【51CTO.com 綜合報(bào)道】1 廣域網(wǎng)分支的需求和特征

隨著IT信息化的發(fā)展和完善，尤其是應(yīng)用大集中的建設(shè)，作為網(wǎng)絡(luò)的末端節(jié)點(diǎn)，廣域網(wǎng)分支在網(wǎng)絡(luò)中的地位越來(lái)越重要。一方面分支終端用戶眾多，對(duì)信息化的依賴(lài)逐漸增強(qiáng)；另一方面，應(yīng)用大集中模型下，廣域網(wǎng)分支是終端用戶訪問(wèn)集中化數(shù)據(jù)中心的直接通道。規(guī)模日益龐大的分支，對(duì)網(wǎng)絡(luò)訪問(wèn)的可靠性、安全性，兼容各種接入手段，都具有極高的要求。為滿足上述需求，需要構(gòu)建智能、融合、靈活的廣域網(wǎng)分支，主要特征如下： 

◆精簡(jiǎn)：只需少量設(shè)備即可提供傳統(tǒng)分支網(wǎng)絡(luò)多臺(tái)設(shè)備才能提供的功能，從而使得分支網(wǎng)絡(luò)易于維護(hù)； 

◆可管理：網(wǎng)絡(luò)管理和維護(hù)人員可通過(guò)廣域網(wǎng)在總部對(duì)分支的網(wǎng)絡(luò)進(jìn)行管理； 

◆靈活可靠：可以保證分支用戶通過(guò)專(zhuān)線、無(wú)線、互聯(lián)網(wǎng)、3G等多種方式，通過(guò)廣域網(wǎng)實(shí)現(xiàn)可靠的數(shù)據(jù)交換和業(yè)務(wù)訪問(wèn)； 

◆安全：分支網(wǎng)絡(luò)不能成為骨干網(wǎng)絡(luò)的薄弱環(huán)節(jié)，不能成為廣域網(wǎng)被攻擊或入侵的入口； 

◆溝通融合：可為分支用戶提供跨越整個(gè)廣域網(wǎng)的高效溝通方式。

基于上述幾點(diǎn)，下面對(duì)廣域網(wǎng)分支部署的幾個(gè)方面進(jìn)行闡述和介紹。

2 建立一體化的分支

一個(gè)企業(yè)分支的內(nèi)部往往部署有很多種網(wǎng)絡(luò)設(shè)備，如路由器，交換機(jī)，防火墻，WLAN AP，語(yǔ)音網(wǎng)關(guān)等。網(wǎng)絡(luò)設(shè)備的增多不但帶來(lái)了部署成本的增加，而且也加重了維護(hù)的負(fù)擔(dān)，因?yàn)椴煌木W(wǎng)絡(luò)設(shè)備需要不同的維護(hù)方式，需要不同設(shè)備廠家的支持。另外，有的分支場(chǎng)所受條件所限，沒(méi)有足夠的空間合理的部署這些網(wǎng)絡(luò)設(shè)備。

因此，最佳的解決方案是在分支網(wǎng)絡(luò)出口部署一體化的設(shè)備，如圖1所示，通過(guò)這臺(tái)設(shè)備，實(shí)現(xiàn)路由與交換、有線與無(wú)線、數(shù)據(jù)與安全、數(shù)據(jù)與語(yǔ)音的集成。而一體化設(shè)備的典型代表就是多業(yè)務(wù)路由器，這種多業(yè)務(wù)路由器往往可通過(guò)插卡或者USB擴(kuò)展等方式實(shí)現(xiàn)對(duì)多種設(shè)備的集成。 

◆在多業(yè)務(wù)路由器上安裝多端口的交換模塊，可實(shí)現(xiàn)路由與交換的集成。對(duì)于規(guī)模較小的分支來(lái)說(shuō)，一塊16端口或24端口的交換模塊就可滿足其需求。 

◆在多業(yè)務(wù)路由器上配置一塊WLAN AP模塊可為整個(gè)分支提供無(wú)線接入功能，尤其是802.11n無(wú)線模塊具有速率高、覆蓋面積廣的優(yōu)勢(shì)，非常適合分支用戶的靈活接入。另外，多業(yè)務(wù)路由器也支持通過(guò)USB或者模塊的方式實(shí)現(xiàn)3G方式的WAN接入，使得分支網(wǎng)絡(luò)的有線與無(wú)線接入方式得到了很好的集成。 

