新疆新联运物流集团多点互联VPN组网案例介绍
一、背景介绍 新疆新联运公司基于前身为兵团农二师汽车运输公司,已在巴州拥有悠长客货运输的历史,加上其深厚的客货运输文化,且具备平均每年上交利税上百万元,经营实力坚强的中大型交通运输企业。因此自2005年重新整合成立新联运集团以来业务呈现高速成长,目前旗下共计有三大物流园区,包含客货运输、贸易流通、旅游探险,建材能源、农副产品产易、驾培修理、房产开发等多元化经营项目。为了有效管理货运、客运、旅游包车等广大的业务范围,新联运集团开始寻求安全、高速、且相对建置成本较低的企业VPN网络建设,希望凭借高效能的信息化建设,能够加速以及更加轻松的管理庞大的业务信息流,进而成为全国优质服务知名品牌的物流集团公司。
图一:新联运四大物流园区(天山西路物流园区)
二、应用需求分析 新联运集团网络部主管王俊领先生介绍,集团目前拥有一个总部中心、四家分公司、一个小型办事处等六个点,且四家分公司均具有自己的仓库和配送机构。回想当初在讨论如何建构适合我们企业VPN网络时,曾经反复与高层商讨如何有效整合集团与各分点的信息管道,经过各部门严密讨论后,总结几点需求共识如下:
实时、稳定的VPN连机质量保证:为了协调各地区的业务营运、提高管理效率,总公司需要随时准确地获取所需数据,因此希望各分公司运营信息可实时返回总部,并维持稳定不中断的连机质量,改善汇整各分点业务数据所花费的冗长时间,以利营销部门快速进行正确的相关业务分析。而在实际操作上也需要符合简易方便的设计,让总部中心端在进行有效的整合管控工作时,能够相对减轻网管维护的负担。
具备简易操作、弹性配置等特性:由于人力成本考虑,新联运只是在总部中心配备了一名专业技术网管,而分公司及办事处则是由员工兼任。其中,又因每个分支机构的性质规模、上网方式多不相同,相对也提高了管理与解决分支外点设备维护的复杂度。因此,当时考虑PN网关设备,必须具备一定的简易程度与高灵活度等特性,以满足不同地点,不同上网方式需求的弹性空间,实现分点进行轻松的VPN连机,同时也方便总部网管进行远程控管。
高度企业信息安全性:对于新联运来说,各分公司及办事处之间业务信息往来频繁,为了保护这些企业内部信息的机密性,避免数据被窃取或侦听,造成不可估计的损失,因此我们对于VPN信息传输的安全性十分重视。尤其是财务账号意外泄露、客户数据外泄等意外,是我们绝对不容许发生的情况
具备一定的可扩展性:新联运现在正处于高速发展期,具备立足新疆辐射全国的发展态势。因此考虑新联运集团版图再扩张的机率非常之大,为了预备未来快速成长,我们希望VPN设备,必须具备一定程度的扩展性,并能满足未来3~5年或甚至更长时间的扩展需求。
三、新联运物流集团多点互联VPN组网方案介绍 依据企业需求,新联运集团网络部主管王俊领先生委托高度性价比优势的多WAN VPN防火墙厂商侠诺科技,为新联运规划整体的VPN组网方案。其具体的组网架构拓朴与方案特色如下:
图二:新联运物流集团VPN组网方案拓扑图
总部中心端:库尔勒市公司库西物流园区的总部中心端,采用Qno侠诺QVM1000 VPN防火墙,做为企业总部数据中心端接入设备,可支持PPTP、IPSec VPN、SmartLink VPN、QnoKey IPSec客户端密钥等连机方式,可满足外点多种VPN弹性配置需求,实现总部中心端与各分点建构实时、稳定、安全的互连VPN网络系统。
分点:由于其它几个分支物流园区的通信量稍小,所以均规划采用QVM330 VPN防火墙做为,接入设备,并采用侠诺独创的SmartLink VPN协议,只需输入中心端服务器IP地址、用户名、密码三个参数,即可超快速完成VPN设定。针对分部物流园区没有专业网管的问题,以上三参数取代20几个步骤的繁复设定,是一个十分省心的实用功能。
