虛擬專用網(wǎng)絡(luò)(Virtual Private Network ,簡稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng),主要是因為整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺,如Internet、ATM(異步傳輸模式〉、Frame Relay (幀中繼)等之上的邏輯網(wǎng)絡(luò),用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗證鏈接的專用網(wǎng)絡(luò)的擴(kuò)展。VPN主要采用了隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。
在面對市場上眾多的VPN產(chǎn)品,網(wǎng)絡(luò)專業(yè)知識略顯不足的企業(yè)常常顯得很茫然,不知如何選擇適合自己的VPN產(chǎn)品。若是是任由系統(tǒng)集成商推廣不恰當(dāng)?shù)漠a(chǎn)品組合,那么,不但浪費(fèi)了高額的費(fèi)用,還達(dá)不到最佳效果。如今大多數(shù)中小企業(yè)主們,在企業(yè)信息化升級的需求下,都希望選購到真正適合其企業(yè)發(fā)展的VPN產(chǎn)品和解決方案。下面對企業(yè)級VPN產(chǎn)品選購做一簡單總結(jié):
一、評估:企業(yè)是否需要VPN
VPN實質(zhì)上就是利用加密技術(shù)在公網(wǎng)上封裝出一個數(shù)據(jù)通信隧道。有了VPN技術(shù),用戶無論是在外地出差還是在家中辦公,只要能上互聯(lián)網(wǎng)就能利用VPN非常方便地訪問內(nèi)網(wǎng)資源。因此具有分支機(jī)構(gòu)且對網(wǎng)絡(luò)傳輸數(shù)據(jù)具有較高安全性需求的企業(yè)來說,VPN是非常到位的解決方案。
二、VPN產(chǎn)品分類
VPN按應(yīng)用范圍大致可以劃分為遠(yuǎn)程接入VPN(Accesss VPN)、Intranet VPN和Extranet VPN等3種應(yīng)用模式。遠(yuǎn)程接入VPN用于實現(xiàn)移動用戶或遠(yuǎn)程辦公室安全訪問企業(yè)網(wǎng)絡(luò);Intranet VPN用于組建跨地區(qū)的企業(yè)內(nèi)部互聯(lián)網(wǎng)絡(luò);Extranet VPN用于企業(yè)與客戶、合作伙伴之間建立互聯(lián)網(wǎng)絡(luò)。
企業(yè)可針對實際應(yīng)用中的不同需求選擇具有上述特性的產(chǎn)品,一套完整的VPN產(chǎn)品一般包括3個部分即 ①VPN網(wǎng)關(guān):用于實現(xiàn)LAN到LAN。②VPN客戶端:與VPN網(wǎng)關(guān)一起可實現(xiàn)客戶到LAN的VPN方案。③VPN管理中心:對VPN網(wǎng)關(guān)和VPN客戶端的安全策略進(jìn)行配置和遠(yuǎn)程管理。
三、選擇合適的VPN協(xié)議
目前市場流行的VPN,在技術(shù)實現(xiàn)上主要有以下三種。
IPSec VPN:是基于IPSec協(xié)議的VPN產(chǎn)品。IPSec 協(xié)議工作在IP層,可以支持所有基于IP的應(yīng)用,在支持對數(shù)據(jù)加密的同時,還能夠確保數(shù)據(jù)的完整性。IPSec VPN僅需要部署在網(wǎng)絡(luò)的邊緣,即可對網(wǎng)絡(luò)內(nèi)部實現(xiàn)安全保護(hù),因此適合企業(yè)用戶在公共IP網(wǎng)絡(luò)上,構(gòu)建自己的虛擬專用網(wǎng)絡(luò)。
另外,標(biāo)準(zhǔn)化的IPSec VPN還具備使各廠商產(chǎn)品互相通信,以及互相匹配的能力。IPSec VPN是目前市場上的主流VPN產(chǎn)品,占據(jù)VPN市場的大部分份額。
SSL VPN:采用的SSL(Secure Socket Layer,安全套接字層)協(xié)議,通過瀏覽器和遠(yuǎn)程內(nèi)部網(wǎng)進(jìn)行加密通信。因其具有配置和管理容易、實現(xiàn)成本低的因素,所以近來被一些用戶所青睞。
