回顾中国企业的发展历程,从无到有,从小到大的每一步的发展,所带来的竞争力增强,给刚刚进入WTO的中国企业带来了巨大的改变。
推进特色产业“集群化”发展,加快优势企业“集团化”建设,是国家一直倡导的,为了迎接全球竞争所带来的压力,国内企业纷纷组建集团,将优势企业强强联合,形成集团优势,提升整体竞争力。
集团化的发展带来了竞争力的提高,同时也带来了体制和管理方面的变革,为了促进集团化战略的发展,各个企业利用先进的技术作为基础,建设集团骨干网,连接下属企业,形成有效地沟通平台,保障企业的快速发展。
广域网建设需求分析
集团化企业内各个下属单位分布分散,常常造成协调不一致,沟通不畅,管理不到位的情况,这对于一个企业来说,是不能忍受的,如何保障信息通畅,保障有效的管理,一个连接各个下属公司的网络平台,成为沟通的有效途径;但如此一张大网如何进行建设和管理,就成了急需解决的问题。
集团化公司在成立初期,自身网络已初具规模,但下属公司之间差别很大,技术力量也参差不齐,就需要在网络规划初期周密考虑。
网络结构设计:一个好的网络结构是关系到网络的整体可靠性的问题,对于集团化运作的企业,业务系统需要不间断的运行,如何使网络更加可靠,就需要一个可靠的网络结构作为保障。
IP地址的重叠问题:一般企业的局域网建设都早于广域网,IP地址的规划也各自为政,由于单位众多,往往IP地址重叠严重,因此需要统一规划IP地址或采用其他技术解决地址重叠。
路由规划:路由规划的好坏直接影响到日后企业不断扩张和业务的要求,因此对于大型集团企业,前期路由的规划应考虑到日后企业扩张的需求。
QoS的考虑:对于网络来说广域网的链路带宽永远小于局域网的接入带宽,数据流传输类似于城市交通,总会出现拥堵的情况,如何解决实时数据和关键业务的流量顺利传输,需要在规划中将业务进行分类和设计。
业务隔离考虑:对于集团化运作的企业,各种业务之间混杂在一起,相互影响,特别是在广域网中,需要对业务进行有效的隔离,以提高业务运转的高效率。
网络安全考虑:集团网络规模庞大,安全系数低,一点点小的漏洞,就会造成整体网络瘫痪,在现今企业,业务对网络的依赖程度越来越深,安全的防护也越来越重要。
管理的考虑:大型网络的管理是一个复杂的系统工程,简单的人工管理,只会造成网络进一步混乱,维护成本越来越高,如何降低总拥有成本TCO,智能化管理是集团企业必不可少的有效工具。
集团化广域网解决方案
集团化企业信息系统的发展,对基础网络的依赖程度越来越高,保障其各个业务系统稳定、高效的运行。这就需要一个可靠、安全、高效、集成的网络平台来承载其业务的应用。 H3C在基于对企业的充分理解的基础上,结合未来发展的可控网络的思想,为集团化企业设计了广域网的解决方案。
一个典型的集团化企业三级广域网拓扑图如下:
集团化企业的广域网建设主要是符合业务系统的需要。目前数据大集中、语音、视频的应用,对广域网提出了更高的要求,考虑到这些要求和用户对网络可靠性的需要,建议采用双设备、双链路的方式进行组网,实现一个安全、可靠、多业务承载的网络平台。
网络结构设计
网络结构分为星形、网状、环形、混合等多种不同拓扑,每种拓扑都有不同的可靠性,投资也各不相同,对于集团化企业来说,由于规模庞大,下属分支节点多,多采用双星形网络拓扑结构,
如图所示,双星形的网络拓扑结构实际是主备两套网络平台同时在线,当一点出现故障,可利用另一网络平台进行数据传输,实现业务不中断的运行。
双星形拓扑具有以下特点
可靠性高:采用两个核心节点的双连接星形网络结构,使得网络具有可靠性、可用性及安全性,避免了单点失效的隐患。
支持流量的负载分担:网络流量可能随着多种业务的发展日益壮大(如语音,视频会议),网络流量的负载分担问题将会成为网络可用性的主要因素,采用双连接的网络结构,使得网络的流量能够比较合理的分布在各条链路上。
支持网络的冗余备份:核心节点采用两台高性能的网络设备,使得核心层具有较好的冗余备份能力。同时,两台核心设备之间要采用高速链路互连,提供了核心设备间的高速互连带宽,避免两台设备之间形成传输瓶颈。
