重要大客戶專網(wǎng)設(shè)計(jì)方案

一、專網(wǎng)用戶的需求

　　1.大客戶專網(wǎng)系統(tǒng)對(duì)網(wǎng)絡(luò)的總體要求

　　●整個(gè)網(wǎng)絡(luò)采用開(kāi)放式、標(biāo)準(zhǔn)化的結(jié)構(gòu)，以利于功能的擴(kuò)充和升級(jí)；

　　●通過(guò)與廣域網(wǎng)的連接，提供和享用各種信息服務(wù)；

　　●具有較完善的網(wǎng)絡(luò)安全機(jī)制；

　　●與原大客戶計(jì)算機(jī)局域網(wǎng)絡(luò)平滑連接，盡可能不改變?cè)瓋?nèi)部局域網(wǎng)。

　　2.網(wǎng)絡(luò)結(jié)構(gòu)的劃分

　　大客戶專網(wǎng)建議分為以下三部分：

　　●建設(shè)內(nèi)部的辦公業(yè)務(wù)網(wǎng)；

　　●建設(shè)與內(nèi)網(wǎng)有條件互聯(lián)以及實(shí)現(xiàn)各級(jí)信息共享的辦公業(yè)務(wù)資源網(wǎng)，不同的地理位置之間能互聯(lián)；

　　●以因特網(wǎng)為依托的公眾信息網(wǎng)。

二、常用的幾種接入方式

　　1.光纖

　　光纖的通信距離較長(zhǎng)，單模光纖在不加中繼的情況下可傳輸50km以上，因此用它來(lái)連接大樓之間的網(wǎng)絡(luò)以及節(jié)點(diǎn)間距離較長(zhǎng)的網(wǎng)絡(luò)就比較適用。光纖的這種特點(diǎn)決定了它特別適用于不同地理位置之間的骨干連接。由于光纖和光纜自身的強(qiáng)度不高，容易受損或折斷，因此對(duì)施工架設(shè)的要求較高，為確保光纖能長(zhǎng)期穩(wěn)定地運(yùn)行，在城市中最好能采用地下管道埋設(shè)的方式，從而使光纖的使用更加安全可靠。

　　2.寬帶城域網(wǎng)及VPN技術(shù)

　　寬帶城域網(wǎng)是以光纖網(wǎng)為基礎(chǔ)、以TCP/IP為主建立起來(lái)的城市范圍內(nèi)的互聯(lián)網(wǎng)，因此它具有光纖網(wǎng)絡(luò)的所有特點(diǎn)，同時(shí)城域網(wǎng)中由于附加了相應(yīng)的交換和路由設(shè)備，這使得用戶能很容易地在此基礎(chǔ)上完成網(wǎng)絡(luò)構(gòu)建。寬帶城域網(wǎng)在接入部分均采用星形拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)可擴(kuò)展性強(qiáng)，而且易于實(shí)現(xiàn)平滑升級(jí)。在寬帶城域網(wǎng)上，用戶還可以通過(guò)運(yùn)用IP隧道（IPTUNNEL）的方式來(lái)實(shí)現(xiàn)虛擬專用網(wǎng)。這一方面使用戶能享受到價(jià)格低廉的公用網(wǎng)設(shè)施，另一方面又能在邏輯上組建自己的專用網(wǎng)絡(luò)，滿足對(duì)安全性、可靠性的較高要求。

　　在大客戶專網(wǎng)之間采取此種方式互聯(lián)，既可以保證線路擁有光纖的傳輸質(zhì)量，同時(shí)又可降低相應(yīng)費(fèi)用。

　　3.ADSL

　　ADSL是DSL的一種非對(duì)稱版本，它利用數(shù)字編碼技術(shù)從現(xiàn)有銅質(zhì)電話線上獲取更大的數(shù)據(jù)傳輸容量,同時(shí)又不干擾在同一條線上進(jìn)行的常規(guī)話音業(yè)務(wù)。ADSL理論上能夠向終端用戶提供8Mbit/s的下行傳輸速率和1Mbit/s的上行傳輸速率。

