企業需求

　　現在有家企業，其有兩個辦公地址。一個是位于郊區開發區的生產加工廠;另外一個是位于報關中心很近的外貿公司。其實這兩家企業，從法律意義上來說，是兩家公司。但是，其實其老板就是一個。雖然這兩家企業分處兩地，但是，企業希望這兩家企業的內部網絡能夠互相訪問。具體的來說，需要實現如下需求。

　　1、開發區的生產企業已經在網絡上部署了企業資源計劃系統即ERP項目的應用。現在企業希望，在市區的外貿公司仍然可以方便的訪問生產企業內網上的ERP系統。另外，在生產加工企業內網上，還部署了文件服務器。企業也希望外貿公司的員工可以正常的對文件服務器進行訪問，包括文件的讀取與存儲。

　　2、文件備份策略。在生產加工企業，為了終端用戶文件的安全，在生產加工企業有文件備份服務器，每天定時的對用戶終端的電腦進行備份。本來的話，也可以在外貿企業設立文件備份服務器，但是考慮到外貿公司只有五個員工，若為他們專門設置文件備份服務器的話，那就顯得比較浪費。企業希望，他們外貿公司員工終端上的重要文件，也能夠備份到生產企業的文件備份服務器上。

　　現在需求就聚焦在一個點上，如何讓兩個分處各地的辦事處內部網絡能夠互相訪問，同時要保障訪問的速度與安全不會出現問題。

　　一、 利用VPN把分處各地的網絡有機的聯系起來

　　若我們想把企業的兩個異地內部網絡有機的聯系起來的話，個人認為比較合理的方式是采用寬帶路由器+ADSL撥號的方式，然后再結合VPN(虛擬專用網)技術來實現兩個內部網絡的連接。這個方式可以實現兩個內部網絡之間的高速、安全的數據傳輸。

　　首先，利用VPN技術可以保障兩個內部網絡之間數據訪問的安全性，如外貿公司在利用VPN技術訪問企業的ERP系統查詢客戶信息或者定單信息的時候，就可以保障這些數據在VPN中傳播的安全性。VPN是虛擬專用網的簡稱，他的基本原理就是在公共網絡上，為通信的雙方開辟一條獨立的通道。在通信的過程中，其他未經授權的數據包是不能闖入這個通道中的;同時，還可以結合數據加密技術，保證在隧道中傳輸的數據是加密處理過的，就算有些不法之人有這個技術能夠闖入這個隧道獲得這些數據包，但是因為加密過的，所以，他們取得這些數據包也是一無用處。

　　其次，利用ADSL撥號上網的方式，基本上可以滿足企業在速度方面的需求。ADSL現在的速度還是比較可以的，一般來說，可以達到2M/秒。若企業去申請一個企業帳號的話，速度會更快，當然所需要的帶寬越大，其費用也就相對來說比較高。除非企業想在兩個辦事處之間部署視頻會議等應用，否則的話，2M的帶寬已經可以滿足企業日常兩個辦事處內部網絡之間的互相訪問，包括對企業資源計劃系統與文件服務器等大型信息化管理系統的正常訪問。

　　再者，個人認為這種解決方式是比較物美價廉的。一方面，現在ADSL的價格不是很貴，特別是若采用包年的方式的話，2M帶寬一年的費用一千都不到，企業完全可以接受;同時，為VPN技術配置一個寬帶路由器的話，也不需要多少的成本。另一方面，利用這個方案的話，采用VPN技術，可以保障企業內部網絡訪問的安全性。利用比較少的成本，來實現速度、安全方面的需求，都是一個比較明智的選擇。

　　其實，有時候我們也不一定要在寬帶路由器上實現VPN技術。想現在的服務器，如微軟的2003服務器已經可以實現VPN的技術支持。也就是說，現在VPN技術不僅可以在硬件上實現，而且，還可以脫離硬件，通過軟件直接實現企業外部用戶通過VPN技術訪問企業內部的網絡及其所部署的信息化應用。

　　不過，話說回來，利用這個解決方案的話，畢竟是一個折中的方案，外貿公司想要訪問生產企業的內部服務器的話，還是會受到一些限制。如首先要保證，外貿企業與生產加工企業的內部用戶都能夠順利的訪問外部的公共網絡，如此的話，才有可能在彼此雙方之間建立通信。所以，有時候因為一些意外事故，如地震或者因為施工不小心把光纜挖斷了，導致某一方不能順利訪問公共網絡的時候，就會產生問題了，他們彼此之間將不能訪問，直到這個故障被清除。

