遠(yuǎn)程移動辦公系統(tǒng)三步走
2003/06/24
傳統(tǒng)的移動辦公環(huán)境還存在著許多未能解決的問題�。今天企業(yè)所追求的是真正的移動辦公環(huán)境���,尤其是經(jīng)歷了一些突如其來的天災(zāi)人禍�����,使企業(yè)真正意識到移動辦公的必要性��。以下我們從技術(shù)的角度去分析����,如何實(shí)現(xiàn)真正的遠(yuǎn)程/移動辦公系統(tǒng):
遠(yuǎn)程/移動辦公的實(shí)現(xiàn)
1����,保證遠(yuǎn)程/移動辦公的安全性
傳統(tǒng)上通過調(diào)制解調(diào)器或?qū)S镁路連接互聯(lián)網(wǎng)用戶的方式正逐漸被新興虛擬專用網(wǎng)(VPN)所代替��,VPN使用戶無論身處何方���,都可以隨時通過互聯(lián)網(wǎng)安全地通信。VPN的商業(yè)優(yōu)勢非常吸引人�,許多公司都開始制定自己的戰(zhàn)略,利用互聯(lián)網(wǎng)作為他們主要的傳輸媒介�����,甚至包括商業(yè)秘密數(shù)據(jù)的傳輸��。今天���,北電網(wǎng)絡(luò)提供的 Contivity 解決方案不僅使企業(yè)用戶可以建立各種類型的VPN����,而且還可以把這些VPN集成到融合話音和數(shù)據(jù)的網(wǎng)絡(luò)中���。在北電網(wǎng)絡(luò)看來�����,明天的VPN將發(fā)展成為高速����、安全的網(wǎng)絡(luò)����,它將在公共互聯(lián)網(wǎng)上安全融合所有業(yè)務(wù),包括數(shù)據(jù)�����、話音和視頻業(yè)務(wù)�����。
當(dāng)企業(yè)借助互聯(lián)網(wǎng)進(jìn)行商業(yè)活動時�����,都必須采取特殊的保護(hù)措施����,以保證重要信息在公共互聯(lián)網(wǎng)上傳輸時不會被泄露,而Contivity IPSEC VPN就是極好的選擇。IPSEC 有效地保證了數(shù)據(jù)的私密性(Confidentially)�,完整性(Integrity),鑒權(quán)(Authentication)和可查性(Non-Repudiation) ���,是目前極安全的虛擬專網(wǎng)技術(shù)��。
圖一 構(gòu)建遠(yuǎn)程/移動辦公環(huán)境步驟1采用IP-VPN構(gòu)成私有專網(wǎng)增進(jìn)數(shù)據(jù)通信業(yè)務(wù)
Contivity IPSEC VPN 可以用來安全連接企業(yè)數(shù)據(jù)中心與企業(yè)的分支機(jī)構(gòu)�,分支機(jī)構(gòu)與數(shù)據(jù)中心的數(shù)據(jù)交流被 Contivity
IPSEC VPN 安全保護(hù)��,使企業(yè)得以構(gòu)建在公共網(wǎng)絡(luò)平臺上��,成為一個安全的虛擬企業(yè)實(shí)體��,如圖一所示�����。
企業(yè)總部/數(shù)據(jù)中心基本采用DDN專線或租用以太網(wǎng)鏈路連接到本地服務(wù)提供商(ISP)����,此時Contivity (Contivity 4600/5000)獲得固定的合法IP地址,大型遠(yuǎn)程分支機(jī)構(gòu)同樣可以采用DDN專線的方式連接到本地服務(wù)提供商(ISP)�����,此時分部的Contivity(Contivity
2700/1700)同樣獲得固定的合法IP地址,這樣兩點(diǎn)間可以方便地通過IPSEC VPN建立起安全隧道�,有的小型分支機(jī)構(gòu)可能租用ADSL/xDSL鏈路,此時Contivity(Contivity
