用无线接入为企业搭建VPN网络[3]

    根据VPN设备在网络中安装位置的不同，可分为两种类型的建设方式：基于客户端设备的VPN和基于网络的VPN。

    早期的VPN是通过在客户端，放置在多厂家生产的VPN硬件或软件来实现的，称为基于客户端设备的VPN。目前市场上的软硬件设备，有的是专为基于客户端设备的VPN而设计，有的则是在原有设备（路由器、防火墙）的基础上加以改进，使之具备VPN功能。由于客户端设备来自不同的厂家，彼此缺少互操作性测试，随着时间的推移和新功能的增加，基于客户端设备的VPN将变得难以管理和提供业务。每种VPN设备具有不同的参数配置要求，运营商不可能在网管中心进行统一大批量的配置。

    基于客户端设备的VPN由于需要在每个客户端放置VPN设备，造成客户的初期投资较高，运营商需要到每一个客户处进行现场安装、测试、维护。运营商不仅需要在POP点安装线路复用设备和高速接入路由器，还需要投入大量资金购置客户端设备，缴纳VPN软件的使用费。通常这些费用将转移到客户的身上，使客户难以承受，而影响VPN业务的推广。基于客户端设备的VPN方案也需客户进行另外的投资，为客户端设备提供正常的工作环境，如增加空调设备。

    基于客户端设备的VPN存在以下的缺点和限制：

    初期投资费用高——需要在每个客户端安装VPN设备，需要进行安装调试，系统运行中故障排除更为复杂，运营成本增加。

    可靠性差——当新的功能增加时，将会造成网络业务中断，不具备运营级的质量。

    可管理性差——系统难以进行集中统一管理，不能获得系统的整体视图，不能准确地进行系统监控和业务计费。由于这些设备彼此独立、缺乏协作，运营商很难提供高附加值的业务。

    可扩展性差——系统很难增加新的功能。每项新功能的增加，需要全部客户端设备的功能升级，费用高，管理和操作困难。

    基于网络的VPN能够让运营商通过POP点运营单一的VPN平台设备，有效创建、布置、管理VPN业务，同时支持几千个用户，而不需要在客户端安装VPN设备，VPN用户只需通过普通的路由器、LAN交换机接入运营商的网络中，由运营商网络中的VPN设备提供所需功能。

    基于网络的VPN把VPN的功能和应用等智能地从企业客户端移到运营商网络中的VPN设备上来实现，不需要在客户端布置VPN的硬件和软件，且完全在运营商的控制之下。

    由于基于网络的VPN平台和运营商的接入和核心网络设备可以实现无缝集成，此时，运营商提供的VPN将能保证端到端的跨越整个网络的QoS和SLA。通过客户管理系统，客户可以观察到其VPN的运行情况、收集VPN性能和SLA进行监视和对比，对其企业网络进行控制。基于网络的VPN支持IPSec、L2TP、PPTP、代理防火墙、密钥管理、入侵检测和MPLS等。这些特性的支持，将为运营商提供各种复杂的VPN应用。

    基于网络的VPN具有以下优点：

    可靠性高——为不间断运行的高性能业务提供平台，能够处理复杂的VPN业务，具有运营级质量。

    可管理性强——通过网管中心的集中统一管理，运营商能够快速方便地布置、提供、管理包括VPN在内的各种可管理的业务。通过CNM，企业用户能够对自己的VPN网络进行监视和控制。

    可扩展性强——运营商不需对每个客户的客户端设备进行安装调试，当新的功能需要增加时，只需对位于POP点的VPN业务设备进行升级。

    总体成本低——由于不需要在客户端安装VPN设备，就无需进行维护，简化了系统的运营。同时，单一VPN系统能够支持多达几千个用户，支持各种可管理的IP业务。

    使用基于网络的VPN，企业用户能够对自己的VPN进行性能监测和控制，能够获得不间断的高性能服务，对于企业那些关键性的业务运行至关重要。用户也不需要对客户端设备进行费时复杂的维护。

    使用何种技术

    利用Internet作为计算机通信的公网，建立基于IP的虚拟专用网，即IP VPN，在技术和经济上优点很多，对推动企业网络的应用和电子商务的发展有重大的价值。

    虚拟路由器(VR)是通过软件实现的模拟物理路由器。VR有独立的IP路由表和转发表，并且各VR相互独立。这意味着VPN的地址空间可以相同，但同一VPN内的地址必须惟一。基于VR的IP VPN可以提供基于每VPN的路由、转发、QoS和业务管理能力。基于概念构建的VPN和基于物理路由器的VPN有完全一样的机制，并且继承了现有的配置、实施、运行、故障恢复、监测和计费的机制和工具。

    使用VR实现VPN有两种方案：

    通过第二层VR到VR的连接，VR可以在FR或ATM连接或第二层传输技术之上实现。这种类型VR的实施允许直接在每个VPN连接上实现QoS。第二层连接可以静态配置或动态建立。

    多个VR聚合到一个VR上，把多个VR连接到一个称为骨干VR的VR上，然后再连接到骨干网。骨干VR在功能上和其他VR没有什么不同，它仅仅是一个被特殊配置和应用的VR，并且骨干VR不需要了解运行在每一专用VR上的路由。骨干VR可以在ATM、FR、IP或MPLS网络上实现。