廣域網(wǎng)再虛擬

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

本文來自：泛普軟件 一個(gè)企業(yè)，分支機(jī)構(gòu)遍布全國(guó)，需要聯(lián)網(wǎng)。你建議如何做？

    同樣還是一個(gè)分支機(jī)構(gòu)遍布全國(guó)的企業(yè)，需要聯(lián)網(wǎng)，但是要求辦公自動(dòng)化系統(tǒng)、erp系統(tǒng)、財(cái)務(wù)系統(tǒng)之間互不干擾，互相之間不能訪問。你的建議如何？

    國(guó)內(nèi)的用戶已經(jīng)面對(duì)后一問題，給出了自己的一類答案。

    廣域網(wǎng)隔離

    翻開《網(wǎng)絡(luò)世界》這幾年有關(guān)行業(yè)應(yīng)用的報(bào)道文章，進(jìn)行廣域網(wǎng)隔離的企業(yè)無非以下幾種類型，政府、金融、電力、郵政、電信運(yùn)營(yíng)商自己的運(yùn)營(yíng)支撐網(wǎng)、還有一些國(guó)家級(jí)大型企業(yè)。

    在我們通常的印象中，VPN是企業(yè)用戶利用電信運(yùn)營(yíng)商提供的公共網(wǎng)絡(luò)，借助VPN技術(shù)和VPN服務(wù)將總部與分支辦公室連接在一起建設(shè)的虛擬廣域網(wǎng)絡(luò)。但是，我們看到這些行業(yè)用戶的用法則有不同。他們首先已經(jīng)利用專線或者VPN技術(shù)構(gòu)建了一個(gè)連接總部和分支機(jī)構(gòu)的廣域網(wǎng)絡(luò)。在此基礎(chǔ)上，他們又在現(xiàn)有的廣域網(wǎng)絡(luò)上，借助VPN技術(shù)，把自己的廣域網(wǎng)絡(luò)分割成多個(gè)相對(duì)獨(dú)立的邏輯網(wǎng)絡(luò)。不同的邏輯網(wǎng)絡(luò)為不同的業(yè)務(wù)系統(tǒng)服務(wù)（比如為銀行的OA系統(tǒng)、儲(chǔ)蓄系統(tǒng)，為電力的管理系統(tǒng)、會(huì)議電視系統(tǒng)、監(jiān)控系統(tǒng)）。這樣一來，一個(gè)物理的廣域網(wǎng)絡(luò)被分割為多個(gè)邏輯的網(wǎng)絡(luò)。

    為什么虛擬

    為什么要在廣域網(wǎng)上再利用VPN技術(shù)進(jìn)行隔離呢？

    首先是網(wǎng)絡(luò)可以承載的業(yè)務(wù)不斷豐富。網(wǎng)絡(luò)上承載的業(yè)務(wù)越來越多，應(yīng)用系統(tǒng)已經(jīng)從原來簡(jiǎn)單的一個(gè)辦公自動(dòng)化系統(tǒng)、MIS系統(tǒng)增加為多個(gè)系統(tǒng)并存。同時(shí)在滿足數(shù)據(jù)通信需求的基礎(chǔ)上，用戶已經(jīng)開始在網(wǎng)絡(luò)上運(yùn)行語音、視頻等應(yīng)用，并認(rèn)識(shí)到三網(wǎng)融合的優(yōu)勢(shì)。一些網(wǎng)絡(luò)應(yīng)用開展比較早的用戶，甚至出現(xiàn)了逐步建設(shè)多個(gè)獨(dú)立物理網(wǎng)絡(luò)的情況，比如說有單獨(dú)OA系統(tǒng)網(wǎng)絡(luò)、有單獨(dú)儲(chǔ)蓄網(wǎng)絡(luò)、單獨(dú)內(nèi)部電話網(wǎng)絡(luò)、有單獨(dú)視頻會(huì)議網(wǎng)絡(luò)。

    第二個(gè)也是最主要的原因是節(jié)省成本。對(duì)于這些用戶來說，他們構(gòu)建自身企業(yè)網(wǎng)絡(luò)時(shí)，廣域網(wǎng)的線路無論是DDN還是ATM的PVC都是采用從電信運(yùn)營(yíng)商那里租用的方式?！皩⒍鄠€(gè)業(yè)務(wù)系統(tǒng)在一個(gè)統(tǒng)一的物理網(wǎng)絡(luò)上運(yùn)行，實(shí)現(xiàn)帶寬的復(fù)用，無疑是節(jié)省鏈路費(fèi)用的好方法?！?nbsp; 