◆多業(yè)務(wù)路由器往往內(nèi)置較強(qiáng)的防火墻功能，支持攻擊防范、URL過(guò)濾等特性，在減少一臺(tái)防火墻部署的同時(shí)實(shí)現(xiàn)了路由與安全的集成。 

◆對(duì)于VoIP業(yè)務(wù)，傳統(tǒng)的方式是在分支部署多臺(tái)語(yǔ)音網(wǎng)關(guān)，有時(shí)還需要部署語(yǔ)音服務(wù)器。而多業(yè)務(wù)路由器支持通過(guò)安裝語(yǔ)音模塊的方式將語(yǔ)音網(wǎng)關(guān)的功能集成進(jìn)來(lái)。另外，多業(yè)務(wù)路由器還可以通過(guò)安裝語(yǔ)音服務(wù)器模塊實(shí)現(xiàn)對(duì)分支呼叫的支持，避免了獨(dú)立的語(yǔ)音服務(wù)器的使用。

可見(jiàn)，通過(guò)在企業(yè)分支部署一臺(tái)多業(yè)務(wù)路由器，再安裝交換、無(wú)線、語(yǔ)音模塊，就可實(shí)現(xiàn)路由與其它多種網(wǎng)絡(luò)業(yè)務(wù)的一體化集成，從而達(dá)到減少網(wǎng)絡(luò)設(shè)備數(shù)目、減少網(wǎng)絡(luò)故障點(diǎn)、降低部署成本、維護(hù)成本的目的。 

圖1 傳統(tǒng)的分支與一體化的企業(yè)分支

3 建立可管理的分支

當(dāng)企業(yè)分支網(wǎng)絡(luò)設(shè)備需要做配置更改或版本升級(jí)時(shí)，如果采用每個(gè)分支逐一升級(jí)的方式，工作量是非常巨大的（尤其是分支數(shù)量多的情況下），并且效率低下。解決辦法之一是采用傳統(tǒng)的SNMP網(wǎng)管平臺(tái)進(jìn)行集中管理，但是一些分支（尤其是一些小型分支），其路由器WAN口的IP地址經(jīng)常變化（如分支租用ADSL做為廣域網(wǎng)鏈路，每次重啟路由器，WAN口都會(huì)重新獲取IP地址），很難將其納入SNMP的網(wǎng)管平臺(tái)。

因此，基于TR-069的智能分支管理方案就成為了企業(yè)分支管理的理想選擇，即分支路由器支持TR-069協(xié)議，同時(shí)在總部部署TR-069 ACS服務(wù)器。TR-069支持對(duì)分支版本與配置的批量升級(jí)，極大的降低了維護(hù)工作量。對(duì)于IP地址變化的分支，TR-069支持分支路由器自動(dòng)下載版本與配置，實(shí)現(xiàn)了中心對(duì)所有分支的集中管理。另外，TR-069支持設(shè)備的零配置部署，極大簡(jiǎn)化了初始安裝配置工作量。需要指出的是，TR-069是基于開(kāi)放標(biāo)準(zhǔn)的技術(shù)，支持TR-069的設(shè)備可以與支持該標(biāo)準(zhǔn)的第三方管理平臺(tái)互通，具有良好的互通性?？梢哉f(shuō)，TR-069是目前企業(yè)分支管理比較理想的方案。

關(guān)于TR-069管理的詳細(xì)技術(shù)與方案，可參考本期“TR069智能分支管”一文。

4 建立靈活可靠的分支

現(xiàn)在的企業(yè)（尤其是一些依托網(wǎng)絡(luò)運(yùn)行的互聯(lián)網(wǎng)企業(yè)）越來(lái)越依靠網(wǎng)絡(luò)，因此網(wǎng)絡(luò)的可靠性及靈活性對(duì)企業(yè)非常重要，企業(yè)希望其到達(dá)分支的廣域網(wǎng)鏈路時(shí)刻保持通暢，從而保證業(yè)務(wù)的正常開(kāi)展。然而企業(yè)分支所處位置千差萬(wàn)別，運(yùn)營(yíng)商提供的線路資源各式各樣，很難保證都具有很高的可靠性。因此，必要的備份手段是高可靠分支所不可缺少的。

