虛擬專(zhuān)用網(wǎng)(VPN)代表了當(dāng)今網(wǎng)絡(luò)發(fā)展的最新趨勢(shì),它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點(diǎn)(安全和 QoS)和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)(簡(jiǎn)單和低成本),能夠提供遠(yuǎn)程訪問(wèn),外部網(wǎng)和內(nèi)部網(wǎng)的連接,價(jià)格比專(zhuān)線或者幀中繼網(wǎng)絡(luò)要低得多。而且,VPN在降低成本的同時(shí)滿(mǎn)足了對(duì)網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求,因此,VPN必將成為未來(lái)企業(yè)傳輸業(yè)務(wù)的主要工具。
VPN是利用公網(wǎng)來(lái)構(gòu)建專(zhuān)用網(wǎng)絡(luò),它是通過(guò)特殊設(shè)計(jì)的硬件和軟件直接通過(guò)共享的IP網(wǎng)所建立的隧道來(lái)完成的。我們通常將 VPN當(dāng)作 WAN解決方案,但它也可以簡(jiǎn)單地用于 LAN。VPN類(lèi)似于點(diǎn)到點(diǎn)直接撥號(hào)連接或租用線路連接,盡管它是以交換和路由的方式工作,如圖所示。許多企業(yè)擔(dān)心在共享的 IP網(wǎng)絡(luò)上傳輸?shù)拿舾袛?shù)據(jù)會(huì)被網(wǎng)絡(luò)黑客截獲甚至修改。因此,在大多數(shù)情況下,在VPN上傳輸?shù)臄?shù)據(jù)流是經(jīng)過(guò)加密處理的。使用VPN,企業(yè)內(nèi)部資源享用者只需連入本地ISP的POP(介入服務(wù)提供點(diǎn))即可相互通信。而利用傳統(tǒng)的WAN組網(wǎng)技術(shù),彼此之間要有專(zhuān)線相連才可達(dá)到相同目的。有研究機(jī)構(gòu)表明,如果企業(yè)采用VPN替代租用DDN專(zhuān)線,其整個(gè)網(wǎng)絡(luò)的成本可節(jié)約21%-45%,若替代撥號(hào)連網(wǎng)方式,可節(jié)約通信成本50%-80%,VPN的優(yōu)勢(shì)顯而易見(jiàn)。
■VPN公網(wǎng)開(kāi)“隧道”
VPN的核心是被稱(chēng)為“隧道”的技術(shù)。隧道允許 VPN的數(shù)據(jù)流被路由通過(guò) IP網(wǎng)絡(luò)而不管生成該數(shù)據(jù)流的是何種類(lèi)型的網(wǎng)絡(luò)或設(shè)備。從這個(gè)意義上說(shuō),VPN的操作獨(dú)立于其他的網(wǎng)絡(luò)協(xié)議,隧道內(nèi)的數(shù)據(jù)流可以是IP、IPX、AppleTalk或其他類(lèi)型的數(shù)據(jù)包。
隧道技術(shù)的核心是隧道協(xié)議。由 3Com公司和 Microsoft公司合作開(kāi)發(fā)的點(diǎn)對(duì)點(diǎn)隧道協(xié)議 (PPTP)是第一個(gè)廣泛使用來(lái)建立 VPN的協(xié)議。目前,Windows 95、98和 NT 4.0都支持 PPTP,這就使絕大多數(shù)的桌面計(jì)算機(jī)可以初始化一個(gè) VPN。PPTP可以將其他類(lèi)型協(xié)議的數(shù)據(jù)包提取出來(lái),然后封裝在一個(gè)PPTP包中,這樣就可以支持客戶(hù)機(jī) - LAN(例如:移動(dòng)用戶(hù)到園區(qū) LAN)和 LAN - LAN(例如:銷(xiāo)售機(jī)構(gòu)到園區(qū) LAN)兩種隧道。
■VPN改造企業(yè)網(wǎng)
