大客户专网设计方案
一、专网用户的需求
1.大客户专网系统对网络的总体要求
●整个网络采用开放式、标准化的结构,以利于功能的扩充和升级;
●通过与广域网的连接,提供和享用各种信息服务;
●具有较完善的网络安全机制;
●与原大客户计算机局域网络平滑连接,尽可能不改变原内部局域网。
2.网络结构的划分
大客户专网建议分为以下三部分:
●建设内部的办公业务网;
●建设与内网有条件互联以及实现各级信息共享的办公业务资源网,不同的地理位置之间能互联;
●以因特网为依托的公众信息网。
二、常用的几种接入方式
1.光纤
光纤的通信距离较长,单模光纤在不加中继的情况下可传输50km以上,因此用它来连接大楼之间的网络以及节点间距离较长的网络就比较适用。
光纤的这种特点决定了它特别适用于不同地理位置之间的骨干连接。
由于光纤和光缆自身的强度不高,容易受损或折断,因此对施工架设的要求较高,为确保光纤能长期稳定地运行,在城市中最好能采用地下管道埋设的方式,从而使光纤的使用更加安全可靠。
2.宽带城域网及VPN技术
宽带城域网是以光纤网为基础、以TCP/IP为主建立起来的城市范围内的互联网,因此它具有光纤网络的所有特点,同时城域网中由于附加了相应的交换和路由设备,这使得用户能很容易地在此基础上完成网络构建。
宽带城域网在接入部分均采用星形拓扑结构,网络可扩展性强,而且易于实现平滑升级。
在宽带城域网上,用户还可以通过运用IP隧道(IPTUNNEL)的方式来实现虚拟专用网。
这一方面使用户能享受到价格低廉的公用网设施,另一方面又能在逻辑上组建自己的专用网络,满足对安全性、可靠性的较高要求。
在大客户专网之间采取此种方式互联,既可以保证线路拥有光纤的传输质量,同时又可降低相应费用。
3.ADSL
ADSL是DSL的一种非对称版本,它利用数字编码技术从现有铜质电话线上获取更大的数据传输容量,同时又不干扰在同一条线上进行的常规话音业务。
ADSL理论上能够向终端用户提供8Mbit/s的下行传输速率和1Mbit/s的上行传输速率。
ADSL这种接入方式比较适用于网络中用户对带宽需求较高,通信量较大而光纤短期内无法到位的地方。
4.DDN
DDN技术是利用数字信道提供永久或半永久电路,以传输数字信号为主的数字通信网络。
其最具吸引力的优点是传输时延短,支持语音、图像等多媒体业务,目前在金融系统中应用最为广泛,是一种较为成熟的技术。
目前常用的点对点DDN专线的速率范围为64kbit/s~2Mbit/s。
这种接入方式优点十分明显,那就是安全可靠,因为对用户来说,相当于租用了一条直达电路。
这对于网络中对带宽要求相对较低同时对安全性要求较高的企业是比较合适的。
5.ISDN
ISDN是基于公用电话网的数字网络,它能利用普通的电话线双向传送高速数字信号,实现全程数字化通信,并可承载多项通信业务。
在网络中,ISDN较适用于对网络速度要求在128kbit/s以下,并且每天联网时间不长的单位和部门,也可用做日常的备份电路,使ISDN 可以在很好地满足这部分用户需求的情况下,尽可能地节约通信费用。
6.电话拨号
和其它的接入方式相比,电话拨号的最大优势在于费用最低(通信费和终端设备费用)。
目前,电话网的普及率和覆盖率很高,但受到电话模拟线路本身技术的限制,其可提供的连接速率较低,通信质量容易受到影响,不能提供高品质的连接信道。
在专网的建设上,对一些需移动办公的部门及一些需临时办公的场合可使用电话拨号上网。
三、网络安全性设计
在安全方面有一个最基本的原则是系统的安全性与它被暴露的程度成反比。
因此,建议从以下几方面加强网络的安全性。
1.网络传输通道的安全性
在组建大客户专网的过程中,除了要考虑选用最合适的接入方式外,选用何种传输通道也是保证用户的高可靠、高安全性的必要条件。
如线路铺设是否走管道,光纤网络设计时是否考虑了自愈环保护、是否设置了备用通道等等,这些在网络建成后都将直接影响网络的运行质量和安全性。
2.服务器的安全性
在专网的建设中,除了在网络建设中加入安全性策略以外,在服务器一级也要相应地进行安全管理,如为了保证系统的高可靠和高安全性,对其中重要的设备应加入相应的硬件冗余保护,如电源、硬盘等,同时为了保证数据的安全性,应考虑进行异地数据备份等措施。
3.对内部网络和外部网络进行物理隔离
将对外信息发布的服务器与内部应用服务器隔离,将数据库和内部应用系统封闭在系统内部,以增加系统的安全性。
