如何建设VPN
如果企业自己组建VPN,首先会造成资金的浪费,VPN设备需要进行复杂的加密处理,需要功能强大的处理器,才能获得较高的性能,因此VPN设备大都比较昂贵。其次,需要对VPN进行复杂的管理,企业需要人员对VPN设备在各地进行安装、调试和维护。
因此,大多数企业希望把VPN业务外包给能够提供可管理业务的运营商。所谓可管理的业务是指,不仅运营商能够对业务进行管理,客户本身也能对业务进行监视和进行一定程度的控制。企业希望不仅能够对自己的VPN进行全视角的监视,察看系统的配置和性能统计,而且能够对系统进行配置更新和改变。
使用哪种协议
VPN使用的协议可以分为两类:隧道协议和其他相关协议,使用不同的隧道协议,可以组建不同级别的VPN。
二层和三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。第三层隧道与第二层隧道相比,优点在于它的安全性、可扩展性及可靠性。从安全的角度来看,由于第二层隧道一般终止在用户网设备上,会对用户网的安全及防火墙技术提出较严峻的挑战。而第三层隧道一般终止在ISP的网关上,不会对用户网的安全构成威胁。从可扩展性角度看,第二层隧道将整个PPP帧封装在报文内,可能会产生传输效率问题。由于用户网内的网关要保存大量的PPP对话状态及信息,这会对系统负荷产生较大的影响,当然也会影响系统的扩展性。第三层隧道技术对于公司网络还有一些其他优点。网络管理者采用第三层隧道技术时,不必在他们的远程节点或客户端设备上安装特殊软件。因为PPP和隧道终点由ISP的设备生成,客户端设备不用负担这些功能,而仅作为一台路由器即可。第三层隧道技术可采用任意厂家的客户端设备来实现,公司网络不需要IP地址,也具有安全性。服务提供商网络能够隐藏私有网络和远端节点地址。
一般情况下,第二层隧道协议和第三层隧道协议分别使用,但合理地运用两层协议,将具有更好的安全性。
组建何种类型
根据VPN设备在网络中安装位置的不同,可分为两种类型的建设方式:基于客户端设备的VPN和基于网络的VPN。
早期的VPN是通过在客户端,放置在多厂家生产的VPN硬件或软件来实现的,称为基于客户端设备的VPN。目前市场上的软硬件设备,有的是专为基于客户端设备的VPN而设计,有的则是在原有设备(路由器、防火墙)的基础上加以改进,使之具备VPN功能。由于客户端设备来自不同的厂家,彼此缺少互操作性测试,随着时间的推移和新功能的增加,基于客户端设备的VPN将变得难以管理和提供业务。每种VPN设备具有不同的参数配置要求,运营商不可能在网管中心进行统一大批量的配置。
基于客户端设备的VPN由于需要在每个客户端放置VPN设备,造成客户的初期投资较高,运营商需要到每一个客户处进行现场安装、测试、维护。运营商不仅需要在POP点安装线路复用设备和高速接入路由器,还需要投入大量资金购置客户端设备,缴纳VPN软件的使用费。通常这些费用将转移到客户的身上,使客户难以承受,而影响VPN业务的推广。基于客户端设备的VPN方案也需客户进行另外的投资,为客户端设备提供正常的工作环境,如增加空调设备。
基于客户端设备的VPN存在以下的缺点和限制:
初期投资费用高——需要在每个客户端安装VPN设备,需要进行安装调试,系统运行中故障排除更为复杂,运营成本增加。
可靠性差——当新的功能增加时,将会造成网络业务中断,不具备运营级的质量。
可管理性差——系统难以进行集中统一管理,不能获得系统的整体视图,不能准确地进行系统监控和业务计费。由于这些设备彼此独立、缺乏协作,运营商很难提供高附加值的业务。
可扩展性差——系统很难增加新的功能。每项新功能的增加,需要全部客户端设备的功能升级,费用高,管理和操作困难。
基于网络的VPN能够让运营商通过POP点运营单一的VPN平台设备,有效创建、布置、管理VPN业务,同时支持几千个用户,而不需要在客户端安装VPN设备,VPN用户只需通过普通的路由器、LAN交换机接入运营商的网络中,由运营商网络中的VPN设备提供所需功能。
基于网络的VPN把VPN的功能和应用等智能地从企业客户端移到运营商网络中的VPN设备上来实现,不需要在客户端布置VPN的硬件和软件,且完全在运营商的控制之下。
由于基于网络的VPN平台和运营商的接入和核心网络设备可以实现无缝集成,此时,运营商提供的VPN将能保证端到端的跨越整个网络的QoS和SLA。通过客户管理系统,客户可以观察到其VPN的运行情况、收集VPN性能和SLA进行监视和对比,对其企业网络进行控制。基于网络的VPN支持IPSec、L2TP、PPTP、代理防火墙、密钥管理、入侵检测和MPLS等。这些特性的支持,将为运营商提供各种复杂的VPN应用。
http://www.qqread.com/net-saft/q278085.html
更多内容请看VPN技术、无线网状网介绍、Wimax技术与趋势专题,或进入讨论组讨论。
相关专题
- VPN技术 (1067篇文章)
- 无线网状网介绍 (4212篇文章)
- Wimax技术与趋势 (4212篇文章)
- 家庭无线局域网 (4847篇文章)
- 无线宽带路由器 (7326篇文章)
- 网络管理实用手册 (22210篇文章)
- 网络故障手册 (14340篇文章)
- 宽带接入专题 (2805篇文章)
- SSL VPN详细知识介绍专题 (1067篇文章)
- 无线局域网专题 (4847篇文章)
- 实战:ARP攻击原理及解决方法 (31669次浏览)
- 局域网受到ARP欺骗攻击的解决办法 (26609次浏览)
- 综合方法解决防制ARP欺骗问题 (11747次浏览)
- 互联网发现计算机“ARP”病毒的新变种 (1147次浏览)
- 端口·木马·安全·扫描应用知识 (980次浏览)
- 计算机网络安全隐患与防范策略的探讨 (880次浏览)
- 数字证书的基础知识 (631次浏览)
- 远程盗ADSL帐号密码竟如此简单? (613次浏览)
- 安全连接方式SSL (577次浏览)
- 贵重物品及物资仓库安全管理制度 (524次浏览)