　　另外一個問題就是，在彼此雙方都要建立一個VPN的訪問監督機制，來稽核利用VPN通道訪問企業內部的網絡用戶是否都是合法的，有沒有非法的入侵者。在企業內部網絡中，可以通過防火墻等技術手段，把企業的內部服務器及其終端系統跟外面的公共網絡隔離開來，從而保障內部網絡不受外界的干擾。但是，現在若采用了VPN等外部連接方案的話，若用戶帳戶與密碼泄露，若外部人員就可以輕松的通過虛擬專用網絡訪問企業內部信息。可見，VPN技術雖然安全性比較高，但是，若帳戶與密碼泄密的話在，則一切安全技術手段都將沒有用處。所以，采用這種解決方案的話，會加重網絡管理員在企業網絡安全上的管理負擔。

　　二、 利用NAT技術把內部計算機放到網上去

　　NAT是網絡地址轉換的簡稱。他符合國際上的IETF標準。簡單的說，NAT技術是把企業內部網絡的地址轉換成一個外部可以辨別的合法地址，然后，別人就可以根據這個合法地址訪問企業內部的計算機。我們都知道，現在公共的IP地址數量非常有限，以前設計者也沒有考慮到網絡會普及的這么迅速。所以在IP地址缺乏的情況下，有的企業可能只具有一個合法的IP地址。所以，這就限制了企業外部用戶對于企業內部計算機的訪問。而現在NAT技術，就是把企業內部網絡上的電腦通過一定的技術手段跟企業的外部合法地址對應起來。如此的話，外部訪問者只要通過訪問這個公共的IP地址，而不是電腦的私有地址，就可以找到自己需要的信息。

　　如現在企業的加工企業有一個FTP服務器，外貿企業需要每天從這個服務器中上傳與下載文件。但是，加工企業只有一個合法的IP地址，同時，為了安全的考慮，把FTP服務器是放在企業的內網上，也就是說，FTP服務器是一個私有的地址。一般情況下，外貿公司跟加工企業分屬兩個不同的網絡段，所以，外貿企業的員工是不能訪問到FTP服務器的。但是，我們現在有一種技術，可以把這個私有的IP地址跟合法的IP地址對應起來。當外貿企業通過IP地址與端口號或者服務協議訪問時，NAT服務器就可以幫助用戶找到其內部對應的電腦，然后連過去，讓外部人員進行訪問內部的FTP服務器。類似的道理，通過這種手段，可以把加工企業內部的文件服務器、ERP系統服務器等等都一一的對應到合法的IP地址上，如此的話，外部就可以通過這個合法的IP地址，進行訪問加工企業內部的服務器。

　　同樣，現在NAT技術不僅可以在硬件設備上實現，如思科的路由器上，同時，也可以在軟件上實現這個功能。若企業的資金實力雄厚，可以購買專門的NAT服務器來實現這個功能。而若企業的資金有限，覺得購買專業的NAT服務器力不從心的話，則可以采用軟件來實現NAT技術。如微軟的2003服務器已經可以實現這個技術。不過一分錢一分貨，專業的NAT設備的話，其無論從性能，還是從管理上，都上依靠軟件模擬實現無法比擬的。所以，企業要根據自己公司的情況，NAT的利用程度及實現的應用不同，進行恰當的選擇。若企業要憑借NAT技術實現大型的應用，或者對于安全上要求比較高的話，最好采用專業的NAT服務器設備，以保障在性能與安全上都有一個滿意的回報。

　　NAT有很多工作方式，不過最常用的工作方法為根據端口來轉換。利用這種方式的話，所有的信息流看起來好象都來源于同一個IP地址。這個特性可以把企業內部的電腦屏蔽起來。也就是說，外部訪問者只知道我現在訪問的是一臺IP地址為多少多少、端口是什么什么的電腦。但是，其并不清楚，其訪問的電腦是哪一臺。根據端口來進行轉換，這是中小企業采用NAT技術的首選的工作方式。

　　NAT技術的另外一個比較吸引人的特點就是對于用戶來說，是完全透明的。也就是說，我現在外貿公司的員工需要訪問公司的FTP服務器時，其并不需要知道我內部電腦的IP地址或者端口，他只需要知道，企業的公網的IP地址，不過，我們一般用的都是域名即可。NAT服務器會根據用戶所訪問的服務，去自動對應內部的服務器。所以，外貿企業不用去記憶哪些生澀的端口之類的信息。對于他們來說，他們無論是要訪問企業的FTP服務器還是訪問企業內部的文件服務器，他們都只需要知道一個名稱即可。而到底是訪問企業內部的哪臺電腦的話，這是NAT服務器會自動判斷的。