遠程移動辦公系統(tǒng)三步走
2003/06/24
傳統(tǒng)的移動辦公環(huán)境還存在著許多未能解決的問題。今天企業(yè)所追求的是真正的移動辦公環(huán)境,尤其是經歷了一些突如其來的天災人禍�,使企業(yè)真正意識到移動辦公的必要性。以下我們從技術的角度去分析�,如何實現(xiàn)真正的遠程/移動辦公系統(tǒng):
遠程/移動辦公的實現(xiàn)
1,保證遠程/移動辦公的安全性
傳統(tǒng)上通過調制解調器或專用線路連接互聯(lián)網用戶的方式正逐漸被新興虛擬專用網(VPN)所代替���,VPN使用戶無論身處何方����,都可以隨時通過互聯(lián)網安全地通信�����。VPN的商業(yè)優(yōu)勢非常吸引人���,許多公司都開始制定自己的戰(zhàn)略��,利用互聯(lián)網作為他們主要的傳輸媒介�����,甚至包括商業(yè)秘密數據的傳輸�。今天����,北電網絡提供的 Contivity 解決方案不僅使企業(yè)用戶可以建立各種類型的VPN,而且還可以把這些VPN集成到融合話音和數據的網絡中����。在北電網絡看來�,明天的VPN將發(fā)展成為高速�、安全的網絡,它將在公共互聯(lián)網上安全融合所有業(yè)務�����,包括數據�、話音和視頻業(yè)務。
當企業(yè)借助互聯(lián)網進行商業(yè)活動時�����,都必須采取特殊的保護措施��,以保證重要信息在公共互聯(lián)網上傳輸時不會被泄露��,而Contivity IPSEC VPN就是極好的選擇�。IPSEC 有效地保證了數據的私密性(Confidentially)�����,完整性(Integrity)�����,鑒權(Authentication)和可查性(Non-Repudiation) ,是目前極安全的虛擬專網技術����。
圖一 構建遠程/移動辦公環(huán)境步驟1采用IP-VPN構成私有專網增進數據通信業(yè)務
Contivity IPSEC VPN 可以用來安全連接企業(yè)數據中心與企業(yè)的分支機構,分支機構與數據中心的數據交流被 Contivity
IPSEC VPN 安全保護����,使企業(yè)得以構建在公共網絡平臺上,成為一個安全的虛擬企業(yè)實體�,如圖一所示。
企業(yè)總部/數據中心基本采用DDN專線或租用以太網鏈路連接到本地服務提供商(ISP)��,此時Contivity (Contivity 4600/5000)獲得固定的合法IP地址��,大型遠程分支機構同樣可以采用DDN專線的方式連接到本地服務提供商(ISP)����,此時分部的Contivity(Contivity
2700/1700)同樣獲得固定的合法IP地址,這樣兩點間可以方便地通過IPSEC VPN建立起安全隧道���,有的小型分支機構可能租用ADSL/xDSL鏈路��,此時Contivity(Contivity
1000) 可能獲得動態(tài)的合法IP地址�����,這種小型分支機構采用非對稱分支隧道(ABOT)的方式連接到企業(yè)總部/數據中心����,實現(xiàn)安全數據交換。有些SOHO型的遠程分支機構可能坐落在網絡最邊緣的位置�,此時Contivity(Contivity
600/1000/100) 可能獲得動態(tài)的非法IP地址,因此該遠程分支機構向企業(yè)總部/數據中心連接隧道時�,必須經過網絡地址的轉換(NAT),要實現(xiàn)IPSEC
VPN 的網絡地址轉換并不是簡單的事情��,涉及到相當的技術難點���,而北電網絡Contivity 解決了該問題��,使得一個虛擬的企業(yè)實體可以不受地域的限制而延伸到網絡的最邊緣���。
一般情況下,IPSEC VPN的網絡依靠靜態(tài)的安全聯(lián)盟( Security Association )實現(xiàn)靜態(tài)路由選擇����,如果企業(yè)的規(guī)模不斷擴張�,靜態(tài)路由的可擴展性受到了限制,要讓動態(tài)路由直接運行在IPSEC
VPN隧道上并不是輕而易舉的事��,北電網絡Contivity 采用了SRT(Secure Routing Technology) 技術解決了該問題。SRT是一種軟件構架�����,是所有Contivity
