安通公司是一家从事路桥工程的施工企业，公司现有总公司、十个子公司和数十个项目部，分散在全国各地。随着公司业务的快速发展，迫切需要信息化支撑环境，使办公自动化和工程项目管理水平登上一个新台阶。在信息化建设过程中，目前企业需要解决以下几个问题：　

　　带宽问题：总公司和几个子公司目前已建成局域网，但总公司和子公司都只有ADSL线路上互连网，主要用于公司间通信和员工查询资料。随着企业办公系统、项目管理系统等应用需求逐步扩大、公司之间来往数据量的不断增加，一条ADSL线路已经远远满足不了速度及带宽的要求。

　　资源共享问题：企业各部门都有自己的业务应用软件，由于子公司、项目部极为分散，各种信息资源如软件、文件、数据等无法共享和统一，造成了许多麻烦和资源浪费。　

　　信息交换问题：总公司需要及时地了解子公司、项目部的生产经营状况，汇总、统计各项目部数据，以便于总公司做出决策分析，最快限度地适应市场变化。　

　　目前子公司的数据都是通过传真和邮件的形式发送，数据传递缓慢，无法自动汇总。因此，需要一种有效的、快速的、安全稳定的互联方式和相应的管理软件来解决所有子公司、项目部与总公司之间的信息交换问题。

　　安全性问题：工程信息包括财务数据、项目基本情况、生产数据等，必须有很好的安全机制来保障。现在网络上的黑客泛滥，为增加安全性，提高防御能力，必须有一种安全稳定的互联方式来保证数据通信的安全性需要。

　　通讯问题：总公司需要直接能够查看项目部的现场情况，并对某些难以解决的问题进行项目会诊；总公司与分公司之间的通讯费用已经逐渐成为公司内部运营成本的一个相当重要的组成部分，其占有的比例正在逐年增加。如何有效降低这部分成本，甚至实现零成本通讯是公司亟待解决的问题。　　

　　*选型相中VPN　

　　VPN（Virtual Private Network，虚拟局域网）是随着Internet的广泛应用而迅速发展起来的一种技术，实现在国际互联网上构建私有专用网络。“虚拟”主要指这种网络是一种逻辑上的网络，它并不实际存在，而是利用现有公共网络，通过资源配置而成的虚拟网络。　

　　从VPN用户角度看来，使用VPN与传统专网没有区别。VPN作为私有专网，一方面不会被承载网络中的其它VPN或非该VPN用户的网络成员所使用；另一方面，VPN能够提供足够的安全性，确保VPN内部信息不受外部的侵扰。

　　VPN技术具有以下优势：

　　首先是低成本。VPN建立在公用网之上，利用公共网络进行信息通讯，使企业以更低的成本连接远地办事机构、出差人员和业务伙伴。　

　　其次，易扩展。支持驻外VPN用户在任何时间、任何地点的移动接入，只需要通过软件配置就可以增加、删除VPN用户，无需改动硬件设施,这使得VPN的扩展具有很大灵活性。

　　第三，安全可靠。在远端用户、分支机构、子公司与总公司之间通过加密隧道建立了可靠的安全链接，能够确保数据传输的安全。

　　构建VPN可通过多种途径，一般VPN接入可以采用两种方式：场点至场点或移动VPN接入。场点至场点的方式适合有固定办公地点的分支机构，通过专用VPN设备与中心VPN设备建立VPN隧道，其优点是客户PC不必作特殊配置、减少中心VPN并发连接数量；缺点是设备配置复杂、需要购买专用硬件设备。　

　　移动VPN接入方式适合无固定办公地点的移动用户，通过在移动用户的主机上安装VPN客户端软件直接建立与中心VPN设备的VPN隧道连接。其优点是需要接入的用户不必购买专用VPN设备，但需购买VPN客户端软件，并对客户端软件进行配置，且中心的VPN并发连接数量增加。　

　　*用VPN解决企业互联问题　

　　从以上对VPN网络的分析可以看出，VPN技术可以很好地解决企业互联的问题，在此基础上构建的企业Intrannet将能够提供一个快速、安全、可靠的信息平台，我们决定采用VPN技术实现安通公司工程信息网。　

　　安通公司工程信息网络建设采用层次清晰的分级结构：以总公司为核心结点，其它子公司为二级结点，核心结点与二级结点之间采用通过Internet构建的VPN隧道连接，同样移动办公用户也通过Internet建立与核心结点的VPN连接。

　　为了提高网络带宽、保证网络畅通迅捷，安通公司采取了租用专线的方式连接互连网。总公司租用8兆带宽的专线，配备中心VPN接入设备(交换机、防火墙)，连接子公司的远程办公用户；子公司租用2兆带宽的专线，配备接入设备，采取场点至场点的接入方式连接总公司网络中心；项目部由于其移动性比较大，采用ADSL或宽带，配备VPN客户端软件上网；其他驻外零散人员通过电话配备VPN客户端软件上网。

