¿Cómo construir una red empresarial de múltiples sucursales con cinco sucursales?
Opción 1: método IPSEC
En pocas palabras, IPSEC es un protocolo o un marco. El acceso remoto se logra en base a este protocolo de seguridad que es IPSEC.
Ventajas: IPSEC se ha utilizado durante mucho tiempo y la tecnología y el equipo correspondiente también son muy maduros. Al mismo tiempo, utiliza claves simétricas y asimétricas y algoritmos de resumen, combinados con autenticación de identidad y cifrado; y la verificación de la integridad y otros medios pueden garantizar la seguridad en mayor medida.
Desventajas: debido a que IPSEC necesita crear un túnel virtual cifrado en el entorno de Internet, la calidad y la estabilidad de su red son incontrolables y, debido a que atraviesa Internet, existe el riesgo de eludir el monitoreo;
Opción 2: Línea dedicada SDH
SDH es una línea dedicada de Jerarquía Digital Síncrona (sistema digital síncrono), también llamada línea dedicada digital, actualmente, los principales servicios que brindan los principales operadores para empresas. Producto de red.
SDH es básicamente equivalente a usar fibra óptica para conectar directamente dos ramas (por supuesto, en aplicaciones reales, los enlaces intermedios los proporcionan principalmente los operadores y existen situaciones de multiplexación). El diagrama esquemático es el siguiente:
Ventajas: calidad de red estable, implementación simple, tecnología madura, bajo costo de mantenimiento y alta seguridad
Desventajas: si hay un problema en la central En este punto, afectará la interacción entre sucursales. Si desea aumentar la redundancia, puede optar por implementar líneas dedicadas entre sucursales, pero esto inevitablemente aumentará los costos.
Opción 3: MPLS
Principio técnico: MPLS adopta VPI (Virtual Path Identifier, identificador de ruta virtual)/VCI (Virtual Path Identifier) de ATM (modo de transferencia asíncrono, asíncrono). modo de transferencia) La idea de conmutación del identificador de canal (identificador de canal virtual) combina las ventajas de la tecnología de enrutamiento IP y la conmutación de Capa 2. Las redes IP están originalmente orientadas a redes sin conexión, pero en las redes MPLS, la información de enrutamiento se recopila y genera mediante protocolos de enrutamiento como IGP (Protocolo de puerta de enlace interior) y BGP (Protocolo de puerta de enlace fronteriza). Luego, se agregan etiquetas a entradas específicas de la tabla de enrutamiento. que agrega atributos orientados a la conexión y proporciona garantías de QoS hasta cierto punto para cumplir con los requisitos de QoS de diferentes tipos de servicios.
Composición de la arquitectura: una red MPLS típica contiene los siguientes tres tipos de elementos de red
(1) PE: enrutador de borde del proveedor de servicios, conectado directamente al equipo CE del usuario. PE es responsable de administrar usuarios, establecer conexiones LSP y crear y administrar VRF (Virtual Routing Forwarding, tablas de enrutamiento y reenvío).
(2)P: El enrutador troncal de la red del proveedor de servicios no está conectado directamente al CE. Solo necesita tener la capacidad de reenviar paquetes etiquetados MPLS. Reenvía mensajes según la etiqueta externa. no participa en Agregar, eliminar, crear y mantener entradas de la tabla VRF del usuario.
(3) CE: dispositivo de borde de red del usuario, conectado directamente al equipo PE del proveedor de servicios, responsable de publicar rutas locales al equipo PE, pero el CE no necesita admitir MPLS y no puede detectar su existencia. .
Como se puede ver en la figura, en el modo MPLS, cada sucursal no está conectada directamente y no existe el llamado nodo de sucursal central, sino que todas están conectadas al nodo POP cercano. abriendo así el enlace de la red troncal MPLS.
Ventajas:
Los nodos de las sucursales están conectados cerca, lo que ahorra costos de línea dedicada local y evita factores de inestabilidad de la red, como entre regiones y entre operadores;
Dirección el aislamiento y el aislamiento de enrutamiento pueden resistir ataques de piratas informáticos y falsificación de etiquetas;
El acceso al dispositivo es relativamente conveniente, los clientes solo necesitan conectar el dispositivo CE al dispositivo de borde de red del operador