蘇州某倉儲物流集團目前在蘇州建有大型的倉儲和物流中心, 并在昆山市玉山建有分支機構。根據業務發展的需要, 需要在吳江市松陵和張家港市楊舍建立新的辦事處, 在建設分部的同時需要對蘇州總部的總部所在的網絡進行安全升級加固。
當前蘇州總部的網絡系統承載了公司的核心數據流業務, 集團的倉儲物流管理系統WMS、辦公OA系統、ERP系統、CRM系統、EDI系統所構成的數據中心均在蘇州總部, 目前蘇州總部的所有核心業務服務器系統及辦公網絡子系統、無線網絡子系統均下掛于兩臺Cisco 4948核心交換機。出口路由器使用兩臺Cisco 3825, 通過租用電信網絡和聯通網絡兩路鏈路接入Internet, 聯通鏈路為備份。核心交換機與出口路由器之間通過兩臺ASA 5520防火墻實現內外網絡數據流量的安全防護[1], 在ASA防火墻上劃分出DMZ區, 供外網訪問的企業Web門戶網站和郵件服務器均位于此區域[2]。總部的服務器中的B 2B系統實現和上游、下游企業之間的訂單數據接收和發送等功能。
玉山分部的工作人員可以通過廣域網專線遠程訪問蘇州總部的業務系統, 玉山同時也作為總部的數據備份中心蘇州總部的業務中心的服務器中的新的數據按照要求定時轉發到玉山機房實現異地備份。
根據業務需求, 此次在吳江市松陵和張家港市楊舍兩處新建立的分部辦事處, 需要通過廣域網遠程登錄公司網站訪問總部內外網系統的數據。集團希望這兩個辦事處員工從廣域網數據訪問時, 網絡系統設計能夠提供高安全和較高的性價比。
考慮目前上游、下游企業之間的數據傳輸是通過廣域網實現的, 需要對這部分數據實現必要的安全加固, 同時需要滿足企業負責人、部分信任合作企業服務器數據系統能夠直接訪問位于ASA防火墻內網的服務器系統。
網絡總體方案規劃主要包括廣域網方案和安全方案兩個大類的設計, 設計方案的總體拓撲圖如圖1所示。
根據需求分析, 目前松陵、楊舍的辦事處規模及業務數據流量較小, 對于采用2M以上廣域網專線的方案雖然傳輸速率有保障但每年費用較高, 故未采納。而目前電信ADSL或廣電CableModem網絡技術成熟且應用范圍廣泛, 廣域網絡線路投資費用較低, 更適合于松陵、楊舍這樣的小型辦事機構[3]。
蘇州總部目前的出口路由器上行的廣域網是電信網絡, 考慮到不同ISP網絡互訪存在訪問速度不定的延時等問題, 故建議在松陵、楊舍兩處采用電信的ADSL線路。出口路由器的方案實施考慮過兩種情形, 一種是用目前具備路由功能的ADSL產品作為基本路由器, 另一種是購置專用路由器承擔路由的功能。考慮到今后辦事處后期業務的擴展、語音等其他新業務數據的支持, 普通的路由型ADSL設備不能夠提供上述業務支持, 故此次采用思科2821路由器用于兩個新建辦事處的出口路由器設備。Cisco 2821作為工業級的分支機構路由器, 較其他類型產品提供了更高的穩定性和更大的擴展性。
對于ADSL接口實現的問題, 方案實施過程中也考慮過兩種情況, 第一種是在Cisco 2821路由器上加上WIC-1ADSL模塊, 讓路由器的WIC-1ADSL模塊接口直接接入電信POST;第二種是購買專用橋接型ADSL設備, 路由器作為橋接型ADSL設備的下行設備, 由ADSL接入電信POST。這兩種方案都可以實現分支機構通過線路訪問但價格第二種占優勢客戶在比較性價比后最終要求采用第二種方案ADSL設備選用了D-Link的DSL-2300E設備, 該產品支持ADSL2/ADSL2+, 在長距離上可達到5.4公里傳輸距離, 可擁有更佳的覆蓋距離及范圍, 能夠滿足此次項目的需求。
對于松陵、楊舍辦事處訪問蘇州總部安全性的需求, 及企業負責人、合作企業服務器系統需要從互聯網訪問蘇州總部內網服務器的需求, 可以從總部的網絡系統上進行安全數據加固配置或進行網絡升級改造的方式來解決。
利用ASA 5520自帶的IPSecVPN功能[4], 可以為外網750個用戶提供基于IPSecVPN的并發連接, 但IPSecVPN需要在每個客戶端安裝客戶端軟件并進行配置;如果使用ASA 5520的SSLVPN功能或購買獨立的SSLVPN產品, 則需要額外的購買費用。根據當前VPN訪問對需求的滿足及兩種VPN方案費用對比, 用戶建議傾向于利用ASA 5520自帶的IPSecVPN功能先行完成安全數據傳輸功能, 待以后業務發展網絡需升級時再行考慮SSLVPN[5]的部署。考慮到松陵、楊舍辦事處互聯網訪問實際情況, 從對內網的安全加固需要出發在Cisco 2821下掛一臺ASA 5510防火墻, 以實現對辦事處內部的數據業務安全保護。
PPP協議作為廣域網協議擴展了HDLC協議結構, 通過在數據包中提供LCP、NCP和數據幀的功能提供撥號連接、串行連接及DSL連接。