　　ADSL這種接入方式比較適用于網(wǎng)絡(luò)中用戶對(duì)帶寬需求較高，通信量較大而光纖短期內(nèi)無(wú)法到位的地方。

　　4.DDN

　　DDN技術(shù)是利用數(shù)字信道提供永久或半永久電路,以傳輸數(shù)字信號(hào)為主的數(shù)字通信網(wǎng)絡(luò)。其最具吸引力的優(yōu)點(diǎn)是傳輸時(shí)延短,支持語(yǔ)音、圖像等多媒體業(yè)務(wù),目前在金融系統(tǒng)中應(yīng)用最為廣泛,是一種較為成熟的技術(shù)。目前常用的點(diǎn)對(duì)點(diǎn)DDN專線的速率范圍為64kbit/s～2Mbit/s。這種接入方式優(yōu)點(diǎn)十分明顯，那就是安全可靠，因?yàn)閷?duì)用戶來(lái)說(shuō)，相當(dāng)于租用了一條直達(dá)電路。這對(duì)于網(wǎng)絡(luò)中對(duì)帶寬要求相對(duì)較低同時(shí)對(duì)安全性要求較高的企業(yè)是比較合適的。

　　5.ISDN

　　ISDN是基于公用電話網(wǎng)的數(shù)字網(wǎng)絡(luò),它能利用普通的電話線雙向傳送高速數(shù)字信號(hào),實(shí)現(xiàn)全程數(shù)字化通信,并可承載多項(xiàng)通信業(yè)務(wù)。在網(wǎng)絡(luò)中,ISDN較適用于對(duì)網(wǎng)絡(luò)速度要求在128kbit/s以下，并且每天聯(lián)網(wǎng)時(shí)間不長(zhǎng)的單位和部門(mén)，也可用做日常的備份電路，使ISDN可以在很好地滿足這部分用戶需求的情況下，盡可能地節(jié)約通信費(fèi)用。

　　6.電話撥號(hào)

　　和其它的接入方式相比，電話撥號(hào)的最大優(yōu)勢(shì)在于費(fèi)用最低（通信費(fèi)和終端設(shè)備費(fèi)用）。目前，電話網(wǎng)的普及率和覆蓋率很高，但受到電話模擬線路本身技術(shù)的限制，其可提供的連接速率較低，通信質(zhì)量容易受到影響，不能提供高品質(zhì)的連接信道。在專網(wǎng)的建設(shè)上，對(duì)一些需移動(dòng)辦公的部門(mén)及一些需臨時(shí)辦公的場(chǎng)合可使用電話撥號(hào)上網(wǎng)。

三、網(wǎng)絡(luò)安全性設(shè)計(jì)

　　在安全方面有一個(gè)最基本的原則是系統(tǒng)的安全性與它被暴露的程度成反比。因此，建議從以下幾方面加強(qiáng)網(wǎng)絡(luò)的安全性。

　　1.網(wǎng)絡(luò)傳輸通道的安全性

　　在組建大客戶專網(wǎng)的過(guò)程中，除了要考慮選用最合適的接入方式外，選用何種傳輸通道也是保證用戶的高可靠、高安全性的必要條件。如線路鋪設(shè)是否走管道，光纖網(wǎng)絡(luò)設(shè)計(jì)時(shí)是否考慮了自愈環(huán)保護(hù)、是否設(shè)置了備用通道等等，這些在網(wǎng)絡(luò)建成后都將直接影響網(wǎng)絡(luò)的運(yùn)行質(zhì)量和安全性。

　　2.服務(wù)器的安全性

　　在專網(wǎng)的建設(shè)中，除了在網(wǎng)絡(luò)建設(shè)中加入安全性策略以外，在服務(wù)器一級(jí)也要相應(yīng)地進(jìn)行安全管理，如為了保證系統(tǒng)的高可靠和高安全性，對(duì)其中重要的設(shè)備應(yīng)加入相應(yīng)的硬件冗余保護(hù)，如電源、硬盤(pán)等，同時(shí)為了保證數(shù)據(jù)的安全性，應(yīng)考慮進(jìn)行異地?cái)?shù)據(jù)備份等措施。

　　3.對(duì)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進(jìn)行物理隔離

　　將對(duì)外信息發(fā)布的服務(wù)器與內(nèi)部應(yīng)用服務(wù)器隔離，將數(shù)據(jù)庫(kù)和內(nèi)部應(yīng)用系統(tǒng)封閉在系統(tǒng)內(nèi)部，以增加系統(tǒng)的安全性。針對(duì)需建設(shè)對(duì)外開(kāi)放網(wǎng)站的要求，這些網(wǎng)站必將聯(lián)入Internet網(wǎng)絡(luò)，為防止這部分網(wǎng)絡(luò)影響整個(gè)專網(wǎng)的安全運(yùn)行，建議建立一個(gè)專用的數(shù)據(jù)中心IDC，單獨(dú)管理和規(guī)劃，與內(nèi)部網(wǎng)從物理上分離開(kāi)。