办事处:采用Qno侠诺QVM100,同样采用SmartLink VPN协议作为主要的VPN连机方式,可满足当前应用需求的前提下,还能提供未来很长一段时间内扩展所需的硬件配置。
四、联运物流集团VPN方案特点: 轻松实现了中央管控:网管王俊领先生根据过去经验指出,要同时管理外点多条VPN接入联机是非常棘手的问题,尤其是必须反复留心查询各点联机状况、带宽使用率等信息,往往会耗费许多时间调。侠诺QVM1000VPN防火墙,具备中央控管功能,可一次看清全部VPN联机的情况,再也不必一一地检查联机的状况。若需进一步协助设定或排解问题,网管也可直接进入分部QVM330的管理接口查看或进行设定管理,安全又有效率。
SmartLink VPN快速设定:对于一般传统的IPSecVPN设定,除了库尔勒市总部的专业网管可以应付之外,没有太多专业知识的外点物流园区工作人员,常会因为多达20几个繁杂步骤感到却步。侠诺QVM系列特有的SmartLink VPN功能,将大部份的设定参数的工作交由VPN网关自动完成,用户只需要输中心端服务器IP地址、用户名、密码三个参数,即可完成超快速VPN连机设定,现在就算是分部工作人员也可以轻松上手进行VPN连机设定了。
强大防火墙安全功能:多半对于企业VPN面对来自外网的诸多病毒或是财务账号意外泄露、计算机被非法使用、恶意的内网攻击等带来的损失,都不容小觊,新联运也不例外。目前来说,最多的攻击形式仍以ARP攻击居多,Qno侠诺QVM系列 VPN防火墙设备都具有内建的防制ARP功能,凭借自动检视封包的机制,侦测过滤可疑的封包,做为防制ARP攻击的第一道防线。可搭配IP /MAC双向绑定,在路由器端以内网PC端进行IP/MAC绑定,即可达到防堵ARP无漏洞的效果。Qno侠诺考虑要绑定全部工作人员PC端的IP/MAC有一定的难度,因此Qno侠诺近期也提供免费的ARP自动绑定软件,可让工作人员有针对性的选择套用绑定程序,达到双向绑定的目的。
稳定、快速的VPN连机质量:由于新联运即团的业务范围十分庞大,广大的客户群经常会需要查询实时的货物寄送状况,因此稳定、快速更新数据的VPN连机质量就显得格外重要。侠诺QVM VPN防火墙系列,具有指定路由功能,可保障VPN使用带宽与优先权,进一步稳定VPN连机质量。关于未来新联运将在短期内规模扩张,侠诺QVM VPN防火墙系列,均具备多个WAN接口,可同时接入多条ISP线路,可增加带宽满足更多外点VPN连机,以及内网的计算器使用,还可同时运用VPN备援设定功能,避免当ISP不稳定或掉线时,VPN连机也随之中断联机,造成无形的损失与伤害,有效提高VPN更上一层楼的稳定性。
VPN Hub功能消除信息孤岛:通过VPN网络可实现总部与外点互通互连之外,还可运用VPN Hub的功能,进一步让各分部园区以及办事处之间的网络,通过总部的转发,分点间彼此也可互通互连。VPN Hub这项功能,帮助新联运各分部均可在第一时间掌握各点最新的客户及物流业务等讯息,以方便客户数量、业务种类、运送时间等相互支持,避免发生信息孤岛的状况,提升物流业务的管理效率与客户服务的质量。
简单而方便的配置及管理:QVM系列产品都是Web中文页面配置,没有太多网络知识的网管人员也可轻易进行配置。即使是不懂网络的人员,经由简单的培训,也可进行操作。这一点大大消除了新联运几个分部物流园区没有专业技术网管的后顾之忧。
五、应用效果评价 新疆新联运专业网管王俊领表示,侠诺VPN组网架构已新联运物流集团已运行一年有余,目前各类的业务数据传输,以及外点ERP / OA等运用,都大大提升了新联运集团整体的工作效能,可以说真正成功的帮助新联运务流集团,建构了一个简便、快速、稳定、安全的企业信息VPN网络,同时也满足了讲究快速高效、良好服务的物流客户高度的欢迎。