高终端用户资源访问速度ASG VPN 远程访问系统通过两种方式来提高终端客户访问下载的速度。第一种方式是通过采用 ZLIB 压缩格式来压缩传输的数据以提高传输速率。第二种方式是通过采用 TCP/UDP 传输协议的最优化切换技术，该技术自动检测 UDP 通道的可用性以及性能状态

26、，如果 UDP 通道可用并且性能良好，则优先使用 UDP 隧道进行数据的传送，否则自动切换 TCP 隧道进行数据的传送，在其它的成功方案应用实践证明该技术能够有效的提高终端客户访问和下载速度。3.53.5 详尽的统计功能详尽的统计功能ASG VPN 远程访问系统根据政府部门的具体情况以及管理人员提出的要求，开发了专门的资源访问统计模块。资源访问统计系统可以显示网关总流量、用户组流量、用户流量、精选优质文档-倾情为你奉上专心-专注-专业用户活动明细、电子资源访问流量，可以使管理员随时掌握用户访问情况和资源访问情况。用户审核管理模块主要功能： 现场注册 用户信息比对和审核 用户信息开户和登记表打印

27、 用户开通信息 EMAIL 通知 用户管理 排序 查询 挂起激活 销户 有效期操作 操作员管理 用户信息同步3.63.6 访问统计图标访问统计图标注册统计模块是网康科技针对于图书馆定制研发，行业中独有的，具有用户自定义注册、管理员审核以及详细日志记录和强大图表功能的专业统计系统。例如： 用户自定义注册 管理员通过后台手动审核注册用户 根据定义策略系统自动审核注册用户 详细的登录日志（如图）精选优质文档-倾情为你奉上专心-专注-专业 强大的图表功能 （如图）精选优质文档-倾情为你奉上专心-专注-专业 3.73.7 分级管理功能分级管理功能ASG VPN 远程访问系统提供分级管理功能，通过运用分级

28、管理，管理人员能够根据人员分配和管理的情况，分别分配不同的管理权限。ASG VPN 远程访问系统分级管理功能如下： 添加系统管理员精选优质文档-倾情为你奉上专心-专注-专业 用户申请 审核用户 管理用户 到期用户管理 客户端总流量 用户登陆统计 用户登陆明细 NAT 流量统计 电子资源访问统计 在线用户 证书管理 系统日志3.83.8 堆叠式的负载均衡堆叠式的负载均衡ASG VPN 远程访问系统的负载均衡功能采用独创的堆叠式负载均衡，该负载均衡不需要额外的负载均衡设备，能够实现即插即用，无限堆叠。无需额外的系统和网络配置。能够满足系统无缝扩展的需求。3.93.9 容灾容灾ASG VPN 远程访

29、问系统提供高可靠性功能，避免了设备单点失败故障的发生，能够为总部的电子资源提供可靠稳定的远程访问。当采用容灾设备时，在主网关没有发生故障时，设备采用负载均衡功能，当主网关发生故障时，备份网关自动切换成为主网关。既减轻了单台远程访问设备的负载量，也提供了容灾。3.103.10 高扩展性高扩展性ASG VPN 远程访问系统具有极高的可扩展性，充分保证了用户的现有投资。用户可以针对未来的使用需求进行灵活的产品扩展：增加并发用户，无需更换硬件设施增加负载均衡功能，无需添加任何模块精选优质文档-倾情为你奉上专心-专注-专业增加高可用性功能，无需添加任何模块综上所述，我们可以了解到 ASG VPN 系统不

30、仅是一个 VPN，而是一个专门为大型企业和政府部门以及其分支机构定制的以 SSL VPNIPsec 为核心的访问控制系统，是一个有效的电子资源的访问和管理工具。通过我们与众多使用单位的技术人员和管理人员交流、讨论，以及实际中的测试和使用，设计上充分听取用户的意见，系统既满足了终端用户的电子资源访问需求，同时也着重考虑和实现了 ASG VPN 系统与政府机构和企业业务流程的衔接以及对远程访问读者的行为的管理，以实现安全、可控的远程访问3 31111 线路冗余线路冗余ASG VPN 系列硬件网关支持多路冗余、双机热备等功能彻底解决了因公网线路中断或设备故障引发的稳定性问题。ASG VPN 同时支持

31、多条上网线路，多条上网线路全部正常时可以将各条线路叠加起来做为更大的网络出口。当其中某一条线路出现中段时，网关所承载的服务会自动切换到其它线路上，实现 VPN 服务不断，做到多线路的备份。第四章第四章产品报价产品报价41 1 产品报价产品报价本方案讨论了组建 VPN 网络所需要的各种设备和部署地点，下面根据设备型号进行整个方案的报价，设备工作所需要的线路资源需要客户自己提供，不包含在本方案内。购 买 设 备类别型号市场价优惠价数量上门服务费远程服务费合计VPN精选优质文档-倾情为你奉上专心-专注-专业小计：精选优质文档-倾情为你奉上专心-专注-专业4 42 2 设备选型及介绍设备选型及介绍根据 XX 酒店集团各节点的规模，结合网康科技的产品线结构，推荐选型如下：序 号设 备 型 号产品描述部 署 地 点数 量1总部12分支酒店183