针对需建设对外开放网站的要求,这些网站必将联入Internet 网络,为防止这部分网络影响整个专网的安全运行,建议建立一个专用的数据中心IDC,单独管理和规划,与内部网从物理上分离开。
4.专网内部各系统网络之间实现逻辑隔离
建议采用网段分离技术,把整个专网上相互间没有直接关系的系统分布在不同的网段(如可将各单位内部办公网络和各单位之间信息交流网络划分成两部分),由于各网段间不能直接互访,从而减少各系统被正面攻击的机会。
5.专网与互联网之间的隔离
随着互联网的发展,用户专网与之相连是必然的趋势,但互联网因其开放性的特征,安全性往往得不到保证,因此在专网和互联网之间必须加设防火墙加以保护。
通过使用防火墙技术,一方面可以将各种非法IP、非法连接阻挡在网络之外,同时,网络的管理者也可以通过对防火墙安全策略的选择来决定内部网中哪些部分可与外界互联,从而实现相应的内部网络管理。
6.对专网中要求高安全性的部分独立组网
大客户专网对保密性的要求很高,可以考虑单独组网。
例如在骨干一级采用光纤,汇接一级采取DDN专线方式等。
这样组成的专网,与公众网完全分离,也就不存在网络安全性的问题了。
7.对专网中要求高安全性的部分建立虚拟专用网VPN
组建物理上的专网,其性能、安全性无疑是最好的,但其费用也是比较昂贵的。
现在可以通过虚拟专用网技术VPN在公众网上实现逻辑上的独立组网。
这一方面降低了组网费用,包括各种软硬件的投资、各种维护和管理的建设等,另一方面也避免了用户因缺少相应的管理手段和管理技术而不能有效地保证网络的运行。
四、组网方案
1.专网内部网络建设
结合大客户专网各种不同的特点和要求,可将大客户专网划分为骨干网、汇聚网、接入网三个层次,具体组网方式如下。
方案一:将整个大客户专网设成物理上独立的专网,不经过任何公众网。
●骨干网:对带宽和安全性的要求都是最高的,因此建议使用光纤互联。
●汇聚网:对网络带宽和安全性的要求相对较小,因此建议使用DDN专线方式。
●接入网:数目较为庞大,覆盖的区域广阔,对网络带宽和安全性的要求也最低。
建议采用ADSL、ISDN、普通拨号等方式,以便在满足系统需要的前提下尽可能地节省费用。
(火王编辑)
这种方案无论在性能还是安全可靠性上无疑都是最优的,但它需要用户自己进行整个网络的建设,包括各种软硬件的投资、各种维护和管理的建设等。
这一方面使投资加大,更主要的是用户必须拥有一套高素质的网络维护和管理系统(包括各种网络维护人员和网络维护设备及相关的管理措施和手段),才能有效地保证网络的正常运行。
方案二:利用已建成的电信宽带城域网,运用虚拟专用网VPN技术实现逻辑上的专网。
目前各地电信的宽带城域网已颇具规模,随着用户的不断扩展,电信的宽带网络建设将会进一步覆盖到各个角落。
同时为了满足大客户对高可靠性和高保密性电路的需求,不少电信公司还建立了针对重要大客户的宽带VPN专网(与现有的宽带城域网完全隔离)。
因此将宽带城域网作为大客户专网的网络平台是完全适合的。
●骨干网:对安全性的要求较高,故建议直接接入针对重要大客户的宽带VPN专网,采用MPLSVPN技术实现互联,或采取IP隧道(IPTUNNEL)技术在电信宽带城域网上实现虚拟专用网VPN(需用户设备支持)。
●汇接网:对安全性和速率要求相对较低,在条件已具备的地区也可直接使用宽带城域网的VPN技术连入,对于还不具备条件的地区建议采用普通拨号、ISDN、ADSL来实现与专网的互联。
●接入网:用户数量多、覆盖面广,建议采用普通拨号、ISDN、ADSL来实现与大客户专网的互联。
这一方案具有如下优势:
●建网快速方便;
●降低建网投资;
●节约使用成本;
●网络安全可靠;
●简化用户对网络的维护及管理工作。
2.专网与互联网的连接
考虑到安全性和可靠性,大客户专网与互联网的连接建议采用一个(或两个)网关来实现。
也就是说专网中只有一个出口通过防火墙与互联网相连,从安全角度考虑也可再设一个出口做冗余备份。
具体方式可采用光纤直接连入宽带城域网,也可采用DDN专线直接连入CHINANET(163网)。
这种方式一方面较为安全,可以通过对防火墙的设置阻挡各种非法IP;另一方面也可以通过对内网中各部门谁可以上网、谁不能上网、能上网的权限又是什么等安全策略的考虑来对专网内部进行综合管理,从内部减少安全隐患。
五、结束语
目前不少大客户单位对专网的建设还处于初步规划、论证的阶段,许多需求均不明确,因此本方案主要是从技术的角度,尽可能多地向用户介绍网络和接入方式的现状,以便给用户更多的选择,待用户明确其具体需求后,应按要求进一步细化上述方案,以便提供更好的服务。
