多分支机构的MSTP专线组网
MSTP是一种新的针对大型公司的简化网络结构的技术,被世界各国运营商广泛使用。在中国,电信和网通也都在推行这类技术,对多分支企业来讲总部和分支机构只要选择同一个运营商,就能够实现相当于局域网内的相互访问了,至于怎样实现路由那是ISP的事情,那末优点不言而喻就是技术门坎比较低,但缺点也很突出,那就是企业要付出相当昂贵的专线费用。
某企业在当前全球经济发展不景气的情况下,开始从内部进行本钱控制。经过评估发现,企业的广域网络线路费用一直高居不下,占据了IT预算中的较大比例。因此决定从下降广域网络互联线路入手,放弃现有的专线互联方式,采取相对便宜的Internet专线技术方案实现内部互联互通。
在讨论需求阶段,为了最大化的下降对现有各个利用系统的变更,及员工对网络使用习惯的修改。终究肯定的方向是,置换掉原有MSTP专线网络,但企业内部网络架构一定要保持不变,行将原本的两套互备专网,由两套互备的Internet专线网络替换。这样既保证了利用系统通讯模式不改变,又保证了网络互联的冗余性。
在技术论证阶段,大多数人偏向于采取传统的IPSec专线技术,在Internet上将各地分支机构与总部连接在一起,构建一个新的广域网络。IPSec技术可谓历史悠久,具有很好的稳定性、安全性与兼容性,为广大用户所认可。但在论证与摹拟实验中发现,在创建与保护少许IPSec专线隧道时,一切顺利,并未显现出甚么不妥。但随着网络中分支节点数量的增加后,IPSec专线的弱势开始凸显。因每一个节点按需求设计一定要提供双Internet链路,这就意味这每一个节点上要保护最少4条IPSec专线隧道,分别与双专线中心互联。每一个专线中心点要保护最少2条IPSec专线隧道来连接一个分支节点。面对具有40多个分支节点的客户,一个专线中心点就要配置最少80多条IPSec专线隧道,而且这个数量还会随业务扩大而不断增长。另外一方面就是企业内部的路由变化。企业的新增业务系统与新增分支节点具有时间不肯定性。当有新的业务系统加入,就需要修改IPSec专线中的设定,以调剂专线路由信息,这可谓是“牵一发而动全身”。举例来讲,当总部数据中心新加入一个子网用于新业务系统时,那末就需要修改2个专线中心点的共160余条IPSec专线配置,所有40余个分支点的共160余条IPSec专线配置。因而可知管理保护上的工作量沉重,是IPSec专线的一大弱点。
那末原来这个企业是怎样解决路由增减的问题呢?回过头来我们分析原来的专线网络,用户在广域网络中使用了OSPF动态路由协议,所有节点的边界路由器和总部的核心交换机,都通过运行OSPF来交换路由表。因此不管网络如何变化,路由信息可及时更新,保证数据的通讯,又减少了保护工作量。将动态路由协议与IPSec专线隧道结合在一起,是否是会有助于弥补IPSec专线在路由方面的弱势呢?理论上可以,但有这样的产品吗?这样的产品性价比是否是适合呢?还有无其他的解决方案来替换IPSec专线呢?
在本次技术论证阶段中,SOPHOS的OSPFoverRED专线技术方案引发了用户的兴趣。SOPHOS有一项技术,可以非常简单、方便地将分支节点与专线中心安全地连接在一起,这就是RED专线技术。RED专线技术在现有的专线技术的基础上加入了大量的自动化与虚拟化技术,实现简单、方便的装备互联与管理。与现有专线技术的区分是,使用RED专线技术的UTM装备上会增加一组可管理的虚拟RED接口,RED接口与装备上的物理接口是等价使用的,可以手工配置IP地址,可以在接口上作任何策略控制,也包括运行路由协议。通过RED技术互联的UTM装备,直观感觉就像是2台UTM通过一条网线,将虚拟RED接口互联在一起。这非常类似于目前使用的MSTP技术。
全网在采取RED专线技术后,虽然每一个节点所配置的专线隧道数量并没有比IPSec专线减少(冗余性的要求),但保护的工作量大幅度下降了。由于,RED专线仅仅扮演的是数据传输的加密载体,而不像IPSec专线那样要保护通讯路由。隧道一旦建立,则无需再修改其参数,由于其就是一条虚拟网线,将装备直连在一起。在此基础上,我们采取了OSPF协议来完成各个节点间的路由交换。这样一来,OSPFoverRED专线网络与用户现用的OSPFover专线网络的架构,是十分吻合的。从专线网络向Internet专线网络架构的转变,得以顺利平滑的实现了。