對(duì)于傳統(tǒng)的分支，企業(yè)在建立E1或者xDSL為主線路的同時(shí)，有時(shí)也會(huì)配置Modem，以便在主鏈路故障時(shí)，切換到Modem撥號(hào)鏈路。然而Modem、E1和xDSL都是屬于固定鏈路，當(dāng)某些因素（如一些自然災(zāi)害，暴雨，臺(tái)風(fēng)等）造成主鏈路故障，modem鏈路同樣也會(huì)故障，使得其備份作用無(wú)法發(fā)揮。此外，Modem鏈路的帶寬太窄，很難滿足現(xiàn)代企業(yè)的業(yè)務(wù)需求，即使鏈路可用，依然會(huì)極大的影響分支的業(yè)務(wù)。

目前比較理想的方案是采用3G備份鏈路。由于3G鏈路是無(wú)線方式的，當(dāng)某些情況（如暴雨沖毀某些區(qū)域）造成固定鏈路中斷時(shí)，無(wú)線信號(hào)仍可傳輸，因此它是主鏈路更好的備份選擇。另外，目前3G網(wǎng)絡(luò)已能提供很高的接入帶寬，目前各運(yùn)營(yíng)商一般都能提供3M左右的下載速率，這已遠(yuǎn)遠(yuǎn)超過(guò)撥號(hào)鏈路的帶寬。當(dāng)主鏈路故障時(shí)，3G鏈路完全能夠承載分支的業(yè)務(wù)。

同時(shí)，分支備份方案需要具備的另一個(gè)特點(diǎn)是：分支網(wǎng)絡(luò)必須支持良好的鏈路質(zhì)量探測(cè)能力，即在發(fā)現(xiàn)主鏈路出現(xiàn)故障時(shí)，可及時(shí)的切換到備份鏈路；在主鏈路恢復(fù)時(shí)，又能及時(shí)切回主鏈路。因此，需要在分支路由器上使能端到端的全鏈路探測(cè)功能，隨時(shí)監(jiān)控整個(gè)鏈路的狀態(tài)，而不僅僅是監(jiān)控路由器WAN口的狀態(tài)。因?yàn)樵趯?shí)際中經(jīng)常發(fā)現(xiàn)，雖然WAN口的狀態(tài)沒(méi)有異常，但中間的某段鏈路出現(xiàn)故障，導(dǎo)致分支到總部的業(yè)務(wù)中斷。其組網(wǎng)方案如圖2所示。

圖2 靈活可靠的的企業(yè)分支

5 建立安全的分支

需要明確指出的是，企業(yè)的網(wǎng)絡(luò)安全問(wèn)題是多層次、多位置、多角度的。例如在接入層，需要防止非法入侵、網(wǎng)絡(luò)攻擊、企業(yè)機(jī)密信息的竊??；在應(yīng)用層，需要防范病毒的侵入；同時(shí)還需要安全的管理方案等等。因此，想通過(guò)部署一臺(tái)防火墻就解決所有的分支安全問(wèn)題是不現(xiàn)實(shí)的。并且，網(wǎng)絡(luò)安全程度的提升，往往伴隨著安全成本的增加和通訊效率的降低。因此，企業(yè)應(yīng)該根據(jù)自己的安全需求，合理部署不同層次的安全方案，而不要一味的追求最強(qiáng)大、最完備的安全方案。

分支網(wǎng)絡(luò)作為廣域網(wǎng)的一部分，需要提供與整個(gè)企業(yè)廣域網(wǎng)安全需求一致的方案，否則，分支就有可能成為惡意人員攻擊和入侵企業(yè)廣域網(wǎng)的入口，給整個(gè)企業(yè)廣域網(wǎng)絡(luò)的安全帶來(lái)極大的危害。建議從以下幾個(gè)方面重點(diǎn)考慮分支安全問(wèn)題。 

◆網(wǎng)絡(luò)攻擊、非法入侵引起的安全問(wèn)題：可通過(guò)在分支部署防火墻以及IPS解決。 

◆機(jī)密信息竊取引起的安全問(wèn)題：可通過(guò)在分支部署IPSec VPN，保證企業(yè)數(shù)據(jù)在公網(wǎng)上傳輸時(shí)的安全。 

