|
|
| No.1 |
|
虚拟专用网(VPN)实现公网专用 随着网络,尤其是网络经济的发展,企业规模日益扩大,客户分布日益广泛,合作伙伴日益增多,传统企业网基于固定地点的专线连接方式,已难以适应现代企业的需求。于是企业在自身网络的灵活性、安全性、经济性、扩展性等方面提出了更高的要求。虚拟专用网(VPN)以其独具特色的优势,赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,更多地致力于企业商业目标的实现。
虚拟专用网(VPN)代表了当今网络发展的最新趋势,它综合了传统数据网络的性能优点(安全和 QoS)和共享数据网络结构的优点(简单和低成本),能够提供远程访问,外部网和内部网的连接,价格比专线或者帧中继网络要低得多。而且,VPN在降低成本的同时满足了对网络带宽、接入和服务不断增加的需求,因此,VPN必将成为未来企业传输业务的主要工具。
VPN是利用公网来构建专用网络,它是通过特殊设计的硬件和软件直接通过共享的IP网所建立的隧道来完成的。我们通常将 VPN当作 WAN解决方案,但它也可以简单地用于 LAN。VPN类似于点到点直接拨号连接或租用线路连接,尽管它是以交换和路由的方式工作,如图所示。许多企业担心在共享的 IP网络上传输的敏感数据会被网络黑客截获甚至修改。因此,在大多数情况下,在VPN上传输的数据流是经过加密处理的。使用VPN,企业内部资源享用者只需连入本地ISP的POP(介入服务提供点)即可相互通信。而利用传统的WAN组网技术,彼此之间要有专线相连才可达到相同目的。有研究机构表明,如果企业采用VPN替代租用DDN专线,其整个网络的成本可节约21%-45%,若替代拨号连网方式,可节约通信成本50%-80%,VPN的优势显而易见。
VPN公网开“隧道”
VPN的核心是被称为“隧道”的技术。隧道允许 VPN的数据流被路由通过 IP网络而不管生成该数据流的是何种类型的网络或设备。从这个意义上说,VPN的操作独立于其他的网络协议,隧道内的数据流可以是IP、IPX、AppleTalk或其他类型的数据包。
隧道技术的核心是隧道协议。由 3Com公司和 Microsoft公司合作开发的点对点隧道协议 (PPTP)是第一个广泛使用来建立 VPN的协议。目前,Windows 95、98和 NT 4.0都支持 PPTP,这就使绝大多数的桌面计算机可以初始化一个 VPN。PPTP可以将其他类型协议的数据包提取出来,然后封装在一个PPTP包中,这样就可以支持客户机 - LAN(例如:移动用户到园区 LAN)和 LAN - LAN(例如:销售机构到园区 LAN)两种隧道。
VPN改造企业网
Internet服务提供商(ISP)和企业将是VPN的直接受益者。ISP将VPN作为一项增值业务推向企业,并从企业得到回报。因此,VPN的最终目的是服务于企业,为企业带来可观的经济效益,为现代化企业的信息共享提供安全可靠的途径。
对于ISP来说,VPN提供了巨大商机。通过向企业提供VPN增值服务,ISP可以与企业建立更加紧密的长期合作关系,同时充分利用现有网络资源,提高业务量。事实上,VPN用户的数据流量较普通用户大得多,而且时间上也是相互错开的。VPN用户通常是上班时间形成流量高峰,而普通用户的流量高峰则在工作时间之外。同时,VPN使ISP能够经济地维持开发客户群、增加利润、提供增强服务,如视频会议、电子商务、IP电话、远程教学、多媒体商务应用等等。
对于企业来说,VPN改造了传统的企业网,为企业进一步发展提供了可靠的技术保障。
□VPN实现网络安全
具有高度的安全性,对于现在的网络是极其重要的。新的服务如在线银行,在线交易都需要绝对的安全。VPN以多种方式增强了网络的智能和安全性。首先,它在隧道的起点,在现有的企业认证服务器上,提供对分布用户的认证。另外,VPN支持安全和加密协议,如 Secure IP (IPsec)和 Microsoft点对点加密 (MPPE)。
