巧建设VPN虚拟专用网

对VPN的要求
   由于VPN是为企业用户服务的,关系到企业正常的运转,所以下面从用户角度分析对VPN的几点要求。
   VPN的可用性:即建立的网络可以满足用户业务的要求。在进行企业用户自身业务性质、流量分析后,建造一个采用何种技术的VPN满足需求,如只用数据业务,可以全部采用非面向连接的IP技术;如果同时有话音业务,可以采用面向连接的FR/ATM技术或者IP VPN与VoIP的结合方案;如果再加入视频业务,建议采用面向连接技术,同时还应该在带宽方面有一定要求及计算规则。在设计中考虑VPN的冗余备份及系统可以支持的最大最小容量及网络管理最大最小数量。
   VPN的安全性:如PVC的安全性、加密的安全性作为保证,同时还有赖于上层网络应用的认证系统,用户授权系统等保证。
   VPN的可扩展性:首先是在物理网络上的扩展,即增加新的节点时,在技术角度和资金角度对全网的影响和扩展原则。其次是在功能上的扩展,包括支持Internet内部数据应用,外部Extranet数据处理,远程接入,甚至于移动IP方式的应用。最后是在提供的应用业务上的扩展,即VPN的增值服务:IP Fax、办公自动化系统、财务系统等。
   VPN的可管理性:对于不同业务模式和技术结合的网络有不同的VPN管理内容。基于NSP(网络服务提供商)提供的面向连接技术的VPN,VPN的管理内容应该基本等同于NSP自身的业务网络。因为NSP提供透明通道对VPN网络的管理信息和用户网络状况不予干涉。基于企业用户自行布置的网络,由于只是在客户端进行配置和控制,在网络传输部分是不被NSP所知和保障的,所以可管理性受NSP限制。
   VPN的建设及运营维护成本:VPN的成本主要分为两部分:1.初期网络建设费用主要为设备及初装费用。2. 网络扩展及运营维护费用。其中初期网络建设及扩展费用可以较容易计算,并且大多数情况下和实际出入不大,而运营维护费用的多少和企业用户的网络规模、对网络性能的要求、不同的业务模式、公司的IT技术力量和对网络管理的要求程度都有很大关系。
   结合以上几个方面,笔者从实际应用出发谈一下对企业构建VPN的建议。首先在安全性、可靠性上,笔者认为差别不大,而且多种纯技术的安全性无可比性,只有结合全网络的安全策略才可以有效地加强安全性。在网络管理方面,由于大多数企业用户没有足够的管理IP网络的能力,并且希望和愿意将网络托付给NSP进行管理,所以网络管理水平的差异主要是运营商网络和管理水平的差异,其实如果出现从事网管代理维护的专业公司(目前已经有该类公司的雏形),完全可以抢占大量市场,成为新的网络增值服务热点。对于网络技术本身,虽然有大量的争论、实验和真实的运营案例,笔者还是比较认可利用FR/ATM技术进行VPN的构建。如在正常网络状态下(不出现流量爆炸),IP、ATM无太大区别,但是出现流量突然增加的情况时,排队机制、缓存机制、CAC、CAR之类的技术都可以运行,但是到最终产生丢包时,由于ATM中的EPD、PPD都是针对一组可识别的队列或者用户进行丢弃,导致部分数据重传或延时的,不会蔓延丢弃范围。而IP网络是在正确的策略下大范围的丢包,而且丢弃的包无关联性,所以丢包后的业务重组将产生更多的流量,进一步恶化网络状况。同时由于对企业用户的流量模型特别是突发情况没有把握,同时基于投入产出比的需要,网络运营商不可能总是及时扩容网络的带宽和优化网络的结构,更何况还存在网络的互联情况。基于PVC的网络中,不增加骨干带宽的情况下,可以保障每个用户的基本服务质量,而在实际运营的IP网络中,由于无规则的数据流在同一大通道内传输,所以当网络带宽占用率达到一定比例时,就会出现严重的丢包、延时增大等众多现像。针对以上理解,笔者认为在构建企业VPN时,首先是分析自身的业务性质和流量模型。如果需要严格的QoS保障,如对延时、丢包等敏感的业务,应该适当加大投资,利用FR/ATM技术组建网络,同时加强网络管理和服务质量监测工作。如果仅仅是一些小流量或非实时突发流量,只是希望有一个相对安全、保密的通道,那么可以利用IPSec技术建立VPN。
  