Internet服務(wù)提供商(ISP)和企業(yè)將是VPN的直接受益者。ISP將VPN作為一項(xiàng)增值業(yè)務(wù)推向企業(yè),并從企業(yè)得到回報(bào)。因此,VPN的最終目的是服務(wù)于企業(yè),為企業(yè)帶來(lái)可觀的經(jīng)濟(jì)效益,為現(xiàn)代化企業(yè)的信息共享提供安全可靠的途徑。
對(duì)于ISP來(lái)說(shuō),VPN提供了巨大商機(jī)。通過(guò)向企業(yè)提供VPN增值服務(wù),ISP可以與企業(yè)建立更加緊密的長(zhǎng)期合作關(guān)系,同時(shí)充分利用現(xiàn)有網(wǎng)絡(luò)資源,提高業(yè)務(wù)量。事實(shí)上,VPN用戶(hù)的數(shù)據(jù)流量較普通用戶(hù)大得多,而且時(shí)間上也是相互錯(cuò)開(kāi)的。VPN用戶(hù)通常是上班時(shí)間形成流量高峰,而普通用戶(hù)的流量高峰則在工作時(shí)間之外。同時(shí),VPN使ISP能夠經(jīng)濟(jì)地維持開(kāi)發(fā)客戶(hù)群、增加利潤(rùn)、提供增強(qiáng)服務(wù),如視頻會(huì)議、電子商務(wù)、IP電話(huà)、遠(yuǎn)程教學(xué)、多媒體商務(wù)應(yīng)用等等。
對(duì)于企業(yè)來(lái)說(shuō),VPN改造了傳統(tǒng)的企業(yè)網(wǎng),為企業(yè)進(jìn)一步發(fā)展提供了可靠的技術(shù)保障。
□VPN實(shí)現(xiàn)網(wǎng)絡(luò)安全
具有高度的安全性,對(duì)于現(xiàn)在的網(wǎng)絡(luò)是極其重要的。新的服務(wù)如在線銀行,在線交易都需要絕對(duì)的安全。VPN以多種方式增強(qiáng)了網(wǎng)絡(luò)的智能和安全性。首先,它在隧道的起點(diǎn),在現(xiàn)有的企業(yè)認(rèn)證服務(wù)器上,提供對(duì)分布用戶(hù)的認(rèn)證。另外,VPN支持安全和加密協(xié)議,如 Secure IP (IPsec)和 Microsoft點(diǎn)對(duì)點(diǎn)加密 (MPPE)。
IPsec所提供的安全是基于標(biāo)準(zhǔn)和可互操作的;MPPE使 Windows 95、98和 NT 4.0終端可以從全球任何地方進(jìn)行安全的通信。MPPE加密確保了數(shù)據(jù)的安全傳輸,并具有最小的公共密鑰開(kāi)銷(xiāo)。
□簡(jiǎn)化網(wǎng)絡(luò)設(shè)計(jì)
網(wǎng)絡(luò)管理者可以使用VPN替代租用線路來(lái)實(shí)現(xiàn)分支機(jī)構(gòu)的連接。這樣就可以將對(duì)遠(yuǎn)程鏈路進(jìn)行安裝、配置和管理的任務(wù)減少到最小,僅此一點(diǎn)就可以極大地簡(jiǎn)化企業(yè)廣域網(wǎng)的設(shè)計(jì)。另外,VPN通過(guò)撥號(hào)訪問(wèn)來(lái)自于 ISP或 NSP的外部服務(wù),減少了調(diào)制解調(diào)器池,簡(jiǎn)化了所需的接口,同時(shí)簡(jiǎn)化了與遠(yuǎn)程用戶(hù)認(rèn)證、授權(quán)和記賬相關(guān)的設(shè)備和處理。
□降低成本
許多技術(shù)承諾可以降低成本,但 VPN降低成本的方法是立即且顯著的,它可以降低:
移動(dòng)用戶(hù)通信成本:VPN可以通過(guò)減少長(zhǎng)途費(fèi)或800費(fèi)用來(lái)節(jié)省移動(dòng)用戶(hù)的花費(fèi)。
租用線路成本:VPN可以以每條連接 40%到 60%的成本對(duì)租用線路進(jìn)行控制和管理。對(duì)于國(guó)際用戶(hù)來(lái)說(shuō),這種節(jié)約是極為顯著的。對(duì)于話(huà)音數(shù)據(jù),節(jié)約金額會(huì)進(jìn)一步增加。
