遠程移動辦公系統(tǒng)三步走
2003/06/24
傳統(tǒng)的移動辦公環(huán)境還存在著許多未能解決的問題。今天企業(yè)所追求的是真正的移動辦公環(huán)境,尤其是經(jīng)歷了一些突如其來的天災(zāi)人禍,使企業(yè)真正意識到移動辦公的必要性。以下我們從技術(shù)的角度去分析,如何實現(xiàn)真正的遠程/移動辦公系統(tǒng):
圖一 構(gòu)建遠程/移動辦公環(huán)境步驟1采用IP-VPN構(gòu)成私有專網(wǎng)增進數(shù)據(jù)通信業(yè)務(wù)
Contivity IPSEC VPN 可以用來安全連接企業(yè)數(shù)據(jù)中心與企業(yè)的分支機構(gòu),分支機構(gòu)與數(shù)據(jù)中心的數(shù)據(jù)交流被 Contivity
IPSEC VPN 安全保護,使企業(yè)得以構(gòu)建在公共網(wǎng)絡(luò)平臺上,成為一個安全的虛擬企業(yè)實體,如圖一所示。
企業(yè)總部/數(shù)據(jù)中心基本采用DDN專線或租用以太網(wǎng)鏈路連接到本地服務(wù)提供商(ISP),此時Contivity (Contivity 4600/5000)獲得固定的合法IP地址,大型遠程分支機構(gòu)同樣可以采用DDN專線的方式連接到本地服務(wù)提供商(ISP),此時分部的Contivity(Contivity
2700/1700)同樣獲得固定的合法IP地址,這樣兩點間可以方便地通過IPSEC VPN建立起安全隧道,有的小型分支機構(gòu)可能租用ADSL/xDSL鏈路,此時Contivity(Contivity
1000) 可能獲得動態(tài)的合法IP地址,這種小型分支機構(gòu)采用非對稱分支隧道(ABOT)的方式連接到企業(yè)總部/數(shù)據(jù)中心,實現(xiàn)安全數(shù)據(jù)交換。有些SOHO型的遠程分支機構(gòu)可能坐落在網(wǎng)絡(luò)最邊緣的位置,此時Contivity(Contivity
600/1000/100) 可能獲得動態(tài)的非法IP地址,因此該遠程分支機構(gòu)向企業(yè)總部/數(shù)據(jù)中心連接隧道時,必須經(jīng)過網(wǎng)絡(luò)地址的轉(zhuǎn)換(NAT),要實現(xiàn)IPSEC
VPN 的網(wǎng)絡(luò)地址轉(zhuǎn)換并不是簡單的事情,涉及到相當?shù)募夹g(shù)難點,而北電網(wǎng)絡(luò)Contivity 解決了該問題,使得一個虛擬的企業(yè)實體可以不受地域的限制而延伸到網(wǎng)絡(luò)的最邊緣。
一般情況下,IPSEC VPN的網(wǎng)絡(luò)依靠靜態(tài)的安全聯(lián)盟( Security Association )實現(xiàn)靜態(tài)路由選擇,如果企業(yè)的規(guī)模不斷擴張,靜態(tài)路由的可擴展性受到了限制,要讓動態(tài)路由直接運行在IPSEC
VPN隧道上并不是輕而易舉的事,北電網(wǎng)絡(luò)Contivity 采用了SRT(Secure Routing Technology) 技術(shù)解決了該問題。SRT是一種軟件構(gòu)架,是所有Contivity
IP業(yè)務(wù)的基礎(chǔ)。它在設(shè)計上將安全性內(nèi)置到所有Contivity操作組件中。安全路由選擇(SRT)支持動態(tài)路由協(xié)議直接承載在IPsec隧道上的。傳統(tǒng)的路由器以及許多VPN/防火墻設(shè)備經(jīng)常需要為每組IP地址對提供單獨的加密隧道或只允許在這些隧道上實現(xiàn)靜態(tài)路由,為此必須人工配置可達子網(wǎng)地址。
圖二 構(gòu)建遠程/移動辦公環(huán)境步驟1通過Split Tunneling對因特網(wǎng)的訪問
遠程/移動辦公室用戶對因特網(wǎng)的訪問可以采取兩種方式,1、所有遠程辦公室及遠程移動用戶通過企業(yè)總部/數(shù)據(jù)中心統(tǒng)一訪問因特網(wǎng),該方式的優(yōu)點在于可以統(tǒng)一控制所有用戶對因特網(wǎng)的訪問,缺點是所有對因特網(wǎng)的訪問必須流經(jīng)IPSEC
隧道及企業(yè)中心,加重了網(wǎng)絡(luò)的負擔(dān)。2、通過Contivity 的Split Tunneling 的機制,使遠程/移動辦公室用戶及遠程移動用戶可以不經(jīng)過IPSEC
