南美轮船(集团)公司是一家总部设在智利的船运贸易企业,是目前南美洲最大的船运公司,也是世界上历史最悠久的船公司之一。公司的航线服务遍布全球56 个国家,覆盖了南美、欧地、美加、中东和东南亚等地区,经营业务包括了集装箱船、散杂货轮、冷冻柜船、油船和滚装船等多种船舶的承运。
南美轮船(中国)船务有限公司大中华区总部设在上海,下设有3个公司,1个物流公司,7个分公司和3个办事处,为了保证整个中国区的数据通信,南美轮船(中国)船务有限公司需要建立一套技术先进、节省费用、能够满足长久发展的VPN通讯系统。
思科携手合作伙伴鸿驰为南美轮船(中国)船务有限公司 建设ASA VPN平台
南美轮船(集团)公司是一家总部设在智利的船运贸易企业,是目前南美洲最大的船运公司,也是世界上历史最悠久的船公司之一。公司的航线服务遍布全球56 个国家,覆盖了南美、欧地、美加、中东和东南亚等地区,经营业务包括了集装箱船、散杂货轮、冷冻柜船、油船和滚装船等多种船舶的承运。
南美轮船(中国)船务有限公司大中华区总部设在上海,下设有3个公司,1个物流公司,7个分公司和3个办事处,为了保证整个中国区的数据通信,南美轮船(中国)船务有限公司需要建立一套技术先进、节省费用、能够满足长久发展的VPN通讯系统。
根据这样的需求,思科携手合作伙伴上海鸿驰信息技术有限公司,为南美轮船(中国)船务有限公司在上海的总部与分部之间的通讯提供智能化的Cisco ASA VPN联接解决方案,将数据中心主通信和业务流程结合在一起,简化沟通的方法,实现了更高的沟通能力、协作效率、更快的决策速度和响应能力。
整体网络建设采取IPSEC VPN的方式,各分部租用中国电信、宽带线路,然后通过IPSEC VPN连接到上海总部。涉及的应用主要有核心业务系统等业务系统及OA、HR等企业ERP应用,未来可能涉及IP电话及视频监视控系统等。
员工接入采用客户端接入方式和无客户端接入方式,使用SSL加密方式。通过SSL VPN实现员工远程收发电子邮件,使用办公软电话,访问内网网站及其他办公系统。Cisco VPN客户端软件能够支持员工的便携电脑各种操作系统及平板电脑。
如上图所示,
南美轮船(中国)船务有限公司总部使用ASA5515作为VPN接入网关,分公司采用ASA5510 通过IPsec Site to site接入总部,移动办公接入选用SSL VPN接入方式通过anyconnect客户端或者浏览器连接总部。
对于小型办公室,配置一台ASA5505通过Easy VPN 接入方式,接入到总部的ASA5515。
对于员工远程办公需求,只需在客户端使用anyconnect软件或者通过浏览器接入到总部ASA即可。
在远程办公接入,主要是不同的员工可能有不同的需求,对于复杂应用需要使用客户端VPN接入方式,对于简单的Web应用可以直接通过浏览器接入(无客户端接入方式)。浏览器使用SSL(安全套接字)接入VPN网关。
对于客户端接入方式,主要有windowsXP/windows7/MACOS/Linux平台客户端要求,同时考虑到目前平板电脑的普及,越来越多的C/S应用的客户端大量移植到平板电脑上,以后会有虚拟桌面的应用需求,而且平板电脑的便携性更适合移动办公的需求。Cisco 的 VPN客户端能够支持Apple IOS/Android/Symbian/WindowsCE 常见的智能手机和平板电脑操作系统。利用Anyconnect客户端软件对操作系统的广泛支持,使用SSL协议接入VPN网关。
Cisco ASA集成了防火墙和VPN功能。
如果新建网络用户本身没有防火墙,ASA本身是非常出色的防火墙和VPN功能完美的结合产品。
优点:
a.直接使用ASA的外网接口IP作为VPN接入,节省公网IP地址。
b.VPN流量经过防火墙的状态检查,更加安全。而且只需在要一套访问策略。无需防护墙和VPN各配置一套策略。
c.部署最简单,因为VPN和防火墙的最佳部署位置是相同的,这种部署最为合理。
d.节省费用,只需要购买一台设备完成两种功能。
e.VPN地址池的IP如果有访问Internet需求(没有配置隧道分离),可直接利用防护墙的NAT公网地址池。
f.节省防火墙端口。
通常远程移动办公用户接入VPN都是在Internet的某个位置通过internet接入VPN。用户在接入VPN能够访问内网后,收发公司邮件,访问内网应用。同时可能用户也希望在此时能够访问internet,例如:通过百度查询相关信息。在没有隧道分离功能时,用户的Internet访问流量会通过客户端软件被发送到总部的VPN网关,然后再从总部访问Internet,这样必然会导致Internet访问速度较慢。
使用隧道分离功能,客户端在连接VPN网关时,VPN网关会将内网的网段信息推向客户端。客户端修改本地路由表,只有访问内网的流量才会被送往VPN隧道,访问Internet流量直接从物理网卡送出,无需绕道总部。这样必然提高了Internet访问的效率,同时减少了总部VPN隧道的负担,性能最好。