今天是:
網站首頁  |  公司簡介  |  產品與營銷  |  解決方案  |  新聞動態  |  在線留言  |  聯系我們  |  加入我們
網站首頁 >> 解決方案
 
集團化企業廣域網解決方案
日期:[2021-5-6 11:23:40]   共閱[531]次

回顧中國企業的發展歷程,從無到有,從小到大的每一步的發展,所帶來的競爭力增強,給剛剛進入WTO的中國企業帶來了巨大的改變。

推進特色產業“集群化”發展,加快優勢企業“集團化”建設,是國家一直倡導的,為了迎接全球競爭所帶來的壓力,國內企業紛紛組建集團,將優勢企業強強聯合,形成集團優勢,提升整體競爭力。

集團化的發展帶來了競爭力的提高,同時也帶來了體制和管理方面的變革,為了促進集團化戰略的發展,各個企業利用先進的技術作為基礎,建設集團骨干網,連接下屬企業,形成有效地溝通平臺,保障企業的快速發展。

廣域網建設需求分析

集團化企業內各個下屬單位分布分散,常常造成協調不一致,溝通不暢,管理不到位的情況,這對于一個企業來說,是不能忍受的,如何保障信息通暢,保障有效的管理,一個連接各個下屬公司的網絡平臺,成為溝通的有效途徑;但如此一張大網如何進行建設和管理,就成了急需解決的問題。

集團化公司在成立初期,自身網絡已初具規模,但下屬公司之間差別很大,技術力量也參差不齊,就需要在網絡規劃初期周密考慮。

網絡結構設計:一個好的網絡結構是關系到網絡的整體可靠性的問題,對于集團化運作的企業,業務系統需要不間斷的運行,如何使網絡更加可靠,就需要一個可靠的網絡結構作為保障。

IP地址的重疊問題:一般企業的局域網建設都早于廣域網,IP地址的規劃也各自為政,由于單位眾多,往往IP地址重疊嚴重,因此需要統一規劃IP地址或采用其他技術解決地址重疊。

路由規劃:路由規劃的好壞直接影響到日后企業不斷擴張和業務的要求,因此對于大型集團企業,前期路由的規劃應考慮到日后企業擴張的需求。

QoS的考慮:對于網絡來說廣域網的鏈路帶寬永遠小于局域網的接入帶寬,數據流傳輸類似于城市交通,總會出現擁堵的情況,如何解決實時數據和關鍵業務的流量順利傳輸,需要在規劃中將業務進行分類和設計。

業務隔離考慮:對于集團化運作的企業,各種業務之間混雜在一起,相互影響,特別是在廣域網中,需要對業務進行有效的隔離,以提高業務運轉的高效率。

網絡安全考慮:集團網絡規模龐大,安全系數低,一點點小的漏洞,就會造成整體網絡癱瘓,在現今企業,業務對網絡的依賴程度越來越深,安全的防護也越來越重要。

管理的考慮:大型網絡的管理是一個復雜的系統工程,簡單的人工管理,只會造成網絡進一步混亂,維護成本越來越高,如何降低總擁有成本TCO,智能化管理是集團企業必不可少的有效工具。

集團化廣域網解決方案

集團化企業信息系統的發展,對基礎網絡的依賴程度越來越高,保障其各個業務系統穩定、高效的運行。這就需要一個可靠、安全、高效、集成的網絡平臺來承載其業務的應用。 H3C在基于對企業的充分理解的基礎上,結合未來發展的可控網絡的思想,為集團化企業設計了廣域網的解決方案。

一個典型的集團化企業三級廣域網拓撲圖如下:

 集團化企業的廣域網建設主要是符合業務系統的需要。目前數據大集中、語音、視頻的應用,對廣域網提出了更高的要求,考慮到這些要求和用戶對網絡可靠性的需要,建議采用雙設備、雙鏈路的方式進行組網,實現一個安全、可靠、多業務承載的網絡平臺。

