B2C电商解决方案
苏州某仓储物流集团目前在苏州建有大型的仓储和物流中心, 并在昆山市玉山建有分支机构。根据业务发展的需要, 需要在吴江市松陵和张家港市杨舍建立新的办事处, 在建设分部的同时需要对苏州总部的总部所在的网络进行安全升级加固。
当前苏州总部的网络系统承载了公司的核心数据流业务, 集团的仓储物流管理系统WMS、办公OA系统、ERP系统、CRM系统、EDI系统所构成的数据中心均在苏州总部, 目前苏州总部的所有核心业务服务器系统及办公网络子系统、无线网络子系统均下挂于两台Cisco 4948核心交换机。出口路由器使用两台Cisco 3825, 通过租用电信网络和联通网络两路链路接入Internet, 联通链路为备份。核心交换机与出口路由器之间通过两台ASA 5520防火墙实现内外网络数据流量的安全防护[1], 在ASA防火墙上划分出DMZ区, 供外网访问的企业Web门户网站和邮件服务器均位于此区域[2]。总部的服务器中的B 2B系统实现和上游、下游企业之间的订单数据接收和发送等功能。
玉山分部的工作人员可以通过广域网专线远程访问苏州总部的业务系统, 玉山同时也作为总部的数据备份中心苏州总部的业务中心的服务器中的新的数据按照要求定时转发到玉山机房实现异地备份。
根据业务需求, 此次在吴江市松陵和张家港市杨舍两处新建立的分部办事处, 需要通过广域网远程登录公司网站访问总部内外网系统的数据。集团希望这两个办事处员工从广域网数据访问时, 网络系统设计能够提供高安全和较高的性价比。
考虑目前上游、下游企业之间的数据传输是通过广域网实现的, 需要对这部分数据实现必要的安全加固, 同时需要满足企业负责人、部分信任合作企业服务器数据系统能够直接访问位于ASA防火墙内网的服务器系统。
网络总体方案规划主要包括广域网方案和安全方案两个大类的设计, 设计方案的总体拓扑图如图1所示。
根据需求分析, 目前松陵、杨舍的办事处规模及业务数据流量较小, 对于采用2M以上广域网专线的方案虽然传输速率有保障但每年费用较高, 故未采纳。而目前电信ADSL或广电CableModem网络技术成熟且应用范围广泛, 广域网络线路投资费用较低, 更适合于松陵、杨舍这样的小型办事机构[3]。
苏州总部目前的出口路由器上行的广域网是电信网络, 考虑到不同ISP网络互访存在访问速度不定的延时等问题, 故建议在松陵、杨舍两处采用电信的ADSL线路。出口路由器的方案实施考虑过两种情形, 一种是用目前具备路由功能的ADSL产品作为基本路由器, 另一种是购置专用路由器承担路由的功能。考虑到今后办事处后期业务的扩展、语音等其他新业务数据的支持, 普通的路由型ADSL设备不能够提供上述业务支持, 故此次采用思科2821路由器用于两个新建办事处的出口路由器设备。Cisco 2821作为工业级的分支机构路由器, 较其他类型产品提供了更高的稳定性和更大的扩展性。
对于ADSL接口实现的问题, 方案实施过程中也考虑过两种情况, 第一种是在Cisco 2821路由器上加上WIC-1ADSL模块, 让路由器的WIC-1ADSL模块接口直接接入电信POST;第二种是购买专用桥接型ADSL设备, 路由器作为桥接型ADSL设备的下行设备, 由ADSL接入电信POST。这两种方案都可以实现分支机构通过线路访问但价格第二种占优势客户在比较性价比后最终要求采用第二种方案ADSL设备选用了D-Link的DSL-2300E设备, 该产品支持ADSL2/ADSL2+, 在长距离上可达到5.4公里传输距离, 可拥有更佳的覆盖距离及范围, 能够满足此次项目的需求。
对于松陵、杨舍办事处访问苏州总部安全性的需求, 及企业负责人、合作企业服务器系统需要从互联网访问苏州总部内网服务器的需求, 可以从总部的网络系统上进行安全数据加固配置或进行网络升级改造的方式来解决。
利用ASA 5520自带的IPSecVPN功能[4], 可以为外网750个用户提供基于IPSecVPN的并发连接, 但IPSecVPN需要在每个客户端安装客户端软件并进行配置;如果使用ASA 5520的SSLVPN功能或购买独立的SSLVPN产品, 则需要额外的购买费用。根据当前VPN访问对需求的满足及两种VPN方案费用对比, 用户建议倾向于利用ASA 5520自带的IPSecVPN功能先行完成安全数据传输功能, 待以后业务发展网络需升级时再行考虑SSLVPN[5]的部署。考虑到松陵、杨舍办事处互联网访问实际情况, 从对内网的安全加固需要出发在Cisco 2821下挂一台ASA 5510防火墙, 以实现对办事处内部的数据业务安全保护。
PPP协议作为广域网协议扩展了HDLC协议结构, 通过在数据包中提供LCP、NCP和数据帧的功能提供拨号连接、串行连接及DSL连接。
