在如今的互联网为主时代,网络互连已经成为了人们必不可少的需求,回到家手机连上WiFi,打开APP浏览各种信息,要是突然遇上宽带出问题或者停电,仿佛有一种度日如年的感觉,不知道干什么了,同样,对于企业来说,网络互连对比个人来说依赖性更大,很多业务都依赖于网络传递数据,出现问题损失就非常大,所以可以发现大部分企业都有多条外网线路进行冗余备份,这样保障业务不出现问题。
同时,许多公司随着业务规模的扩展,会在不同地区都设立办公区域,而像OA、ERP、数据库等业务都在总公司这边,这样就带来了新的难题,如何让这些不同地区的分支办公点能够访问到总公司内部的相关的业务呢?下面来看看比较常见的几个场景。
场景1:两个异地局域网之间互通
分公司的数据经常需要上传到总公司这边来总公司有些通知也会通过OA发给分公司,这个算是最常见的场景了,总部与分支的互通需求。
场景2:多分支与总部互通
规模大点的,可能存在多个地区的分支需要与总部进行数据的访问。
场景3:多分支之间需要互访
有的环境不单单是分支与总部需要进行访问,分支之间还有互访的需求。
场景4:出差/在家人员访问
很多在外出差的销售人员都有访问公司业务的需求,方便调用对应的资料给客户看,特别疫情期间,很多公司实行了在家远程办公的模式。
作为我们IT实施人员来说,遇到上面的场景属于家常便饭,那有什么技术可以解决这些需求呢?
直接在出口设备做对应服务的开发,对端可以直接通过公网地址加端口号的形式访问。
优点:配置相对简单、成本较低。
缺点:暴露在公网,容易受到攻击,依赖于公网IP地址,如果遇上某些需要大范围内开放的应用,在某些厂商的设备上面配置起来非常花费时间。
分公司与总公司租用运营商的线路,通过MPLSVPN、MSTP等专线进行异地连接。
优点:安全可靠谱、线路稳定、速度有保障,体验非常好,维护全部由运营商完成。
缺点:成本非常高,专线两端都需要收取费用,速率越高价格越高。像一些中小企业与零售店,可能分店就几个人员,专门一根拉一根昂贵的专线,这个很多承担不了。
三、利用internet线路构建虚拟隧道
由于专线价格劝退了很多中小型企业,利用Internet线路构建出一个虚拟的隧道,就慢慢成为了中小型企业的首选。
优点:省钱因为它就在原本的internet线路上面搭建,没什么成本增加,安全性又依靠IPSec、SSL技术得到了解决,技术公有化,所有厂商都支持。
缺点:速率与延迟直接受外网带宽的影响,比如内网用户直接把带宽占满了,那么在这个基础上面构建的虚拟隧道自然会受影响;需要有公网IP地址。
可以看到如上的场景需求都有对应的技术方案进行解决,但是有这些细节的地方,作为IT实施者必须要知道的,也是整体部署的难度所在。
- 必须拥有固定公网IP地址
这些提到的公有技术,有一个非常重要的前提条件就是至少一端拥有固定/动态公网IP地址,否则服务是无法搭建起来的,没有公网IP,双方都不知道对方在哪,就无法建立连接了,而且只能单向发起建立,在某些场景下限制比较大,而且有的地方想拉专线都没法拉。
- 分支互访与跨运营商问题
跨运营商建立,相对来说延迟会更加大,还会出现建立不成功的情况出现。如果出现分支需要互访的情况,所有流量必须经过总部中转,这样对于总部设备的压力以及带宽是有挑战性的,而且分支之间互访会加大延迟。(DSVPN、DMVPN是不支持私网地址的场景的)
- 对专业知识点有较高的要求
虽然说技术是公有的,但是网络厂商这么多,可能客户的总部使用的是华为的,分支TP、华三、思科、艾泰等设备都有,作为IT实施人员,不可能全部厂家都熟悉,实施起来有一定的难度,而且有时候不同厂商之间对接可能会存在某种算法不兼容的问题,导致建立失败,排查故障会非常的困难。
不知道大家在构建IPSEC的时候有没有遇到过这样的情况,可能客户那边总部已经搭建好了,你负责分支与总部的隧道建立,但是总部那边只给对应的算法、密钥以及地址信息,并不会给予登录的权限,这种极有可能遇到建立不成功的情况,遇到这种就会排查起来非常困难,往往对方不太会愿意配合。
以上的技术呢,属于传统的解决方案,对于中大型公司来说还好,能承担专线的费用,有专门的IT人员进行维护,但是对于连锁行业,小型企业等这些区域比较分散的来说,内网专线以及固定公网IP投入太大,对于一个小的门店专门请一个专业的IT维护人员开支也是不小,所以对于这些用户群体来说希望有一种更好的解决方案出现。