　　各公司内部局域网采用三层交换和VLAN技术，构成工程信息网内各业务子网，主要设备以1000M的速率互连，交换到桌面的速率为100M。内部网与外部网之间采用防火墙技术进行网络安全和网络控制。

　　另外，为解决电话通讯问题，在VPN网络基础之上，增加VoIP (Voice over Internet Protocol,互联网语音协议)设备和视频设备，实现企业IP电话功能，并提供IP视频服务。 　　

　　 *选择思科作为合作伙伴　

　　在VPN中心接入设备的选择上，选择了Cisco Secure PIX 525防火墙，实现了在Internet或所有IP网络上的安全保密通信。它集成了VPN的主要功能——隧道、数据加密、安全性和防火墙功能，能够为网络客户提供一种安全、可扩展的平台，使客户能更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。

　　在VPN分支接入设备的选择上，选择了Cisco PIX 506E防火墙，其经济性、高性能和强大的远程管理功能的特点，尤其适用于为远程/分支机构保障互联网连接。Cisco PIX 506E防火墙可以在单独的一个设备中提供丰富的安全服务，包括状态监测防火墙、VPN和入侵防范等。

　　分支接入软件则采用思科公司的VPN CLIENT软件，设置比较简单，支持思科公司独有的EASY VPN技术，轻松地与VPN接入中心的PIX525建立VPN连接隧道。　

　　核心交换机选择Cisco Catalyst 4506交换机，实现无阻碍地为第2/3/4层交换提供集成式弹性，并进一步加强了对融合网络的控制。高达60G的背板带宽完全可以满足总公司现有网络和未来网络扩展的需求，可用性高。融合语音/视频/数据网络能够为企业将来要计划实施的IP网络扩展需求如视频提供很大的业务弹性。

　　根据网点的分布位置和密度，接入层交换机可采用Cisco的Catalyst 2950G-48、Catalyst 2950G-24。Cisco Catalyst 2950系列是固定安装的自适应快速以太网桌面交换机，具有增强的服务质量和组播管理特性，使用基于Web的集群管理套件进行管理，可以为局域网（LAN）提供极佳的性能和功能。

　　*实施之后初见成效　

　　建立在VPN工程信息网络之上的软件系统按逻辑划分为3个子系统，分别是：工程项目管理系统、远程教育培训系统、基于IP的视频监控和项目会诊系统，通过有机整合成为工程信息管理平台。

　　其中，工程项目管理系统是平台的主要功能，完成工程数据的采集、汇总统计、查询、项目管理以及决策支持；远程教育系统通过网络可直接连接到项目部，为企业员工提供项目管理培训；基于IP的视频监控系统，以最低成本实现基于互联网的视频监控需求，可对远程办公场景、工程现场等场地进行实时监控和项目会诊，便于上级部门随时查看和掌握项目部施工地点的动态情况。

　　高性能Intranet

　　总公司与子公司及项目部之间形成的VPN网络如同一个虚拟的局域网，经过加密和压缩隧道传输的数据都是经过安全认证的流文件，保证了企业互连的安全性。由于使用宽带专线，保证了企业内部数据传输的速度。先进的防火墙隔离各单位自身的应用系统，保证了安全性和兼容性。　

　　在总公司中心服务器上安装了基于B/S结构的工程信息网管理系统，使每个子公司、项目部员工及移动人员都能直接访问、操作和查询。该系统最大限度地提高了管理效率，将全公司的所有项目进展情况及员工工作情况都纳入到管理流程中，便于领导层管理和掌控最新信息。　

　　丰富的网络应用　　

　　由于实现了广域互连，总公司和所有的子公司在一个虚拟局域网之内，部门的各种应用软件和文档资料实现了共享,不仅使用方便,也节约了成本。

　　在总公司建立了内部的FTP服务器，子公司、项目部用户直接通过内网固定地址将数据上传到FTP服务器上或从服务器上下载文件，既安全又方便。

　　建立了视频监控系统，每个项目部都安装了基于IP的摄像头，能够随时查看施工情况，并进行项目会诊。　

　　安装了即时通讯系统，使企业所有员工都能在网上进行通信交流，并可实现网上培训等工作。

　　“零费用”IP电话　

　　通过配置VoIP设备，建立了基于IP的企业内部电话系统，实现了企业内部真正的零通讯，节省了大量的通讯费用。　

　　安通公司在实施了VPN工程信息网架构之后，可以在网络上安全地实现多种应用，并最大限度地保障这些服务的运营能力，最大可能地降低企业运营的成本，提高了公司的整体工作效率和管理水平。