應(yīng)用情況
目前的VPN所能做到是取代遠(yuǎn)程撥號接入和節(jié)約資金,節(jié)約資金的程度取決于使用規(guī)模的大小。首先,需要有更好的服務(wù)質(zhì)量(QoS)工具,VPN才可能真正地取代數(shù)據(jù)WAN;其次,各廠商的VPN設(shè)備之間必須具有互操作性,才能使自已的外部人員安全訪問自己的網(wǎng)絡(luò)不再是件麻煩事。隨著IETF制定VPN標(biāo)準(zhǔn)工作的進(jìn)行,以上兩點(diǎn)很快就會實(shí)現(xiàn)。
IP VPN首當(dāng)其沖實(shí)現(xiàn)的功能是作為遠(yuǎn)程接入的替代技術(shù)。遠(yuǎn)程用戶不再需通過昂貴的800 號碼或長途直撥呼叫企業(yè)遠(yuǎn)程訪問服務(wù)器,而是向一家ISP發(fā)出本地呼叫。一家保險公司過去一直用的是一個800號被叫服務(wù)業(yè)務(wù),每月支付8,000到10,000美元,只有10個用戶可以同時使用800號碼撥入到企業(yè)網(wǎng)絡(luò)。最后,該公司的管理人員決定投資約20,000美元安裝一條連接到Internet的T-1線路,并購買一臺VPN服務(wù)器和遠(yuǎn)程客戶機(jī)軟件。公司管理人員對這一改變的評價是:“這條VPN非常穩(wěn)定。我們每次可以毫無問題地任人們連續(xù)使用六或八個小時。”
另外,VPN也非常適于連接主要企業(yè)站點(diǎn),如果你不在意不確定的服務(wù)質(zhì)量的話。在IT 服務(wù)公司中,用一條VPN取代一條T-1線路節(jié)省的資金足以補(bǔ)償Internet 鏈路上的時延。迄今為止,應(yīng)用提供的QoS還不是服務(wù)提供商提供的選項。QoS, 保證只適用于所有傳輸流的網(wǎng)絡(luò)傳輸時間。因此,電子郵件與資源管理應(yīng)用具有同樣的優(yōu)先級。
加密是QoS中的美中不足之處。當(dāng)傳輸流被加密后,由于標(biāo)記QoS的比特不能為網(wǎng)絡(luò)路由器所讀取,因此QoS很難得到保證。這個問題在IPv6中通過增加包括QoS信息的額外的非加密包頭域得到了解決。這些信息可能可以為任何路由器所讀取。當(dāng)然,IPv6還沒有得到廣泛地應(yīng)用。
關(guān)于應(yīng)用質(zhì)量的評價
電信咨詢公司分析員說,在不具有減少時延、保證吞吐量的情況下,VPN將只限于處理低優(yōu)先級的企業(yè)傳輸流。他的說法是:“使VPN可以作為關(guān)鍵任務(wù)傳輸技術(shù)競爭者的工具還沒有得到部署。”
但是,由于站點(diǎn)到站點(diǎn)的VPN可以很快地建立,這使VPN具有一定的吸引力,Platinum不久前被CA收購,Platinum 臨時通過VPN將大約10家公司與自己的網(wǎng)絡(luò)進(jìn)行連接,他們的管理人員對此的評價是:這總比等上一個月才能建立幀中繼線路要好。他們認(rèn)為:“我們可以利用VPN設(shè)備在非常短的時間里連接起來,使我們可以與新收購的公司共享Lotus Notes、電子郵件服務(wù)器和內(nèi)聯(lián)網(wǎng)Web服務(wù)器。”
建立連接重要企業(yè)站點(diǎn)的VPN很麻煩,盡管概念簡單。在理論上,你在每個站點(diǎn)上安裝一臺VPN加密設(shè)備就完事了。外聯(lián)網(wǎng)VPN——即將業(yè)務(wù)合作伙伴連接到你允許它們訪問的某些網(wǎng)絡(luò)資源上的安全鏈路——在建立上尤具挑戰(zhàn)性。
由于使用仍在開發(fā)中的IP Security(IPSec)標(biāo)準(zhǔn)對站點(diǎn)之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密要求通信雙方共同擁有加密密鑰,因此,兩種方案都存在著問題。由于廠商設(shè)備間的互操作性問題,使用IPSec 中(具體地說, IETF 的RFC 2490 中)所規(guī)定的Internet密鑰交換(Internet Key Exchange,IKE)認(rèn)證協(xié)議的工具一般不能很好地工作,除非用戶在每個節(jié)點(diǎn)上都使用同一家公司生產(chǎn)的設(shè)備。但是,由于財務(wù)、后勤以及政治上的原因,要想讓你的業(yè)務(wù)合作伙伴安裝相同廠商生產(chǎn)的設(shè)備是很難的。
