建設企業(yè)網(wǎng)絡應用決定架構
2002/12/26
企業(yè)網(wǎng)絡從誕生的第一天起就大大有別于公眾網(wǎng)絡���,具有私密性的要求,
百兆千兆的升級����、有線網(wǎng)絡過渡到無線、IP電話/視頻會議的承載……
它的每一步發(fā)展都是與企業(yè)應用緊密聯(lián)系在一起的�����。
企業(yè)的應用需求決定了企業(yè)的通信和IT應用�����,這些應用的規(guī)模決定了作為基礎的企業(yè)網(wǎng)絡的規(guī)模和結構��。
當前�����,企業(yè)需要各種IT應用�����,例如ERP����、E-mail、Intranet�、Extranet、財務系統(tǒng)�、OA系統(tǒng)、CRM系統(tǒng)��、甚至OSS系統(tǒng)�,同時還有各種應用的不同組合,還需要確立集中管理還是分散管理的原則��,這些因素決定了企業(yè)網(wǎng)絡的規(guī)模����、拓撲和帶寬。
E-mail�、Intranet、OA辦公對帶寬的要求不高���。兩年前�����,工商銀行的三級網(wǎng)所使用的Notes平臺,在64k專線上采用幀中繼復用40k左右的帶寬就可以實現(xiàn)了���,而基于IBM大型機系統(tǒng)的銀行業(yè)務網(wǎng)絡的最末端帶寬也只有64k�,地市分行到省級分行的主干也只是64k-128k的DDN���?梢钥闯觯瑐鹘y(tǒng)的應用對帶寬要求并不高����。但近些年的各種新的應用對帶寬提出了更高的要求,例如Web應用��、ERP��、Internet呼叫中心�、高速下載和瀏覽��、網(wǎng)絡視頻等���。而一般B/S結構的ERP系統(tǒng)30秒中網(wǎng)絡無響應就會認為中斷了���,但這在局域網(wǎng)廣播泛濫�����、攻擊性病毒爆發(fā)的時候很容易出現(xiàn)��,在廣域網(wǎng)上更難保障���。一個網(wǎng)絡視頻流使用RM格式,流暢播放就需要225k帶寬��,對一個企業(yè)來講���,Internet接入的帶寬若要承擔許多視頻播放�,就會明顯產(chǎn)生瓶頸����。在世界杯的時候,網(wǎng)上有許多實況轉(zhuǎn)播的站點�,此時一般企業(yè)的網(wǎng)絡接入帶寬都達到了飽和。
目前���,企業(yè)網(wǎng)基本上由位于各地的局域網(wǎng)��、局域網(wǎng)通過ISP公眾網(wǎng)的專線(ATM����、DDN、FR等)進行互連組成的廣域網(wǎng)���、遠程訪問服務���、與Internet互連等基本部分構成。這種企業(yè)網(wǎng)絡的模式在七八年前就出現(xiàn)并固定下來���,直到目前�����,基本模式還是沒有大的改變���,F(xiàn)在�,隨著通信成本的降低和IT技術的普及,在規(guī)模和數(shù)量上都有了很大的提高�。而且,企業(yè)應用的變化不斷要求網(wǎng)絡帶寬的提高和網(wǎng)絡服務的豐富����。
適應管理集中化
企業(yè)管理的集中化趨勢導致IT應用管理的集中�,物理上反映在服務器的區(qū)域集中���。Oracle在中國的辦公室連打印服務器都不設�,更沒有區(qū)域性的數(shù)據(jù)庫服務器���,而在總部有高可靠性���、大容量的郵件服務器,對全球提供服務���。大集中的趨勢從網(wǎng)絡角度要求帶寬成倍增加和連接質(zhì)量的提高���。IT應用集中的例子很多,國內(nèi)金融�����、證券行業(yè)尤盛���。應用集中降低了系統(tǒng)的靈活性�,也同時帶來了很多好處:減少維護人員,集中采購可以節(jié)約費用�,集中開發(fā)可以使系統(tǒng)簡單化,更易于集成新系統(tǒng)��、新應用��,提高工作效率�,減少IT的總體投資,并使應用的生命周期延長����。