目前中國電信PPPoE網絡結構原理如圖2所示, 以此次實施的方案為例, 分支機構辦事處的分頻器下聯至ADSL設備和電話, 上聯到電信的DSLAM設備, 由DSLAM將低頻語言信號、高頻數字信號分別轉發到PSTN網絡和IP寬帶接入網。經過RADIUS服務器驗證用戶名和密碼的合法性后, 最后由BRAS/BAS計費網關設備終結PPPoE數據, 以后數據就通過IP城域網或IP骨干網轉發至目標地。
類似于PPP協議, PPPoE協議會話也有建立和初始化鏈路階段, 但作為基于以太網的協議, 在初始化過程中增加了發現和會話階段。PPPoE協議的發現階段是為了識別DSLAM設備的MAC地址, 完成此步操作后CPE路由器就和DSLAM設備都獲取了建立連接關系所需的信息。PPPoE協議會話階段將協商PP-PoE的MRU凈載荷 (數據域) , 以太網的MTU為1500字節, PPPoE的頭部6個字節和協議字段2個字節需要占用, 故MRU在CPE路由器上需要設置為1492個字節。
配置過程中, 首先在2821路由器上為PPPoE配置以太網接口, 此次分支機構使用Gig0/0端口作為外網接口連接使用端口連接防火墻配置見圖3。
圖4表示了在2821設備上撥號器接口的配置。2821路由器作為CPE設備, 其外網撥號接口的地址IP需要由電信提供。其中PPP認證采用的是PAP方式, ADSL驗證所用的用戶名和密碼圖中用“*”號省略表示。由于Dailer0作為連接電信的邏輯接口, 需要配置缺省路由, 將路由器上的缺省目標地址將都轉發到Dailer0接口。
2811路由器作為內網和外網的連接設備, 需要通過NAT技術實現地址轉換以保證內部網絡可以訪問外部互聯網, 配置中Gig0/1作為inside端口, Dialer0作為outside端口, Dialer0從電信所獲取的地址將用于內網設備訪問互聯網時源地址轉換, 配置如圖5所示。
VPN (VirtualPrivateNetwork) , 是在ISP提供的公網中通過提供一個安全和穩定的隧道, 為數據流量建立一個臨時且安全的鏈路。VPN所建立的鏈路兩端沒有傳統的端到端的物理鏈路, 而是利用公網資源動態建立實現, 通過對數據加密、驗證和身份識別等多種技術, 在企業廣域網訪問過程中實現高的安全和可靠性。
IPSec協議作為VPN技術中的一種, 提供了強大的安全、加密、認證和密鑰管理功能, 其工作于三層協議, 可以直接傳輸網絡協議數據包[6]。
遠程接入客戶端的驗證可以在本地, 也可以在AAA服務器中實現[4]。考慮到項目中的VPN客戶數目分類不多且訪問對象單一驗證工作就放在防火墻中執行為張家港楊舍辦事處創建的賬號和分配的地址池如圖6所示。
ISAKMP (Internet安全關聯和密鑰管理協議) 作為IPsecVPN體系中的一種主要協議, 定義了VPN雙方建立, 協商, 修改和刪除安全連接的程序和信息包格式[7]。項目中ASA防火墻為遠程訪問的用戶配置ISAKMP階段1策略如圖7所示。
ASA防火墻中的變換集所體現的是安全協議和算法的一個特定組合, 該組合用于規定流量的安全策略。在IKE階段2必須完成建立動態加密映射dynamic-map, 并在靜態映射map中引用動態加密映射dynamic-map。該執行過程如圖8所示。
篇幅所限, IPSecVPN創建過程中涉及的組策略、隧道組定義及和VPN有關的ACL等幾個部分不再此處一一列出。
為保證集團網絡的安全可靠, 在總部及各個分支機構的接入層交換機上配置交換機自動學習MAC地址并做MAC地址綁定, 對連接終端的交換機接口一律配置為portfast以加速STP的收斂速度, 配置如圖9所示。同時在接入層和匯聚層交換機中啟用了基于VLAN、IP、端口的ACL安全訪問控制, 以保證數據訪問的安全可靠。
在上述安全實施的基礎上, 總部及玉山各自借助在本地網絡中一臺已架設Windows2003Server的服務器上啟用Radius服務器功能, 對所有進入接入層交換機的數據流量進行基于端口的802.1x認證, 在提高安全認證效率同時最大限度保證網絡安全性, 總部接入層交換機802.1x認證配置如圖10、圖11所示。
該存儲物流集團網絡改造實施后的廣域網和VPN技術滿足了企業日常業務數據需求。目前, 蘇州總部ASA 5520可以承擔750個并發IPSecVPN訪問, 如果以后VPN用戶數目超過這個范圍, 建議購置專用的SSLVPN設備。玉山目前承擔總部數據備份工作, 考慮到今后業務數據流量增加, 可以考慮增加廣域網加速器在不擴充廣域網鏈路帶寬的前提下可以有效提升廣域網數據傳輸效率。
上一篇: 基于電子標簽的倉儲物流控制及管理系統
下一篇: 倉儲業管理立法面臨挑戰