广域网再虚拟
本文来自:泛普软件
一个企业,分支机构遍布全国,需要联网。你建议如何做?
同样还是一个分支机构遍布全国的企业,需要联网,但是要求办公自动化系统、erp系统、财务系统之间互不干扰,互相之间不能访问。你的建议如何?
国内的用户已经面对后一问题,给出了自己的一类答案。
广域网隔离
翻开《网络世界》这几年有关行业应用的报道文章,进行广域网隔离的企业无非以下几种类型,政府、金融、电力、邮政、电信运营商自己的运营支撑网、还有一些国家级大型企业。
在我们通常的印象中,VPN是企业用户利用电信运营商提供的公共网络,借助VPN技术和VPN服务将总部与分支办公室连接在一起建设的虚拟广域网络。但是,我们看到这些行业用户的用法则有不同。他们首先已经利用专线或者VPN技术构建了一个连接总部和分支机构的广域网络。在此基础上,他们又在现有的广域网络上,借助VPN技术,把自己的广域网络分割成多个相对独立的逻辑网络。不同的逻辑网络为不同的业务系统服务(比如为银行的OA系统、储蓄系统,为电力的管理系统、会议电视系统、监控系统)。这样一来,一个物理的广域网络被分割为多个逻辑的网络。
为什么虚拟
为什么要在广域网上再利用VPN技术进行隔离呢?
首先是网络可以承载的业务不断丰富。网络上承载的业务越来越多,应用系统已经从原来简单的一个办公自动化系统、MIS系统增加为多个系统并存。同时在满足数据通信需求的基础上,用户已经开始在网络上运行语音、视频等应用,并认识到三网融合的优势。一些网络应用开展比较早的用户,甚至出现了逐步建设多个独立物理网络的情况,比如说有单独OA系统网络、有单独储蓄网络、单独内部电话网络、有单独视频会议网络。
第二个也是最主要的原因是节省成本。对于这些用户来说,他们构建自身企业网络时,广域网的线路无论是DDN还是ATM的PVC都是采用从电信运营商那里租用的方式。“将多个业务系统在一个统一的物理网络上运行,实现带宽的复用,无疑是节省链路费用的好方法。”
北电网络公司企业网事业部资深系统工程师的张玉坤这样认为。“网络应用需求变化,服务供应商提供的线路资源和电信资费的变化,促成了很多用户将多种应用在一个物理的广域网络上实现。”思科公司资深系统工程师吴东梅告诉记者: 用户觉得过去为单一应用建设独立的低速的网络的做法存在很多弊端,线路速率低、不能综合利用资源,不能进行备份。而不同的网络应用,流量模型不同,出现通信峰值的时候也不同。在电信资费下调的背景下,用一个高带宽的物理广域网取代原来的多个独立网络,在电路成本、维护成本的节省上,优势明显。
第三是安全的需要:从业务的角度看,有些用户希望不同的业务网络能够分开。比如一个物理网络上要同时运行Intranet和Extranet,他们希望这两个网络能够分开。一些用户比较喜欢在2/3层进行隔离,对关键业务进行保护。
第四是对历史遗留问题的处理:在这些行业用户将多个业务系统整合在一个物理广域网平台的过程上,多多少少会遇到一些历史遗留问题,妨碍系统的整合和平滑过渡。比如说原先各个系统自行规划的IP地址,很可能就互相冲突。思科的顾问工程师汪澍给我们举了电信行业的例子,一些电信企业原有的OA系统、计费系统、网络管理维护系统,都独立运行,在IP地址的设置上可能都相互重叠。类似的情况是一些单位联合建设广域、城域网,不同单位原有正常工作的内部网络的IP地址规划可能完全重叠。在多个业务系统要融合在一个物理网络时,采用VPN技术在广域网上进行隔离可以避免很多不必要的麻烦。
第五是多媒体应用的需要:张玉坤认为,越来越多的用户认识到语音、视频和数据融合的好处。采用广域网的隔离,可以既保证服务质量、又保证带宽的复用。
第六是可以有经费进行冗余备份。过去独立建设和维护多个网络,每个网络均谈不上冗余和备份。而将多个系统整合在一个网络中后,可以有经费用另一条链路为所有的应用系统提供冗余备份的通路,同时降低成本。我们也曾听河北农业银行的李磊先生介绍过这方面的经历。
讲到这里,我们发现其实企业在广域网上进行隔离,实际上是一种融合的趋势,多种数据业务融合在一个物理网络上,把语音、数据、视频等多种通信融合在一个物理网络上来。
采用哪种技术
一般情况下,进行广域网隔离,要将用户在整个网络上部署的业务与相应的VPN通道进行映射,或者是将用户局域网的VLAN与广域网的VPN通道进行映射,实现不同业务在广域网的隔离。
有哪些技术可以用来实现广域网的隔离呢?
