gzwz 发表于 2006-8-11 16:20:32

微子企业网络互联解决方案 (2006-08-03)

一、概述
  一说起网络互联这个概念,很容易就让人想起DDN--数字专线。没有错,这是现在目前网络互联的最好的解决办法。但是由于这种互联的办法需要购买昂贵的路由设备,并且还需要租用电信的通信线路而付给电信昂贵的线路租用费用,令到很多全国各地有分公司、办事处的,有网络互联需要的中小企业望而却步。

  随着互联网的发展,各种宽带接入、城域网的推广,使到越来越多用户可以通过互联网来传递信息。于是,那些有网络互联需要的中小企业纷纷上网,开始利用互联网络来实现简单的互联,比如发送电子邮件,进行文件传输等。但是问题很快就出来了,由于互联网是公共网络,在互联网上传输的信息很容易被人窃取,因此一些机密信息就不可以通过互联网来传送,另外这些企业由于接入了互联网,就存在着被互联网上的黑客攻入接入互联网的服务器,从而访问企业的整个内部网,窃取各种信息。还有,通过互联网实现的企业内部通信是否安全,信息是否会被窃听就更加是企业所关心的问题。

  那么有没有什么好的解决方法,既可以让企业用户安心上网,并且在费用可以接受的情况下实现高性价比的网络互联呢?答案是肯定的,微子网络的MPS网关服务器就可以很好地满足企业的网络安全以及网络互联的要求。

  下面我们就以一个具体的例子来说明如何利用MPS网关服务器进行网络互联,以及网络互联后给企业带来的好处。

二、企业网络互联设计方案
  某公司是一家大型的物流公司,在全国已经有20多家分公司,40多家办事处。随着物流业务的不断发展,总公司打算采用先进的网络信息工具对公司的运作进行管理,这就需要运行一套网络ERP系统软件。当然啦,每个分公司、办事处都要考虑本身的宽带上网问题,这个问题可以参考我们公司的<<企业上网解决方案>>。由于该系统的核心数据库必须放在总部,其他分区需要这些信息的时候就必须实时访问该数据库,因此需要进行总公司和全国分公司之间的网络互联。由于该企业分公司太多,如果都采用DDN等传统方式互联,整个费用就会很大,因此,我们根据我们产品MPS800E和MPS1600EX的特点为该企业设计了整个网络互联的方案。

  整个方案设计图如下:
http://www.micropoints.com/images/s3.jpg
  首先,物流公司的总部采用一台MPS1600EX作为网关,通过宽带接入互联网,其他分公司就可以采用MPS800E作上网网关,除了中心点外其他各个点都可以采用最便宜的宽带上网方式,比如ADSL拨号,小区宽带等。中心点为了整个网络的稳定性,所以建议采用静态IP的连接方式,当然采用动态IP的宽带接入也可以,结合我们产品提供的动态DNS就可以解决这个问题。

  该物流公司采用该方案进行网络互连后,终于可以运行那套网络ERP系统,很快整个工作效率,资源调配都高起来,生意越做越好了。

  那么为什么要采用MPS系列的网关产品呢?MPS系列到底是否已经能够安全联网,该产品的安全性以及有些什么功能?下面我们就来介绍一下该产品的功能特点,你就明白了。

三、MPS企业网关功能特点
3.1 支持各种宽带联网方式
  MPS系列网关服务器(以下简称MPS)支持各种宽带的接入方式,包括中国电信的ADSL、LAN网络快车,视讯宽带的CableModem、盈通的e家宽、网通的L2TP拨号、长城宽带以及各种城域网的接入方式。MPS支持各种接入的协议,包括PPPoE、DHCP、L2TP、PPTP等。支持各种接入模式的灵活组合,可以配置复杂的网络接入。一般的网络共享器只能支持单一接入模式,遇到复杂的接入就无可奈何。比如:网通的L2TP拨号接入,首先需要从DHCP服务器分配一个IP地址(这个地址并非公网的IP地质),然后再通过L2TP协议连接到出口服务器,才能获得真正的公网IP地址和互联网通信。MPS可以灵活的组合各种接入拨号,因而可以支持运行商提供的各种复杂接入方式。 MPS具备连接的断线自动重连功能,MPS网关一经设置,就可进入自动的工作状态。线路中断或者IP变换后,系统自动重新连接,完全无需人工干预,完善的故障检测和自动重连功能保证你可以轻松的畅游互联网。

3.2 特有的宽带线路捆绑功能
  MPS支持多路宽带接入的捆绑,也就是说,一个MPS设备,可以同时使用2条或者3条线路接入,捆绑后共享给整个企业用户,提高用户的上网访问速度,并且节省了多台网络服务器。当然啦,这里的捆绑并不可能实现单条线路的速度增加,但是对于多线路同时访问,就可以使用到总体带宽。

