企业网络是企业一切IT系统建设必不可少的基础设施,如何对现有的企业网络进行升级,迎接新应用对企业网络的新需求,是企业IT部门面临的重要课题。结构、安全、管理这三个方面是企业网络升级应考虑的。
高可靠性设计
在企业园区网上,是否要部署内容交换(L4到L7交换),完全看服务器上的应用是否支持内容交换,一般情况下,企业园区网上的应用很少用到内容交换。为了应用的安全性,必然要将网络划分为不同的VLAN。VLAN的划分可以采用基于端口的方式划分,位于企业园区网上的任意端口可以跨越骨干网,通过IEEE802.1Q标准划分在同一个VLAN里。目前,网络上几乎所有的应用都是基于IP协议实现的,不同VLAN之间需要通信,企业园区网的核心交换机就应支持IP,通过第三层交换可以实现不同VLAN之间的安全互访。如果采用PrivateVLAN技术,甚至可以实现同一VLAN内部的访问控制。企业园区网按照高可靠性的结构设计时,交换机上需要用到IEEE 802.1W Rapid Spanning Tree Protocol(RSTP)和IEEE 802.1S Multiple STP(MSTP)技术。RSTP可以提供Spanning Tree的快速收效(收敛时间为1秒,802.1D要50秒)。MSTP可以提供多条数据的转发路径,从而实现负载均衡。RSTP和MSTP在改进Spanning Tree的同时,保持了与IEEE 802.1D Spanning Tree的兼容性。RSTP和MSTP部署在核心交换机和汇接交换机上就可以有效保证网络的高可靠性。由于核心交换机上实现了三层交换,同时为了保证在任意一台核心交换机出故障时,第三层交换还能正常工作,需要在第三层交换机上配置HSRP或VRRP,之后就可以在第三层实现容错和负载均衡。
实施QoS管理
广域网的带宽永远是不够的,即使是2Mbps的广域网带宽,如果不能实施正确的QoS管理,当广域网上运行语音视频和数据传输时,线路的拥塞将导致关键业务不能正常运行。QoS是建设广域网时最容易被忽略的,特别是那些申请了2Mbps线路的企业。QoS能够为用户带来一种保证:在广域网线路发生拥塞时,保证优先发送指定的业务流量,或确保为业务流量提供一个最低的带宽。当广域网还负载OA、视频(视频光端机)、语音PCM或Internet访问(企业总部集中出口)时,QoS是必需的。根据企业网络的实际情况,建议将广域网流量分成三类——不可中断的实时业务(包括语音、ERP等)、可中断的实时业务(如OA)、其他流量(包括Internet访问、视频等)。QoS可以通过多种技术实现,CBWFQ是一种基于流量分类的加权公平队列技术,非常适合企业广域网的环境。利用QoS能够保证在广域网线路出现拥塞时,确保关键业务的带宽。
保障广域网内部安全
最基本的安全控制手段是,在企业分支机构的路由器上设置访问控制列表,检查每一个从分支机构进入广域网的数据包,过滤掉所有对企业总部或其他分支机构的非法访问。由于业务和数据越来越集中到企业的总部,建议在企业总部局域网和广域网之间增加防火墙,最大限度地防范来自广域网上的攻击。要知道,ACL只能起到访问控制的作用,而对于大多数的“拒绝服务攻击”和IP地址欺骗就无能为力了。防火墙应当支持双机热备份,可以避免由于引入防火墙而给网络主干带来的单点故障。另外,对防火墙、路由器、核心交换机等关键网络设备的保护也是至关重要的。应配置网管软件对移动用户的拨号访问,以及对网络设备的访问进行集中的身份认证、授权和记账。当用户访问网络设备时,网管软件能够详细记录用户名、访问时间,以及执行过的每一条命令,这些审计将对提高网络的安全性带来巨大帮助。对企业网络从结构、安全、管理等方面进行全方位升级,是所有企业IT建设中一项重要的基础工程。没有一个智能健康的企业网络,其上的一切应用是不可能正常运行的。
|
