在經濟全球化的今天,隨著網絡,尤其是網絡經濟的發展,客戶分布日益廣泛,合作伙伴增多,移動辦公人員也隨之劇增。傳統企業網基于固定地點的專線連接方式,已難以適應現代企業的需求。在這樣的背景下,遠程辦公室、公司各分支機構、公司與合作伙伴、供應商、公司與客戶之間都可能要建立連接通道以進行信息傳送。
而在傳統的企業組網方案中,要進行遠程LAN 到 LAN互聯,除了租用DDN專線或幀中繼之外,并沒有更好的解決方法。對于移動用戶與遠端用戶而言,只能通過撥號線路進入企業各自獨立的局域網。這樣的方案必然導致高昂的長途線路租用費及長途電話費。于是,虛擬專用網VPN(Virtual Private Network)的概念與市場隨之出現。利用VPN網絡能夠獲得語音、視頻方面的服務,如IP電話業務、電視會議、遠程教學,甚至證券行業的網上路演、網上交易等等
一、什么是VPN
VPN的英文全稱是“Virtual Private Network”,翻譯過來就是“虛擬專用網絡”。顧名思義,虛擬專用網絡我們可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一,目前在交換機,防火墻設備或WINDOWS2000等軟件里也都支持VPN功能,一句話,VPN的核心就是在利用公共網絡建立虛擬私有網。
二、VPN工作原理
VPN通過公眾IP網絡建立了私有數據傳輸通道,將遠程的分支辦公室、商業伙伴、移動辦公人員等連接起來。減輕了企業的遠程訪問費用負擔,節省電話費用開支,并且提供了安全的端到端的數據通訊。
用戶連接VPN的形式:
常規的直接撥號連接與虛擬專網連接的異同點在于在前一種情形中,PPP(點對點協議)數據包流是通過專用線路傳輸的。在VPN中,PPP數據包流是由一個LAN上的路由器發出,通過共享IP網絡上的隧道進行傳輸,再到達另一個LAN上的路由器。
這兩者的關鍵不同點是隧道代替了實實在在的專用線路。隧道好比是在WAN中拉出一根串行通信電纜。那么,如何形成VPN隧道呢?
建立隧道有兩種主要的方式:客戶啟動(Client-Initiated)或客戶透明(Client-Transparent)。客戶啟動要求客戶和隧道服務器(或網關)都安裝隧道軟件。后者通常都安裝在公司中心站上。通過客戶軟件初始化隧道,隧道服務器中止隧道,ISP可以不必支持隧道。客戶和隧道服務器只需建立隧道,并使用用戶ID和口令或用數字許可證鑒權。一旦隧道建立,就可以進行通信了,如同ISP沒有參與連接一樣。
另一方面,如果希望隧道對客戶透明,ISP的POPs就必須具有允許使用隧道的接入服務器以及可能需要的路由器。客戶首先撥號進入服務器,服務器必須能識別這一連接要與某一特定的遠程點建立隧道,然后服務器與隧道服務器建立隧道,通常使用用戶ID和口令進行鑒權。這樣客戶端就通過隧道與隧道服務器建立了直接對話。盡管這一方針不要求客戶有專門軟件,但客戶只能撥號進入正確配置的訪問服務器。
三、VPN的應用
目前,用于企業內部自建VPN的主要有兩種技術——IP Sec VPN和SSL VPN,IPSecVPN和SSL VPN主要解決的是基于互聯網的遠程接入和互聯,雖然在技術上來說,它們也可以部署在其它的網絡上(如專線),但那樣就失去了其應用的靈活性,它們更適用于商業客戶等對價格特別敏感的客戶。
但針對IPSec VPN和SSL VPN兩種技術,目前業內存在著較多爭議。雖然目前企業應用最廣泛的是IPSec VPN,然而Infornetics Research研究表明,在未來的幾年中IPSec的市場份額將下降,而SSL VPN將逐漸上升。用戶在考慮采用哪種技術時經常會遇到兩難的選擇,即安全性與使用便利的沖突。而事實上沒有哪一種技術是完美的,只有用戶明確了自己的需求,才能選擇到適合自己的解決方案。IPSec VPN比較適合中小企業,其擁有較多的分支機構,并通過VPN隧道進行站點之間的連接,交換大容量的數據。企業有一定的規模,并且在IT建設、管理和維護方面擁有一定經驗的員工。企業的數據比較敏感,要求安全級別較高。企業員工不能隨便通過任意一臺電腦就訪問企業內部信息,移動辦公員工的筆記本或電腦要配置防火墻和殺毒軟件。而SSL VPN更適合那些需要很強靈活性的企業,員工需要在不同地點都可以輕易的訪問公司內部資源,并可能通過各種移動終端或設備。企業的IT維護水平較低,員工對IT技術了解甚少,并且IT方面的投資不多。
