隨著互聯網的普及，各個行業的管理和經營模式的發展口新月異。通過設置的專用網絡通訊設施進行通訊，不論是公司內部職員之間的聯系還是與客戶的合作洽談都能靈活方便的進行。在眾多的關注因素中，網絡的安全性最為突出，其次，網絡的性能、可擴展性、可管理性等也受到一定程度的重視。

    小型遠程辦公網絡既能保障公司內部數據傳輸的安全性，又可以節約成本，可謂一舉多得的好方法，但針對不同的公司規模、投入資金等硬性要求，就要采取略有不同的設計方案。影響組建網絡的因素大致分為外部因素和內部因素，其中，外部因素主要是資金問題，包括硬件設備購置、線路租用和管理等費用，其次是網絡的性能；內部因素包括人員及資源分配和設備應用，例如：驗證授權，共享文件，郵件，vpn服務等。

    本文利用宇翔科技公司遠程辦公網絡設計作為實際案例，針對外部和內部因素，對公司員工數在100人內的小型公司的遠程辦公網絡設計，開發了兩種網絡設計方案，并加以比較分析。 

一、需求分析 

    宇翔科技有限公司總部坐落于國貿科技大廈，其客戶服務支持部門設立于和平里，總部有員工75人，遠程客戶服務支持部門有員工20人。此次網絡設計主要是實現兩地辦公室之間的通訊，并保證資源共享以及資源內部安全，同時總部需要提供vpn服務以便員工遠程登錄公司內部網絡完成工作。 

二、網絡模塊設計 

    針對于兩個辦公地點，構建一個10/100m的交換以太網就能夠完全滿足應用需求。在接入線路方面，小型辦公網絡環境對于流量的需求，一般是獲取信息或收發電子郵件等流量，使用adsl接入方式比較節約成本。在小型辦公網絡環境中，對可管理性和安全性因素的考慮也必不可少。 

    綜合分析公司的組織結構，決定設計以下兩種網絡模塊： 

    （一）總部互聯網模塊 

    總部互聯網模塊擁有與互聯網的連接，同時也端接vpn與公共服務（包括dns，http，ftp，smtp）信息流。互聯網模塊不僅為內部用戶提供了與互聯網的連接，而且允許用戶通過互聯網訪問公共服務器上的信息，同時還為遠程工作人員提供了vpn訪問能力。互聯網模塊涉及的關鍵設備有：smtp服務器、dns服務器、ftp／http服務器、防火墻或防火墻路由器。 

    （二）遠程辦公室網絡模塊 

    遠程辦公室網絡模塊包含遠程辦公室最終用戶工作站、分支驗證服務器、管理服務器和支持這些設備所需的相關第2層基礎設施。目前可以選用已經集成這些第2層交換功能的交換機來降低成本。 

    下面對兩種模塊的實現方法進行幾點解釋。 

    首先，無論選用哪種設備，都要考慮一些vpn的因素。在互聯網模塊中，一般使用帶有防火墻和vpn功能的路由器。它使小型網絡變的更加靈活。在目前的環境中，大多數有線和dsl路由器和調制解調器都是由電信服務供應商提供的，可用于連接以太網防火墻。如果設備要求wan連接（如電信供應商的dsl電路），那么，就必須使用路由器，此時使用專用防火墻不具備輕松配置安全性和vpn服務的優勢。路由器傾向于允許信息流通過，防火墻的缺省設置則傾向于阻止信息通過。 

    此外，從過濾的角度講，除了將公共服務區域的信息流限定到相關地址和端口外，在相反的方向上也在進行過濾。如果某個攻擊涉及到一個公共服務器（通過規避防火墻和基于主機的ids），那么這個服務器應該不會再進一步攻擊網絡。為了緩解這種攻擊，具體的過濾將防止公共服務器向其他任何地點發出任何未授權請求。此外，dmi上的專用vlan可以防止一個被破壞的公共服務器攻擊同一區域的其他服務器。這種信息流甚至不能被防火墻發現，由此可以證明專用vlan的重要性。在郵件服務方面，防火墻在第7層過濾smtp信息，以便只允許必要的命令到達郵件服務器。防火墻與路由器的安全功能中通常包括一些有限的nids功能。這種功能會影響設備的性能，但是在遭受到了攻擊的情況下卻能提供一些關于攻擊的信息。這之間存在著一些平衡，犧牲了一些性能來換取信息的透明度。如果不使用ids，許多攻擊將被放棄，但監控站不會知道發生了什么具體攻擊。vpn連通性是通過防火墻或防火墻/路由器實現的。遠程地點用預共享的密鑰進行彼此驗證，遠程用戶則通過遠程辦公室模塊中的訪問控制服務器得到驗證。考慮到宇翔科技公司的規模和資源分配，傾向于選擇集成防火墻功能的路由器方案。 