　　4.專網(wǎng)內(nèi)部各系統(tǒng)網(wǎng)絡(luò)之間實(shí)現(xiàn)邏輯隔離

　　建議采用網(wǎng)段分離技術(shù)，把整個(gè)專網(wǎng)上相互間沒(méi)有直接關(guān)系的系統(tǒng)分布在不同的網(wǎng)段（如可將各單位內(nèi)部辦公網(wǎng)絡(luò)和各單位之間信息交流網(wǎng)絡(luò)劃分成兩部分），由于各網(wǎng)段間不能直接互訪，從而減少各系統(tǒng)被正面攻擊的機(jī)會(huì)。

　　5.專網(wǎng)與互聯(lián)網(wǎng)之間的隔離

　　隨著互聯(lián)網(wǎng)的發(fā)展，用戶專網(wǎng)與之相連是必然的趨勢(shì)，但互聯(lián)網(wǎng)因其開(kāi)放性的特征，安全性往往得不到保證，因此在專網(wǎng)和互聯(lián)網(wǎng)之間必須加設(shè)防火墻加以保護(hù)。通過(guò)使用防火墻技術(shù)，一方面可以將各種非法IP、非法連接阻擋在網(wǎng)絡(luò)之外，同時(shí)，網(wǎng)絡(luò)的管理者也可以通過(guò)對(duì)防火墻安全策略的選擇來(lái)決定內(nèi)部網(wǎng)中哪些部分可與外界互聯(lián)，從而實(shí)現(xiàn)相應(yīng)的內(nèi)部網(wǎng)絡(luò)管理。

　　6.對(duì)專網(wǎng)中要求高安全性的部分獨(dú)立組網(wǎng)

　　大客戶專網(wǎng)對(duì)保密性的要求很高，可以考慮單獨(dú)組網(wǎng)。例如在骨干一級(jí)采用光纖，匯接一級(jí)采取DDN專線方式等。這樣組成的專網(wǎng)，與公眾網(wǎng)完全分離，也就不存在網(wǎng)絡(luò)安全性的問(wèn)題了。

　　7.對(duì)專網(wǎng)中要求高安全性的部分建立虛擬專用網(wǎng)VPN

　　組建物理上的專網(wǎng)，其性能、安全性無(wú)疑是最好的，但其費(fèi)用也是比較昂貴的。現(xiàn)在可以通過(guò)虛擬專用網(wǎng)技術(shù)VPN在公眾網(wǎng)上實(shí)現(xiàn)邏輯上的獨(dú)立組網(wǎng)。這一方面降低了組網(wǎng)費(fèi)用，包括各種軟硬件的投資、各種維護(hù)和管理的建設(shè)等，另一方面也避免了用戶因缺少相應(yīng)的管理手段和管理技術(shù)而不能有效地保證網(wǎng)絡(luò)的運(yùn)行。

四、組網(wǎng)方案

　　1.專網(wǎng)內(nèi)部網(wǎng)絡(luò)建設(shè)

　　結(jié)合大客戶專網(wǎng)各種不同的特點(diǎn)和要求，可將大客戶專網(wǎng)劃分為骨干網(wǎng)、匯聚網(wǎng)、接入網(wǎng)三個(gè)層次，具體組網(wǎng)方式如下。

　　方案一：將整個(gè)大客戶專網(wǎng)設(shè)成物理上獨(dú)立的專網(wǎng)，不經(jīng)過(guò)任何公眾網(wǎng)。

　　●骨干網(wǎng)：對(duì)帶寬和安全性的要求都是最高的，因此建議使用光纖互聯(lián)。

　　●匯聚網(wǎng)：對(duì)網(wǎng)絡(luò)帶寬和安全性的要求相對(duì)較小，因此建議使用DDN專線方式。

　　●接入網(wǎng)：數(shù)目較為龐大，覆蓋的區(qū)域廣闊，對(duì)網(wǎng)絡(luò)帶寬和安全性的要求也最低。建議采用ADSL、ISDN、普通撥號(hào)等方式，以便在滿足系統(tǒng)需要的前提下盡可能地節(jié)省費(fèi)用。

