针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
■Access VPN
Access VPN,通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。Access VPN能使用户随时、随地以其所需的方式访问企业资源。Access VPN包括模拟、拨号、ISDN、数字用户线路 (xDSL)、移动ip和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。如图1所示。
Access VPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权,保证连接的安全,同时负担的电话费用大大降低。
Access VPN的优点如下:
减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络。
实现本地拨号接入的功能来取代远距离接入或800电话接入,这样能显著降低远距离通信的费用。
极大的可扩展性,简便地对加入网络的新用户进行调度。
远端验证拨入用户服务(RADIUS)基于标准,基于策略功能的安全服务。
将工作重心从治理和保留运作拨号网络的工作人员转到公司的核心业务上来。
■Intranet VPN
越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。Intranet VPN 通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量 (QoS)、可治理性和可靠性。如图2所示。
Intranet VPN的优点如下:
减少WAN带宽的费用。
能使用灵活的拓扑结构,包括全网孔连接。
新的站点能更快、更轻易地被连接。
通过设备供给商WAN的连接冗余,可以延长网络的可用时间。
■Extranet VPN
随着信息时代的到来,各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务,通过各种方式了解客户的需要,同时各个企业之间的合作关系也越来越多,信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础,而如何利用Internet进行有效的信息治理,是企业发展中不可避免的一个要害问题。利用VPN技术可以组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。
Extranet VPN通过一个使用专用连接的共享基础设施,将客户、供给商、合作伙伴或爱好群体连接到企业内部网。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可治理性和可靠性。如图3所示。
Extranet VPN结构的主要好处是,能轻易地对外部网进行部署和治理,外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可,外部网的用户被许可只有一次机会连接到其合作人的网络。
■各厂商VPN方案
目前大型网络厂商都把虚拟专用网络作为重要市场目标。诸如3Com、Cisco、Nortel Networks、LUCent和Shiva公司等公司纷纷出击,提供各具特色的VPN解决方案。
□3Com VPN解决方案
3Com为企业和NSP提供多种端对端的VPN解决方案。所有的3Com VPN产品彼此兼容,还配备了TranscendWare软件,使用户可以对常规网络和VPN执行统一的策略。TranscendWare软件使边界设备可以与终端设备通信,进而强制执行网络策略。这些设备通过监视VPN隧道,可以更好地治理拨号端口、带宽分配、网络负载等,对VPN环境进行有效的控制。已配备NETBuilderⅡ或SuperStackⅡ桥接器/路由器的企业,可以在这些设备上增加VPN服务器能力(隧道终止器功能)。这样的一个设备,可以通过利用线路、帧中继、ISDN、SMDS或Switched 56连接到NSP,又可以通过Ethernet、Token Ring和ATM提供LAN连接。
图2 Intranet VPN应用示意图
3Com公司的VPN解决方案的优点在于,能够很轻易地集成到多厂商产品的网络中,且支持多种环境:移动用户和居家工作者;通过虚拟租用线路连接分支机构办公室;通过安全的Extranet连接商业伙伴。3Com公司推出的基于L2TP(Layer2 Tunneling PRotocol)和扩展型IPsec(Internet Protocol Security)的最新强化软件,从而进一步为用户扩展了VPN解决方案。
3Com的隧道交换机提高了VPN的安全性和灵活性,可以带来以下好处:
很轻易区别对待远程职工的信息流和合作伙伴与客户的信息流。
各部门可以共用一个Internet接口。
可以最终利用IP地址空间。
使远程用户很轻易成为VLAN(虚拟LAN)的成员。
□Lucent VPNWorX
Lucent VPN解决方案将电路交换式语音VPN和智能网络功能的优良传统,与原Ascend通讯公司的VPN体系-以数据为中心的MultiVPN创新技术结合起来,创建了语音和数据相融合的新型VPN服务。
图3 extrant VPN应用示意图
Lucent VPNWorX,对企业来讲具有无需牺牲类似专用网的控制能力,可以获得VPN的所有好处。VPNWorX解决方案中的产品,涵盖了供给商/用户环境,包括Lucent完善的产品方案,如电信级接入平台MAX和MAX TNT;多业务交换机GBX500、GX550、B-STDX8000/9000和Nexabit NX64000。IP Navigator MPLS使服务供给商能够建立一个可以提供全新IP服务-Quality IP的基础设施。Internet安全产品包括VPN Gateway和SecureConnect。Pipeline和远程接入产品提供了集成化VPN路由和防火墙保护功能。并且,该方案具有通过QoS和SLA保障,提供要害型性能、策略化联网能力、端到端服务和网络治理及智能网络等增值功能。
□Cisco EVPN
Cisco推出的企业级虚拟专用网(EVPN)全面解决方案,在可扩展的平台、安全性、服务、应用和治理五大VPN实施要素方面具有基于标准的开放式体系结构、可扩充的和端到端的网络互联能力。
和专用网络一样,Cisco为VPN提供了有保障的带宽和差别控制的服务与应用。在Cisco IOS软件12.0版中,丰富了QoS功能和机制,甚至支持IP QoS,使企业用户能够在不同应用和用户之间强制实现优先级和带宽分配,并内置了一个专门用来检测服务水平的响应时间报告器(RTR)。
图4 Netbuilder 系列产品
Cisco提供了一系列的VPN安全功能来实现安全保障。基于硬件的集成式IPsec加密,不仅可以实现高速加密,还提高了WAN的可用带宽。PIX防火墙、NetRanger入侵检测系统和NetSonar安全扫描程序三者配合,保证企业VPN的可靠性和安全性。而这些功能都是被集成进Cisco IOS软件中的,用户可以通过简单的软件升级,透明地保护网络安全。
目前,所有的Cisco路由器平台都可以方便地实现VPN,经过优化的Cisco路由器集成了VPN功能、高速加密、安全、带宽治理和与WAN连接的能力,降低了VPN的复杂度和成本。该产品系列包括用于企业和地区办公环境的Cisco7500、7200VXR和7200高端路由器,以及用于小型地区、分支机构及远程个人的Cisco3600、2600、1720和800路由器。所有的Cisco VPN路由器都完全可以互操作,为从园区到广域网ISP,以窄带或宽带速率进行多媒体通讯提供了一条可扩展的端到端链路。
□华为VPN方案
华为提供了各种有效的VPN解决方案,包括:Access VPN、Intranet VPN、Extranet VPN及结合防火墙的VPN解决方案。各方案中,Quidway系列路由器具有VPN网关功能,是组建VPN的重要设备之一。Quidway系列路由器支持各种VPN技术,包括隧道技术、IPsec、密钥交换技术、防火墙技术、QoS与配置治理等,并可继续发展,支持越来越多的先进技术。
图5 Cisco 3600系列路由器
其中,VPN与防火墙的结合使用,可以利用防火墙的许多安全特性在VPN上建立更加安全的网络环境,增强抵御黑客攻击、禁止非法访问的能力。公司内部特定的用户可以访问Internet网络,但是Internet网络内的主机不能通过防火墙访问公司的内部网络,只答应访问位于DMZ(非军事化区)的内部服务器主机,公司的外地办事处机构可以利用VPN和总部建立安全的私有隧道,以访问总部的资源。
