【51CTO.com 綜合報道】1 廣域網(wǎng)分支的需求和特征

隨著IT信息化的發(fā)展和完善，尤其是應(yīng)用大集中的建設(shè)，作為網(wǎng)絡(luò)的末端節(jié)點，廣域網(wǎng)分支在網(wǎng)絡(luò)中的地位越來越重要。一方面分支終端用戶眾多，對信息化的依賴逐漸增強；另一方面，應(yīng)用大集中模型下，廣域網(wǎng)分支是終端用戶訪問集中化數(shù)據(jù)中心的直接通道。規(guī)模日益龐大的分支，對網(wǎng)絡(luò)訪問的可靠性、安全性，兼容各種接入手段，都具有極高的要求。為滿足上述需求，需要構(gòu)建智能、融合、靈活的廣域網(wǎng)分支，主要特征如下： 

◆精簡：只需少量設(shè)備即可提供傳統(tǒng)分支網(wǎng)絡(luò)多臺設(shè)備才能提供的功能，從而使得分支網(wǎng)絡(luò)易于維護； 

◆可管理：網(wǎng)絡(luò)管理和維護人員可通過廣域網(wǎng)在總部對分支的網(wǎng)絡(luò)進行管理； 

◆靈活可靠：可以保證分支用戶通過專線、無線、互聯(lián)網(wǎng)、3G等多種方式，通過廣域網(wǎng)實現(xiàn)可靠的數(shù)據(jù)交換和業(yè)務(wù)訪問； 

◆安全：分支網(wǎng)絡(luò)不能成為骨干網(wǎng)絡(luò)的薄弱環(huán)節(jié)，不能成為廣域網(wǎng)被攻擊或入侵的入口； 

◆溝通融合：可為分支用戶提供跨越整個廣域網(wǎng)的高效溝通方式。

基于上述幾點，下面對廣域網(wǎng)分支部署的幾個方面進行闡述和介紹。

2 建立一體化的分支

一個企業(yè)分支的內(nèi)部往往部署有很多種網(wǎng)絡(luò)設(shè)備，如路由器，交換機，防火墻，WLAN AP，語音網(wǎng)關(guān)等。網(wǎng)絡(luò)設(shè)備的增多不但帶來了部署成本的增加，而且也加重了維護的負擔(dān)，因為不同的網(wǎng)絡(luò)設(shè)備需要不同的維護方式，需要不同設(shè)備廠家的支持。另外，有的分支場所受條件所限，沒有足夠的空間合理的部署這些網(wǎng)絡(luò)設(shè)備。

因此，最佳的解決方案是在分支網(wǎng)絡(luò)出口部署一體化的設(shè)備，如圖1所示，通過這臺設(shè)備，實現(xiàn)路由與交換、有線與無線、數(shù)據(jù)與安全、數(shù)據(jù)與語音的集成。而一體化設(shè)備的典型代表就是多業(yè)務(wù)路由器，這種多業(yè)務(wù)路由器往往可通過插卡或者USB擴展等方式實現(xiàn)對多種設(shè)備的集成。 

◆在多業(yè)務(wù)路由器上安裝多端口的交換模塊，可實現(xiàn)路由與交換的集成。對于規(guī)模較小的分支來說，一塊16端口或24端口的交換模塊就可滿足其需求。 

◆在多業(yè)務(wù)路由器上配置一塊WLAN AP模塊可為整個分支提供無線接入功能，尤其是802.11n無線模塊具有速率高、覆蓋面積廣的優(yōu)勢，非常適合分支用戶的靈活接入。另外，多業(yè)務(wù)路由器也支持通過USB或者模塊的方式實現(xiàn)3G方式的WAN接入，使得分支網(wǎng)絡(luò)的有線與無線接入方式得到了很好的集成。 

◆多業(yè)務(wù)路由器往往內(nèi)置較強的防火墻功能，支持攻擊防范、URL過濾等特性，在減少一臺防火墻部署的同時實現(xiàn)了路由與安全的集成。 

◆對于VoIP業(yè)務(wù)，傳統(tǒng)的方式是在分支部署多臺語音網(wǎng)關(guān)，有時還需要部署語音服務(wù)器。而多業(yè)務(wù)路由器支持通過安裝語音模塊的方式將語音網(wǎng)關(guān)的功能集成進來。另外，多業(yè)務(wù)路由器還可以通過安裝語音服務(wù)器模塊實現(xiàn)對分支呼叫的支持，避免了獨立的語音服務(wù)器的使用。

可見，通過在企業(yè)分支部署一臺多業(yè)務(wù)路由器，再安裝交換、無線、語音模塊，就可實現(xiàn)路由與其它多種網(wǎng)絡(luò)業(yè)務(wù)的一體化集成，從而達到減少網(wǎng)絡(luò)設(shè)備數(shù)目、減少網(wǎng)絡(luò)故障點、降低部署成本、維護成本的目的。 

