智能廣域網分支
【51CTO.com 綜合報道】1 廣域網分支的需求和特征
隨著IT信息化的發展和完善,尤其是應用大集中的建設,作為網絡的末端節點,廣域網分支在網絡中的地位越來越重要。一方面分支終端用戶眾多,對信息化的依賴逐漸增強;另一方面,應用大集中模型下,廣域網分支是終端用戶訪問集中化數據中心的直接通道。規模日益龐大的分支,對網絡訪問的可靠性、安全性,兼容各種接入手段,都具有極高的要求。為滿足上述需求,需要構建智能、融合、靈活的廣域網分支,主要特征如下:
◆精簡:只需少量設備即可提供傳統分支網絡多臺設備才能提供的功能,從而使得分支網絡易于維護;
◆可管理:網絡管理和維護人員可通過廣域網在總部對分支的網絡進行管理;
◆靈活可靠:可以保證分支用戶通過專線、無線、互聯網、3G等多種方式,通過廣域網實現可靠的數據交換和業務訪問;
◆安全:分支網絡不能成為骨干網絡的薄弱環節,不能成為廣域網被攻擊或入侵的入口;
◆溝通融合:可為分支用戶提供跨越整個廣域網的高效溝通方式。
基于上述幾點,下面對廣域網分支部署的幾個方面進行闡述和介紹。
2 建立一體化的分支
一個企業分支的內部往往部署有很多種網絡設備,如路由器,交換機,防火墻,WLAN AP,語音網關等。網絡設備的增多不但帶來了部署成本的增加,而且也加重了維護的負擔,因為不同的網絡設備需要不同的維護方式,需要不同設備廠家的支持。另外,有的分支場所受條件所限,沒有足夠的空間合理的部署這些網絡設備。
因此,最佳的解決方案是在分支網絡出口部署一體化的設備,如圖1所示,通過這臺設備,實現路由與交換、有線與無線、數據與安全、數據與語音的集成。而一體化設備的典型代表就是多業務路由器,這種多業務路由器往往可通過插卡或者USB擴展等方式實現對多種設備的集成。
◆在多業務路由器上安裝多端口的交換模塊,可實現路由與交換的集成。對于規模較小的分支來說,一塊16端口或24端口的交換模塊就可滿足其需求。
◆在多業務路由器上配置一塊WLAN AP模塊可為整個分支提供無線接入功能,尤其是802.11n無線模塊具有速率高、覆蓋面積廣的優勢,非常適合分支用戶的靈活接入。另外,多業務路由器也支持通過USB或者模塊的方式實現3G方式的WAN接入,使得分支網絡的有線與無線接入方式得到了很好的集成。
◆多業務路由器往往內置較強的防火墻功能,支持攻擊防范、URL過濾等特性,在減少一臺防火墻部署的同時實現了路由與安全的集成。
◆對于VoIP業務,傳統的方式是在分支部署多臺語音網關,有時還需要部署語音服務器。而多業務路由器支持通過安裝語音模塊的方式將語音網關的功能集成進來。另外,多業務路由器還可以通過安裝語音服務器模塊實現對分支呼叫的支持,避免了獨立的語音服務器的使用。
可見,通過在企業分支部署一臺多業務路由器,再安裝交換、無線、語音模塊,就可實現路由與其它多種網絡業務的一體化集成,從而達到減少網絡設備數目、減少網絡故障點、降低部署成本、維護成本的目的。
圖1 傳統的分支與一體化的企業分支
3 建立可管理的分支
當企業分支網絡設備需要做配置更改或版本升級時,如果采用每個分支逐一升級的方式,工作量是非常巨大的(尤其是分支數量多的情況下),并且效率低下。解決辦法之一是采用傳統的SNMP網管平臺進行集中管理,但是一些分支(尤其是一些小型分支),其路由器WAN口的IP地址經常變化(如分支租用ADSL做為廣域網鏈路,每次重啟路由器,WAN口都會重新獲取IP地址),很難將其納入SNMP的網管平臺。
因此,基于TR-069的智能分支管理方案就成為了企業分支管理的理想選擇,即分支路由器支持TR-069協議,同時在總部部署TR-069 ACS服務器。TR-069支持對分支版本與配置的批量升級,極大的降低了維護工作量。對于IP地址變化的分支,TR-069支持分支路由器自動下載版本與配置,實現了中心對所有分支的集中管理。另外,TR-069支持設備的零配置部署,極大簡化了初始安裝配置工作量。需要指出的是,TR-069是基于開放標準的技術,支持TR-069的設備可以與支持該標準的第三方管理平臺互通,具有良好的互通性。可以說,TR-069是目前企業分支管理比較理想的方案。
關于TR-069管理的詳細技術與方案,可參考本期“TR069智能分支管”一文。
4 建立靈活可靠的分支
現在的企業(尤其是一些依托網絡運行的互聯網企業)越來越依靠網絡,因此網絡的可靠性及靈活性對企業非常重要,企業希望其到達分支的廣域網鏈路時刻保持通暢,從而保證業務的正常開展。然而企業分支所處位置千差萬別,運營商提供的線路資源各式各樣,很難保證都具有很高的可靠性。因此,必要的備份手段是高可靠分支所不可缺少的。
