电力客户服务网站和营销MIS内网互连方案

电力18讯：    各地市供电分公司因特网站相继开通，除完成企业宣传和信息浏览外，主要是为客户提供交互式服务功能。由于受到资金等条件限制，目前网站还处在独立应用的初级阶段，网站主机和信道带宽还未获得充分利用。公司内网和外网互连，实现内网计算机有控制的连入Internet；应用VPN技术，在Internet公用信道上构建全省电力系统Intranet，是充分利用信道带宽的一种增值应用。下面推荐可供选择的几种实现方法。

一、 因特网站和企业内网互连方案：

    1、 直接互连：
    因特网站交换机和内网交换机直接连通，设置为内网各计算机通过局域网方式直接连入Internet，内网服务器占用一个公有IP并完成私有IP到公有IP的转换。这是最简单的互连方式，但内网完全暴露在Internet上，虽然技术上实现了互连，但内网毫无安全可言，一般是不允许这样作的。
    网络拓扑结构如下：

    2、 通过网关互连：
    在外网Switch和内网Switch之间设置一台工作组服务器作为互连网关。网关设两块网卡，一块占有一个公有IP，连接外网Switch，一块占用私有IP，连接内网Switch。在网关上设置NAT功能，实现内网和Internet的互连。此方案费用不太高，内网安全基本可以保证，但其安全措施显然不及防火墙强。
    网络拓扑结构如下：

    3、 通过防火墙互连：
在内外网之间设置防火墙，因特网站设在DMZ内，利用防火墙强大的状态检测、安全隔离、操作日志、NAT等功能，实现内外网的互连，又可有效保证内网的安全性。虽然费用较高，但这是推荐使用的高安全性互连方案。防火墙上设三块网卡，分别连接Router、DMZ内的Switch和内网Switch（或内网Router）。公有IP地址需划分为2个或2个以上网段，Router到防火墙为一段，防火墙到DMZ内的DNS服务器为一段，防火墙到内网Router为一段，若不设内网Router，防火墙直连内网Switch，则此段可占用私有IP。
    网络拓扑结构如下：

二、 电力系统Intranet解决方案：

    构建全省电力系统Intranet，主要是解决信道和互连方式问题，可有三种选择。第一种是通过自建光缆信道，互连带宽可达10―100M，可靠性好、带宽大，但一次性投资高。第二种是租用电信局的DDN信道，带宽最高可达2M，可靠性也好，但信道租费仍偏高。第三种是利用现有Internet信道，在防火墙上增加VPN模块，通过动态的带宽管理，既满足上Internet的需要，又可构建起全省电力系统的Intranet。一次性投资不高，且不需额外增加信道租费，在现有128K带宽上满足两种需要，是一种性价比最高的解决方案。

    选择第三种方案时，其防火墙产品应支持VPN功能。防火墙可选择企业级防火墙或单网关防火墙。若在省公司安装企业级防火墙，则在各地市只需安装防火墙的功能模块就行，在省公司对所有防火墙进行统一的设置和管理，这种方式费用稍高。若各地市都选择单网关防火墙，其设置和管理在各地分别进行，费用低些，但管理不方便。选用那种产品可根据管理需求及资金情况综合平衡而定。