外貿ERP

廣域網(wǎng)再虛擬

本文來自：泛普軟件一個企業(yè)，分支機構遍布全國，需要聯(lián)網(wǎng)。你建議如何做？

    同樣還是一個分支機構遍布全國的企業(yè)，需要聯(lián)網(wǎng)，但是要求辦公自動化系統(tǒng)、erp系統(tǒng)、財務系統(tǒng)之間互不干擾，互相之間不能訪問。你的建議如何？

    國內的用戶已經(jīng)面對后一問題，給出了自己的一類答案。

    廣域網(wǎng)隔離

    翻開《網(wǎng)絡世界》這幾年有關行業(yè)應用的報道文章，進行廣域網(wǎng)隔離的企業(yè)無非以下幾種類型，政府、金融、電力、郵政、電信運營商自己的運營支撐網(wǎng)、還有一些國家級大型企業(yè)。

    在我們通常的印象中，VPN是企業(yè)用戶利用電信運營商提供的公共網(wǎng)絡，借助VPN技術和VPN服務將總部與分支辦公室連接在一起建設的虛擬廣域網(wǎng)絡。但是，我們看到這些行業(yè)用戶的用法則有不同。他們首先已經(jīng)利用專線或者VPN技術構建了一個連接總部和分支機構的廣域網(wǎng)絡。在此基礎上，他們又在現(xiàn)有的廣域網(wǎng)絡上，借助VPN技術，把自己的廣域網(wǎng)絡分割成多個相對獨立的邏輯網(wǎng)絡。不同的邏輯網(wǎng)絡為不同的業(yè)務系統(tǒng)服務（比如為銀行的OA系統(tǒng)、儲蓄系統(tǒng)，為電力的管理系統(tǒng)、會議電視系統(tǒng)、監(jiān)控系統(tǒng)）。這樣一來，一個物理的廣域網(wǎng)絡被分割為多個邏輯的網(wǎng)絡。

    為什么虛擬

    為什么要在廣域網(wǎng)上再利用VPN技術進行隔離呢？

    首先是網(wǎng)絡可以承載的業(yè)務不斷豐富。網(wǎng)絡上承載的業(yè)務越來越多，應用系統(tǒng)已經(jīng)從原來簡單的一個辦公自動化系統(tǒng)、MIS系統(tǒng)增加為多個系統(tǒng)并存。同時在滿足數(shù)據(jù)通信需求的基礎上，用戶已經(jīng)開始在網(wǎng)絡上運行語音、視頻等應用，并認識到三網(wǎng)融合的優(yōu)勢。一些網(wǎng)絡應用開展比較早的用戶，甚至出現(xiàn)了逐步建設多個獨立物理網(wǎng)絡的情況，比如說有單獨OA系統(tǒng)網(wǎng)絡、有單獨儲蓄網(wǎng)絡、單獨內部電話網(wǎng)絡、有單獨視頻會議網(wǎng)絡。

    第二個也是最主要的原因是節(jié)省成本。對于這些用戶來說，他們構建自身企業(yè)網(wǎng)絡時，廣域網(wǎng)的線路無論是DDN還是ATM的PVC都是采用從電信運營商那里租用的方式?！皩⒍鄠€業(yè)務系統(tǒng)在一個統(tǒng)一的物理網(wǎng)絡上運行，實現(xiàn)帶寬的復用，無疑是節(jié)省鏈路費用的好方法?！?nbsp;

    北電網(wǎng)絡公司企業(yè)網(wǎng)事業(yè)部資深系統(tǒng)工程師的張玉坤這樣認為?！熬W(wǎng)絡應用需求變化，服務供應商提供的線路資源和電信資費的變化，促成了很多用戶將多種應用在一個物理的廣域網(wǎng)絡上實現(xiàn)。”思科公司資深系統(tǒng)工程師吳東梅告訴記者: 用戶覺得過去為單一應用建設獨立的低速的網(wǎng)絡的做法存在很多弊端，線路速率低、不能綜合利用資源，不能進行備份。而不同的網(wǎng)絡應用，流量模型不同，出現(xiàn)通信峰值的時候也不同。在電信資費下調的背景下，用一個高帶寬的物理廣域網(wǎng)取代原來的多個獨立網(wǎng)絡，在電路成本、維護成本的節(jié)省上，優(yōu)勢明顯。

    第三是安全的需要：從業(yè)務的角度看，有些用戶希望不同的業(yè)務網(wǎng)絡能夠分開。比如一個物理網(wǎng)絡上要同時運行Intranet和Extranet，他們希望這兩個網(wǎng)絡能夠分開。一些用戶比較喜歡在2/3層進行隔離，對關鍵業(yè)務進行保護。