圖1 傳統(tǒng)的分支與一體化的企業(yè)分支

3 建立可管理的分支

當(dāng)企業(yè)分支網(wǎng)絡(luò)設(shè)備需要做配置更改或版本升級時，如果采用每個分支逐一升級的方式，工作量是非常巨大的（尤其是分支數(shù)量多的情況下），并且效率低下。解決辦法之一是采用傳統(tǒng)的SNMP網(wǎng)管平臺進行集中管理，但是一些分支（尤其是一些小型分支），其路由器WAN口的IP地址經(jīng)常變化（如分支租用ADSL做為廣域網(wǎng)鏈路，每次重啟路由器，WAN口都會重新獲取IP地址），很難將其納入SNMP的網(wǎng)管平臺。

因此，基于TR-069的智能分支管理方案就成為了企業(yè)分支管理的理想選擇，即分支路由器支持TR-069協(xié)議，同時在總部部署TR-069 ACS服務(wù)器。TR-069支持對分支版本與配置的批量升級，極大的降低了維護工作量。對于IP地址變化的分支，TR-069支持分支路由器自動下載版本與配置，實現(xiàn)了中心對所有分支的集中管理。另外，TR-069支持設(shè)備的零配置部署，極大簡化了初始安裝配置工作量。需要指出的是，TR-069是基于開放標準的技術(shù)，支持TR-069的設(shè)備可以與支持該標準的第三方管理平臺互通，具有良好的互通性?？梢哉f，TR-069是目前企業(yè)分支管理比較理想的方案。

關(guān)于TR-069管理的詳細技術(shù)與方案，可參考本期“TR069智能分支管”一文。

4 建立靈活可靠的分支

現(xiàn)在的企業(yè)（尤其是一些依托網(wǎng)絡(luò)運行的互聯(lián)網(wǎng)企業(yè)）越來越依靠網(wǎng)絡(luò)，因此網(wǎng)絡(luò)的可靠性及靈活性對企業(yè)非常重要，企業(yè)希望其到達分支的廣域網(wǎng)鏈路時刻保持通暢，從而保證業(yè)務(wù)的正常開展。然而企業(yè)分支所處位置千差萬別，運營商提供的線路資源各式各樣，很難保證都具有很高的可靠性。因此，必要的備份手段是高可靠分支所不可缺少的。

對于傳統(tǒng)的分支，企業(yè)在建立E1或者xDSL為主線路的同時，有時也會配置Modem，以便在主鏈路故障時，切換到Modem撥號鏈路。然而Modem、E1和xDSL都是屬于固定鏈路，當(dāng)某些因素（如一些自然災(zāi)害，暴雨，臺風(fēng)等）造成主鏈路故障，modem鏈路同樣也會故障，使得其備份作用無法發(fā)揮。此外，Modem鏈路的帶寬太窄，很難滿足現(xiàn)代企業(yè)的業(yè)務(wù)需求，即使鏈路可用，依然會極大的影響分支的業(yè)務(wù)。

目前比較理想的方案是采用3G備份鏈路。由于3G鏈路是無線方式的，當(dāng)某些情況（如暴雨沖毀某些區(qū)域）造成固定鏈路中斷時，無線信號仍可傳輸，因此它是主鏈路更好的備份選擇。另外，目前3G網(wǎng)絡(luò)已能提供很高的接入帶寬，目前各運營商一般都能提供3M左右的下載速率，這已遠遠超過撥號鏈路的帶寬。當(dāng)主鏈路故障時，3G鏈路完全能夠承載分支的業(yè)務(wù)。

同時，分支備份方案需要具備的另一個特點是：分支網(wǎng)絡(luò)必須支持良好的鏈路質(zhì)量探測能力，即在發(fā)現(xiàn)主鏈路出現(xiàn)故障時，可及時的切換到備份鏈路；在主鏈路恢復(fù)時，又能及時切回主鏈路。因此，需要在分支路由器上使能端到端的全鏈路探測功能，隨時監(jiān)控整個鏈路的狀態(tài)，而不僅僅是監(jiān)控路由器WAN口的狀態(tài)。因為在實際中經(jīng)常發(fā)現(xiàn)，雖然WAN口的狀態(tài)沒有異常，但中間的某段鏈路出現(xiàn)故障，導(dǎo)致分支到總部的業(yè)務(wù)中斷。其組網(wǎng)方案如圖2所示。

