詳解VPN

目前，越來越多的企業正在尋求靈活安全的廣域通信方式。在Internet連接和基於IP網絡錯綜復雜的環境下，這些新的通信需求已經超出了傳統網絡解決方案的處理能力。基於IP的虛擬專用網(VPN)解決方案成為希望在全球連通的公司的自然之選。分析人員預測，到2003年，商業客戶每年將在VPN設備和服務中支出超過140億美元。

VPN定義為“采用加密和認證技術，在公共網絡上建立安全專用隧道的網絡”。隨著IP安全標准的問世和無所不在的IP網，VPN現在已經成為大多數企業可行的備選方案。

一、VPN實現方式

VPN有以下幾種實現方式：

1．自行管理。企業擁有和全面管理基於Internet的VPN。這種方法為企業提供了靈活性，使其能夠控制VPN的部署和管理。但是，存在著組網范圍窄、擴充能力弱、基礎設施必須支持全球電子商務以及需要企業一周七天、全天24小時的管理服務等問題，這些問題通常使企業不願意投資采用。

2．全面外包。這是一種可以由一系列合作伙伴實現的管理服務，包括Internet服務供應商(ISP)和安全集成合作伙伴。通過這種方式，公司可以迅速部署、簡便實現全球擴充，沒有日常的網絡管理問題。

3．混合或共享管理方法。合作伙伴負責基礎設施部署和管理的主要部分，而企業則對策略定義和安全管理的關鍵方面保持控制能力。

二、VPN的發展趨勢：外包

隨著VPN市場的加速發展，一個重要趨勢是轉向外包。部署這些網絡的公司正選擇把VPN部署和維護工作外包給Internet服務供應商(ISP)、應用服務供應商(ASP)和其他連接供應商。外包的動因有：構建和運行全球網絡的成本問題、希望把重點放在核心能力上、改善網絡性能等等。

1．外包給企業帶來如下好處

（1）靈活性和擴充性: 需要在VPN服務中增加新站點或用戶時，只需服務供應商安裝一條帶有用戶端設備(CPE)或安全客戶端軟件的接入鏈路。服務供應商負責所需的任何站點和主干級開通工作。最優的VPN設計只需通過一條連接實現專用Intranet、半專用Extranet和公共Internet接入。這種整合能力使企業節約了成本，同時也給服務供應商帶來了優勢，因為服務供應商可以在當前專用網絡和公共網絡邊界的內部和之間低成本擴大服務。

（2）迅速部署和觸及全球：VPN 地理覆蓋范圍可以簡便地進行擴展，連接世界各地的個人和多用戶辦公室，同時支持流行的應用和協議。企業通過利用服務供應商的主干，而不是構建自己的主干網，把網絡擴展到內部有限資源之外，如Internet上。

（3）降低運營成本: 管理型端到端VPN服務可以提供全面的服務質量(QoS)和服務水平協議(SLA)性能，支持要求最苛刻的商業應用。通過利用外包合作伙伴的專業知識及專用資源，企業不必再招聘技術專家。

2．外包同樣給服務供應商帶來許多好處

（1）擴大收入來源：增加了虛擬主機、應用托管和電子商務支持等增值服務。

（2）迅速部署：由於不需改變現有的核心網絡，因此可以迅速部署新的基於CPE的服務，提高市場占有率。

（3）提供差別化服務：下一代功能如QoS和識別SLA的路由和交換技術，將給服務供應商提供競爭優勢。

（4）調整與客戶的戰略關系：由於服務供應商提供的是增值服務而不是帶寬，服務供應商和客戶將建立起長期的關系。

三、VPN涵蓋的功能和標准

由於VPN產品把機密的數據和網絡資源與不友好的網絡分隔開來，因此它在任何地方都必須像防火牆一樣強健。強大的認證、密碼、X.509v3數字證書和ICS認證的防火牆功能確保VPN能夠保護數據的機密性。VPN安全策略是基於標准的，這些標准非常強健、穩定。

1．服務水平協議(SLA)。是端到端VPN解決方案的一種關鍵功能，它和網絡安全一樣重要。SLA提供了具體的性能標准，確保VPN能夠支持可靠的商業服務。同時，為網絡性能規劃和應用提供了寶貴的數據。SLA應涵蓋各條鏈路及所有客戶站點之間的整體性能。

2．服務質量(QoS)功能。服務質量對企業要求的優先通信和管理接入VPN至關重要。

四、選用VPN方案時應注意的問題

選用VPN方案時要注意基於用戶端的VPN服務和基於網絡的VPN服務之間的差別。前者包括CPE，實現真正的端到端安全和性能管理。後者則主要是使用服務供應商業務點(POP)中的設備開通，在最後一公裡上不能提供同樣的保障。