姚程宽 曹立勇 胡宗海 吴兴燕 卢灿举 伍光辉 程跃

摘要：现代企业越来越多的利用互联网等信息化技术来提高企业的效益和降低经营成本。由于不同的企业有不同的业务类型，很难找到一种通用的信息化解决方案为不同的企业服务。针对大型企业有多个网点、多个分支机构的特点，提出了一种基于云技术和智能广域网的信息化解决方案，并采用了不同的技术保障了网络的安全性。同时对业务流程进行了优化，使其适合信息化管理的要求。应用结果表明，解决方案是安全、合理、高效的，同时网络成本比实施前的传统VPN方案下降了30%，物流和仓储成本下降了8%，满足了成本控制的要求，为多网点企业信息化的建设提供了指引。

关键词：云;局域网;智能广域网;成本控制

中图分类号：TN915.0文献标志码：A 文章编号：2095-5383（2019）03-0042-04

现代企业中总部以及分支机构的发展和联系对于网络和信息化的依赖性越来越高，同时造成企业的网络、通信以及信息化管理的成本越来越高。多网点、多分支机构的企业架构都是由多层架构组成，比如总公司、省级公司、市级公司以及遍布大街小巷的加盟代理点组成。将总公司和这些分支机构及网点连接起来组成公司自己的网络.如果采用传统的VPN方式，租用专用链路，则需要给ISP付出较高的专线租赁费用。随着业务的发展，分支机构和网点的不断增加，这个费用也会不断提升。

多网点企业如何在业务不断增长的同时，控制甚至降低企业的信息化成本，已经成为很多企业的-探寻目标，为此，我们针对企业分支机构多的特点，基于不同技术的分析研究，立足多网点企业的应用背景，参考文献[3-4]，提出了一种基于云的智能广域网解决方案。

1基于云的智能广域网架构概述

云技术的发展已经引领数据通信业进入大融合、大发展的阶段，大企业建立了自己的私有云，可以在有限的软件和硬件的基础上，最大限度的提升网络资源的效率，对企业来说，私有云形成了一个巨大的网络资源管理系统，可以为用户提供按需服务。而智能广域网是近5年才发展起来的一种组网方式，它具有可持续发展的网络架构，提供全方位的网络安全保障。本文提出的基于云的智能广域网架构，如图1所示。

其主要优点有：

1）网络架构与传输方式无关。主要体现在具有运行模式一致性、供应商变更的一致性、模块化设计可扩展，能覆盖已有的IPsec VPN。

2）路由智能选择。主要体现在最佳路径的选择依赖损耗、抖动、延迟等，提高网络可用性。

3）应用优化。主要体现在对应用进行可视化的监控、利用网络加速提升带宽。

4）安全连接。云保障了安全性极高的互联网接人。

2三种云的主要特点及作用

2.1私有云

私有云的最大优点就是安全性高。企业通过对内部私有云的运营和管理，设置需要的安全措施，实现内部资源的高效共享。缺点是成本高，需要自己购买硬件设备同时增加维护成本，一般只有大型企业建立私有云。

2.2公有云

公有云是运营商提供的一种服务，利用运营商庞大的数据服务能力，将计算能力、存储能力等提供给客户进行共享。公有云的设备更新快，性能高，安全级别可靠，位置灵活，移动接入快捷方便。对于中小型企业来说，公有云的最大优点的是成本较低，而对于大型企业来说，如果将自己的常规业务依托公有云，现有的付费业务模式将会导致成本的迅速增加。因此在图1中，公有云的作用不是用来处理常规业务，而是用于容灾备份，可以防止灾难发生时的数据丢失，保证业务开展的连续性。

2.3虚拟云

虚拟云本质是一套完整的关于云架构的系统软件，借助自身的硬件资源，实现云应用，也称为云虚拟主机。虚拟云站点数量没有限制，随服务器数量的增加而增加，并且能够动态调整各个站点的负载，使得各个站点均衡工作。虚拟云的这个特点提高了各个站点的安全性，能有效抵御病毒和网络攻击。虚拟云在本文中对各个分支机构的安全性起到很好的保护作用。

