侠诺SSL005助力北京卡酷全卡通VPN网络

企业背景

北京卡酷动画卫星频道有限公司由北京电视台出资组建,2006年10月注册成立的中国第一专业动画卫星频道,目前落地覆盖北京、上海、天津等近百个大中城市,是行业公认的落地范围最广、收视人口最多、影响力最强的中国动漫第一卫视平台。“卡酷全卡通特许零售店”是北京卡酷全卡通倾力打造的全国加盟连锁玩具零售店,依托卡酷全卡通强势宣传平台,借助覆盖全国的落地优势,打造全新的玩具行销模式。2010年5月底,“卡酷全卡通”特许零售体系已经拥有212家特许零售店,在全国形成了庞大的零售网络;计画未来将在中国各大城市建立1500家特许零售店。

                                                       图:卡酷全卡通门店形象展示

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                           图:卡酷全卡通门店形象展示

应用需求

随著公司的不断发展,企业业务也广泛拓展,为改善企业运作环境,提升企业竞争力,卡酷全卡通希望组建高效、稳定、流畅、安全的VPN网络,加速公司营运、销售、行政等办公效率,实现远端数据即时存取,便利移动办公等目的。经侠诺工程师对卡酷全卡通的实际应用总结分析,并与其公司IT主管及高层讨论,决定对网络进行更新升级并提出以下要求:

  • 希望不管是在VPN,或者是提供内网员工一般上网的公众网络,均能维持良好、稳定的网络服务质量。以避免网络慢、信息数据无法及时反馈造成集成数据时间过长,造成决策延误等问题。

  • 希望可以通过安全的网络传送的方式,让VPN办公外点可以即时存取总部资源,如ERP系统、OA等服务器,不易被有心人士或同业窃取公司机密。

  • 通过路由器对用户实行统一管理,实现对内网上网行为管制、流量控制等要求,配置管理简单方便,节省网络维护成本。

  • 希望节约成本,路由设备最好具备防火墙功能,能够有效防制黑客、ARP等攻击,不影响公司上网与VPN质量,使网络具有足够的安全能力。

  • 因公司有多个公网IP位址,希望这些公网可IP长期为特殊的计算器所使用,便于外部IP位址访问。

  • 公司有多个移动办公外点,希望在设备上可符合性价比高的需求,另外也可有效的精简的后续维护成本,即使后续扩张经营也可轻松增加外点。

设备选择

针对卡酷全卡通公司连锁销售的实际需求,遵循安全可靠、方便实用、高效低成本、灵活扩展等相关原则,侠诺科技工程师建议通过侠诺SSL005网络双核SSL/IPSec QoS安全路由器来架构卡酷全卡通公司的高性价比SSL VPN网络互连方案。

                                                            图:双核SSL/IPSec QoS安全路由器SSL005产品图

                                                                                                                                                                                                                                                                                                                                                                                                                                                                       图:双核SSL/IPSec QoS安全路由器SSL005产品图

在瞬息万变的时代,中小企业需要即时掌握市场动态以有效处理每一个环节,才能创造高收益的机会,SSL 005适用于带机数150-200的中小企业,建置成本低廉外,还结合了VPN带宽保证与管理、SSL跳板功能、防火墙、防黑客病毒攻击、电信网通VPN HUB、USB 3G界面扩展等诸多功能,绝对是中小企业高性价比的第一选择。特别是配置了MIPS64位元元双内核网络专用处理器,运算能力跨越式提升,给予企业非同凡响的网络速度,带动其他应用、环节更加流畅,正可谓中小企业制胜之法宝。

组网方案

                                                           图: 北京卡酷全卡通应用拓扑

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                             图: 北京卡酷全卡通应用拓扑

