分支是广域网络的末梢，是信息资源向各级边缘区域的辐射和延伸，由于距离远、数量大，如何建立一个易管理、易部署、可靠、安全、灵活、规模可弹性扩展的广域网分支网络，从而保证广域网各级业务的顺利开展，也是广域网方案和技术探讨的热点。

文/文书槐

一、 广域网分支的需求和特征

随着IT信息化的发展，云计算促进了企业应用和数据的大集中，网络扁平化成为趋势，作为网络的末端节点，广域网分支在网络中的地位越来越重要。一方面分支终端用户众多，对信息化的依赖逐渐增强；另一方面，应用大集中模型下，广域网分支是终端用户访问集中化数据中心的直接通道。规模日益庞大的分支，对网络访问的可靠性、安全性，兼容各种接入手段，都具有极高的要求。为满足上述需求，需要构建智能、融合、灵活的广域网分支，主要特征如下。

• ž精简。只需少量设备即可提供传统分支网络多台设备才能提供的功能，从而使得分支网络易于维护。
• ž可管理。网络管理和维护人员可通过广域网在总部对分支的网络进行管理。
• ž灵活可靠。可以保证分支用户通过专线、无线、互联网、3G等多种方式，通过广域网实现可靠的数据交换和业务访问。
• ž安全。分支网络不能成为骨干网络的薄弱环节，不能成为广域网被攻击或入侵的入口。
• ž公网承载趋势。公网接入在覆盖、方便性、成本上相比专线更具优势，基于公网承载成为众多企业分支建设的趋势。
• ž宽带移动化。目前3G网络已经基本可用，能够承载视频应用，其移动性、广覆盖、跨地域等特点，使得3G成为一种重要接入手段，以及主要的分支备份接入模式。
• ž分支机构微型化。分支机构不断往下延伸，规模变大、地域更分散、人员IT素质越来越低、部署维护成本越来越高。例如，政务网延伸到居委会，企业4、5级分支延伸到乡镇，金融行业ATM机的接入。
• ž沟通融合。可为分支用户提供跨越整个广域网的高效沟通方式。

二、 建立一体化的广域网分支

一个企业分支的内部往往部署有很多种网络设备，如路由器、交换机、防火墙、WLAN AP和语音网关等。网络设备的增多不但带来了部署成本的增加，也加重了维护的负担，因为不同的网络设备需要不同的维护方式，需要不同设备厂家的支持。另外，有的分支场所受条件所限，没有足够的空间合理部署这些网络设备。

因此，最佳的解决方案是在分支网络出口部署一体化的设备（如图1所示），通过这台设备，实现路由与交换、有线与无线、数据与安全、数据与语音的集成。而一体化设备的典型代表就是多业务路由器，这种多业务路由器往往可通过插卡或USB扩展等方式实现对多种设备的集成。

http://www.h3c.com.cn/res/201303/12/20130312_1550227_image001_777795_30008_0.jpg

图1　传统的分支与一体化的企业分支

• 在多业务路由器上安装多端口的交换模块，可实现路由与交换的集成。对于规模较小的分支来说，一块16端口或24端口的交换模块就可满足其需求。

• 在多业务路由器上配置一块WLAN AP模块可为整个分支提供无线接入功能，尤其是802.11n无线模块具有速率高、覆盖面积广的优势，非常适合分支用户的灵活接入。另外，多业务路由器也支持通过USB或模块的方式实现3G方式的WAN接入，使得分支网络的有线与无线接入方式得到了很好的集成。
• 多业务路由器往往内置较强的防火墙功能，支持攻击防范、URL过滤等特性，在减少一台防火墙部署的同时实现了路由与安全的集成。
•  对于VoIP业务，传统的方式是在分支部署多台语音网关，有时还需要部署语音服务器。而多业务路由器支持通过安装语音模块的方式将语音网关的功能集成进来。另外，多业务路由器还可以通过安装语音服务器模块实现对分支呼叫的支持，避免了独立的语音服务器的使用。

