我在一家只有2个办事处的小保险公司工作。 现在,如果另一间办公室出了问题,那只是短途旅行。 但…
这家公司正在扩张,到今年年底在美国将增加4-5个办事处。 我的老板认为,正确的解决办法是将所有的办公室都安装在VPN上,以便远程访问服务器。 我担心的是,我不能用VPN来推送所需的软件/操作系统更新,因为这不是一个永远在线的连接。 他担心的是,他不想在内部有任何东西,比如所有卫星办公室的防火墙或networking连接。
请记住,我自己和我的老板拥有和Paula Abdul一样多的networking经验。 什么是最佳的设置
一般来说,将远程办公室(称为广域网或WAN)连接到中心局的策略沿着专用连接与非专用连接的方式分离。 这些线路实际上有些模糊,因为您的公司实际上不可能真正将线路连接到远程办公室,所以实际上,您总是依靠在别人的networking上进行远程连接。 但是,连通性对您的使用的程度可能会有所不同。
传统的WAN连接已经通过“租用线路”完成。 这些是由电信公司提供的数据电路,出于您的目的,在您的办公室之间build立专用的点对点连接。 (实际上,您的数据通常与其他数据一起多路复用,并通过电信networking内的高容量电路传输)。这些电路通常相当可靠,通常由服务级别协议(SLA)来描述,这些协议描述如何处理停机时间以及正在购买什么级别的服务(带宽,延迟,正常运行时间等)。 与其他远程连接方法相比,这些电路传统上相当昂贵。 这种types的连接是严格的点对点数据,通常不提供互联网连接。 许多提供商提供“pipe理”将远程办公室连接到电信networking(称为客户端设备或CPE)的设备的选项,使得WAN连接可被视为“交钥匙”。
在虚拟专用networking(VPN)的范围的最远端允许在互联网上创build“虚拟”networking。 理论上,您可以从任何ISP获得每个远程办公室的Internet服务,并且由于任何Internet端点都可以与任何其他Internet端点通信,因此可以使用VPN硬件设备或软件通过Internet创build虚拟networking。 成本可能会非常高,但是最终不能保证服务的可靠性,带宽,延迟等等。与您所涉及的每个ISP相关的SLA通常不会对所达到的整体服务级别产生任何影响通过VPN,因为它不太可能与VPN通过的每个networking运营商都有SLA。 在VPN场景中,每个办公室最终都将互联网连接作为连接到互联网以支持VPN的副作用。 但是,您可以select通过中央集线器运行用户Internet访问,以提供过滤或日志logging。 VPN可以“永远在线”,但可靠性不能保证。
在这个频谱的中间,提供了诸如多协议标签交换(MPLS)(以及在前几年,帧中继)的产品,其提供了专用连接的外观,而实际上,更像是运行在MPLS提供商自己的VPN上networking(通常称为“云”)。 定价与MPLS产品的传统WAN连接接近,但SLA通常与传统WAN连接的定价更为接近。 许多MPLS产品都与每个远程站点的Internet访问捆绑在一起,但与VPN解决scheme一样,您可以select集中集中用户Internet请求。 许多MPLS提供商提供“pipe理”远程办公室的CPE的选项,使您免于维护该设备的任何责任。
在某些地理区域,您可以通过城域以太网等服务获得非常高速的WAN连接。 通常这些服务具有传统WAN和VPN / MPLS风格连接的特点。 根据供应商或所选的价格点,SLA可能会大不相同。
贵公司的具体答案将取决于您的带宽,延迟,可靠性,预算以及未来的增长/应用需求。 没有“一刀切”的解决scheme。 我build议从不同的供应商处获得报价,并提出很多问题。 除非您确定您select的解决scheme适合您的业务,否则我会对长期合同保持警惕。
您可能需要考虑让涉及的顾问使用“WAN模拟器”硬件或软件来模拟各种types的WAN连接,通过这些连接您可以testing现有的软件应用程序。 知道你的软件将通过各种types的广域网连接工作,这是我select连接types之前认为的关键。 您可以预先花一点钱,但是您可以放心,您的最终WAN连接select将适合您的业务。
他担心的是,他不想在内部有任何东西,比如所有卫星办公室的防火墙或networking连接。
那么,你将不得不有一些networking连接的东西。 根据办公室的规模,我会build议像ASA5505,如果他们小于10人。 或更大的模型更多的人。 那么你最好的select是在所有的办公室之间build立一个点到点的VPN。
你将有一个设备,你将不得不依靠获得互联网接入,所以为什么不把它设置一个P2P VPN的东西?
这听起来像你需要研究站点到站点VPN和仅运行VPN客户端之间的区别。 对于站点到站点,它们就像在你的networking上一样,任何启动操作(GP启动的安装等)都可以工作,尽pipe它们在WAN上运行得慢一些。 你应该看看你的中央办公室的带宽是否足够。 对于远程办公室,站点到站点是最好的。 购买具有VPNfunction的兼容路由器。
我不明白你老板的要求 如果你们正在与主要办公室进行任何forms的文件共享,那么他们需要依赖中央办公室。 混合方法是在每个本地有一个小型文件服务器,并与中心局进行networking映射。 它的速度更快,他们仍然可以进入中央办公室。 当然,你需要将这个服务器备份到某些东西上,比如本地的NAS或磁带机。
最后,你不需要“永远在线”VPN来推送任何东西。 这完全取决于你用来推出更新的东西。 有很多方法可以做到这一点,其中许多方法并不总是要求。 根据更新的大小,您可能需要将这些文件存储在远程文件服务器上,然后编写脚本进行安装,而不是通过广域网进行下载。
我照顾几个远程分散的办事处,这些办事处通过站点到站点IPSec隧道以集线器/分支拓扑进行远程连接 – 每个分支(远程办公室)都可以连接集线器(HQ)上的资源,但不能互相连接。 每个位置都有一个互联网连接(T1和ADSL),这是一个小型,廉价的防火墙/路由器设备,用于维护IPSec隧道并为办公室提供Internet访问。
由于每个远程位置的需求都是最小的,所以terminal服务器很好地满足了他们的需求,因此我们主要分割隧道。 即通过VPN通道路由的唯一通信量是物理上位于总部办公室的terminal服务器群集,其他所有通过互联网直接发送。 这很有效:防火墙规则足够紧凑,总部位置唯一允许的stream量直接与terminal服务器(他们从事的大部分工作)相关,这意味着我不担心总部的带宽由某个地方的洪stream客户端使用,或通过文件共享传播病毒。 其他一些人可能会指出,适当的最终用户政策/执法等将从源头上消除这些风险,但在我们的案例中,这些远程办公室具有一定的自主性,人力资源不足以提供每日定期监视或服务呼叫。
但是,我所描述的这种情况可能不适合你:你可能有与主办公室更紧密耦合的应用程序,进程和策略,并且需要/期望“类似局域网”的networking条件。 为此,您可能需要研究更强大的WAN服务/服务级别,例如Evan所build议的级别。
VPN真的是让外部用户连接到内部networking。 对于相反的情况,远程桌面和服务,如logmein.com可能是可行的。 他们简单而自由。
我使用logmein.com。 而如果你打算在全球范围内销售许多桌面电脑的话,那么VPN是不会削减的。 从长远来看,logmein.com仍然接pipe了我们拥有的VPN基础设施。
作为一个侧面的故事,我们设法通过logmein.com恢复丢失的笔记本电脑,因为毫不知情的如果它将其连接到互联网。