BizVNN异地安全邮件部署方案

Deployment for Company Secure Mail

BizVNN异地安全邮件部署方案

Instantly Application Deployment & Maintain and Upgrade Easily

BizVNN服务在不改变现有IPv4基础网络设施，不改变已经部署了的NAT或其它设备，也即不改变任何中间设备和网络环境的基础上，使得网络上的任意机器获得端到端的连通，使得任意网络应用获得安全的端到端的互通。BizVNN服务的目的就是要使得主机或设备（无论是否处于私网）之间可以获得端到端的完全透明性，并且支持部署任何网络应用！

1. 行业背景

随着经济全球化趋势和中国加入WTO，使得市场更加开放和竞争更加激烈。国内外市场环境要求国内的企业集团公司在经营理念与管理模式上能有较高层次的突破，以求在国际化竞争中保持优势。

本解决方案介绍的北京某金融公司（以下简称金融公司）成立于2006年。公司位于北京金融街，目前公司使用BIZVNN实现异地邮件的安全访问。

2. 行业需求

金融公司业务范围的拓展，旧有的专线方式已不能满足其异地的业务传输需要。因此，公司迫切需要启用一套先进的企业网路远程安全接入系统对公司各异地业务进行高效管理。

该系统方案所强调的要求如下：

ü 能实现公司与其异地业务部门的实时远程安全访问。

ü 各异地业务能够快捷方便的上传、集中到公司，及时反馈审核。

ü 能节省大量以往专线互联的成本，降低企业运营的资金投入。

ü 系统能够确保传输数据的安全及高效。

3. 解决方案

3.1 BIZVNN解决方案

虚拟本地网（BIZVNN）是指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。企业只需要租用本地的ADSL等宽带线路，连接上本地的 Internet ，各地的机构就可以互相传递信息；同时企业还可以利用 Internet 的拨号接入设备，让自己的用户拨号到 Internet 上，就可以连接进入企业网中。使用VNN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等优点。VNN无疑将会成为今后企业网络发展的趋势。

通过BIZVNN系统搭建的平台，使得异地的业务人员、出差在外的移动人员，安装 BIZVNN软件后，只需随时接入 Internet ，通过授权，访问相应的资源。公司和各业务点可分别设定允许接入的用户访问。

与传统的VPN比较，BIZVNN同样拥有安全的加密数据隧道的同时，具有如下优点：

v 无服务器：减少要维护的设备数。减少安全威胁。

v 高可靠性：由于没有一个或多个服务器，任何一台电脑的故障不会影响其它电脑的正常工作。

v 提高系统的整体带宽吞吐量：由于各台电脑各自直接访问有关的服务器，整体的带宽要大于系统中最小的带宽。只有在各地的用户都同时访问总部的服务器时，这时的系统整体带宽才等于总部的带宽。

v 提高网络速度：采用了内核驱动技术及数据流实时压缩算法（LZO）可以使带宽利用率高达90%以上，特别适合于邮件、文档文件、数据库等应用。文档在传输过程中，最大压缩比可达180%。

v 提高系统的灵活性：当在一个或多个地方增加了服务器或用户，不需对系统配置作任何改动。而通常的VPN，当在某一个分支机构里架设了新的服务器，需要重新考虑系统的架构以决定是在分支机构再加VPN服务器还是要求用户接入不同的服务器以访问不同的服务。

v 低成本快速增加带宽：如果要提高带宽，可以简单地多加一条或几条Internet接入服务即可。这些服务也可以采用不同的服务商的，从而提高系统的可靠性以及解决由于网通到电信之间的网路瓶颈。使用BIZVNN，无需改动装在用户机器上的程序的配置，对员工的正常使用不产生任何影响。

v 基于用户的访问控制：BIZVNN账号采用域名形式，因此除了可以通过本地防火墙对BIZVNN网卡进行基于数据报文的访问控制外，还可以特别地在BIZVNN管理界面中基于用户帐号进行访问控制。

3.2 网络架构与拓朴图

要建立一个信息化网络传输解决方案，最佳解决方案就是在公司、异地业务点之间建立一个BIZVNN局域网络，使得公司及各业务点之间能够利用现有的 Internet 来建立公司内部之间的专有网络，进行安全的业务数据传递。

根据BIZVNN解决方案，在公司的需要被远程访问的若干应用服务器上安装BIZVNN的客户端。不需要被远程访问的服务器上不必安装。这样可以提高系统的整体安全性。在远程用户的电脑上也安装BIZVNN的客户端。

公司实施了两级防火墙控制，应用服务器部署在一级防火墙的DMZ区中；二级防火墙后的公司员工办公网络受到严格的保护。BIZVNN的部署将不会破坏二级防火墙后的网络的安全。