網(wǎng)絡作為一切IT應用的基礎,在建設初期會有一定的前瞻性����,要留出2-3年應用增長所需的足夠帶寬,在應用日趨完善時�����,又會有一定的保守性��,升級不如應用發(fā)展快����,因此,網(wǎng)絡在建成的第2-3年����,就要考慮與應用的密切配合,細化管理�,增加服務質(zhì)量,保障主要業(yè)務所需的帶寬�����。頻繁升級網(wǎng)絡也不是一個很好的選擇��,會帶來更高額的投資�����,這些投資也許對主要業(yè)務應用沒有帶來絲毫幫助����。網(wǎng)絡既是應用之本,同時也會對應用發(fā)展產(chǎn)生一定阻礙����。
承載語音業(yè)務
傳統(tǒng)話音通信的新變革、IP電話的企業(yè)應用���,要求IP網(wǎng)絡承載企業(yè)內(nèi)部傳統(tǒng)話音的應用���,節(jié)約費用��,并且?guī)硇碌膽眯枨�����,比傳統(tǒng)電話功能大大增強����。在Cisco公司里��,分機留言成為語音郵件��,在全球各地通過豐富的企業(yè)網(wǎng)接入服務�,進入內(nèi)部IP網(wǎng)都可以收聽留言并使用軟件分機電話撥打和接聽。企業(yè)要求已經(jīng)從普通的辦公室對辦公室節(jié)省長話通信費��,擴展到分機號碼跟隨人走��,員工和內(nèi)外部的溝通效率大大提高���。因此���,IP電話在企業(yè)中的應用也隨企業(yè)對電話系統(tǒng)的期望和要求密切相關,這些需求主要可以歸納為兩種層次�����。
第一層次:公司已經(jīng)超出傳統(tǒng)電話的功能需求��,可以實現(xiàn)全球統(tǒng)一號碼分配�����,與E-mail地址相關��,語音郵件�、FAX到郵箱、軟交換����、純IP局域網(wǎng)電話、軟件電話�。以Cisco的AVVID系統(tǒng)為代表,采用智能很高的純IP話機��,安裝Call Manager軟件的服務器和硬件的PSTN電話網(wǎng)關實現(xiàn)局域網(wǎng)電話����,并可以透過廣域網(wǎng)管理分支機構的IP電話�����,實現(xiàn)了純基于IP的電話系統(tǒng)�����。這種高端的應用可以節(jié)省布線系統(tǒng)投資����、日常維護費用���,提高溝通的效率�����。
需要注意的是�����,這些節(jié)約可能很少�,有些甚至是隱性的,但建設這樣一個系統(tǒng)對跨地域的企業(yè)來說初期的投資顯得很高�。在局域網(wǎng)的改造中,需要更換接入層的交換機以支持IP電話利用網(wǎng)線供電�,劃分IP電話VLAN,在廣域網(wǎng)中更需要考慮IP電話占用的帶寬和服務質(zhì)量�����,加上語音網(wǎng)關�、軟交換服務器����、IP電話終端等設備的投入,一般的企業(yè)很難做到如此巨大的投資���。
第二層次:達到分機統(tǒng)一規(guī)劃��,分公司間可以通過“號碼段+分機”實現(xiàn)分機互通�,這些直播使用IP電話實現(xiàn)���,不要求比傳統(tǒng)電話有更新的功能����,以節(jié)省分公司間的長話費用為主要目的。這種層次按企業(yè)規(guī)模和業(yè)務應用分為二種解決方案�����。
第一種方案適合分公司規(guī)模較大����,從總部到分公司、分公司到分公司有大量的電話溝通的需要�,每個分公司有自己的小PABX系統(tǒng)。這種企業(yè)可以與IP電話運營商簽定大客戶的接入方案����,即各地分公司都租用到IP電話運營商的中繼線路,通常為E1電路��,本地的專線價格很低�����,長途由運營商的IP電話網(wǎng)絡提供支持����。在這種方案中,可以實現(xiàn)撥打長途電話直接進IP電話網(wǎng)絡�,提高接通率和很好的服務質(zhì)量保障����。在運營商的智能網(wǎng)絡中還可以實現(xiàn)分公司間虛擬的VPN電話網(wǎng)��,即可實現(xiàn)撥很少的號碼接通異地的分機電話��,提高溝通效率���,節(jié)省大量的長話費用�。原理上可以看成是利用運營商的網(wǎng)絡實現(xiàn)各地小PABX的互連��,只需對傳統(tǒng)電話交換機做很小的中繼擴容投資即可實現(xiàn)����,保護了原有的電話系統(tǒng)投資�����。但這種方案和企業(yè)辦公網(wǎng)絡沒有絲毫聯(lián)系�����,不能有效利用已有的數(shù)據(jù)專線的帶寬����,需要重新租用語音中繼線路�����,適合各地都有相當規(guī)模的大型企業(yè)�。
