虛擬專用網(wǎng)(VPN)代表了當(dāng)今網(wǎng)絡(luò)發(fā)展的最新趨勢,它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點(diǎn)(安全和 QoS)和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)(簡單和低成本),能夠提供遠(yuǎn)程訪問,外部網(wǎng)和內(nèi)部網(wǎng)的連接,價格比專線或者幀中繼網(wǎng)絡(luò)要低得多。而且,VPN在降低成本的同時滿足了對網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求,因此,VPN必將成為未來企業(yè)傳輸業(yè)務(wù)的主要工具。
VPN是利用公網(wǎng)來構(gòu)建專用網(wǎng)絡(luò),它是通過特殊設(shè)計的硬件和軟件直接通過共享的IP網(wǎng)所建立的隧道來完成的。我們通常將 VPN當(dāng)作 WAN解決方案,但它也可以簡單地用于 LAN。VPN類似于點(diǎn)到點(diǎn)直接撥號連接或租用線路連接,盡管它是以交換和路由的方式工作,如圖所示。許多企業(yè)擔(dān)心在共享的 IP網(wǎng)絡(luò)上傳輸?shù)拿舾袛?shù)據(jù)會被網(wǎng)絡(luò)黑客截獲甚至修改。因此,在大多數(shù)情況下,在VPN上傳輸?shù)臄?shù)據(jù)流是經(jīng)過加密處理的。使用VPN,企業(yè)內(nèi)部資源享用者只需連入本地ISP的POP(介入服務(wù)提供點(diǎn))即可相互通信。而利用傳統(tǒng)的WAN組網(wǎng)技術(shù),彼此之間要有專線相連才可達(dá)到相同目的。有研究機(jī)構(gòu)表明,如果企業(yè)采用VPN替代租用DDN專線,其整個網(wǎng)絡(luò)的成本可節(jié)約21%-45%,若替代撥號連網(wǎng)方式,可節(jié)約通信成本50%-80%,VPN的優(yōu)勢顯而易見。
■VPN公網(wǎng)開“隧道”
VPN的核心是被稱為“隧道”的技術(shù)。隧道允許 VPN的數(shù)據(jù)流被路由通過 IP網(wǎng)絡(luò)而不管生成該數(shù)據(jù)流的是何種類型的網(wǎng)絡(luò)或設(shè)備。從這個意義上說,VPN的操作獨(dú)立于其他的網(wǎng)絡(luò)協(xié)議,隧道內(nèi)的數(shù)據(jù)流可以是IP、IPX、AppleTalk或其他類型的數(shù)據(jù)包。
隧道技術(shù)的核心是隧道協(xié)議。由 3Com公司和 Microsoft公司合作開發(fā)的點(diǎn)對點(diǎn)隧道協(xié)議 (PPTP)是第一個廣泛使用來建立 VPN的協(xié)議。目前,Windows 95、98和 NT 4.0都支持 PPTP,這就使絕大多數(shù)的桌面計算機(jī)可以初始化一個 VPN。PPTP可以將其他類型協(xié)議的數(shù)據(jù)包提取出來,然后封裝在一個PPTP包中,這樣就可以支持客戶機(jī) - LAN(例如:移動用戶到園區(qū) LAN)和 LAN - LAN(例如:銷售機(jī)構(gòu)到園區(qū) LAN)兩種隧道。
■VPN改造企業(yè)網(wǎng)
Internet服務(wù)提供商(ISP)和企業(yè)將是VPN的直接受益者。ISP將VPN作為一項增值業(yè)務(wù)推向企業(yè),并從企業(yè)得到回報。因此,VPN的最終目的是服務(wù)于企業(yè),為企業(yè)帶來可觀的經(jīng)濟(jì)效益,為現(xiàn)代化企業(yè)的信息共享提供安全可靠的途徑。
對于ISP來說,VPN提供了巨大商機(jī)。通過向企業(yè)提供VPN增值服務(wù),ISP可以與企業(yè)建立更加緊密的長期合作關(guān)系,同時充分利用現(xiàn)有網(wǎng)絡(luò)資源,提高業(yè)務(wù)量。事實(shí)上,VPN用戶的數(shù)據(jù)流量較普通用戶大得多,而且時間上也是相互錯開的。VPN用戶通常是上班時間形成流量高峰,而普通用戶的流量高峰則在工作時間之外。同時,VPN使ISP能夠經(jīng)濟(jì)地維持開發(fā)客戶群、增加利潤、提供增強(qiáng)服務(wù),如視頻會議、電子商務(wù)、IP電話、遠(yuǎn)程教學(xué)、多媒體商務(wù)應(yīng)用等等。