IPsec所提供的安全是基于标准和可互操作的;MPPE使 Windows 95、98和 NT 4.0终端可以从全球任何地方进行安全的通信。MPPE加密确保了数据的安全传输,并具有最小的公共密钥开销。
□简化网络设计
网络管理者可以使用VPN替代租用线路来实现分支机构的连接。这样就可以将对远程链路进行安装、配置和管理的任务减少到最小,仅此一点就可以极大地简化企业广域网的设计。另外,VPN通过拨号访问来自于 ISP或 NSP的外部服务,减少了调制解调器池,简化了所需的接口,同时简化了与远程用户认证、授权和记账相关的设备和处理。
□降低成本
许多技术承诺可以降低成本,但 VPN降低成本的方法是立即且显著的,它可以降低:
移动用户通信成本:VPN可以通过减少长途费或800费用来节省移动用户的花费。
租用线路成本:VPN可以以每条连接 40%到 60%的成本对租用线路进行控制和管理。对于国际用户来说,这种节约是极为显著的。对于话音数据,节约金额会进一步增加。
主要设备成本:VPN通过支持拨号访问外部资源,使企业可以减少不断增长的调制解调器费用。另外,它还允许一个单一的 WAN接口服务多种目的,从分支网络互连、商业伙伴的外连网终端,本地提供高带宽的线路连接到拨号访问服务提供者。因此,只需要极少的 WAN接口和设备。由于 VPN是可以完全管理,并且能够从中央网站进行基于策略的控制,因此可以大幅度地减少在安装配置远端网络接口所需的设备上的开销。另外,由于 VPN独立于初始的协议,这就使得远端的接入用户可以继续使用传统的设备,保护了用户在现有硬件和软件系统上的投资。
□容易扩展
如果企业想扩大VPN的容量和覆盖范围,只需与新的ISP签约,建立账户;或者与原有的ISP重签合约,扩大服务范围。在远程办公室增加VPN能力也很简单:几条命令就可以使Extranet路由器拥有Internet和VPN能力,路由器还能对工作站自动进行配置。
□易于建立商业伙伴
在过去,企业如果想与合作伙伴联网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。有了VPN之后,这种协商已毫无必要,真正达到了要连就连、要断就断。这样就可以迅速捕捉商业机会,建立可靠的商业伙伴关系。
□完全控制主动权
VPN使企业可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。比方说,企业可以把拨号访问交给ISP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
□支持新兴应用
许多专用网对于许多新兴应用准备不足,如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用,如IP语音,IP传真,还有各种协议,如RSIP、IPv6、MPLS、SNMPv3等。
VPN自建外包总相宜
由于VPN低廉的使用成本和良好的安全性,许多大型企业及其分布在各地的办事处或分支机构成了VPN顺理成章的用户群。对于那些最需要VPN业务的中小企业来说,一样有适合的VPN策略。当然,不论何种VPN策略,它们都有一个基本目标:在提供与现有专用网络基础设施相当或更高的管理性、可扩展性以及简单性的基础之上,进一步扩展公司的网络连接。
大型企业自建VPN
大型企业用户由于有雄厚的资金投入做保证,可以自己建立VPN,将VPN设备安装在其总部和分支机构中,将各个机构低成本而安全地连接在一起。
企业建立自己的VPN,最大的优势在于高控制性,尤其是基于安全基础之上的控制。一个内部VPN能使企业对所有的安全认证、网络系统以及网络访问情况进行控制,建立端到端的安全结构,集成和协调现有的内部安全技术,例如PKI。而且,企业还可根据用户的需要来调整Internet的费用、覆盖面以及连接速度。
企业还可以确保得到业内最好的技术以满足自身的特殊需要,这要优于ISP所提供的普通服务。而且,建立内部VPN能使企业有效节省VPN的运作费用。企业可以节省用于外包管理设备的额外费用,并且能将现有的远程访问和站到站的网络集成起来,以获取最佳性价比的VPN。
