|
技术方案
根据客户提出的以上的几点要求,NETGEAR公司进行了深入细致的调查和仔细的规划设计,为用户设计了一整套包括接入和安全的整体解决方案。最后, 作为全球中小规模网络和无线网络的先驱和领导者, 一直致力于网络技术创新的美国网件(NETGEAR)公司, 凭借其旗下的ProSafe VPN产品线及其产品当中独特的DDNS(动态域名解析)技术、优越的产品性价比和良好的售后服务赢得了这项工程,为全国范围内多分支机构的证券行业提供了一个典型的证券VPN解决方案。
广发证券的VPN建设大体上分为多个片区,首先是要建设分别以广州华南区、北京北方区、上海华东区三个总部为中心分别辐射到全国76个分支机构的VPN网络互连。该VPN网络作为主干股市交易网络的高品质备份网络,平时用于传输办公的关键业务(例如:OA、EXCHANGE电子邮件、电子通告、视频会议、VoIP等),需要时能切换为主干业务网为证券交易。客户考虑将VPN架载在数据通信运营商的公网上。
三个片区的VPN组网结构基本上相同。下面以华南片区为例来说明VPN的联网示意图。
在每个片区的两个营业点上分别布置一台FVL328作为这个片区的中心节点。华南片区就是在广州江湾营业部和广州农林下路营业部分别布置一台FVL328。其中一台FVL328申请固定IP地址的专线接入,另外一台FVL328申请动态IP地址的ADSL接入。如广州总部为保证带宽和速率就向电信ISP申请开通一条10M带宽的DDN专线,共有8个固定IP地址的INTERNET专线。DDN专线接入FVL 328的WAN端口,总部的局域网交换机接入到FVL328的局域网口(FVL328带有8个局域网口,如果电脑数量多,可以级连交换机),然后所有的电脑统一接入交换机。在另一个营业部的FVL328就申请动态IP公网地址的ADSL接入了。
在每个片区的其他各支营业部,根据营业部规模的大小可选用FVL328和FVS318产品。并且都只申请动态IP地址的ADSL接入便可。在这些营业部的VPN设备上,为提供网络的可靠性,分别创建两条VPN的隧道。其中一条隧道是和片区中心具固定公网地址的FVL328相连接,另外一条隧道是和片区中心具动态IP公网地址的FVL328相连接。整个片区的网络呈星网状型结构。
对于每个片区的在外地出差的用户,如果想联入总部或任何一个分支机构的内部网络,则在其电脑上安装对应的VPN CLIENT客户端软件。当出差的移动用户连上公网后,运行VPN CLIENT软件,输入密码,软件会根据事先配置的策略自动与总部或分支机构的VPN设备建立起安全的隧道。这样基本上每个片区负责约20来个证券营业部,以中心的两台FVL328为中心,构建一个高可靠的低成本、易管理的VPN网络。
美国网件的VPN网络解决方案不仅支持IPSEC等协议,以及DES、3DES、AES加密算法,同时还可通过IKE、共享秘钥进行身份认证等方式,加强内部网络的安全性能。另外,在数据传输的过程中,由于美国网件的FVL328与FVS318 VPN产品中设置了硬件防火墙和状态检测功能,因此既可在NAT模式下实现网络地址的转换,保障内部网络的安全,同时也可以防止诸如DoS、PING包等多种方式的攻击,为分布在各地的工作人员提供安全的点到点和远程访问通讯。美国网件产品内置的防火墙功能可将总部和分支机构的局域网与公网进行安全隔离,使网内的数据库服务器不再暴露于公网之上,处于安全保护下,从而为企业原有的应用系统提供了一个专用、安全、高效的网络应用环境。
整个全国网络的VPN连接示意图如下:
应用效果
目前已安装完毕的广州片区运营半年来,得到了用户的高度评价。其他各个片区的设备正在紧张的安装调试过程当中。此VPN网络为用户带来的直接的好处有:
降低成本: 借助电信的ISP来建立私有的VPN,就可以节省大量的通信费用,并且数据传输得到保密。此外,本套VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。
容易扩展: 广发证券整个网络用户想扩大VPN的容量和覆盖范围。总部需做的事情很少,而且能
立时实现:只有每个营业厅到电信申请一条动态ADSL宽带线路(广州企业用户包月是500元),添加一台FVL328或是FVS318即可以,而且整个网络都不需要任何的改动。在远程办公室增加VPN能力也很简单:通过配置好SAFENET客户端软件就可以使美国网件VPN路由器拥有Internet和VPN能力,VPN路由器还能对工作站自动进行IP地址配置。
|