分支機構(gòu)網(wǎng)絡(luò)建設(shè)的原理與實現(xiàn)

摘要：分支機構(gòu)網(wǎng)絡(luò)是企業(yè)整體基礎(chǔ)網(wǎng)絡(luò)結(jié)構(gòu)的重要組成部分。本章介紹了分支機構(gòu)網(wǎng)絡(luò)建設(shè)涉及的一些基本技術(shù)及原理，并通過案例來闡述分支機構(gòu)網(wǎng)絡(luò)的實現(xiàn)過程。

關(guān)鍵詞：數(shù)據(jù)中心；VPN；IP Sec；SSL

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044(2009)05-1219-01

The Principle and Implementation of Establishing Branches Network

CHEN Xiao

(School of Software Engineering， Tongji University， Shanghai 201804， China)

Abstract： The LAN of the Branch and it’s subsidiaries is the important components among total IT infrastructures. The chapter introduces some key technologies and principles when establishing branches network. An example was explained on how to establish the sub-branches network.

Key words：data center; VPN; IP Sec; SSL

1 引言

由于企業(yè)業(yè)務(wù)的拓展，越來越多的企業(yè)選擇在全國各地開辦更多的分支機構(gòu)。稍微有點規(guī)模的企業(yè)都不會只在只一個辦公場所辦公，通常有總部、省級分公司、市級支公司、辦事處等多個營業(yè)場所。企業(yè)通過廣域網(wǎng)實現(xiàn)各級別分支機構(gòu)、分支機構(gòu)和企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)之間的連接。由于數(shù)據(jù)現(xiàn)在主要集中在數(shù)據(jù)中心內(nèi)，所有的分支機構(gòu)還要有能力訪問數(shù)據(jù)中心內(nèi)部的應用。

分支機構(gòu)網(wǎng)絡(luò)是企業(yè)整體基礎(chǔ)網(wǎng)絡(luò)結(jié)構(gòu)的重要組成部分。企業(yè)分支機構(gòu)有可能進一步劃分為一、二級分支機構(gòu)。下級分支機構(gòu)可以選擇與當?shù)氐囊患壏种C構(gòu)互聯(lián)，也可以考慮直接連接至數(shù)據(jù)中心。這需要根據(jù)企業(yè)的網(wǎng)絡(luò)需求所決定。

2 分支機構(gòu)網(wǎng)絡(luò)建設(shè)的基本思路

在今天數(shù)據(jù)大集中的背景下，企業(yè)建立自己的數(shù)據(jù)中心，用來存放企業(yè)關(guān)鍵數(shù)據(jù)，運行企業(yè)核心業(yè)務(wù)。數(shù)據(jù)中心既是企業(yè)的業(yè)務(wù)處理中心、信息資源中心，同時也成為了企業(yè)完整基礎(chǔ)網(wǎng)絡(luò)架構(gòu)的中心。企業(yè)的其他部分網(wǎng)絡(luò)，這包括辦公分區(qū)、核心業(yè)務(wù)服務(wù)區(qū)、VPN服務(wù)區(qū)、分支機構(gòu)服務(wù)區(qū)等。各地的分支機構(gòu)都存在接入到數(shù)據(jù)中心網(wǎng)絡(luò)的需求，獲取數(shù)據(jù)中心提供的相關(guān)服務(wù)。

分支機構(gòu)與上級公司互聯(lián)的線路類型主要有點對點DDN專線、SDH線路、FR線路、ATM線路等。分支機構(gòu)到數(shù)據(jù)中心一般采用兩條廣域網(wǎng)線路，這兩條線路通常采用不同運營商（如電信與網(wǎng)通），在這兩條線路上實現(xiàn)數(shù)據(jù)分流和線路互備策略。另外還需要部署QoS策略，保證業(yè)務(wù)數(shù)據(jù)優(yōu)先。由于分支機構(gòu)分部在全國各個區(qū)域，這就需要把核心業(yè)務(wù)系統(tǒng)、ERP系統(tǒng)和財務(wù)系統(tǒng)在所有各分支機構(gòu)統(tǒng)一實施部署，使其能夠從互聯(lián)網(wǎng)上通過VPN或?qū)＞€安全訪問企業(yè)總部的應用服務(wù)器。