第二種方案適合小型的企業(yè)�����,各地分公司規(guī)模有限�����,與總部間電話溝通不是非常頻繁����,模擬中繼在4-8路以下即可滿足需求,可以使用以有數(shù)據(jù)IP網(wǎng)絡的路由器加裝IP電話中繼模塊或IP電話小網(wǎng)關的方法����,使用以有的數(shù)據(jù)網(wǎng)絡的一部分帶寬實現(xiàn)各地小交換機的連接,只需要投資少量硬件設備即可實現(xiàn)�����,不用另對運營商支付額外的任何費用,對廣域網(wǎng)數(shù)據(jù)帶寬占用也可忽略不計���,例如1路G.729R8的IP語音只占用8K帶寬�����,所有開銷加在一起才12K����。
還有一種方案直接向IP電話運營商申請主叫號碼計費�,適合無PABX的企業(yè),這種應用與家庭IP電話應用無異�����,只是省去撥IP卡號和密碼的麻煩���。不能算一種企業(yè)應用。
承載視頻會議
現(xiàn)代經(jīng)濟和社會生活中���,E-mail和IP電話無論如何方便����,都無法取代面對面的交流,各種會議��、培訓�����、協(xié)作都還都需要商務旅行��。商務旅行增加了差旅成本�、降低工作效率。視頻會議技術的出現(xiàn)���,可以實現(xiàn)遠程的面對面交流���,感受遠程培訓、遠程協(xié)作��、點對多點的交流�。基于H.320網(wǎng)關的視頻會議在多年前已經(jīng)是很成熟的技術�,但由于H.320終端較貴,且使用ISDN專線捆綁帶寬�����,造成長途話費的發(fā)生,限制了開通會議的方便性�����,并沒有在企業(yè)層面廣泛使用����。IP視頻和H.323協(xié)議的日趨完善,為這一應用走向企業(yè)��、甚至家庭提供了廣泛應用的可能�����,可以在機場�����、酒店或任何有寬帶網(wǎng)絡�、WLAN覆蓋地區(qū)����,隨時參加公司會議,進行面對面的溝通��。IP視頻唯一要求的就是帶寬,從384k-2M到高清晰度的4M�、8M,技術已經(jīng)非常成熟�。企業(yè)網(wǎng)絡對于視頻的應用有兩種方式:
第一種是基于硬件的H.323視頻會議終端,一般在辦公室的會議室與電視機或投影儀組成一個會議終端系統(tǒng)�����。此類終端大多較貴���,但對視頻壓縮等協(xié)議支持非常完善���,配套的攝像頭和視音設備也都比較高端,支持384k-2M各種連接速率����,并支持數(shù)據(jù)同傳等功能。當然�,對于企業(yè)來說,頻繁召開多點會議時��,投資MCU設備的代價是比較高的����,F(xiàn)在中國電信和網(wǎng)通在Internet上都提供MCU租用的業(yè)務�,但為了視頻會議的質(zhì)量保障�����,都要求用戶租用本運營商的Internet線路�,在計費和開通靈活性方面還不是很完善。
第二種是在計算機上使用軟件實現(xiàn)H.323的壓縮任務�����,比較適合重要員工在企業(yè)的辦公網(wǎng)內(nèi)協(xié)作交流���,甚至出差在外或在家辦公時出席會議�,此類軟件可以和第一類設備通信�,并參加多點會議。目前����,純軟件實現(xiàn)視頻壓縮對計算機性能要求較高,P4 1.5 G開768k以上速率時隨速率增加對會議質(zhì)量而言影響不大��。這兩種終端通常在企業(yè)中是混合部署的�,可以是走Internet接入網(wǎng)絡,也可以在企業(yè)網(wǎng)內(nèi)部實現(xiàn)�,要求互連的帶寬高于視頻會議所使用的帶寬。
選擇寬帶接入