主要設(shè)備成本:VPN通過(guò)支持撥號(hào)訪問(wèn)外部資源,使企業(yè)可以減少不斷增長(zhǎng)的調(diào)制解調(diào)器費(fèi)用。另外,它還允許一個(gè)單一的 WAN接口服務(wù)多種目的,從分支網(wǎng)絡(luò)互連、商業(yè)伙伴的外連網(wǎng)終端,本地提供高帶寬的線路連接到撥號(hào)訪問(wèn)服務(wù)提供者。因此,只需要極少的 WAN接口和設(shè)備。由于 VPN是可以完全管理,并且能夠從中央網(wǎng)站進(jìn)行基于策略的控制,因此可以大幅度地減少在安裝配置遠(yuǎn)端網(wǎng)絡(luò)接口所需的設(shè)備上的開(kāi)銷(xiāo)。另外,由于 VPN獨(dú)立于初始的協(xié)議,這就使得遠(yuǎn)端的接入用戶(hù)可以繼續(xù)使用傳統(tǒng)的設(shè)備,保護(hù)了用戶(hù)在現(xiàn)有硬件和軟件系統(tǒng)上的投資。
□容易擴(kuò)展
如果企業(yè)想擴(kuò)大VPN的容量和覆蓋范圍,只需與新的ISP簽約,建立賬戶(hù);或者與原有的ISP重簽合約,擴(kuò)大服務(wù)范圍。在遠(yuǎn)程辦公室增加VPN能力也很簡(jiǎn)單:幾條命令就可以使Extranet路由器擁有Internet和VPN能力,路由器還能對(duì)工作站自動(dòng)進(jìn)行配置。
□易于建立商業(yè)伙伴
在過(guò)去,企業(yè)如果想與合作伙伴聯(lián)網(wǎng),雙方的信息技術(shù)部門(mén)就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路。有了VPN之后,這種協(xié)商已毫無(wú)必要,真正達(dá)到了要連就連、要斷就斷。這樣就可以迅速捕捉商業(yè)機(jī)會(huì),建立可靠的商業(yè)伙伴關(guān)系。
□完全控制主動(dòng)權(quán)
VPN使企業(yè)可以利用ISP的設(shè)施和服務(wù),同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。比方說(shuō),企業(yè)可以把撥號(hào)訪問(wèn)交給ISP去做,由自己負(fù)責(zé)用戶(hù)的查驗(yàn)、訪問(wèn)權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。
□支持新興應(yīng)用
許多專(zhuān)用網(wǎng)對(duì)于許多新興應(yīng)用準(zhǔn)備不足,如那些要求高帶寬的多媒體和協(xié)作交互式應(yīng)用。VPN則可以支持各種高級(jí)的應(yīng)用,如IP語(yǔ)音,IP傳真,還有各種協(xié)議,如RSIP、IPv6、MPLS、SNMPv3等。
VPN自建外包總相宜
由于VPN低廉的使用成本和良好的安全性,許多大型企業(yè)及其分布在各地的辦事處或分支機(jī)構(gòu)成了VPN順理成章的用戶(hù)群。對(duì)于那些最需要VPN業(yè)務(wù)的中小企業(yè)來(lái)說(shuō),一樣有適合的VPN策略。當(dāng)然,不論何種VPN策略,它們都有一個(gè)基本目標(biāo):在提供與現(xiàn)有專(zhuān)用網(wǎng)絡(luò)基礎(chǔ)設(shè)施相當(dāng)或更高的管理性、可擴(kuò)展性以及簡(jiǎn)單性的基礎(chǔ)之上,進(jìn)一步擴(kuò)展公司的網(wǎng)絡(luò)連接。
大型企業(yè)自建VPN
大型企業(yè)用戶(hù)由于有雄厚的資金投入做保證,可以自己建立VPN,將VPN設(shè)備安裝在其總部和分支機(jī)構(gòu)中,將各個(gè)機(jī)構(gòu)低成本而安全地連接在一起。
