“全在网上” -- 思科联网应用之实践篇

“借助获取思科网络资源和流程,一位苏格兰或马来西亚的合作伙伴可以生产出与我们的质量相同的产品,而且生产启动时间也不会延长。这种外部网使我们以低成本生产高质量产品的能力更加突出。”

挑战

思科系统公司®的一个指导方针是关注核心业务以及与合作伙伴的外包合作活动。例如,思科在推出新产品时一开始仅限内部生产,以便研究细节问题,然后,再与负责生产的合作伙伴签约,投入下一步工作。IT基础设施总经理Henry White指出:“合作伙伴提供了世界领先的技术和规模经济,可以确保我们低成本、高利润的优势”。

为了实现日常工作的外包,如生产、工程、财务、技术支持和高级网络服务,思科需要在自身网络和合作伙伴站点间确保安全、价格合理的连接。在推出一款产品前,例如,负责生产的合作伙伴需要接入思科企业资源规划(ERP)系统,以确认设备配置和测试状态,并利用另外一个思科系统打印出厂标签。

思科IT互联网服务部(ISG)于1998年开始着手开发外部网(Extranet)策略。“我们的任务是提供对内部思科资源的外部网安全接入”,ISG的IT项目经理Julie Nordquist说。为解决这个问题,有些公司复制合作伙伴们所需要的全部资源,并将其安装在一个连接到互联网的防火墙之后的安全网络,此处被称为“非军事区”或DMZ。“由于我们拥有广泛的资源库,创建一个特殊的DMZ,无论在成本和复杂性方面,都谈不上是一个良好的选择”,她说。相反,思科IT部门选择为每位合作伙伴构建了一个独立、安全的可管理网络接入模式来取得所需的共享资源,这些资源受访问控制列表(ACL)保护。

为解决三类连接需求,外部网策略是必不可少的。一类是合作伙伴对思科网络的访问。另一类是思科对这些客户的外部网络的访问,以便进行远程排障和支持。第三类是思科及其合作伙伴间的相互网络访问。

安全和价格合理在设计目标中居重要地位。思科需要保护其资源免遭入侵者和病毒等安全威胁的影响。外部网连接的价格是否合理直接影响到利润,租用专线(通常是帧中继链路)价格之昂贵,在美国本土外更是个致命问题。

解决方案

1999年,思科在美国部署了第一个外部网连接,用于负责生产的合作伙伴,以及客户网络的远程支持和排障。次年,思科增添了其他类型的外包合作伙伴活动,如工程开发等的外部网连接。2000年,思科还完成了所有工作区(亚太、美洲、欧洲、中东和非洲)以及位于澳大利亚、印度、中国、日本、荷兰和英国的战略性运作点(POP)的分布式外部骨干网架构的部署工作。在经济发展减缓的2001年,思科通过进一步扩展外包活动赢得了效率,这也导致了需要更多的外部网连接。2002年,思科推出了安全的VPN连接,取代租用专线部署,从而大幅度削减了外部网连接成本。

今天,思科外部网为合作伙伴提供了安全、高度可用的思科内部网连接功能,这些公司为思科提供生产、软件开发和呼叫中心功能,以及财务、法律、实施、销售和出版服务。大约有30%的公司的外部网合作伙伴提供生产服务,并全部集成到了思科供应链应用和流程中。

根据每位客户对可靠性、带宽、支持和成本的具体要求,思科ISG部署了三类外部网连接:租用专线、站点间(Site to Site)的VPN和基于用户的VPN。

对于租用专线和基于站点的VPN连接,ISG可以支持远程LAN或互联的网络拓扑结构。客户可以根据自己的业务需要进行选择。

全面安全

应该说对于思科的外联网来说,网络安全是一个非常大的挑战,思科IT部门用多种技术和法律手段来保证联网的安全性。思科并没有因此放缓与合作伙伴联网的脚步。

思科信息安全部就这些问题采取了三项措施:法律手段、接入限制和安全实施。法律手段是指需要外部网合作伙伴签订两项协议。一项是每一个人必须签署的保密协议。另一项是公司范围的网络连接协议,规定了要求合作伙伴公司遵照执行的用户行为和安全策略。

接入限制包括:

  • 防火墙准入——合作伙伴和思科间的思科防火墙在协议的水平上对设备间访问进行了限制。借助路由器中的访问控制列表(ACL),思科在逐个主机和逐项服务的基础上建立了网络间连接。目前,合作伙伴可以对进入网络的流量实施自己的限制。
  • Web代理——防火墙使用主机或端口对流量进行了限制:访问一个特定主机的合作伙伴通常可以利用主机上的各项服务,包括Web、FTP或Telnet。思科信息安全部正致力于对Cisco CSS 11500系列内容服务交换机的Web代理特性的使用进行调查,以便在逐个URL的基础上过滤访问。
  • 沙箱基础设施——为防止合作伙伴从一台授权接入的主机“跳转”到另一台未获授权的主机,思科实施了称之为沙箱基础设施的计划,即合作伙伴可以在授权的主机上工作,但该主机不允许向其他主机或网络发送流量。
  • 验证和授权——思科在主机和应用层提供了验证和授权功能。思科信息安全部正在探讨一种方式,即对拥有合作伙伴的授权员工进行定期验证,因此离开该项目的员工不再拥有访问权等等。

总之,凭借入侵检测系统、合作伙伴环境不定期的物理审查,以及周期性ACL检查,以确定合作伙伴是否依然需要访问相同主机和服务等的组合,思科完成了外部网安全实施。“我们采用了一种称之为‘深度防御’的模式”,Koblas说,“换而言之,我们尽可能多地实施安全功能——不仅限于网络级,也包括主机和应用级。”

成效

目前,ISG支持着全球约200个外部网连接,其中大约半数在美国,1/3用于生产。“1999年,大约40%的思科产品是在外部网站点生产的” ,White说,“自从2000年,这个部分增长到了75%。”

思科已从其外部网体验到了可观的业务优势。“通过为合作伙伴提供实时访问数据的能力,外部网改变了我们的业务经营模式” ,Nordquist说,“我们的合作伙伴实时访问订购功能加速了产品推出。”事实上,ISG最近因其日销售业绩(DSO)创下记录,而受到了思科财务部门的表彰,DSO是用于度量公司收回款项的速度指标。“我们的外部网为思科赢得了史无前例的业绩——32 DSO提供了鼎力支持” ,White表示,“我们实现这一财务业绩的能力要归功于世界领先的财务合作伙伴,而外部网正是拥有这些合作伙伴的关键。”

思科外部网还使内部技术支持中心(TAC)员工得以将其专业知识应用到更具挑战性的问题上,而将常规案例交给合作伙伴处理。“80%的TAC案例是Web生成的” ,White指出,“外部网为我们将这些案例分配给适合处理某类问题的最佳合作伙伴提供了灵活性。”

外部网最大的受益者是思科生产部门。“在接纳一项任务前,思科生产部门会考虑是否合作伙伴能够以更高的效率、更低的成本、更高的质量完成它” ,White说,“如果能的话,我们就会为他们所需的内部资源提供外部网连接。”

了解更多制造业信息。


了解更多交换信息。


联系我们