寬帶網(wǎng)絡的普及�,大大提高了互連網(wǎng)的主干和終端接入帶寬,這些變化就發(fā)生在這3年中�。過去通過撥號上網(wǎng)下載幾個小時的資料或軟件,而如今的寬帶網(wǎng)上只需要幾分種�����,甚至幾秒種就可以得到����。這種速度的提升不僅大大提高信息獲取的速度、提高工作效率���,同時也給企業(yè)網(wǎng)遠程訪問帶來了更快速��、更豐富��、更靈活的接入方法����。遠程訪問用戶可以經(jīng)過企業(yè)網(wǎng)絡授權����,通過各種高速接入連接到Internet���,利用IPSec、L2TP等加密技術高速訪問企業(yè)網(wǎng)絡�����,除了在遠程實現(xiàn)普通辦公應用�,還可以使用IP電話、IP視頻等寬帶應用���,再也沒有使用遠程撥號慢速連接帶來的煩惱和產(chǎn)生長途電話費用��。
在廣域網(wǎng)互連方面�����,此類IP VPN技術發(fā)展更快��,已經(jīng)開始取代ISP的DDN�、FR等專線VPN的地位��。分公司之間利用IP VPN在寬帶公眾網(wǎng)絡上互連�����,可以節(jié)省昂貴的長途專線費用,以更便宜的價格享用更高速的寬帶服務�����。
傳統(tǒng)IP VPN也有一定的局限性:數(shù)據(jù)暴露在公網(wǎng)上的安全性��、VPN網(wǎng)關的安全性�����、加密解密處理造成的帶寬利用率降低等等�����。公眾主干網(wǎng)絡繁忙對連通性和連接帶寬的影響�,使用戶在Site to Site的應用時采取觀望態(tài)度���,最終大多數(shù)用戶還是采取長途專線的方法搭建企業(yè)網(wǎng)絡���。目前,網(wǎng)通公司的CNCnet已經(jīng)提供了MPLS VPN的服務��,在城域網(wǎng)、廣域網(wǎng)甚至通過全球合作都可以提供MPLS的服務��。在寬帶2.5G��、10G主干節(jié)點邊緣上搭設PE設備��,提供企業(yè)級的安全性���,充分利用輕載網(wǎng)和IP QoS保障�,達到的安全性和帶寬保障����,已經(jīng)可以和專線網(wǎng)絡相媲美,而且沒有長途專線的費用���,本地帶寬可以隨需求隨意增加:2M����、10M����、100M、155POS���、622POS����、GE……企業(yè)廣域網(wǎng)拓撲越來越簡單,可以不使用昂貴的高端路由器作為企業(yè)接入的CE設備�。以往復雜的廣域網(wǎng)結構變成了高速的“集線器結構”,使用企業(yè)自行規(guī)劃的私網(wǎng)IP地址���,路由和線路冗余都由運營商的主干設備來解決。企業(yè)廣域連接的革命帶來的結果是��,利用較少的投資實現(xiàn)了更大的互連帶寬�,同時降低了網(wǎng)絡設備的投資成本,也相應減少了企業(yè)網(wǎng)的運行維護成本����。在這方面已經(jīng)有網(wǎng)通、實達�����、亞信等許多成功的案例�����。
網(wǎng)絡效率源于管理
企業(yè)的IT應用越來越多,越來越依賴信息溝通和數(shù)據(jù)處理��。但由于IP網(wǎng)絡和操作系統(tǒng)在安全性方面存在弱點���,網(wǎng)絡攻擊和病毒傳播已經(jīng)歷史性地走到一起��。企業(yè)對網(wǎng)絡安全性����、主機安全性愈加重視��。網(wǎng)絡安全和管理制度是相輔相成的��,安全促進管理制度的完善�����,有了管理制度才能使網(wǎng)絡安全成為可能��。
網(wǎng)絡管理可以分為四類:網(wǎng)絡設備級的管理(通常使用SNMP����、網(wǎng)管平臺或設備廠商的網(wǎng)絡管理軟件);安全管理(安全策略���、主機安全管理�、內(nèi)外部網(wǎng)絡入侵檢測、主機和設備配置完整性管理����、防火墻管理、網(wǎng)絡應用流量分析�����、Internet訪問審計���、整體防病毒部署、服務器物理安全管理��、數(shù)據(jù)存儲備份管理和策略等),這些需要完整的安全體系����;局域網(wǎng)管理(拓撲管理、基于IP地址快速定位管理�����、DHCP管理等)�����,通常使用FLUCK的網(wǎng)絡管理工具軟件;客戶端管理(WIN2K AD域結構���、客戶端軟硬件標準化���、新機器GHOST策略、客戶端命名管理�����、域策略管理���、軟件分發(fā)�����、客戶端資產(chǎn)管理���、賬號授權管理等)工具也有很多,例如IBM Tivoli����、CA TNG等��。
