扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
1 广域网分支的需求和特征
随着IT信息化的发展和完善,尤其是应用大集中的建设,作为网络的末端节点,广域网分支在网络中的地位越来越重要。一方面分支终端用户众多,对信息化的依赖逐渐增强;另一方面,应用大集中模型下,广域网分支是终端用户访问集中化数据中心的直接通道。规模日益庞大的分支,对网络访问的可靠性、安全性,兼容各种接入手段,都具有极高的要求。为满足上述需求,需要构建智能、融合、灵活的广域网分支,主要特征如下:
Ÿ 精简:只需少量设备即可提供传统分支网络多台设备才能提供的功能,从而使得分支网络易于维护;
Ÿ 可管理:网络管理和维护人员可通过广域网在总部对分支的网络进行管理;
Ÿ 灵活可靠:可以保证分支用户通过专线、无线、互联网、3G等多种方式,通过广域网实现可靠的数据交换和业务访问;
Ÿ 安全:分支网络不能成为骨干网络的薄弱环节,不能成为广域网被攻击或入侵的入口;
Ÿ 沟通融合:可为分支用户提供跨越整个广域网的高效沟通方式。
基于上述几点,下面对广域网分支部署的几个方面进行阐述和介绍。
2 建立一体化的分支
一个企业分支的内部往往部署有很多种网络设备,如路由器,交换机,防火墙,WLAN AP,语音网关等。网络设备的增多不但带来了部署成本的增加,而且也加重了维护的负担,因为不同的网络设备需要不同的维护方式,需要不同设备厂家的支持。另外,有的分支场所受条件所限,没有足够的空间合理的部署这些网络设备。
因此,最佳的解决方案是在分支网络出口部署一体化的设备,如图1所示,通过这台设备,实现路由与交换、有线与无线、数据与安全、数据与语音的集成。而一体化设备的典型代表就是多业务路由器,这种多业务路由器往往可通过插卡或者USB扩展等方式实现对多种设备的集成。
Ÿ 在多业务路由器上安装多端口的交换模块,可实现路由与交换的集成。对于规模较小的分支来说,一块16端口或24端口的交换模块就可满足其需求。
Ÿ 在多业务路由器上配置一块WLAN AP模块可为整个分支提供无线接入功能,尤其是802.11n无线模块具有速率高、覆盖面积广的优势,非常适合分支用户的灵活接入。另外,多业务路由器也支持通过USB或者模块的方式实现3G方式的WAN接入,使得分支网络的有线与无线接入方式得到了很好的集成。
Ÿ 多业务路由器往往内置较强的防火墙功能,支持攻击防范、URL过滤等特性,在减少一台防火墙部署的同时实现了路由与安全的集成。
Ÿ 对于VoIP业务,传统的方式是在分支部署多台语音网关,有时还需要部署语音服务器。而多业务路由器支持通过安装语音模块的方式将语音网关的功能集成进来。另外,多业务路由器还可以通过安装语音服务器模块实现对分支呼叫的支持,避免了独立的语音服务器的使用。
可见,通过在企业分支部署一台多业务路由器,再安装交换、无线、语音模块,就可实现路由与其它多种网络业务的一体化集成,从而达到减少网络设备数目、减少网络故障点、降低部署成本、维护成本的目的。
图1 传统的分支与一体化的企业分支
3 建立可管理的分支
当企业分支网络设备需要做配置更改或版本升级时,如果采用每个分支逐一升级的方式,工作量是非常巨大的(尤其是分支数量多的情况下),并且效率低下。解决办法之一是采用传统的SNMP网管平台进行集中管理,但是一些分支(尤其是一些小型分支),其路由器WAN口的IP地址经常变化(如分支租用ADSL做为广域网链路,每次重启路由器,WAN口都会重新获取IP地址),很难将其纳入SNMP的网管平台。
因此,基于TR-069的智能分支管理方案就成为了企业分支管理的理想选择,即分支路由器支持TR-069协议,同时在总部部署TR-069 ACS服务器。TR-069支持对分支版本与配置的批量升级,极大的降低了维护工作量。对于IP地址变化的分支,TR-069支持分支路由器自动下载版本与配置,实现了中心对所有分支的集中管理。另外,TR-069支持设备的零配置部署,极大简化了初始安装配置工作量。需要指出的是,TR-069是基于开放标准的技术,支持TR-069的设备可以与支持该标准的第三方管理平台互通,具有良好的互通性。可以说,TR-069是目前企业分支管理比较理想的方案。
关于TR-069管理的详细技术与方案,可参考本期“TR069智能分支管”一文。
4 建立灵活可靠的分支
现在的企业(尤其是一些依托网络运行的互联网企业)越来越依靠网络,因此网络的可靠性及灵活性对企业非常重要,企业希望其到达分支的广域网链路时刻保持通畅,从而保证业务的正常开展。然而企业分支所处位置千差万别,运营商提供的线路资源各式各样,很难保证都具有很高的可靠性。因此,必要的备份手段是高可靠分支所不可缺少的。