企業(yè)建立自己的VPN,最大的優(yōu)勢(shì)在于高控制性,尤其是基于安全基礎(chǔ)之上的控制。一個(gè)內(nèi)部VPN能使企業(yè)對(duì)所有的安全認(rèn)證、網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)訪問(wèn)情況進(jìn)行控制,建立端到端的安全結(jié)構(gòu),集成和協(xié)調(diào)現(xiàn)有的內(nèi)部安全技術(shù),例如PKI。而且,企業(yè)還可根據(jù)用戶(hù)的需要來(lái)調(diào)整Internet的費(fèi)用、覆蓋面以及連接速度。
企業(yè)還可以確保得到業(yè)內(nèi)最好的技術(shù)以滿(mǎn)足自身的特殊需要,這要優(yōu)于ISP所提供的普通服務(wù)。而且,建立內(nèi)部VPN能使企業(yè)有效節(jié)省VPN的運(yùn)作費(fèi)用。企業(yè)可以節(jié)省用于外包管理設(shè)備的額外費(fèi)用,并且能將現(xiàn)有的遠(yuǎn)程訪問(wèn)和站到站的網(wǎng)絡(luò)集成起來(lái),以獲取最佳性?xún)r(jià)比的VPN。
雖然VPN外包能避免技術(shù)過(guò)時(shí),但并不意味著企業(yè)可以節(jié)省開(kāi)支。因?yàn)椋髽I(yè)最終還要為高額產(chǎn)品支付費(fèi)用,以作為使用新技術(shù)的代價(jià)。雖然VPN外包可以簡(jiǎn)化企業(yè)網(wǎng)絡(luò)部署,但這同樣降低了企業(yè)對(duì)公司網(wǎng)的控制等級(jí)。網(wǎng)絡(luò)越大,企業(yè)就越依賴(lài)于外包VPN供應(yīng)商。因此,自建VPN是大型企業(yè)的最好選擇。
中小型企業(yè)外包VPN
雖然每個(gè)中小型企業(yè)都是相對(duì)集中和固定的,但是部門(mén)與部門(mén)之間、企業(yè)與其業(yè)務(wù)相關(guān)企業(yè)之間的聯(lián)系依然需要廉價(jià)而安全的信息溝通。在這種情況下,VPN同樣非常重要。但是,如果讓中小型企業(yè)購(gòu)買(mǎi)VPN設(shè)備,財(cái)務(wù)成本較高。因此,對(duì)IT人員短缺、技能水平不足、資金能力有限、不足以支持VPN的中小型企業(yè)來(lái)說(shuō),外包是最好的選擇。
首先,VPN外包比企業(yè)自己動(dòng)手建立VPN要快得多,也更為容易。
另一方面,外包VPN的可擴(kuò)展性很強(qiáng),易于企業(yè)管理。有統(tǒng)計(jì)表明,使用外包VPN方式的企業(yè),可以支持多于2300名用戶(hù),而內(nèi)部VPN平均只能支持大約150名用戶(hù)。而且,隨著用戶(hù)數(shù)目的增長(zhǎng),對(duì)用于監(jiān)控、管理、提供IT資源和人力資源的要求也將呈指數(shù)增長(zhǎng)。因此,VPN外包無(wú)疑是一種極具吸引力的方式。
另外,對(duì)可擴(kuò)展性、冗余性、可靠性和管理性來(lái)說(shuō),企業(yè)VPN必須將安全和性能結(jié)合在一起,然而,實(shí)際情況中兩者不能兼顧。例如,對(duì)安全加密級(jí)別的配置經(jīng)常降低VPN的整體性能。而通過(guò)提供VPN外包業(yè)務(wù)的專(zhuān)業(yè)ISP的統(tǒng)一管理,可大大提高VPN的性能和安全。ISP的VPN專(zhuān)家還可幫助企業(yè)進(jìn)行VPN決策。
對(duì)服務(wù)水平協(xié)議(SLA)的改進(jìn)和服務(wù)質(zhì)量(QoS)保證,為企業(yè)外包VPN方式提供了進(jìn)一步的保證。SLA可以提供網(wǎng)絡(luò)可用性、包丟失以及數(shù)據(jù)流的傳輸速度等方面的保證,并在不能滿(mǎn)足時(shí),自動(dòng)將其歸入企業(yè)賬戶(hù)。