   灵活选择
   下面举两个例子用以说明客户性质与网络技术的关联性。
   1、 FR技术组网:有一家公司的业务是将一些电影或电视节目从美国总部通过网络发送到中国北京,当时该公司的要求为通过网络可以同步传输当时的进口大片,然后在中国内地做成可以出售的音像制品。由于视频流对QoS,特别是带宽的要求比较高,同时在设计中考虑由于时差原因,中美之间的数据网络在晚间流量很小等原因,该VPN的实现是通过开通CIR=1M同时可以支持突发到2M的FR PVC,网管方面提供给用户基于Web的MRTG的流量监测窗口,用户在使用过程中发现,几乎只需要在夜间以突发速率就可以完成视频数据的传输。
   2、 IP技术组网:2000年,某公司需要为其财务系统进行财务专用网络的建设,开始考虑采有FR技术,但设计中由于网络投资比较小,流量也小,而且不需要实时对账,只要求当天对头一天的账务,每月进行一次汇总,所以就采用L2TP与IPSec结合的方式组建VPN网络。同时建议数据的更新在夜间流量少时进行,网络管理通过账务系统自带的网络监视系统进行业务管理。网络运营初期一切正常,但是由于各电信运营商的价格调整,特别是夜间的上网费用调整,费用下降上网人数增加,经常性的出现网络拥塞,在账务系统的传输时,发生超时间现象,已经无法满足用户需求,最终用户建立利用FR技术的办公自动化网络,同时加载账务部分的业务才解决问题。
   以上的两个事例,主要为了说明随着用户需求的不同和网络状况的不同,在技术选择上会有灵活多样的变化,同时应该结合不同的节点情况进行统筹规划和部署。在确定如何组建网络前,企业网络建设的决策者一定要详细了解网络运营商的网络状况。如果接入服务供应商与骨干传输运营商是不同单位,一定要考虑接入线路与骨干节点的接口情况是否影响VPN的扩展能力、是否可能成为网络瓶颈或单点故障。同时随着网络服务供应商间的竞争越来越激烈,最好企业用户和运营商间有比较明确的服务质量协议(SLA),包括技术参数部分的约束和技术支持部分的承诺。一般在SLA方面企业用户需要付出一定的费用,建议企业用户根据自身需求和利益进行选择,不要盲目追求高的QoS,而不考虑实际网络质量和业务性质。
   在确定采用何种技术和哪个运营商以后,就是如何选择VPN设备。设备的稳定性和处理能力是第一位的,高的MTTR可以有效降低运营维护成本,保障VPN网络较高的可用率。强大的处理能力为网络的扩展打下坚实基础,在处理能力上特别对于加密/解密能力需要更高的要求。在Internet上加密/解密其实是安全性保障的唯一可行方法,加解密算法的复杂性在带来良好的安全性的同时,对设备处理能力的要求几乎呈现几何增长,各种VPN产品的一个主要不同点在于采用加密算法和密钥的强度不同。由于加密是一项复杂的处理过程,特别是网络中有大量的信息传输时,CPU要承担大量的计算工作,所以目前VPN市场趋向于采用专用硬件设备。
   设备的可扩展性可以为VPN提供更多的增值服务的平台,如在支持现有局域网的同时可扩展为支持无线局域网,随着话音业务的介入和扩充话音处理卡对FXO、FXS、E&M的支持等。设备的管理能力及是否需要客户自身的用户身份认证和计费信息也很重要,由于用户的技术力量有限,所以要求网管系统具有图形化用户界面、接口友好、操作简单,而且如果和用户网管系统基于统一平台,可以考虑建立综合网络管理系统。
   在考虑纯VPN技术的同时应该在设备商和集成商的帮助下,将多种技术结合在一起,其中作为网络安全工具中最早应用并且已经非常成熟的防火墙技术是对VPN技术的良好补充。

时间: 2024-09-24 11:25:34

巧建设VPN虚拟专用网的相关文章

VPN虚拟专用网的建设

对VPN的要求 由于VPN是为企业用户服务的,关系到企业正常的运转,所以下面从用户角度分析对VPN的几点要求. VPN的可用性:即建立的网络可以满足用户业务的要求.在进行企业用户自身业务性质.流量分析后,建造一个采用何种技术的VPN满足需求,如只用数据业务,可以全部采用非面向连接的IP技术:如果同时有话音业务,可以采用面向连接的FR/ATM技术或者IP VPN与VoIP的结合方案:如果再加入视频业务,建议采用面向连接技术,同时还应该在带宽方面有一定要求及计算规则.在设计中考虑VPN的冗余备份及系

linux下pptp vpn虚拟专用网实验

VPN的英文全称是"Virtual Private Network",翻译过来就是"虚拟专用网络".顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线.它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路.这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备.VPN的核心就是在利用公共网络

