用无线接入为企业搭建VPN网络[2]

图2 单蜂窝组网图

图3 多蜂窝组网图

    随着交流的日益增多，企业的不断发展，企业的分支机构也分布到全国及世界各地。为了加强企业的内部联系，越来越多的企业认识到建立内部网的重要性，开始组建企业内部网，把各分支机构及移动办公用户相连。目前已经建成的企业内部网，大多是靠租借电信部门的数据专线来组建的。从网络结构上看，一般是星型结构。这种接入方式极其昂贵，让大多数用户望而却步。而出差在外的人员如果需要与总部联系，往往需要通过拨号上网拨入企业内部网，这样又无法保证其安全性和可靠性。

    因此，它有许多缺点：网络运行维护费用高、可扩展性差、可靠性差。Internet的发展推动了基于公网的虚拟专用网的发展。虚拟专用网就是在Internet等共享式公共网络基础设施上提供安全可靠的连接，由于这些基础是共享式的，因此连接的成本低于现有的专用网络。用户使用虚拟专用网连接远程网站，整个广域网络的成本可以节省20%－47%以上。但如何保证企业内部的数据通过公共网络传输的安全性和保密性，以及如何管理企业网在公共网上的不同节点，成为关注的问题。虚拟专用网技术采用专用的网络加密和通信协议，可以使企业在公共网络上建立虚拟的加密信道，组建安全、低成本的企业内部网。

    如何建设VPN

    如果企业自己组建VPN，首先会造成资金的浪费，VPN设备需要进行复杂的加密处理，需要功能强大的处理器，才能获得较高的性能，因此VPN设备大都比较昂贵。其次，需要对VPN进行复杂的管理，企业需要人员对VPN设备在各地进行安装、调试和维护。

    因此，大多数企业希望把VPN业务外包给能够提供可管理业务的运营商。所谓可管理的业务是指，不仅运营商能够对业务进行管理，客户本身也能对业务进行监视和进行一定程度的控制。企业希望不仅能够对自己的VPN进行全视角的监视，察看系统的配置和性能统计，而且能够对系统进行配置更新和改变。

    使用哪种协议

    VPN使用的协议可以分为两类：隧道协议和其他相关协议，使用不同的隧道协议，可以组建不同级别的VPN。

    二层和三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。第三层隧道与第二层隧道相比，优点在于它的安全性、可扩展性及可靠性。从安全的角度来看，由于第二层隧道一般终止在用户网设备上，会对用户网的安全及防火墙技术提出较严峻的挑战。而第三层隧道一般终止在ISP的网关上，不会对用户网的安全构成威胁。

    从可扩展性角度看，第二层隧道将整个PPP帧封装在报文内，可能会产生传输效率问题。由于用户网内的网关要保存大量的PPP对话状态及信息，这会对系统负荷产生较大的影响，当然也会影响系统的扩展性。第三层隧道技术对于公司网络还有一些其他优点。网络管理者采用第三层隧道技术时，不必在他们的远程节点或客户端设备上安装特殊软件。因为PPP和隧道终点由ISP的设备生成，客户端设备不用负担这些功能，而仅作为一台路由器即可。第三层隧道技术可采用任意厂家的客户端设备来实现，公司网络不需要IP地址，也具有安全性。服务提供商网络能够隐藏私有网络和远端节点地址。

    一般情况下，第二层隧道协议和第三层隧道协议分别使用，但合理地运用两层协议，将具有更好的安全性。