解决IP地址重叠
IP地址的重叠有其自身原因,也有大多企业信息化从局部开始,向集团整体发展的问题,这是企业自下向上发展的模式所造成的。在集团广域网建设初期,如何解决IP地址冲突的问题?就成了企业信息化进程中必须解决的首要问题。
企业IP地址的选择大多采用私网地址,由于私网地址的数量有限,经常会造成不同企业选择相同地址段的IP,那么解决之道主要有以下两种方式:
先期不改变现有地址,采用NAT方式解决地址重叠,再逐步更改IP地址。这样的优势是集团企业网络改造的范围不大,影响小,能够尽快实现广域网连接;劣势是在未完全更改完IP地址前,网络管理复杂,维护难度大,对于其他业务应用有很大的影响。
改变现有地址,杜绝IP地址重叠。利用集团总公司的行政权力,重新规划IP地址,所有下属企业按新的地址重新配置,彻底杜绝IP地址冲突。这样的优势是管理简单,易维护,对日后的业务支持好;劣势是影响范围大,IP地址改造时间长。
综上所述,根据企业的不同情况和环境灵活选择,最终将以前不合理的IP地址重叠问题彻底杜绝,为企业日后信息化的发展铺平道路。
路由设计
对大型企业网络来说,选择一个合适的路由协议是非常重要的,不恰当的选择有时对网络是致命的。随着网络技术的发展,网络规模越来越大,网络上的业务类型也越来越多,其中最主要的两大类应用是:基于组播技术(包括VOD点播、远程培训、实时视/音频会议等)和基于MPLS技术(包括L3 VPN、L2 VPN、VPLS、VPWS、TE等)。无论是组播技术还是MPLS技术都紧密依赖于路由技术,路由设计的结果直接影响这两大类业务的实际效果,因此路由协议的选择、路由的部署就显得尤其重要。
动态路由协议是集团化广域网建设的首选,根据作用的范围,分为内部网关协议(Interior Gateway Protocol,简称IGP)和外部网关协议(Exterior Gateway Protocol,简称EGP),其中IGP协议包括RIP、OSPF和IS-IS等,EGP协议目前只有BGP,而如何选择路由协议,其主要跟以下原因有关。
路由协议的开放性:开放性的路由协议保证了不同厂商都能对本路由协议进行支持,这不仅保证了目前网络的互通性,而且保证了将来网络发展的扩充能力和选择空间。
网络的拓扑结构:网络拓扑结构直接影响协议的选择。例如RIP这样比较简单的路由协议不支持分层次的路由信息计算,对复杂网络的适应能力较弱。路由协议还必须支持网络拓扑的变化,在拓扑发生变化时,无论是对网络中的路由本身,还是网络设备的管理都要保证影响最小。
网络节点数量:不同的协议对于网络规模的支持能力有所不同,需要按需求适当选择,有时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题。
与其他网络的互连要求:通过划分成相对独立管理的网络区域,可以减少网络间的相关性,有利于网络的扩展,路由协议要能支持减少网络间的相关性(通常划分为一个自治系统(AS)),在AS之间需要采用适当的区域间路由协议。必要时还要考虑路由信息安全因素和对路由交换的限制管理
管理和安全上的要求:通常要求在可以满足功能需求的情况下尽可能简化管理。但有时为了实现比较完善的管理功能或为了满足安全的需要,例如对路由的传播和选用提出一些人为的要求,就需要路由协议对策略的支持。
对于中小型网络来说,采用IGP协议较多,这有力于维护和管理。其中RIP协议由于收敛时间慢、不支持分层、扩展性差等先天缺陷除了极个别的应用场合,通常不应被考虑;ISIS协议维护人员少、厂家设备支持少,整体维护成本高,应用较少;而OSPF协议应用最为广泛,维护人员多。因此,在实际网络部署中,通常采用OSPF 。
一个典型的OSPF 路由设计如下:
对于大型网络来说,由于规模大,业务需求丰富,通常采用EGP协议。EGP协议的可选项只有一个,那就是BGP,由于其自身的技术特点,特别适合于大型网络中需要承载网和业务网分离的应用。
一个典型的多域BGP路由设计如下:
业务隔离—MPLS VPN设计
伴随企业和公司的不断扩张,集团化企业网络建设已经由原来的内部局域网发展成为跨区域、跨城市的广域连接,随着承载业务的不断增加和对业务的安全性的要求,用原有的IP技术已经难以解决,而MPLS VPN技术的出现,使得企业能够利用现有广域网建立自己的虚拟专网,形成一网多平面地传输平台,使不同的业务运行在不同的传输平面上,既实现了业务的隔离,又保障了安全,从而满足企业自身网络应用的要求。
MPLS VPN技术介绍
MPLS可以看作是一种面向连接的技术,通过MPLS信令建立好MPLS标记交换通道,可以实现数据在网络中的快速转发;MPLS VPN是一种基于MPLS技术的IP-VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,结合传统路由技术的标记交换实现IP虚拟专用网络(IP VPN),采用MPLS VPN技术实现虚拟路由器和隔离的虚拟转发表和路由表,把现有的IP网络分解成逻辑上隔离的网络。
在MPLS/BGP VPN的模型中,网络由骨干网和用户的各个Site组成,一个VPN就对应一个由若干site组成的集合。属于同一个VPN的两个用户之间可以正常访问,不同VPN之间不能随意连通。
MPLS VPN在集团企业的应用
在企业内部署MPLS VPN,可以实现财务、ERP、OA和语音视频系统等业务的虚拟专网服务,同时各虚拟专网之间也可以通过策略,实现安全可靠的信息交换。
对于集团化企业,可以为各个下属企业提供统一的网络平台,通过MPLS VPN虚拟网络,将集团内相互交流的不同业务分成不同的转发平面,实现其安全和灵活性。同时各业务系统之间相互独立,以便于各业务系统的接入和扩展。
分层HOPE
由于MPLS/VPN 协议规划是由核心、边缘的两层扁平结构组成,所有设备都要维护VPN 的路由信息,但集团企业广域网核心、汇聚、接入三层组网结构中设备性能逐层降低的情况,对数量众多的接入节点设备的性能提出严峻考验,如果更换接入设备档次满足组网需求,又会导致组网成本大幅提升。
为解决多层接入问题,H3C 采用了分层PE 技术。分层PE 的结构如下图所示,直接连结用户的设备称为下层PE(Underlayer PE 或User-end PE,用户侧PE),简写为UPE,连结UPE 并位于网络内部的设备称为上层PE(Superstratum PE 或Sevice Provider-end PE,服务运营商侧PE),简写为SPE。这种框架结构称为PE 的分层结构(Hiberarchy of PE),简写为HoPE。
多个UPE 同SPE 构成分层式PE,它们之间的分工是:
UPE维护其直接连接的VPN 的路由,但不维护VPN 中其它节点的路由或仅维护它们的聚合路由;SPE 维护其通过UPE 所连接的节点所在的VPN 中的所有路由,包括本地和远程节点中的路由。
UPE为其直接连接的节点的路由分配内层标签,并通过MP-BGP 随VPN 路由发布这个标签给SPE;SPE 不发布远程节点中的路由给UPE,而是只发布VRF 默认路由或聚合路由给UPE,并携带标签。
采用分层PE 技术后,SPE 就成为UPE 设备的代理,更上一级设备根本感知不到UPE 的存在,如果想与UPE 互通只需要与SPE 互通就可以了,分层PE 技术减少了骨干和汇聚层设备上面的路由信息,对UPE 的处理性能要求大幅降低,SPE、UPE 方式还可支持多级嵌套,更适合于集团企业逐层连接的网络结构。
QoS 设计
广域网的建设是复杂的,源于其自身特点—带宽瓶颈,如何利用有限的带宽,保障实时业务和关键业务的及时传输?QoS技术得到了广泛的应用。
目前集团化企业网络中主要包括三种业务应用为语音、数据、视频,数据又分为关键业务和一般应用等,这些业务对IP QoS技术指标的要求是不同的,通过有效地实施各项IP QoS技术,使得网络管理人员能够有效地控制网络资源及其使用。