4. 部署方案

4.1 原有应用的部署和测试

BIZVNN提供了一个安全的访问通道，本身并不提供应用。因此，部署BIZVNN之前首先确保需要实现安全异地访问的应用已经部署。

本方案将针对SAMBA文件服务和邮件系统进行测试，因此，需要在解决方案的示意图中的邮件服务器上首先确保：

v 邮件服务器上已经安装并且配置好邮件服务器软件；

v 邮件服务器在真实局域网中是的确能够工作的，即配置好相关防火墙规则；

v 对于SAMBA服务器，同样要确保在真实局域网中是能够访问到的；

v 如果需要增加ping测试，需要确保防火墙允许。

在访问端，需要注意并确保的是：

v 安装好邮件访问客户端，并且正确配置好，已经能够收发邮件；

v 网络邻居访问局域网中的机器正常；

v 能ping局域网中的其它机器。

4.2 安装BIZVNN

首先确保从BIZVNN得到商用的专门组，比如dpcafc组，确保这个组名是有效的，并且没有过期。

v BIZVNN为商业用户提供独立的组，其他公司组内的账号无法访问本组；专用组的更多特性请参考BIZVNN网站http://www.bizvnn.com/cn/contents/service_functions.htm。

v 用户自行决定组最多可以拥有什么账号，这些帐号的格式都是“用户名.dpcafc.vnn”；具体账号的注册和注销可以在下载安装了客户端后参见http://www.bizvnn.com/cn/contents/support_groupman.htm。

v BIZVNN提供组30天试用期，费用按年收取，超期后组将不再有效；

v 所有专用组中的账号都有固定VNN IP。可以像使用VNN账号一样使用VNN IP。VNN IP和传统的IP没有任何区别，就像VNN账号和传统的域名没有任何区别一样。

然后就可以开始开始BIZVNN软件的安装，软件可以从BIZVNN网站下载，安装和登录过程可以参考http://www.bizvnn.com/cn/contents/support_fastuse.htm。

如果您无法登录，请运行客户端中的“工具”的“环境探测”，要能正常使用BIZVNN，需要网络：

v 允许访问vns.bizvnn.com的TCP端口8000/8080/443/53中的任意一个；

v 允许访问stun0.bizvnn.com和stun1.bizvnn.com的UDP端口10000和6666；

v 最好能允许访问stun0.bizvnn.com和stun1.bizvnn.com的1000-3250间的UDP端口；

v 允许安装了BIZVNN客户端的机器上的UDP端口（在“高级设置”中的“系统”中的“绑定端口”可以设置为类似3808这样的固定值，缺省0意味着这个端口是随机选择并且动态变化的）访问外网；

顺利登录BIZVNN后，可以在界面的标题栏中看到自己的VNN账号和VNN地址。

4.3 测试BIZVNN

假设现在有两个BIZVNN成功登录，VNN账号分别是：mail.dpcafc.vnn和libj.dpcafc.vnn，下面我们就可以进行测试了。

v ping测试，在任意一端ping对方的VNN账号，可以顺利解析出对方的VNN地址，这时候可以在BIZVNN界面的“地址区”看到对方的账号，如果显示对方在线，意味着与对方成功建立了安全的VNN隧道了。

v 如果对方回应了ping，那么ping结果中的响应时间就是当前两者的网络速度的一个大致估计，正常为100ms左右，如果远远大于这个值，则直连效果很不理想。不适合大数据量应用。

v 网络邻居测试，在VNN地址表中的对方账号点击右键，选择“网络邻居”，就可以看到对方的共享文件了，这时候就可以像平常那样拷贝文件了。

v 邮件收发测试，在邮件客户端中增加相应邮件服务器上的账号，并且在mail服务器中配置为mail.dpcafc.vnn或者对应这个名字的VNN地址，就可以收发邮件了。

v 如果邮件收发不成功，在邮件服务器上运行netstat –ano，检查输出结果中mail端口是否绑定到了VNN地址（10.166.**.***）上或者0.0.0.0上。如果需要邮件服务器同时能为内网office用户和外网用户提供服务，必须保证邮件服务器软件能够设置绑定到多个IP上或者0.0.0.0上。

v 如果需要进行其他测试，比如HTTP/FTP测试，按照正常局域网中的方式安装配置。

5. 实施效果

BIZVNN网络建设连接之后，就可以使公司在访问异地业务点时变得自由、简单、灵活和安全。

谢谢您选择BizVNN。更多内容参见BizVNN网站。

返回顶部

下一篇：交换技术攻略:网络交换机配置技巧（下） >>