另一種選擇是線外交換密鑰。然而,這種方式非常麻煩,并且也不安全,因為它失去了許多優(yōu)點(diǎn),如通信過程中選擇加密算法的功能,而這是IKE定義的一種特性。 VPN設(shè)備制造商認(rèn)識到了密鑰交換問題,并正在解決它。許多廠商經(jīng)常參加互操作性完善工作。
管理上的挑戰(zhàn)
除了VPN的一些主要本質(zhì)問題外,廠商仍在對一些枝節(jié)問題進(jìn)行研究。
分發(fā)VPN客戶機(jī)軟件,并保持成千上萬個遠(yuǎn)程接入用戶的是相同的軟件版本,這是在使用VPN時的一個挑戰(zhàn)。許多廠商采用遠(yuǎn)程下載客戶機(jī)軟件的同時,等待 Windows 2000客戶機(jī)軟件的發(fā)行,微軟曾宣布Windows 2000客戶機(jī)將支持IPSec。對VPN的管理也是一個挑戰(zhàn)。如何在保持成千上萬加密對話進(jìn)行的同時不斷更換加密密鑰,這是廠商和標(biāo)準(zhǔn)組織仍在努力解決的問題。IEFT承認(rèn)在使用IPSec的情況下,VPN設(shè)備沒有一種快速的途徑迅速了解何時他們與其它設(shè)備建立的會話出現(xiàn)了故障。盡管IEFT有了不少解決這個問題的建議,但該標(biāo)準(zhǔn)組織還沒有采用其中哪一個建議。
顯然,VPN還有一段路要走,但目前顯然它已具有一定的價值。 如果你開始小規(guī)模地使用適用于你的VPN應(yīng)用的話,你會隨著VPN的成熟,增加你對它的了解。當(dāng)它做好應(yīng)用于更復(fù)雜的應(yīng)用準(zhǔn)備時,你也同樣做好了準(zhǔn)備。
外包VPN業(yè)務(wù)
如果聽起來建立虛擬網(wǎng)絡(luò)很麻煩的話,你不妨考慮從一家服務(wù)提供商那里外包它。一些ISP提供通過他們自己的骨干網(wǎng)連接你所有站點(diǎn)的一攬子服務(wù),因而避免使用Internet。這種選擇使你避免了Internet性能的不確定性,并且在鏈接出現(xiàn)故障的情況下,為你提供一定的援助。像AT&T、GTE Internetworking和UUNET這類ISP甚至提供服務(wù)水平協(xié)議(SLA),雖然這類SLA只限于可用性、包丟失以及你的傳輸流在它們網(wǎng)絡(luò)上的傳輸速度。此外,SLA不提供防止違反安全的保證。不提供這類保證很大程度上是出于法律原因。很難定義何為違反安全,并且很難確定你所認(rèn)為造成損失的價值。
無疑,讓ISP為你提供VPN服務(wù)比自己建立它更容易,但是這樣做存在一個缺點(diǎn):服務(wù)提供商可能會在安全性上走捷徑。
如果服務(wù)提供商在你的數(shù)據(jù)流到達(dá)它的網(wǎng)絡(luò)之前不為數(shù)據(jù)流提供保護(hù)的話,就會使你的數(shù)據(jù)在你的站點(diǎn)至電信公司網(wǎng)絡(luò)之間處于不安全狀態(tài)。你可以讓服務(wù)提供商在你站點(diǎn)上的一臺它可以控制的VPN服務(wù)器上建立隧道。如果你打算采用這種方式的話,可以建立一個隔離區(qū),利用防火墻使這臺隧道服務(wù)器與企業(yè)網(wǎng)絡(luò)隔離開。
MPLS的作用
服務(wù)提供商正在考慮采用基于多協(xié)議標(biāo)記交換(MPLS)的VPN技術(shù)。MPLS是路由器端的傳輸流整形技術(shù)。如果ISP在識別MPLS的設(shè)備上建立其網(wǎng)絡(luò)的話,就不需要客戶使用具有MPLS功能的路由器來建立額外的VPN設(shè)備。MPLS虛擬路由器為每個客戶VPN站點(diǎn)維護(hù)不同的路由表。VPN上的傳輸流沿預(yù)先確定的保證傳輸流安全的MPLS路徑和交換機(jī)上傳送。據(jù)說現(xiàn)在已經(jīng)開始出現(xiàn)利用MPLS建立VPN的電信公司。 #p#分頁標(biāo)題#e#
據(jù)市場研究機(jī)構(gòu)Infonetics公司的研究發(fā)現(xiàn),目前,企業(yè)更喜歡管理自己的VPN,而不愿意外包這項服務(wù)。但是,Infornetic認(rèn)為,到2003年前,趨勢將向資源外包的方向發(fā)展,到那時總的市場情況將是:最終用戶將花費(fèi)104億美元購買自己的硬件設(shè)備,花費(fèi)142億美元購買管理服務(wù)。
