跨区域企业组网模式研究.docVIP

跨区域企业组网模式研究 　　摘 要 不同于非跨区域企业传统的接入、汇聚和核心的三层架构，跨区域企业组网面临着诸如可靠性、安全性和成本的更多挑战。为跨区域企业设计一套安全可靠、维护成本适中的网络结构，是网络架构师的一项艰巨的任务。随着技术的进步，近年来涌现了许多跨区域企业组网的新模式。本文对当下常见的跨区域企业组网模式进行了研究，并从安全性、可靠性和维护成本等多个维度进行了综合比较。通过多维度的综合分析，总结出了不同类型跨区域企业的最佳组网实践。 　　【关键词】跨区域 企业 组网模式 　　1 前言 　　所谓跨区域企业，是指企业分支机构分布在不同地理位置的企业。目前，常见的跨区域企业的组网模式有专线、VPN和 VPDN三种。专线组网模式通过租用运营商企业专线实现跨区域企业不同分支机构的互联，具有安全性高、可靠性高的特点。VPN模式又叫虚拟专用网络，是利用加密技术在公用网络上建立企业专用网络的技术，具有成本低、安全性适中的优点。VPDN简称虚拟专用拨号网，是基于拨号用户的虚拟专用拨号网业务，具有安全性高、部署灵活的优点。下面分别就专线组网、VPN组网和VPDN组网模式进行探讨。 　　2 专线 　　专线方式通过租用运营商专线的方式连接跨区域企业的不同分支机构。所谓专线是指，运营商通过传输设备为企业搭建一条专享的通讯链路。企业所有的数据均在独立的、私密的通路上进行传输。该种方式能为企业提供带宽稳定、可靠和安全的数据通路。但具有建设周期长、成本高昂和部署不灵活的缺点。专线按类型可以划分为ADSL专线、DDN专线、FR专线、SDH专线、ATM专线和MSTP专线。目前ADSL专线、DDN专线和FR专线已逐步退出了历史舞台，当下比较常用的专线接入方式是ATM专线、SDH专线和MSTP专线。ATM是面向连接的通信方式，在通信前先在收与发终端间建立一条连接，通信时报文不断地在该连接上传送，具有传输时延小、可靠性高的优点。SDH又称同步数字体系，是一种将复接、线路传输及交换功能融为一体、并由统一网管系统操作的综合信息传送网络。MSTP是基于SDH 的多业务传送平台，是基于SDH 平台实现以太网业务的接入、处理和传送。MSTP线路具有带宽灵活配置的优点，运营商可以在三个工作日内完成带宽提速操作。 　　3 IPSec VPN 　　VPN又称虚拟专用网络，是利用加密技术在公网上建立专用网络的技术，具有成本低，易于使用的优点。VPN广泛应用于组织总部和分支机构之间的组网互联，其利用组织已有的互联网出口，虚拟出一条“专线”，将组织的分支机构和总部连接起来，组成一个大的局域网。具体做法为，在企业总部和各分支机构部署VPN设备，各个VPN设备之间通过互联网建立连接关系，基于IPSEC协议建立总部和各个分支机构之间的安全隧道。所有企业总部和分支机构之间的数据，均通过安全隧道进行传输。即使数据被公网上的黑客获取，也无法获取和篡改数据，有效地保证了数据的安全性和完整。IPSec是由IETF 定义的安全标准框架，用以提供公用和专用网络的端对端加密和验证服务，具有不可否认性、反重播性、数据完整性和数据可靠性等安全特性。IPSec由两类协议组成：AH协议和ESP协议。AH常用MD5和SH1来保证数据完整性，用DES、3DES和AES来保证数据安全性。在企业组网实践中，可以根据安全性需求进行选用。 　　4 VPDN 　　VPDN又称为虚拟专用拨号网，是基于拨号用户的虚拟专用拨号网业务。VPDN采用专用的网络安全和通信协议，可以使企业总部和分支机构之间通过虚拟的安全通道进行连接。根据运营商实现方式的不同，VPDN可以分为L2TP模式和GRE模式。其中GRE模式中，地址分配和认证由运营商完成。这种方式极大简化了企业运维成本，但安全性和灵活性稍差。L2TP模式下，地址分配和接入认证在企业侧完成。对企业而言，具有很好地安全性和灵活性。下面以L2TP模式为例，介绍跨区域企业VPDN组网实践。在L2TP模式下，企业一般在总部部署LNS和防火墙，在各分支机构部署3G/4G路由器，运营商侧部署LAC设备。运营商侧的LAC设备与企业总部的LNS建立L2TP安全隧道，对企业分支机构至总部的数据进行加密。分支机构与总部进行通讯时，首先会触发3G/4G路由器进行拨号，3G/4G路由器会通过PAP协议传输用户认证信息到企业总部的LNS服务器，LNS服务器再通过企业总部的安全设备进行身份认证。身份认证通过后，企业分支机构与总部之间就建立起了一条安全数据通路。 　　以上分别介绍了专线、VPN和VPDN三种常见的跨区域企业组网模式。在安全性上，专线模式最高、其次VPDN模式、VPN模式最差；再灵活性上，VPDN最高、其次VPN、专线模式最差；在可靠性上，专线模式最优、VPN模式次