对于传统的分支,企业在建立E1或者xDSL为主线路的同时,有时也会配置Modem,以便在主链路故障时,切换到Modem拨号链路。然而Modem、E1和xDSL都是属于固定链路,当某些因素(如一些自然灾害,暴雨,台风等)造成主链路故障,modem链路同样也会故障,使得其备份作用无法发挥。此外,Modem链路的带宽太窄,很难满足现代企业的业务需求,即使链路可用,依然会极大的影响分支的业务。
目前比较理想的方案是采用3G备份链路。由于3G链路是无线方式的,当某些情况(如暴雨冲毁某些区域)造成固定链路中断时,无线信号仍可传输,因此它是主链路更好的备份选择。另外,目前3G网络已能提供很高的接入带宽,目前各运营商一般都能提供3M左右的下载速率,这已远远超过拨号链路的带宽。当主链路故障时,3G链路完全能够承载分支的业务。
同时,分支备份方案需要具备的另一个特点是:分支网络必须支持良好的链路质量探测能力,即在发现主链路出现故障时,可及时的切换到备份链路;在主链路恢复时,又能及时切回主链路。因此,需要在分支路由器上使能端到端的全链路探测功能,随时监控整个链路的状态,而不仅仅是监控路由器WAN口的状态。因为在实际中经常发现,虽然WAN口的状态没有异常,但中间的某段链路出现故障,导致分支到总部的业务中断。其组网方案如图2所示。
图2 灵活可靠的的企业分支
5 建立安全的分支
需要明确指出的是,企业的网络安全问题是多层次、多位置、多角度的。例如在接入层,需要防止非法入侵、网络攻击、企业机密信息的窃取;在应用层,需要防范病毒的侵入;同时还需要安全的管理方案等等。因此,想通过部署一台防火墙就解决所有的分支安全问题是不现实的。并且,网络安全程度的提升,往往伴随着安全成本的增加和通讯效率的降低。因此,企业应该根据自己的安全需求,合理部署不同层次的安全方案,而不要一味的追求最强大、最完备的安全方案。
分支网络作为广域网的一部分,需要提供与整个企业广域网安全需求一致的方案,否则,分支就有可能成为恶意人员攻击和入侵企业广域网的入口,给整个企业广域网络的安全带来极大的危害。建议从以下几个方面重点考虑分支安全问题。
Ÿ 网络攻击、非法入侵引起的安全问题:可通过在分支部署防火墙以及IPS解决。
Ÿ 机密信息窃取引起的安全问题:可通过在分支部署IPSec VPN,保证企业数据在公网上传输时的安全。
Ÿ 恶意用户的非法接入问题:可通过在分支客户端部署端点防御系统,阻止未经授权的用户接入公司网络。
Ÿ 设备管理的安全问题:可通过在分支部署支持SNMP v3或者TR-069协议的网络设备,实现安全的设备管理方案。
6 建立沟通融合的分支
现代企业的沟通,虽然越来越依赖Email、即时通信等新型的方式,但语音依然在企业内部的沟通中发挥着重要的作用。然而传统的PSTN语音方案对于分散于各地的企业分支来说,存在以下几个问题:
Ÿ 与总部及其他分支的通话需要支付长途费用,成本较高;
Ÿ 传统的语音方案支持电话会议、语音邮箱等业务,不但使用成本高,部署成本也很高,对企业构成较大的负担;
Ÿ 由于以往语音网络与数据网络是两个各自独立的网络,企业需要安排不同的人员分别对其进行维护,维护成本也较高;
Ÿ 员工的沟通手段越来越多,如Email、即时通信、电话、短信等等,但这些通信方式之间缺少互动,在多数情况下仍不能达到期望的沟通效果。如员工出差在外无法查看办公室内的电话留言信息,也不能使用办公室电话进行沟通等。
对于现代企业来说,需要基于IP网络建立融合的通信方案。企业可以基于IP网络建立企业内部的VoIP系统,并且部署电话会议等语音业务,实现数据与语音网络的融合,也使得语音沟通的部署成本及使用成本得到大幅降低。对于企业来说,只需要在分支部署语音网关或在分支路由器上安装语音模块接入模拟电话、或者直接部署IP电话,在总部部署语音服务器即可。另外,只需在总部增加部署语音业务服务器,即可支持电话会议、语音留言、语音留言转Email等扩展业务。并且,在员工的终端上部署软电话客户端后,在总部语音服务器的配合下,员工即使不在办公室,也可使用办公室电话及公司提供的语音业务。所有这些,都极大的提高了企业分支的沟通效率。
7 结束语
现代的企业为了应对各种业务挑战,需要智能的广域网分支,来保证广域网业务的顺利开展。而智能广域网分支涉及到多个方面,一体化、可管理、灵活可靠、高安全、沟通方式的融合都是其重要的构成。随着企业需求与技术的发展,虽然除了本文介绍的内容,广域网分支必然还会有更多的要求出现,但智能化的广域网分支,将会是分支的发展方向,也是分支网络建设方案的正确选择。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者