為什么網(wǎng)絡管理會如此復雜呢���?實際上這是和一個企業(yè)對信息技術、辦公網(wǎng)絡的依賴程度和辦公環(huán)境的穩(wěn)定性密切相關�����。如果在企業(yè)邊緣部署了防火墻�����,需要向外界提供各種服務�����,就必須提高自己的安全意識和安全技術���,充分考慮系統(tǒng)、應用和網(wǎng)絡結構是否安全��,和各種層次的黑客做攻防游戲�����,F(xiàn)在黑客技術傳播已經(jīng)非常快捷���,黑客工具隨處可以下載���。做了這些主動防備,還需要被動的防護部署���,例如IDS記錄攻擊或入侵的日志����,便于查找證據(jù)�。同時還要有快速恢復系統(tǒng)的流程和準備。
以上是對外部的防范����,但據(jù)統(tǒng)計,大多數(shù)安全事件卻來自企業(yè)內(nèi)部�。例如,有的員工將機器脫離了AD域�,也就失去了域?qū)Π踩浴踩浖臋z查���,并關閉了防病毒程序��。因為他認為防病毒程序占用了CPU和內(nèi)存的資源����,而計算機處于危險之中,這時它感染了NIMDA病毒�����,這種病毒會通過不同的方式在局域網(wǎng)�、廣域網(wǎng)、Internet上以漏洞攻擊的方式傳播�,在企業(yè)網(wǎng)絡內(nèi)部產(chǎn)生大量無效的攻擊連接。這種致命的攻擊包嚴重時��,會對交換機���、路由器的性能造成危害���,使局域網(wǎng)變慢,廣域網(wǎng)癱瘓����。通常10臺中了NIMDA的計算機就會使千兆局域網(wǎng)產(chǎn)生丟包、3-4臺足可以將一臺路由器的CPU利用率降到99%����。管理員最重要的事情是快速找到病毒發(fā)作機器,隔離它們��,恢復網(wǎng)絡正常��,并殺掉病毒�,有的時候需要重新安裝它們又不能使它們的數(shù)據(jù)丟失。但管理員面臨的可能是連接幾十個城市的幾千臺計算機組成的局域網(wǎng)����,沒有上述管理系統(tǒng)如何實現(xiàn)呢?若已經(jīng)有了很好的管理手段����,可以通過關鍵鏈路部署的IDS系統(tǒng)和服務器日志,快速找出這些發(fā)作病毒或發(fā)動攻擊的IP地址����,在邊緣路由器禁止它們的IP地址,然后通過FLUKE工具軟件日常產(chǎn)生的數(shù)據(jù)庫定位這個機器的端口位置��,徹底將有問題的機器斷網(wǎng)�����。這些數(shù)據(jù)庫信息的準確性,與DHCP的策略���、IP地址管理制度以及工具軟件產(chǎn)生的數(shù)據(jù)庫的更新頻率相關��。機器名的準確規(guī)范管理也可以快速定位機器的所有者�,但碰到機器名不規(guī)范或不是本企業(yè)計算機接入辦公網(wǎng)時�,只有依賴前述的方法。
客戶端正確安裝常用軟件��,規(guī)范管理辦公用機也是非常重要的���。在發(fā)放新機器的時候就要做好標準配置�����。利用GHOST工具很容易實現(xiàn)標準的客戶端計算機�����,只須更改計算機名稱即可��。在遇到重裝系統(tǒng)的時候��,只要有啟動軟盤或GHOST光盤就可以在20~30分鐘內(nèi)遠程自動恢復一臺計算機����,并保護數(shù)據(jù)盤的數(shù)據(jù)不丟失���。利用遠程控制����、協(xié)作工具�����,例如Tivoli����、TNG、DameWare等工具配合電話熱線���,可以遠程為客戶端用戶解決配置或應用的問題�,大大縮短服務支持的時間�����,并可以減少各地IT支持人員的數(shù)量,這在分公司眾多��、IT人員較少的企業(yè)�,可以節(jié)約大量的IT支持費用。
賽迪網(wǎng) 中國信息化(industry.ccidnet.com)