◆惡意用戶的非法接入問(wèn)題：可通過(guò)在分支客戶端部署端點(diǎn)防御系統(tǒng)，阻止未經(jīng)授權(quán)的用戶接入公司網(wǎng)絡(luò)。 

◆設(shè)備管理的安全問(wèn)題：可通過(guò)在分支部署支持SNMP v3或者TR-069協(xié)議的網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)安全的設(shè)備管理方案。

6 建立溝通融合的分支

現(xiàn)代企業(yè)的溝通，雖然越來(lái)越依賴(lài)Email、即時(shí)通信等新型的方式，但語(yǔ)音依然在企業(yè)內(nèi)部的溝通中發(fā)揮著重要的作用。然而傳統(tǒng)的PSTN語(yǔ)音方案對(duì)于分散于各地的企業(yè)分支來(lái)說(shuō)，存在以下幾個(gè)問(wèn)題： 

◆與總部及其他分支的通話需要支付長(zhǎng)途費(fèi)用，成本較高； 

◆傳統(tǒng)的語(yǔ)音方案支持電話會(huì)議、語(yǔ)音郵箱等業(yè)務(wù)，不但使用成本高，部署成本也很高，對(duì)企業(yè)構(gòu)成較大的負(fù)擔(dān)； 

◆由于以往語(yǔ)音網(wǎng)絡(luò)與數(shù)據(jù)網(wǎng)絡(luò)是兩個(gè)各自獨(dú)立的網(wǎng)絡(luò)，企業(yè)需要安排不同的人員分別對(duì)其進(jìn)行維護(hù)，維護(hù)成本也較高； 

◆員工的溝通手段越來(lái)越多，如Email、即時(shí)通信、電話、短信等等，但這些通信方式之間缺少互動(dòng)，在多數(shù)情況下仍不能達(dá)到期望的溝通效果。如員工出差在外無(wú)法查看辦公室內(nèi)的電話留言信息，也不能使用辦公室電話進(jìn)行溝通等。

對(duì)于現(xiàn)代企業(yè)來(lái)說(shuō)，需要基于IP網(wǎng)絡(luò)建立融合的通信方案。企業(yè)可以基于IP網(wǎng)絡(luò)建立企業(yè)內(nèi)部的VoIP系統(tǒng)，并且部署電話會(huì)議等語(yǔ)音業(yè)務(wù)，實(shí)現(xiàn)數(shù)據(jù)與語(yǔ)音網(wǎng)絡(luò)的融合，也使得語(yǔ)音溝通的部署成本及使用成本得到大幅降低。對(duì)于企業(yè)來(lái)說(shuō)，只需要在分支部署語(yǔ)音網(wǎng)關(guān)或在分支路由器上安裝語(yǔ)音模塊接入模擬電話、或者直接部署IP電話，在總部部署語(yǔ)音服務(wù)器即可。另外，只需在總部增加部署語(yǔ)音業(yè)務(wù)服務(wù)器，即可支持電話會(huì)議、語(yǔ)音留言、語(yǔ)音留言轉(zhuǎn)Email等擴(kuò)展業(yè)務(wù)。并且，在員工的終端上部署軟電話客戶端后，在總部語(yǔ)音服務(wù)器的配合下，員工即使不在辦公室，也可使用辦公室電話及公司提供的語(yǔ)音業(yè)務(wù)。所有這些，都極大的提高了企業(yè)分支的溝通效率。

7 結(jié)束語(yǔ)

現(xiàn)代的企業(yè)為了應(yīng)對(duì)各種業(yè)務(wù)挑戰(zhàn)，需要智能的廣域網(wǎng)分支，來(lái)保證廣域網(wǎng)業(yè)務(wù)的順利開(kāi)展。而智能廣域網(wǎng)分支涉及到多個(gè)方面，一體化、可管理、靈活可靠、高安全、溝通方式的融合都是其重要的構(gòu)成。隨著企業(yè)需求與技術(shù)的發(fā)展，雖然除了本文介紹的內(nèi)容，廣域網(wǎng)分支必然還會(huì)有更多的要求出現(xiàn)，但智能化的廣域網(wǎng)分支，將會(huì)是分支的發(fā)展方向，也是分支網(wǎng)絡(luò)建設(shè)方案的正確選擇。