如何建立可扩展的VPN解决方案

IPsec
除了为L2TP连接进行加密外，IPSec还能够被用作隧道模式来创建连接。IPSec VPN得到了许多防火墙/集成VPN硬件产品的支持，它是目前唯一个得到了所有主流防火墙供应商支持的隧道协议，比如说微软的ISA Server、Check Point、思科PIX、Netscreen、SonicWall、WatchGuard，以及赛门铁克。在站点对站点VPN中使用这种协议具有很高的可升级性。

SSL
在所有的隧道协议中，可升级性最强的就是SSL。不过，严格的说，这并不是一个完整的VPN解决方案。SSL，所谓的“无客户端”解决方案，它实际上是使用网络浏览器来作为客户端。如果用户所需要访问的只是那些能够通过网络访问的服务器的话，那么这将是一个非常不错的解决方案。因为几乎每一台计算机都具有能够支持SSL协议的网络浏览器，你可以为你所需要的、足够多的客户端提供接入服务，无论使用何种操作系统，没有任何因为安装客户端软件而带来的成本和麻烦。

VPN服务器：软件 Vs. 硬件
Windows 2000 Server以及Windows Server 2003操作系统都内置有VPN服务器的功能。软件防火墙，比如说微软公司的ISA Server、Check Point，以及赛门铁克公司的企业防火墙，同样也内置有VPN网关的功能。当然，作为另外一种选择，你也可以去购买一个专门的VPN硬件设备或者VPN集中器，比如说像是思科、Shiva、Citrix、AEP Networks、Evidian（TrustWay）这些公司的产品。大多数的防火墙硬件，比如说思科、SonicWall、WatchGuard、Netscreen、诺基亚（基于Check Point）以及其它一些公司的产品，同样也能够提供某种类型的VPN网关功能。

那么哪一种解决方案在更具有可升级性能？虽然“傻瓜式”的硬件设备可能在设置和展开上会更加简单方便一些，但是同时它们所支持的连接数量通常也有限，而且要想对硬件进行升级以便能够容纳更多用户也会显得更加困难。

如果你将VPN服务器放置在一个安装有常规网络操作系统的标准服务器主机上运行，那么你就能够很方便的添加内存、升级处理器、升级网络接口卡，或者扩展其它的硬件性能，而不用再去购买整套的全新主机了。

在另一方面，当你开始准备升级的时候，你可能还会想到要拆分，将你的VPN服务分布在多个服务器和专用硬件上。根据其不同的地理位置和访问需求，用户能够连接到指定服务器上。这也将能够为你提供更好的容错率和保障机制，如果某个VPN服务器出故障了，那么原来被分配到这台服务器上的用户就能够被很方便的转移到其它的服务器上。实际上，你可以建立起这样一种架构，并且让其自动工作：如果主VPN连接失败，那么客户端会自动连接下一个备选VPN服务器。现在也有一些第三方的解决方案，它们能够让这个过程完全透明，这样用户就永远都不会看到“断开连接/重新连接”的情况了。

评估你的需求
选择VPN解决方案最好要基于你目前的商业模式，以及你对你公司未来发展的预期。如果你预计你企业未来的规模会很大，但是地理分布只是集中在一个或者少数几个地方，那么你需要的则是一个高端的解决方案，它能够支持快速的数据吞吐以及数量庞大的用户。同时，你还会希望它们能够很容易的与你的防火墙、认证服务器、路由器，以及其它的网络设备相兼容。如果你的公司未来将会有很广泛的地域分布，将会有更多的分子公司散布在各个地方，那么你需要的则是多VPN服务器。不过，为了保证站点间相互操作的顺利，这些服务器之间还要能够相互兼容。另外，你可能还会希望能够拥有集中管理的权限。如果你的公司还将会有许多远程办公用户或者旅行用户（远程访问）的话，那么在这些远程访问用户的数量不断增长的同时，你还需要考虑到客户端的兼容性和扩展性。

总而言之，成功的第一步，就是要保证你的VPN解决方案能够伴随着你公司的成长计划同步升级，同时在你现在进行方案和产品选择的时候，还需要充分考虑到公司未来发展的结构和需求。

(责任编辑:张竺)

查看本文的国际来源