IPSec:分支机构与总部的网络互联
随着社会经济的发展,保险、餐饮、加油站等行业显现快速增长的趋势,连锁分支机构数目随之不断增加。鉴于连锁企业地理位置分散、网点众多,为了便捷地掌握各网点的实时状态,提高管理质量和效益,同时应对加入WTO和经济全国化所带来的挑战。
IPSec方案实现分支机构与总部互联大型连锁企业一般都有不计其数个分支机构,如何将庞大的分支机构互联起来?专线由于投资本钱大、实行困难而很明显是不现实的。方案则成为多数企业普遍采用的解决方案。方案(VirtualPrivateNetwork)技术是在公网上构建私有网络的新兴技术。为了避免在广域网上传输平常业务数据时被歹意用户窃听、篡改和攻击,采取方案可以解决这些方面的忧愁。但是方案网络建设起来后覆盖面广、分支机构范围大,基于保障方案业务稳定、减少平常保护工作量和下降排障难度等条件,建议全网部署SitetoSite方式的IPSec方案。
安全策略部署保证业务和装备安全为了对业务进行精细化管理,可以通过在总部防火墙上配置域间规则实现访问控制;同时开启DDOS防御保护出口防火墙和总部服务器免遭谢绝服务攻击。对分支机构来讲,可以在防火墙上开启攻击防范策略和访问控制策略。
BIMS实现实时监控、配置和版本管理大多数分支机构由于范围较小,而选择通过比较经济的ADSL方式接入中心端,如PPPoE拨号。由于分支机构的装备数量愈来愈庞大,且地理位置分散,很多装备通过DHCP获得IP地址或位于NAT网关后面。对传统的SNMP网管来说,这些边沿接入装备是其管理的一个盲区。传统SNMP网管主要通过SNMP、Telnet等协议来实现对网络装备的管理,这要求网管知道被管装备的IP地址,并且可以主动向装备发起要求并建立网络连接。如果装备的IP地址不固定,就增加了主动管理的难度;如果被管装备位于NAT网关后面,网管根本没法主动与装备建立网络连接,也就没法对这些装备进行管理。BIMS(BranchIntelligentManagementSystem)分支节点智能管理系统是H3C针对上述问题推出的解决方案,可以实现对动态获得IP地址的装备或位于NAT网关后面的装备的集中、有效的监控和管理,特别对业务利用基本相同、数量庞大并且散布广泛的网络终端装备,BIMS会极大提高管理效力、节俭管理本钱。
实践总结对多分支机构的大型企业来讲,不但要求实现分支机构与总部的网络互联,更需要斟酌对庞大分支机构装备的监控和保护。
