网络建设方案建议书目录第一章需求分析 (2)1.1 背景介绍 (2)1.2 需求分析详述 (3)1.2.1 加速VPN组网 (3)1.2.2 全网VPN设备集中管理 (3)1.2.3 员工上网行为管理 (3)1.2.4移动办公需求 (3)第二章深信服解决方案 (4)2.1 组网拓扑 (4)2.2 方案说明 (5)第三章深信服方案价值简介 (6)3.1 深信服广域网优化组网价值 (6)3.1.1安全组网 (6)3.1.2快速组网 (6)3.1.3集中管理平台 (10)3.2 深信服SSL VPN移动办公方案价值 (12)3.2.1更安全的SSL VPN (12)3.2.2更快速的SSL VPN (14)3.2.3应用发布-实现Iphone、android手机办公 (17)第一章需求分析1.1 背景介绍XX集团有限公司，全球员工2万多，年销售超过3亿美金（每年还以30-50%在增长），是从面料、辅料，款式，洗水加工的设计开发，到成衣生产制造，为客人提供一站式服务的集团。

为了适应集团全球业务的快速发展，集团必须建设一套适应集团业务的信息化系统，才能在国际化的形势下保持足够的竞争力，现准备建设融合一套集个人身份基础信息数据库、个人业务基础信息数据库、卡应用数据库为一体的支付业务服务一卡通系统；1.2 需求分析详述1.2.1 加速VPN组网一卡通系统、ERP等系统承载着企业内部员工和生产经营的重要信息，如果不对这些信息在公网上的传输的提供安全保证，将代带来很大的安全隐患，不仅数据容易被窃取，服务器也面临着安全威胁；鉴于集团分支分布在全球各地，采用VPN方式组网，一次性投资，即保证了安全又提高了投资回报比，相比于公网传输和专线组网，优势明显；此外，国内的分支机构分布南北，使用的运营商链路不尽相同，国外分支访问总部的数据中心，也存在着跨国线路严重的丢包和延时，必然会导致一卡通系统，ERP、视屏会议等系统的高效稳定运行大打折扣；所以，必须要保证VPN网络的快速性，让集团分支的员工在使用这些应用的时候，不会因为网络质量问题而影响工作；1.2.2 全网VPN设备集中管理考虑到东奥集团分支较多，分布广，分支机构的员工可能没有专业的网络管理人员，如果VPN网络一旦出现中断，将影响到分支机构员工的正常办公，所以，必须对VPN设备进行集中管理，统一下发配置策略，出现问题及时告警，远程管理设备配置，及时恢复网络，提高VPN网络的稳定性和可靠性；1.2.3 员工上网行为管理目前集团员工使用互联网需求众多，互联网为现代企业办公带来众多便利的同时也衍生出了许多问题，为日常的IT管理和维护带来了新的挑战，比如总部有限的带宽被P2P和流媒体等无关应用抢占，影响其他关键应用的数据访问，少数员工可能在办公时间使用公司的IT资源做与工作无关的私事，影响工作效率，还可能在无意间泄露公司的内部的机要信息；1.2.4移动办公需求分支机构多必然要求集团经常有员工出差，出差员工需要在外地能方便的接入到集团内部的业务系统进行日常办公，为了实现人们的远程办公，需要保证人员外出时可以安全访问组织内部网络进行日常操作，并同时确保数据的安全。

影响用户远程办公的最主要因素就的访问速度问题，拖滞的访问速度将大大影响用户的访问体验及办公效率，网络状况、传输数据量及应用的交互方式等等都将影响着速度质量。

此外，随着使用Iphone，android智能手机，平板电脑等便携式设备的普及，使用此类设备做移动办公的需求也越来越高，而原有的C/S架构不适用于此类设备，而二次开发成本高，周期长；所以，需要一种更便捷的方式来实现智能设备的移动办公；第二章深信服解决方案2.1 组网拓扑WOC:深信服广域网优化设备SSL VPN：深信服移动办公设备（总部部署便于出差人员随时移动接入总部）2.2 方案说明A WOC组网：总部：考虑到VPN网络的重要性，建议总部旁路模式部署双机设备，避免因总部设备故障而影响一卡通的正常使用利用WOC集中管理平台，配置分支的设备，便于管理和维护；分支：通过WOC带有的深信服IPSec VPN，构架安全的广域网传输结合WOC的数据优化，应用优化，链路优化，流量管理，打造一个高速安全的广域网B SSL VPN移动办公：总部：部署深信服SSL VPN设备，出差在外的人员，不管在国内还是国外，都可以通过SSL VPN便捷的接入总部应用系统，开展日常办公；同时，我们还可以使用智能手机、平板电脑等智能终端设备来开展相应的工作，无需考虑智能终端系统平台不兼容的问题，给员工移动办公带了极大的便利性；第三章深信服方案价值简介3.1 深信服广域网优化组网价值3.1.1安全组网深信服WOC组建的加速VPN从VPN隧道接入、隧道中数据传输、接入访问授权三方面，提供完整的安全保障。

双向权限控制、应用级别细致控制对于接入的两端，总部应仅对分支开放需要共享办公的应用服务器资源，而对于总部办公内网、内部服务器基于其余网络需对分支隔离，防止病毒、攻击等不必要的风险。

而分支对总部的反向接入监管也需采用适当的隔离措施，同时，对于存在可上网主机与办公业务主机逻辑隔离的分支，需要限制仅让办公业务主机接入VPN网络，隔离开上网主机中可能携带的病毒、木马等威胁。

通过深信服WOC设备中的双向权限控制功能，可严格限制VPN互联双方中分支->总部、总部->分支的访问主机范围，可细致到IP段、IP、端口、协议的限制，合理的管控，加强安全，避免风险。