網絡結構設計

網絡結構分為星形、網狀、環形、混合等多種不同拓撲,每種拓撲都有不同的可靠性,投資也各不相同,對于集團化企業來說,由于規模龐大,下屬分支節點多,多采用雙星形網絡拓撲結構,

如圖所示,雙星形的網絡拓撲結構實際是主備兩套網絡平臺同時在線,當一點出現故障,可利用另一網絡平臺進行數據傳輸,實現業務不中斷的運行。

雙星形拓撲具有以下特點

可靠性高:采用兩個核心節點的雙連接星形網絡結構,使得網絡具有可靠性、可用性及安全性,避免了單點失效的隱患。

支持流量的負載分擔:網絡流量可能隨著多種業務的發展日益壯大(如語音,視頻會議),網絡流量的負載分擔問題將會成為網絡可用性的主要因素,采用雙連接的網絡結構,使得網絡的流量能夠比較合理的分布在各條鏈路上。

支持網絡的冗余備份:核心節點采用兩臺高性能的網絡設備,使得核心層具有較好的冗余備份能力。同時,兩臺核心設備之間要采用高速鏈路互連,提供了核心設備間的高速互連帶寬,避免兩臺設備之間形成傳輸瓶頸。

解決IP地址重疊

IP地址的重疊有其自身原因,也有大多企業信息化從局部開始,向集團整體發展的問題,這是企業自下向上發展的模式所造成的。在集團廣域網建設初期,如何解決IP地址沖突的問題?就成了企業信息化進程中必須解決的首要問題。

企業IP地址的選擇大多采用私網地址,由于私網地址的數量有限,經常會造成不同企業選擇相同地址段的IP,那么解決之道主要有以下兩種方式:

先期不改變現有地址,采用NAT方式解決地址重疊,再逐步更改IP地址。這樣的優勢是集團企業網絡改造的范圍不大,影響小,能夠盡快實現廣域網連接;劣勢是在未完全更改完IP地址前,網絡管理復雜,維護難度大,對于其他業務應用有很大的影響。

改變現有地址,杜絕IP地址重疊。利用集團總公司的行政權力,重新規劃IP地址,所有下屬企業按新的地址重新配置,徹底杜絕IP地址沖突。這樣的優勢是管理簡單,易維護,對日后的業務支持好;劣勢是影響范圍大,IP地址改造時間長。

綜上所述,根據企業的不同情況和環境靈活選擇,最終將以前不合理的IP地址重疊問題徹底杜絕,為企業日后信息化的發展鋪平道路。

路由設計

對大型企業網絡來說,選擇一個合適的路由協議是非常重要的,不恰當的選擇有時對網絡是致命的。隨著網絡技術的發展,網絡規模越來越大,網絡上的業務類型也越來越多,其中最主要的兩大類應用是:基于組播技術(包括VOD點播、遠程培訓、實時視/音頻會議等)和基于MPLS技術(包括L3 VPN、L2 VPN、VPLS、VPWS、TE等)。無論是組播技術還是MPLS技術都緊密依賴于路由技術,路由設計的結果直接影響這兩大類業務的實際效果,因此路由協議的選擇、路由的部署就顯得尤其重要。

動態路由協議是集團化廣域網建設的首選,根據作用的范圍,分為內部網關協議(Interior Gateway Protocol,簡稱IGP)和外部網關協議(Exterior Gateway Protocol,簡稱EGP),其中IGP協議包括RIP、OSPF和IS-IS等,EGP協議目前只有BGP,而如何選擇路由協議,其主要跟以下原因有關。

路由協議的開放性:開放性的路由協議保證了不同廠商都能對本路由協議進行支持,這不僅保證了目前網絡的互通性,而且保證了將來網絡發展的擴充能力和選擇空間。

網絡的拓撲結構:網絡拓撲結構直接影響協議的選擇。例如RIP這樣比較簡單的路由協議不支持分層次的路由信息計算,對復雜網絡的適應能力較弱。路由協議還必須支持網絡拓撲的變化,在拓撲發生變化時,無論是對網絡中的路由本身,還是網絡設備的管理都要保證影響最小。

