进入成熟期的小型企业往往迈开了向外扩张的步伐,不断地在外地成立办事处或分公司。此时总部与分部之间需要传输、共享和备份内部的机密资料,因此在互联网上建立企业自己的VPN隧道,让分部可以通过这条隧道安全地访问总部的内部网就变得十分必要。
在企业内部,办公电脑(或者说员工)和各种服务器的数量随着业务的扩张而快速增长,仅仅依靠无线路由器或有线路由器的数据交换能力显然不够,必须配置交换机。
此外,为了让企业网络具有较高的弹性,能够自由调整网络结构和随意增减工位,提供随时随地的企业网络资源访问,提高办公的效率,还需要为整个企业的办公空间部署完全覆盖的无线网络。
为了满足上述需求,小型企业无线VPN的网络拓扑结构中至少应包括VPN防火墙路由器、智能交换机和无线AP(即无线接入点)。企业也可以根据自己的实际情况在VPN防火墙路由器的后端增加专用网络管理设备、RADIUS认证服务器等。在VPN防火墙路由器的选择上,既要满足企业的现有需求,也要具有一定的冗余性能以适应企业未来的扩张需要。
在前端,与互联网相连的是VPN防火墙路由器。它必须支持IPSec VPN服务器功能,并且至少提供50条VPN隧道。IPSec VPN是用于驻外办事处或分公司与总部内部网之间的高安全性连接。另外,VPN防火墙路由器还应具有多种访问过滤、SPI防火墙、防止DOS(拒绝服务)攻击等功能,以减少来自外部和内部的安全威胁。
小型企业无线VPN的网络拓扑结构图
在数据交换部分,我们建议使用智能交换机。相比普通的非网管交换机,智能交换机支持基于Web的图形化管理和基于SNMP的网络管理标准协议,把网络管理员从复杂的CLI命令行、Telnet或本地控制台等传统管理方式中解放出来,可以更加轻松、高效地对交换机进行管理和维护,并且智能交换机的价格比非网管交换机也贵不了多少。更高端、功能全面但价格高昂的全网管交换机则不适合小型企业使用。在性能上,好使用支持线速转发的交换机,以便让内部网络在繁忙时也畅通无阻。
在网络布线方面,可以采用无线网络加上少量的布线,根据建筑结构布置无线AP以实现为移动用户提供网络服务,各种应用服务器(例如邮件服务器、打印机服务器等)和存储设备(例如
NAS、磁盘阵列等)则通过百兆或千兆有线网连接智能交换机。并且按照无线网络在同一区域多支持3个独立信道的原则(我国无线网络规定了13个信道,其中1、6、11三个信道独立,互不干扰),在每层楼按照蜂窝结构多布置3个无线AP,并且实现无缝漫游。同时再对无线AP设置
WPA2加密功能以保证无线网络的安全。
常用单位:在交换机的参数指标中,常见的单位有Gbps 和Mpps。1Gbps就是每秒1Gigabit=1024Mbps=128MB/s,大家常说的千兆网卡的速度就是1Gbps。Mpps即“Million packetper
secend(百万包/秒)”,在交换机上指包转发率,转发1个64Byte包的实际开销为84Byte=672bit,因此换算下来,100Mbps=0.1488Mpps,1Gbps=1.488Mpps。
背板带宽:交换机的背板带宽,是指交换机接口处理器或接口卡和数据总线之间的大数据吞吐量,这和处理器的前端总线带宽的概念很相似。背板带宽标志了交换机总的数据交换能力,单位为Gbps,也叫交换带宽,一般的交换机的背板带宽从几Gbps到上百Gbps不等。一台交换机的背板带宽越高,所能处理数据的能力就越强,但同时价格也越高。