对于允许接入VPN网络的主机的控制，深信服WOC支持对LAN->VPN、DMZ->VPN 的访问进行控制，限定仅某一IP端、IP的办公业务主机才可接入到VPN网络中。

3.1.2快速组网数据冗余性解决技术数据有两种方式的冗余，第一种是数据本身的冗余，比如平常的一个.doc文件，可通过压缩工具将其进行压缩，压缩后的文件大小往往有较为可观的效果，这样的冗余数据普遍存在于各种应用当中。

第二种是行为方式造成的数据冗余，例如一个较大的设计文件，往往在总部与分支之间传输了第一遍之后，由于设计需要在小细节方面进行修改，又来来回回的反复发送，不断修改不断传输直至定稿，又如一个由总部发出的资料、学习文件、邮件，分支的第一个人下载了该资料并查看，但分支的第二个人、第三个人甚至全体员工都需要查看该资料，导致同样的数据在总部到分支之间进行重复传输。

针对以上两种冗余问题，深信服WOC提出了完整的解决方案：高效流压缩针对数据本身的冗余，深信服WOC采用流压缩+IP包压缩+动态压缩的整体方案进行解决。

区别于传统基于文件的压缩方式，LZO、GZIP高效流压缩可在压缩比与所消耗的系统性能之间取得最佳的平衡，以求最低的消耗系统性能，获取最大的压缩比。

同时，流压缩采用边压缩边传输的方式加快输出，从整体上提供最快的数据加速效果。

通过动态压缩技术，在进行压缩时可针对不同的数据采用动态调整的最优化压缩策略，实现最优化匹配。

动态选择策略可在提高压缩效率的同时，降低系统负载，从而提高整体的数据处理速度，提高业务的访问速度。

基于码流特征的缓存技术深信服WOC采用了流缓存技术，基于码流特征针对行为方式导致的冗余进行高度削减。

如下图所示，在部署了加速VPN设备的两端之间需进行一个文件传输时，WOC设备将会将文件组成的各数据包分拆为多个“碎片”，并对“碎片”分配唯一指针，将指针分别存储在本地设备和目的地主机中。

当具有相同指针内容再次需要传输时，只传输指针到目的地，接收端根据指针便在本地的设备中提取出内容进行数据块、文件的校验重组。

只要“碎片”足够小，传递内容相同的概率就会足够大。

区别于一般的缓存技术存在数据更新滞后等问题，基于码流特征的数据优化采用数据流Cache加速技术，通过数据包分片标签机制并结合优化的模式匹配算法，在保证数据实时性的同时大大降低数据传输量提高访问速度。

指针的大小仅有9个字节，而一个指针能代表至多4K的数据，对行为导致、数据本身的冗余削减量是非常可观的，至多可削减60%-90%的流量。

流缓存流量削减效果跨国等传输高丢包、高延时、跨网传输解决技术在跨省/跨国传输、跨运营商，或是无线传输、卫星传输网络本身质量较差的情况下，都会导致高丢包、高延时的问题。

直接反映到用户应用访问上，就是ERP页面打开慢、订单录入慢、数据查询慢、FTP共享文件下载时间长等等影响工作情绪及效率的体验。

深信服WOC采用HTP高速传输协议、Flash-Link畅连技术解决以上问题。

HTP高速传输协议，高丢包、高延时下大幅提速高丢包、高延时等状况对TCP协议传输的数据影响尤为严重。

TCP协议是面向连接、可靠的传输协议，在协议设计之初网络刚刚兴起，与现在的网络吞吐能力相比完全不可比拟所以TCP协议在设计时，其拥塞控制机制采取的是“慢上升、快下降”的方式。

面对当时的网络状况，是一种较好的选择，避免网络过渡拥塞。

但对于现在的网络吞吐能力而言，这样的机制反而大大限制了跨网访问的速度：网络环境好的时候，传输的滑动窗口大小缓慢的增长，但窗口最大仅为64K。

但在传输的过程中，一旦出现丢包现象，窗口大小将立即减小到原有窗口的一般。

同时丢包后将重新传输窗口内所丢数据包后的所有数据。

可见，传统的TCP协议面对传输速度增长慢、拥塞控制机制应变差、重传机制效率低下，在丢包、延时环境下很难让数据达到网络实际可达到的吞吐速度。

针对传统TCP“慢上升、快下降”的低效传输机制，深信服WOC提出了HTP高速传输协议技术（HighSpeed Transmission Protocol）。

HTP协议通过扩充传输窗口、改善拥塞控制算法、选择性快速重传等技术提高TCP传输效率。

如上图所示，刚好与传统TCP“慢上升、快下降”相对，HTP快速传输协议对于数据传输为“快上升、慢下降”。

当网络吞吐允许的情况下以最短的时间将传输速度提高到吞吐量所允许的最高；当遇到高丢包、高延时等现象，则通过优化的拥塞控制机制最大的适应网络所允许的最高传输速度，保证传输质量。

通过HTP快速传输协议，可显著提升在高丢包、高延时情况下的网络传输速度。

Flash-Link畅连技术，跨运营商应用访问效果保障跨运营访问往往存在丢包现象严重的情况，无论是基于TCP还是UDP协议的应用都大受影响，情况严重时甚至导致应用无法使用。

针对跨运营商丢包严重的情况，深信服WOC提出Flash-Link畅连技术，根据网络丢包率采用特定的算法优化数据发送机制，并对因丢包导致的数据包分组丢失进行数据还原，保障终端应用访问效果。

Flash-Link畅连技术可对多达30%丢包率下的应用访问进行优化。

应用加速解决技术许多应用系统在设计时是基于局域网环境的，存在高交互、小包交互的特征，如网上邻居的CIFS协议、Exchange等。