隨著網絡
尤其是網絡經濟的發展
企業規模日益擴大
客戶分布日益廣泛
合作伙伴日益增多
傳統企業網基於固定地點的專線連接方式
已難以適應現代企業的需求
於是企業在自身網絡的靈活性
安全性
經濟性
擴展性等方面提出了更高的要求
虛擬專用網(VPN)以其獨具特色的優勢
贏得了越來越多的企業的青睐
令企業可以較少地關注網絡的運行與維護
更多地致力於企業商業目標的實現
虛擬專用網(VPN)代表了當今網絡發展的最新趨勢
它綜合了傳統數據網絡的性能優點(安全和 QoS)和共享數據網絡結構的優點(簡單和低成本)
能夠提供遠程訪問
外部網和內部網的連接
價格比專線或者幀中繼網絡要低得多
而且
VPN在降低成本的同時滿足了對網絡帶寬
接入和服務不斷增加的需求
因此
VPN必將成為未來企業傳輸業務的主要工具
VPN是利用公網來構建專用網絡
它是通過特殊設計的硬件和軟件直接通過共享的IP網所建立的隧道來完成的
我們通常將 VPN當作 WAN解決方案
但它也可以簡單地用於 LAN
VPN類似於點到點直接撥號連接或租用線路連接
盡管它是以交換和路由的方式工作
如圖所示
許多企業擔心在共享的 IP網絡上傳輸的敏感數據會被網絡黑客截獲甚至修改
因此
在大多數情況下
在VPN上傳輸的數據流是經過加密處理的
使用VPN
企業內部資源享用者只需連入本地ISP的POP(介入服務提供點)即可相互通信
而利用傳統的WAN組網技術
彼此之間要有專線相連才可達到相同目的
有研究機構表明
如果企業采用VPN替代租用DDN專線
其整個網絡的成本可節約
%
%
若替代撥號連網方式
可節約通信成本
%
%
VPN的優勢顯而易見
■VPN公網開
隧道
VPN的核心是被稱為
隧道
的技術
隧道允許 VPN的數據流被路由通過 IP網絡而不管生成該數據流的是何種類型的網絡或設備
從這個意義上說
VPN的操作獨立於其他的網絡協議
隧道內的數據流可以是IP
IPX
AppleTalk或其他類型的數據包
隧道技術的核心是隧道協議
由
Com公司和 Microsoft公司合作開發的點對點隧道協議 (PPTP)是第一個廣泛使用來建立 VPN的協議
目前
Windows
和 NT
都支持 PPTP
這就使絕大多數的桌面計算機可以初始化一個 VPN
PPTP可以將其他類型協議的數據包提取出來
然後封裝在一個PPTP包中
這樣就可以支持客戶機
LAN(例如
移動用戶到園區 LAN)和 LAN
LAN(例如
銷售機構到園區 LAN)兩種隧道
■VPN改造企業網
Internet服務提供商(ISP)和企業將是VPN的直接受益者
ISP將VPN作為一項增值業務推向企業
並從企業得到回報
因此
VPN的最終目的是服務於企業
為企業帶來可觀的經濟效益
為現代化企業的信息共享提供安全可靠的途徑
對於ISP來說
VPN提供了巨大商機
通過向企業提供VPN增值服務
ISP可以與企業建立更加緊密的長期合作關系
同時充分利用現有網絡資源
提高業務量
事實上
VPN用戶的數據流量較普通用戶大得多
而且時間上也是相互錯開的
VPN用戶通常是上班時間形成流量高峰
而普通用戶的流量高峰則在工作時間之外
同時
VPN使ISP能夠經濟地維持開發客戶群
增加利潤
提供增強服務
如視頻會議
電子商務
IP電話
遠程教學
多媒體商務應用等等
對於企業來說
VPN改造了傳統的企業網
為企業進一步發展提供了可靠的技術保障
□VPN實現網絡安全
具有高度的安全性
對於現在的網絡是極其重要的
新的服務如在線銀行
在線交易都需要絕對的安全
VPN以多種方式增強了網絡的智能和安全性
首先
它在隧道的起點
在現有的企業認證服務器上
提供對分布用戶的認證
另外
VPN支持安全和加密協議
如 Secure IP (IPsec)和 Microsoft點對點加密 (MPPE)
IPsec所提供的安全是基於標准和可互操作的
MPPE使 Windows
和 NT
終端可以從全球任何地方進行安全的通信
MPPE加密確保了數據的安全傳輸
並具有最小的公共密鑰開銷
□簡化網絡設計
網絡管理者可以使用VPN替代租用線路來實現分支機構的連接
這樣就可以將對遠程鏈路進行安裝
配置和管理的任務減少到最小
僅此一點就可以極大地簡化企業廣域網的設計
另外
VPN通過撥號訪問來自於 ISP或 NSP的外部服務
減少了調制解調器池
簡化了所需的接口
同時簡化了與遠程用戶認證
授權和記賬相關的設備和處理
□降低成本
許多技術承諾可以降低成本
但 VPN降低成本的方法是立即且顯著的
它可以降低
移動用戶通信成本
VPN可以通過減少長途費或
費用來節省移動用戶的花費
租用線路成本
VPN可以以每條連接
%到
%的成本對租用線路進行控制和管理
對於國際用戶來說
這種節約是極為顯著的
對於話音數據
節約金額會進一步增加
主要設備成本
VPN通過支持撥號訪問外部資源
使企業可以減少不斷增長的調制解調器費用