采用无线接入为企业搭建VPN网络

宽带无线接入的最大特点是组网迅速.灵活,能以最快的速度为用户提供服务.它可提供诸如无线Internet接入.无线VPN.IP电话.VOD视频点播.局域网互联等多种业务种类.其中,企业用户更关心的是如何利用宽带无线接入组建自己的VPN. 为适应我国电信市场发展的需要,鼓励竞争,优化配置无线电频率资源.2001年4月,信息产业部决定将3.5GHz频段中2×30MHz频带通过招标方式,在南京.厦门.青岛.武汉.重庆等5个城市行政区域内,第一批进行地面固定无线接入系统的频率分配.这是我国首次以招标方式分

免费WiFi陷阱多 用VPN如何破

出门在外找免费WiFi"刷手机"可是大伙眼下"最大的"习惯.然而,免费WiFi靠不靠谱?日前,关于蹭免费Wifi而导致个人信息外泄的提醒在朋友圈中疯转.业内人士建议,外出时,大家不要用无需密码的免费WiFi,尽量使用可靠商家提供的有密码WiFi,而在收发邮件.登录淘宝或网银时最好关闭WiFi,转用3G或4G网络进行数据连接. 然而,越来越多的流量需求,还是免不了用WiFi.怎么办?其实,用上VPN(虚拟专用网络),你就可以自建一条加密的数据传输隧道.   巧用VPN

如何实现adsl vpn

网友提问:我是网络菜鸟,我们公司组建了一个局域网,现在在离公司大约12公里处设立了一个办事处,现在需要有新加一台电脑接入公司局域网来共享数据库.你说运用哪种连接方便?无线,有线?最好可以通过INTERNET连接,这样费用省些. 这显然又是一个远距离联网的问题,其实网友的问题也提出了三种方案:无线.有线.互联网,我们来一一分析. 方案一:无线 无线桥接作远距离联网,目前也算是热门技术之一.在大功率无线网桥和高增益的定向天线组合下,传输跨度有可能达50公里.但是这个有一个重要的前提条件,就是定向天线

路由器VPN服务怎么开启?

  开启路由器上的VPN服务,无论身在何处我们都可以通过它来访问家庭网络中的资源,轻松.安全地存取家庭网络中的数据.下面将向大家介绍路由器VPN服务怎么开启. 利用路由器的DMZ(隔离区)设置或者使用网络存储器的应用程序,我们都能够通过互联网存取家庭网络中的资源.但是要确保通讯数据不会被截取,我们应该尽可能地使用VPN(虚拟专用网络).通过VPN服务我们可以轻松.安全地访问家庭网络,处理各种敏感数据.如果其他人想尝试截取我们的网络通讯数据,那么他们获得的也只会是加密的VPN通讯数据,无法真正盗取

VPN隧道协议PPTP、L2TP、IPSec和SSLVPN

整理自网络: VPN (虚拟专用网)发展至今已经不在是一个单纯的经过加密的访问隧道了,它已经融合了访问控制.传输管理.加密.路由选择.可用性管理等多种功能,并在全球的 信息安全体系中发挥着重要的作用.也在网络上,有关各种VPN协议优缺点的比较是仁者见仁,智者见智,很多技术人员由于出于使用目的考虑,包括访问控制. 安全和用户简单易用,灵活扩展等各方面,权衡利弊,难以取舍;尤其在VOIP语音环境中,网络安全显得尤为重要,因此现在越来越多的网络电话和语音网关支 持VPN协议. 目前比较常见的VPN隧道

VPN 隧道协议PPTP、L2TP、IPSec和SSLVPN的区别

VPN 隧道协议PPTP.L2TP.IPSec和SSLVPN的区别 VPN (虚拟专用网)发展至今已经不在是一个单纯的经过加密的访问隧道了,它已经融合了访问控制.传输管理.加密.路由选择.可用性管理等多种功能,并在全球的信息安全体系中发挥着重要的作用.也在网络上,有关各种VPN协议优缺点的比较是仁者见仁,智者见智,很多技术人员由于出于使用目的考虑,包括访问控制. 安全和用户简单易用,灵活扩展等各方面,权衡利弊,难以取舍:尤其在VOIP语音环境中,网络安全显得尤为重要,因此现在越来越多的网络电话和

LAN、WAN、WLAN、VLAN和VPN的区别

局域网(Local Area Network,LAN) 是指在某一区域内由多台计算机互联成的计算机组.一般是方圆几千米以内.局域网可以实现文件管理.应用软件共享.打印机共享.工作组内的日程安排.电子邮件和传真通信服务等功能.局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成. 广域网 (Wide Area Network,WAN) 是一种跨越大的.地域性的计算机网络的集合.通常跨越省.市,甚至一个国家.广域网包括大大小小不同的子网,子网可以是局域网,也可以是小