對于傳統的分支,企業在建立E1或者xDSL為主線路的同時,有時也會配置Modem,以便在主鏈路故障時,切換到Modem撥號鏈路。然而Modem、E1和xDSL都是屬于固定鏈路,當某些因素(如一些自然災害,暴雨,臺風等)造成主鏈路故障,modem鏈路同樣也會故障,使得其備份作用無法發揮。此外,Modem鏈路的帶寬太窄,很難滿足現代企業的業務需求,即使鏈路可用,依然會極大的影響分支的業務。
目前比較理想的方案是采用3G備份鏈路。由于3G鏈路是無線方式的,當某些情況(如暴雨沖毀某些區域)造成固定鏈路中斷時,無線信號仍可傳輸,因此它是主鏈路更好的備份選擇。另外,目前3G網絡已能提供很高的接入帶寬,目前各運營商一般都能提供3M左右的下載速率,這已遠遠超過撥號鏈路的帶寬。當主鏈路故障時,3G鏈路完全能夠承載分支的業務。
同時,分支備份方案需要具備的另一個特點是:分支網絡必須支持良好的鏈路質量探測能力,即在發現主鏈路出現故障時,可及時的切換到備份鏈路;在主鏈路恢復時,又能及時切回主鏈路。因此,需要在分支路由器上使能端到端的全鏈路探測功能,隨時監控整個鏈路的狀態,而不僅僅是監控路由器WAN口的狀態。因為在實際中經常發現,雖然WAN口的狀態沒有異常,但中間的某段鏈路出現故障,導致分支到總部的業務中斷。其組網方案如圖2所示。
圖2 靈活可靠的的企業分支
5 建立安全的分支
需要明確指出的是,企業的網絡安全問題是多層次、多位置、多角度的。例如在接入層,需要防止非法入侵、網絡攻擊、企業機密信息的竊取;在應用層,需要防范病毒的侵入;同時還需要安全的管理方案等等。因此,想通過部署一臺防火墻就解決所有的分支安全問題是不現實的。并且,網絡安全程度的提升,往往伴隨著安全成本的增加和通訊效率的降低。因此,企業應該根據自己的安全需求,合理部署不同層次的安全方案,而不要一味的追求最強大、最完備的安全方案。
分支網絡作為廣域網的一部分,需要提供與整個企業廣域網安全需求一致的方案,否則,分支就有可能成為惡意人員攻擊和入侵企業廣域網的入口,給整個企業廣域網絡的安全帶來極大的危害。建議從以下幾個方面重點考慮分支安全問題。
◆網絡攻擊、非法入侵引起的安全問題:可通過在分支部署防火墻以及IPS解決。
◆機密信息竊取引起的安全問題:可通過在分支部署IPSec VPN,保證企業數據在公網上傳輸時的安全。
◆惡意用戶的非法接入問題:可通過在分支客戶端部署端點防御系統,阻止未經授權的用戶接入公司網絡。
◆設備管理的安全問題:可通過在分支部署支持SNMP v3或者TR-069協議的網絡設備,實現安全的設備管理方案。
6 建立溝通融合的分支
現代企業的溝通,雖然越來越依賴Email、即時通信等新型的方式,但語音依然在企業內部的溝通中發揮著重要的作用。然而傳統的PSTN語音方案對于分散于各地的企業分支來說,存在以下幾個問題:
◆與總部及其他分支的通話需要支付長途費用,成本較高;
◆傳統的語音方案支持電話會議、語音郵箱等業務,不但使用成本高,部署成本也很高,對企業構成較大的負擔;
◆由于以往語音網絡與數據網絡是兩個各自獨立的網絡,企業需要安排不同的人員分別對其進行維護,維護成本也較高;
◆員工的溝通手段越來越多,如Email、即時通信、電話、短信等等,但這些通信方式之間缺少互動,在多數情況下仍不能達到期望的溝通效果。如員工出差在外無法查看辦公室內的電話留言信息,也不能使用辦公室電話進行溝通等。
對于現代企業來說,需要基于IP網絡建立融合的通信方案。企業可以基于IP網絡建立企業內部的VoIP系統,并且部署電話會議等語音業務,實現數據與語音網絡的融合,也使得語音溝通的部署成本及使用成本得到大幅降低。對于企業來說,只需要在分支部署語音網關或在分支路由器上安裝語音模塊接入模擬電話、或者直接部署IP電話,在總部部署語音服務器即可。另外,只需在總部增加部署語音業務服務器,即可支持電話會議、語音留言、語音留言轉Email等擴展業務。并且,在員工的終端上部署軟電話客戶端后,在總部語音服務器的配合下,員工即使不在辦公室,也可使用辦公室電話及公司提供的語音業務。所有這些,都極大的提高了企業分支的溝通效率。
7 結束語
現代的企業為了應對各種業務挑戰,需要智能的廣域網分支,來保證廣域網業務的順利開展。而智能廣域網分支涉及到多個方面,一體化、可管理、靈活可靠、高安全、溝通方式的融合都是其重要的構成。隨著企業需求與技術的發展,雖然除了本文介紹的內容,廣域網分支必然還會有更多的要求出現,但智能化的廣域網分支,將會是分支的發展方向,也是分支網絡建設方案的正確選擇。