    北電網(wǎng)絡(luò)公司企業(yè)網(wǎng)事業(yè)部資深系統(tǒng)工程師的張玉坤這樣認(rèn)為?！熬W(wǎng)絡(luò)應(yīng)用需求變化，服務(wù)供應(yīng)商提供的線路資源和電信資費(fèi)的變化，促成了很多用戶將多種應(yīng)用在一個(gè)物理的廣域網(wǎng)絡(luò)上實(shí)現(xiàn)?！彼伎乒举Y深系統(tǒng)工程師吳東梅告訴記者: 用戶覺得過去為單一應(yīng)用建設(shè)獨(dú)立的低速的網(wǎng)絡(luò)的做法存在很多弊端，線路速率低、不能綜合利用資源，不能進(jìn)行備份。而不同的網(wǎng)絡(luò)應(yīng)用，流量模型不同，出現(xiàn)通信峰值的時(shí)候也不同。在電信資費(fèi)下調(diào)的背景下，用一個(gè)高帶寬的物理廣域網(wǎng)取代原來的多個(gè)獨(dú)立網(wǎng)絡(luò)，在電路成本、維護(hù)成本的節(jié)省上，優(yōu)勢(shì)明顯。

    第三是安全的需要：從業(yè)務(wù)的角度看，有些用戶希望不同的業(yè)務(wù)網(wǎng)絡(luò)能夠分開。比如一個(gè)物理網(wǎng)絡(luò)上要同時(shí)運(yùn)行Intranet和Extranet，他們希望這兩個(gè)網(wǎng)絡(luò)能夠分開。一些用戶比較喜歡在2/3層進(jìn)行隔離，對(duì)關(guān)鍵業(yè)務(wù)進(jìn)行保護(hù)。

    第四是對(duì)歷史遺留問題的處理:在這些行業(yè)用戶將多個(gè)業(yè)務(wù)系統(tǒng)整合在一個(gè)物理廣域網(wǎng)平臺(tái)的過程上，多多少少會(huì)遇到一些歷史遺留問題，妨礙系統(tǒng)的整合和平滑過渡。比如說原先各個(gè)系統(tǒng)自行規(guī)劃的IP地址，很可能就互相沖突。思科的顧問工程師汪澍給我們舉了電信行業(yè)的例子，一些電信企業(yè)原有的OA系統(tǒng)、計(jì)費(fèi)系統(tǒng)、網(wǎng)絡(luò)管理維護(hù)系統(tǒng)，都獨(dú)立運(yùn)行，在IP地址的設(shè)置上可能都相互重疊。類似的情況是一些單位聯(lián)合建設(shè)廣域、城域網(wǎng)，不同單位原有正常工作的內(nèi)部網(wǎng)絡(luò)的IP地址規(guī)劃可能完全重疊。在多個(gè)業(yè)務(wù)系統(tǒng)要融合在一個(gè)物理網(wǎng)絡(luò)時(shí)，采用VPN技術(shù)在廣域網(wǎng)上進(jìn)行隔離可以避免很多不必要的麻煩。

    第五是多媒體應(yīng)用的需要：張玉坤認(rèn)為，越來越多的用戶認(rèn)識(shí)到語音、視頻和數(shù)據(jù)融合的好處。采用廣域網(wǎng)的隔離，可以既保證服務(wù)質(zhì)量、又保證帶寬的復(fù)用。

    第六是可以有經(jīng)費(fèi)進(jìn)行冗余備份。過去獨(dú)立建設(shè)和維護(hù)多個(gè)網(wǎng)絡(luò)，每個(gè)網(wǎng)絡(luò)均談不上冗余和備份。而將多個(gè)系統(tǒng)整合在一個(gè)網(wǎng)絡(luò)中后，可以有經(jīng)費(fèi)用另一條鏈路為所有的應(yīng)用系統(tǒng)提供冗余備份的通路，同時(shí)降低成本。我們也曾聽河北農(nóng)業(yè)銀行的李磊先生介紹過這方面的經(jīng)歷。

