水电建筑施工企业VPN网建设部署与实践.docx

企业经营与项目管理

·109·

水电建筑施工企业VPN网建设部署与

实践

●索华炜/(中国水利水电第十三工程局有限公司)

【摘要】水电建筑施工企业普遍面临项目分散、流动性强、地处偏僻、入网环境不佳等特点，如何做好与总部的网络互联互通、确保信息的及时传递，始终是企业信息化建设的难点和重点。本文通过对中国水利水电第十三工程局有限公司建设VPN组网的实践，以部署实例初步剖析了组网选型、测试与部署的过程。

【关键词】施工企业信息化VPN组网

1项目背景

近年来，随着中国水利水电第十三工程局有限公司(以下简称公司)各项业务的飞速发展，对信息化建设有了更高的要求。为实现办公自动化系统、项目管理系统、及时通信系统、财务系统以及内部文件共享等多种应用的协同高效，需要构建安全、稳定、高效的基础互联网平台。

在必须组建数据共享和互通的大前提下，公司考察了直接引联专线、租用运营商专线以及VPN(VirtualPrivateNetwork,虚拟专用网络)专线三种方案，并对各种方案作了如下对比：

(1)直接引联专线：因公司众多工程项目分布于国内外不同地域，仅国内部分重点项目部布设专线，技术也将十分复杂，且需花费大量资金，基本无法实现。

(2)租用运营商VPN专线：费用较高，并且是持续投资，每年都需为租用的专线支付租用经费。经测算，平均租用1.5年的租金，就可以自建一套私有VPN。并且，对于移动性质较强的各项目部，租用运营商定期收费性质的VPN会产生大量的重复投资，无形中造成公司资产流失。

(3)自建VPN专网：私有VPN系统已经在公司的上级单位得到应用，可满足公司建设需求。对比(1)、(2)两种方式，其优点投资相对较少，方便组网。只要设备能够接入互联网，就可以与公司总部建立VPN连接。

通过对必威体育官网网址性、稳定性、安全性、易修复性、投资回

报比等多重考虑，结合上级单位的VPN组网方案，决定选用自建VPN专网的组网方案，实现快速建网。

2项目实施方案

以公司天津总部为总部端，部署一台高性能的VPN核心设备；各项目为分支端，参考接入人数及互联网带宽采购相应的VPN设备，分别与总部端VPN核心设备采用IPSECVPN,组成公司级VPN专网(见图1)。

移动用户

移动用户

大型分支

小型分支

总部

图1公司级VPN专网示例

3项目组网设备选用

3.1组网设备选型依据

3.1.1安全性原则

VPN的运行基础是Internet,所有数据经过Internet

·110·

水利水电施工2013·第3期总第138期

进行交换，而这些数据都是组织机构的私密信息，不允许为无关人员所知。同时，VPN是在开放的Internet平台之上构建的虚拟网络，必须保证没有获得授权的用户无法接入VPN

综合考虑应用和需求，VPN的安全性应有以下五层含义：一是用户身份的安全；二是接入终端的安全；三是数据传输的安全；四是权限访问安全；五是审计的安全。五大安全全面保障VPN的安全性。

3.1.2高速性原则

异地协作最大的制约因素就是速度方面的问题，缓慢的访问速度大大降低了员工的办公效率。网络速度低下的原因可分为：跨运营商访问、传输数据量冗余、高丢包高延时的恶劣网络环境、手持移动终端的无线访问。而从优化的层次来看，可分为线路、传输协议、数据、应用4个层次。所以，选型时需要从这四个层次入手解决远程办公速度低下的问题。

3.1.3易用性原则

对于终端用户而言，如何保证VPN使用的简单易用是非常重要的一个方面。不少终端用户和项目部网络管理人员计算机技术水平不高，其在使用VPN时最核心的需求是为了接入总部内网进行远程办公。在其接入和办公的过程中，就需要最大限度地简化其复杂度，避免繁杂的客户端配置及操作，最大限度地提高用户的办公效率，从另一方面也大大降低了网络管理人员对整个VPN客户端的维护工作量。

3.1.4稳定性原则

VPN支撑着公司大部分信息系统远程协作，分支机构及移动办公人员都需要依靠VPN所承载的办公平台，进行日常的办公和事物的紧急处理。一旦VPN出现故障，将直接影响到其上所有人员的正常办公，严重的甚至将导致业务的中断，酿成重大的网络事故，造成的损失将难以估量。所以，对于VPN这张基础承载网络，保持长时间、高稳定的运行显得尤为重要。

3.1.5合理、便利的管理

从IT部门工作的角度出发，除了需要保证应用的发布安全、用户的使用方便快捷、网络的稳定性外，还需要考虑到网络管理的合理化，保证网络管理的有序性、安全性、便利性，提高管理效率，降低管理风险。

3.1.6基础网络组建便利性