可见，通过在企业分支部署一台多业务路由器，再安装交换、无线、语音模块，就可实现路由与其他多种网络业务的一体化集成，从而达到减少网络设备数目，减少网络故障点，降低部署成本，维护成本的目的。

三、 建立智能化的广域网分支

当企业面临不断扩张业务规模，如何使企业分支的建设可以动态的满足业务扩张的要求，如何对不断扩充的企业分支进行管理、保证网络可靠，是一个巨大的挑战。同时，公网接入成为分支建设的首选，如何保证业务数据的安全性，也是企业分支建设需要考虑的一个重要问题。

1. 建立易部署、易管理的分支

当企业分支网络设备需要做配置更改或版本升级时，如果采用每个分支逐一升级的方式，工作量是非常大的（尤其是分支数量多的情况下），且效率低下。解决办法之一是采用传统的SNMP网管平台进行集中管理，但一些分支（尤其是一些小型分支），其路由器WAN口的IP地址经常变化（如分支租用ADSL作为广域网链路，每次重启路由器，WAN口都会重新获取IP地址），很难将其纳入SNMP的网管平台。

因此，基于TR069与IPSec技术的智能分支管理方案成为了企业分支管理的理想选择。如图2所示，智能化分支方案中主要包含管理平面组件（这里以H3C iMC BIMS & IVM Server为例）、控制平面组件（这里以VAM Server & AAA Server为例）、数据平面组件（分别为Hub Router和 Spoke Router）。除分支设备Spoke部署在企业分支外，其他组件均部署在企业总部。其中，管理平面组件用于对所有分支设备Spoke设备进行配置管理，监控其运行状态。控制平面组件负责控制数据平面的设备接入。数据平面的Hub和Spoke分别作为总部和分支承载业务数据传输的端点，二者借助控制平面组件可构建基于IPSec的加密通道来传输业务数据。Hub和Spoke间除了可以通过Internet或者MPLS等有线网络进行连接外，还可以通过3G/LTE等移动网络进行连接。

此外，还可以集成用户认证组件（如H3C iMC CAMS/EAD Server），用于对广域网分支内的用户进行端点认证。

http://www.h3c.com.cn/res/201303/12/20130312_1550228_image002_777795_30008_0.png

图2 智能化的企业分支

智能分支管理方案支持设备的自动部署，分支设备Spoke可通过U盘或者3G/LTE短信获得接入公网的帐号、BIMS服务器地址及用户账户信息等，然后自动接入公网并按TR069方式连接到BIMS服务器，BIMS自动将该设备的完整配置文件下发，从而完成启动过程。BIMS还可以通过TR069对分支设备Spoke的版本与配置进行批量升级，降低维护工作量。另外，分支设备Spoke还可启动DHCP Server，配置BIMS地址以及用户账户信息，分支内网交换机启动后，通过DHCP请求从分支设备Spoke获得BIMS的信息，然后建立和管理平面组件的连接；BIMS下发分支内网交换机的完整配置文件，从而实现分支内网交换机的自动部署。

在智能分支管理方案中，Hub和Spoke间可以运行OSPF、BGP等动态路由协议。如图3所示，总部部署的应用服务器的私网地址发生变更后，Hub通过动态路由协议自动发布给Spoke；Spoke管理的分支内部的私网地址发生变更时，也可通过动态路由协议自动发布给Hub。另外，智能分支方案支持动态BGP特性，当Hub和Spoke间部署iBGP协议时，Hub上指定一个合法的分支地址范围和共享密钥，只要Spoke的分支地址落在这个范围内并且密钥匹配就可以和Hub建立iBGP邻居，从而大大简化Hub的配置。

http://www.h3c.com.cn/res/201303/12/20130312_1550229_image003_777795_30008_0.png

图3　Hub和Spoke间支持动态路由协议

2. 建立大规模、弹性可扩展的分支

企业的业务规模和分支数量是动态变化的，这就对企业总部部署的Hub的接入能力提出了挑战。由于往往难以对Hub的容量做出准确的评估，最好的方案是总部的Hub也是弹性可扩展的，能够随着分支数量的增加来进行动态扩展。

