应用情况
目前的VPN所能做到是取代远程拨号接入和节约资金,节约资金的程度取决于使用规模的大小。首先,需要有更好的服务质量(QoS)工具,VPN才可能真正地取代数据WAN;其次,各厂商的VPN设备之间必须具有互操作性,才能使自已的外部人员安全访问自己的网络不再是件麻烦事。随着IETF制定VPN标准工作的进行,以上两点很快就会实现。
IP VPN首当其冲实现的功能是作为远程接入的替代技术。远程用户不再需通过昂贵的800 号码或长途直拨呼叫企业远程访问服务器,而是向一家ISP发出本地呼叫。一家保险公司过去一直用的是一个800号被叫服务业务,每月支付8,000到10,000美元,只有10个用户可以同时使用800号码拨入到企业网络。最后,该公司的管理人员决定投资约20,000美元安装一条连接到Internet的T-1线路,并购买一台VPN服务器和远程客户机软件。公司管理人员对这一改变的评价是:“这条VPN非常稳定。我们每次可以毫无问题地任人们连续使用六或八个小时。”
另外,VPN也非常适于连接主要企业站点,如果你不在意不确定的服务质量的话。在IT 服务公司中,用一条VPN取代一条T-1线路节省的资金足以补偿Internet 链路上的时延。迄今为止,应用提供的QoS还不是服务提供商提供的选项。QoS, 保证只适用于所有传输流的网络传输时间。因此,电子邮件与资源管理应用具有同样的优先级。
加密是QoS中的美中不足之处。当传输流被加密后,由于标记QoS的比特不能为网络路由器所读取,因此QoS很难得到保证。这个问题在IPv6中通过增加包括QoS信息的额外的非加密包头域得到了解决。这些信息可能可以为任何路由器所读取。当然,IPv6还没有得到广泛地应用。
关于应用质量的评价
电信咨询公司分析员说,在不具有减少时延、保证吞吐量的情况下,VPN将只限于处理低优先级的企业传输流。他的说法是:“使VPN可以作为关键任务传输技术竞争者的工具还没有得到部署。”
但是,由于站点到站点的VPN可以很快地建立,这使VPN具有一定的吸引力,Platinum不久前被CA收购,Platinum 临时通过VPN将大约10家公司与自己的网络进行连接,他们的管理人员对此的评价是:这总比等上一个月才能建立帧中继线路要好。他们认为:“我们可以利用VPN设备在非常短的时间里连接起来,使我们可以与新收购的公司共享Lotus Notes、电子邮件服务器和内联网Web服务器。”
建立连接重要企业站点的VPN很麻烦,尽管概念简单。在理论上,你在每个站点上安装一台VPN加密设备就完事了。外联网VPN――即将业务合作伙伴连接到你允许它们访问的某些网络资源上的安全链路――在建立上尤具挑战性。
由于使用仍在开发中的IP Security(IPSec)标准对站点之间传输的数据进行加密要求通信双方共同拥有加密密钥,因此,两种方案都存在着问题。由于厂商设备间的互操作性问题,使用IPSec 中(具体地说, IETF 的RFC 2490 中)所规定的Internet密钥交换(Internet Key Exchange,IKE)认证协议的工具一般不能很好地工作,除非用户在每个节点上都使用同一家公司生产的设备。但是,由于财务、后勤以及政治上的原因,要想让你的业务合作伙伴安装相同厂商生产的设备是很难的。
另一种选择是线外交换密钥。然而,这种方式非常麻烦,并且也不安全,因为它失去了许多优点,如通信过程中选择加密算法的功能,而这是IKE定义的一种特性。 VPN设备制造商认识到了密钥交换问题,并正在解决它。许多厂商经常参加互操作性完善工作。
管理上的挑战
除了VPN的一些主要本质问题外,厂商仍在对一些枝节问题进行研究。
分发VPN客户机软件,并保持成千上万个远程接入用户的是相同的软件版本,这是在使用VPN时的一个挑战。许多厂商采用远程下载客户机软件的同时,等待 Windows 2000客户机软件的发行,微软曾宣布Windows 2000客户机将支持IPSec。对VPN的管理也是一个挑战。如何在保持成千上万加密对话进行的同时不断更换加密密钥,这是厂商和标准组织仍在努力解决的问题。IEFT承认在使用IPSec的情况下,VPN设备没有一种快速的途径迅速了解何时他们与其它设备建立的会话出现了故障。尽管IEFT有了不少解决这个问题的建议,但该标准组织还没有采用其中哪一个建议。
显然,VPN还有一段路要走,但目前显然它已具有一定的价值。 如果你开始小规模地使用适用于你的VPN应用的话,你会随着VPN的成熟,增加你对它的了解。当它做好应用于更复杂的应用准备时,你也同样做好了准备。
外包VPN业务
如果听起来建立虚拟网络很麻烦的话,你不妨考虑从一家服务提供商那里外包它。一些ISP提供通过他们自己的骨干网连接你所有站点的一揽子服务,因而避免使用Internet。这种选择使你避免了Internet性能的不确定性,并且在链接出现故障的情况下,为你提供一定的援助。像AT&T、GTE Internetworking和UUNET这类ISP甚至提供服务水平协议(SLA),虽然这类SLA只限于可用性、包丢失以及你的传输流在它们网络上的传输速度。此外,SLA不提供防止违反安全的保证。不提供这类保证很大程度上是出于法律原因。很难定义何为违反安全,并且很难确定你所认为造成损失的价值。
无疑,让ISP为你提供VPN服务比自己建立它更容易,但是这样做存在一个缺点:服务提供商可能会在安全性上走捷径。
如果服务提供商在你的数据流到达它的网络之前不为数据流提供保护的话,就会使你的数据在你的站点至电信公司网络之间处于不安全状态。你可以让服务提供商在你站点上的一台它可以控制的VPN服务器上建立隧道。如果你打算采用这种方式的话,可以建立一个隔离区,利用防火墙使这台隧道服务器与企业网络隔离开。
MPLS的作用
服务提供商正在考虑采用基于多协议标记交换(MPLS)的VPN技术。MPLS是路由器端的传输流整形技术。如果ISP在识别MPLS的设备上建立其网络的话,就不需要客户使用具有MPLS功能的路由器来建立额外的VPN设备。MPLS虚拟路由器为每个客户VPN站点维护不同的路由表。VPN上的传输流沿预先确定的保证传输流安全的MPLS路径和交换机上传送。据说现在已经开始出现利用MPLS建立VPN的电信公司。
据市场研究机构Infonetics公司的研究发现,目前,企业更喜欢管理自己的VPN,而不愿意外包这项服务。但是,Infornetic认为,到2003年前,趋势将向资源外包的方向发展,到那时总的市场情况将是:最终用户将花费104亿美元购买自己的硬件设备,花费142亿美元购买管理服务。