網絡節點數量:不同的協議對于網絡規模的支持能力有所不同,需要按需求適當選擇,有時還需要采用一些特殊技術解決適應網絡規模方面的擴展性問題。

與其他網絡的互連要求:通過劃分成相對獨立管理的網絡區域,可以減少網絡間的相關性,有利于網絡的擴展,路由協議要能支持減少網絡間的相關性(通常劃分為一個自治系統(AS)),在AS之間需要采用適當的區域間路由協議。必要時還要考慮路由信息安全因素和對路由交換的限制管理

管理和安全上的要求:通常要求在可以滿足功能需求的情況下盡可能簡化管理。但有時為了實現比較完善的管理功能或為了滿足安全的需要,例如對路由的傳播和選用提出一些人為的要求,就需要路由協議對策略的支持。

對于中小型網絡來說,采用IGP協議較多,這有力于維護和管理。其中RIP協議由于收斂時間慢、不支持分層、擴展性差等先天缺陷除了極個別的應用場合,通常不應被考慮;ISIS協議維護人員少、廠家設備支持少,整體維護成本高,應用較少;而OSPF協議應用最為廣泛,維護人員多。因此,在實際網絡部署中,通常采用OSPF 。

一個典型的OSPF 路由設計如下:

對于大型網絡來說,由于規模大,業務需求豐富,通常采用EGP協議。EGP協議的可選項只有一個,那就是BGP,由于其自身的技術特點,特別適合于大型網絡中需要承載網和業務網分離的應用。

一個典型的多域BGP路由設計如下:

業務隔離—MPLS VPN設計

伴隨企業和公司的不斷擴張,集團化企業網絡建設已經由原來的內部局域網發展成為跨區域、跨城市的廣域連接,隨著承載業務的不斷增加和對業務的安全性的要求,用原有的IP技術已經難以解決,而MPLS VPN技術的出現,使得企業能夠利用現有廣域網建立自己的虛擬專網,形成一網多平面地傳輸平臺,使不同的業務運行在不同的傳輸平面上,既實現了業務的隔離,又保障了安全,從而滿足企業自身網絡應用的要求。

MPLS VPN技術介紹

MPLS可以看作是一種面向連接的技術,通過MPLS信令建立好MPLS標記交換通道,可以實現數據在網絡中的快速轉發;MPLS VPN是一種基于MPLS技術的IP-VPN,是在網絡路由和交換設備上應用MPLS技術,簡化核心路由器的路由選擇方式,結合傳統路由技術的標記交換實現IP虛擬專用網絡(IP VPN),采用MPLS VPN技術實現虛擬路由器和隔離的虛擬轉發表和路由表,把現有的IP網絡分解成邏輯上隔離的網絡。

在MPLS/BGP VPN的模型中,網絡由骨干網和用戶的各個Site組成,一個VPN就對應一個由若干site組成的集合。屬于同一個VPN的兩個用戶之間可以正常訪問,不同VPN之間不能隨意連通。

MPLS VPN在集團企業的應用

在企業內部署MPLS VPN,可以實現財務、ERP、OA和語音視頻系統等業務的虛擬專網服務,同時各虛擬專網之間也可以通過策略,實現安全可靠的信息交換。

對于集團化企業,可以為各個下屬企業提供統一的網絡平臺,通過MPLS VPN虛擬網絡,將集團內相互交流的不同業務分成不同的轉發平面,實現其安全和靈活性。同時各業務系統之間相互獨立,以便于各業務系統的接入和擴展。

分層HOPE

由于MPLS/VPN 協議規劃是由核心、邊緣的兩層扁平結構組成,所有設備都要維護VPN 的路由信息,但集團企業廣域網核心、匯聚、接入三層組網結構中設備性能逐層降低的情況,對數量眾多的接入節點設備的性能提出嚴峻考驗,如果更換接入設備檔次滿足組網需求,又會導致組網成本大幅提升。

為解決多層接入問題,H3C 采用了分層PE 技術。分層PE 的結構如下圖所示,直接連結用戶的設備稱為下層PE(Underlayer PE 或User-end PE,用戶側PE),簡寫為UPE,連結UPE 并位于網絡內部的設備稱為上層PE(Superstratum PE 或Sevice Provider-end PE,服務運營商側PE),簡寫為SPE。這種框架結構稱為PE 的分層結構(Hiberarchy of PE),簡寫為HoPE。

多個UPE 同SPE 構成分層式PE,它們之間的分工是:

UPE維護其直接連接的VPN 的路由,但不維護VPN 中其它節點的路由或僅維護它們的聚合路由;SPE 維護其通過UPE 所連接的節點所在的VPN 中的所有路由,包括本地和遠程節點中的路由。

UPE為其直接連接的節點的路由分配內層標簽,并通過MP-BGP 隨VPN 路由發布這個標簽給SPE;SPE 不發布遠程節點中的路由給UPE,而是只發布VRF 默認路由或聚合路由給UPE,并攜帶標簽。

采用分層PE 技術后,SPE 就成為UPE 設備的代理,更上一級設備根本感知不到UPE 的存在,如果想與UPE 互通只需要與SPE 互通就可以了,分層PE 技術減少了骨干和匯聚層設備上面的路由信息,對UPE 的處理性能要求大幅降低,SPE、UPE 方式還可支持多級嵌套,更適合于集團企業逐層連接的網絡結構。

QoS 設計

廣域網的建設是復雜的,源于其自身特點—帶寬瓶頸,如何利用有限的帶寬,保障實時業務和關鍵業務的及時傳輸?QoS技術得到了廣泛的應用。

目前集團化企業網絡中主要包括三種業務應用為語音、數據、視頻,數據又分為關鍵業務和一般應用等,這些業務對IP QoS技術指標的要求是不同的,通過有效地實施各項IP QoS技術,使得網絡管理人員能夠有效地控制網絡資源及其使用。

IP QoS技術在設計實施時,首先需要考慮選擇合適的技術框架,也即服務模型,而由于DiffServ(區分服務)模式具有處理效率高,部署和實施方便的特點被普遍采用。

下面的網絡模型為一個基本的DiffServ 體系架構模型:

Diffserv體系架構一般分為兩個層次,接入、骨干,骨干區域可為IP或MPLS 轉發。按照端到端的部署原則,分別在下列管理區域:接入網絡、接入網絡邊緣、骨干網絡邊緣、骨干網絡分別部署QoS策略。

對上述的網絡模型實施IP QoS,一般都包括以下6個步驟:

識別業務中的關鍵應用,對關鍵應用進行分類。在對應用分類前,必須明確這些關鍵應用對時延、丟包率、抖動的要求、應用的屬性或性能要求以及所使用的傳輸層協議棧;

標記,為不同的業務數據流設置DSCP/IP Precedence優先級標記;

為每一類業務或應用定義QoS監管策略。根據業務數據流的分類和標記信息,為不同的業務數據流分配網絡帶寬(包括最小帶寬、最大帶寬、突發速率等);

擁塞管理(Queuing):對輸出的業務數據流進行排隊,以實現關鍵業務的優先傳輸;

擁塞避免(WRED):通過丟棄低優先級數據包來解決網絡擁塞;

根據網絡中的業務流量,監控關鍵應用的時延、抖動和丟包率,并實時調整QoS策略以保證應用性能。

MPLS DiffServ

對于MPLS網絡也可以通過DiffServ實現,在保證網絡高利用率的同時,可以根據不同VPN的EXP優先級實現差別服務,從而為語音、視頻等數據流提供有帶寬保證的低延時、低丟包率的服務。

DiffServ的基本機制是在網絡邊緣,根據業務的服務質量要求將該業務映射到一定的業務類別中,利用IP分組中的DS字段(由TOS域而來)唯一標記該類業務,然后,骨干網絡中的各節點根據該字段對各種業務采取預先設定的服務策略,保證相應的服務質量。

基于MPLS的DiffServ就是通過將DS的分配與MPLS的標簽分配過程結合來實現的。MPLS DiffServ在RFC3270定義,要求通過MPLS包頭中的EXP值攜帶DiffServ PHB,標簽交換路由器(LSR)在做出轉發決策時要考慮MPLS EXP值。

安全設計

隨著網絡技術的普及,網絡攻擊行為出現得越來越頻繁。通過各種攻擊軟件,只要具有一般計算機常識的初學者也能完成對網絡的攻擊。各種網絡病毒的泛濫,也加劇了網絡被攻擊的危險。

集團化企業的網絡更加龐大,而且Internet的出口多,造成網絡的安全隱患多;同時各分支機構的系統復雜性,又造成安全問題糾纏不清,一點出現問題,全網受影響,而且排除困難。那么如何保障網絡的安全呢?

網絡的安全應從整體上考慮,首先需要將安全層次分清,將不同的區域劃分成不同的安全區域進行保護,如數據中心區域,外部連接區域(Internet出口、分支機構連接),重要部門(財務部門等);然后考慮每個區域的接入安全,如終端安全等。這樣就形成全方位的安全防護。

區域間防護—H3C IPS+Firewall組合式解決方案

隨著IT技術的發展,安全模型逐漸改變,單一防火墻的安全模型已不能滿足用戶的需求,應用層的安全攻擊能夠輕易穿透防火墻,形成新的隱患,給企業的信息系統造成損失。

針對防火墻的不足,需要有新的安全設備與之配合,這就是IPS―入侵防御系統,可以這么解釋IPS在網絡安全上的重要性,將一個需要保護的網絡比作一間密封的大屋子,傳統的防火墻相當于在屋子的墻上開了幾個窗口,讓空氣和光線可以進來,而IPS相當于給這些窗口裝上紗窗、玻璃和窗簾,以擋風遮雨,同時防范蒼蠅、蚊子、灰塵等進入屋子。

通過IPS+Firewall組合,將網絡安全分層防護,防火墻負責四層以下的防護,IPS負責四層以上的防護,IPS和Firewall互相配合,形成區域安全邊界,保護企業重要出入口的安全。

區域內防護—H3C EAD終端準入防護解決方案

客戶端的保護,對于任何企業來說是一個非常困難的事,集團化企業計算機普及率廣,數量大,終端一旦染毒,就成為一個攻擊點,再加上大多數從業者的計算機水平普遍不高,這就造成終端的安全防護不夠,木馬程序肆意泛濫,成為企業最為頭疼的問題。如何管理終端?如何保護終端不受侵害?

據權威機構對用戶的調查分析,大多安全問題主要集中在病毒和系統自身漏洞方面,H3C公司依據多年的經驗和先進的網絡技術,結合用戶的需求,推出EAD端點準入防御系統,配合交換機、路由器和安全設備,徹底保護網絡安全。

根據集團化企業逐級部署的特點,為了保護集團內所有終端的安全, H3C推出了分級部署方案,具體部署如下所示:

每一個區域一臺策略服務器,不同層次有不同的級別,從上到下安全策略逐級包含,但每一個區域又相互獨立,形成單獨的EAD系統,應用符合自身特點的安全策略。在每個區域內EAD系統部署如下圖所示:

EAD在用戶接入網絡前,強制檢查用戶終端的安全狀態,并根據對用戶終端安全狀態的檢查結果,強制實施用戶接入控制策略,對不符合企業安全標準的用戶進行“隔離”并強制用戶進行病毒庫升級、系統補丁安裝等操作;在保證用戶終端具備自防御能力并安全接入的前提下,合理控制用戶的網絡行為,提升整網的安全防御能力。

IMC智能管理

通常,集團化廣域網的建設涉及地域廣,各種網絡設備眾多,如何將分布在各個區域的眾多網絡設備有效的管理起來,成為每一個網絡設計者和管理者不得不考慮的問題。

H3C公司推出的網絡智能管理中心(iMC)基于SOA開放式框架,將網絡用戶、網絡設備和網絡業務有機的整合起來,實現網絡的運營和管理從“網絡資源運營”向“信息服務和流程服務”、從“粗放的規模運營和管理”向“精確管理和精益運營”轉變。

全面的基礎網絡資源管理

iMC可以對全網資源進行統一部署、管理和調配,除了能夠有效的對各種主流廠商的路由器、交換機、安全、無線、語音等傳統網絡資源進行管理之外,還可以對存儲、服務器、PC、UPS等設備類型進行管理,實現了故障、性能、拓撲、配置等管理內容,成為業務融合聯動的基礎。

在廣域網方面,其拓撲功能與故障管理和性能管理緊密融合,使拓撲圖能夠清晰地看到企業IT資源的狀態,包括運行是否正常、網絡帶寬、接口連通、配置變化都能一目了然。配合ACL管理、QoS管理等多種功能,靈活配置,實現輕松管理。

網絡資源和用戶的統一管理

iMC在對網絡設備進行管理的基礎上,將網絡用戶一同納入管理范疇,從網絡拓撲圖上即可以了解到有哪些用戶通過哪些網絡設備接入網絡,每個用戶的上網行為和安全狀態都可以實時得到監控和審計。而且通過故障根源分析、SLA分析等基于規則和策略的深度分析,直觀展示網絡運行狀態,快速定位故障源,協助優化網絡結構;通過流量異常檢測、網絡安全事件的集中管理和基于資源管理平臺的協同響應,提高風險識別的準確度、快速響應安全威脅。

iMC可以支持LAN、WAN、WLAN、VPN等方式的用戶認證接入,實現接入業務的統一、集中管理;同時支持智能卡、證書等強認證功能,支持多種方式的端點準入控制和基于身份的網絡服務,實現用戶與資源和業務的融合管理。

集團企業網MPLS VPN管理

基于集團化企業廣域網建設的MPLS VPN虛擬專網,解決了企業當前紛雜不清的業務系統之間傳輸層面上的相互影響,使每個業務系統運行在不同的網絡平臺上。然而,MPLS VPN涉及技術多而復雜,增加了網絡運營、部署、監控、維護等方面的難度。

H3C公司的管理解決方案“MPLS VPN Manager”是基于H3C智能管理中心開發的,采用業界標準的SOA架構,提供融合的資源管理,重整業務流程,實現MPLS VPN業務整個生命周期(規劃、部署、監視、審計、優化、重構)的全流程管理。主要完成如下功能:

對MPLS VPN網絡業務進行規劃、部署以及已有業務的自動還原;

對MPLS VPN網絡資源進行管理,提供對VPN網絡的配置優化;

對MPLS VPN網絡性能進行監控和故障關聯分析;

對MPLS VPN網絡配置進行變更審計;

對MPLS VPN網絡業務進行端到端的連通性測試。

集團化企業發展展望

發揮集團化優勢,提高整體競爭力,是集團化企業發展的初衷。H3C長期致力于企業IT領域的建設,努力發揮自身在IT技術前沿的優勢,為企業信息化構建良好地網絡環境。同時H3C作為企業的一分子,切身體會企業建網的困惑,借助自身發展的經驗和教訓,在信息化建設的進程中,與廣大企業攜手共進,實現雙贏。

   相關文章
明御安全網關(下一代防火墻)中小企業解決方案 [04/30]
H3C路由器光纖類連接方法 [03/21]
H3C交換機的使用 [08/01]
H3C路由器登陸方法 [06/12]
典型行業安全解決方案 [01/30]
公司組織南部山區企業拓展訓練 [06/05]
山東廣鵬信息科技有限公司
您是本站第位訪客
亚洲特黄无码刺激大片_粗大挺进尤物怀孕人妻_欧美黑人性暴力猛交