ADSL VPN入門解釋了什么是ADSL IP VPN(非對(duì)稱數(shù)字用戶環(huán)線)，ADSL VPN的安全，服務(wù)和備份知識(shí)。

MPLS IP VPN的另一個(gè)選擇

IT數(shù)據(jù)和通訊市場(chǎng)里的每一項(xiàng)新的服務(wù)和技術(shù)都有自己的生命周期。MPLS網(wǎng)絡(luò)獲得了很好的市場(chǎng)份額，很多用戶站點(diǎn)把昂貴的專線和幀中繼線路替換成了MPLS線路。

MPLS相比以前老的WAN鏈路在價(jià)格上有很大的優(yōu)勢(shì)，企業(yè)試圖遷移到MPLS上來(lái)削減開(kāi)支并且把他們的鏈路速度降到絕對(duì)最小值。

雖然MPLS越來(lái)越為大眾所知，市場(chǎng)份額在持續(xù)增長(zhǎng)，但是一個(gè)看上去更有前途的技術(shù)將給MPLS服務(wù)商帶來(lái)巨大的挑戰(zhàn)。我要介紹給你的就是ADSL IP VPN(這里叫ADSL VPN)。

什么是ADSL VPN?

今天，每家企業(yè)都有一條專用的ADSL寬帶，提供上網(wǎng)服務(wù)。ADSL早已存在不止十年了，然而，也就是近年來(lái)隨著引進(jìn)新的ADSL技術(shù)，比如ADSL2和HDSL，它才真正廣泛應(yīng)用。其允許的最高下載速度可以達(dá)到24Mbps而上傳速度可以超過(guò)2Mbps。

ADSL速度提高了，市場(chǎng)都用不同的眼光看著ADSL技術(shù)。許多IT專業(yè)人員開(kāi)始追問(wèn)，如果我可以用這么高的速度下載和上傳，為什么不拋棄MPLS WAN網(wǎng)絡(luò)，而在兩個(gè)站點(diǎn)間直接建立一個(gè)加密的隧道呢?這就是ADSL VPN的由來(lái)。高速的ADSL鏈路將成為現(xiàn)有MPLS網(wǎng)絡(luò)強(qiáng)有力的替代品。

本質(zhì)上來(lái)說(shuō)一條ADSL VPN隧道就是在兩個(gè)直接接入上網(wǎng)的ADSL站點(diǎn)間的一條加密的IPsec隧道。對(duì)于力圖尋找更便宜的通信方式的網(wǎng)絡(luò)管理員和工程師，他們終于找到了堅(jiān)實(shí)可靠地保證——ADSL VPN。

ADSL VPN最大的好處就是從來(lái)就不需要因特網(wǎng)提供商創(chuàng)建它們，這讓它們的應(yīng)用變得快速和簡(jiǎn)便。傳統(tǒng)的WAN鏈路設(shè)置是由服務(wù)商控制，一旦WAN網(wǎng)絡(luò)中斷，工程師經(jīng)常就變得極度沮喪。因?yàn)榫W(wǎng)絡(luò)中斷，他們干不了任何事情，一切都被因特網(wǎng)服務(wù)商控制著，他們的策略防止企業(yè)訪問(wèn)服務(wù)商安置在企業(yè)場(chǎng)所的終端設(shè)備，以保證安全和可靠的服務(wù)。

服務(wù)提供商的這種“保護(hù)策略”促成了ADSL VPN技術(shù)的應(yīng)用，工程師可以用他們自己喜歡的方式來(lái)配置終端設(shè)備，創(chuàng)建自己的加密隧道，而且不受限制地自由控制它們。

下面圖表演示了在兩個(gè)站點(diǎn)間，通過(guò)ADSL連到因特網(wǎng)的一條典型IPsec加密隧道。即ADSL VPN：

圖1 ADSL VPN圖表

因特網(wǎng)提供商會(huì)分配各個(gè)站點(diǎn)一個(gè)靜態(tài)的IP地址，網(wǎng)絡(luò)工程師配置兩邊站點(diǎn)來(lái)形成一個(gè)IPsec VPN隧道，來(lái)連接兩邊站點(diǎn)，并以加密的形式進(jìn)行數(shù)據(jù)交換。

ADSL VPN安全

我們不能否認(rèn)通過(guò)因特網(wǎng)連接后，數(shù)據(jù)安全和加密的重要性。將內(nèi)部網(wǎng)絡(luò)暴露在公網(wǎng)上是非常重大嚴(yán)肅的事情。采取必要地防范措施是每位工程師應(yīng)該做到的。

思科系統(tǒng)和其他獨(dú)立機(jī)構(gòu)的廠家通過(guò)研究和測(cè)試證明，只要合理部署，ADSL VPN所能提供的安全級(jí)別可以和MPLS IP VPN加密級(jí)別相當(dāng)。這應(yīng)該不會(huì)讓任何有經(jīng)驗(yàn)的網(wǎng)絡(luò)工程師或IT經(jīng)理感到驚訝。

兩種解決方案MPLS IP VPN和ADSL IP VPN都使用相同的協(xié)議和IPsec部署，這樣可以得到高加密性的VPN隧道。通過(guò)IPsec，所有數(shù)據(jù)使用ESP(封裝安全有效負(fù)載)進(jìn)行加密，提供數(shù)據(jù)保密性。之后，ESP客戶端-路由器或者防火墻-認(rèn)證產(chǎn)生的新ESP包頭，來(lái)防范外來(lái)攻擊。

　　下圖演示了這個(gè)過(guò)程，每一項(xiàng)方框里的數(shù)字代表了以位為單位的長(zhǎng)度。

圖2 ADSL 加密過(guò)程

安裝ADSL VPN最重要的一步也許是正確配置VPN IPsec隧道，通常這些是部署在一臺(tái)思科路由器或者防火墻上。

一旦隧道加密完成并且ADSL VPN隧道激活之后，就非常必要鎖住路由器和防火墻。任何未經(jīng)授權(quán)訪問(wèn)設(shè)備的人不但對(duì)設(shè)備來(lái)說(shuō)是個(gè)危害，對(duì)當(dāng)?shù)鼗蛘咄ㄟ^(guò)VPN遠(yuǎn)程接入的用戶都是一種危險(xiǎn)。所有的防范措施必須都要考慮到。