"超級連接VPN+Krun"方案簡介:
·全面發布C/S和B/S結構的應用
·客戶端以Web瀏覽器方式訪問
·提高分支用戶接入速度,最高效率利用現有網絡帶寬
·將遠程打印和磁盤映射到本地
·確保用戶只訪問授權使用的應用
·集中管理用戶、服務器和應用
·對用戶和應用使用情況詳細統計
·使配置較低硬件運行高端軟件節約硬件投入
·節約軟件購入成本讓正版軟件全球使用
·節約軟件實施成本
一、公司概況
某公司是總部在深圳,在北京、上海、廣州、香港等地都有分公司,為了更好管理公司的各種業務財務數據,公司采用了金蝶K3、進銷存、OA應用系統,公司希望將外地的各分公司的數據實時統計,統一管理,但由于各分支機構在各不同地區,因此公司總部無法實時將每個分公司的數據統一更加無法做到對各分支節點的財務數據進行有效及時的管理;公司有大量的在外出差移動辦公用戶需要隨時隨地的訪問公司總部的應用系統,將一些情況統計到公司總部;老總經常外出,需要隨時訪問這些應用系統了解公司的業務狀況;所以公司尋求一種解決方案可以實現將各地區的分支機構以及移動辦公人員安全實時連入公司總部,使用總部的K3、進銷存、OA系統,對公司業務數據進行統一的管理。
二、實施背景
目前市面上能夠解決類似客戶這樣遠程訪問的產品和方案很多,出于經濟易用的角度考慮,客戶先后采用了幾種方式來實現外地分公司遠程訪問總部數據,但隨著使用的深入和公司規模的不斷擴大,一些問題也都逐漸凸顯了出來:
階段一:動態域名解析+端口映射
由于采用專線和固定IP的方式投入成本比較高,客戶在現有的ADSL寬帶上網方式(動態IP)基礎上,結合動態域名解析+端口映射的方式解決分公司遠程訪問K3 數據庫的問題,在出口的路由器上做端口映射,映射到K3服務器上,出差人員和外地分公司隨時隨地接入總部K3的數據庫進行操作。但是這種方式基本上把整個K3服務器暴露在公網上, 這種傳統的數據傳輸方法對于現在網絡上的黑客技術的防御能力是相當有限的,根本沒有安全性可言,安全性比較令人擔心;另外動態域名解析尋址方式的不穩定性,導致分公司經常無法正常穩定的訪問總部數據,于是客戶開始尋找一種安全穩定的互聯方式。
階段二:硬件VPN方式
從安全性和經濟性考慮,客戶采購了一款市面上低價位的硬件VPN的產品,利用VPN搭建的虛擬專用隧道安全傳輸K3數據, 安全的問題隨之解決了,但是隨著公司的不斷壯大,數據傳輸交互的頻繁、用戶的增多,上馬新的應用系統……,目前的VPN方式已不能滿足需求:
1、 穩定性:VPN雖然安全,但由于網絡帶寬窄,環境不穩定等因素,再加上普通VPN本身的加密使用數據傳輸變慢等原因,很難做一些大數據量的功能使用(特別是K3這類的大型數據庫),而且經常斷線,操作起來變得異常困難,最終導致工作效率很低甚至根本無法使用。
2、 速度:一般遠程接入解決方案只提供"接入"的網絡功能, 在應用數據傳輸上卻有著天壤之別!,一般遠程訪問是用戶在自己的筆記本上安裝K3的客戶端,然后遠程接入辦公,訪問K3服務器。這時應用層的數據是從K3的服務器通過網絡傳向K3的客戶端,問題也就在這里,由于某些業務數據量很大,經常擁塞住網絡,而基于TCP/IP的網絡本身具有數據流量管理,大量的數據很可能被丟棄。.由于大量的數據量的傳輸,很可能造成網絡癱瘓,甚至連訪問WEB都不行!