    第四是對歷史遺留問題的處理:在這些行業(yè)用戶將多個業(yè)務系統(tǒng)整合在一個物理廣域網(wǎng)平臺的過程上，多多少少會遇到一些歷史遺留問題，妨礙系統(tǒng)的整合和平滑過渡。比如說原先各個系統(tǒng)自行規(guī)劃的IP地址，很可能就互相沖突。思科的顧問工程師汪澍給我們舉了電信行業(yè)的例子，一些電信企業(yè)原有的OA系統(tǒng)、計費系統(tǒng)、網(wǎng)絡管理維護系統(tǒng)，都獨立運行，在IP地址的設置上可能都相互重疊。類似的情況是一些單位聯(lián)合建設廣域、城域網(wǎng)，不同單位原有正常工作的內部網(wǎng)絡的IP地址規(guī)劃可能完全重疊。在多個業(yè)務系統(tǒng)要融合在一個物理網(wǎng)絡時，采用VPN技術在廣域網(wǎng)上進行隔離可以避免很多不必要的麻煩。

    第五是多媒體應用的需要：張玉坤認為，越來越多的用戶認識到語音、視頻和數(shù)據(jù)融合的好處。采用廣域網(wǎng)的隔離，可以既保證服務質量、又保證帶寬的復用。

    第六是可以有經(jīng)費進行冗余備份。過去獨立建設和維護多個網(wǎng)絡，每個網(wǎng)絡均談不上冗余和備份。而將多個系統(tǒng)整合在一個網(wǎng)絡中后，可以有經(jīng)費用另一條鏈路為所有的應用系統(tǒng)提供冗余備份的通路，同時降低成本。我們也曾聽河北農業(yè)銀行的李磊先生介紹過這方面的經(jīng)歷。

    講到這里，我們發(fā)現(xiàn)其實企業(yè)在廣域網(wǎng)上進行隔離，實際上是一種融合的趨勢，多種數(shù)據(jù)業(yè)務融合在一個物理網(wǎng)絡上，把語音、數(shù)據(jù)、視頻等多種通信融合在一個物理網(wǎng)絡上來。

    采用哪種技術

    一般情況下，進行廣域網(wǎng)隔離，要將用戶在整個網(wǎng)絡上部署的業(yè)務與相應的VPN通道進行映射，或者是將用戶局域網(wǎng)的VLAN與廣域網(wǎng)的VPN通道進行映射，實現(xiàn)不同業(yè)務在廣域網(wǎng)的隔離。

    有哪些技術可以用來實現(xiàn)廣域網(wǎng)的隔離呢？

    物理層：張玉坤告訴記者，國內有用戶在城域網(wǎng)中使用CWDM（稀疏波分復用）技術，在城市的不同分支辦公室之間，將用戶數(shù)據(jù)網(wǎng)上不同的VLAN通過光纖上不同波長進行傳送，實現(xiàn)隔離。

    可能存在的缺點：這樣的做法非常昂貴，并不是所有用戶都能夠拿到裸光纖。

    數(shù)據(jù)鏈路層：這里用戶可以采用的手段比較豐富。

    TAG（IEEE 802.1Q的VLAN標記） in MPLS、TAG in TAG的方式，實現(xiàn)局域網(wǎng)的VLAN在廣域網(wǎng)中仍舊實現(xiàn)邏輯上的隔離。

    也有國內用戶在廣域網(wǎng)上自己架設ATM交換機，利用ATM和Frame Relay實現(xiàn)廣域網(wǎng)上的隔離，ATM技術相對更穩(wěn)定，而且在QoS控制方面有一定的優(yōu)勢（對ATM持保留觀點的人認為，ATM的QoS機制很難與應用相結合，不能夠自動通過對IP數(shù)據(jù)包的信心進行識別提供QoS）。

    再有就是電信領域新興的MSTP技術。

    可能存在的缺點：二層網(wǎng)絡的可擴展性可能不好，再有引入新的設備可能會增加維護的難度（對ATM技術保留看法的人一般都會這么說）。

    IP層：可以采用IPSec VPN技術和三層的MPLS VPN技術，另外在路由上的控制、ACL方式也可以起到隔離的作用。

    IPSec VPN技術可以實現(xiàn)加密，保證安全性，但是要對用戶的三層路由網(wǎng)絡進行一定的調整。

    三層的MPLS VPN技術比較成熟，可以有靈活的拓撲、可擴展性也比較好，可以靈活的控制?？梢苑奖阍O置一個交疊區(qū)，根據(jù)應用，而不是根據(jù)部門將交疊區(qū)的主機與不同的應用業(yè)務所在網(wǎng)絡通信。

    有些公司還提供了一種ATM加上虛擬路由器的三層解決方案，也可以利用虛擬路由器的設置，控制某些節(jié)點可以通達的領域。

    可能存在的缺點: 要考慮用戶的路由設置。增加管理維護的難度，難于保護原有投資。增加新的功能，會對用戶原有的路由器性能提出挑戰(zhàn)。

    除此以外，用戶在選擇技術的時候還應該考慮管理方面的問題，投資保護，可擴展性，實施的難易程度，冗余，QoS，安全等方面的問題。

發(fā)布：2007-04-29 10:24 編輯：泛普軟件 · xiaona [打印此頁] [關閉]

相關欄目：