隧道,直接在本地訪問因特網(wǎng),如圖二示,該方式的優(yōu)點在于各分支及用戶對因特網(wǎng)的訪問不增加企業(yè)骨干網(wǎng)絡(luò)的負擔(dān),缺點是不容易對因特網(wǎng)的訪問實現(xiàn)集中控制。在采用方式2(Split
Tunneling)訪問因特網(wǎng)時,各遠程/移動辦公室的Contivity必須加載防火墻許可證,以攔截來自因特網(wǎng)的攻擊,而在移動用戶的個人電腦上建議加載個人防火墻系統(tǒng)(如Sygate),以確保網(wǎng)絡(luò)安全。
2,保證遠程/移動辦公的可移動性
以上的解決方案我們看到,企業(yè)的數(shù)據(jù)與話音處于分離的網(wǎng)絡(luò)環(huán)境,從數(shù)據(jù)通信的角度看,已完全實現(xiàn)了移動辦公的目標,可以作為企業(yè)轉(zhuǎn)向移動辦公的第一步。要實現(xiàn)完全的移動辦公環(huán)境,還必須實現(xiàn)話音的移動性,即讓員工的固話(分機)隨之而移動,保證企業(yè)業(yè)務(wù)的連續(xù)性,如圖三所示。
在企業(yè)網(wǎng)上加載北電網(wǎng)絡(luò)話音設(shè)備(BCM,CSE1K或ITG/M1),再配合上北電網(wǎng)絡(luò)的IP電話i2002/i2004,或在移動用戶的PC上安裝i2050
軟體電話,則可實現(xiàn)員工的固話號碼(分機)隨員工的移動而移動,無論員工身處何方(在異地辦公室或出差在外),都可用統(tǒng)一的分機號碼聯(lián)系該員工,保證業(yè)務(wù)的連續(xù)性。而傳統(tǒng)的PSTN話音網(wǎng)絡(luò)仍可作為企業(yè)外部的聯(lián)系方式,或作為企業(yè)內(nèi)部的話音備份鏈路。
北電網(wǎng)絡(luò)的優(yōu)勢
北電網(wǎng)絡(luò)采用領(lǐng)先的技術(shù),解決了在IPSEC VPN 上實現(xiàn)動態(tài)路由及NAT的問題,為企業(yè)利用IPSEC VPN建網(wǎng),實現(xiàn)遠程/移動辦公掃除了一切障礙。讓IPSEC
VPN 的建立通向網(wǎng)絡(luò)邊際,并讓動態(tài)路由協(xié)議跑在IPSEC VPN 內(nèi),保證了建網(wǎng)的靈活性。
圖三 構(gòu)建遠程/移動辦公環(huán)境步驟2VPN上VoIP話音集成提供完整的遠程/移動辦公
BCM、Succession1K或ITG/M1語音服務(wù)器,及i2002/i2004/i2050 IP電話是業(yè)界領(lǐng)先的VOIP產(chǎn)品,使企業(yè)的數(shù)據(jù)與話音融為一體,并實現(xiàn)了話音的可移動性,使員工無論在何時何地,均可通過其分機號互相溝通,實現(xiàn)真正的移動辦公。語音及數(shù)據(jù)均承載在IPSEC
VPN上,保證了企業(yè)通信的私密性。
WLAN2200 是北電網(wǎng)絡(luò)無線局域網(wǎng)產(chǎn)品,實現(xiàn)了企業(yè)園區(qū)內(nèi)用戶辦公的可移動性。
圖四 構(gòu)建遠程/移動辦公環(huán)境步驟3VPN連接無線局域網(wǎng)提供移動即時辦公連接
北電網(wǎng)絡(luò)為企業(yè)實現(xiàn)真正的移動辦公提供了全面的解決方案,使企業(yè)無論在何時何地均能保證業(yè)務(wù)的移動性;提高員工的工作效率;加速企業(yè)的響應(yīng)能力;擴大企業(yè)業(yè)務(wù)覆蓋范圍;降低運營成本以提高競爭力;提供業(yè)務(wù)服務(wù)的靈活性,
最終使網(wǎng)絡(luò)連接更多的員工,企業(yè)獲得更大的產(chǎn)出。
賽迪網(wǎng) 中國信息化(industry.ccidnet.com)
| 北電城域以太網(wǎng)業(yè)務(wù)待買家 Ciena或中標 2009-09-28 |
| 北電將拍賣電信部門軟件資產(chǎn) 2009-09-22 |
| 北電黃彥文:重組對客戶來說是一個好消息 2009-09-21 |
| 北電向Avaya出售企業(yè)解決方案業(yè)務(wù)的協(xié)議獲美、加法院批準 2009-09-17 |
| 北電全新統(tǒng)一通信 深挖中小企業(yè) 2009-09-15 |