物理层:张玉坤告诉记者,国内有用户在城域网中使用CWDM(稀疏波分复用)技术,在城市的不同分支办公室之间,将用户数据网上不同的VLAN通过光纤上不同波长进行传送,实现隔离。
可能存在的缺点:这样的做法非常昂贵,并不是所有用户都能够拿到裸光纤。
数据链路层:这里用户可以采用的手段比较丰富。
TAG(IEEE 802.1Q的VLAN标记) in MPLS、TAG in TAG的方式,实现局域网的VLAN在广域网中仍旧实现逻辑上的隔离。
也有国内用户在广域网上自己架设ATM交换机,利用ATM和Frame Relay实现广域网上的隔离,ATM技术相对更稳定,而且在QoS控制方面有一定的优势(对ATM持保留观点的人认为,ATM的QoS机制很难与应用相结合,不能够自动通过对IP数据包的信心进行识别提供QoS)。
再有就是电信领域新兴的MSTP技术。
可能存在的缺点:二层网络的可扩展性可能不好,再有引入新的设备可能会增加维护的难度(对ATM技术保留看法的人一般都会这么说)。
IP层:可以采用IPSec VPN技术和三层的MPLS VPN技术,另外在路由上的控制、ACL方式也可以起到隔离的作用。
IPSec VPN技术可以实现加密,保证安全性,但是要对用户的三层路由网络进行一定的调整。
三层的MPLS VPN技术比较成熟,可以有灵活的拓扑、可扩展性也比较好,可以灵活的控制。可以方便设置一个交叠区,根据应用,而不是根据部门将交叠区的主机与不同的应用业务所在网络通信。
有些公司还提供了一种ATM加上虚拟路由器的三层解决方案,也可以利用虚拟路由器的设置,控制某些节点可以通达的领域。
可能存在的缺点: 要考虑用户的路由设置。增加管理维护的难度,难于保护原有投资。增加新的功能,会对用户原有的路由器性能提出挑战。
除此以外,用户在选择技术的时候还应该考虑管理方面的问题,投资保护,可扩展性,实施的难易程度,冗余,QoS,安全等方面的问题。
同样还是一个分支机构遍布全国的企业,需要联网,但是要求办公自动化系统、erp系统、财务系统之间互不干扰,互相之间不能访问。你的建议如何?
国内的用户已经面对后一问题,给出了自己的一类答案。
广域网隔离
翻开《网络世界》这几年有关行业应用的报道文章,进行广域网隔离的企业无非以下几种类型,政府、金融、电力、邮政、电信运营商自己的运营支撑网、还有一些国家级大型企业。
在我们通常的印象中,VPN是企业用户利用电信运营商提供的公共网络,借助VPN技术和VPN服务将总部与分支办公室连接在一起建设的虚拟广域网络。但是,我们看到这些行业用户的用法则有不同。他们首先已经利用专线或者VPN技术构建了一个连接总部和分支机构的广域网络。在此基础上,他们又在现有的广域网络上,借助VPN技术,把自己的广域网络分割成多个相对独立的逻辑网络。不同的逻辑网络为不同的业务系统服务(比如为银行的OA系统、储蓄系统,为电力的管理系统、会议电视系统、监控系统)。这样一来,一个物理的广域网络被分割为多个逻辑的网络。
为什么虚拟
为什么要在广域网上再利用VPN技术进行隔离呢?