3网络架构规划

在图1中的网络设计规划中，主要保证以下两种接入方式：

1）混合广域网传输：利用已有的VPN网络，为关键应用提供带宽，同时为应用提供IPsec保障。

2）直接接人互联网：要求连接两个ISP，在保证安全的同时，提供高可靠性的网络传输。

结合以上的两个设计，可以提高总部的网络带宽，降低延时，并提供更好的应用优化，如图2所示。

在图2中，由于分支机构直接接人互联网，因此如何保证分支机构的网络安全就是这个设计方案的重点，我们主要从以下几个方面进行了规划。

3.1外网访客流量控制

分支机构直接接人互联网，就会为外网的客户提供接入服务，也就意味着需要提高企业网络的安全性，主要从保护企业网络、对访问和内容进行限制两个方面来进行。

3.1.1保护企业网络

外网客户入侵时，被入侵的设备会作为载体将病毒等恶意软件带人分支机构的网络。主要措施是将访客流量及设备单独组建虚拟局域网VPN，并将该VPN设置为ZBFW的一个独立访客群.而访客群不能直接接人分支机构。通过设置安全标示，只有安全的外网访问才能进入分支机构的网络。

3.1.2对访问和内容进行限制

分支机构直接接入外网，而有些外网的内容是不安全的，需要限制。通过云Web安全的CWS连接设置，进行内容审查和软件过滤。CWS可以将外网的流量进行访问控制、内容过滤等安全策略的定义。

3.2分支机构的流量控制

从分支机构流向外网的流量同样需要进行安全策略的定义，主要是以下几个方面：

1）入侵防御。流向外网的流量同样要进行入侵防御，因为有些病毒是逆向输入的。

2）恶意软件防护和访问控制。

3）防止数据包丢失。

4）防火墙控制。

4业务的种类与网络的结合

企业分支机构的业务类型多，应用种类多，因此根据分支机构的业务模型和应用分布，定义不同等级的可靠性和安全性级别。根据常见的业务类型，参考文献[15-16]，设计了几种常见的网络架构用于不同的分支机构和网点，如图3所示。

5业务的优化与网络的结合

企业的飞速发展需要信息化对各种业务有更好支撑，传统的单纯数据通道不能满足智能广域网对于业务智能化的管理和运营的要求，因此根据本文提出的网络架构，参考文献[17-18]，对于多网点、多分支机构企业的传统业务的信息化管理方式进行了优化，如图4所示。

6应用效果

安徽省烟草总公司是隶属于安徽省国资委的省属大型国有企业，主要职能是全省烟草专卖和烟草市场管理工作。安徽省烟草公司管理着17家市级烟草公司和90多家县级烟草公司，以及遍布全身乡镇的600多个烟草配送中心。如此庞大的营销网络中，物流配送成本和网络通信成本占成本支出的绝大部分，企业在成本控制的过程中，既要减少成本的支出，又要保证网络通信的质量和物流服务的质量，为了实现这二者的平衡，需采用信息化建设实现效益的最大化。

本文提出的信息化建设方案是在深度理解了网点、分支机构和总部业务模型的基础上，结合了最新的信息化发展趋势建立的完备的信息化体系。经过两年多的实践和探索，网络的安全性大幅提升，抗攻击能力增强，特别是分支机构的网络安全得到了保障，业务应用体验性增强，业务量在每年递增10%的同时，网络成本比实施前的传统VPN方案下降了30%，物流和仓储成本下降了8%，实践證明，本文提出的方案实现了成本控制的要求。

7总结与展望

本文基于云和智能广域网技术，在对多分支机构企业的业务模型进行诊断分析并优化的基础上，提出了适合多网点、多分支机构企业的信息化建设方案。在信息技术高速发展的今天，任何一个行业的发展都需要信息技术的支撑，同时任何一个新技术的应用必然要落到某个行业的某个业务上，只有将技术和业务二者完美结合，才能创造出更多的价值。