■Access VPN
Access VPN,通過一個擁有與專用網絡相同策略的共享基礎設施,提供對企業內部網或外部網的遠程訪問。Access VPN能使用戶隨時、隨地以其所需的方式訪問企業資源。Access VPN包括模擬、撥號、ISDN、數字用戶線路 (xDSL)、移動IP和電纜技術,能夠安全地連接移動用戶、遠程工作者或分支機構。如圖1所示。
Access VPN最適用于公司內部經常有流動人員遠程辦公的情況。出差員工利用當地ISP提供的VPN服務,就可以和公司的VPN網關建立私有的隧道連接。RADIUS服務器可對員工進行驗證和授權,保證連接的安全,同時負擔的電話費用大大降低。
Access VPN的優點如下:
減少用于相關的調制解調器和終端服務設備的資金及費用,簡化網絡。
實現本地撥號接入的功能來取代遠距離接入或800電話接入,這樣能顯著降低遠距離通信的費用。
極大的可擴展性,簡便地對加入網絡的新用戶進行調度。
遠端驗證撥入用戶服務(RADIUS)基于標準,基于策略功能的安全服務。
將工作重心從管理和保留運作撥號網絡的工作人員轉到公司的核心業務上來。
■Intranet VPN
越來越多的企業需要在全國乃至世界范圍內建立各種辦事機構、分公司、研究所等,各個分公司之間傳統的網絡連接方式一般是租用專線。顯然,在分公司增多、業務開展越來越廣泛時,網絡結構趨于復雜,費用昂貴。利用VPN特性可以在Internet上組建世界范圍內的Intranet VPN。利用Internet的線路保證網絡的互聯性,而利用隧道、加密等VPN特性可以保證信息在整個Intranet VPN上安全傳輸。Intranet VPN 通過一個使用專用連接的共享基礎設施,連接企業總部、遠程辦事處和分支機構。企業擁有與專用網絡的相同政策,包括安全、服務質量 (QoS)、可管理性和可靠性。如圖2所示。
Intranet VPN的優點如下:
減少WAN帶寬的費用。
能使用靈活的拓撲結構,包括全網孔連接。
新的站點能更快、更容易地被連接。
通過設備供應商WAN的連接冗余,可以延長網絡的可用時間。
■Extranet VPN
隨著信息時代的到來,各個企業越來越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息服務,通過各種方式了解客戶的需要,同時各個企業之間的合作關系也越來越多,信息交換日益頻繁。Internet為這樣的一種發展趨勢提供了良好的基礎,而如何利用Internet進行有效的信息管理,是企業發展中不可避免的一個關鍵問題。利用VPN技術可以組建安全的Extranet,既可以向客戶、合作伙伴提供有效的信息服務,又可以保證自身的內部網絡的安全。
Extranet VPN通過一個使用專用連接的共享基礎設施,將客戶、供應商、合作伙伴或興趣群體連接到企業內部網。企業擁有與專用網絡的相同政策,包括安全、服務質量(QoS)、可管理性和可靠性。如圖3所示。
Extranet VPN結構的主要好處是,能容易地對外部網進行部署和管理,外部網的連接可以使用與部署內部網和遠端訪問VPN相同的架構和協議進行部署。主要的不同是接入許可,外部網的用戶被許可只有一次機會連接到其合作人的網絡。
■各廠商VPN方案
目前大型網絡廠商都把虛擬專用網絡作為重要市場目標。諸如3Com、Cisco、Nortel Networks、Lucent和Shiva公司等公司紛紛出擊,提供各具特色的VPN解決方案。
□3Com VPN解決方案
3Com為企業和NSP提供多種端對端的VPN解決方案。所有的3Com VPN產品彼此兼容,還配備了TranscendWare軟件,使用戶可以對常規網絡和VPN執行統一的策略。TranscendWare軟件使邊界設備可以與終端設備通信,進而強制執行網絡策略。這些設備通過監視VPN隧道,可以更好地管理撥號端口、帶寬分配、網絡負載等,對VPN環境進行有效的控制。已配備NETBuilderⅡ或SuperStackⅡ橋接器/路由器的企業,可以在這些設備上增加VPN服務器能力(隧道終止器功能)。這樣的一個設備,可以通過利用線路、幀中繼、ISDN、SMDS或Switched 56連接到NSP,又可以通過Ethernet、Token Ring和ATM提供LAN連接。
圖2 Intranet VPN應用示意圖
