分支機構網絡建設的原理與實現

摘要：分支機構網絡是企業整體基礎網絡結構的重要組成部分。本章介紹了分支機構網絡建設涉及的一些基本技術及原理，并通過案例來闡述分支機構網絡的實現過程。

關鍵詞：數據中心；VPN；IP Sec；SSL

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044(2009)05-1219-01

The Principle and Implementation of Establishing Branches Network

CHEN Xiao

(School of Software Engineering， Tongji University， Shanghai 201804， China)

Abstract： The LAN of the Branch and it’s subsidiaries is the important components among total IT infrastructures. The chapter introduces some key technologies and principles when establishing branches network. An example was explained on how to establish the sub-branches network.

Key words：data center; VPN; IP Sec; SSL

1 引言

由于企業業務的拓展，越來越多的企業選擇在全國各地開辦更多的分支機構。稍微有點規模的企業都不會只在只一個辦公場所辦公，通常有總部、省級分公司、市級支公司、辦事處等多個營業場所。企業通過廣域網實現各級別分支機構、分支機構和企業數據中心網絡之間的連接。由于數據現在主要集中在數據中心內，所有的分支機構還要有能力訪問數據中心內部的應用。

分支機構網絡是企業整體基礎網絡結構的重要組成部分。企業分支機構有可能進一步劃分為一、二級分支機構。下級分支機構可以選擇與當地的一級分支機構互聯，也可以考慮直接連接至數據中心。這需要根據企業的網絡需求所決定。

2 分支機構網絡建設的基本思路

在今天數據大集中的背景下，企業建立自己的數據中心，用來存放企業關鍵數據，運行企業核心業務。數據中心既是企業的業務處理中心、信息資源中心，同時也成為了企業完整基礎網絡架構的中心。企業的其他部分網絡，這包括辦公分區、核心業務服務區、VPN服務區、分支機構服務區等。各地的分支機構都存在接入到數據中心網絡的需求，獲取數據中心提供的相關服務。

分支機構與上級公司互聯的線路類型主要有點對點DDN專線、SDH線路、FR線路、ATM線路等。分支機構到數據中心一般采用兩條廣域網線路，這兩條線路通常采用不同運營商（如電信與網通），在這兩條線路上實現數據分流和線路互備策略。另外還需要部署QoS策略，保證業務數據優先。由于分支機構分部在全國各個區域，這就需要把核心業務系統、ERP系統和財務系統在所有各分支機構統一實施部署，使其能夠從互聯網上通過VPN或專線安全訪問企業總部的應用服務器。

3 虛擬專用網絡（VPN）介紹

虛擬專用網絡在分支機構網絡建設中扮有重要角色。虛擬專用網絡 (VPN：Virtual Private Network )是通過公共網絡（如Internet）建立一條安全、穩定的隧道。任意兩個節點之間的連接線路并不是端到端的物理鏈路，而是一條虛擬的專用線路。虛擬專用網是對企業Intranet的擴展。虛擬專用網可以幫助移動用戶、分支機構、商業合作伙伴等與公司的內部網建立可信的連接，并保證數據的可信傳輸。

由于VPN 是在 Internet 上臨時建立的安全專用虛擬網絡，用戶節省了租用專線的費用，企業僅需要向企業所在地的寬帶運營商支付一定的上網費用。所以VPN連接方式是一種非常廉價的企業互聯方式。

在不同的設備之間使用VPN技術時，必須有一個統一的標準即VPN協議。目前國際上比較流行的VPN協議主要有IPSec、PPTP、SSL等，目前使用的最多是IPSec和SSL兩種協議。

IPSec VPN通過在兩站點間創建隧道提供直接方式接入，實現對整個網絡的透明訪問，一旦隧道創建，用戶工作站就如同物理地位于企業LAN中。這通常需要通過撥號實現。SSL VPN是目前基于Web的應用的協議方式。SSL VPN不需要在最終用戶的PC和筆記本裝上客戶端軟件。

4 案例實施

結合筆者參與的某企業上海分公司的網絡系統建設。上海分公司作為該公司的重點分支機構，必須保證能夠通過SDH專線聯接分公司， 安全的穩定運行集中部署在分公司的信息系統。并且所有放置在分公司的軟硬件平臺必須考慮滿足未來三年內的業務發展需求，同時保證一定的擴展空間，滿足第三年之后通過擴展滿足需求的增長。上海分公司網絡建設主要用來支持上海分公司與總公司之間業務、財務及辦公自動化等應用。

上海分公司采用CISCO 2821通過一條2MB SDH線路與總公司相連接，同時采用一條2M ADSL寬帶以SSL VPN方式進行線路備份。這樣從設備到鏈路全部冗余，正常的情況下使用2M SDH線路，在其出現問題時，另外2M線路作為該線路的備份，從而保證關鍵業務的正常運行。詳細的網絡拓撲結構如圖1。

從圖1的網絡拓撲結構圖中可以看到，上海分公司通過CISCO 2821路由器租用的一條2MB SDH數字電路連接到數據中心，從而保證業務的正常運行。

上海支公司通過CISCO 2821路由器連接2MSDH主線路，實現分公司和總公司的連接。分內部用戶通過3COM 48口交換機提供10/100M的桌面接入。

5 結論

分支機構網絡系統的建設主要是考慮到鏈路的冗余，通過VPN和專線的方式搭建。當然在實際應用環境中用戶經常會碰到更加復雜的問題，但用戶只要掌握了機構網絡建設的的基本原理，無論環境再怎么變化，都能應付自如。

參考文獻：

[1] Wendell Odom.CCNA Exam Certification Guide， Tsinghua Press. 1999.

[2] (美)科默（Comer，D.E.）著；林生譯.計算機網絡與因特網.南京：機械工業出版社，2005.

[3] Kenneth C.Laudon.管理信息系統-網絡化企業的組織與技術.南京：高等教育出版社.2001.

[4] 夏明萍，董南萍，陳旭生編著.計算機網絡管理. 北京：清華大學出版社，2005.

[5] 魏學萍，湯倩.網絡組件與管理.上海：人民郵電出版社，2002.