重要大客戶專網(wǎng)設計方案

一、專網(wǎng)用戶的需求

　　1.大客戶專網(wǎng)系統(tǒng)對網(wǎng)絡的總體要求

　　●整個網(wǎng)絡采用開放式、標準化的結構，以利于功能的擴充和升級；

　　●通過與廣域網(wǎng)的連接，提供和享用各種信息服務；

　　●具有較完善的網(wǎng)絡安全機制；

　　●與原大客戶計算機局域網(wǎng)絡平滑連接，盡可能不改變原內(nèi)部局域網(wǎng)。

　　2.網(wǎng)絡結構的劃分

　　大客戶專網(wǎng)建議分為以下三部分：

　　●建設內(nèi)部的辦公業(yè)務網(wǎng)；

　　●建設與內(nèi)網(wǎng)有條件互聯(lián)以及實現(xiàn)各級信息共享的辦公業(yè)務資源網(wǎng)，不同的地理位置之間能互聯(lián)；

　　●以因特網(wǎng)為依托的公眾信息網(wǎng)。

二、常用的幾種接入方式

　　1.光纖

　　光纖的通信距離較長，單模光纖在不加中繼的情況下可傳輸50km以上，因此用它來連接大樓之間的網(wǎng)絡以及節(jié)點間距離較長的網(wǎng)絡就比較適用。光纖的這種特點決定了它特別適用于不同地理位置之間的骨干連接。由于光纖和光纜自身的強度不高，容易受損或折斷，因此對施工架設的要求較高，為確保光纖能長期穩(wěn)定地運行，在城市中最好能采用地下管道埋設的方式，從而使光纖的使用更加安全可靠。

　　2.寬帶城域網(wǎng)及VPN技術

　　寬帶城域網(wǎng)是以光纖網(wǎng)為基礎、以TCP/IP為主建立起來的城市范圍內(nèi)的互聯(lián)網(wǎng)，因此它具有光纖網(wǎng)絡的所有特點，同時城域網(wǎng)中由于附加了相應的交換和路由設備，這使得用戶能很容易地在此基礎上完成網(wǎng)絡構建。寬帶城域網(wǎng)在接入部分均采用星形拓撲結構，網(wǎng)絡可擴展性強，而且易于實現(xiàn)平滑升級。在寬帶城域網(wǎng)上，用戶還可以通過運用IP隧道（IPTUNNEL）的方式來實現(xiàn)虛擬專用網(wǎng)。這一方面使用戶能享受到價格低廉的公用網(wǎng)設施，另一方面又能在邏輯上組建自己的專用網(wǎng)絡，滿足對安全性、可靠性的較高要求。

　　在大客戶專網(wǎng)之間采取此種方式互聯(lián)，既可以保證線路擁有光纖的傳輸質(zhì)量，同時又可降低相應費用。

　　3.ADSL

　　ADSL是DSL的一種非對稱版本，它利用數(shù)字編碼技術從現(xiàn)有銅質(zhì)電話線上獲取更大的數(shù)據(jù)傳輸容量,同時又不干擾在同一條線上進行的常規(guī)話音業(yè)務。ADSL理論上能夠向終端用戶提供8Mbit/s的下行傳輸速率和1Mbit/s的上行傳輸速率。

　　ADSL這種接入方式比較適用于網(wǎng)絡中用戶對帶寬需求較高，通信量較大而光纖短期內(nèi)無法到位的地方。

　　4.DDN

　　DDN技術是利用數(shù)字信道提供永久或半永久電路,以傳輸數(shù)字信號為主的數(shù)字通信網(wǎng)絡。其最具吸引力的優(yōu)點是傳輸時延短,支持語音、圖像等多媒體業(yè)務,目前在金融系統(tǒng)中應用最為廣泛,是一種較為成熟的技術。目前常用的點對點DDN專線的速率范圍為64kbit/s～2Mbit/s。這種接入方式優(yōu)點十分明顯，那就是安全可靠，因為對用戶來說，相當于租用了一條直達電路。這對于網(wǎng)絡中對帶寬要求相對較低同時對安全性要求較高的企業(yè)是比較合適的。

　　5.ISDN

　　ISDN是基于公用電話網(wǎng)的數(shù)字網(wǎng)絡,它能利用普通的電話線雙向傳送高速數(shù)字信號,實現(xiàn)全程數(shù)字化通信,并可承載多項通信業(yè)務。在網(wǎng)絡中,ISDN較適用于對網(wǎng)絡速度要求在128kbit/s以下，并且每天聯(lián)網(wǎng)時間不長的單位和部門，也可用做日常的備份電路，使ISDN可以在很好地滿足這部分用戶需求的情況下，盡可能地節(jié)約通信費用。

