在經(jīng)濟(jì)全球化的今天���,隨著網(wǎng)絡(luò),尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展����,客戶分布日益廣泛,合作伙伴增多���,移動辦公人員也隨之劇增����。傳統(tǒng)企業(yè)網(wǎng)基于固定地點的專線連接方式��,已難以適應(yīng)現(xiàn)代企業(yè)的需求。在這樣的背景下�����,遠(yuǎn)程辦公室�����、公司各分支機構(gòu)�、公司與合作伙伴、供應(yīng)商����、公司與客戶之間都可能要建立連接通道以進(jìn)行信息傳送。
而在傳統(tǒng)的企業(yè)組網(wǎng)方案中�����,要進(jìn)行遠(yuǎn)程LAN 到 LAN互聯(lián)����,除了租用DDN專線或幀中繼之外,并沒有更好的解決方法�。對于移動用戶與遠(yuǎn)端用戶而言,只能通過撥號線路進(jìn)入企業(yè)各自獨立的局域網(wǎng)�����。這樣的方案必然導(dǎo)致高昂的長途線路租用費及長途電話費。于是���,虛擬專用網(wǎng)VPN(Virtual Private Network)的概念與市場隨之出現(xiàn)�����。利用VPN網(wǎng)絡(luò)能夠獲得語音�����、視頻方面的服務(wù),如IP電話業(yè)務(wù)��、電視會議���、遠(yuǎn)程教學(xué)�,甚至證券行業(yè)的網(wǎng)上路演��、網(wǎng)上交易等等
一���、什么是VPN
VPN的英文全稱是“Virtual Private Network”�����,翻譯過來就是“虛擬專用網(wǎng)絡(luò)”���。顧名思義����,虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線��。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路����,就好比是架設(shè)了一條專線一樣,但是它并不需要真正的去鋪設(shè)光纜之類的物理線路�����。這就好比去電信局申請專線�����,但是不用給鋪設(shè)線路的費用���,也不用購買路由器等硬件設(shè)備�。VPN技術(shù)原是路由器具有的重要技術(shù)之一,目前在交換機���,防火墻設(shè)備或WINDOWS2000等軟件里也都支持VPN功能���,一句話,VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)����。
二、VPN工作原理
VPN通過公眾IP網(wǎng)絡(luò)建立了私有數(shù)據(jù)傳輸通道���,將遠(yuǎn)程的分支辦公室���、商業(yè)伙伴、移動辦公人員等連接起來���。減輕了企業(yè)的遠(yuǎn)程訪問費用負(fù)擔(dān),節(jié)省電話費用開支�����,并且提供了安全的端到端的數(shù)據(jù)通訊��。
用戶連接VPN的形式:
常規(guī)的直接撥號連接與虛擬專網(wǎng)連接的異同點在于在前一種情形中,PPP(點對點協(xié)議)數(shù)據(jù)包流是通過專用線路傳輸?shù)���。在VPN中���,PPP數(shù)據(jù)包流是由一個LAN上的路由器發(fā)出,通過共享IP網(wǎng)絡(luò)上的隧道進(jìn)行傳輸��,再到達(dá)另一個LAN上的路由器���。
這兩者的關(guān)鍵不同點是隧道代替了實實在在的專用線路�����。隧道好比是在WAN中拉出一根串行通信電纜�����。那么����,如何形成VPN隧道呢?
建立隧道有兩種主要的方式:客戶啟動(Client-Initiated)或客戶透明(Client-Transparent)�������?蛻魡右罂蛻艉退淼婪⻊(wù)器(或網(wǎng)關(guān))都安裝隧道軟件。后者通常都安裝在公司中心站上����。通過客戶軟件初始化隧道,隧道服務(wù)器中止隧道�����,ISP可以不必支持隧道�����?蛻艉退淼婪⻊(wù)器只需建立隧道��,并使用用戶ID和口令或用數(shù)字許可證鑒權(quán)���。一旦隧道建立,就可以進(jìn)行通信了�,如同ISP沒有參與連接一樣����。
另一方面����,如果希望隧道對客戶透明��,ISP的POPs就必須具有允許使用隧道的接入服務(wù)器以及可能需要的路由器�。客戶首先撥號進(jìn)入服務(wù)器��,服務(wù)器必須能識別這一連接要與某一特定的遠(yuǎn)程點建立隧道��,然后服務(wù)器與隧道服務(wù)器建立隧道����,通常使用用戶ID和口令進(jìn)行鑒權(quán)。這樣客戶端就通過隧道與隧道服務(wù)器建立了直接對話�����。盡管這一方針不要求客戶有專門軟件��,但客戶只能撥號進(jìn)入正確配置的訪問服務(wù)器��。
三���、VPN的應(yīng)用
目前�����,用于企業(yè)內(nèi)部自建VPN的主要有兩種技術(shù)——IP Sec VPN和SSL VPN�����,IPSecVPN和SSL VPN主要解決的是基于互聯(lián)網(wǎng)的遠(yuǎn)程接入和互聯(lián)����,雖然在技術(shù)上來說,它們也可以部署在其它的網(wǎng)絡(luò)上(如專線)��,但那樣就失去了其應(yīng)用的靈活性�,它們更適用于商業(yè)客戶等對價格特別敏感的客戶。
但針對IPSec VPN和SSL VPN兩種技術(shù)��,目前業(yè)內(nèi)存在著較多爭議���。雖然目前企業(yè)應(yīng)用最廣泛的是IPSec VPN���,然而Infornetics Research研究表明,在未來的幾年中IPSec的市場份額將下降�����,而SSL VPN將逐漸上升����。用戶在考慮采用哪種技術(shù)時經(jīng)常會遇到兩難的選擇,即安全性與使用便利的沖突�����。而事實上沒有哪一種技術(shù)是完美的�����,只有用戶明確了自己的需求����,才能選擇到適合自己的解決方案。IPSec VPN比較適合中小企業(yè)����,其擁有較多的分支機構(gòu),并通過VPN隧道進(jìn)行站點之間的連接����,交換大容量的數(shù)據(jù)���。企業(yè)有一定的規(guī)模,并且在IT建設(shè)����、管理和維護(hù)方面擁有一定經(jīng)驗的員工。企業(yè)的數(shù)據(jù)比較敏感�����,要求安全級別較高��。企業(yè)員工不能隨便通過任意一臺電腦就訪問企業(yè)內(nèi)部信息�����,移動辦公員工的筆記本或電腦要配置防火墻和殺毒軟件��。而SSL VPN更適合那些需要很強靈活性的企業(yè)�,員工需要在不同地點都可以輕易的訪問公司內(nèi)部資源,并可能通過各種移動終端或設(shè)備����。企業(yè)的IT維護(hù)水平較低,員工對IT技術(shù)了解甚少�����,并且IT方面的投資不多。
