×××服務器學習之×××的三大典型應用
×××是一個舶來詞,中文的意識就是“虛擬專用網絡”。他可以通過特殊點加密通信協議在互聯網上開闢一條通道,爲用戶之間通信建立連接。在外部看起來,好像是一條通信的專線,但是其不用鋪設通信光纜。所以,利用×××技術的話,可以實現安全的、快捷的通信,而且,由於不需要專門鋪設光纜,成本也不是很高。所以,×××技術的話,現在在企業中應用的非常的廣泛。
×××虛擬局域專用網絡,在企業中,主要有三種應用的場景。掌握這三種應用的配置與管理,那麼對於×××技術,就入門了。俗話說,師傅領進門,修行在自身。筆者在這裏就充當一回老大哥,談談×××技術在企業中的三種典型應用。或許對大家有所幫助。
典型應用一
連接企業不同辦事處或者不同公司之間的網絡
現在很多企業可能都不只一家生產工廠或者辦事處。像筆者這樣的一個外資企業,除了在浙江有一家生產工廠和外貿公司外,在內地,如安徽等地,也有其加工廠。現在遇到的問題是,這些公司之間的網絡如何進行相互連接?若採用鋪設光纜的方法,明顯是行不通的,成本太大。爲此,該如何進行連接呢?可選的方法可能比較多。
如企業可以通過NAT技術實現對企業部分主機或者特殊應用的連接,如可以利用NAT技術,讓安徽的加工成訪問企業的ERP系統。但是,利用NAT技術的話,有一些限制。如訪問的速度比較慢、安全性難以得到有效的保障;重要的是利用NAT技術的話,只能對一些特定的主機進行訪問,而不能像是在企業內部網路一樣,訪問自己想要訪問的主機或者服務等等。真是由於NAT技術由種種的缺陷和限制,所以,利用NAT技術來解決企業不同辦事處或者分公司之間的網絡通信,只可以說是一種可選的方案,而不是一種良好的方案。
筆者現在使用的是利用×××技術,實現企業不同地點的分公司之間的網絡通信。其實,也是非常簡單的一個配置。在企業不同分公司兩端的防火牆上,都配置一個×××服務器。如此的話,兩個網絡就可以利用×××技術在互聯網上開闢一條局域網專用通道,把各個分公司之間的網絡進行連接。如此的話,各個分公司的網絡就好像是在企業內部網絡中一樣。一方面,利用×××技術的話,可以在一定程度上保障通信內容的安全性。×××技術在安全上的設計,個人認爲比NAT技術要上一個層次。另一方面,利用虛擬局域專用網絡的話,在速度上也有保障。其實,對於大部分企業來說,要在不同企業之間進行訪問,安全性上可能還是次要的,對於速度的追求反而是更加敏感。所以,×××技術在速度上的優勢,更加使NAT技術不可匹敵的。當然,用戶申請的帶寬不同,這方面也有明顯的區別。
在利用×××技術實現公司之間網絡對接的話,要注意以下幾個問題:
1、涉及具體帶寬的問題。×××技術雖然可以提供比較高的網絡訪問性能,但是,其仍然受到企業帶寬申請的限制。所以,我們網絡管理員在部署×××應用的時候,要注意分析,看看未來可能產生的帶寬與訪問數量。這跟個人利用×××服務器登陸企業內部網絡不同,訪問的數量、產生的數據流量兩者都不能相比。故,在利用×××技術實現不同企業網絡對接的時候,有必要收集一下用戶的需求,如會不會有視頻會議的需求;會不會在總公司的網絡上放置一些視頻培訓內容,讓下面各個子公司進行訪問;如會不會在總公司部署文件服務器或者ERP服務器,讓下面的各個分公司使用等等。這些應用都會產生很大的數據流量。所以,若現在或者將來可能會採取這些應用的話,則企業在帶寬的申請或者×××設備的購置時,都要有這個預算。不然,等到需要時,再進行網絡的升級,很可能會產生重複投資的浪費。
