刘志东
什么是VPN?
VPN,Virtual PRivate Network(虚拟专用网络),即利用公用网如Internet来搭建企业的私人专用网络。当需要时,VPN从公用网中独占一部分带宽,作为私用网使用;当VPN通讯结束后,这部分带宽又还给公用网。“虚拟”的概念是相对传统私用网络搭建方式而言的,VPN不需要建设远程连接,而是通过服务提供商提供的公用网来实现广域连接。
近年来宽带的蓬勃发展带动了VPN及其架构在其平台上的各种高速网络应用如视频会议、企业ERP/大型分布式海量数据仓库应用等等的迅猛发展,而VPN的应用反过来促进宽带内容的丰富,进一步激活宽带用户的应用,宽带VPN的应用日益成熟并成为一种全新的非接触沟通模式,从费用、可靠性、管理和便于连接等几方面来看,它可能成为下一波的技术与市场热点。
根据VPN虚拟专用网的组网原理,当创建VPN网络时一般情况下要求隧道的至少一方具有固定的ip地址(有很多产品还要求双方都具有固定的IP地址)。由于申请固定IP地址的月租费远远高于动态IP地址的月租费,因此如果用户想采用宽带接入进行VPN组网的话,如两端均申请动态IP地址的宽带接入方式将大大降低组网成本。
NETGEAR美国网件公司创新地采用FQDN技术,并与国内最大的DDNS运营公司(“花生壳”)结盟。用户可免费从NETGEAR的合作伙伴处申请到DDNS(动态域名解析服务),组建VPN网络时支持网络的两端均为动态的IP地址,从而可低成本地组建VPN网络。NETGEAR公司的VPN产品为用户组网带来巨大的好处,如只需申请普通的ADSL接入,就可方便便宜地组建VPN虚拟专用网,实现多分支机构的广域网互连和公司远程员工的远程访问了。
宽带VPN产品及其应用
VPN宽带产品一般首先也是宽带路由器产品,具有一个10Mbps 或10/100Mbps 的广域网口和多个10/100Mbps的局域网口,可同时实现局域网用户的Internet接入。另外,不同类型的VPN宽带路由器还会具有一些如结合全状态数据包检测型防火墙 (SPI Firewall)、防黑客攻击、Internet访问内容关键字过滤、日志记录、防病毒、虚拟服务或虚拟主机(DMZ机)、支持动态IP地址连接的动态域名解析服务(DDNS)、无线WLAN接入等许多功能。NETGEAR的VPN宽带路由器结合防火墙的安全机制采用ASIC芯片,在硬件中处理防火墙访问策略和加密算法,这方面运算的速度是软件类方案不能相比的;同时它还可以省出中央处理器资源用于管理数据流。目前,其他采用PC或工作站作为平台的软件类方案,往往令系统性能大打折扣。而NETGEAR的FVM318提供了业界第一个无线局域网VPN方案,可提供70路有线VPN和32路无线VPN 3DES的IPsec隧道,体现了无线和有线、灵活接入和安全传输的有机结合。
用户选择宽带VPN产品,应注意该产品:
●最好能通过VPNC测试,与其他通过IPSec认证的厂商设备兼容;
●支持DES、3DES或AES(最高256位)加密,使用数字证书(PKI X.509),自动的或手动的IKE,安全问题是重中之重;
●SHA-1和md5认证;
●是否易于配置和维护管理,并支持动态域名(DDNS),全面节约设备、线路、运行、管理的费用;
●同时支持网状式(mesh)及集中星型(hub and spoke)的VPN网络,常见的VPN网络设计主要采用典型集中星型VPN拓扑,可允许按VPN部署的需求,配置用其一或整合两种网络拓扑或全网状拓扑提供主要站点之间的高性能冗余链路。
一般VPN的解决方案根据应用环境的不同分为三类:
●access VPN:也称为VPDN,主要提供给公司内部在外出差、移动办公和在家中办公的人员与公司建立通信,都需要用到这种VPN连接方式,能够为他们提供安全、快捷的VPN隧道连接。
●Intranet VPN:主要提供给公司内部各分支办公室与中心办公室之间建立通信。适用于总部与多家分公司或分支机构之间的连接,就要用到这种VPN 连接方式,能够把保证公司总部与分公司或分支机构之间数据传输的安全。
●Extranet VPN:主要提供给合作伙伴和重要客户与本公司间建立通讯。用这种VPN 连接方式保证公司与合作伙伴之间数据传输的安全。
一个通过宽带互联的整体全面的VPN解决方案见图:
VPN网络的典型构建
一个量身打造的VPN解决方案能够同时具有以下的特点:灵活性(根据安全策略正常访问互联网或按需转为加密隧道传输)、安全可靠性(网关防火墙保护关键数据传输确保重要信息不被窃听)、全面节省费用(线路、设备、运行、维护管理等的费用)、强大的安全性(不需要其他通用平台的支持以保证极高的安全性)和兼容性(保护原有投资,花好每一分钱)。
宽带VPN的技术发展
针对宽带的应用而言。目前VPN产品会朝以下几个方向发展:
1.多功能一体化,更加紧密结合防火墙和Internet过滤技术。适用于中小企业网络的VPN产品在设备上会更多地集成打印服务器、无线局域网接入点、多宽带接入端口或各种更灵活的宽带接入和认证方式等。
2.支持更强的QoS服务质量保证。如更有效地支持IP语音、视频会议、多媒体流等等应用。
3.增强的硬件加密功能和安全功能,提供强大的攻击防御能力。
4.具有一定灵活性的软硬接口模块,可实现与当地ISP服务的合作建立增殖的VPN服务网络(VAN)。
----《通信产业报》
