| 中小型網絡如何選擇VPN的解決方案 |
| 日期:2009/4/18 瀏覽次數(shù):1403 |
VPN是一項非常復雜的網絡技術,組建VPN要涉及的因素很多。下面主要針對中小型網絡介紹如何選擇VPN的解決方案。 是自建VPN還是外包VPN? 實際應用中,用戶首先面臨的選擇是自建VPN網絡,還是直接外包VPN服務。 自建VPN與外包VPN服務的比較 自建VPN的好處是VPN獨立于運營商,用戶可直接控制VPN網絡。缺點是技術復雜,需要專業(yè)人員實施,組建成本高,特別是服務質量難以保證。 用戶將VPN網絡外包給運營商,由專業(yè)的運營商根據(jù)用戶需求提供一整套的VPN解決方案,這種外包方式是實現(xiàn)VPN的捷徑,組網便捷,可以減少組建、運行和維護VPN的費用,讓用戶把更多的精力投入到自身業(yè)務中,而且運營商能提供對服務水平協(xié)議(SLA)的改進和服務質量(00S)保證。 用戶所做的往往只是選擇合適的租用方式,從服務提供商或增值銷售商處獲得客戶端設備,即可使用自己的VPN網絡。外包有兩種方式,一種是直接租用VPN服務,另一種是委托專業(yè)公司(通常是電信運營商或ISP)來設計和組建VPN。 對兩種方式選擇的建議 究竟選擇哪種方式,需要根據(jù)用戶對安全的要求和客觀環(huán)境來決定。外包是實現(xiàn)VPN的捷徑,也是企業(yè)的首選方案,因為它方便易行,對自身的技術水平要求低,而且成本更低。在北美和歐洲,VPN服務已經相對成熟,并且普遍被企業(yè)用戶所接受。 在國內,目前提供VPN業(yè)務的主要是幾大電信運營商,如中國電信、中國聯(lián)通、中國網通和中國移動等,還有一些運營服務提供商,如中企通信、首創(chuàng)網絡和Unihub等。在選擇外包業(yè)務的時候,應針對自己的業(yè)務需求,從技術水平、服務品質和綜合實力等多個方面考慮,挑選合適的運營商。 如果企業(yè)規(guī)模大,分支機構多,分布地域廣,對網絡擴展性、安全性和帶寬要求高,除數(shù)據(jù)業(yè)務外,還希望獲得語音、視頻方面的增值服務,就應首選MPLS VPN服務。目前中國電信、中國聯(lián)通、中國網通和中企通信等都提供覆蓋全國的MPLS VPN服務。 對于以國際線路連接為主的國際型客戶(如國外企業(yè)駐中國機構、在海外有分支機構的國內企業(yè),以及外商投資中小型企業(yè))來說,可考慮租用幀中繼VPN服務,中國網通就提供這種服務。一些運營商還提供IPSec VPN服務,中小企業(yè)可考慮選擇這種服務,只是這種技術的服務質量難以得到保證,不適用于實時業(yè)務要求高的應用。 然而,國內提供的VPN客戶服務類型偏少,目前,運營商主要面向大企業(yè)客戶市場,缺乏針對中小企業(yè)的解決方案。如果沒有專業(yè)人員,那么中小企業(yè)可委托ISP、經營VPN產品和服務的商家、網絡工程和系統(tǒng)集成公司等來幫助自己組建VPN。 遇到以下情況,用戶往往選擇自建VPN。 ① 資金充足,擁有相當?shù)膶I(yè)技術力量,而且在安全性、服務質量等方面對網絡有特殊的要求的大型行業(yè)客戶(如一些銀行、證券企業(yè)擁有大量的核心機密信息),需要自行控制VPN網絡,往往會選擇自建VPN。 ② 規(guī)模很小,對實時業(yè)務要求不高的中小型VPN網絡。 ③ 在本地(同城)建立的中小型VPN網絡。 ④ 內部網中自建VPN部門網的情況。 ⑤ 服務商不能提供合適的解決方案。 下面我們將主要介紹針對中小型VPN網絡的解決方案。 自建VPN,既可以選擇硬件VPN方案,也可以選擇軟件VPN方案。由于VPN的加密傳輸機制需要消耗系統(tǒng)性能,硬件VPN將加密和解密置于高速的硬件中,提供了較好的性能,硬件VPN可以提供強大的物理和邏輯安全,更好地防止了非法入侵,同時配置和操作也更為簡單。一般情況下,硬件方案的價格比較高。對于中小型網絡應用來說,網絡規(guī)模不大,選擇面向中小企業(yè)或小型辦公室的VPN產品還是非常劃算的。 1、VPN硬件方案 可選的VPN硬件產品主要有帶有VPN功能的防火墻、路由器或專用VPN硬件設備。在防火墻中集成VPN是比較流行的解決方案。許多企業(yè)網絡都要通過防火墻來連接Internet,讓防火墻直接支持VPN是一種不錯的選擇,這樣可以將防火墻的安全策略和VPN隧道控制結合起來,便于集中管理。 這種組合應用可能會影響性能,加密處理的系統(tǒng)開銷比較大。路由器是一種最常用網絡邊界設備,在路由器上集成VPN也比較實用。只是與基于防火墻的VPN相比,總體安全性要差一些。也有許多防火墻和路由器不集成VPN功能,這就需要選擇專用的VPN產品。 