1000) 可能獲得動態(tài)的合法IP地址���,這種小型分支機(jī)構(gòu)采用非對稱分支隧道(ABOT)的方式連接到企業(yè)總部/數(shù)據(jù)中心��,實(shí)現(xiàn)安全數(shù)據(jù)交換��。有些SOHO型的遠(yuǎn)程分支機(jī)構(gòu)可能坐落在網(wǎng)絡(luò)最邊緣的位置�����,此時Contivity(Contivity
600/1000/100) 可能獲得動態(tài)的非法IP地址,因此該遠(yuǎn)程分支機(jī)構(gòu)向企業(yè)總部/數(shù)據(jù)中心連接隧道時��,必須經(jīng)過網(wǎng)絡(luò)地址的轉(zhuǎn)換(NAT)����,要實(shí)現(xiàn)IPSEC
VPN 的網(wǎng)絡(luò)地址轉(zhuǎn)換并不是簡單的事情,涉及到相當(dāng)?shù)募夹g(shù)難點(diǎn)��,而北電網(wǎng)絡(luò)Contivity 解決了該問題��,使得一個虛擬的企業(yè)實(shí)體可以不受地域的限制而延伸到網(wǎng)絡(luò)的最邊緣�����。
一般情況下,IPSEC VPN的網(wǎng)絡(luò)依靠靜態(tài)的安全聯(lián)盟( Security Association )實(shí)現(xiàn)靜態(tài)路由選擇��,如果企業(yè)的規(guī)模不斷擴(kuò)張�,靜態(tài)路由的可擴(kuò)展性受到了限制,要讓動態(tài)路由直接運(yùn)行在IPSEC
VPN隧道上并不是輕而易舉的事���,北電網(wǎng)絡(luò)Contivity 采用了SRT(Secure Routing Technology) 技術(shù)解決了該問題�。SRT是一種軟件構(gòu)架����,是所有Contivity
IP業(yè)務(wù)的基礎(chǔ)。它在設(shè)計(jì)上將安全性內(nèi)置到所有Contivity操作組件中�����。安全路由選擇(SRT)支持動態(tài)路由協(xié)議直接承載在IPsec隧道上的��。傳統(tǒng)的路由器以及許多VPN/防火墻設(shè)備經(jīng)常需要為每組IP地址對提供單獨(dú)的加密隧道或只允許在這些隧道上實(shí)現(xiàn)靜態(tài)路由����,為此必須人工配置可達(dá)子網(wǎng)地址。
圖二 構(gòu)建遠(yuǎn)程/移動辦公環(huán)境步驟1通過Split Tunneling對因特網(wǎng)的訪問
遠(yuǎn)程/移動辦公室用戶對因特網(wǎng)的訪問可以采取兩種方式��,1、所有遠(yuǎn)程辦公室及遠(yuǎn)程移動用戶通過企業(yè)總部/數(shù)據(jù)中心統(tǒng)一訪問因特網(wǎng)�,該方式的優(yōu)點(diǎn)在于可以統(tǒng)一控制所有用戶對因特網(wǎng)的訪問,缺點(diǎn)是所有對因特網(wǎng)的訪問必須流經(jīng)IPSEC
隧道及企業(yè)中心��,加重了網(wǎng)絡(luò)的負(fù)擔(dān)��。2�����、通過Contivity 的Split Tunneling 的機(jī)制��,使遠(yuǎn)程/移動辦公室用戶及遠(yuǎn)程移動用戶可以不經(jīng)過IPSEC
隧道�,直接在本地訪問因特網(wǎng),如圖二示����,該方式的優(yōu)點(diǎn)在于各分支及用戶對因特網(wǎng)的訪問不增加企業(yè)骨干網(wǎng)絡(luò)的負(fù)擔(dān)�,缺點(diǎn)是不容易對因特網(wǎng)的訪問實(shí)現(xiàn)集中控制。在采用方式2(Split
Tunneling)訪問因特網(wǎng)時���,各遠(yuǎn)程/移動辦公室的Contivity必須加載防火墻許可證�����,以攔截來自因特網(wǎng)的攻擊����,而在移動用戶的個人電腦上建議加載個人防火墻系統(tǒng)(如Sygate),以確保網(wǎng)絡(luò)安全。