首先是网络可以承载的业务不断丰富。网络上承载的业务越来越多,应用系统已经从原来简单的一个办公自动化系统、MIS系统增加为多个系统并存。同时在满足数据通信需求的基础上,用户已经开始在网络上运行语音、视频等应用,并认识到三网融合的优势。一些网络应用开展比较早的用户,甚至出现了逐步建设多个独立物理网络的情况,比如说有单独OA系统网络、有单独储蓄网络、单独内部电话网络、有单独视频会议网络。
第二个也是最主要的原因是节省成本。对于这些用户来说,他们构建自身企业网络时,广域网的线路无论是DDN还是ATM的PVC都是采用从电信运营商那里租用的方式。“将多个业务系统在一个统一的物理网络上运行,实现带宽的复用,无疑是节省链路费用的好方法。”
北电网络公司企业网事业部资深系统工程师的张玉坤这样认为。“网络应用需求变化,服务供应商提供的线路资源和电信资费的变化,促成了很多用户将多种应用在一个物理的广域网络上实现。”思科公司资深系统工程师吴东梅告诉记者: 用户觉得过去为单一应用建设独立的低速的网络的做法存在很多弊端,线路速率低、不能综合利用资源,不能进行备份。而不同的网络应用,流量模型不同,出现通信峰值的时候也不同。在电信资费下调的背景下,用一个高带宽的物理广域网取代原来的多个独立网络,在电路成本、维护成本的节省上,优势明显。
第三是安全的需要:从业务的角度看,有些用户希望不同的业务网络能够分开。比如一个物理网络上要同时运行Intranet和Extranet,他们希望这两个网络能够分开。一些用户比较喜欢在2/3层进行隔离,对关键业务进行保护。
第四是对历史遗留问题的处理:在这些行业用户将多个业务系统整合在一个物理广域网平台的过程上,多多少少会遇到一些历史遗留问题,妨碍系统的整合和平滑过渡。比如说原先各个系统自行规划的IP地址,很可能就互相冲突。思科的顾问工程师汪澍给我们举了电信行业的例子,一些电信企业原有的OA系统、计费系统、网络管理维护系统,都独立运行,在IP地址的设置上可能都相互重叠。类似的情况是一些单位联合建设广域、城域网,不同单位原有正常工作的内部网络的IP地址规划可能完全重叠。在多个业务系统要融合在一个物理网络时,采用VPN技术在广域网上进行隔离可以避免很多不必要的麻烦。
第五是多媒体应用的需要:张玉坤认为,越来越多的用户认识到语音、视频和数据融合的好处。采用广域网的隔离,可以既保证服务质量、又保证带宽的复用。
第六是可以有经费进行冗余备份。过去独立建设和维护多个网络,每个网络均谈不上冗余和备份。而将多个系统整合在一个网络中后,可以有经费用另一条链路为所有的应用系统提供冗余备份的通路,同时降低成本。我们也曾听河北农业银行的李磊先生介绍过这方面的经历。
讲到这里,我们发现其实企业在广域网上进行隔离,实际上是一种融合的趋势,多种数据业务融合在一个物理网络上,把语音、数据、视频等多种通信融合在一个物理网络上来。
采用哪种技术
一般情况下,进行广域网隔离,要将用户在整个网络上部署的业务与相应的VPN通道进行映射,或者是将用户局域网的VLAN与广域网的VPN通道进行映射,实现不同业务在广域网的隔离。
有哪些技术可以用来实现广域网的隔离呢?
