东方之星贸易有限公司

小聪商务系统

（总/分部）异地同步共享方案

第一章 客户需求及相关技术介绍

【关键词】VPN技术 

       客户简介：

 东方之星贸易有限公司引进了小聪软件的商务管理系统对业务流程进行信息化管理，目前在总部实施使用。东方之星贸易有限公司属下有三个分支机构，公司希望用一种实用、易用技术将总部/分部连成一个局域网，使总部/分部共同使用一套商务管理系统，以实现协同办公、数据共享的功能。

       客户需求：

现状：

Ø         公司在下属共有3个分支机构，希望能与总部协同办公、资源共享。

Ø         总部和分部目前都仅有小型的局域网，而且各局域网都没有实现共享上网。

Ø         各机构连接Internet地方建议采用ADSL连接

要求：

在性能和安全满足的条件下，采用较低的成本能完成以下功能：

Ø         总部和分支在防火墙的保护下实现安全的共享上网；

Ø         各分支与总部能组建虚拟专用网络连接，实现资源共享；

Ø         保证数据传输过程的实时性、安全性和稳定性。

Ø         能实现商务管理管理软件的正常运行。

Ø         解决方案低成本。

Ø         方便的安装和自动的操作管理。

Ø         各局域网之间能相互资源访问。

       小聪软件介绍

小聪软件是软件行业中的卓越代表，汇集了十二年中许多优秀企业的成功管理经验，具有雄厚的技术力量，集产品研发、客户个性化管理于一体，每年都推出技术领先、功能全面、富有广东特色、全国通用的JXC小聪软件系列产品。
　　 到目前已经开发出18个行业的商务解决方案，产品多达30多种。其中包括：商务通用、财务系统、商场POS、医药行业、服装行业、眼镜行业、汽配汽修、书报行业、双单位、餐饮娱乐、酒店行业、手机通讯、工厂行业、化工涂料、物业楼盘、现金银行帐、工资系统、考勤系统、小聪中望CAD、疾病预防、小聪ERP、小聪OA等。是目前中国商品化软件开发力度最大、行业产品最齐全的软件公司。

       VPN技术介绍：

虚拟私有网络VPN(Virtual Private Network)出现于Internet盛行的今天,它使企业网络几乎可以无限延伸到地球的每个角落,从而以安全、低廉的网络互联模式为包罗万象的应用服务提供了发展的舞台。
    虚拟专用网（VPN）是利用公众网资源为客户构成专用网的一种业务。我们这里所提的VPN有两层含义：
   一、 它是虚拟的网，即没有固定的物理连接，网路只有用户需要时才建立；
   二、 它是利用公众网络设施构成的专用网。
    VPN实际上就是一种服务，用户感觉好像直接和他们的个人网络相连，但实际上是通过服务商来实现连接的。VPN可以为企业和服务提供商带来以下益处：

公司能利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接；

对于企业，基于拨号VPN的Extranet能加强与用户、商业伙伴和供应商的联系；

电话公司通过开展拨号VPN服务可以减轻终端阻塞；

通过为公司提供安全的外界远程访问服务，ISP能增加收入；通过Extranet分层和相关竞争服务，ISP也可以提供不同的拨号VPN。

VPN兼备了公众网和专用网的许多特点，将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起，是介于公众网与专用网之间的一种网。
   VPN能够充分利用现有网路资源，提供经济、灵活的连网方式，为客户节省设备、人员和管理所需的投资，降低用户的电信费用，在近几年得到了迅速的应用。 有专家认为，VPN将是本世纪末发展速度最快的业务之一。

第二章 方案描述

 设计思路：

1．   通过VPN技术把各地连接起来，组建基于TCP/IP的虚拟专用网络；

2．   在专用网络之中，进行ERP软件或财务软件或其他任何软件的数据传输，或使用VOIP和视频通讯等。

产品选型：

采用VPN产品：任何一点无需专线，支持ADSL , ISDN, 电话拨号, DDN等连接方式，各点之间的连接是可以是星型也可以是网状的；

       VPN方案描述

1.         在各分支机构分别放置一台GW200，建议都使用ADSL上网。

2.         在总部放置一台GW200,使用ADSL上网。

3.         在每点安装GW200之后，当地的局域网可以用它作为代理服务器上网，使需要上网的电脑共享上网带宽。

4.         GW200的防火墙可以保护局域网的网络安全；

5.         每点与其它点的通讯速度取决定于其中一个点连接internet的速度的最低上行速度；

6.         任何两点之间可以自由通讯；

7.         任何基于TCP/IP的软件可以直接使用；

说明：

1．如果经济条件允许，总部可选用GW 2600。这样，GW可以升级为邮件系统和企业网站，使企业的电子商务一步到位。

2．GW负责搭建一个基本的网络连接。可以在该平台上运行任何基于TCP/IP的软件。

                          东方之星总部拓扑图

INTERNET

    交换机（HUB）

工作组

VPN服务器GW200

服务器组

                     东方之星分部拓扑图

第二章　VPN 产品简介

VPN产品是美国硅谷的成熟产品。采用Linux内核，从操作系统的核心做起，利用linux的强大功能，在全世界有超过数万个成功案例。它有以下特点：

          Ø VPN产品是解决网络完全传输的最高效，最节省的组网技术。

         Ø VPN产品通过使用固定或动态IP接入Internet的LAN之间进行互联。

          Ø 以最低成本接入，最低通讯成本提供高性能最可靠性的企业专网的计算机网络技术。

          Ø VPN产品支持ADSL/IDSN/DDN/Dial-up方式，静态／动态IP接入。在相同的通讯带宽下，节省80%通讯费用。这些接入法可以相互作为备份接入。如用ADSL上网的。为防万一，可以用Dial-up方式提供线路备份。从而保证了线路备份。

           一个高性能的防火墙。支持MAC地址绑定、日志功能、DMZ区。完全可以作为专业的防火墙；

          Ø VPN产品 从而使企业专网应用至普通企业，使其组建自己的企业专网，有自己的IP空间和域名体系。敢能 VPN产品使所有于局域网上应用的网络应用以最低的成本应用至Internet所及的范围。

       功能介绍

DHCP

l            自动网络如IP地址，网关,设置简单，WEB管理界面,客户端无须复杂设置,无须专人管理

防火墙

l           Ø 专业级防火墙，保护局域网安全

l          Ø  操作简单，上手快捷

l           Ø 非专业人员也能轻易定义和配置

l           Ø 基于web形式管理页面

l           Ø 性能开销小，处理速度快

           Ø 修改配置后，无须重启

           Ø 基于Linux操作内核，安全性能高

NAT

           配置简单，一步搞定

路由功能　

           内置路由功能　

VPN 虚拟专用网络

          Ø 独特动态IP解析，无须申请专线

          Ø 支持IPSEC及PPTP两种方式

          Ø IE中文管理界面，设置简单

       产品优点

          Ø 实时进行远程管理维护，对分支机构网络管理。

         Ø 除VPN之外还提供分支机构代理上网功能和局域网资源共享

          Ø 系统稳固，全套维护、重装、管理方案

          Ø 数据处理能力强，保证传输速度

          Ø 支持动态IP与ADSL完美配合

          Ø 敢能公司自有研发的动态IP处理平台、VPN联通监控平台和VPN产品产品支持平台全套服务

          Ø 支持出差人员异地拔号，访问公司内网。

       VPN产品硬件特征

VPN产品网络服务器有如下的网络联接接口：

         Ø系统配置及系统监测系统，通过RS-232 (9600, 8N1)进行通讯

         Ø局域网接口：Ethernet Interface: 10/100BASE-T

         Ø广域网接口：Ethernet Interface(10/100BASE-T) / PPPoE通讯口接口 ( 用于接ADSL Cable Modem)

        Ø用于系统重配或紧急系统配置的标准101键盘和标准PC显示器接口

       VPN产品系统参数

         Ø输入电压： 100-127VAC 或 200-240VAC

         Ø功率：     消耗小于90W

         Ø环境温度：工作 5oC - 35oC储存 -20oC - 65oC

         Ø使用环境湿度：5~95%

         Ø符合规范：FCC, CE, UL, C-UL, TUV, VCCI, NSTL

       VPN产品的安装设置

VPN产品的安装非常简单。只需连接好线路，启动机器，通过浏览器来设置即可。设置参数包括：广域网（类型、用户名、密码）、局域网（IP地址）等。

第三章 系统的安全性

【关键词】3DES  RSA 身份验证 ICA

       VPN产品安全性能

在 VPN产品系统中，必须通过硬件设备在每个敢能 VPN产品中预置其他机器的私钥，所以在管理完善的情况下不可能让其他没有经过授权的机器连接到该网络中来。而且不支持与非敢能 VPN产品设备的VPN连接；

          Ø 数据加密：   Triple DES (EDE-CBC) 加密(168位密匙)

          Ø 数据认证：   MD5 (Message Digest Algorithm 5) 128   bit hash (RFC 1321)，SHA-1 (Secure Hash Algorithm)  160-bit hash                                     

          Ø 密匙管理：  Pluto 自动密匙交换，IKE (Isakmp/Oakley) (RFC2407-2409 RFC 2412) ，PFS (Perfect Forward Secrecy) Enhanced Security                                            

          Ø 数据包过滤：非 IPSec 流量导流

          Ø 敢能 VPN产品具有基本和高级双重防火墙功能。

          Ø 网络之间的通讯符合IPSec标准。

       防火墙策略

          Ø 数据包过滤

          Ø 通过NAT(Network Address Translater)和Transfer Proxy来控制内部局域网对广域网(Internet)的访问。 这是一种比数据包过滤更安全的防火墙策略。

          Ø 缺省forward拒绝防问，保护你的内部局域网免受网络攻击．

          Ø 动态调整访问列表来建立虚拟专网的建立

          Ø TCP D.O.S(Delay Of Service)的跟踪与防范

第四章 报价及工程安排

       VPN产品设置

具有TCP/IP基础的人，稍加培训即可学会。

只需设置：用户Liences

          本地局域网接口的IP地址

          连接Internet的口令

即可完成。

       系统报价

费用：