科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道巧建设VPN虚拟专用网

巧建设VPN虚拟专用网

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

由于VPN是为企业用户服务的,关系到企业正常的运转,所以下面从用户角度分析对VPN的几点要求。VPN的安全性:如PVC的安全性、加密的安全性作为保证,同时还有赖于上层网络应用的认证系统,用户授权系统等保证。

作者:中国IT实验室 2007年9月14日

关键字: VPN 虚拟专用网 SSL VPN IPSecVPN

  • 评论
  • 分享微博
  • 分享邮件

对VPN的要求

由于VPN是为企业用户服务的,关系到企业正常的运转,所以下面从用户角度分析对VPN的几点要求。

VPN的可用性:即建立的网络可以满足用户业务的要求。在进行企业用户自身业务性质、流量分析后,建造一个采用何种技术的VPN满足需求,如只用数据业务,可以全部采用非面向连接的IP技术;如果同时有话音业务,可以采用面向连接的FR/ATM技术或者IP VPN与VoIP的结合方案;如果再加入视频业务,建议采用面向连接技术,同时还应该在带宽方面有一定要求及计算规则。在设计中考虑VPN的冗余备份及系统可以支持的最大最小容量及网络管理最大最小数量。

VPN的安全性:如PVC的安全性、加密的安全性作为保证,同时还有赖于上层网络应用的认证系统,用户授权系统等保证。

VPN的可扩展性:首先是在物理网络上的扩展,即增加新的节点时,在技术角度和资金角度对全网的影响和扩展原则。其次是在功能上的扩展,包括支持Internet内部数据应用,外部Extranet数据处理,远程接入,甚至于移动IP方式的应用。最后是在提供的应用业务上的扩展,即VPN的增值服务:IP Fax、办公自动化系统、财务系统等。

VPN的可管理性:对于不同业务模式和技术结合的网络有不同的VPN管理内容。基于NSP(网络服务提供商)提供的面向连接技术的VPN,VPN的管理内容应该基本等同于NSP自身的业务网络。因为NSP提供透明通道对VPN网络的管理信息和用户网络状况不予干涉。基于企业用户自行布置的网络,由于只是在客户端进行配置和控制,在网络传输部分是不被NSP所知和保障的,所以可管理性受NSP限制。

VPN的建设及运营维护成本:VPN的成本主要分为两部分:1.初期网络建设费用主要为设备及初装费用。2. 网络扩展及运营维护费用。其中初期网络建设及扩展费用可以较容易计算,并且大多数情况下和实际出入不大,而运营维护费用的多少和企业用户的网络规模、对网络性能的要求、不同的业务模式、公司的IT技术力量和对网络管理的要求程度都有很大关系。

结合以上几个方面,笔者从实际应用出发谈一下对企业构建VPN的建议。首先在安全性、可靠性上,笔者认为差别不大,而且多种纯技术的安全性无可比性,只有结合全网络的安全策略才可以有效地加强安全性。在网络管理方面,由于大多数企业用户没有足够的管理IP网络的能力,并且希望和愿意将网络托付给NSP进行管理,所以网络管理水平的差异主要是运营商网络和管理水平的差异,其实如果出现从事网管代理维护的专业公司(目前已经有该类公司的雏形),完全可以抢占大量市场,成为新的网络增值服务热点。对于网络技术本身,虽然有大量的争论、实验和真实的运营案例,笔者还是比较认可利用FR/ATM技术进行VPN的构建。如在正常网络状态下(不出现流量爆炸),IP、ATM无太大区别,但是出现流量突然增加的情况时,排队机制、缓存机制、CAC、CAR之类的技术都可以运行,但是到最终产生丢包时,由于ATM中的EPD、PPD都是针对一组可识别的队列或者用户进行丢弃,导致部分数据重传或延时的,不会蔓延丢弃范围。而IP网络是在正确的策略下大范围的丢包,而且丢弃的包无关联性,所以丢包后的业务重组将产生更多的流量,进一步恶化网络状况。同时由于对企业用户的流量模型特别是突发情况没有把握,同时基于投入产出比的需要,网络运营商不可能总是及时扩容网络的带宽和优化网络的结构,更何况还存在网络的互联情况。基于PVC的网络中,不增加骨干带宽的情况下,可以保障每个用户的基本服务质量,而在实际运营的IP网络中,由于无规则的数据流在同一大通道内传输,所以当网络带宽占用率达到一定比例时,就会出现严重的丢包、延时增大等众多现像。针对以上理解,笔者认为在构建企业VPN时,首先是分析自身的业务性质和流量模型。如果需要严格的QoS保障,如对延时、丢包等敏感的业务,应该适当加大投资,利用FR/ATM技术组建网络,同时加强网络管理和服务质量监测工作。如果仅仅是一些小流量或非实时突发流量,只是希望有一个相对安全、保密的通道,那么可以利用IPSec技术建立VPN。

