Qno侠诺中小型企业ERP远程接入方案

　　远程接入服务的普及

　　随着企业业务的扩展，分支机构不断增多，包括渠道、合作伙伴、远程或移动办公的需求在不断的增加。一个企业不同的营运点如何能够及时准确的获得所需的资料信息，是企业竞争力的体现，这一点越来越重要。

　　ERP被认为是解决以上问题的主要工具。随着国内一批知名企业的ERP成功实施和应用， ERP实施为企业带来的先进管理思想正在被各个同行企业所学习和效仿。一些过去被认为是ERP所遗忘的角落的中小型企业，也开始纷纷引入ERP来帮助自身的企业信息化管理改革。应用ERP的过程中，企业不同营运点之间的数据例如财务系统、库存系统、订单系统等信息的同步也非常关键。这就存在着如何建立远程接入的问题。

　　企业在选择ERP远程接入技术时，第一个要考虑问题就是ERP应用需求的带宽， ERP通常有两种架构:CS(client/server或客户/服务器架构)和BS(browse/server或浏览器/服务器架构)，以下分别说明:

　　l 客户/服务器架构一般所需带宽较大，在这种模式下客户端和服务器之间不一定使用TCP/IP协议，链路所需带宽通常在100K~500Kbps范围，CS架构往往从局域网角度开发实际上若没作优化，所需带宽可能大到3-5Mbps。客户端需要安装专用的客户端软件，造成管理上的麻烦。C/S的优点是能充分发挥客户端PC的处理能力，很多工作可以在客户端处理后再提交给服务器，这样做的优点就是服务器端负担轻，响应速度快。

　　l 浏览器/服务器架构从互联网的角度设计，客户端和服务器之间使用TCP/IP协议，链路所需带宽相对较小，通常在10K~100Kbps范围。客户端只要安装浏览器(Browser)即可，B/S最大的优点就是可以在任何地方进行操作而不用安装专门的软件，只要有一台能上网的电脑就能使用。客户端只负责数据输入，数据处理都在服务器端进行，客户端几乎不需要维护管理方便。适用于互联网远程应用。

　　实际上，以上提供的数值为一般化数值，因不同软件的实现方式不同而会有不同。对于想要了解的用户，最快的方式就是自行量测。用户可以使用带宽测量软件实际测量使用ERP的带宽需求，用户可从互联网上下载免费的NetMeter软件，网址为http://readerror.gmxhome.de/。用户在测量ERP软件的网络流量时，应关闭其它所有网络应用程序，包括实时通讯、有网络功能的软件等，才会准确。而在量测时，不同的动作都必须量测，以得到较完全的数值，传输的上行下载方向也是很重要的。根据Qno侠诺工程师的经验，往往受到限制的一端是服务器的上行线路，因为必须因应多点同时大量小载的要求。

　　各种远程接入方案

　　企业不同营运点之间的连接方式主要可分为专有数据传输、VPN、及终端机服务三种，以下分别介绍之:

　　1. DDN是Digital Data Network的缩写形式，意即数字数据网。它是利用数字信道提供永久或半永久电路，为用户提供专用的数字数据点对点传输通道，也可以为用户提供接入到互联网的服务。DDN特点为质量稳定，物理线路可以使用光纤，故障率低，数字信道传输质量好，可提供高速带宽业务，数据传输速率高达2Mbps。由于可靠性高以往企业大多选择它，因为DDN通道之间是完全隔离的，因此它具有很好的安全性。但随着企业分布异地的机构越来越多，全部采用DDN接入方案的建设成本非常的高，这是DDN的一个主要的缺点。对于经费有限的中小型企业更是不适用。

　　2. VPN是Virtual Private Network的缩写，是指在公共的互连网络中建立私有专用网络，也称为“虚拟专用网”，因为数据被加密后仍然在公共网络中传播，而不是真正在物理上隔离的专用网。由于使用公网传输，与专线的费用相比VPN的价格低廉，可有效的为企业节约成本。VPN具有安全、灵活、以及可扩展性强等特点，能充分满足企业分支机构、移动办公安全通信的需求。近几年来企业逐渐趋向采用比较新的VPN技术作为远程访问和网络互联的解决方案。