  • 总部中心端:公司总部带机总量约100台PC机器,联通10M光纤接入,因此中心端采用侠诺网络双核SSL/IPSec QoS安全路由器SSL005作为VPN设备,支持PPTP、IPSec VPN、SmartLink VPN、QnoKey IPSec用户端密钥等连机方式,与外点建立VPN互连网络,实现即时通讯,共用总部中心端ERP服务器、OA等应用系统。于中心端公司内部网络,可划分VLAN,将各个应用区域区隔开来,预防广播风暴及病毒传播,提高安全性。镜像端口可搭配侠诺QnoSniff 神捕监控系统,全方位监控内网上网行为与系统资源。

  • 移动外点:公司现包括移动办公在内共22个VPN外点,低端VPN设备对于规模小且多的外点来讲成本偏高,移动外点连接也不够方便,因此公司外点均使用兼顾方便及安全的QnoKey智能VPN连接钥匙,成本相较路由设备又低了许多。QnoKey外形类似U盘,采用USB界面即插即用,配合用户端安装的免费附送拨号软件,输入密码即可快进行IPSec VPN通道建立。没有KEY的外点也可通过PPTP拨号进行VPN联机。

方案特点

  • 双核CPU提高数据处理性能:SSL005采用64位元双核网络专用处理器,其效能在Intel-IXP处理器的基础上大幅度提升,使路由器整体的效能提升了3~20倍。此外,CPU除了能在同一时间分散处理联机外,也能维持封包最重要的顺序性,不至于让网络传输的数据秩序紊乱。用双核取代单核,有了更加强大的效能,企业内网数据转发更快、可增加更多的应用与服务、扩展更大的网络规模,同时,更强的效能意味著设备的抗攻击能力更强,使企业网络在更加安全的环境下高效的运转,全面提升企业网络效能。

  • QnoKey外点连接快速安全:卡酷公司外点所使用的QnoKey智能VPN连接钥匙,U盘的灵巧外型设计,便于随身携带。内建加密型芯片、随插即用界面,使用方便且安全更具保障。配合免费附赠的用户端联机软件,输入密码即可快速建立VPN联机,可实现简易便携、安全且低成本的VPN联机方式。还支持有效时间、遗失保护、使用后清除暂存数据等安全措施,安全更上层楼。

  • 多项远端服务实现应用共用:SLL005提供网络服务、微软终端服务、远端桌面、在线网络邻居、VPN安全隧道五种服务,方便用户远端办公与信息存取。如业务人员在外地需要应用微软终端,不需要安装该软件即可登入远端随时应用。还可远端登录自己办公桌的计算机桌面,存取资源,让在外办公有如在办公室一样轻松自在。

  • VPN Hub 分点间也能互连互通:通过VPN网络可实现总部与外点互通互连之外,还可运用VPN Hub的功能,可以让各分点之间,通过总部中心端的转发,实现分点间彼此的互联互通,不需建立独自的联机,有效降低成本。VPN Hub功能,帮助公司各分点均可在第一时间掌握各点的相关信息,以方便业务、销售、市场、行政等相互支持,避免发生信息孤岛的状况,从而提升公司管理效率与客户服务的质量。

  • 内建防火墙保证内外网安全:现在的网络信息包罗万象,随之也带来诸多的病毒攻击,危害到公司宽带与VPN网络影响用户的正常使用,甚至威胁到公司各种服务器系统。SSL005内建强效防火墙,主动式封包检测功能,可拒绝或阻挡非标准通信协议的联机要求。支持数据包双向过滤,有效防止冲击波、木马病毒及常见的DoS攻击。对于一直让人头疼的ARP攻击具备较高的防御能力,支持智能型双向ARP绑定功能,在路由器端自动将内网IP统一列表并绑定,同时用户端可通过侠诺独家网页式绑定技术,上网前ARP单键自动绑定,大幅度简化设置流程,有效解决无法一一全面绑定问题。在有效防止病毒的同时,也方便对每台机器进行管理,使得公司的网络能够轻松健康运作。