另外
它還允許一個單一的 WAN接口服務多種目的
從分支網絡互連
商業伙伴的外連網終端
本地提供高帶寬的線路連接到撥號訪問服務提供者
因此
只需要極少的 WAN接口和設備
由於 VPN是可以完全管理
並且能夠從中央網站進行基於策略的控制
因此可以大幅度地減少在安裝配置遠端網絡接口所需的設備上的開銷
另外
由於 VPN獨立於初始的協議
這就使得遠端的接入用戶可以繼續使用傳統的設備
保護了用戶在現有硬件和軟件系統上的投資
□容易擴展
如果企業想擴大VPN的容量和覆蓋范圍
只需與新的ISP簽約
建立賬戶
或者與原有的ISP重簽合約
擴大服務范圍
在遠程辦公室增加VPN能力也很簡單
幾條命令就可以使Extranet路由器擁有Internet和VPN能力
路由器還能對工作站自動進行配置
□易於建立商業伙伴
在過去
企業如果想與合作伙伴聯網
雙方的信息技術部門就必須協商如何在雙方之間建立租用線路或幀中繼線路
有了VPN之後
這種協商已毫無必要
真正達到了要連就連
要斷就斷
這樣就可以迅速捕捉商業機會
建立可靠的商業伙伴關系
□完全控制主動權
VPN使企業可以利用ISP的設施和服務
同時又完全掌握著自己網絡的控制權
比方說
企業可以把撥號訪問交給ISP去做
由自己負責用戶的查驗
訪問權
網絡地址
安全性和網絡變化管理等重要工作
□支持新興應用
許多專用網對於許多新興應用准備不足
如那些要求高帶寬的多媒體和協作交互式應用
VPN則可以支持各種高級的應用
如IP語音
IP傳真
還有各種協議
如RSIP
IPv
MPLS
SNMPv
等
VPN自建外包總相宜
由於VPN低廉的使用成本和良好的安全性
許多大型企業及其分布在各地的辦事處或分支機構成了VPN順理成章的用戶群
對於那些最需要VPN業務的中小企業來說
一樣有適合的VPN策略
當然
不論何種VPN策略
它們都有一個基本目標
在提供與現有專用網絡基礎設施相當或更高的管理性
可擴展性以及簡單性的基礎之上
進一步擴展公司的網絡連接
大型企業自建VPN
大型企業用戶由於有雄厚的資金投入做保證
可以自己建立VPN
將VPN設備安裝在其總部和分支機構中
將各個機構低成本而安全地連接在一起
企業建立自己的VPN
最大的優勢在於高控制性
尤其是基於安全基礎之上的控制
一個內部VPN能使企業對所有的安全認證
網絡系統以及網絡訪問情況進行控制
建立端到端的安全結構
集成和協調現有的內部安全技術
例如PKI
而且
企業還可根據用戶的需要來調整Internet的費用
覆蓋面以及連接速度
企業還可以確保得到業內最好的技術以滿足自身的特殊需要
這要優於ISP所提供的普通服務
而且
建立內部VPN能使企業有效節省VPN的運作費用
企業可以節省用於外包管理設備的額外費用
並且能將現有的遠程訪問和站到站的網絡集成起來
以獲取最佳性價比的VPN
雖然VPN外包能避免技術過時
但並不意味著企業可以節省開支
因為
企業最終還要為高額產品支付費用
以作為使用新技術的代價
雖然VPN外包可以簡化企業網絡部署
但這同樣降低了企業對公司網的控制等級
網絡越大
企業就越依賴於外包VPN供應商
因此
自建VPN是大型企業的最好選擇
中小型企業外包VPN
雖然每個中小型企業都是相對集中和固定的
但是部門與部門之間
企業與其業務相關企業之間的聯系依然需要廉價而安全的信息溝通
在這種情況下
VPN同樣非常重要
但是
如果讓中小型企業購買VPN設備
財務成本較高
因此
對IT人員短缺
技能水平不足
資金能力有限
不足以支持VPN的中小型企業來說
外包是最好的選擇
首先
VPN外包比企業自己動手建立VPN要快得多
也更為容易
另一方面
外包VPN的可擴展性很強
易於企業管理
有統計表明
使用外包VPN方式的企業
可以支持多於
名用戶
而內部VPN平均只能支持大約
名用戶
而且
隨著用戶數目的增長
對用於監控
管理
提供IT資源和人力資源的要求也將呈指數增長
因此
VPN外包無疑是一種極具吸引力的方式
另外
對可擴展性
冗余性
可靠性和管理性來說
企業VPN必須將安全和性能結合在一起
然而
實際情況中兩者不能兼顧
例如
對安全加密級別的配置經常降低VPN的整體性能
而通過提供VPN外包業務的專業ISP的統一管理
可大大提高VPN的性能和安全
ISP的VPN專家還可幫助企業進行VPN決策
對服務水平協議(SLA)的改進和服務質量(QoS)保證
為企業外包VPN方式提供了進一步的保證
SLA可以提供網絡可用性
包丟失以及數據流的傳輸速度等方面的保證
並在不能滿足時
自動將其歸入企業賬戶
VPN目前正處在完善的過程中
今後的發展主要體現在以下幾個方面:
擴充網絡裝置
在今後幾年內
VPN將增加目錄服務器
即裝載最終用戶建檔和網絡配置數據的存儲庫
它
From:http://tw.wingwit.com/Article/Network/201311/30001.html
