| 中小型網(wǎng)絡(luò)如何選擇VPN的解決方案 |
| 日期:2009/4/18 瀏覽次數(shù):1403 |
VPN是一項非常復(fù)雜的網(wǎng)絡(luò)技術(shù),組建VPN要涉及的因素很多,。下面主要針對中小型網(wǎng)絡(luò)介紹如何選擇VPN的解決方案,。 是自建VPN還是外包VPN,? 實際應(yīng)用中,用戶首先面臨的選擇是自建VPN網(wǎng)絡(luò),,還是直接外包VPN服務(wù),。 自建VPN與外包VPN服務(wù)的比較 自建VPN的好處是VPN獨立于運營商,用戶可直接控制VPN網(wǎng)絡(luò),。缺點是技術(shù)復(fù)雜,,需要專業(yè)人員實施,組建成本高,,特別是服務(wù)質(zhì)量難以保證,。 用戶將VPN網(wǎng)絡(luò)外包給運營商,由專業(yè)的運營商根據(jù)用戶需求提供一整套的VPN解決方案,,這種外包方式是實現(xiàn)VPN的捷徑,,組網(wǎng)便捷,可以減少組建,、運行和維護VPN的費用,,讓用戶把更多的精力投入到自身業(yè)務(wù)中,而且運營商能提供對服務(wù)水平協(xié)議(SLA)的改進和服務(wù)質(zhì)量(00S)保證,。 用戶所做的往往只是選擇合適的租用方式,,從服務(wù)提供商或增值銷售商處獲得客戶端設(shè)備,即可使用自己的VPN網(wǎng)絡(luò),。外包有兩種方式,,一種是直接租用VPN服務(wù),另一種是委托專業(yè)公司(通常是電信運營商或ISP)來設(shè)計和組建VPN,。 對兩種方式選擇的建議 究竟選擇哪種方式,,需要根據(jù)用戶對安全的要求和客觀環(huán)境來決定。外包是實現(xiàn)VPN的捷徑,,也是企業(yè)的首選方案,,因為它方便易行,對自身的技術(shù)水平要求低,,而且成本更低,。在北美和歐洲,VPN服務(wù)已經(jīng)相對成熟,,并且普遍被企業(yè)用戶所接受,。 在國內(nèi),目前提供VPN業(yè)務(wù)的主要是幾大電信運營商,,如中國電信,、中國聯(lián)通、中國網(wǎng)通和中國移動等,還有一些運營服務(wù)提供商,,如中企通信,、首創(chuàng)網(wǎng)絡(luò)和Unihub等。在選擇外包業(yè)務(wù)的時候,,應(yīng)針對自己的業(yè)務(wù)需求,,從技術(shù)水平、服務(wù)品質(zhì)和綜合實力等多個方面考慮,,挑選合適的運營商,。 如果企業(yè)規(guī)模大,分支機構(gòu)多,,分布地域廣,,對網(wǎng)絡(luò)擴展性、安全性和帶寬要求高,,除數(shù)據(jù)業(yè)務(wù)外,,還希望獲得語音、視頻方面的增值服務(wù),,就應(yīng)首選MPLS VPN服務(wù),。目前中國電信、中國聯(lián)通,、中國網(wǎng)通和中企通信等都提供覆蓋全國的MPLS VPN服務(wù),。 對于以國際線路連接為主的國際型客戶(如國外企業(yè)駐中國機構(gòu)、在海外有分支機構(gòu)的國內(nèi)企業(yè),,以及外商投資中小型企業(yè))來說,,可考慮租用幀中繼VPN服務(wù),中國網(wǎng)通就提供這種服務(wù),。一些運營商還提供IPSec VPN服務(wù),,中小企業(yè)可考慮選擇這種服務(wù),只是這種技術(shù)的服務(wù)質(zhì)量難以得到保證,,不適用于實時業(yè)務(wù)要求高的應(yīng)用,。 然而,國內(nèi)提供的VPN客戶服務(wù)類型偏少,,目前,,運營商主要面向大企業(yè)客戶市場,缺乏針對中小企業(yè)的解決方案,。如果沒有專業(yè)人員,,那么中小企業(yè)可委托ISP、經(jīng)營VPN產(chǎn)品和服務(wù)的商家,、網(wǎng)絡(luò)工程和系統(tǒng)集成公司等來幫助自己組建VPN,。 