目前中国电信PPPoE网络结构原理如图2所示, 以此次实施的方案为例, 分支机构办事处的分频器下联至ADSL设备和电话, 上联到电信的DSLAM设备, 由DSLAM将低频语言信号、高频数字信号分别转发到PSTN网络和IP宽带接入网。经过RADIUS服务器验证用户名和密码的合法性后, 最后由BRAS/BAS计费网关设备终结PPPoE数据, 以后数据就通过IP城域网或IP骨干网转发至目标地。
类似于PPP协议, PPPoE协议会话也有建立和初始化链路阶段, 但作为基于以太网的协议, 在初始化过程中增加了发现和会话阶段。PPPoE协议的发现阶段是为了识别DSLAM设备的MAC地址, 完成此步操作后CPE路由器就和DSLAM设备都获取了建立连接关系所需的信息。PPPoE协议会话阶段将协商PP-PoE的MRU净载荷 (数据域) , 以太网的MTU为1500字节, PPPoE的头部6个字节和协议字段2个字节需要占用, 故MRU在CPE路由器上需要设置为1492个字节。
配置过程中, 首先在2821路由器上为PPPoE配置以太网接口, 此次分支机构使用Gig0/0端口作为外网接口连接使用端口连接防火墙配置见图3。
图4表示了在2821设备上拨号器接口的配置。2821路由器作为CPE设备, 其外网拨号接口的地址IP需要由电信提供。其中PPP认证采用的是PAP方式, ADSL验证所用的用户名和密码图中用“*”号省略表示。由于Dailer0作为连接电信的逻辑接口, 需要配置缺省路由, 将路由器上的缺省目标地址将都转发到Dailer0接口。
2811路由器作为内网和外网的连接设备, 需要通过NAT技术实现地址转换以保证内部网络可以访问外部互联网, 配置中Gig0/1作为inside端口, Dialer0作为outside端口, Dialer0从电信所获取的地址将用于内网设备访问互联网时源地址转换, 配置如图5所示。
VPN (VirtualPrivateNetwork) , 是在ISP提供的公网中通过提供一个安全和稳定的隧道, 为数据流量建立一个临时且安全的链路。VPN所建立的链路两端没有传统的端到端的物理链路, 而是利用公网资源动态建立实现, 通过对数据加密、验证和身份识别等多种技术, 在企业广域网访问过程中实现高的安全和可靠性。
IPSec协议作为VPN技术中的一种, 提供了强大的安全、加密、认证和密钥管理功能, 其工作于三层协议, 可以直接传输网络协议数据包[6]。
远程接入客户端的验证可以在本地, 也可以在AAA服务器中实现[4]。考虑到项目中的VPN客户数目分类不多且访问对象单一验证工作就放在防火墙中执行为张家港杨舍办事处创建的账号和分配的地址池如图6所示。
ISAKMP (Internet安全关联和密钥管理协议) 作为IPsecVPN体系中的一种主要协议, 定义了VPN双方建立, 协商, 修改和删除安全连接的程序和信息包格式[7]。项目中ASA防火墙为远程访问的用户配置ISAKMP阶段1策略如图7所示。
ASA防火墙中的变换集所体现的是安全协议和算法的一个特定组合, 该组合用于规定流量的安全策略。在IKE阶段2必须完成建立动态加密映射dynamic-map, 并在静态映射map中引用动态加密映射dynamic-map。该执行过程如图8所示。
篇幅所限, IPSecVPN创建过程中涉及的组策略、隧道组定义及和VPN有关的ACL等几个部分不再此处一一列出。
为保证集团网络的安全可靠, 在总部及各个分支机构的接入层交换机上配置交换机自动学习MAC地址并做MAC地址绑定, 对连接终端的交换机接口一律配置为portfast以加速STP的收敛速度, 配置如图9所示。同时在接入层和汇聚层交换机中启用了基于VLAN、IP、端口的ACL安全访问控制, 以保证数据访问的安全可靠。
在上述安全实施的基础上, 总部及玉山各自借助在本地网络中一台已架设Windows2003Server的服务器上启用Radius服务器功能, 对所有进入接入层交换机的数据流量进行基于端口的802.1x认证, 在提高安全认证效率同时最大限度保证网络安全性, 总部接入层交换机802.1x认证配置如图10、图11所示。
该存储物流集团网络改造实施后的广域网和VPN技术满足了企业日常业务数据需求。目前, 苏州总部ASA 5520可以承担750个并发IPSecVPN访问, 如果以后VPN用户数目超过这个范围, 建议购置专用的SSLVPN设备。玉山目前承担总部数据备份工作, 考虑到今后业务数据流量增加, 可以考虑增加广域网加速器在不扩充广域网链路带宽的前提下可以有效提升广域网数据传输效率。
上一篇: 基于电子标签的仓储物流控制及管理系统
下一篇: 仓储业管理立法面临挑战
134-7270-5338
上海市嘉定区南翔嘉美路428号(靠近沪宜公路)