IP業(yè)務的基礎�����。它在設計上將安全性內置到所有Contivity操作組件中��。安全路由選擇(SRT)支持動態(tài)路由協(xié)議直接承載在IPsec隧道上的����。傳統(tǒng)的路由器以及許多VPN/防火墻設備經常需要為每組IP地址對提供單獨的加密隧道或只允許在這些隧道上實現(xiàn)靜態(tài)路由,為此必須人工配置可達子網地址�。
圖二 構建遠程/移動辦公環(huán)境步驟1通過Split Tunneling對因特網的訪問
遠程/移動辦公室用戶對因特網的訪問可以采取兩種方式,1�、所有遠程辦公室及遠程移動用戶通過企業(yè)總部/數據中心統(tǒng)一訪問因特網,該方式的優(yōu)點在于可以統(tǒng)一控制所有用戶對因特網的訪問����,缺點是所有對因特網的訪問必須流經IPSEC
隧道及企業(yè)中心,加重了網絡的負擔���。2�����、通過Contivity 的Split Tunneling 的機制����,使遠程/移動辦公室用戶及遠程移動用戶可以不經過IPSEC
隧道,直接在本地訪問因特網���,如圖二示��,該方式的優(yōu)點在于各分支及用戶對因特網的訪問不增加企業(yè)骨干網絡的負擔���,缺點是不容易對因特網的訪問實現(xiàn)集中控制。在采用方式2(Split
Tunneling)訪問因特網時�,各遠程/移動辦公室的Contivity必須加載防火墻許可證,以攔截來自因特網的攻擊����,而在移動用戶的個人電腦上建議加載個人防火墻系統(tǒng)(如Sygate),以確保網絡安全。
2����,保證遠程/移動辦公的可移動性
以上的解決方案我們看到�����,企業(yè)的數據與話音處于分離的網絡環(huán)境,從數據通信的角度看�����,已完全實現(xiàn)了移動辦公的目標�����,可以作為企業(yè)轉向移動辦公的第一步����。要實現(xiàn)完全的移動辦公環(huán)境,還必須實現(xiàn)話音的移動性�����,即讓員工的固話(分機)隨之而移動���,保證企業(yè)業(yè)務的連續(xù)性�,如圖三所示�����。
在企業(yè)網上加載北電網絡話音設備(BCM,CSE1K或ITG/M1)�,再配合上北電網絡的IP電話i2002/i2004,或在移動用戶的PC上安裝i2050
軟體電話�,則可實現(xiàn)員工的固話號碼(分機)隨員工的移動而移動,無論員工身處何方(在異地辦公室或出差在外)�����,都可用統(tǒng)一的分機號碼聯(lián)系該員工����,保證業(yè)務的連續(xù)性。而傳統(tǒng)的PSTN話音網絡仍可作為企業(yè)外部的聯(lián)系方式���,或作為企業(yè)內部的話音備份鏈路��。
北電網絡的優(yōu)勢
北電網絡采用領先的技術��,解決了在IPSEC VPN 上實現(xiàn)動態(tài)路由及NAT的問題��,為企業(yè)利用IPSEC VPN建網�����,實現(xiàn)遠程/移動辦公掃除了一切障礙��。讓IPSEC
VPN 的建立通向網絡邊際�����,并讓動態(tài)路由協(xié)議跑在IPSEC VPN 內����,保證了建網的靈活性�����。
圖三 構建遠程/移動辦公環(huán)境步驟2VPN上VoIP話音集成提供完整的遠程/移動辦公
BCM�、Succession1K或ITG/M1語音服務器,及i2002/i2004/i2050 IP電話是業(yè)界領先的VOIP產品����,使企業(yè)的數據與話音融為一體,并實現(xiàn)了話音的可移動性��,使員工無論在何時何地��,均可通過其分機號互相溝通�,實現(xiàn)真正的移動辦公�����。語音及數據均承載在IPSEC
VPN上����,保證了企業(yè)通信的私密性��。
WLAN2200 是北電網絡無線局域網產品�����,實現(xiàn)了企業(yè)園區(qū)內用戶辦公的可移動性��。
圖四 構建遠程/移動辦公環(huán)境步驟3VPN連接無線局域網提供移動即時辦公連接
北電網絡為企業(yè)實現(xiàn)真正的移動辦公提供了全面的解決方案�,使企業(yè)無論在何時何地均能保證業(yè)務的移動性;提高員工的工作效率�����;加速企業(yè)的響應能力�;擴大企業(yè)業(yè)務覆蓋范圍;降低運營成本以提高競爭力�;提供業(yè)務服務的靈活性,
最終使網絡連接更多的員工���,企業(yè)獲得更大的產出����。
賽迪網 中國信息化(industry.ccidnet.com)
相關鏈接: