还剩13页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
集团用户VPN接入网解决方案组成一个属于自己的互联网络一直是集团用户的长远需求和追求目标,尤其在当前信息已作为一种生产要素的情况下,如何快速获取信息已变成集团用户需要解决的重要课题由于传统互联网络拨号PSTN、DDN、FR、N-ISDN存在缺陷,始终没有能为集团用户构建起一张安全、可靠、高速的能实现语音、数据、视频一体化传输的综合性网络集团用户强烈的信息网络化需求,促进了VPN网络技术的快速发展,目前已出现了较为完善和可行的解决方法一集团用户的业务需求1OA办公需求:主要是完成日常办公作业,进行近距离或远距离的快速数据交换与传输,从而达到提高办公效率和缩小日常开支的目的如公安单位,需要网络为其实现网上户口申报,案件通报,事故处理,信息公告和查询等业务通过网络可以使分布在各地的用户如在同一个虚拟办公室内办公2主营业务需求:部分集团用户对网络的依赖程度相当高,其主营业务必须在网络中得以实现比如银行,网络为其承担着储蓄、信用卡、电子汇兑、代收代付和一户通等业务网络已成为企业经营十分重要的组成部分,主营业务网络化需求远远超过了用户的OA办公需求3语音的需求:集团用户内外部的电话联系一般租用电信的PSTN,但申请多条电话模拟线路需花费企业许多资金,尤其长途话费更是昂贵,因此建立一个属于自己的内部语音通信网络的需求日益迫切4视频的需求:集团用户已不满足对纯数据业务的需求,有形的视频图像已成为企业十分有效的管理方法和手段如银行系统需要各重要部门的保安监控,公安、交警需要实时的场所、道路监控等等二集团用户对网络的需求越来越多的集团用户希望构筑属于自身的宽带VPN网络,他们对网络的一般要求是:1宽带的网络:集团用户过去多采用传统方式拨号PSTN、DDN、FR、N-ISDN组网,由于传统网络窄带的限制,使许多的增值业务无法顺利开展,并且传输速率过慢,使工作人员对网络信心不大同时,随着集团用户业务信息的不断增加和外界竞争的加剧,使网络的宽带化需求表现突出有了网络,还必须有宽带作为支持2灵活的网络:网络建设是一项耗资较大的工程,对于一次投资总期望能有较长的使用周期频繁的网络替代和设备更换,对用户无疑是资金的大量浪费因此需要组建十分灵活的网络,有利于进一步拓展和升级,最大限度地保持和利用现有网络的投资价值3可靠的网络:可靠性是网络赖以生存的基础,没有良好的可靠性,网络将无法撑起需要开展的各类业务,网络是没有生命力的,最终必将被淘汰一般数据网络的可靠性要达到
99.999%的高要求4安全的网络:尽管是集团用户的内部网络,也存在安全保障的要求不同部门和不同种类业务之间的数据传输必须保证其相对的安全性和绝对的安全性5便于管理和维护的网络:建设完一个成功的网络,接下来的工作就是如何去运营、管理和维护规划设计的网络必须有利于用户对全网链路和传输业务的控制,方便于未来网络的日常管理和维护,尽可能提高网络管理的智能化程度,只有这样,建成的网络才具有更强的生命力三集体用户的网络现状
1.网络的基本拓扑图传统企业网络的组建一般借助于电信的窄带联接方式,主要有X.
25、DDN、FR、N-ISDN等方式,甚至部分网络采用拨号PSTN的组网方式我们举一个银行传统组网的典型例子来加以说明:假设某银行现有网络以市行为中心,对下联接各支行及业务网点,对上联接省分行中心,对外联接人民银行及相关业务单位具体结构如图1所示从网络联接上看,由三个部分组成:1下联下联主要通过X.25和FR两种方式实现,具体地看:门市业务主要是在TCP/IP上通过X.25直接延伸到各个业务网点,公文收发和管理信息网则是通过FR帧中继延伸到各个支行2上联上联主要通过X.25和DDN两种方式实现公文收发和管理信息网则是通过DDN上联省分行3外联外联主要通过X.
25、DDN和拨号三种联接方式如与中国人民银行是通过X.25进行联接;与移动联接是通过DDN来实现,而与传呼台、报社等联接则是通过异步电话拨入联接方式实现
2.现行网络体系存在的缺陷1带宽缺陷DDN和F.R技术是一种传统的窄带网络技术,一般带宽以128kb/s以下为主,X.25为主要联网手段,能满足早期的业务通信要求随着电子化应用的不断深入,网络负荷日益加重,这种通信方式也难以承受目前业务处理的需要,不但影响了现有业务,还限制了新业务的开拓2稳定性和可靠性差由于X.25固有可靠性和稳定性差的劣性,加上为适应业务需要而被动申请的补丁式的线路,在现有的网络架构下无法进行有效的规划,在一定程度上降低了网络运行的稳定性和可靠性3成本高,管理维护难度大在现有的网络架构下,无法对线路的使用进行复用和优化,造成线路成本和维护费用大幅提升,也大大降低了管理和使用水平四VPN新技术解决方案
1.MPLS-VPN的选择VPN是一个十分广泛的概念,上述传统网络也组成一个VPN网络VPN根据用途不同可分为:VPN接入网、VPN局域网、VPN外联网这里我们只讨论VPN接入网的解决方案VPN接入网有多种组成形式,大致可分为四类第一类:IPSEC;第二类:隧道,采用I2TP、L2F、GRE方式的VPN;第三类:ATMVC,包括Fr、ATM-VPNIP-VPN;第四类:MPLS-VPN其中,第一类IPSEC,是一种基于加密方式的VPN,其安全性相对较差,对于要求高的网络一般不会采用第二类、第三类方式构造的VPN有一个共同特点,是面向连接的VPN对于第二类而言,属于VPN的所有CE-Router之间需要与服务供给商的网络建立隧道Tunnel进行网状连接,从而导致整个网络维护困难,不具备可扩展性第三类ATMVC提供的也是面向连接的服务,这种服务主要由ATMVC来完成,只能有VC连接的节点才能建立相互通信和接收,从而导致配置复杂,增加和删除用户非常麻烦和困难第二类和第三类都是基于二层的连接,其路由存在N2的问题,对于组建大型网络,日后的营运和管理将十分困难第四类MPLS-VPN,MPLS是一种标记交换,具有非面向连接特性,也即CE-Router只需要与邻近的一个PE-Router建立连接即可,没有必要与所有同一VPN网中的其它CE-Router建立网状连接正是由于这一特性,MPLS-VPN才有良好的可扩展性和可维护性在构建MPLS-VPN网络中,还存在ATM和IP交换技术,由于IP本身是一种面对非连接协议,因此,使用IP-VPN更加具有优势并且由于ATM协议和规划建设的复杂性及85%网络组建基于IP技术,选择IP建设MPLS-VPN已成为主流
2.接入方式的选择宽带IP网的用户接入形式无外乎三种传输媒介:电话双绞线、电视同轴电缆线、电脑五类线,根据用户不同的需要为其提供不同的接入方式针对广电来说,接入方式的选择主要有IP接入方式和HFC接入方式,也即10/100/1000Mb/s接入方式和HFC网上的CableModom接入方式HFC接入方式是带宽共享机制,对集团用户的专线带宽特定要求无法保证,并且CableModom的实现需要完美的HFC双向网的支持,没有可靠、科学的HFC网络作为依托,采用CableModom为集团用户提供全面的网络接入解决方案是不可取的由于用户长期对网络宽带的迫切需求,不会有用户继续选择低速的传输技术来组建自己网络,宽带是当前用户网络接入的第一需要,而CableModom共享几十兆的带宽分配方式是远远无法满足用户需求的IP接入方式,也即10/100/1000Mb/s接入方式,是采用电脑五类线接入用户的方式,具有上下兼容,接入形式简单,带宽升级容易等优点该接入方式无需带宽分配和调制解调设备转接,就可以方便地联接用户的内部局域网和电脑主机对用户需求低速度的接入点,可通过IP设备端口的限速功能,设置该端口数据传输的极限速率,从而为其提供所需求的带宽,并留有相当的带宽余地,为后期用户带宽的升级提供极大的方便综合考虑,接入集团用户的物理线路采用10/100/1000Mb/s的五类线接入方式最为简便、科学和奏效由于10/100/1000Mb/s以太网接入的五类线传输距离较短,因此,可采用单模或多模的光收转换设备来增加传输距离对于组建大型集团用户的VPN接入网,采用光纤作为长距离的线路联接是最为有效的,并且采用光纤作为传输介质比其它任何一种传输介质来得更为可靠和安全所以,采用光纤作为长距离传输,采用10/100/1000Mb/s的五类线接入方式是最为理想和切合实际的VPN解决方法,具有组网简洁,思路清晰,容易兼容和升级的特点,是一种集团用户拟定自身宽带IP-VPN的最佳方式
3.IP设备的选择a.PE设备的选择MPLS是介于OSI的第二层和第三层之间,在MPLS组成的VPN骨干网络中,设置在各机房内的骨干路由交换设备,也即大网的PE端设备,都必须具有MPLS交换功能同时对于每个机房所提供的用户接入点而言,PE设备还必须具有十分强劲的三层路由交换功能,才能让用户的客户端在不增加任何设备的前提下,采用用户原有的IP地址或自身新规划的IP地址顺利接入到MPLS-VPN大网中来b.CE设备的选择集团用户的各个接入点将分布在MPLS-VPN大网的各个分布式机房内,属于某个机房所覆盖的集团用户接入点上联大网的PE设备将在该机房内汇聚由于大网中的PE设备具有十分强劲的三层路由交换功能,因此所覆盖到的集团用户位于同一平面接入该机房的PE设备,也即对各个接入点是一视同仁地接入PE设备,而由大网的PE设备来为其做路由的分发和传送故此对于集团用户的CE设备而言,无需添加各种三层路由功能除非集团用户在组建一个城域的VPN网后,某个核心接入点还需要与其他接入点实现广域网联接比如说,某个市级单位接入点,已以其为核心组建了城域的VPN网,同时还必须要实现联接省级单位和其他外联单位对于市级单位的城域网VPN内部接入点而言,完全可以由大网的PE设备来全面完成各个不同接入点的不同网段和路由之间的转发和联接而对于实现省级单位和其他外联单位的广域网联接必须具有新的路由策略,可见需要增加一台具备三层路由功能的设备,除非这些接入点也被一视同仁地接入到同一VPN城域网中来因此对于位于同一VPN中的用户接入点,在其客户端仅需配置具有二层功能的交换设备即可,而无需配置三层功能的设备在选择二层交换机的型号时,可根据用户需求和网络规模的大小来配置相应不同的高低层二层交换设备比如,对于接入电脑多,却接入网段很多的接入点,可采用高端路由设备如Cisco2924/10/100Mb/s自适应和Cisco192410Mb/s设备;如网络较小的可配置Cisco1548等集线器设备上述讨论的是所有的集团用户被一视同仁地接入到同一VPN网络中来,在同一VPN各个接入点的访问权限是不受限制而且是相同的由于MPLS-VPN组成的大网是全网状的通信方式,因此每一个接入点的访问权限没有等级和主次之分而在实际的用户VPN大网的建设中,各个接入点的功能和职责是不尽相同的各个接入点对网络的访问需要设置访问控制列表,比如,市级单位希望能访问县级单位和区级单位,而不希望县级单位和区级单位之间去实现互访,或希望限制某些单位直接能访问到市级单位等等处理该类需求有两种解决办法:第一种,访问控制列表设置在大网的PE设备上,也即由服务提供商来控制各个接入点的访问权限这种解决办法对集团用户来说是不愿意采纳的,因为控制权被服务提供商所掌握,对VPN网络的私有和安全性失去信心反过来,对于服务提供商而言,掌握的是不该和没有必要掌握的权力,过多地了解集团用户的VPN网对服务提供商只会带来坏处第二种,访问控制列表设置在客户端的CE设备上,这就要求客户端的设备必须具备三层的路由功能,即必须设置路由器,这对于用户和服务商来说是一种较好的解决办法,但增加了用户的投资,不过不是所有的接入点都需要设置访问控制五实例说明杭州市某集团用户VPN专网总拓扑结构如图2所示:图中虚拟VPN专网中包括三个部分接入:市级单位总部接入1000Mb/s,各县区级单位接入100Mb/s,乡镇级单位接入10Mb/s图2是VPN网络的组成示意图,而在实际的网络拓扑结构中,一般一个城市的地图上我们会规划若干分机房,根据城市的大小,设立数量不等的机房设置分机房的目的主要是想采用更多的分布式机房来分流各个业务接入点的接入数量,缩小每个机房的覆盖范围和用户服务数量在分布式机房内设置高端的路由和交换机设备,通过这些设备使各个机房点之间形成强壮的环状和网状的连接而在各个机房内设备又可分为骨干层和接入层设备骨干层设备主要用来完成数据的快速传输和链路中断后的快速收敛,并且通过该设备使骨干网在各个机房之间形成看不见的网状网通信,从而减少通过物理层去实现的压力而接入层设备则主要是为用户提供各种各样的接入方式,接入层是各种业务用户的数据汇聚层,是宽带IP网络连接用户,直接为用户提供服务的接口有了机房接入层设备,所有的接入用户就可以通过上联骨干层设备来组成同一网络中各个接入用户之间的网状网通信因此,我们只要把集团用户全部接入到相应分布式机房内即可,从而保证各个接入点在逻辑上形成网状网的通信格局,而不必采用类似电信DDN或FR的物理层组网方式六结束语宽带IP网组建的MPLS-VPN是当前集团用户的极佳选择,通过在改造后的有线电视网络上构架IP接入网,已能顺利解决集团用户VPN建设问题实践中,这种解决方式已得到客户认可,并由此对广电的宽带IP网充满信心这种解决方式正在与客户逐步达成一种共识,想必能够形成一种很好的方案解决模式详解虚拟专用网VPN摘:虚拟专用网VPN是网络的一项重要的增值服务,本文描述了VPN接入网的基本概念、分类、VPN的关键技术以及VPN数据和路由的管理1虚拟专用网虚拟专用网VPN是指在公用网络上建立专用网络的技术,用户可以凭借公用网的环境,把属于自己的网络用户终端、有关的接入线路、模块及端口模拟成自己的专用网,并由专网管理人员通过VPN管理站对所属网络各部分的端口进行状态监视、数据查询、端口控制和测试以及告警、计费、统计信息的收集等网络管理操作,公网的管理人员协助管理各个VPNVPN将企业的远程用户、分支机构、业务伙伴及出差的办公人员等通过特定的加密隧道连接起来,构成扩展的企业网,由于不需特别的专线租用,成本可大幅降低VPN具有很好的扩展性,当网络扩充与远程办公室、国际区域、远程计算机、漫游的移动用户以及由于商务要求的商务伙伴等连接或是变更网络结构时,企业只需依靠提供VPN服务的ISP就可以随时扩大VPN的容量和覆盖范围VPN相对于专线而言,在价格上有着绝对的优势;相对于普通PSTN拨号连接,VPN在安全性、保密性上又更胜一筹传统的VPN基本是建立在帧中继和ATM基础上的,最主要的局限性是任何两点之间的通信都需要直达虚电路连接,降低了网络的灵活性IPVPN是指构建在公用IP网络之上的VPN,已成为目前VPN主流,基于MPLS的IPVPN是IPVPN发展新阶段2VPN分类按接入类型划分拨号VPNVPDN和专线VPN,VPDN是通过公网远程拨号方式构筑的VPN;专线VPN是通过专线为接入ISP边缘路由器的用户提供的VPN专线VPN为用户提供安全可靠并具有QoS的虚拟专网,它包括基于虚电路的VPNVCVPN和基于IP隧道的专线VPN按协议类型划分基于第二层服务的VPN和基于第三层隧道的VPN,第二层服务的VPN是通过公共的帧中继或ATM网组成的VPN,它根据用户数据包的二层地址例如MAC地址、帧中继的DLCI、ATM的VPI/VCI等在网络的第二层对数据包进行转发,服务提供商网络负责提供用户间的第二层链路连接第三层服务的VPN为IPVPN,它利用IP设施在服务提供商网络边缘的路由器之间建立点对点隧道,转发用户数据包是以IP地址为依据的安全性是IPVPN的关键的要求,IPVPN通过安全的IP隧道来保证网络信息的机密性、完整性、可鉴别性和可用性按业务类型划分分为拨号VPNVPDN、虚拟专用线VLL、虚拟专用路由网VPRN和虚拟专用局域网段VPLSVPDN是通过公网远程拨号方式构筑的虚拟网虚拟专用线VLL是服务提供商在IP网上,通过隧道为用户仿真一条虚拟专线,主要用于安全可靠,并具有一定QoS保障的VPN,实现协议有IPSec、GRE、L2TP和MPLS等VPRN用IP设施仿真出一个专用多站点广域路由网,数据包的转发是在网络层实现的,实现协议有IPSec、GRE、L2TP和MPLS等VPLS利用Internet仿真一个LAN网段,协议完全透明,用于提供透明LAN服务按应用分类分为接入虚拟网、内部网VPN和外联网VPN按VPN的部署模式分为端到端模式、供应商?企业模式和内部供应商模式以上分类也可分为基于网络型的VPN与基于用户设备型的VPN,它们之间的根本区别是谁去提供IPVPN网络的维护基于网络型的IPVPN模型侧重于由VPN服务提供商提供网络业务,VPN用户可以将VPN服务完全外包给VPN服务提供商,这样它对运营商网络的要求较高,而对接入用户的要求比较灵活;用户设备型的IPVPN模型侧重于用户自身网络应用的实现,用户需要特殊的设备来建设自己的VPN网络,同时用户需要专门的网络人员去维护自己的网络及业务的需求当然也可以由VPN服务提供商和用户共同承担3VPN的关键技术VPN架构在公用网络服务商所提供的网络平台之上的逻辑网络,用户数据在逻辑链路中传输而不是传统专网上端到端的物理链路实现VPN的关键技术是隧道技术、加解密技术、密钥管理技术和身份认证技术采用隧道技术的目的是要保证VPN中分组的封装方式和使用地址,与承载网络的封装方式和使用的地址无关隧道是在服务提供商网的边缘路由器间建立点对点的逻辑路径,隧道具有复用、支持多协议传送和帧排序功能根据隧道在OSI模型中所处的层次,隧道技术分为第二层隧道技术和第三层隧道技术第二层隧道协议有第二层转发L2F、点对点隧道协议PPTP和第二层隧道协议L2TP等,它们以第二层PPP协议为基础,先把各种网络协议封装到PPP中,再把整个PPP数据包装入隧道协议中第三层隧道协议有IP安全协议IPSec或通用路由封装GRE4VPN数据和路由的管理路由是指通过相互连接的网络把信息从源地点传递到目的地的途径路由包括寻径和转发,寻径是选择一条从源网络到目的网络的最佳路径;转发是沿寻径好的最佳路径传送数据包IP路由选择方法可分为静态路由与动态路由、直接路由与间接路由、单路径与多路径路由、层次式路由与非层次路由、域内路由与域问路由以及距离矢量路由与链路状态路由等路由选择利用路由算法来计算和确定到达目的地的最佳传输路径路由协议根据运行在一个自治系统内部或自治系统之间,分为内部网关协议IGP和外部网关协议EGP例如路由信息选择协议RIP和开放最短路径优先协议OSPF为内部网关协议,边界网关协议BGP为外部网关协议BGP的边界是指自治系统的边界,用于在自治系统之间传递路由信息的域间路由协议;也可用于一个AS之内,运行BGP的边缘路由器穿越中转AS到其它AS之间的通信提供一个隧道为对运行在AS之间的BGP与运行在AS内部的BGP加以区别,前者称为外部BGPEBGP,后者称为内部外部BGPIBGP组播路由协议用来维持形成组播树的路由器之间的连接在自治系统AS的管理域内常用的组播路由选择协议有距离矢量组播路由选择协议DVMRP、组播开放式最短路径优先协议MOSPF以及独立组播协议PIM等,这些协议的主要区别是它们建立的组播树的类型DVMRP、MOSPF和密集型PIM-DM均归为密集模式,其转发路径是以每个源为根的最短路径生成树;稀疏型PIM-SM是基于核心树的协议VPN数据和路由的管理可以通过叠加模式和对等模式来实现隧道技术是最常见的叠加模式,为VPN提供站点间连接站点间点到点的连接可以通过IPSec、GRE或帧中继、ATM电路等来实现各站点都有一个路由器通过点到点连接到其它站点的路由器上,一个站点可以有一个或多个这样的路由器,分别连接到所有的或一部分其它站点上基于IPSec的安全VPN目前得到广泛应用BGP/MPLS技术是当前主流的对等模式VPN技术MPLSVPN利用MPLS的标记交换,在广域网络上为VPN用户提供虚连接,可以使MPES的IPVPN达到第二层VPN具有的专用性、安全性和数据传输的高速性,并很容易地与基于IP的用户网络实现无缝结合由于MPLSVPN是基于网络的,全部的VPN网络配置和VPN策略配置都在网络端完成,可以大大降低管理维护的开销在BGP/MPLS中,MPLS用于在网络间前转数据包,而BGP用于播发边缘路由器与核心路由器间的路由信息及VPN的成员信息成功搭建某公司VPN案例全球市场一体化步伐的加快以及信息技术的深入发展,使得各行各业、各种类型的企业越来越多地利用信息技术来提升企业的管理水平以及进行跨区域业务拓展IPVPN以其可利用公网资源建立安全、可靠、经济、高效、便捷和高速传输的企业专网的特点而倍受人们青睐需求分析广州某公司主要从事一些国际著名日用消费品品牌产品的代理、分销、仓储、运输、配送及包装等业务公司总部设在广州,在全国多个城市设立了分公司和分销中心,分销网络已经覆盖了全国所有的省、市、自治区早前,广州某公司已经实施了ERP系统,但是由于没有公司自己的专网,因此企业的数据库服务器一直暴露在公网之上,相当不安全为防患于未然,加强网络的统一管理,同时方便出差人员的网络接入,广州某公司决定建设一套有效的VPN网络,并在对各种VPN解决方案进行综合评估后,最终选择了基于ADSL的VPN解决方案系统特点由于广州某公司下属的每个企业都有局域网,都通过512KADSL上网,且原先C/S结构的ERP使每个分公司有5-8台电脑需要访问总部的数据库,再加上各个分公司之间并不需要互相访问,因此决定为广州某公司建立一个星形结构的VPN应用系统(如图)广州某公司VPN网络以ADSL作为连接线路,并采用了路由器作为网间互联设备相对于一般的VPN网络而言,广州某公司VPN网络的最大特点是实现了安全和低成本的完美结合,这一点与其采用的IceflowR5000路由器息息相关该设备属于一种基于IPSEC的第三层VPN路由器,集成了多种安全技术和网络通讯技术,可以在全动态IP的广域网络上(INTERNET/城域网)为客户搭建统
一、高效的IPVPN网络为广州某公司提供的VPN网络解决方案不仅支持IPSEC、GRE、PPTP等协议,以及IDEA、DES、3DES加密算法,同时还可通过IKE、共享秘钥进行身份认证等方式,加强内部网络的安全性能另外,在数据传输的过程中,由于VPN网络设置了防火墙和状态检测功能,因此既可在NAT模式下实现网络地址的转换,保障内部网络的安全,同时也可以防止诸如DoS、PING包等多种方式的攻击,为分布在各地的工作人员提供安全的点到点和远程访问通讯IceflowR5000路由器内置的防火墙功能可将总部的局域网与公网进行安全隔离,使网内的数据库服务器不再暴露于公网之上,处于安全保护下,从而为企业原有的ERP系统提供了一个专用、安全、高效的网络应用环境除安全可靠外,该解决方案还具有良好的经济性,可以让所有企业客户充分享受到ADSL的好处由于该VPN网络基于ADSL之上,因此无论在设备的投入,还是在每个月线路费用上,浩霖公司都没有花费太多的资金此外,广州某公司VPN网络在可靠性、可管理性、可扩展性、传输速度、灵活性等方面上都有不错的表现,例如在组网方面,由于路由器可支持150个VPN节点互联,因此无论广州某公司与合作伙伴互联、公司总部与分公司互联,还是外地工作人员远程接入局域网,广州某公司VPN网络都能够满足不同对象的安全联网需求功能特点在广州某公司的VPN网络中,分公司可以通过由路由器架设的VPN隧道访问公司总部网络,进行工作汇报或者数据传递,而在外地的工作人员也可以通过远程接入方式访问公司总部的数据库,获取相关的信息,或者进行远程视频、语音等通讯总而言之,采用基于ADSL的路由器来构建VPN网络为广州某公司带来了安全、便捷、可靠的各种网络应用
1、在该VPN网络拓扑上,同时支持无中心节点的网状网络和有中心节点的星型网络,可以为广州某公司原有的ERP系统提供可靠、安全、灵活的、无间断运行的IPVPN网络应用例如浩霖公司总部高层领导可以利用ERP系统实现包括财务、人力资源、销售、产品库存、产品流通等多方面内容的信息化企业管理,如总部与分公司在财务管理方面的交流中可以单独占用VPN资源,大大提高了财务数据在传输过程中的速度、保密和安全等性能
2、路由器为广州某公司VPN网络提供了先进流量控制的技术,这样就在保证总部VPN通道优先使用带宽的前提下,也可以兼顾各地分支机构的上网要求
3、该网络建成后,广州某公司网管人员只要登陆公网上的目录服务器,就可以对整个VPN网络内的所有路由器进行统一的管理