3 虛擬專用網(wǎng)絡(luò)（VPN）介紹

虛擬專用網(wǎng)絡(luò)在分支機構(gòu)網(wǎng)絡(luò)建設(shè)中扮有重要角色。虛擬專用網(wǎng)絡(luò) (VPN：Virtual Private Network )是通過公共網(wǎng)絡(luò)（如Internet）建立一條安全、穩(wěn)定的隧道。任意兩個節(jié)點之間的連接線路并不是端到端的物理鏈路，而是一條虛擬的專用線路。虛擬專用網(wǎng)是對企業(yè)Intranet的擴展。虛擬專用網(wǎng)可以幫助移動用戶、分支機構(gòu)、商業(yè)合作伙伴等與公司的內(nèi)部網(wǎng)建立可信的連接，并保證數(shù)據(jù)的可信傳輸。

由于VPN 是在 Internet 上臨時建立的安全專用虛擬網(wǎng)絡(luò)，用戶節(jié)省了租用專線的費用，企業(yè)僅需要向企業(yè)所在地的寬帶運營商支付一定的上網(wǎng)費用。所以VPN連接方式是一種非常廉價的企業(yè)互聯(lián)方式。

在不同的設(shè)備之間使用VPN技術(shù)時，必須有一個統(tǒng)一的標準即VPN協(xié)議。目前國際上比較流行的VPN協(xié)議主要有IPSec、PPTP、SSL等，目前使用的最多是IPSec和SSL兩種協(xié)議。

IPSec VPN通過在兩站點間創(chuàng)建隧道提供直接方式接入，實現(xiàn)對整個網(wǎng)絡(luò)的透明訪問，一旦隧道創(chuàng)建，用戶工作站就如同物理地位于企業(yè)LAN中。這通常需要通過撥號實現(xiàn)。SSL VPN是目前基于Web的應用的協(xié)議方式。SSL VPN不需要在最終用戶的PC和筆記本裝上客戶端軟件。

4 案例實施

結(jié)合筆者參與的某企業(yè)上海分公司的網(wǎng)絡(luò)系統(tǒng)建設(shè)。上海分公司作為該公司的重點分支機構(gòu)，必須保證能夠通過SDH專線聯(lián)接分公司， 安全的穩(wěn)定運行集中部署在分公司的信息系統(tǒng)。并且所有放置在分公司的軟硬件平臺必須考慮滿足未來三年內(nèi)的業(yè)務(wù)發(fā)展需求，同時保證一定的擴展空間，滿足第三年之后通過擴展?jié)M足需求的增長。上海分公司網(wǎng)絡(luò)建設(shè)主要用來支持上海分公司與總公司之間業(yè)務(wù)、財務(wù)及辦公自動化等應用。

上海分公司采用CISCO 2821通過一條2MB SDH線路與總公司相連接，同時采用一條2M ADSL寬帶以SSL VPN方式進行線路備份。這樣從設(shè)備到鏈路全部冗余，正常的情況下使用2M SDH線路，在其出現(xiàn)問題時，另外2M線路作為該線路的備份，從而保證關(guān)鍵業(yè)務(wù)的正常運行。詳細的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1。

從圖1的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖中可以看到，上海分公司通過CISCO 2821路由器租用的一條2MB SDH數(shù)字電路連接到數(shù)據(jù)中心，從而保證業(yè)務(wù)的正常運行。

上海支公司通過CISCO 2821路由器連接2MSDH主線路，實現(xiàn)分公司和總公司的連接。分內(nèi)部用戶通過3COM 48口交換機提供10/100M的桌面接入。

5 結(jié)論

分支機構(gòu)網(wǎng)絡(luò)系統(tǒng)的建設(shè)主要是考慮到鏈路的冗余，通過VPN和專線的方式搭建。當然在實際應用環(huán)境中用戶經(jīng)常會碰到更加復雜的問題，但用戶只要掌握了機構(gòu)網(wǎng)絡(luò)建設(shè)的的基本原理，無論環(huán)境再怎么變化，都能應付自如。

參考文獻：

[1] Wendell Odom.CCNA Exam Certification Guide， Tsinghua Press. 1999.

[2] (美)科默（Comer，D.E.）著；林生譯.計算機網(wǎng)絡(luò)與因特網(wǎng).南京：機械工業(yè)出版社，2005.

[3] Kenneth C.Laudon.管理信息系統(tǒng)-網(wǎng)絡(luò)化企業(yè)的組織與技術(shù).南京：高等教育出版社.2001.

[4] 夏明萍，董南萍，陳旭生編著.計算機網(wǎng)絡(luò)管理. 北京：清華大學出版社，2005.

[5] 魏學萍，湯倩.網(wǎng)絡(luò)組件與管理.上海：人民郵電出版社，2002.