    遠程辦公室模塊的主要功能是交換生產和管理信息流，并為公司管理服務器和用戶提供連接，可以選用集成所需第2層交換功能的交換機。在交換機內部實施vlan，以減少設備間的信任關系利用攻擊，但這樣遠程辦公室模塊中就沒有第3層服務，由于內部網絡的開放性，這種設計應該注重應用和主機的安全性。所以，遠程辦公室的系統中建議安裝殺毒軟件和監測網絡系統。 

三、方案設計 

    根據以上的模塊化設計，擬定兩種方案如下： 

    方案一：總部辦公室和遠程辦公室全部使用互聯網模塊，辦公室之間用低速ddn專線連接，在兩間辦公室設立分別的動態目錄管理，即不同的域，但是都歸屬于同一個森林，兩間辦公室都存在自己的dns解析，并且設定對方的dns來解析來自對方網絡的需求。 

    方案二：總部辦公室使用互聯網模塊，連接到isp提供的網絡服務，而遠程辦公室只使用遠程辦公室模塊，所有驗證都通過總部服務器進行。但是為了保證遠程辦公室的員工使用互聯網資源，兩間辦公室之間必須用高速t1專線連接，以保障帶寬和響應速度。在該方案中，若當所有的遠程辦公室的員工同時試圖登陸到域中時，專線就容易產生擁塞甚至超時。為了解決同時間內大量的請求使得專線負擔過重的問題，在遠程辦公室模塊中加入ad緩存，定期以小流量與總部辦公室的動態目錄進行同步，這樣就能對專線擁塞起到一定的緩解作用。 

四、性能分析 

    對比兩種設計方案，在方案一中，兩間辦公室分別有自己的互聯網介入，這無疑提高了員工訪問外部網的速度，然而在兩個網段之間互訪的過程中，低速的ddn專線經常造成超時，或者資源不能定位。這種不利因素影響了集成兩間辦公室之間的業務聯系和資源整合。另外考慮到費用因素，方案一無疑增加了租用線路的費用，而且硬件成本也相應增加。兩間辦公室都需要完整的公共服務支持，如dns，http，vpn等。 

    表1.方案一和方案二優缺點比較 

    在方案二中，遠程辦公室只使用了遠程辦公室模塊，基本上完成第2層交換，所有的登錄驗證和互聯網訪問都會通過t1專線達到總部辦公室，這樣節約了在遠程辦公室設置第2套互聯網訪問設備的費用，并且基本上解決了公司內部資源共享問題。根據上面提到，為了能夠避免在網絡高峰期造成擁塞，本地的ad緩存可以幫助遠程辦公室的員工登錄進入域，并且定期更新資源分配。相應的網絡監測軟件可以協助確定網絡的繁忙期，這樣利用空閑事情完成ad更新和dns更新。如上表1列舉了兩種方案的優缺點。 

    根據兩種方案的優缺點比較，最終確定了第二種設計方案更合適，使用高速專線連接遠程辦公室到總部辦公室，兩間辦公室共享互聯網模塊來訪問外部網。為了能有效地利用專線，在遠程辦公室設計ad緩存，能夠在網絡的非繁忙期進行同步。 

五、結論 

    通過分析宇翔科技有限公司的資源以及網絡分布狀況，進而對小型遠程辦公網絡的架構給出了兩種設計方案，并在文中進行了分析探討。通過這次的方案選擇，深入地了解了一般小型公司的網絡設計技巧和性能分析，以及如何利用路由器和第2層交換機進行網絡信息交換。同時，對于dns，http，vpn等領域有了新的認識，并且應用于實踐中。對于中小型公司遠程訪問的安全考慮方面也進行了一些研究，利用網絡技術中的過濾功能等來預防潛在的攻擊以及隱患。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：小型遠程辦公網絡設計與實施

本文網址：http://www.guhuozai8.cn/html/consultation/1083943646.html