2、訪問權限的設置與管理。利用虛擬局域專用網絡×××進行公司之間網絡的對接的時候,我們的設想是這對於用戶來說是透明的。也就是說,用戶在利用×××技術訪問其他公司的內部網絡時,跟訪問自己企業的內部網絡差不多。最簡單的說,分公司的財務人員在往企業總公司放財務報表的時候,不需要頻繁的輸入用戶名與密碼。這就是說,企業兩端的×××服務器需要設置統一的訪問帳戶與密碼。就好像現在有些網站推出的“一號通”功能,利用同一個帳號,就可以登陸博客、郵箱、論壇等等。根據用戶登錄系統的帳號,不但可以訪問企業自己內部的資源,也可以訪問總公司的資源。總之,用一句話來概括,就是要最大限度的讓用戶感受不到×××的存在。當然,要實現這個目標,就需要在不同公司的×××服務器進行統一的管理,並對訪問權限進行合理的配置;要對各個公司的用戶帳戶與密碼進行統一的規劃。
典型應用二
企業擴展虛擬局域網
隨着信息化技術的發展,有時候,信息化管理已經不再是企業自己的事情,更是一種跟客戶進行談判的手段。
如筆者企業,就有不少的老外客戶,他們在跟我們談訂單的時候,就特別強調,他們要能夠訪問我們公司的ERP系統,查詢他們訂單的處理進度。客戶是上帝,對於客戶的要求我們可不敢怠慢。爲此,我們就可以使用×××技術,實現企業擴展虛擬局域網,讓客戶也能夠訪問我們公司企業內部的ERP服務器。
企業擴展虛擬局域網,其就是來實現一個目標,就是讓企業的外部合作伙伴,能夠快速、安全的訪問企業的內部應用。其實現的原理,跟利用×××技術,對不同公司之間網絡的對接,是一致的。不過,外部合作伙伴畢竟不是自己的人,所以,在關注上面所提到的注意點之外,還需要關注一下內容。
一是數據的過濾。若有客戶需要訪問公司內部的ERP系統,那麼,公司當然不希望其看到其他公司的信息,也不希望看到公司的生產成本。客戶只能夠訪問他們自己企業的訂單相關信息,如訂單的生產進度、質量檢驗情況、出貨情況等等。而這些信息的話,通過×××服務器是沒法進行控制的,需要在應用系統中,如ERP系統中,進行帳戶設置並分配給其合理的權限。筆者企業的ERP管理員的做法是,爲客戶設置幾份報表,這幾份報表中包含用戶所關心所有信息。也就是說,客戶在訪問ERP信息的時候,只能夠訪問這幾份報表,而不能訪問其他內容。我們都知道,利用數據庫的視圖功能,可以實現數據的過濾,從而保障客戶不能夠看到其不應該看到的內容。
二是訪問內容的限制。在使用企業擴展虛擬局域網的時候,要先明確客戶需要訪問企業的哪些應用。一般來說,客戶只能夠訪問有限的應用,而不能訪問企業所有的內部網絡資源。可能企業允許客戶訪問自己公司內部對ERP系統、CRM系統或者報關係統等等,而不能訪問其他資源,特別是對主機的隨意訪問。所以,網絡此時就需要注意,給他們的帳戶在分配權限的時候,要遵循最小權限的原則。寧可他們認爲權限不夠時在進行調整,而不要一開始就給與他們太大的權限,讓他們可以訪問不該訪問的資源。
典型應用三
遠程訪問虛擬網
這是最常見的一種×××應用。遠程訪問虛擬網,是指當員工出差或者在家裏時,也可以利用×××技術,連上企業的內部網絡,訪問企業內部的ERP系統、文件服務器系統、甚至任何主機等等。遠程訪問虛擬網,相比以上兩種應用來說,要簡單的多。一方面,其一般都通過帳戶與用戶名進行訪問,所以,不需要進行很複雜的帳戶規劃;另一方面,一個人利用×××訪問企業的內部網絡,一般不會產生很大的數據流量,所以,也不用擔心×××服務器負荷太重。
不過,對於遠程訪問虛擬網有一個很頭疼的問題。像以上兩種應用,都可以通過IP地址來實現訪問權限的控制,即使帳號泄露了,但是,只要不在他們公司內部,就不能利用×××服務器訪問企業的內部網絡。因爲企業的IP地址往往是固定的,如此的話,訪問的時候,×××服務器會認爲IP地址不對而拒絕訪問。
但是,個人利用遠程訪問虛擬網登陸企業內部網絡的時候,就有一個問題。員工在外面出差,其使用的IP地址是不固定的,要是其密碼泄露了,則其他非法訪問者就可以輕鬆的進行訪問,因爲此時×××服務器不會檢測IP地址。只要帳號與用戶名對了,×××服務器就會放行。
所以,利用×××技術實現遠程訪問虛擬網,雖然不是很複雜,但是,其帳戶的安全性則是個大問題。這一點,我們網絡管理員要引起充分的重視。
本文出自 51CTO.COM技術博客