隨著中小企業(yè)信息化程度的提高和寬帶網的興起,VPN不再是大中型企業(yè)的專利,越來越多的中小企業(yè)需要采用VPN技術實現(xiàn)局域網遠程互聯(lián)和遠程用戶的接入訪問。許多廠商都針對中小企業(yè)或大型企業(yè)分支機構提供了高性價比的VPN產品。 此類VPN產品多為集成VPN的防火墻、VPN路由器,有時稱為“安全路由器”或“訪問路由器”,性價比非常高,且支持多種寬帶接入方式,還提供方便的管理工具,支持主流的VPN協(xié)議。 例如,Cisco 1700系列訪問路由器、NETGEAR FVL328、NetScreen-50、Vigor系列路由器。許多VPN產品還支持動態(tài)IP地址接入方式,對于采用ADSL連接的許多中小型企業(yè)來說,非常有用。由于此類產品非常豐富,這里就不做進一步介紹了。 VPN軟件方案 軟件VPN方案的價格低廉,且更具靈活性,如提供更加方便的用戶管理,便于升級等。但是,在性能、安全性、可靠性以及安裝和管理的便捷性等方面,軟件方案都不如硬件方案。軟件VPN方案適用于安全要求相對較低、規(guī)模較小的網絡,能滿足許多中小企業(yè)的聯(lián)網業(yè)務需求。基于軟件的產品有很多,從單一的IPSec軟件到加入現(xiàn)有路由器、網關和防火墻中的各種數(shù)據(jù)封裝產品。 軟件VPN一般都采用Windows操作系統(tǒng),硬件VPN一般采用專用操作系統(tǒng)來實現(xiàn)的。Windows設計上就是桌面辦公系統(tǒng),如果采用windows sever系統(tǒng)來說,需要消耗大量的硬件資源。 軟件VPN采用Windows系統(tǒng)作為系統(tǒng)的根基,其可靠性取決于安裝這個軟件的PC機。這在一定程度上說明了軟件VPN的可靠性是不可控制的。而且依賴于Windows系統(tǒng),系統(tǒng)其他的軟件導致的沖突或者資源占用的情況也會對VPN的可靠性帶來影響。Windows 除內核外還包括用戶界面 (UI) 以及大量的應用軟件,這些大量的軟件、GUI等都會可能導致更多的 Windows 技術漏洞。 實際上目前許多中小型VPN解決方案都是軟硬結合的,以現(xiàn)有網絡設備為基礎,再配以適當?shù)腣PN 軟件來實現(xiàn)VPN。 微軟的VPN解決方案 在純軟件VPN解決方案,最為常見的就是微軟的解決方案。微軟首先在其網絡操作系統(tǒng)Windows NT Server 4.0中開始引入PPTP。在NT 4.0中首次推出的PPTP雖然出現(xiàn)了嚴重的安全問題,但問題并非源于PPTP協(xié)議本身,而是微軟對這個協(xié)議的實現(xiàn)帶有許多缺陷。 當然微軟對此進行了重新修改。接著微軟推出了路由與遠程訪問服務(簡稱RRAS),作為Windows NT Server 4.0的免費組件,進一步完善了PPTP協(xié)議的實現(xiàn)方案,支持請求撥號路由,并提供基于圖形界面的管理工具。 微軟的Windows 2000/2003則集成了路由和遠程訪問服務,不再局限于微軟自己的標準,而是全面支持IETF標準,包括主流的VPN解決方案L2TP和IPSec,可實現(xiàn)跨平臺的VPN組網方案。 在Windows 2000/2003服務器版本中,已將PPTP和L2TP服務器都納入路由和遠程訪問服務組件進行統(tǒng)一配置和管理,使得實現(xiàn)VPN方案變得更加容易。Windows 2000/XP的IPSec基于策略進行配置和管理,支持傳輸模式和隧道模式。當然,最新的網絡操作系統(tǒng)Windows.NET Server也支持這些新特性。 至于VPN客戶端解決方案,Windows 95/98/Me、Windows NT/2000和Windows XP都支持PPTP客戶端。以前只有Windows 2000和Windows XP支持L2TP和IPSec,現(xiàn)在微軟的L2TP/IPSec客戶端不再局限于Windows 2000/XP,最新發(fā)布的Microsoft L2TP/IPSec VPN Client軟件包,使得運行Windows 98/Me/NT的計算機,都可以創(chuàng)建L2TP/IPSec遠程訪問連接。 微軟的Windows 2000/XP、Windows.NET Server充分利用Active Directory特性來簡化VPN布置和管理。 需要注意的是,Windows操作系統(tǒng)并不是一個專業(yè)的VPN支持系統(tǒng),因此在很多方面都可能存在著漏洞和不足。很多公司都在致力于VPN的數(shù)據(jù)加密和系統(tǒng)的開發(fā),并有自己的產品。要構建一個真正的高安全性的VPN,還是應該使用VPN專業(yè)產品。 |
| 關閉 |