圖2 靈活可靠的的企業(yè)分支

5 建立安全的分支

需要明確指出的是，企業(yè)的網(wǎng)絡(luò)安全問題是多層次、多位置、多角度的。例如在接入層，需要防止非法入侵、網(wǎng)絡(luò)攻擊、企業(yè)機密信息的竊取；在應(yīng)用層，需要防范病毒的侵入；同時還需要安全的管理方案等等。因此，想通過部署一臺防火墻就解決所有的分支安全問題是不現(xiàn)實的。并且，網(wǎng)絡(luò)安全程度的提升，往往伴隨著安全成本的增加和通訊效率的降低。因此，企業(yè)應(yīng)該根據(jù)自己的安全需求，合理部署不同層次的安全方案，而不要一味的追求最強大、最完備的安全方案。

分支網(wǎng)絡(luò)作為廣域網(wǎng)的一部分，需要提供與整個企業(yè)廣域網(wǎng)安全需求一致的方案，否則，分支就有可能成為惡意人員攻擊和入侵企業(yè)廣域網(wǎng)的入口，給整個企業(yè)廣域網(wǎng)絡(luò)的安全帶來極大的危害。建議從以下幾個方面重點考慮分支安全問題。 

◆網(wǎng)絡(luò)攻擊、非法入侵引起的安全問題：可通過在分支部署防火墻以及IPS解決。 

◆機密信息竊取引起的安全問題：可通過在分支部署IPSec VPN，保證企業(yè)數(shù)據(jù)在公網(wǎng)上傳輸時的安全。 

◆惡意用戶的非法接入問題：可通過在分支客戶端部署端點防御系統(tǒng)，阻止未經(jīng)授權(quán)的用戶接入公司網(wǎng)絡(luò)。 

◆設(shè)備管理的安全問題：可通過在分支部署支持SNMP v3或者TR-069協(xié)議的網(wǎng)絡(luò)設(shè)備，實現(xiàn)安全的設(shè)備管理方案。

6 建立溝通融合的分支

現(xiàn)代企業(yè)的溝通，雖然越來越依賴Email、即時通信等新型的方式，但語音依然在企業(yè)內(nèi)部的溝通中發(fā)揮著重要的作用。然而傳統(tǒng)的PSTN語音方案對于分散于各地的企業(yè)分支來說，存在以下幾個問題： 

◆與總部及其他分支的通話需要支付長途費用，成本較高； 

◆傳統(tǒng)的語音方案支持電話會議、語音郵箱等業(yè)務(wù)，不但使用成本高，部署成本也很高，對企業(yè)構(gòu)成較大的負擔(dān)； 

◆由于以往語音網(wǎng)絡(luò)與數(shù)據(jù)網(wǎng)絡(luò)是兩個各自獨立的網(wǎng)絡(luò)，企業(yè)需要安排不同的人員分別對其進行維護，維護成本也較高； 

◆員工的溝通手段越來越多，如Email、即時通信、電話、短信等等，但這些通信方式之間缺少互動，在多數(shù)情況下仍不能達到期望的溝通效果。如員工出差在外無法查看辦公室內(nèi)的電話留言信息，也不能使用辦公室電話進行溝通等。

對于現(xiàn)代企業(yè)來說，需要基于IP網(wǎng)絡(luò)建立融合的通信方案。企業(yè)可以基于IP網(wǎng)絡(luò)建立企業(yè)內(nèi)部的VoIP系統(tǒng)，并且部署電話會議等語音業(yè)務(wù)，實現(xiàn)數(shù)據(jù)與語音網(wǎng)絡(luò)的融合，也使得語音溝通的部署成本及使用成本得到大幅降低。對于企業(yè)來說，只需要在分支部署語音網(wǎng)關(guān)或在分支路由器上安裝語音模塊接入模擬電話、或者直接部署IP電話，在總部部署語音服務(wù)器即可。另外，只需在總部增加部署語音業(yè)務(wù)服務(wù)器，即可支持電話會議、語音留言、語音留言轉(zhuǎn)Email等擴展業(yè)務(wù)。并且，在員工的終端上部署軟電話客戶端后，在總部語音服務(wù)器的配合下，員工即使不在辦公室，也可使用辦公室電話及公司提供的語音業(yè)務(wù)。所有這些，都極大的提高了企業(yè)分支的溝通效率。

7 結(jié)束語

現(xiàn)代的企業(yè)為了應(yīng)對各種業(yè)務(wù)挑戰(zhàn)，需要智能的廣域網(wǎng)分支，來保證廣域網(wǎng)業(yè)務(wù)的順利開展。而智能廣域網(wǎng)分支涉及到多個方面，一體化、可管理、靈活可靠、高安全、溝通方式的融合都是其重要的構(gòu)成。隨著企業(yè)需求與技術(shù)的發(fā)展，雖然除了本文介紹的內(nèi)容，廣域網(wǎng)分支必然還會有更多的要求出現(xiàn)，但智能化的廣域網(wǎng)分支，將會是分支的發(fā)展方向，也是分支網(wǎng)絡(luò)建設(shè)方案的正確選擇。