3.3 支持大量连接的互联网共享功能
  无论何种宽带接入方式,都可以通过MPS的NAT(网络地址转换)功能为内部网用户提供互联网的共享。而且该共享方式是透明的。如果用户是利用MPS的DHCP功能进行IP地址分配,就已经可以共享互联网,如果不是的,就只需要把网关设置为MPS的对内接口的IP地址就可以了。

  局域网络里面的主机通过网关共享设备访问互联网时,共享设备要为每个TCP/IP连接维护连接的信息。MPS提供对大量并发连接访问的支持能力。MPS的不同型号可以支持数以万计的并发连接。也就是可以支持局域网内成百上千的主机通过单一IP地址对互联网进行访问。MPS-1600EX可以最多可以支持640,000的并发连接,完全可以支撑大型企业用户局域网络所有机器共享访问互联网的需求。

3.4 优越的网络吞吐性能
  MPS服务器支持2M——100M的各种接入模式。MPS-800系列可以支持10M以上的数据吞吐量。MPS-1600EX可以支持 100M以上的数据吞吐能力。在设置防火墙规则后和流量控制规则后,数据吞吐能力没有明显的下降。已经可以满足企业级用户的宽带接入需求。

3.5 强大的防火墙功能
  MPS提供基于状态监测的包过滤防火墙功能,通过简单的管理界面,可以方便、灵活地设置过滤规则。
  包过滤功能作用在网络层和传输层,它可以根据分组包头源地址,目的地址和端口号、协议类型、标志位等众多信息对 数据包进行监控,确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。

  MPS防火墙可以实现双向的网络地址转换,即源地址转换和目的地址转换。局域网的主机通过源地址转换后通过唯一合法的IP地址访问外部,实现对外地址伪装,也就是上面提供的网络共享功能。目的地址转换,可以把对宽带接入的唯一合法地址的访问映射入局域网内部。只要拥有一个合法IP地址,你就可以在局域网内架设你的WWW服务器,邮件服务器,省去了托管主机的管理不变的麻烦,把网站搬回你家门口。

  包过滤不需要用户软件的支撑,也不要求对客户机做特别的设置,也没有必要对用户做任何培训。当数据通过防火墙上时,用户甚至感觉不到包过滤功能的存在,只有在有些包在禁入和禁出时,用户才认识到网络上存在着防火墙。包过滤工作对用户来讲是透明的。这种透明就是可在不要求用户作任何操作的前提下完成包过滤。 

  MPS防火墙的高级功能可以防止各种拒绝服务(DOS)攻击(Syn flood、ICMP flood、UDP flood、Ping of Death、IP哄骗、Land Attack、tear drop? Attack、IP地址扫描、Win Nuke Attack等)。MPS驻守你的宽带入口,可以有效的阻挡黑客的恶意入侵,让你不再担心你的内部网络被非法入侵,公司的数据被非法窃取。

3.6 高性能的带宽管理功能
  带宽管理技术是一种高层次的网络管理技术,可以对网络实时的传输速度进行测量,对网络拥塞情况进行监测并按照预先定义的优先级别,保证关键业务的网络带宽占用,从而避免了当网络产生瓶颈时,对一些关键业务的影响。这也正是我们所讲的QoS (Quality of Service)。MPS可以根据不同的IP地址和服务类别设置不同的带宽限制和优先级别,保证重要用户的带宽流量。

  当网络空闲时,MPS可以相应提高访问的带宽,但前提是不影响高级别服务或用户的网络带宽。即系统保证所分配带宽的最低值,在高级别网络应用不用带宽的情况下,可以自动加大低端到服务器用户的带宽,以最大程度利用现有的网络资源。通过这个功能,就可以限制网吧用户的最高速度,而即使他在下载的时候,也不影响其他用户上网和进行网络游戏。

3.7专业的VPN功能
  所谓虚拟专网就是利用互联网,通过数据加密的方式,分布在不同地理位置的网络建立安全的通信网络。

  MPS使用我们自行开发了采用基于IP数据隧道的天匙(SkyKey)虚拟专网系统,为用户提供VPN功能。在组建VPN时,可以采用多种加密算法(56Bits BLOWFISH、DES、168Bits 3DES、MD5、RC4、SHA1、IDEA)对数据加密,保证数据安全传输。另外该系统支持多个网络互连的虚拟专网连接方式,只需要有一个中心连接点,其他网络都连上去这个中心点,就可以实现各个网络之间连起来的虚拟局域网。

  为了实现和其他厂家的互连,MPS支持多种的VPN协议,PPTP、L2TP、IPSEC 。MPS可以作为PPTP、L2TP的客户端连接PPTP或者L2TP服务器,实现VPN连接。IPSEC VPN支持以Share Key的模式和标准IPSEC的设备互连。

  另外,MPS还支持Microsoft 的PPTP协议,允许MS的客户端可以直接通过PPTP协议建立VPN连接,访问公司资源,实现远程办公。对于需要更安全的PPTP服务,我们还有专门的PPTP 网关产品,该产品和Radius结合,可以对PPTP的用户进入访问记录和统计。
页: [1]
查看完整版本: 微子企业网络互联解决方案 (2006-08-03)