思科AnyConnect与IPsec VPN授权方式优劣对比

　　ZDNET至顶网网络频道 4月18日 编译：只要大家对思科稍有了解，就不难发现思科系统的新侧重点在于它的授权发放上。作为巨额收入的来源，思科也意识到了其中的价值所在。举例来说，对IP层协议安全结构(IPsec)与安全套接层(SSL)虚拟专用网络进行比较。对于思科而言，在当前选择VPN就意味着选择了AnyConnect。AnyConnect也就是思科在当前推广的SSL VPN。它的性能要比IPsec更好，可能大家会对此感到怀疑。在About.com上的一篇文章中，我找到了对于IPsec VPN的一个评价：

　　“对于所有的远程系统来说，这场骗局意味着，针对客户端软件授权进行维护会带来财政方面的沉重负担，并且安装和配置客户端软件以及提供技术支持会变成一场噩梦，尤其是在不能到现场亲自对软件进行设置的时间。”

　　对于这一点我并不赞同。对于IPsec VPN客户端的安装和配置来说，我认为授权竞争针对的对象是SSL VPN。这就是我所说的问题关键。在利用思科自适应安全设备进行展示的时候，我看到了以下内容：

　　本平台授权功能：

　　物理接口最大值：没有限制

　　虚拟局域网最大值：150

　　内部主机：没有限制

　　故障转移：主动/主动

　　VPN-DES：启用

　　VPN-3DES-AES：启用

　　安全性上下文：2

　　GTP/GPRS隧道协议：已禁用

　　SSL VPN连接点：2

　　VPN连接点总数：750

　　共用许可证：禁用

　　移动AnyConnect：禁用

　　灵科电话专用AnyConnect：禁用

　　AnyConnect概要：禁用

　　高级端点评估：禁用

　　UC电话代理会话：2

　　共有UC代理会话：2

　　僵尸网络流量过滤器：禁用

　　以上是一台ASA 5520 VPN Plus的许可证书。

　　大家会发现设备中仅仅提供了两个SSL VPN连接点。这是因为思科希望使用者购买SSL VPN连接点的授权。此外，在思科认为，SSL VPN中存在着几种不同的类型，尽管它们都属于SSL VPN，不论怎么进行分割和调整，情况都几乎是完全相同的。这里列出的就是其中的一些差别：

　　对于具有客户端无关性的SSL VPN来说，使用者可以通过标准网络浏览器和自带的SSL功能实现对VPN门户的访问。

　　对于包含不需要进行大量连接或者希望连接包含内部资源自定义连接的网络界面的移动用户来说，这是一个很好的解决方案，在访问过程中，所有这些资源都受到来自SSL隧道的保护。

　　以及AnyConnect，它提供的功能与IPsec客户端非常类似。使用者可以利用全隧道连接本地应用端口，但是，在使用者利用SSL VPN门户登录的时间，客户端会自动进行安装。这一模式在使用者被禁止连接实际门户界面的时间，也可以通过客户端下载完成。

　　在AnyConnect主要选项中有一个选项会引起大家的关注。这就是可以获得不受限制的AnyConnect SSL VPN选项。但美中不足的是，该选项不支持客户端无关性SSL VPN(门户网站)。实际上，在选择购买它之后，你甚至会失去在购买ASA时获得的两个免费的SSL VPN授权。

　　另外，思科已经开始开发支持iPhone和iPad的AnyConnect。同样的问题再次出现了，使用者只能获得一个免费的SSL VPN，其它“功能”必须花钱购买。这就意味着需要另外一份许可证。

　　总之，对于VPN的发展来说，AnyConnect就像是一棵摇钱树，尽管对于长期运行来说，它在技术支持方面拥有一定的优势;但支持iPhone和iPad的IPsec客户端是免费的，并且在使用的时候不需要额外的授权。因此，在资金充裕的情况下，选择购买思科的授权可以利用ASA进行所有的工作。不过，在预算不足的情况下，选择使用IPSec功能也是一种不错选择。