對于企業(yè)來說,VPN改造了傳統(tǒng)的企業(yè)網(wǎng),為企業(yè)進(jìn)一步發(fā)展提供了可靠的技術(shù)保障。
□VPN實(shí)現(xiàn)網(wǎng)絡(luò)安全
具有高度的安全性,對于現(xiàn)在的網(wǎng)絡(luò)是極其重要的。新的服務(wù)如在線銀行,在線交易都需要絕對的安全。VPN以多種方式增強(qiáng)了網(wǎng)絡(luò)的智能和安全性。首先,它在隧道的起點(diǎn),在現(xiàn)有的企業(yè)認(rèn)證服務(wù)器上,提供對分布用戶的認(rèn)證。另外,VPN支持安全和加密協(xié)議,如 Secure IP (IPsec)和 Microsoft點(diǎn)對點(diǎn)加密 (MPPE)。
IPsec所提供的安全是基于標(biāo)準(zhǔn)和可互操作的;MPPE使 Windows 95、98和 NT 4.0終端可以從全球任何地方進(jìn)行安全的通信。MPPE加密確保了數(shù)據(jù)的安全傳輸,并具有最小的公共密鑰開銷。
□簡化網(wǎng)絡(luò)設(shè)計
網(wǎng)絡(luò)管理者可以使用VPN替代租用線路來實(shí)現(xiàn)分支機(jī)構(gòu)的連接。這樣就可以將對遠(yuǎn)程鏈路進(jìn)行安裝、配置和管理的任務(wù)減少到最小,僅此一點(diǎn)就可以極大地簡化企業(yè)廣域網(wǎng)的設(shè)計。另外,VPN通過撥號訪問來自于 ISP或 NSP的外部服務(wù),減少了調(diào)制解調(diào)器池,簡化了所需的接口,同時簡化了與遠(yuǎn)程用戶認(rèn)證、授權(quán)和記賬相關(guān)的設(shè)備和處理。
□降低成本
許多技術(shù)承諾可以降低成本,但 VPN降低成本的方法是立即且顯著的,它可以降低:
移動用戶通信成本:VPN可以通過減少長途費(fèi)或800費(fèi)用來節(jié)省移動用戶的花費(fèi)。
租用線路成本:VPN可以以每條連接 40%到 60%的成本對租用線路進(jìn)行控制和管理。對于國際用戶來說,這種節(jié)約是極為顯著的。對于話音數(shù)據(jù),節(jié)約金額會進(jìn)一步增加。
主要設(shè)備成本:VPN通過支持撥號訪問外部資源,使企業(yè)可以減少不斷增長的調(diào)制解調(diào)器費(fèi)用。另外,它還允許一個單一的 WAN接口服務(wù)多種目的,從分支網(wǎng)絡(luò)互連、商業(yè)伙伴的外連網(wǎng)終端,本地提供高帶寬的線路連接到撥號訪問服務(wù)提供者。因此,只需要極少的 WAN接口和設(shè)備。由于 VPN是可以完全管理,并且能夠從中央網(wǎng)站進(jìn)行基于策略的控制,因此可以大幅度地減少在安裝配置遠(yuǎn)端網(wǎng)絡(luò)接口所需的設(shè)備上的開銷。另外,由于 VPN獨(dú)立于初始的協(xié)議,這就使得遠(yuǎn)端的接入用戶可以繼續(xù)使用傳統(tǒng)的設(shè)備,保護(hù)了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。
□容易擴(kuò)展
如果企業(yè)想擴(kuò)大VPN的容量和覆蓋范圍,只需與新的ISP簽約,建立賬戶;或者與原有的ISP重簽合約,擴(kuò)大服務(wù)范圍。在遠(yuǎn)程辦公室增加VPN能力也很簡單:幾條命令就可以使Extranet路由器擁有Internet和VPN能力,路由器還能對工作站自動進(jìn)行配置。
□易于建立商業(yè)伙伴
在過去,企業(yè)如果想與合作伙伴聯(lián)網(wǎng),雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路。有了VPN之后,這種協(xié)商已毫無必要,真正達(dá)到了要連就連、要斷就斷。這樣就可以迅速捕捉商業(yè)機(jī)會,建立可靠的商業(yè)伙伴關(guān)系。
□完全控制主動權(quán)
VPN使企業(yè)可以利用ISP的設(shè)施和服務(wù),同時又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。比方說,企業(yè)可以把撥號訪問交給ISP去做,由自己負(fù)責(zé)用戶的查驗、訪問權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。
□支持新興應(yīng)用