虽然VPN外包能避免技术过时,但并不意味着企业可以节省开支。因为,企业最终还要为高额产品支付费用,以作为使用新技术的代价。虽然VPN外包可以简化企业网络部署,但这同样降低了企业对公司网的控制等级。网络越大,企业就越依赖于外包VPN供应商。因此,自建VPN是大型企业的最好选择。
中小型企业外包VPN
虽然每个中小型企业都是相对集中和固定的,但是部门与部门之间、企业与其业务相关企业之间的联系依然需要廉价而安全的信息沟通。在这种情况下,VPN同样非常重要。但是,如果让中小型企业购买VPN设备,财务成本较高。因此,对IT人员短缺、技能水平不足、资金能力有限、不足以支持VPN的中小型企业来说,外包是最好的选择。
首先,VPN外包比企业自己动手建立VPN要快得多,也更为容易。
另一方面,外包VPN的可扩展性很强,易于企业管理。有统计表明,使用外包VPN方式的企业,可以支持多于2300名用户,而内部VPN平均只能支持大约150名用户。而且,随着用户数目的增长,对用于监控、管理、提供IT资源和人力资源的要求也将呈指数增长。因此,VPN外包无疑是一种极具吸引力的方式。
另外,对可扩展性、冗余性、可靠性和管理性来说,企业VPN必须将安全和性能结合在一起,然而,实际情况中两者不能兼顾。例如,对安全加密级别的配置经常降低VPN的整体性能。而通过提供VPN外包业务的专业ISP的统一管理,可大大提高VPN的性能和安全。ISP的VPN专家还可帮助企业进行VPN决策。
对服务水平协议(SLA)的改进和服务质量(QoS)保证,为企业外包VPN方式提供了进一步的保证。SLA可以提供网络可用性、包丢失以及数据流的传输速度等方面的保证,并在不能满足时,自动将其归入企业账户。
VPN目前正处在完善的过程中,今后的发展主要体现在以下几个方面:
扩充网络装置
在今后几年内,VPN将增加目录服务器,即装载最终用户建档和网络配置数据的存储库。它将作为一个独立平台放置在企业网上,并放置在由VPN实施控制的公网的某一部分(例如公共目录服务器可以装在ISP的数据中心或电信公司的网络操作中心)。这样,企业网能够很容易地扩展到公网,从而消除过去公网和专网之间截然分开的界线。
移动和远程用户接入管理
随着商务交往的增多,越来越多的用户将要求在任何时间、任何地点接入VPN,因而移动和无线接入方式将成为未来VPN的一个显著特征。所以,一些厂商,如微软、高通、英国电信和诺基亚等目前都在从事这方面的软件开发工作。
QoS有待提高
加密是QoS中的美中不足之处。当传输流被加密后,由于标记QoS的比特不能为网络路由器所读取,因此,QoS很难得到保证。这个问题在IPv6中通过增加包括QoS信息的额外的非加密包头域得到了解决,这些信息可以为任何路由器所读取。然而,IPv6还需要得到广泛应用。
互操作性悬而未决
由于厂商设备间的互操作性问题,使用IPSec 中所规定的Internet IKE认证协议的工具,一般不能很好地工作,除非用户在每个节点上都使用同一家公司生产的设备。但是,由于财务、后勤等各种原因,要想让你的业务合作伙伴安装相同厂商生产的设备是很难的。所以,用户都指望Window 2000解决互操作的问题,现在看来,VPN客户端可以运作在window 2000上,这样供应商就可以建立这样的客户终端和其网关之间的互操作性。但是,Window 2000并没有完全实现IP Security,比如它使用的L2TP和IP Security的通道是完全不一样的。
除了VPN技术上的一些主要问题外,厂商仍在对一些细节问题进行研究。分发VPN客户机软件,并保持成千上万个远程接入用户用的是相同的软件版本,是在使用VPN时的一个挑战。而且,如何在保持成千上万加密对话进行的同时,不断更换加密密钥也是厂商和标准组织仍在努力解决的问题。作者:仲冀
[编辑][删除] 发表:2006-11-10 00:07:54
|
|
≡公证版块≡ → 电脑软件知识 → 虚拟专用网(VPN)实现公网专用
预览