[正文]    

用户背景介绍

   云南钢材物流中心位于昆明市东部二环路与三环路之间，由云南物流产业集团所属的云南省金属材料总公司投资建设，是于原“云南省钢材市场”的基础上实施改扩建而打造出的云南省大型的综合服务型钢材物流中心。云南钢材物流中心创建了云南省内首个技术较为先进、功能较为完善的集交易、融资、信息、仓储、加工为一体的大型专业化钢材物流平台，成功实现了由传统物资市场向现代物流中心的转型。

   目前，与同属云南省金属材料总公司的多家子公司及省内其它企业合作关系密切，业务呈现高速成长，企业原有网络结构已经不能满足现阶段需求。为更有效的管理交易、运输等业务资源，加强合作伙伴间的联系，云南钢材开始寻求更为安全、高速、智能且经济性较强的新企业vpn网络，希望凭借高速运转的信息化网络，能够轻松而高效的管理庞大的业务资源，增强市场竞争力，使云南钢材成为物流集团中最具竞争力的核心企业。

云南省钢材物流中心市场

用户需求分析

   中心网络主管丘先生指出，该中心目前大概有20多名移动办公的业务员工，关系来往密切的合作伙伴有10多家，且还有3个大的企业外点，也希望能与总部进行vpn连通实现资源共享。在规划构建适合云南钢材的企业vpn网络时，曾经与高层及相关部门反复商讨如何有效整合企业资源，加强信息共享管道。该中心vpn组网需求如下：

   vpn连机质量实时稳定：钢材市场业务员工为开展市场均移动办公为多，随时随地都有可能要对总部资源及信息进行存取。此外，合作企业伙伴间相互传输所需数据及企业外点运营信息等及时的反馈，都希望能维持稳定不中断的连机质量。因此，用户希望能快速且稳定的实现信息共享，改善以往应用iis服务器不稳定的情况，以利于钢材中心本部能准确的获取所需数据，进行正确的相关业务分析。

   具备简易操作、弹性配置等特性：联机外点多，且上网方式多不相同，相对也提高了管理与解决分支外点设置维护的复杂度。外点设置与联机及本部中心端配置与管理最好具备一定的简易程度与高灵活度，以满足外点弹性连机、中央轻松管控。而在实际操作上也需要符合简易方便的设计，让总部中心端在进行有效的整合管控工作时，能够相对减轻网管维护的负担。

   高度企业信息安全性：对于云南省钢材市场来说，各分支外点、移动办公人员及合作伙伴之间业务信息往来频繁，为了保护这些企业内部信息的机密性，避免数据被窃取或侦听，造成不可估计的损失，因此对于vpn信息传输的安全性十分重视。尤其是财务账号意外泄露、业务数据外泄等意外，是我们绝对不容许发生的情况。

   需要具备一定的可扩展性：云南省钢材市场目前正处于发展扩张期，规划在省内多处网络布点，也为开拓市场业务人员也有增加的计划，考虑日后vpn网络大规模应用及预备未来企业成长，希望vpn设备必须具备一定程度的扩展性，并能满足未来3-5年或甚至更长时间的扩展需求。考虑到未来外点设备铺设，在成本计算上应该具有一定的经济性。

云南省钢材物流中心vpn组网方案介绍

   根据企业需求，丘先生最终委托专业多wanvpn防火墙厂商侠诺科技，为云南钢材市场规划整体的vpn组网方案。其具体的组网架构拓朴与方案如下：

云南省钢材物流中心ssl vpn互联网络应用拓扑图

   本部中心端：云南省钢材物流中心本部作为中心端，统筹内外运营事宜，需要具备更优秀的网络环境，因此建议丘先生将其分为两部分。中心本部内部上网，采用侠诺新一代千兆共享产品gqf1150，四条6m网通adsl汇聚接入，下接核心交换机连接到各部门pc提供局域网上网服务。并通过vlan划分不同的子网，有效防止病毒传播的同时，也便于内网用户的管理。而对于外部资源访问服务等，则采用了侠诺ssl/ipsec复合式防火墙——ssl002作为中心端接入设备，erp、oa、业务管理等系统服务器直连ssl002，提供微软终端、远程桌面、vpn网络等信息远程共享服务。中心端网管根据远程用户不同的身份，划分不同的群组，以设置权限区隔，达到保护机密信息资源的目的。

   分点：钢材市场的业务人员及企业合作伙伴，则可采用ssl vpn方式接入，无需安装客户端即可轻松安全的远程访问企业服务资源。

   大型分支：目前云南钢材正在全省范围内网络布点，规划中相对较大型的分支外点，同时可以采用ipsec或者ssl vpn方式，灵活调整。

方案特点介绍

   管理一键通简化管理端设定：管理端全面设置与管理众多外点是一项很吃力的事，ssl002具备的“管理一键通”功能，轻松解决了管理设置复杂问题。在认证管理上，企业可采用连接既有的exchange server的ad（active directory）认证服务器，网管不需花时间一一重建员工帐户；在用户权限设置上，预置all users、supervisor、branch staff、mobile user四个群组样版，提供企业网管直接套用，网管不需再一一配置群组特性，省去繁复设置流程。网管可直接套用预置样版，实现管理一键通，超快速的完成企业ssl vpn建置，节省配置时间。

   群组管理便于权限区隔：在管理方面，ssl002所具备的群组管理功能，可集中管理用户、服务器及应用资源。采角色管理模式，根据用户、用户群组提供细致访问权限控制，不同用户、群组具有不同权限，登入不同的使用者界面，可使用的资源服务也不相同。中心网管丘先生，就把移动办公的业务人员、合作伙伴及公司高层划分为不同的群组，远程桌面和终端服务只开放给企业内人员，则企业合作伙伴的远程登录界面就不会看该两项功能，从而进一步保障了企业内部信息的机密性。

   联机一键通客户端快速访问：客户端零配置，只需要一台可以上网的电脑，使用操作系统自带的支持ssl浏览器，入口网页输入用户名及口令，即可快速登录帐户所对应的画面，使用权限内的资源服务。ssl002还具有一次性登入功能，用户登入内部服务器的用户名及口令如果和登入ssl vpn相同，只需进行一次登入ssl入口网站，后续再登入应用服务，ssl vpn即可自动完成登入，节省登入动作，提高用户工作效率。