許多專用網(wǎng)對于許多新興應(yīng)用準(zhǔn)備不足,如那些要求高帶寬的多媒體和協(xié)作交互式應(yīng)用。VPN則可以支持各種高級的應(yīng)用,如IP語音,IP傳真,還有各種協(xié)議,如RSIP、IPv6、MPLS、SNMPv3等。
VPN自建外包總相宜
由于VPN低廉的使用成本和良好的安全性,許多大型企業(yè)及其分布在各地的辦事處或分支機(jī)構(gòu)成了VPN順理成章的用戶群。對于那些最需要VPN業(yè)務(wù)的中小企業(yè)來說,一樣有適合的VPN策略。當(dāng)然,不論何種VPN策略,它們都有一個基本目標(biāo):在提供與現(xiàn)有專用網(wǎng)絡(luò)基礎(chǔ)設(shè)施相當(dāng)或更高的管理性、可擴(kuò)展性以及簡單性的基礎(chǔ)之上,進(jìn)一步擴(kuò)展公司的網(wǎng)絡(luò)連接。
大型企業(yè)自建VPN
大型企業(yè)用戶由于有雄厚的資金投入做保證,可以自己建立VPN,將VPN設(shè)備安裝在其總部和分支機(jī)構(gòu)中,將各個機(jī)構(gòu)低成本而安全地連接在一起。
企業(yè)建立自己的VPN,最大的優(yōu)勢在于高控制性,尤其是基于安全基礎(chǔ)之上的控制。一個內(nèi)部VPN能使企業(yè)對所有的安全認(rèn)證、網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)訪問情況進(jìn)行控制,建立端到端的安全結(jié)構(gòu),集成和協(xié)調(diào)現(xiàn)有的內(nèi)部安全技術(shù),例如PKI。而且,企業(yè)還可根據(jù)用戶的需要來調(diào)整Internet的費(fèi)用、覆蓋面以及連接速度。
企業(yè)還可以確保得到業(yè)內(nèi)最好的技術(shù)以滿足自身的特殊需要,這要優(yōu)于ISP所提供的普通服務(wù)。而且,建立內(nèi)部VPN能使企業(yè)有效節(jié)省VPN的運(yùn)作費(fèi)用。企業(yè)可以節(jié)省用于外包管理設(shè)備的額外費(fèi)用,并且能將現(xiàn)有的遠(yuǎn)程訪問和站到站的網(wǎng)絡(luò)集成起來,以獲取最佳性價比的VPN。
雖然VPN外包能避免技術(shù)過時,但并不意味著企業(yè)可以節(jié)省開支。因為,企業(yè)最終還要為高額產(chǎn)品支付費(fèi)用,以作為使用新技術(shù)的代價。雖然VPN外包可以簡化企業(yè)網(wǎng)絡(luò)部署,但這同樣降低了企業(yè)對公司網(wǎng)的控制等級。網(wǎng)絡(luò)越大,企業(yè)就越依賴于外包VPN供應(yīng)商。因此,自建VPN是大型企業(yè)的最好選擇。
中小型企業(yè)外包VPN
雖然每個中小型企業(yè)都是相對集中和固定的,但是部門與部門之間、企業(yè)與其業(yè)務(wù)相關(guān)企業(yè)之間的聯(lián)系依然需要廉價而安全的信息溝通。在這種情況下,VPN同樣非常重要。但是,如果讓中小型企業(yè)購買VPN設(shè)備,財務(wù)成本較高。因此,對IT人員短缺、技能水平不足、資金能力有限、不足以支持VPN的中小型企業(yè)來說,外包是最好的選擇。
首先,VPN外包比企業(yè)自己動手建立VPN要快得多,也更為容易。
另一方面,外包VPN的可擴(kuò)展性很強(qiáng),易于企業(yè)管理。有統(tǒng)計表明,使用外包VPN方式的企業(yè),可以支持多于2300名用戶,而內(nèi)部VPN平均只能支持大約150名用戶。而且,隨著用戶數(shù)目的增長,對用于監(jiān)控、管理、提供IT資源和人力資源的要求也將呈指數(shù)增長。因此,VPN外包無疑是一種極具吸引力的方式。
另外,對可擴(kuò)展性、冗余性、可靠性和管理性來說,企業(yè)VPN必須將安全和性能結(jié)合在一起,然而,實(shí)際情況中兩者不能兼顧。例如,對安全加密級別的配置經(jīng)常降低VPN的整體性能。而通過提供VPN外包業(yè)務(wù)的專業(yè)ISP的統(tǒng)一管理,可大大提高VPN的性能和安全。ISP的VPN專家還可幫助企業(yè)進(jìn)行VPN決策。
對服務(wù)水平協(xié)議(SLA)的改進(jìn)和服務(wù)質(zhì)量(QoS)保證,為企業(yè)外包VPN方式提供了進(jìn)一步的保證。SLA可以提供網(wǎng)絡(luò)可用性、包丟失以及數(shù)據(jù)流的傳輸速度等方面的保證,并在不能滿足時,自動將其歸入企業(yè)賬戶。
