公司的路由选择。犹豫中，求助。

大书法家和

我要好好学习了

1yanmin1

其实你需要的是一个防火墙，而并非一个路由器在前面

1yanmin1

最佳的做法是2条线路在接入防火墙，然后防火墙上为服务器做映射，开放需要发布的端口及访问列表。至于是否开放员工vpn，防火墙一样可以做到。现在推荐用ssl vpn，因为员工出差中外面的时候，很多酒店的端口有限制，ipsec vpn 或者pptp vpn会连接不上。

从你的描述中发现，你们公司的网络规划之前没有好好计划过，现在人数变多发展了，该做下to be的事情了，预留好足够的发展空间

johngoo

Fortigate几年前的防火墙就能满足楼主要求，价格也不贵，就几万的样子，主要是设置界面非常的简单明了，说明书都不用多看

服务器经常做备份是主要的，另外，ERP和OA的服务器如果要经常连接外部门店或者仓库的数据的话，24楼是唯一合适的选择。

一般公司不会把ERP服务器放置在外网，估计楼主的公司也是服务性质的公司，每天有大量的营业数据上传到服务器

wyn5201314

楼主 你好，你的讯景9600GSO 换的什么散热 效果如何啊 我的待机76° 我心里不踏实啊

johngoo

回复 wqaiwy 的帖子

几万的硬件防火墙只是起步价啊

不选飞塔的，选别的也行，价格也能控制在1万以内，型号我再看看，反正飞塔的我玩过，比较顺手的说~呵呵

clawhammer

你架个l2tp ipsec vpn服务器，在外的拨进来，不要把服务器放公网

要注意的是需要禁止VPN流量走NAT出去，浪费带宽，需要在客户机上设置路由

太虚公

clawhammer 发表于 2011-4-19 13:03
你架个l2tp ipsec vpn服务器，在外的拨进来，不要把服务器放公网

要注意的是需要禁止VPN流量走NAT出去， ...

这个很困难   大范围的门店接入没法维护客户端的路由的       门店的机器缺乏基本维护也不可能总部统一维护    出故障了就是就近找人修了    没法做标准化的


（以上结论是基于楼主表达出来的老板对IT资金的态度）

大量的ERP实施是通过纯软件的VDI甚至RDP来实现的，小弟最近在给一个有150家门店的服装企业做相关的项目，在考量了客户的投资额度之后还是选择了暂时维持对方的RDP接入方式，只是将服务器端和客户端分离；待以后再将接入方式改为VPN，在服务器端做路由和策略，禁止通过VPN的所有internet访问，此举还可减少门店客户端计算机上网，降低故障率。

1yanmin1

采用RDP的方式用在实际环境里，后续维护工作实在后患无穷啊。而且这个漏洞实在是大的没边了。实在资金有限，前面用ISA 2006做个PPTP VPN，然后在RDP到ERP服务器也行啊。isa2006的投入几乎为0，我在一家半导体晶圆制造企业里，曾用一台DELL的小PC，稳定运行ISA2004已经5年多了。至今仍在使用。连硬盘都没有换过。只记得CPU是P4 3.0G。

1yanmin1

clawhammer 发表于 2011-4-19 13:03
你架个l2tp ipsec vpn服务器，在外的拨进来，不要把服务器放公网

要注意的是需要禁止VPN流量走NAT出去， ...

这样做太麻烦了，正确的做法是VPN上阻止VPN用户访问0.0.0.0的访问列表。这样客户端在拨入VPN之后，外网会不通，如果需要上外网，就断开VPN。至于拨入VPN之后仍有上外网的需求，当然还有一种做法就是在客户端上取消【在远程网络上使用默认网关】。这样DNS可能会有问题，需要添加hosts文件。这种做法可以逐步执行或者统一执行。因为需求是满足客户与总部联系，至于是否拨入VPN后仍可以访问0.0.0.0可以作为后续工作执行。