2����,保證遠(yuǎn)程/移動辦公的可移動性
以上的解決方案我們看到,企業(yè)的數(shù)據(jù)與話音處于分離的網(wǎng)絡(luò)環(huán)境���,從數(shù)據(jù)通信的角度看��,已完全實(shí)現(xiàn)了移動辦公的目標(biāo)��,可以作為企業(yè)轉(zhuǎn)向移動辦公的第一步�。要實(shí)現(xiàn)完全的移動辦公環(huán)境�,還必須實(shí)現(xiàn)話音的移動性,即讓員工的固話(分機(jī))隨之而移動��,保證企業(yè)業(yè)務(wù)的連續(xù)性�,如圖三所示。
在企業(yè)網(wǎng)上加載北電網(wǎng)絡(luò)話音設(shè)備(BCM�����,CSE1K或ITG/M1),再配合上北電網(wǎng)絡(luò)的IP電話i2002/i2004����,或在移動用戶的PC上安裝i2050
軟體電話,則可實(shí)現(xiàn)員工的固話號碼(分機(jī))隨員工的移動而移動��,無論員工身處何方(在異地辦公室或出差在外)��,都可用統(tǒng)一的分機(jī)號碼聯(lián)系該員工�,保證業(yè)務(wù)的連續(xù)性。而傳統(tǒng)的PSTN話音網(wǎng)絡(luò)仍可作為企業(yè)外部的聯(lián)系方式��,或作為企業(yè)內(nèi)部的話音備份鏈路���。
北電網(wǎng)絡(luò)的優(yōu)勢
北電網(wǎng)絡(luò)采用領(lǐng)先的技術(shù)�����,解決了在IPSEC VPN 上實(shí)現(xiàn)動態(tài)路由及NAT的問題,為企業(yè)利用IPSEC VPN建網(wǎng)�����,實(shí)現(xiàn)遠(yuǎn)程/移動辦公掃除了一切障礙����。讓IPSEC
VPN 的建立通向網(wǎng)絡(luò)邊際�,并讓動態(tài)路由協(xié)議跑在IPSEC VPN 內(nèi)�����,保證了建網(wǎng)的靈活性�����。
圖三 構(gòu)建遠(yuǎn)程/移動辦公環(huán)境步驟2VPN上VoIP話音集成提供完整的遠(yuǎn)程/移動辦公
BCM��、Succession1K或ITG/M1語音服務(wù)器����,及i2002/i2004/i2050 IP電話是業(yè)界領(lǐng)先的VOIP產(chǎn)品,使企業(yè)的數(shù)據(jù)與話音融為一體�,并實(shí)現(xiàn)了話音的可移動性,使員工無論在何時何地����,均可通過其分機(jī)號互相溝通,實(shí)現(xiàn)真正的移動辦公���。語音及數(shù)據(jù)均承載在IPSEC
VPN上�,保證了企業(yè)通信的私密性。
WLAN2200 是北電網(wǎng)絡(luò)無線局域網(wǎng)產(chǎn)品�����,實(shí)現(xiàn)了企業(yè)園區(qū)內(nèi)用戶辦公的可移動性�。
圖四 構(gòu)建遠(yuǎn)程/移動辦公環(huán)境步驟3VPN連接無線局域網(wǎng)提供移動即時辦公連接
北電網(wǎng)絡(luò)為企業(yè)實(shí)現(xiàn)真正的移動辦公提供了全面的解決方案,使企業(yè)無論在何時何地均能保證業(yè)務(wù)的移動性�;提高員工的工作效率;加速企業(yè)的響應(yīng)能力��;擴(kuò)大企業(yè)業(yè)務(wù)覆蓋范圍���;降低運(yùn)營成本以提高競爭力��;提供業(yè)務(wù)服務(wù)的靈活性����,
最終使網(wǎng)絡(luò)連接更多的員工���,企業(yè)獲得更大的產(chǎn)出����。
賽迪網(wǎng) 中國信息化(industry.ccidnet.com)
相關(guān)鏈接: