扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
建立一个VPN不必把以前的基础架构全都推倒重来。这里向你介绍了规划VPN方案需要考虑的两个重要方面:协议的可扩展性,以及软件和硬件解决方案的对比。
你的公司可能达到了一定的规模:你有员工在家SOHO,也有公司的管理人员和销售人员需要在路上工作,同时也需要与合作伙伴共同合作,一起研发和提供产品与服务。所有的这些人员都需要一种安全的访问方式来让他们从企业外部登录到内部网络上。
原有的远程拨号访问服务已经不再适用了:你不会愿意再不断的增加调制解调器来满足持续增长的需求,更何况长途电话费也是一笔不小的开支。
这时候你需要VPN了,可是你也许会不清楚该如何选择。是应该选择Windows VPN服务呢,还是应该购买一个专门的VPN硬件,或者采用集成了防火墙的VPN解决方案?应该选用哪一种隧道协议呢?你目前的VPN需求可能还处在比较初级的阶段,但是随着公司的快速发展,而你又不想在几年后将现有的方案全都推翻重来的话,那么可扩展性就是一个非常重要的因素。
下面,我们就一起来看看,如何才能够建立起一个性价比很高的VPN解决方案,并且在一开始的时候就将可升级性考虑在内。
考虑协议的可升级性
VPN是一条穿越网络的安全通道,它在一台独立用户的计算机(远程访问VPN),或者一个远程站点,比如说某个分公司的办公室(站点间VPN),与集团网络的VPN服务器之间创建了一个连接。目前有许多种不同的隧道协议可以用来创建VPN或者类似于VPN的连接。其中,最为普遍的几种是:
有的VPN解决方案能够支持上述多种协议,而有的则可能只支持其中一种。对于可升级性的需求则会影响到哪一种隧道协议才是最适合你的那个。远程访问用户必须要具有适当的客户端软件来支持你所选用的协议。而对于站点间VPN来说,各端的VPN网关则都必须要支持一个共同的协议才行。
PPTP
PPTP是微软公司开发的,而且几乎所有的Windows操作系统都内置有PPTP客户端软件。目前也有适用于Linux/UNIX和Mac操作系统的PPTP客户端。在可升级性方面,这让PPTP不失为一个建立远程访问VPN的好选择。不过,在安全性方面,与某些其它的隧道协议相比,PPTP就有一些值得怀疑了。PPTP所采用的微软点对点加密(MPPE,Microsoft Point-to-Point Encryption)并不是基于认证的。它虽然得到了微软ISA Server防火墙、思科PIX,以及WatchGuard某些型号的支持,但是由于它并没有得到其它防火墙/集成VPN产品(比如说Check Point、WatchGuard和Netscreen某些硬件型号)的支持,因此在那些同类型产品都被用作远程网关的站点对站点VPN网络中,它可能无法为你提供可升级性。
L2TP
L2TP是微软和思科协作开发的成果,它兼具有PPTP和思科L2FP的特点。与PPTP不同的是,该协议采用IPSec来进行加密,能够提供更强的安全保障。该种加密技术包括有基于证书的认证机制,同时也会对数据的完整性和机密性进行校验。微软的Windows 2000、XP以及Server 20003操作系统中内置有L2TP的客户端软件。而针对Windows 98、Me以及NT 4.0等操作系统的客户端软件可以通过免费下载获得。Macintosh OS X 10.3(黑豹)同样也内置有L2TP/IPSec VPN客户端。除此之外,L2TP同时还获得了Check Point、思科PIX、WatchGuard的防火墙/集成VPN产品,以及微软ISA Server的支持,使得它很方便被用来建立一个站点对站点的VPN网络。
SSL
在所有的隧道协议中,可升级性最强的就是SSL。不过,严格的说,这并不是一个完整的VPN解决方案。SSL,所谓的“无客户端”解决方案,它实际上是使用网络浏览器来作为客户端。如果用户所需要访问的只是那些能够通过网络访问的服务器的话,那么这将是一个非常不错的解决方案。因为几乎每一台计算机都具有能够支持SSL协议的网络浏览器,你可以为你所需要的、足够多的客户端提供接入服务,无论使用何种操作系统,没有任何因为安装客户端软件而带来的成本和麻烦。
VPN服务器:软件 Vs. 硬件
Windows 2000 Server以及Windows Server 2003操作系统都内置有VPN服务器的功能。软件防火墙,比如说微软公司的ISA Server、Check Point,以及赛门铁克公司的企业防火墙,同样也内置有VPN网关的功能。当然,作为另外一种选择,你也可以去购买一个专门的VPN硬件设备或者VPN集中器,比如说像是思科、Shiva、Citrix、AEP Networks、Evidian(TrustWay)这些公司的产品。大多数的防火墙硬件,比如说思科、SonicWall、WatchGuard、Netscreen、诺基亚(基于Check Point)以及其它一些公司的产品,同样也能够提供某种类型的VPN网关功能。
那么哪一种解决方案在更具有可升级性能?虽然“傻瓜式”的硬件设备可能在设置和展开上会更加简单方便一些,但是同时它们所支持的连接数量通常也有限,而且要想对硬件进行升级以便能够容纳更多用户也会显得更加困难。
如果你将VPN服务器放置在一个安装有常规网络操作系统的标准服务器主机上运行,那么你就能够很方便的添加内存、升级处理器、升级网络接口卡,或者扩展其它的硬件性能,而不用再去购买整套的全新主机了。
在另一方面,当你开始准备升级的时候,你可能还会想到要拆分,将你的VPN服务分布在多个服务器和专用硬件上。根据其不同的地理位置和访问需求,用户能够连接到指定服务器上。这也将能够为你提供更好的容错率和保障机制,如果某个VPN服务器出故障了,那么原来被分配到这台服务器上的用户就能够被很方便的转移到其它的服务器上。实际上,你可以建立起这样一种架构,并且让其自动工作:如果主VPN连接失败,那么客户端会自动连接下一个备选VPN服务器。现在也有一些第三方的解决方案,它们能够让这个过程完全透明,这样用户就永远都不会看到“断开连接/重新连接”的情况了。
评估你的需求
选择VPN解决方案最好要基于你目前的商业模式,以及你对你公司未来发展的预期。如果你预计你企业未来的规模会很大,但是地理分布只是集中在一个或者少数几个地方,那么你需要的则是一个高端的解决方案,它能够支持快速的数据吞吐以及数量庞大的用户。同时,你还会希望它们能够很容易的与你的防火墙、认证服务器、路由器,以及其它的网络设备相兼容。如果你的公司未来将会有很广泛的地域分布,将会有更多的分子公司散布在各个地方,那么你需要的则是多VPN服务器。不过,为了保证站点间相互操作的顺利,这些服务器之间还要能够相互兼容。另外,你可能还会希望能够拥有集中管理的权限。如果你的公司还将会有许多远程办公用户或者旅行用户(远程访问)的话,那么在这些远程访问用户的数量不断增长的同时,你还需要考虑到客户端的兼容性和扩展性。
总而言之,成功的第一步,就是要保证你的VPN解决方案能够伴随着你公司的成长计划同步升级,同时在你现在进行方案和产品选择的时候,还需要充分考虑到公司未来发展的结构和需求。
(责任编辑:张竺)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
去集群 更超群——大容量网络演进之路
2019 IBM 中国论坛
H3C 2019 Navigate 领航者峰会
助推数据中心网络现代化转型 打造灵活可靠基础架构平台