解决方案

成功案例

思科携手合作伙伴鸿驰为南美轮船(中国)船务有限公司建设 ASA VPN平台

思科携手合作伙伴鸿驰为南美轮船(中国)船务有限公司建设ASA VPN平台

南美轮船（集团）公司是一家总部设在智利的船运贸易企业，是目前南美洲最大的船运公司，也是世界上历史最悠久的船公司之一。公司的航线服务遍布全球56 个国家，覆盖了南美、欧地、美加、中东和东南亚等地区，经营业务包括了集装箱船、散杂货轮、冷冻柜船、油船和滚装船等多种船舶的承运。
南美轮船（中国）船务有限公司大中华区总部设在上海，下设有3个公司，1个物流公司，7个分公司和3个办事处，为了保证整个中国区的数据通信，南美轮船(中国)船务有限公司需要建立一套技术先进、节省费用、能够满足长久发展的VPN通讯系统。
根据这样的需求，思科携手合作伙伴上海鸿驰信息技术有限公司，为南美轮船(中国)船务有限公司在上海的总部与分部之间的通讯提供智能化的Cisco ASA VPN联接解决方案，将数据中心主通信和业务流程结合在一起，简化沟通的方法，实现了更高的沟通能力、协作效率、更快的决策速度和响应能力。
整体网络建设采取IPSEC VPN的方式，各分部租用中国电信、宽带线路，然后通过IPSEC VPN连接到上海总部。涉及的应用主要有核心业务系统等业务系统及OA、HR等企业ERP应用，未来可能涉及IP电话及视频监视控系统等。
员工接入采用客户端接入方式和无客户端接入方式，使用SSL加密方式。通过SSL VPN实现员工远程收发电子邮件，使用办公软电话，访问内网网站及其他办公系统。Cisco VPN客户端软件能够支持员工的便携电脑各种操作系统及平板电脑。

如上图所示，
南美轮船(中国)船务有限公司总部使用ASA5515作为VPN接入网关，分公司采用ASA5510 通过IPsec Site to site接入总部，移动办公接入选用SSL VPN接入方式通过anyconnect客户端或者浏览器连接总部。
对于小型办公室，配置一台ASA5505通过Easy VPN 接入方式，接入到总部的ASA5515。
对于员工远程办公需求，只需在客户端使用anyconnect软件或者通过浏览器接入到总部ASA即可。
在远程办公接入，主要是不同的员工可能有不同的需求，对于复杂应用需要使用客户端VPN接入方式，对于简单的Web应用可以直接通过浏览器接入(无客户端接入方式)。浏览器使用SSL（安全套接字）接入VPN网关。
对于客户端接入方式，主要有windowsXP/windows7/MACOS/Linux平台客户端要求，同时考虑到目前平板电脑的普及，越来越多的C/S应用的客户端大量移植到平板电脑上，以后会有虚拟桌面的应用需求，而且平板电脑的便携性更适合移动办公的需求。Cisco 的 VPN客户端能够支持Apple IOS/Android/Symbian/WindowsCE 常见的智能手机和平板电脑操作系统。利用Anyconnect客户端软件对操作系统的广泛支持，使用SSL协议接入VPN网关。
Cisco ASA集成了防火墙和VPN功能。
如果新建网络用户本身没有防火墙，ASA本身是非常出色的防火墙和VPN功能完美的结合产品。
优点：
a.直接使用ASA的外网接口IP作为VPN接入，节省公网IP地址。
b.VPN流量经过防火墙的状态检查，更加安全。而且只需在要一套访问策略。无需防护墙和VPN各配置一套策略。
c.部署最简单，因为VPN和防火墙的最佳部署位置是相同的，这种部署最为合理。
d.节省费用，只需要购买一台设备完成两种功能。
e.VPN地址池的IP如果有访问Internet需求（没有配置隧道分离），可直接利用防护墙的NAT公网地址池。
f.节省防火墙端口。
通常远程移动办公用户接入VPN都是在Internet的某个位置通过internet接入VPN。用户在接入VPN能够访问内网后，收发公司邮件，访问内网应用。同时可能用户也希望在此时能够访问internet，例如：通过百度查询相关信息。在没有隧道分离功能时，用户的Internet访问流量会通过客户端软件被发送到总部的VPN网关，然后再从总部访问Internet,这样必然会导致Internet访问速度较慢。
使用隧道分离功能，客户端在连接VPN网关时，VPN网关会将内网的网段信息推向客户端。客户端修改本地路由表，只有访问内网的流量才会被送往VPN隧道，访问Internet流量直接从物理网卡送出，无需绕道总部。这样必然提高了Internet访问的效率，同时减少了总部VPN隧道的负担，性能最好。

Easy VPN特点：

1. Cisco私有技术，只能运用在Cisco设备之间。

2. 适用于中心站点固定地址，客户端动态地址的环境。

3. 在中心配置安全策略，并在客户连接的时候推送给客户，降低了分支站点的管理负担。

4. Easy VPN不支持AH。

5. 可选项：小型办公室内用户通过VPN访问总部时，会自动弹出Portal页面，要求用户通过认证才能继续访问。用户信息可以在中心的VPN服务器端，或者第三方存储位置，例如：AD/LDAP/Radius。

优化用户使用感受

智能终端使用优化（智能手机或者平板电脑）：

1.无线中断VPN会话保持

在移动终端远程接入时，无线信号有时不稳定会短时间中断，另外，终端为了能够达到更久的续航能力，系统会在空闲时自动休眠。这些特点都会导致VPN中断，需要用户手工重新连接VPN和输入用户名密码重新认证，这将严重的影响员工的使用感受。思科Always On(永久在线)技术很好的提供了无线信号中断恢复的自动重连，3G/WIFI的无缝切换及休眠唤醒后的自动VPN重连，连接过程无需人为干预。

2.按需自动VPN接入

移动终端访问内网时，无需事先接入VPN，在IPAD/Iphone上可以自动识别访问的对应网址是否是内网资源，如果需要访问内网，VPN会自动接入。

3.可信网络识别（内网自动识别）

如果用户持有终端在接入VPN的情况下，走入公司内网无线覆盖区域，VPN能够自动检测出已经处在内网环境，然后自动中断VPN连接。

4.ASA内置证书服务器

ASA使用那 ASA内置CA证书服务器，能够有效的解决证书的生成、下发、认证的过程，为终端的VPN准入识别提供了最佳的支持环境。

便携电脑使用优化：

1.电脑休眠唤醒后自动VPN恢复连接，无需重新手动连接。

2.3G/Wifi/有线切换VPN连接自动保持。

对于用户工作用便携电脑，有可能通过有线和wifi或者3G上网卡接入Internet。在通过无线接入时，也同样支持Wifi/3G切换，VPN连接保持功能。

3.windows用户注销登出后，然后再重新登入后VPN连接依然保持连接。

4.自动VPN接入，很多用户为了简化VPN接入过程，可以设定VPN自动接入。只要开机后，VPN就会自动连接，随时可以进行内网办公，如果配合上隧道分离（Split Tunneling），用户公网的访问无需经过VPN隧道绕回总部，访问公网更加高效。

5.可信网络识别（内网自动识别）, 如果用户持有终端在接入VPN的情况下，走入公司内网无线覆盖区域，VPN能够自动检测出已经处在内网环境，然后自动中断VPN连接。

6.ASA内置证书服务器

ASA使用那 ASA内置CA证书服务器，能够有效的解决证书的生成、下发、认证的过程，为便携电脑的VPN准入识别提供了最佳的支持环境。