4、网管员可以通过路由器自带的防火墙功能,建立特定的安全策略,防止来自外部的各种不确定的网络攻击,并通过日志和审计方式,分析各种潜在的风险另外,由于使用目录服务器技术,因此IP地址变化之后,任何一个节点在十秒内就可以重新连入VPN网络应用效果对于VPN网络的建设经验,浩霖公司的一位高层领导认为,由于过去各个分公司基本上都用ADSL上网,因此采用VPN解决方案并未增加公司的任何网络建设费用一位网络管理人员介绍说,在VPN网络建成之前,公司也曾试用过一些软件的解决方案,但感觉稳定性较差,并且公司里只要有人下载,VPN基本上就无法使用,而采用方案后,网络运行不仅稳定性好,24小时不断线,而且由于产品配有带宽控制功能,因此现在即使有人下载,VPN网络也照样“畅通无阻”这位网管员还指出,与以前相比,现在的网络管理也方便了许多,因为只要登陆公网上的目录服务器,就完全可以统一管理网络体系中的7台路由器看来,迄今为止广州某公司上下对于他们新建的VPN网络还是非常满意的巧建设VPN虚拟专用网对VPN的要求由于VPN是为企业用户服务的,关系到企业正常的运转,所以下面从用户角度分析对VPN的几点要求VPN的可用性即建立的网络可以满足用户业务的要求在进行企业用户自身业务性质、流量分析后,建造一个采用何种技术的VPN满足需求,如只用数据业务,可以全部采用非面向连接的IP技术;如果同时有话音业务,可以采用面向连接的FR/ATM技术或者IPVPN与VoIP的结合方案;如果再加入视频业务,建议采用面向连接技术,同时还应该在带宽方面有一定要求及计算规则在设计中考虑VPN的冗余备份及系统可以支持的最大最小容量及网络管理最大最小数量VPN的安全性如PVC的安全性、加密的安全性作为保证,同时还有赖于上层网络应用的认证系统,用户授权系统等保证VPN的可扩展性首先是在物理网络上的扩展,即增加新的节点时,在技术角度和资金角度对全网的影响和扩展原则其次是在功能上的扩展,包括支持Internet内部数据应用,外部Extranet数据处理,远程接入,甚至于移动IP方式的应用最后是在提供的应用业务上的扩展,即VPN的增值服务IPFax、办公自动化系统、财务系统等VPN的可管理性对于不同业务模式和技术结合的网络有不同的VPN管理内容基于NSP(网络服务提供商)提供的面向连接技术的VPN,VPN的管理内容应该基本等同于NSP自身的业务网络因为NSP提供透明通道对VPN网络的管理信息和用户网络状况不予干涉基于企业用户自行布置的网络,由于只是在客户端进行配置和控制,在网络传输部分是不被NSP所知和保障的,所以可管理性受NSP限制VPN的建设及运营维护成本VPN的成本主要分为两部分
1.初期网络建设费用主要为设备及初装费用
2.网络扩展及运营维护费用其中初期网络建设及扩展费用可以较容易计算,并且大多数情况下和实际出入不大,而运营维护费用的多少和企业用户的网络规模、对网络性能的要求、不同的业务模式、公司的IT技术力量和对网络管理的要求程度都有很大关系结合以上几个方面,笔者从实际应用出发谈一下对企业构建VPN的建议首先在安全性、可靠性上,笔者认为差别不大,而且多种纯技术的安全性无可比性,只有结合全网络的安全策略才可以有效地加强安全性在网络管理方面,由于大多数企业用户没有足够的管理IP网络的能力,并且希望和愿意将网络托付给NSP进行管理,所以网络管理水平的差异主要是运营商网络和管理水平的差异,其实如果出现从事网管代理维护的专业公司(目前已经有该类公司的雏形),完全可以抢占大量市场,成为新的网络增值服务热点对于网络技术本身,虽然有大量的争论、实验和真实的运营案例,笔者还是比较认可利用FR/ATM技术进行VPN的构建如在正常网络状态下(不出现流量爆炸),IP、ATM无太大区别,但是出现流量突然增加的情况时,排队机制、缓存机制、CAC、CAR之类的技术都可以运行,但是到最终产生丢包时,由于ATM中的EPD、PPD都是针对一组可识别的队列或者用户进行丢弃,导致部分数据重传或延时的,不会蔓延丢弃范围而IP网络是在正确的策略下大范围的丢包,而且丢弃的包无关联性,所以丢包后的业务重组将产生更多的流量,进一步恶化网络状况同时由于对企业用户的流量模型特别是突发情况没有把握,同时基于投入产出比的需要,网络运营商不可能总是及