在图2中，Hub本身具有大规模的接入能力，同时，控制平面组件和数据平面组件的分离也带来了很好的可扩展性。当分支设备Spoke数据流已经达到或者超过总部Hub所能接入数量的上限时，如图4所示，只需要增加部署一组Hub。相应的，控制平面组件增加对新Hub的管理。新部署的分支设备Spoke可以和新的Hub建立IPSec加密隧道；对于已经部署的分支设备Spoke而言，根据管理平面组件下发的命令，可触发Spoke向控制平面组件查询新Hub地址信息，然后和新Hub建立IPSec隧道。整个扩充过程平滑，不会影响现有网络其他设备的运行。

http://www.h3c.com.cn/res/201303/12/20130312_1550232_image006_777795_30008_0.png

图4　Hub平滑扩容和Spoke平滑迁移

另外，还可以构建层次化的分支，适用于跨国的大型连锁机构等典型场景。如图5所示，跨国总部部署数据中心，并部署性能较高的出口路由器做为Hub，国家/地区总部部署的路由器既作为与跨国总部Hub连接的Spoke，同时又作为国家内所有分支的Hub，以连接国家/地区内部的分支Spoke。这种层次化的部署模式可以灵活的适应企业管理架构的需要。

http://www.h3c.com.cn/res/201303/12/20130312_1550233_image007_777795_30008_0.png

图5　层次化的智能分支

3. 建立可靠的分支

企业希望其到达分支的广域网链路时刻保持通畅，从而保证业务的正常开展。然而企业分支所处位置千差万别，运营商提供的线路资源各式各样，需要从设备、链路等层面来考虑网络的可靠性。

•  设备高可靠性。除考虑单个设备上核心部件的可靠性（如双主控板、双电源）外，同时，采用双Hub、双控制平面组件（以VAM Server）设计，提升其可靠性，如图6所示。Hub双设备设计中，双Hub均可与Spoke进行动态路由交互，双Hub既可以按双活模式工作，也可以通过调整路由优先级按主备模式工作。双VAM Server中，Hub和Spoke设备分别向两台VAM Server注册，双VAM Server按主备模式工作，当主用VAM Server故障时，Hub或者Spoke和主VAM Server通信超时，Hub或者Spoke会向备用VAM Server进行状态更新和地址查询。

http://www.h3c.com.cn/res/201303/12/20130312_1550234_image008_777795_30008_0.png

图6　设备可靠性

•  链路高可靠性。首先，应具备Hub和Spoke间隧道的高可靠性设计，Spoke同时和双Hub建立静态IPSec隧道，当由于Hub设备或者Hub相连的物理链路故障时，Spoke可切换到备用隧道和另外一台Hub进行数据转发，而且，由于这个隧道是预先建立好的，一旦Spoke感知到故障，切换到备用隧道的速度非常快。其次，还应支持Hub和Spoke间物理链路的高可靠性设计。Spoke分支可以考虑采用双物理链路出口以提升网络连接的性能和可靠性,比如采用一条MPLS连接加一条Internet连接(如图7所示) ，或者双Internet连接，或者一条有线连接（MPLS或Internet）加上一条无线连接（3G或者LTE）（如图8所示）。此双物理链路可工作在双活模式或者主备模式。再次，智能分支方案支持高可靠性检测技术。除了Hub和Spoke间除OSPF、BGP等动态路由协议可用于链路探测外，BFD、NQA、DPD等技术可用于Hub和Spoke间的链路探测，从而提升链路倒换时间。

http://www.h3c.com.cn/res/201303/12/20130312_1550235_image009_777795_30008_0.png

图7　Internet网络对MPLS网络的备份

http://www.h3c.com.cn/res/201303/12/20130312_1550236_image010_777795_30008_0.png

图8 无线网络及对有线网络的备份

4. 建立安全的分支

企业的网络安全问题是多层次、多位置和多角度的。企业分支主要基于互联网承载，相比专网更容易受到恶意攻击，内部信息外泄的可能性会更大,因此其安全性要求也更高。需要从以下几个方面考虑分支安全问题（如图9），从而避免任何可能的安全漏洞：