　　這種方案無(wú)論在性能還是安全可靠性上無(wú)疑都是最優(yōu)的，但它需要用戶自己進(jìn)行整個(gè)網(wǎng)絡(luò)的建設(shè)，包括各種軟硬件的投資、各種維護(hù)和管理的建設(shè)等。這一方面使投資加大，更主要的是用戶必須擁有一套高素質(zhì)的網(wǎng)絡(luò)維護(hù)和管理系統(tǒng)（包括各種網(wǎng)絡(luò)維護(hù)人員和網(wǎng)絡(luò)維護(hù)設(shè)備及相關(guān)的管理措施和手段），才能有效地保證網(wǎng)絡(luò)的正常運(yùn)行。

　　方案二：利用已建成的電信寬帶城域網(wǎng)，運(yùn)用虛擬專用網(wǎng)VPN技術(shù)實(shí)現(xiàn)邏輯上的專網(wǎng)。目前各地電信的寬帶城域網(wǎng)已頗具規(guī)模，隨著用戶的不斷擴(kuò)展，電信的寬帶網(wǎng)絡(luò)建設(shè)將會(huì)進(jìn)一步覆蓋到各個(gè)角落。同時(shí)為了滿足大客戶對(duì)高可靠性和高保密性電路的需求，不少電信公司還建立了針對(duì)重要大客戶的寬帶VPN專網(wǎng)（與現(xiàn)有的寬帶城域網(wǎng)完全隔離）。因此將寬帶城域網(wǎng)作為大客戶專網(wǎng)的網(wǎng)絡(luò)平臺(tái)是完全適合的。

　　●骨干網(wǎng)：對(duì)安全性的要求較高，故建議直接接入針對(duì)重要大客戶的寬帶VPN專網(wǎng)，采用MPLSVPN技術(shù)實(shí)現(xiàn)互聯(lián)，或采取IP隧道（IPTUNNEL）技術(shù)在電信寬帶城域網(wǎng)上實(shí)現(xiàn)虛擬專用網(wǎng)VPN（需用戶設(shè)備支持）。

　　●匯接網(wǎng)：對(duì)安全性和速率要求相對(duì)較低，在條件已具備的地區(qū)也可直接使用寬帶城域網(wǎng)的VPN技術(shù)連入，對(duì)于還不具備條件的地區(qū)建議采用普通撥號(hào)、ISDN、ADSL來(lái)實(shí)現(xiàn)與專網(wǎng)的互聯(lián)。

　　●接入網(wǎng)：用戶數(shù)量多、覆蓋面廣，建議采用普通撥號(hào)、ISDN、ADSL來(lái)實(shí)現(xiàn)與大客戶專網(wǎng)的互聯(lián)。

　　這一方案具有如下優(yōu)勢(shì)：

　　●建網(wǎng)快速方便；

　　●降低建網(wǎng)投資；

　　●節(jié)約使用成本；

　　●網(wǎng)絡(luò)安全可靠；

　　●簡(jiǎn)化用戶對(duì)網(wǎng)絡(luò)的維護(hù)及管理工作。

　　2.專網(wǎng)與互聯(lián)網(wǎng)的連接

　　考慮到安全性和可靠性，大客戶專網(wǎng)與互聯(lián)網(wǎng)的連接建議采用一個(gè)（或兩個(gè)）網(wǎng)關(guān)來(lái)實(shí)現(xiàn)。也就是說(shuō)專網(wǎng)中只有一個(gè)出口通過(guò)防火墻與互聯(lián)網(wǎng)相連，從安全角度考慮也可再設(shè)一個(gè)出口做冗余備份。具體方式可采用光纖直接連入寬帶城域網(wǎng)，也可采用DDN專線直接連入CHINANET（163網(wǎng)）。這種方式一方面較為安全，可以通過(guò)對(duì)防火墻的設(shè)置阻擋各種非法IP；另一方面也可以通過(guò)對(duì)內(nèi)網(wǎng)中各部門(mén)誰(shuí)可以上網(wǎng)、誰(shuí)不能上網(wǎng)、能上網(wǎng)的權(quán)限又是什么等安全策略的考慮來(lái)對(duì)專網(wǎng)內(nèi)部進(jìn)行綜合管理，從內(nèi)部減少安全隱患。

五、結(jié)束語(yǔ)

　　目前不少大客戶單位對(duì)專網(wǎng)的建設(shè)還處于初步規(guī)劃、論證的階段，許多需求均不明確，因此本方案主要是從技術(shù)的角度，盡可能多地向用戶介紹網(wǎng)絡(luò)和接入方式的現(xiàn)狀，以便給用戶更多的選擇，待用戶明確其具體需求后，應(yīng)按要求進(jìn)一步細(xì)化上述方案，以便提供更好的服務(wù)。