遇到以下情況,,用戶往往選擇自建VPN,。 ① 資金充足,,擁有相當?shù)膶I(yè)技術(shù)力量,而且在安全性,、服務(wù)質(zhì)量等方面對網(wǎng)絡(luò)有特殊的要求的大型行業(yè)客戶(如一些銀行,、證券企業(yè)擁有大量的核心機密信息),需要自行控制VPN網(wǎng)絡(luò),,往往會選擇自建VPN,。 ② 規(guī)模很小,對實時業(yè)務(wù)要求不高的中小型VPN網(wǎng)絡(luò),。 ③ 在本地(同城)建立的中小型VPN網(wǎng)絡(luò),。 ④ 內(nèi)部網(wǎng)中自建VPN部門網(wǎng)的情況。 ⑤ 服務(wù)商不能提供合適的解決方案,。 下面我們將主要介紹針對中小型VPN網(wǎng)絡(luò)的解決方案,。 自建VPN,,既可以選擇硬件VPN方案,也可以選擇軟件VPN方案,。由于VPN的加密傳輸機制需要消耗系統(tǒng)性能,,硬件VPN將加密和解密置于高速的硬件中,,提供了較好的性能,硬件VPN可以提供強大的物理和邏輯安全,,更好地防止了非法入侵,,同時配置和操作也更為簡單。一般情況下,,硬件方案的價格比較高,。對于中小型網(wǎng)絡(luò)應(yīng)用來說,網(wǎng)絡(luò)規(guī)模不大,,選擇面向中小企業(yè)或小型辦公室的VPN產(chǎn)品還是非常劃算的,。 1、VPN硬件方案 可選的VPN硬件產(chǎn)品主要有帶有VPN功能的防火墻,、路由器或?qū)S肰PN硬件設(shè)備,。在防火墻中集成VPN是比較流行的解決方案。許多企業(yè)網(wǎng)絡(luò)都要通過防火墻來連接Internet,,讓防火墻直接支持VPN是一種不錯的選擇,,這樣可以將防火墻的安全策略和VPN隧道控制結(jié)合起來,便于集中管理。 這種組合應(yīng)用可能會影響性能,,加密處理的系統(tǒng)開銷比較大,。路由器是一種最常用網(wǎng)絡(luò)邊界設(shè)備,在路由器上集成VPN也比較實用,。只是與基于防火墻的VPN相比,,總體安全性要差一些。也有許多防火墻和路由器不集成VPN功能,,這就需要選擇專用的VPN產(chǎn)品,。 隨著中小企業(yè)信息化程度的提高和寬帶網(wǎng)的興起,VPN不再是大中型企業(yè)的專利,,越來越多的中小企業(yè)需要采用VPN技術(shù)實現(xiàn)局域網(wǎng)遠程互聯(lián)和遠程用戶的接入訪問,。許多廠商都針對中小企業(yè)或大型企業(yè)分支機構(gòu)提供了高性價比的VPN產(chǎn)品。 此類VPN產(chǎn)品多為集成VPN的防火墻,、VPN路由器,,有時稱為“安全路由器”或“訪問路由器”,性價比非常高,,且支持多種寬帶接入方式,,還提供方便的管理工具,支持主流的VPN協(xié)議,。 例如,,Cisco 1700系列訪問路由器、NETGEAR FVL328,、NetScreen-50,、Vigor系列路由器。許多VPN產(chǎn)品還支持動態(tài)IP地址接入方式,,對于采用ADSL連接的許多中小型企業(yè)來說,非常有用,。由于此類產(chǎn)品非常豐富,,這里就不做進一步介紹了。 VPN軟件方案 軟件VPN方案的價格低廉,,且更具靈活性,如提供更加方便的用戶管理,,便于升級等,。但是,,在性能,、安全性、可靠性以及安裝和管理的便捷性等方面,,軟件方案都不如硬件方案,。軟件VPN方案適用于安全要求相對較低、規(guī)模較小的網(wǎng)絡(luò),,能滿足許多中小企業(yè)的聯(lián)網(wǎng)業(yè)務(wù)需求,。基于軟件的產(chǎn)品有很多,,從單一的IPSec軟件到加入現(xiàn)有路由器、網(wǎng)關(guān)和防火墻中的各種數(shù)據(jù)封裝產(chǎn)品,。 軟件VPN一般都采用Windows操作系統(tǒng),,硬件VPN一般采用專用操作系統(tǒng)來實現(xiàn)的,。Windows設(shè)計上就是桌面辦公系統(tǒng),如果采用windows sever系統(tǒng)來說,,需要消耗大量的硬件資源。 軟件VPN采用Windows系統(tǒng)作為系統(tǒng)的根基,,其可靠性取決于安裝這個軟件的PC機,。這在一定程度上說明了軟件VPN的可靠性是不可控制的。而且依賴于Windows系統(tǒng),,系統(tǒng)其他的軟件導(dǎo)致的沖突或者資源占用的情況也會對VPN的可靠性帶來影響。Windows 除內(nèi)核外還包括用戶界面 (UI) 以及大量的應(yīng)用軟件,,這些大量的軟件、GUI等都會可能導(dǎo)致更多的 Windows 技術(shù)漏洞,。 實際上目前許多中小型VPN解決方案都是軟硬結(jié)合的,,以現(xiàn)有網(wǎng)絡(luò)設(shè)備為基礎(chǔ),,再配以適當?shù)腣PN 軟件來實現(xiàn)VPN。 微軟的VPN解決方案 在純軟件VPN解決方案,,最為常見的就是微軟的解決方案,。微軟首先在其網(wǎng)絡(luò)操作系統(tǒng)Windows NT Server 4.0中開始引入PPTP。在NT 4.0中首次推出的PPTP雖然出現(xiàn)了嚴重的安全問題,,但問題并非源于PPTP協(xié)議本身,而是微軟對這個協(xié)議的實現(xiàn)帶有許多缺陷,。 當然微軟對此進行了重新修改。接著微軟推出了路由與遠程訪問服務(wù)(簡稱RRAS),,作為Windows NT Server 4.0的免費組件,,進一步完善了PPTP協(xié)議的實現(xiàn)方案,支持請求撥號路由,,并提供基于圖形界面的管理工具,。 微軟的Windows 2000/2003則集成了路由和遠程訪問服務(wù),,不再局限于微軟自己的標準,而是全面支持IETF標準,,包括主流的VPN解決方案L2TP和IPSec,,可實現(xiàn)跨平臺的VPN組網(wǎng)方案。 在Windows 2000/2003服務(wù)器版本中,,已將PPTP和L2TP服務(wù)器都納入路由和遠程訪問服務(wù)組件進行統(tǒng)一配置和管理,,使得實現(xiàn)VPN方案變得更加容易。Windows 2000/XP的IPSec基于策略進行配置和管理,,支持傳輸模式和隧道模式,。當然,最新的網(wǎng)絡(luò)操作系統(tǒng)Windows.NET Server也支持這些新特性,。 至于VPN客戶端解決方案,,Windows 95/98/Me,、Windows NT/2000和Windows XP都支持PPTP客戶端,。以前只有Windows 2000和Windows XP支持L2TP和IPSec,,現(xiàn)在微軟的L2TP/IPSec客戶端不再局限于Windows 2000/XP,最新發(fā)布的Microsoft L2TP/IPSec VPN Client軟件包,,使得運行Windows 98/Me/NT的計算機,,都可以創(chuàng)建L2TP/IPSec遠程訪問連接,。 微軟的Windows 2000/XP,、Windows.NET Server充分利用Active Directory特性來簡化VPN布置和管理。 需要注意的是,,Windows操作系統(tǒng)并不是一個專業(yè)的VPN支持系統(tǒng),,因此在很多方面都可能存在著漏洞和不足,。很多公司都在致力于VPN的數(shù)據(jù)加密和系統(tǒng)的開發(fā),,并有自己的產(chǎn)品,。要構(gòu)建一個真正的高安全性的VPN,還是應(yīng)該使用VPN專業(yè)產(chǎn)品,。 |
| 關(guān)閉 |