VPN具有非常出色的经济实用性,与其他WAN解决方案相比,VPN能够帮助您更加快速经济地实现业务“全球化”,大大降低一般性成本并获得快速的投资回报。通过VPN,用户可将关键任务应用扩展到远程办公室和外部网合作伙伴,使企业更具竞争力,并提高客户服务质量。VPN可以说是Intranet在公用网络上的延伸,能提供和专用网一样的安全性、可管理性和传输性能,而建设、运转和维护网络的工作从企业的IT部门剥离出来,交由专门的VPN提供商负责。对于计划迅速开展全球电子商务的企业来说,选择VPN无疑是明智之举。
为了进一步促进VPN的全面发展,今年Cisco公司推出了完善的企业级虚拟专用网(EVPN)的全面解决方案,在可扩展的平台、安全性、服务、应用和管理五大VPN实施要素方面,具有基于标准的开放式体系结构、可扩充的和端到端的网络互联能力。
这一案例是一个典型的简单VPN应用。对于用户所提出的要求,我们只需要在北京、上海、广州三地分别安装一台Cisco 1720路由器,并对路由器进行简单的软件配置便可以实现VPN功能。而由于在北京、上海、广州三地的用户数目不尽相同,因此,在将不同地点用户接入专网中时,应通过交换机接入路由器。这里我们可以选用Cisco 1924、Cisco 2924及Cisco 1912交换机。对于出差到其他城市的总经理或是销售总监如果要接入到虚拟专网当中,则可以采取以下方式:用户拨号到Internet上,通过Internet进入到虚拟专网。这要求当地ISP用有拨号访问服务器,并能提供该项服务。
此方案中VPN的实现是通过隧道(Tunnel)技术进行连接。隧道技术通过软件“叠加”在物理网络之上,是VPN“虚拟”特征的体现,它使VPN连接看起来象是线路上唯一的数据流。借助隧道VPN,还能够使用内部网络中采用的安全和优先级策略,使您能够完全控制数据流。隧道提供了一层名副其实的安全保障。
访问VPN的隧道技术包括点到点隧道技术(PPTP)、第二层转发技术(L2F)或第二层隧道协议(L2TP)。专用的内部网和外部网VPN可使用基于IPsec的技术或普通路径封装技术(GRE)来创建永久性的“虚拟”隧道。
在该虚拟专网方案中和专用网络一样,为VPN提供了有保障的带宽和差别控制的服务与应用。在Cisco IOS软件12.0版中,丰富了QoS功能和机制,包括承诺访问速率(CAR)、策略路由、加权公平队列技术(WFQ)、通用流量整形技术(GTS)和资源保留协议(RSVP),甚至支持IP QoS,使企业用户能够在不同应用和用户之间强制实现优先级和带宽分配,并内置了一个专门用来检测服务水平的响应时间报告器(RTR)。
在公用网络上搭建专用网,安全是一个焦点问题。这一方案当中采用了Cisco的安全解决方案。Cisco为此提供了一系列的VPN安全功能来实现安全保障,包括隧道技术、加密、分组验证、防火墙、入侵检测系统和用户验证。基于硬件的集成式IPsec加密,把DES或3DES加密算法与IPPCP压缩结合起来,在加密之前实现数据压缩,不仅可以实现高速加密,还提高了WAN的可用带宽。加密技术在方案中具有可选特性,也是VPN“专有”特征的体现。加密功能只应用于特别敏感的应用数据流且只能在需要时使用,因为这种功能耗费大量的处理器容量,并会对性能产生影响。基于IPsec标准的加密方案,能与其他厂商的IPsec设备实现全面的互操作。根据用户对性能的不同要求,可通过Cisco IOS软件或模块与端口适配器中的硬件在Cisco路由器中部署加密服务。Cisco 1720路由器系列具有一个可选的硬件加密模块,这是可以用于低端路由器的第一种硬件加密模块。
另外,PIX防火墙、NetRanger入侵检测系统和NetSonar安全扫描程序三者配合,最大限度地保证了企业VPN的可靠性和安全性。而这些功能都是被集成进Cisco IOS软件中的,用户可以通过简单的软件升级,透明地保护网络安全。
在这一方案当中,VPN用户还必须通过鉴定,令网络知道其身份,然后才能获得授权,了解网络允许他们做什么。一个好的系统还应该能够执行计费功能,能跟踪用户的操作,用于计费和保证安全性。鉴定、授权和计费功能合称AAA业务。CiscoSecure访问控制服务器(ACS)是一系列能够提供AAA业务的强大服务器。
VPN的管理是基于策略的,Cisco推出的Security Manager 1.0策略管理软件集成了多种关键功能,扩大了Cisco端到端的安全解决方案。CiscoWorks 2000则通过提供不同版本的IPM(Internet Performance Monitor)和ACL(Access Control List)Manager软件,增加了WAN检测扩展功能,降低了访问列表管理的复杂度。
整个方案中共采用3台Cisco 1720路由器,其每台产品的报价为3593美金,其中包括一个机箱、一个广域网模块和一套Ipsec软件。对于连接用户的交换机可以有两种方案,一种是采用Cisco 1900系列产品,一种是采用Cisco 2900系列产品,这两种产品的最大差别在于传输速率的不同,Cisco 1900系列产品是一款10兆交换机,提供百兆上联,而Cisco 2900系列产品则可以提供10/100兆自适应,以及1000兆的上联接口。Cisco 1900和Cisco 2900系列产品相比从价格上来说有较大差别,其中Cisco 1912公开报价为1343美金,Cisco 1924公开报价为1943美金,而Cisco 2924交换机的公开报价为3743美金。在北京可以选择4台24口、1台12口的Cisco 1900或是Cisco 2900系列产品进行堆叠,上海50个用户可以选用2台24口、1台12口Cisco 1900或是Cisco 2900系列交换机进行连接。广州则采用12口和24口交换机各1台进行连接。
在这一方案当中,我们选用的是Cisco 1720路由器。其实,目前所有的Cisco路由器平台都可以方便地实现VPN。经过优化的Cisco路由器集成了VPN功能、高速加密、安全、带宽管理和与WAN连接的能力,降低了VPN的复杂度和成本。该产品系列包括用于企业和地区办公环境的Cisco 7500、7200VXR和7200高端路由器,以及用于小型地区、分支机构及远程个人的Cisco 3600、2600、1720和800路由器。所有的Cisco VPN路由器都完全可以互操作,为从园区到广域网ISP,以窄带或宽带速率进行多媒体通信提供了一条可扩展的端到端链路。
为了更广泛的支持VPN,Cisco目前正在与Microsoft公司合作,以实现基于目录的组件之间的协作,同时还在IPsec兼容性方面与VeriSign和Entrust公司展开合作。Internet工程任务组(IETF)的多协议标记交换(MPLS)正式出台后,将大大简化VPN的应用,而Cisco与Toshiba公司业已完成的标记交换技术互用性测试将会加速MPLS的标准化进程。