　　6.電話撥號

　　和其它的接入方式相比，電話撥號的最大優(yōu)勢在于費用最低（通信費和終端設備費用）。目前，電話網(wǎng)的普及率和覆蓋率很高，但受到電話模擬線路本身技術的限制，其可提供的連接速率較低，通信質(zhì)量容易受到影響，不能提供高品質(zhì)的連接信道。在專網(wǎng)的建設上，對一些需移動辦公的部門及一些需臨時辦公的場合可使用電話撥號上網(wǎng)。

三、網(wǎng)絡安全性設計

　　在安全方面有一個最基本的原則是系統(tǒng)的安全性與它被暴露的程度成反比。因此，建議從以下幾方面加強網(wǎng)絡的安全性。

　　1.網(wǎng)絡傳輸通道的安全性

　　在組建大客戶專網(wǎng)的過程中，除了要考慮選用最合適的接入方式外，選用何種傳輸通道也是保證用戶的高可靠、高安全性的必要條件。如線路鋪設是否走管道，光纖網(wǎng)絡設計時是否考慮了自愈環(huán)保護、是否設置了備用通道等等，這些在網(wǎng)絡建成后都將直接影響網(wǎng)絡的運行質(zhì)量和安全性。

　　2.服務器的安全性

　　在專網(wǎng)的建設中，除了在網(wǎng)絡建設中加入安全性策略以外，在服務器一級也要相應地進行安全管理，如為了保證系統(tǒng)的高可靠和高安全性，對其中重要的設備應加入相應的硬件冗余保護，如電源、硬盤等，同時為了保證數(shù)據(jù)的安全性，應考慮進行異地數(shù)據(jù)備份等措施。

　　3.對內(nèi)部網(wǎng)絡和外部網(wǎng)絡進行物理隔離

　　將對外信息發(fā)布的服務器與內(nèi)部應用服務器隔離，將數(shù)據(jù)庫和內(nèi)部應用系統(tǒng)封閉在系統(tǒng)內(nèi)部，以增加系統(tǒng)的安全性。針對需建設對外開放網(wǎng)站的要求，這些網(wǎng)站必將聯(lián)入Internet網(wǎng)絡，為防止這部分網(wǎng)絡影響整個專網(wǎng)的安全運行，建議建立一個專用的數(shù)據(jù)中心IDC，單獨管理和規(guī)劃，與內(nèi)部網(wǎng)從物理上分離開。

　　4.專網(wǎng)內(nèi)部各系統(tǒng)網(wǎng)絡之間實現(xiàn)邏輯隔離

　　建議采用網(wǎng)段分離技術，把整個專網(wǎng)上相互間沒有直接關系的系統(tǒng)分布在不同的網(wǎng)段（如可將各單位內(nèi)部辦公網(wǎng)絡和各單位之間信息交流網(wǎng)絡劃分成兩部分），由于各網(wǎng)段間不能直接互訪，從而減少各系統(tǒng)被正面攻擊的機會。

　　5.專網(wǎng)與互聯(lián)網(wǎng)之間的隔離

　　隨著互聯(lián)網(wǎng)的發(fā)展，用戶專網(wǎng)與之相連是必然的趨勢，但互聯(lián)網(wǎng)因其開放性的特征，安全性往往得不到保證，因此在專網(wǎng)和互聯(lián)網(wǎng)之間必須加設防火墻加以保護。通過使用防火墻技術，一方面可以將各種非法IP、非法連接阻擋在網(wǎng)絡之外，同時，網(wǎng)絡的管理者也可以通過對防火墻安全策略的選擇來決定內(nèi)部網(wǎng)中哪些部分可與外界互聯(lián)，從而實現(xiàn)相應的內(nèi)部網(wǎng)絡管理。

　　6.對專網(wǎng)中要求高安全性的部分獨立組網(wǎng)

　　大客戶專網(wǎng)對保密性的要求很高，可以考慮單獨組網(wǎng)。例如在骨干一級采用光纖，匯接一級采取DDN專線方式等。這樣組成的專網(wǎng)，與公眾網(wǎng)完全分離，也就不存在網(wǎng)絡安全性的問題了。

　　7.對專網(wǎng)中要求高安全性的部分建立虛擬專用網(wǎng)VPN

　　組建物理上的專網(wǎng)，其性能、安全性無疑是最好的，但其費用也是比較昂貴的�，F(xiàn)在可以通過虛擬專用網(wǎng)技術VPN在公眾網(wǎng)上實現(xiàn)邏輯上的獨立組網(wǎng)。這一方面降低了組網(wǎng)費用，包括各種軟硬件的投資、各種維護和管理的建設等，另一方面也避免了用戶因缺少相應的管理手段和管理技術而不能有效地保證網(wǎng)絡的運行。