物理层:张玉坤告诉记者,国内有用户在城域网中使用CWDM(稀疏波分复用)技术,在城市的不同分支办公室之间,将用户数据网上不同的VLAN通过光纤上不同波长进行传送,实现隔离。
可能存在的缺点:这样的做法非常昂贵,并不是所有用户都能够拿到裸光纤。
数据链路层:这里用户可以采用的手段比较丰富。
TAG(IEEE 802.1Q的VLAN标记) in MPLS、TAG in TAG的方式,实现局域网的VLAN在广域网中仍旧实现逻辑上的隔离。
也有国内用户在广域网上自己架设ATM交换机,利用ATM和Frame Relay实现广域网上的隔离,ATM技术相对更稳定,而且在QoS控制方面有一定的优势(对ATM持保留观点的人认为,ATM的QoS机制很难与应用相结合,不能够自动通过对IP数据包的信心进行识别提供QoS)。
再有就是电信领域新兴的MSTP技术。
可能存在的缺点:二层网络的可扩展性可能不好,再有引入新的设备可能会增加维护的难度(对ATM技术保留看法的人一般都会这么说)。
IP层:可以采用IPSec VPN技术和三层的MPLS VPN技术,另外在路由上的控制、ACL方式也可以起到隔离的作用。
IPSec VPN技术可以实现加密,保证安全性,但是要对用户的三层路由网络进行一定的调整。
三层的MPLS VPN技术比较成熟,可以有灵活的拓扑、可扩展性也比较好,可以灵活的控制。可以方便设置一个交叠区,根据应用,而不是根据部门将交叠区的主机与不同的应用业务所在网络通信。
有些公司还提供了一种ATM加上虚拟路由器的三层解决方案,也可以利用虚拟路由器的设置,控制某些节点可以通达的领域。
可能存在的缺点: 要考虑用户的路由设置。增加管理维护的难度,难于保护原有投资。增加新的功能,会对用户原有的路由器性能提出挑战。
除此以外,用户在选择技术的时候还应该考虑管理方面的问题,投资保护,可扩展性,实施的难易程度,冗余,QoS,安全等方面的问题。
相关栏目:
相关文章:
- 1削减IT灾备成本的新途径
- 2化妆品行业ERP有没有什么好的解决方案呢?
- 3中国企业战略执行问题及应对策略
- 4做好家具行业外贸erp实施的几个要点
- 5物流供应链软件选型最看好的十大要素
- 6金融行业“e路”通航:大集中领航 CRM 跟进
- 7整合行业加速信息化水平爱牙网选择爱企通
- 8跨境电商erp哪个平台好
- 9外贸跟单erp
- 10客户关系管理的几个误区
- 11外贸进销存软件
- 12帕思网络固定资产实施建设的基本解决方案
- 13外贸erp系统的使用手册
- 14企业管理迫切需要咨询实施一体化
- 15外贸erp计划层次探讨
- 16通过流程控制产品研发的关键环节
- 17管控模式设计与管控模式优化
- 18构建明日的数据中心
- 19什么是外贸erp
- 20应用IPv6需要考虑的五个安全问题
- 21客户关系系统CRM在汽车行业产销方面的应用
- 22房地产CRM系列:房地产的“人”与“人气”
- 23企业信息化案例:香港一家企业的CRM应用报告
- 24元洲装饰首推外贸erp信息管理系统网上远程监控催生
- 25内贸外贸erp
- 26天勤万象外贸erp:为小松机械信息化“量体裁衣”
- 27中国管理咨询业的七种武器
- 28ERP系统的企业战略管理有哪些?
- 29IFS离散制造解决方案
- 30基于IT的内控挑战
上一篇:增加客户信息,提高CRM回报率
下一篇:CRM企业应用几步走
功能详情
联系方式
成都公司:成都市成华区建设南路160号1层9号
重庆公司:重庆市江北区红旗河沟华创商务大厦18楼