时扩容网络的带宽和优化网络的结构,更何况还存在网络的互联情况基于PVC的网络中,不增加骨干带宽的情况下,可以保障每个用户的基本服务质量,而在实际运营的IP网络中,由于无规则的数据流在同一大通道内传输,所以当网络带宽占用率达到一定比例时,就会出现严重的丢包、延时增大等众多现像针对以上理解,笔者认为在构建企业VPN时,首先是分析自身的业务性质和流量模型如果需要严格的QoS保障,如对延时、丢包等敏感的业务,应该适当加大投资,利用FR/ATM技术组建网络,同时加强网络管理和服务质量监测工作如果仅仅是一些小流量或非实时突发流量,只是希望有一个相对安全、保密的通道,那么可以利用IPSec技术建立VPN灵活选择下面举两个例子用以说明客户性质与网络技术的关联性
1、FR技术组网有一家公司的业务是将一些电影或电视节目从美国总部通过网络发送到中国北京,当时该公司的要求为通过网络可以同步传输当时的进口大片,然后在中国内地做成可以出售的音像制品由于视频流对QoS,特别是带宽的要求比较高,同时在设计中考虑由于时差原因,中美之间的数据网络在晚间流量很小等原因,该VPN的实现是通过开通CIR=1M同时可以支持突发到2M的FRPVC,网管方面提供给用户基于Web的MRTG的流量监测窗口,用户在使用过程中发现,几乎只需要在夜间以突发速率就可以完成视频数据的传输
2、IP技术组网2000年,某公司需要为其财务系统进行财务专用网络的建设,开始考虑采有FR技术,但设计中由于网络投资比较小,流量也小,而且不需要实时对账,只要求当天对头一天的账务,每月进行一次汇总,所以就采用L2TP与IPSec结合的方式组建VPN网络同时建议数据的更新在夜间流量少时进行,网络管理通过账务系统自带的网络监视系统进行业务管理网络运营初期一切正常,但是由于各电信运营商的价格调整,特别是夜间的上网费用调整,费用下降上网人数增加,经常性的出现网络拥塞,在账务系统的传输时,发生超时间现象,已经无法满足用户需求,最终用户建立利用FR技术的办公自动化网络,同时加载账务部分的业务才解决问题以上的两个事例,主要为了说明随着用户需求的不同和网络状况的不同,在技术选择上会有灵活多样的变化,同时应该结合不同的节点情况进行统筹规划和部署在确定如何组建网络前,企业网络建设的决策者一定要详细了解网络运营商的网络状况如果接入服务供应商与骨干传输运营商是不同单位,一定要考虑接入线路与骨干节点的接口情况是否影响VPN的扩展能力、是否可能成为网络瓶颈或单点故障同时随着网络服务供应商间的竞争越来越激烈,最好企业用户和运营商间有比较明确的服务质量协议(SLA),包括技术参数部分的约束和技术支持部分的承诺一般在SLA方面企业用户需要付出一定的费用,建议企业用户根据自身需求和利益进行选择,不要盲目追求高的QoS,而不考虑实际网络质量和业务性质在确定采用何种技术和哪个运营商以后,就是如何选择VPN设备设备的稳定性和处理能力是第一位的,高的MTTR可以有效降低运营维护成本,保障VPN网络较高的可用率强大的处理能力为网络的扩展打下坚实基础,在处理能力上特别对于加密/解密能力需要更高的要求在Internet上加密/解密其实是安全性保障的唯一可行方法,加解密算法的复杂性在带来良好的安全性的同时,对设备处理能力的要求几乎呈现几何增长,各种VPN产品的一个主要不同点在于采用加密算法和密钥的强度不同由于加密是一项复杂的处理过程,特别是网络中有大量的信息传输时,CPU要承担大量的计算工作,所以目前VPN市场趋向于采用专用硬件设备设备的可扩展性可以为VPN提供更多的增值服务的平台,如在支持现有局域网的同时可扩展为支持无线局域网,随着话音业务的介入和扩充话音处理卡对FXO、FXS、EM的支持等设备的管理能力及是否需要客户自身的用户身份认证和计费信息也很重要,由于用户的技术力量有限,所以要求网管系统具有图形化用户界面、接口友好、操作简单,而且如果和用户网管系统基于统一平台,可以考虑建立综合网络管理系统在考虑纯VPN技术的同时应该在设备商和集成商的帮助下,将多种技术结合在一起,其中作为网络安全工具中最早应用并且已经非常成熟的防火墙技术是对VPN技术的良好补充。