四、組網(wǎng)方案

　　1.專網(wǎng)內(nèi)部網(wǎng)絡建設

　　結合大客戶專網(wǎng)各種不同的特點和要求，可將大客戶專網(wǎng)劃分為骨干網(wǎng)、匯聚網(wǎng)、接入網(wǎng)三個層次，具體組網(wǎng)方式如下。

　　方案一：將整個大客戶專網(wǎng)設成物理上獨立的專網(wǎng)，不經(jīng)過任何公眾網(wǎng)。

　　●骨干網(wǎng)：對帶寬和安全性的要求都是最高的，因此建議使用光纖互聯(lián)。

　　●匯聚網(wǎng)：對網(wǎng)絡帶寬和安全性的要求相對較小，因此建議使用DDN專線方式。

　　●接入網(wǎng)：數(shù)目較為龐大，覆蓋的區(qū)域廣闊，對網(wǎng)絡帶寬和安全性的要求也最低。建議采用ADSL、ISDN、普通撥號等方式，以便在滿足系統(tǒng)需要的前提下盡可能地節(jié)省費用。

　　這種方案無論在性能還是安全可靠性上無疑都是最優(yōu)的，但它需要用戶自己進行整個網(wǎng)絡的建設，包括各種軟硬件的投資、各種維護和管理的建設等。這一方面使投資加大，更主要的是用戶必須擁有一套高素質(zhì)的網(wǎng)絡維護和管理系統(tǒng)（包括各種網(wǎng)絡維護人員和網(wǎng)絡維護設備及相關的管理措施和手段），才能有效地保證網(wǎng)絡的正常運行。

　　方案二：利用已建成的電信寬帶城域網(wǎng)，運用虛擬專用網(wǎng)VPN技術實現(xiàn)邏輯上的專網(wǎng)。目前各地電信的寬帶城域網(wǎng)已頗具規(guī)模，隨著用戶的不斷擴展，電信的寬帶網(wǎng)絡建設將會進一步覆蓋到各個角落。同時為了滿足大客戶對高可靠性和高保密性電路的需求，不少電信公司還建立了針對重要大客戶的寬帶VPN專網(wǎng)（與現(xiàn)有的寬帶城域網(wǎng)完全隔離）。因此將寬帶城域網(wǎng)作為大客戶專網(wǎng)的網(wǎng)絡平臺是完全適合的。

　　●骨干網(wǎng)：對安全性的要求較高，故建議直接接入針對重要大客戶的寬帶VPN專網(wǎng)，采用MPLSVPN技術實現(xiàn)互聯(lián)，或采取IP隧道（IPTUNNEL）技術在電信寬帶城域網(wǎng)上實現(xiàn)虛擬專用網(wǎng)VPN（需用戶設備支持）。

　　●匯接網(wǎng)：對安全性和速率要求相對較低，在條件已具備的地區(qū)也可直接使用寬帶城域網(wǎng)的VPN技術連入，對于還不具備條件的地區(qū)建議采用普通撥號、ISDN、ADSL來實現(xiàn)與專網(wǎng)的互聯(lián)。

　　●接入網(wǎng)：用戶數(shù)量多、覆蓋面廣，建議采用普通撥號、ISDN、ADSL來實現(xiàn)與大客戶專網(wǎng)的互聯(lián)。

　　這一方案具有如下優(yōu)勢：

　　●建網(wǎng)快速方便；

　　●降低建網(wǎng)投資；

　　●節(jié)約使用成本；

　　●網(wǎng)絡安全可靠；

　　●簡化用戶對網(wǎng)絡的維護及管理工作。

　　2.專網(wǎng)與互聯(lián)網(wǎng)的連接

　　考慮到安全性和可靠性，大客戶專網(wǎng)與互聯(lián)網(wǎng)的連接建議采用一個（或兩個）網(wǎng)關來實現(xiàn)。也就是說專網(wǎng)中只有一個出口通過防火墻與互聯(lián)網(wǎng)相連，從安全角度考慮也可再設一個出口做冗余備份。具體方式可采用光纖直接連入寬帶城域網(wǎng)，也可采用DDN專線直接連入CHINANET（163網(wǎng)）。這種方式一方面較為安全，可以通過對防火墻的設置阻擋各種非法IP；另一方面也可以通過對內(nèi)網(wǎng)中各部門誰可以上網(wǎng)、誰不能上網(wǎng)、能上網(wǎng)的權限又是什么等安全策略的考慮來對專網(wǎng)內(nèi)部進行綜合管理，從內(nèi)部減少安全隱患。

五、結束語

　　目前不少大客戶單位對專網(wǎng)的建設還處于初步規(guī)劃、論證的階段，許多需求均不明確，因此本方案主要是從技術的角度，盡可能多地向用戶介紹網(wǎng)絡和接入方式的現(xiàn)狀，以便給用戶更多的選擇，待用戶明確其具體需求后，應按要求進一步細化上述方案，以便提供更好的服務。