科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道用无线接入为企业搭建VPN网络[3]

用无线接入为企业搭建VPN网络[3]

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

宽带无线接入的最大特点是组网迅速、灵活,能以最快的速度为用户提供服务。它可提供诸如无线Internet接入、无线VPN、IP电话、VOD视频点播、局域网互联等多种业务种类。其中,企业用户更关心的是如何利用宽带无线接入组建自己的VPN。

来源:论坛整理 2008年8月17日

关键字: 攻击防范 网络安全 VPN

  • 评论
  • 分享微博
  • 分享邮件
组建何种类型

    根据VPN设备在网络中安装位置的不同,可分为两种类型的建设方式:基于客户端设备的VPN和基于网络的VPN。

    早期的VPN是通过在客户端,放置在多厂家生产的VPN硬件或软件来实现的,称为基于客户端设备的VPN。目前市场上的软硬件设备,有的是专为基于客户端设备的VPN而设计,有的则是在原有设备(路由器、防火墙)的基础上加以改进,使之具备VPN功能。由于客户端设备来自不同的厂家,彼此缺少互操作性测试,随着时间的推移和新功能的增加,基于客户端设备的VPN将变得难以管理和提供业务。每种VPN设备具有不同的参数配置要求,运营商不可能在网管中心进行统一大批量的配置。

    基于客户端设备的VPN由于需要在每个客户端放置VPN设备,造成客户的初期投资较高,运营商需要到每一个客户处进行现场安装、测试、维护。运营商不仅需要在POP点安装线路复用设备和高速接入路由器,还需要投入大量资金购置客户端设备,缴纳VPN软件的使用费。通常这些费用将转移到客户的身上,使客户难以承受,而影响VPN业务的推广。基于客户端设备的VPN方案也需客户进行另外的投资,为客户端设备提供正常的工作环境,如增加空调设备。

    基于客户端设备的VPN存在以下的缺点和限制:

    初期投资费用高——需要在每个客户端安装VPN设备,需要进行安装调试,系统运行中故障排除更为复杂,运营成本增加。

    可靠性差——当新的功能增加时,将会造成网络业务中断,不具备运营级的质量。

    可管理性差——系统难以进行集中统一管理,不能获得系统的整体视图,不能准确地进行系统监控和业务计费。由于这些设备彼此独立、缺乏协作,运营商很难提供高附加值的业务。

    可扩展性差——系统很难增加新的功能。每项新功能的增加,需要全部客户端设备的功能升级,费用高,管理和操作困难。

    基于网络的VPN能够让运营商通过POP点运营单一的VPN平台设备,有效创建、布置、管理VPN业务,同时支持几千个用户,而不需要在客户端安装VPN设备,VPN用户只需通过普通的路由器、LAN交换机接入运营商的网络中,由运营商网络中的VPN设备提供所需功能。

    基于网络的VPN把VPN的功能和应用等智能地从企业客户端移到运营商网络中的VPN设备上来实现,不需要在客户端布置VPN的硬件和软件,且完全在运营商的控制之下。

    由于基于网络的VPN平台和运营商的接入和核心网络设备可以实现无缝集成,此时,运营商提供的VPN将能保证端到端的跨越整个网络的QoS和SLA。通过客户管理系统,客户可以观察到其VPN的运行情况、收集VPN性能和SLA进行监视和对比,对其企业网络进行控制。基于网络的VPN支持IPSec、L2TP、PPTP、代理防火墙、密钥管理、入侵检测和MPLS等。这些特性的支持,将为运营商提供各种复杂的VPN应用。

    基于网络的VPN具有以下优点:

    可靠性高——为不间断运行的高性能业务提供平台,能够处理复杂的VPN业务,具有运营级质量。

    可管理性强——通过网管中心的集中统一管理,运营商能够快速方便地布置、提供、管理包括VPN在内的各种可管理的业务。通过CNM,企业用户能够对自己的VPN网络进行监视和控制。

    可扩展性强——运营商不需对每个客户的客户端设备进行安装调试,当新的功能需要增加时,只需对位于POP点的VPN业务设备进行升级。

    总体成本低——由于不需要在客户端安装VPN设备,就无需进行维护,简化了系统的运营。同时,单一VPN系统能够支持多达几千个用户,支持各种可管理的IP业务。

    使用基于网络的VPN,企业用户能够对自己的VPN进行性能监测和控制,能够获得不间断的高性能服务,对于企业那些关键性的业务运行至关重要。用户也不需要对客户端设备进行费时复杂的维护。

    使用何种技术

    利用Internet作为计算机通信的公网,建立基于IP的虚拟专用网,即IP VPN,在技术和经济上优点很多,对推动企业网络的应用和电子商务的发展有重大的价值。

    虚拟路由器(VR)是通过软件实现的模拟物理路由器。VR有独立的IP路由表和转发表,并且各VR相互独立。这意味着VPN的地址空间可以相同,但同一VPN内的地址必须惟一。基于VR的IP VPN可以提供基于每VPN的路由、转发、QoS和业务管理能力。基于概念构建的VPN和基于物理路由器的VPN有完全一样的机制,并且继承了现有的配置、实施、运行、故障恢复、监测和计费的机制和工具。

    使用VR实现VPN有两种方案:

    通过第二层VR到VR的连接,VR可以在FR或ATM连接或第二层传输技术之上实现。这种类型VR的实施允许直接在每个VPN连接上实现QoS。第二层连接可以静态配置或动态建立。

    多个VR聚合到一个VR上,把多个VR连接到一个称为骨干VR的VR上,然后再连接到骨干网。骨干VR在功能上和其他VR没有什么不同,它仅仅是一个被特殊配置和应用的VR,并且骨干VR不需要了解运行在每一专用VR上的路由。骨干VR可以在ATM、FR、IP或MPLS网络上实现。 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章