IP QoS技术在设计实施时,首先需要考虑选择合适的技术框架,也即服务模型,而由于DiffServ(区分服务)模式具有处理效率高,部署和实施方便的特点被普遍采用。
下面的网络模型为一个基本的DiffServ 体系架构模型:
Diffserv体系架构一般分为两个层次,接入、骨干,骨干区域可为IP或MPLS 转发。按照端到端的部署原则,分别在下列管理区域:接入网络、接入网络边缘、骨干网络边缘、骨干网络分别部署QoS策略。
对上述的网络模型实施IP QoS,一般都包括以下6个步骤:
识别业务中的关键应用,对关键应用进行分类。在对应用分类前,必须明确这些关键应用对时延、丢包率、抖动的要求、应用的属性或性能要求以及所使用的传输层协议栈;
标记,为不同的业务数据流设置DSCP/IP Precedence优先级标记;
为每一类业务或应用定义QoS监管策略。根据业务数据流的分类和标记信息,为不同的业务数据流分配网络带宽(包括最小带宽、最大带宽、突发速率等);
拥塞管理(Queuing):对输出的业务数据流进行排队,以实现关键业务的优先传输;
拥塞避免(WRED):通过丢弃低优先级数据包来解决网络拥塞;
根据网络中的业务流量,监控关键应用的时延、抖动和丢包率,并实时调整QoS策略以保证应用性能。
MPLS DiffServ
对于MPLS网络也可以通过DiffServ实现,在保证网络高利用率的同时,可以根据不同VPN的EXP优先级实现差别服务,从而为语音、视频等数据流提供有带宽保证的低延时、低丢包率的服务。
DiffServ的基本机制是在网络边缘,根据业务的服务质量要求将该业务映射到一定的业务类别中,利用IP分组中的DS字段(由TOS域而来)唯一标记该类业务,然后,骨干网络中的各节点根据该字段对各种业务采取预先设定的服务策略,保证相应的服务质量。
基于MPLS的DiffServ就是通过将DS的分配与MPLS的标签分配过程结合来实现的。MPLS DiffServ在RFC3270定义,要求通过MPLS包头中的EXP值携带DiffServ PHB,标签交换路由器(LSR)在做出转发决策时要考虑MPLS EXP值。
安全设计
随着网络技术的普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。
集团化企业的网络更加庞大,而且Internet的出口多,造成网络的安全隐患多;同时各分支机构的系统复杂性,又造成安全问题纠缠不清,一点出现问题,全网受影响,而且排除困难。那么如何保障网络的安全呢?
网络的安全应从整体上考虑,首先需要将安全层次分清,将不同的区域划分成不同的安全区域进行保护,如数据中心区域,外部连接区域(Internet出口、分支机构连接),重要部门(财务部门等);然后考虑每个区域的接入安全,如终端安全等。这样就形成全方位的安全防护。
区域间防护—H3C IPS+Firewall组合式解决方案
随着IT技术的发展,安全模型逐渐改变,单一防火墙的安全模型已不能满足用户的需求,应用层的安全攻击能够轻易穿透防火墙,形成新的隐患,给企业的信息系统造成损失。
针对防火墙的不足,需要有新的安全设备与之配合,这就是IPS―入侵防御系统,可以这么解释IPS在网络安全上的重要性,将一个需要保护的网络比作一间密封的大屋子,传统的防火墙相当于在屋子的墙上开了几个窗口,让空气和光线可以进来,而IPS相当于给这些窗口装上纱窗、玻璃和窗帘,以挡风遮雨,同时防范苍蝇、蚊子、灰尘等进入屋子。
通过IPS+Firewall组合,将网络安全分层防护,防火墙负责四层以下的防护,IPS负责四层以上的防护,IPS和Firewall互相配合,形成区域安全边界,保护企业重要出入口的安全。
区域内防护—H3C EAD终端准入防护解决方案
客户端的保护,对于任何企业来说是一个非常困难的事,集团化企业计算机普及率广,数量大,终端一旦染毒,就成为一个攻击点,再加上大多数从业者的计算机水平普遍不高,这就造成终端的安全防护不够,木马程序肆意泛滥,成为企业最为头疼的问题。如何管理终端?如何保护终端不受侵害?
