妙手改造分支機(jī)構(gòu)網(wǎng)絡(luò)

某公司本部辦公地點(diǎn)在市區(qū)，但是還有不少分支機(jī)構(gòu)分布在郊區(qū)，公司的數(shù)據(jù)中心建立在本部的辦公樓內(nèi)，運(yùn)行著生產(chǎn)經(jīng)營系統(tǒng)、財(cái)務(wù)系統(tǒng)、OA等一系列應(yīng)用；各分支機(jī)構(gòu)自身搭建有簡單的局域網(wǎng)，有獨(dú)立的Internet出口，分支機(jī)構(gòu)員工都是通過SSLVPN進(jìn)入公司內(nèi)網(wǎng)，訪問相應(yīng)的資源。近年來隨著業(yè)務(wù)范圍的擴(kuò)大，分支機(jī)構(gòu)的員工數(shù)量大幅增加，訪問公司內(nèi)網(wǎng)資源的需求也越來越大，原來的SSLVPN方式已經(jīng)不能滿足分支機(jī)構(gòu)的辦公需求。為了集中化管理，提高分支機(jī)構(gòu)的辦公效率，經(jīng)過討論，決定聯(lián)系運(yùn)營商為每個分支機(jī)構(gòu)到數(shù)據(jù)中心之間建立一條帶寬為4Mbps數(shù)據(jù)專線，由于帶寬資源有限，需要控制使用人數(shù)，線路只能提供給分支機(jī)構(gòu)領(lǐng)導(dǎo)和重點(diǎn)業(yè)務(wù)人員使用，其他人員仍然使用SSLVPN方式的形式訪問內(nèi)網(wǎng)資源。

圖1 改造前分支機(jī)構(gòu)網(wǎng)絡(luò)架構(gòu)

面臨的問題

確定了建立專線的方案后，就需要網(wǎng)絡(luò)管理人員拿出一整套解決方案，主要包括各分支機(jī)構(gòu)原有局域網(wǎng)的改造、兩地網(wǎng)絡(luò)之間的互通以及訪問人員控制等問題。經(jīng)過調(diào)研，大多數(shù)分支機(jī)構(gòu)的局域網(wǎng)架構(gòu)如圖1所示。

從圖1可以看出，連接Internet是通過路由器進(jìn)行ADSL撥號實(shí)現(xiàn)，網(wǎng)絡(luò)內(nèi)客戶端的IP地址分配也是通過路由器上的DHCP功能完成，網(wǎng)內(nèi)的交換機(jī)均為二層交換機(jī)，沒有進(jìn)行任何VLAN劃分，所有用戶均在同一網(wǎng)段。這種架構(gòu)簡單、易維護(hù)，屬于典型中小企業(yè)網(wǎng)絡(luò)架構(gòu)。為了最大限度減少改造成本和風(fēng)險(xiǎn)，擬對當(dāng)前架構(gòu)不做任何改動，僅從路由器上擴(kuò)展出一個接口，用來接入數(shù)據(jù)專線。……