•  在总部设备前部署防火墙，构建DMZ区，防止网络攻击、非法入侵引起的安全问题；
•  控制平面组件需要对Hub、Spoke进行AAA认证，防止非法设备仿冒接入公司网络。Hub与Spoke和控制平面组件之间的交互报文均经过加密, 具有较高深度的加密能力；
•  用户认证组件（例如iMC CAMS/EAD Server）对分支Spoke内网侧的接入用户进行内网准入控制，实现用户身份的认证，防止非法用户的接入；同时还控制信息访问权限，防止内部保密信息外泄；
•  Hub和Spoke间建立IPSec隧道前进行IKE协商时，可采用CA证书进行认证，提高安全性。Hub和Spoke间的报文均经过IPSec加密，支持多种加密算法。另外，Hub、Spoke设备默认开启IPSec防乱序功能，避免恶意仿冒IPSec报文攻击，降低对设备的性能压力；

 管理平面组件采用Https进行管理报文交互，避免管理信息被外部获取。同时，管理平面组件支持管理员分级分权功能，可实现对管理员的管理范围和权限控制。

http://www.h3c.com.cn/res/201303/12/20130312_1550237_image011_777795_30008_0.png

图9　安全的分支方案

另外，为提高企业内部数据的安全性，如果企业内部不同业务部门之间存在网络访问隔离需求，可以采用VPN域隔离功能，实现从总部到分支的业务隔离（如图10所示）。

http://www.h3c.com.cn/res/201303/12/20130312_1550238_image012_777795_30008_0.png

图10　分支业务隔离

四、 建立沟通融合的广域网分支

现代企业的沟通，虽然越来越依赖Email和即时通信等新型的方式，但语音依然在企业内部的沟通中发挥着重要的作用。传统的PSTN语音方案对于分散于各地的企业分支来说，存在以下几个问题：

• 与总部及其他分支的通话需要支付长途费用，成本较高；

• 传统的语音方案支持电话会议、语音邮箱等业务，不但使用成本高，部署成本也很高，给企业构成较大的负担；

• 由于以往语音网络与数据网络是两个各自独立的网络，企业需要安排不同的人员分别对其进行维护，维护成本也较高；

• 员工的沟通手段越来越多，如Email、即时通信、电话和短信等，但这些通信方式之间缺少互动，在多数情况下仍不能达到期望的沟通效果。如员工出差在外无法查看办公室内的电话留言信息，也不能使用办公室电话进行沟通等。

对于现代企业来说，需要基于IP网络建立融合的通信方案。企业可以基于IP网络建立企业内部的VoIP系统，并且部署电话会议等语音业务，实现数据与语音网络的融合，也使得语音沟通的部署成本及使用成本得到大幅降低。对于企业来说，只需要在分支部署语音网关或在分支路由器上安装语音模块接入模拟电话，或直接部署IP电话，在总部部署语音服务器即可。另外，只需在总部增加部署语音业务服务器，即可支持电话会议、语音留言、语音留言转Email等扩展业务。而且，在员工的终端上部署软电话客户端后，在总部语音服务器的配合下，员工即使不在办公室，也可使用办公室电话及公司提供的语音业务。所有这些，都极大地提高了企业分支的沟通效率。

五、 小结

现代企业为了应对各种业务挑战，需要智能的广域网分支，来保证广域网业务的顺利开展。而智能广域网分支涉及到多个方面，一体化、易部署、易管理、灵活可靠、高安全、沟通方式的融合都是其重要的构成。随着企业需求与技术的发展，除了这里介绍的内容，广域网分支必然还会有更多的要求出现，但智能化的广域网分支，将会是分支的发展方向，也是分支网络建设方案的正确选择。