　　常见VPN有三种协议:PPTP、IPSec和SSL，下面简单说明一下它们之间的差异:

　　l PPTP协议是微软公司提出来的，PPTP已被嵌入到微软的

　　l IPSec是IETF支持的标准之一，它在第三层即IP层对数据进行加密。可以对终端站点间所有的传输数据进行保护，而不管是哪类网络应用。它能够在不同局域网之间以及远程客户端与中心节点之间建立安全的传输通道，因此应用较广。需要强调的是:由于VPN环境中用户数据在被加密后仍然在公网上传输，因此加密技术非常重要，它直接影响到用户数据的安全。而IPSec是在这方面作的比较好的一种技术。IPSec VPN的主要缺点在于配置复杂，并且客户端需要安装复杂的软件，而且当用户数量增加时，VPN的管理难度将呈几何级数增长。

　　l SSL属于应用层协议是近些年发展起来的协议，它的优势主要集中在VPN客户端的部署和管理上，它无需安装客户端，主要是由于浏览器内嵌了SSL协议，也就是说是基于B/S结构的业务时，可以直接使用浏览器完成SSL的VPN建立;但对于非web页面的文件访问，往往要借助于应用转换。有些SSL VPN产品所能支持的应用转换器和代理的数量非常少，而有些能很好地支持FTP、网络文件系统和微软文件服务器的应用转换。 但SSL VPN并不能真正形成局域网对局域网的应用，而是针对用户应用层面的安全防护。

　　3. Terminal Service是基于RDP(远程桌面协议)的远程控制软件，他的速度快，操作方便，作为远程接入所需带宽较小，比较适合用来进行常规操作。但是，Terminal Service使用的是虚拟桌面，再加上编程的问题，当使用Terminal Service进行安装软件或重起服务器等与真实桌面交互的操作时，往往会出现意想不到的结果，而且每个用户相对的成本是较高的，对于中小型企业是一个负担。

　　从以上的说明，我们可以了解作为远程接入要从几个不同的方面考虑:所提供的连接是否安全、配置管理是否方便、扩展是否有弹性、及构建成本高低是否经济。

　　Qno SmartLink VPN远程接入方案

　　对于中小型企业来说，由于没有网管，所以网络配置简易、好管理是一大要求。再者传送信息的安全，也是相当重要的，以免敏感信息外泄。随着企业的发展，外点的增加也要求扩展的方便。其实以上的功能，只要购买高价位的远程接入方案或以大带宽的DDN专线，都可以达到。但对于中小企业而言，业主往往量入为出，在费用方面多有控制，无法购买高价的产品。

　　因此，侠诺科技针对中国广大的中小型企业的需要，推出诉求简易配置、多重安全、扩展弹性、再加上构建成本合理的VPN功能，以满足中小型企业的远程接入需要。SmartLink VPN架构上组合了IPSec及SSL技术，安全性高。设置方式极大地简化了IPSec的配置的过程，稍具网络知识的用户就可以部署。该设计曾荣获IT168网站颁发卓越技术奖优秀技术奖及中计报2005年编辑选择奖，以下我们来看看SmartLink适用于中小型企业远程接入的特性:

　　多WAN网络接入及VPN线路备份:Qno SmartLink VPN产品线一律支持二或四个WAN，通过增加WAN口数量，增加连网带宽及应用弹性。增加WAN口数量可让企业对外联机因应业务或运行而成长， 而且多WAN口连网都提供负载均衡的功能， 可自动将内部使用者联机要求，自动分配于不同WAN口，以保证每个使用者上网联机的流畅度。而VPN线路备份支持总部及分支机构的VPN联机，一旦发生掉线，短时间自动由其它WAN口重建，使用者或分支机构只会感到短暂中断，就可继续工作。

　　方便的VPN配置:IPSec虽然公认是最值得信赖的VPN协议，但同时也是出名的难以设定。侠诺的技术支持经验发现在实际操作上，往往发生分支机构IP给定情况复杂，例如使用虚拟IP，原本设定无法穿透，而必须到现场修改的情况。 Qno SmartLink设定将参数简化到三个:总部服务器IP、使用者名、及密码，只要进行简单的输入就能建立IPSec设定，也能轻易穿透不同的IP环境。

　　图例:SmartLink快速IPSec设定功能，只要三个参数，就可取代传统IPSec设定的二十余个参数，可节省构建VPN的时间及管理。

　　动态域名解析及域名解析备份:国内的情况，对于固定IP收取很高的费用。对于想要节省经费的企业，就必须因应动态IP基础，建立VPN联机。SmartLink VPN可经由动态DNS服务支持动态IP环境，可支持3322.org， DynDNS， DtDNS的服务设定。另外，服务器端每个WAN口并可支持多个不同动态DNS服务，并互为备份。也就是每个接口均可同时设定3322.org， DynDNS， DDNS其中二个以上的服务，万一当某一个DDNS的服务无法运作时，另一个DDNS的服务就可以替补上来，提供域名解析的服务。

　　VPN中央控管管理:SmartLink VPN系列产品提供集中的管理接口，网管人员只要在总部QVM1000的管理接口，就可一次查看最多三百个VPN联机的情况，不必一一地检查联机的状况。管理人员也可点总部VPN服务器上的图示，直接进入外点路由器的管理接口，直接通过VPN进行设定管理，安全又有效率。