灵活选择

下面举两个例子用以说明客户性质与网络技术的关联性。

1、 FR技术组网:有一家公司的业务是将一些电影或电视节目从美国总部通过网络发送到中国北京,当时该公司的要求为通过网络可以同步传输当时的进口大片,然后在中国内地做成可以出售的音像制品。由于视频流对QoS,特别是带宽的要求比较高,同时在设计中考虑由于时差原因,中美之间的数据网络在晚间流量很小等原因,该VPN的实现是通过开通CIR=1M同时可以支持突发到2M的FR PVC,网管方面提供给用户基于Web的MRTG的流量监测窗口,用户在使用过程中发现,几乎只需要在夜间以突发速率就可以完成视频数据的传输。

2、 IP技术组网:2000年,某公司需要为其财务系统进行财务专用网络的建设,开始考虑采有FR技术,但设计中由于网络投资比较小,流量也小,而且不需要实时对账,只要求当天对头一天的账务,每月进行一次汇总,所以就采用L2TP与IPSec结合的方式组建VPN网络。同时建议数据的更新在夜间流量少时进行,网络管理通过账务系统自带的网络监视系统进行业务管理。网络运营初期一切正常,但是由于各电信运营商的价格调整,特别是夜间的上网费用调整,费用下降上网人数增加,经常性的出现网络拥塞,在账务系统的传输时,发生超时间现象,已经无法满足用户需求,最终用户建立利用FR技术的办公自动化网络,同时加载账务部分的业务才解决问题。

以上的两个事例,主要为了说明随着用户需求的不同和网络状况的不同,在技术选择上会有灵活多样的变化,同时应该结合不同的节点情况进行统筹规划和部署。在确定如何组建网络前,企业网络建设的决策者一定要详细了解网络运营商的网络状况。如果接入服务供应商与骨干传输运营商是不同单位,一定要考虑接入线路与骨干节点的接口情况是否影响VPN的扩展能力、是否可能成为网络瓶颈或单点故障。同时随着网络服务供应商间的竞争越来越激烈,最好企业用户和运营商间有比较明确的服务质量协议(SLA),包括技术参数部分的约束和技术支持部分的承诺。一般在SLA方面企业用户需要付出一定的费用,建议企业用户根据自身需求和利益进行选择,不要盲目追求高的QoS,而不考虑实际网络质量和业务性质。

在确定采用何种技术和哪个运营商以后,就是如何选择VPN设备。设备的稳定性和处理能力是第一位的,高的MTTR可以有效降低运营维护成本,保障VPN网络较高的可用率。强大的处理能力为网络的扩展打下坚实基础,在处理能力上特别对于加密/解密能力需要更高的要求。在Internet上加密/解密其实是安全性保障的唯一可行方法,加解密算法的复杂性在带来良好的安全性的同时,对设备处理能力的要求几乎呈现几何增长,各种VPN产品的一个主要不同点在于采用加密算法和密钥的强度不同。由于加密是一项复杂的处理过程,特别是网络中有大量的信息传输时,CPU要承担大量的计算工作,所以目前VPN市场趋向于采用专用硬件设备。

设备的可扩展性可以为VPN提供更多的增值服务的平台,如在支持现有局域网的同时可扩展为支持无线局域网,随着话音业务的介入和扩充话音处理卡对FXO、FXS、E&M的支持等。设备的管理能力及是否需要客户自身的用户身份认证和计费信息也很重要,由于用户的技术力量有限,所以要求网管系统具有图形化用户界面、接口友好、操作简单,而且如果和用户网管系统基于统一平台,可以考虑建立综合网络管理系统。

在考虑纯VPN技术的同时应该在设备商和集成商的帮助下,将多种技术结合在一起,其中作为网络安全工具中最早应用并且已经非常成熟的防火墙技术是对VPN技术的良好补充。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章