据权威机构对用户的调查分析,大多安全问题主要集中在病毒和系统自身漏洞方面,H3C公司依据多年的经验和先进的网络技术,结合用户的需求,推出EAD端点准入防御系统,配合交换机、路由器和安全设备,彻底保护网络安全。
根据集团化企业逐级部署的特点,为了保护集团内所有终端的安全, H3C推出了分级部署方案,具体部署如下所示:
每一个区域一台策略服务器,不同层次有不同的级别,从上到下安全策略逐级包含,但每一个区域又相互独立,形成单独的EAD系统,应用符合自身特点的安全策略。在每个区域内EAD系统部署如下图所示:
EAD在用户接入网络前,强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果,强制实施用户接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作;在保证用户终端具备自防御能力并安全接入的前提下,合理控制用户的网络行为,提升整网的安全防御能力。
IMC智能管理
通常,集团化广域网的建设涉及地域广,各种网络设备众多,如何将分布在各个区域的众多网络设备有效的管理起来,成为每一个网络设计者和管理者不得不考虑的问题。
H3C公司推出的网络智能管理中心(iMC)基于SOA开放式框架,将网络用户、网络设备和网络业务有机的整合起来,实现网络的运营和管理从“网络资源运营”向“信息服务和流程服务”、从“粗放的规模运营和管理”向“精确管理和精益运营”转变。
全面的基础网络资源管理
iMC可以对全网资源进行统一部署、管理和调配,除了能够有效的对各种主流厂商的路由器、交换机、安全、无线、语音等传统网络资源进行管理之外,还可以对存储、服务器、PC、UPS等设备类型进行管理,实现了故障、性能、拓扑、配置等管理内容,成为业务融合联动的基础。
在广域网方面,其拓扑功能与故障管理和性能管理紧密融合,使拓扑图能够清晰地看到企业IT资源的状态,包括运行是否正常、网络带宽、接口连通、配置变化都能一目了然。配合ACL管理、QoS管理等多种功能,灵活配置,实现轻松管理。
网络资源和用户的统一管理
iMC在对网络设备进行管理的基础上,将网络用户一同纳入管理范畴,从网络拓扑图上即可以了解到有哪些用户通过哪些网络设备接入网络,每个用户的上网行为和安全状态都可以实时得到监控和审计。而且通过故障根源分析、SLA分析等基于规则和策略的深度分析,直观展示网络运行状态,快速定位故障源,协助优化网络结构;通过流量异常检测、网络安全事件的集中管理和基于资源管理平台的协同响应,提高风险识别的准确度、快速响应安全威胁。
iMC可以支持LAN、WAN、WLAN、VPN等方式的用户认证接入,实现接入业务的统一、集中管理;同时支持智能卡、证书等强认证功能,支持多种方式的端点准入控制和基于身份的网络服务,实现用户与资源和业务的融合管理。
集团企业网MPLS VPN管理
基于集团化企业广域网建设的MPLS VPN虚拟专网,解决了企业当前纷杂不清的业务系统之间传输层面上的相互影响,使每个业务系统运行在不同的网络平台上。然而,MPLS VPN涉及技术多而复杂,增加了网络运营、部署、监控、维护等方面的难度。
H3C公司的管理解决方案“MPLS VPN Manager”是基于H3C智能管理中心开发的,采用业界标准的SOA架构,提供融合的资源管理,重整业务流程,实现MPLS VPN业务整个生命周期(规划、部署、监视、审计、优化、重构)的全流程管理。主要完成如下功能:
对MPLS VPN网络业务进行规划、部署以及已有业务的自动还原;
对MPLS VPN网络资源进行管理,提供对VPN网络的配置优化;
对MPLS VPN网络性能进行监控和故障关联分析;
对MPLS VPN网络配置进行变更审计;
对MPLS VPN网络业务进行端到端的连通性测试。
集团化企业发展展望
发挥集团化优势,提高整体竞争力,是集团化企业发展的初衷。H3C长期致力于企业IT领域的建设,努力发挥自身在IT技术前沿的优势,为企业信息化构建良好地网络环境。同时H3C作为企业的一分子,切身体会企业建网的困惑,借助自身发展的经验和教训,在信息化建设的进程中,与广大企业携手共进,实现双赢。