3、 移動的支持:一般筆記本是無線上網的,無線上網理論上號稱可以達到幾百K,但實
際往由于線路接入環境不同相差很大,一般是一百K左右,甚至幾十K,幾K.這樣,由于大量的數據量的傳輸,很可能造成網絡癱瘓,甚至連訪問WEB都不行!因此,這樣的方案很容易出現問題.不能充分發揮VPN的特長.也不適合遠程接入辦公的需求。
4、 集中分類管理接入用戶:公司上馬了新的應用系統也需要遠程投入使用,對于接入用戶訪問權限的管理成了一個問題,公司的各應用系統的使用是有權限要求的,比如用戶U1只能訪問K3系統,用戶U2只能訪問A3系統,如何保證遠程用戶接入后安全的訪問各種應用系統也成了急待解決的問題。
5、 簡單易用:對于C/S結構的軟件,需要在遠程接入的PC上安裝客戶端,使得操作和維護都比較復雜。
因此,這樣的方案很容易出現問題.不能充分發揮VPN的特長.也不適合遠程接入辦公的需求. 客戶故尋需求一種能夠實現K3等管理軟件高速穩定傳輸數據、簡單易用經濟、并且能夠集中分類管理遠程接入用戶的解決方案。
三、解決方案設計與實現
3.1解決方案
"超級連接VPN+KRun"方案基于現在Internet基礎,以低成本的接入方式即可實現各類應用系統的跨網段實施、文件共享、打印機共享、網絡鄰居、TELNET、信使消息、內網Web、FTP訪問、網絡電話、網絡視頻會議等功能。
本方案重點要解決的是在客戶現有網絡環境中,穩定、高速、安全、經濟的遠程互聯運行并且安全管理接入用戶使用應用系統的問題。在深圳總部內網一臺裝有windows 2000 server以上的服務器安裝"超級連接VPN"總部版同時架設KRun服務器,做為整個VPN網絡的管理中心,總部應用軟件數據庫服務器的網關指向安裝總部版機器;在各地分公司內網一臺裝有windows 2000的計算機上安裝"超級連接VPN"分支版軟件,網內其他機器的網關指向安裝分支版的機器,即可帶動整個局域網聯入深圳總部;在外出差人員和老總攜帶的筆記本上安裝Hlink移動版即可實現,分公司和在外出差人員的。具體的實施如下圖:
"超級連接VPN+KRUN"操作界面(通過方式Web登陸)
3.2"超級連接VPN+KRUN"方案優勢
1、安全性:"超級連接VPN"構建的互連平臺搭建后,所有的數據都在VPN構建的私網中傳輸,以改以往數據在公網傳輸的形式,結合"超級連接VPN"的硬件鑒權,時間、身份權限管理等功能安全性大有提高。
2、穩定性: "超級連接VPN+Krun"的組合方案,不僅解決了安全問題,而且對網速要求很低,,穩定性大大增強。而且客戶可以申請兩條ADSL線路,利用"超級連接VPN"的雙線路,將線路疊加解決帶寬不夠,數據阻塞的問題,并且在某一條線路不穩定時可以自動切換到正常線路。
3、速度:"超級連接VPN+Krun"的組合方案恰恰是抓住了這個關鍵,采用"統一數據傳輸"(UDT,Unification Data Transmission)的網絡新技術,使得傳輸性能大大提高! 統一數據傳輸是將任何業務數據都統一成標準終端數據的技術。比如,前面說了K3業務數據,大量的業務數據不再需要通過互聯網的漫漫長途,只要在本地傳送就可以了。UDT將會所有數據統一成終端控制數據在VPN里邊傳輸。因此,無論是成千上萬條的記錄查詢,還是多用戶同時接入進行復雜的操作,對于UDT來講都沒有任何差別!因為所有的操作都是在K3服務器本地操作,與網速毫無關系。
4、遠程接入管理:Krun提出了訪問權限的概念,經過總部管理員配置KRun訪問權限,用戶可用"超級連接VPN"連接到公司總部,只能訪問發布在KRUN上的應用程序和文件而不是訪問到服務器的桌面,取而代之的是屬于自己權限的系統選項按鈕,因此,他只能訪問自己所屬系統,在KRun的環境下用戶沒有權利做其他的工作,使得服務器的安全性大大加強。.
5、C/S軟件WEB化訪問:現有應用程序即刻web化--對已發布應用程序提供基于瀏覽器的訪問,而不需要重寫或專門開發,將C/S結構訪問WEB化,客戶端無需安裝,大大減少了使用和維護量。
6、移動用戶:"超級連接VPN" 硬件客戶端,無需軟件安裝配置,即插即連,方便的解決的之前移動用戶數據統一管理的問題。
7、經濟性:與國外同類的解決方案相比,"超級連接VPN+KRun"實現效果相同,而且客戶的投入成本大大降低。