    講到這里，我們發(fā)現(xiàn)其實(shí)企業(yè)在廣域網(wǎng)上進(jìn)行隔離，實(shí)際上是一種融合的趨勢(shì)，多種數(shù)據(jù)業(yè)務(wù)融合在一個(gè)物理網(wǎng)絡(luò)上，把語音、數(shù)據(jù)、視頻等多種通信融合在一個(gè)物理網(wǎng)絡(luò)上來。

    采用哪種技術(shù)

    一般情況下，進(jìn)行廣域網(wǎng)隔離，要將用戶在整個(gè)網(wǎng)絡(luò)上部署的業(yè)務(wù)與相應(yīng)的VPN通道進(jìn)行映射，或者是將用戶局域網(wǎng)的VLAN與廣域網(wǎng)的VPN通道進(jìn)行映射，實(shí)現(xiàn)不同業(yè)務(wù)在廣域網(wǎng)的隔離。

    有哪些技術(shù)可以用來實(shí)現(xiàn)廣域網(wǎng)的隔離呢？

    物理層：張玉坤告訴記者，國(guó)內(nèi)有用戶在城域網(wǎng)中使用CWDM（稀疏波分復(fù)用）技術(shù)，在城市的不同分支辦公室之間，將用戶數(shù)據(jù)網(wǎng)上不同的VLAN通過光纖上不同波長(zhǎng)進(jìn)行傳送，實(shí)現(xiàn)隔離。

    可能存在的缺點(diǎn)：這樣的做法非常昂貴，并不是所有用戶都能夠拿到裸光纖。

    數(shù)據(jù)鏈路層：這里用戶可以采用的手段比較豐富。

    TAG（IEEE 802.1Q的VLAN標(biāo)記） in MPLS、TAG in TAG的方式，實(shí)現(xiàn)局域網(wǎng)的VLAN在廣域網(wǎng)中仍舊實(shí)現(xiàn)邏輯上的隔離。

    也有國(guó)內(nèi)用戶在廣域網(wǎng)上自己架設(shè)ATM交換機(jī)，利用ATM和Frame Relay實(shí)現(xiàn)廣域網(wǎng)上的隔離，ATM技術(shù)相對(duì)更穩(wěn)定，而且在QoS控制方面有一定的優(yōu)勢(shì)（對(duì)ATM持保留觀點(diǎn)的人認(rèn)為，ATM的QoS機(jī)制很難與應(yīng)用相結(jié)合，不能夠自動(dòng)通過對(duì)IP數(shù)據(jù)包的信心進(jìn)行識(shí)別提供QoS）。

    再有就是電信領(lǐng)域新興的MSTP技術(shù)。

    可能存在的缺點(diǎn)：二層網(wǎng)絡(luò)的可擴(kuò)展性可能不好，再有引入新的設(shè)備可能會(huì)增加維護(hù)的難度（對(duì)ATM技術(shù)保留看法的人一般都會(huì)這么說）。

    IP層：可以采用IPSec VPN技術(shù)和三層的MPLS VPN技術(shù)，另外在路由上的控制、ACL方式也可以起到隔離的作用。

    IPSec VPN技術(shù)可以實(shí)現(xiàn)加密，保證安全性，但是要對(duì)用戶的三層路由網(wǎng)絡(luò)進(jìn)行一定的調(diào)整。

    三層的MPLS VPN技術(shù)比較成熟，可以有靈活的拓?fù)洹⒖蓴U(kuò)展性也比較好，可以靈活的控制。可以方便設(shè)置一個(gè)交疊區(qū)，根據(jù)應(yīng)用，而不是根據(jù)部門將交疊區(qū)的主機(jī)與不同的應(yīng)用業(yè)務(wù)所在網(wǎng)絡(luò)通信。

    有些公司還提供了一種ATM加上虛擬路由器的三層解決方案，也可以利用虛擬路由器的設(shè)置，控制某些節(jié)點(diǎn)可以通達(dá)的領(lǐng)域。

    可能存在的缺點(diǎn): 要考慮用戶的路由設(shè)置。增加管理維護(hù)的難度，難于保護(hù)原有投資。增加新的功能，會(huì)對(duì)用戶原有的路由器性能提出挑戰(zhàn)。

    除此以外，用戶在選擇技術(shù)的時(shí)候還應(yīng)該考慮管理方面的問題，投資保護(hù)，可擴(kuò)展性，實(shí)施的難易程度，冗余，QoS，安全等方面的問題。