  • 带宽管理 保证VPN带宽与优先级:公司外点随时随地需要通过VPN联网,调用公司总部数据、查询即时的业务信息等,因此稳定、快速的VPN联机质量就显得格外重要。侠诺SSL005,具有指定路由功能,可保障VPN使用带宽与优先级,进一步稳定VPN连机质量。另外在带宽利用率上, VPN防火墙的智能QoS轻松实现高峰与低峰时间,享受不同大小的带宽服务,并可设置服务优先顺序,达成弹性的带宽管理,也成就了带宽使用率最佳化的表现,从而有效保证VPN带宽。

  • VPN心跳功能保障网络稳定性:针对VPN不稳定的状况,侠诺SSL产品还支持“VPN心跳”(VPN Heart Beat)功能,可俭测各条VPN 流量状态,并视俭测状态来决定VPN联机是否重连,进一步确保VPN的稳定性。该功能兼具成本考虑,可以提供企业在补强VPN设备环境时,不需要因为VPN稳定性不足而导致全面更换设备。

  • 一对一NAT解决多公网IP应用:由于北京卡酷全卡通公司有多个公网IP位址,希望这些公网IP长期为特殊的计算器所使用,不想更动这些公网IP。SSL005所支持的一对一NAT功能,可将固定IP直接对应到内网虚拟IP计算机,作为应用服务器使用,可有效解决多个公网IP使用这个棘手的问题。

  • 简易系统管理节省人力成本:SSL005采用全中文化配置及管理界面,所有设定参数与组态清楚明确、简单易懂,轻松完成网络设置。还支持强大的系统日志功能,可通过对日志管理和查找,即时监控系统状态及内外流量,进而作对应的配置,确保内网运作无误。操作灵活方便,实用性强,减轻工作量的同时,也节省了不少时间。

应用拓展

  • 由于侠诺产品均具有多WAN口,如以后企业接入多线路,在提供线路备援的同时,也为带宽增加提供了扩展升级条件,保障了客户的投资。

  • 多WAN口的设计,也提供了VPN带宽保证的功能。侠诺VPN系列可通过端口绑定,将VPN所有应用服务绑定在指定的端口,让一般上网的应用服务只能从VPN指定之外的端口进出,而不能占用VPN指定端口的带宽,实现一般上网与VPN分流的目的,进一步保障了VPN连机的优先级与稳定度。

  • 多WAN口设计可连接多条线路,以取代带宽升级,例如以多条ADSL取代光纤,费用节省又可弹性运用;

  • 可接入不同ISP线路,通过侠诺三代策略路由,自动判别对外网络数据包,分流电信网通线路,确保联机反应快速,可解决跨网瓶颈问题。

  • 扩张外点可使用SSL VPN接入,只需具备流览器,输入用户名、密码和IP就可快速联机。

  • 后续成本投入允许,可配置双机热备援,确保网络永畅不掉线。双机热备援(HA)功能,允许两台相同的侠诺路由器设备互为备援,来达到广域网联机环境最佳的容错性。当用户网络的其中一台路由器出现死机、损坏等情况时,另一台会自动调整并取代主机的职务,保持内外网络永续通畅。此外,这两台路由器也可同时运行,以分担网络的流量负载,让网络更加轻松更加高效的发挥作用,达到网络的可持续运行。

  • 搭配镜像端口可使用QnoSniff软件全方位监控内网上网行为与系统资源。

效果评测

北京卡酷全卡通公司通过SSL005组建VPN网络后,运行基本稳定,有效的确保了内网与VPN网络的稳定性和流畅性,实现了企业安全便利的远端接入与管理,受到公司同事的好评。后续公司还会不断扩展,Qno侠诺VPN解决方案可有效解决VPN外点增加带来的管理、成本等问题,加上侠诺良好的售后技术支持,可以说是为北京卡酷全卡通的发展提供了一个最佳的VPN信息共用网络平台。