远程移动办公系统三步走_企业

远程移动办公系统三步走

2003/06/24

　　传统的移动办公环境还存在着许多未能解决的问题。今天企业所追求的是真正的移动办公环境，尤其是经历了一些突如其来的天灾人祸，使企业真正意识到移动办公的必要性。以下我们从技术的角度去分析，如何实现真正的远程/移动办公系统：

远程/移动办公的实现

　　1，保证远程/移动办公的安全性

　　传统上通过调制解调器或专用线路连接互联网用户的方式正逐渐被新兴虚拟专用网（VPN）所代替，VPN使用户无论身处何方，都可以随时通过互联网安全地通信。VPN的商业优势非常吸引人，许多公司都开始制定自己的战略，利用互联网作为他们主要的传输媒介，甚至包括商业秘密数据的传输。今天，北电网络提供的 Contivity 解决方案不仅使企业用户可以建立各种类型的VPN，而且还可以把这些VPN集成到融合话音和数据的网络中。在北电网络看来，明天的VPN将发展成为高速、安全的网络，它将在公共互联网上安全融合所有业务，包括数据、话音和视频业务。

　　当企业借助互联网进行商业活动时，都必须采取特殊的保护措施，以保证重要信息在公共互联网上传输时不会被泄露，而Contivity IPSEC VPN就是极好的选择。IPSEC 有效地保证了数据的私密性(Confidentially)，完整性(Integrity)，鉴权(Authentication)和可查性(Non-Repudiation) ，是目前极安全的虚拟专网技术。

图一构建远程/移动办公环境步骤1采用IP-VPN构成私有专网增进数据通信业务

　　Contivity IPSEC VPN 可以用来安全连接企业数据中心与企业的分支机构，分支机构与数据中心的数据交流被 Contivity IPSEC VPN 安全保护，使企业得以构建在公共网络平台上，成为一个安全的虚拟企业实体，如图一所示。

　　企业总部/数据中心基本采用DDN专线或租用以太网链路连接到本地服务提供商（ISP），此时Contivity （Contivity 4600/5000)获得固定的合法IP地址，大型远程分支机构同样可以采用DDN专线的方式连接到本地服务提供商（ISP），此时分部的Contivity(Contivity 2700/1700)同样获得固定的合法IP地址，这样两点间可以方便地通过IPSEC VPN建立起安全隧道，有的小型分支机构可能租用ADSL/xDSL链路，此时Contivity(Contivity 1000) 可能获得动态的合法IP地址，这种小型分支机构采用非对称分支隧道（ABOT）的方式连接到企业总部/数据中心，实现安全数据交换。有些SOHO型的远程分支机构可能坐落在网络最边缘的位置，此时Contivity(Contivity 600/1000/100) 可能获得动态的非法IP地址，因此该远程分支机构向企业总部/数据中心连接隧道时，必须经过网络地址的转换（NAT），要实现IPSEC VPN 的网络地址转换并不是简单的事情，涉及到相当的技术难点，而北电网络Contivity 解决了该问题，使得一个虚拟的企业实体可以不受地域的限制而延伸到网络的最边缘。

　　一般情况下，IPSEC VPN的网络依靠静态的安全联盟（ Security Association )实现静态路由选择，如果企业的规模不断扩张，静态路由的可扩展性受到了限制，要让动态路由直接运行在IPSEC VPN隧道上并不是轻而易举的事，北电网络Contivity 采用了SRT（Secure Routing Technology) 技术解决了该问题。SRT是一种软件构架，是所有Contivity IP业务的基础。它在设计上将安全性内置到所有Contivity操作组件中。安全路由选择（SRT）支持动态路由协议直接承载在IPsec隧道上的。传统的路由器以及许多VPN/防火墙设备经常需要为每组IP地址对提供单独的加密隧道或只允许在这些隧道上实现静态路由，为此必须人工配置可达子网地址。

图二构建远程/移动办公环境步骤1通过Split Tunneling对因特网的访问

　　远程/移动办公室用户对因特网的访问可以采取两种方式，1、所有远程办公室及远程移动用户通过企业总部/数据中心统一访问因特网，该方式的优点在于可以统一控制所有用户对因特网的访问，缺点是所有对因特网的访问必须流经IPSEC 隧道及企业中心，加重了网络的负担。2、通过Contivity 的Split Tunneling 的机制，使远程/移动办公室用户及远程移动用户可以不经过IPSEC 隧道，直接在本地访问因特网，如图二示，该方式的优点在于各分支及用户对因特网的访问不增加企业骨干网络的负担，缺点是不容易对因特网的访问实现集中控制。在采用方式2（Split Tunneling)访问因特网时，各远程/移动办公室的Contivity必须加载防火墙许可证，以拦截来自因特网的攻击，而在移动用户的个人电脑上建议加载个人防火墙系统（如Sygate),以确保网络安全。

　　2，保证远程/移动办公的可移动性

　　以上的解决方案我们看到，企业的数据与话音处于分离的网络环境，从数据通信的角度看，已完全实现了移动办公的目标，可以作为企业转向移动办公的第一步。要实现完全的移动办公环境，还必须实现话音的移动性，即让员工的固话（分机）随之而移动，保证企业业务的连续性，如图三所示。

　　在企业网上加载北电网络话音设备（BCM，CSE1K或ITG/M1），再配合上北电网络的IP电话i2002/i2004，或在移动用户的PC上安装i2050 软体电话，则可实现员工的固话号码（分机）随员工的移动而移动，无论员工身处何方（在异地办公室或出差在外），都可用统一的分机号码联系该员工，保证业务的连续性。而传统的PSTN话音网络仍可作为企业外部的联系方式，或作为企业内部的话音备份链路。

北电网络的优势

　　北电网络采用领先的技术，解决了在IPSEC VPN 上实现动态路由及NAT的问题，为企业利用IPSEC VPN建网，实现远程/移动办公扫除了一切障碍。让IPSEC VPN 的建立通向网络边际，并让动态路由协议跑在IPSEC VPN 内，保证了建网的灵活性。

图三构建远程/移动办公环境步骤2VPN上VoIP话音集成提供完整的远程/移动办公

　　BCM、Succession1K或ITG/M1语音服务器，及i2002/i2004/i2050 IP电话是业界领先的VOIP产品，使企业的数据与话音融为一体，并实现了话音的可移动性，使员工无论在何时何地，均可通过其分机号互相沟通，实现真正的移动办公。语音及数据均承载在IPSEC VPN上，保证了企业通信的私密性。

　　WLAN2200 是北电网络无线局域网产品，实现了企业园区内用户办公的可移动性。

图四构建远程/移动办公环境步骤3VPN连接无线局域网提供移动即时办公连接

　　北电网络为企业实现真正的移动办公提供了全面的解决方案，使企业无论在何时何地均能保证业务的移动性；提高员工的工作效率；加速企业的响应能力；扩大企业业务覆盖范围；降低运营成本以提高竞争力；提供业务服务的灵活性，最终使网络连接更多的员工，企业获得更大的产出。

赛迪网中国信息化(industry.ccidnet.com)