但也由于SSL VPN的以上這些特點(diǎn),不可避免地帶來一些問題。例如,采用應(yīng)用層加密,速度性能不高;僅支持可以通過Web進(jìn)行通信的常規(guī)應(yīng)用,對企業(yè)的其它高級應(yīng)用支持有限等。
MPLS VPN:所采用的MPLS(Multi Protocol Label Switch,多協(xié)議標(biāo)簽交換)協(xié)議,其本身的作用是提高路由轉(zhuǎn)發(fā)的性能。MPLS自身不能提供對數(shù)據(jù)的安全性,它需要和其它技術(shù)結(jié)合,如IPSec等。由于MPLS VPN的構(gòu)建需要全網(wǎng)設(shè)備都支持MPLS,因此MPLS VPN多為網(wǎng)絡(luò)運(yùn)營商部署,而不適合企業(yè)自己建設(shè)。
四、服務(wù)提供商比拼
目前,業(yè)界廠商從產(chǎn)品解決方案向服務(wù)提供商轉(zhuǎn)型已是大勢所趨。對于IP VPN服務(wù)商而言,運(yùn)維團(tuán)隊的實力是其服務(wù)品質(zhì)的保證。眾所周知,提供服務(wù)并不是一件容易的事情,即便次次順利,一旦發(fā)生一次問題,辛苦建立的信譽(yù)將毀于一旦。因此,豐富的運(yùn)維經(jīng)驗、健全的運(yùn)維體系,強(qiáng)大的運(yùn)維團(tuán)隊對于IP VPN服務(wù)商至關(guān)重要。下面簡要介紹三家服務(wù)提供商的情況:
第一線
第一線以O(shè)NE VPN為品牌,致力為企業(yè)帶來多元化、高效、跨省IP VPN網(wǎng)絡(luò)連接解決方案。第一線的MPLS基礎(chǔ)網(wǎng)絡(luò)擁有37個網(wǎng)絡(luò)節(jié)點(diǎn),覆蓋700多個亞洲城市。通過第一線ONE VPN服務(wù),企業(yè)可根據(jù)不同業(yè)務(wù)需要,選擇最合適的類別及服務(wù)等級(QoS),從而獲取最大的投資回報(ROI)。
南凌科技
南凌科技凌云網(wǎng)絡(luò)(NOVAnet) 是以北京、天津、上海、南京、廣州、深圳為六大核心節(jié)點(diǎn),輻射全國36個城市,以MPLS技術(shù)為基礎(chǔ)并采用高端路由器構(gòu)建的多業(yè)務(wù)IP承載網(wǎng),在深圳建立了全國網(wǎng)絡(luò)運(yùn)營管理中心(NOC)與計費(fèi)管理中心,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)見下圖。
凌云IPsec產(chǎn)品構(gòu)造的用戶專網(wǎng),實現(xiàn)了用戶不同地區(qū)、不同規(guī)模、不同接入線路的分支機(jī)構(gòu)間無縫、安全通信。即,針對于較小型的分支機(jī)構(gòu)、臨時辦公地點(diǎn)、與總部間數(shù)據(jù)傳輸量較少、但要求數(shù)據(jù)傳輸?shù)陌踩耘c保密性高的部門,可以采用IPsec方式接入凌云IPsec匯接中心(SIGC)建立IPSec安全隧道,其應(yīng)用系統(tǒng)數(shù)據(jù)流通過IPSec安全隧道穿過南凌SIGC安全匯接中心,再經(jīng)由NOVAnet骨干網(wǎng)訪問總部及其他部門。
互聯(lián)通
互聯(lián)通十年來專注於提供優(yōu)質(zhì)的多地域網(wǎng)絡(luò)服務(wù),透過自主建設(shè)的多層次全拓?fù)涞木W(wǎng)絡(luò)架構(gòu),采用先進(jìn)的多協(xié)議標(biāo)簽交換(MPLS)技術(shù),結(jié)合服務(wù)質(zhì)量保證(QoS)、流量控制技術(shù)(CoS),為企業(yè)用戶構(gòu)建安全有效的內(nèi)部專用網(wǎng)絡(luò),實現(xiàn)企業(yè)內(nèi)部跨區(qū)域多個分支機(jī)構(gòu)之間數(shù)據(jù)、語音、圖像等多種業(yè)務(wù)通信方式。同時,根據(jù)企業(yè)的不同需求,還提供包括了第二層路由的虛擬專用局域網(wǎng)服務(wù)(L2VPN,VPLS)和第三層企業(yè)虛擬專用網(wǎng)絡(luò)服務(wù)(MPLS VPN / IP VPN)等專業(yè)的全系列完整解決方案。
京公網(wǎng)安備 11010502049343號