　　强大带宽管理功能:侠诺专有的带宽管理QoS功能，可支持各种网管需要的功能。在防制带宽滥用，可有效阻挡BT、点点通、串流、Skype、msn或下载应用。在带宽保留方面，可针对VoIP或ERP应用，特别保留带宽，以保证重要应用的带宽不受到一般用户平日上网应用的影响。这些对于优化远程接入服务质量，都发挥了重要的作用。

　　侠诺SmartLink VPN的特点，对于制造业、连锁超市、连锁企业、物流业等多点联机的环境，都受到欢迎，以下介绍实际的产品及组网要点。

　　SmartLink VPN功能产品及组网方式

　　Qno侠诺的QVM系列产品线均内建SmartLink VPN功能，为针对中小型企业所设计的专业远程接入方案，内建多WAN负载均衡及强大防火强功能，属于全功能的宽带VPN路由器网关产品。QVM系列产品线包括可支持四WAN VPN的QVM1000、支持二WAN VPN的QVM330及二WAN VPN的QVM100。其中QVM1000及QVM330具备VPN服务器功能，而QVM100只具备VPN终端的功能。本系列产品均可支持IPSec， PPTP及Qno侠诺特有的SmartLink VPN功能。

　　以下针对远程接入网络大小，介绍不同组网方案:

　　适用于小规模的远程接入网络:最多支持外点五十个

　　成本低是中小企业主选择VPN的最主要原因。70%的被调查企业表示，VPN不仅在公用网上实现了专网的安全应用，而且成本低。很多需要连接不同地点办公室的企业选用VPN的主要目的就是希望节省成本。

　　在本方案所提出来的产品为QVM330及QVM100。QVM330主要应用于中心端，应用于外点的QVM100。QVM330及QVM100是平衡访问自由度和安全性的出色解决方案，“无客户端软件”的技术使其易于使用和维护。对于入门的中小企业客户，不失为一个经济又能符合未来成长的整体方案。组网的特点为:

　　l 广域网:中心端:外接二条ADSL联机，一条用作VPN用，另一条用作宽带接入(并可作VPN接入备份)。外点则可依需要接一条给VPN联机用，或再接第二条作宽带接入用。

　　l 防火墙:使用NAT提供基本防护、计算机装设防毒软件。

　　l VPN:使用SmartLink VPN配置，建立联机方便快速。

　　l 管理:使用Web界面管理，容易方便。

　　很多网管在构建VPN时，接到的使命都是先找几个点试行，看成效如何再决定是否继续投资。但是在整体社会情势发展的情况下，中小企业往往需要不断成长，此时旧的设备是否能继续改变组态使用，或是需要废弃不用，就显得很重要。采用QVM330及QVM100的用户，在需要成长时，可在总部加购QVM1000，将QVM330移到较大的分支机构即可。

　　适用于较大规模的远程接入网络:最多支持外点三百个。在这种情况，建议组网在中心采用QVM1000，而在外点采用QVM330。QVM1000采用强大的Intel IXP425系列网络处理器，足以支持较大容量的组网需求。组网的特点为:

　　l 中心端:外接一条光纤、一条ADSL联机，一条用作VPN用，另一条用作宽带接入(并可作VPN接入备份)。外点如有同时使用电信及网通线路时，则需分别让各外点从电信及网通线路建立VPN，以避免VPN速度慢。

　　l 防火墙:启动防火墙防制SPI， DoS， ActiveX， Java， Cookie

　　l VPN:使用SmartLink VPN配置，建立联机方便快速。或可使用IPSec与现有VPN产品配合。

　　l 管理:设定每个用户最大带宽。依政策设定定时开放或禁止特定应用上网服务，防止员工上网影响工作。重要服务器或领导IP设定IP/MAC绑定，防止权限盗用。设定日志功能或发信提醒功能。

　　l 成长:外点可依人数多少加购QVM100/QVM330扩充，最多可支持300个点。

　　结语

　　随着互联网技术的发展，扩展信息交流的途径、增加信息交换速度已成为企业、商业活动中不可忽视的任务之一，VPN技术的出现，不仅大大节省广域网的建设和运行维护费用，而且增强了网络的可靠性和安全性。越来越多的情况表明，VPN已成为企业应用ERP营运点之间联网的最佳选择，VPN技术将会得到迅猛发展。

　　但同时，VPN技术也给技术人员带来新的挑战，IPSec复杂的安装配置和管理就是最突出的问题，如果不加以解决，就会给VPN的建立、维护和管理带来困难，从而直接影响VPN网络的实际应用效果。

　　侠诺科技针对中小型企业远程接入需要，推出的SmartLink VPN远程接入方案能够解决这个问题，使用它就可以轻易地建立IPSec VPN连接，确保传输数据的安全，并有效地简化网管人员配置、管理和维护VPN网络的工作，节约时间也降低了维护成本。不管对于市场应用及产品功能，都值得从事企业网络构建的专业人员了解。