3Com公司的VPN解決方案的優點在于,能夠很容易地集成到多廠商產品的網絡中,且支持多種環境:移動用戶和居家工作者;通過虛擬租用線路連接分支機構辦公室;通過安全的Extranet連接商業伙伴。3Com公司推出的基于L2TP(Layer2 Tunneling Protocol)和擴展型IPsec(Internet Protocol Security)的最新強化軟件,從而進一步為用戶擴展了VPN解決方案。
3Com的隧道交換機提高了VPN的安全性和靈活性,可以帶來以下好處:
很容易區別對待遠程職工的信息流和合作伙伴與客戶的信息流。
各部門可以共用一個Internet接口。
可以最終利用IP地址空間。
使遠程用戶很容易成為VLAN(虛擬LAN)的成員。
□Lucent VPNWorX
Lucent VPN解決方案將電路交換式語音VPN和智能網絡功能的優良傳統,與原Ascend通訊公司的VPN體系-以數據為中心的MultiVPN創新技術結合起來,創建了語音和數據相融合的新型VPN服務。
圖3 extrant VPN應用示意圖
Lucent VPNWorX,對企業來講具有無需犧牲類似專用網的控制能力,可以獲得VPN的所有好處。VPNWorX解決方案中的產品,涵蓋了供應商/用戶環境,包括Lucent完善的產品方案,如電信級接入平臺MAX和MAX TNT;多業務交換機GBX500、GX550、B-STDX8000/9000和Nexabit NX64000。IP Navigator MPLS使服務供應商能夠建立一個可以提供全新IP服務-Quality IP的基礎設施。Internet安全產品包括VPN Gateway和SecureConnect。Pipeline和遠程接入產品提供了集成化VPN路由和防火墻保護功能。并且,該方案具有通過QoS和SLA保障,提供關鍵型性能、策略化聯網能力、端到端服務和網絡管理及智能網絡等增值功能。
□Cisco EVPN
Cisco推出的企業級虛擬專用網(EVPN)全面解決方案,在可擴展的平臺、安全性、服務、應用和管理五大VPN實施要素方面具有基于標準的開放式體系結構、可擴充的和端到端的網絡互聯能力。
和專用網絡一樣,Cisco為VPN提供了有保障的帶寬和差別控制的服務與應用。在Cisco IOS軟件12.0版中,豐富了QoS功能和機制,甚至支持IP QoS,使企業用戶能夠在不同應用和用戶之間強制實現優先級和帶寬分配,并內置了一個專門用來檢測服務水平的響應時間報告器(RTR)。
圖4 Netbuilder 系列產品
Cisco提供了一系列的VPN安全功能來實現安全保障。基于硬件的集成式IPsec加密,不僅可以實現高速加密,還提高了WAN的可用帶寬。PIX防火墻、NetRanger入侵檢測系統和NetSonar安全掃描程序三者配合,保證企業VPN的可靠性和安全性。而這些功能都是被集成進Cisco IOS軟件中的,用戶可以通過簡單的軟件升級,透明地保護網絡安全。
目前,所有的Cisco路由器平臺都可以方便地實現VPN,經過優化的Cisco路由器集成了VPN功能、高速加密、安全、帶寬管理和與WAN連接的能力,降低了VPN的復雜度和成本。該產品系列包括用于企業和地區辦公環境的Cisco7500、7200VXR和7200高端路由器,以及用于小型地區、分支機構及遠程個人的Cisco3600、2600、1720和800路由器。所有的Cisco VPN路由器都完全可以互操作,為從園區到廣域網ISP,以窄帶或寬帶速率進行多媒體通訊提供了一條可擴展的端到端鏈路。
□華為VPN方案
華為提供了各種有效的VPN解決方案,包括:Access VPN、Intranet VPN、Extranet VPN及結合防火墻的VPN解決方案。各方案中,Quidway系列路由器具有VPN網關功能,是組建VPN的重要設備之一。Quidway系列路由器支持各種VPN技術,包括隧道技術、IPsec、密鑰交換技術、防火墻技術、QoS與配置管理等,并可繼續發展,支持越來越多的先進技術。
圖5 Cisco 3600系列路由器
其中,VPN與防火墻的結合使用,可以利用防火墻的許多安全特性在VPN上建立更加安全的網絡環境,增強抵御黑客攻擊、禁止非法訪問的能力。公司內部特定的用戶可以訪問Internet網絡,但是Internet網絡內的主機不能通過防火墻訪問公司的內部網絡,只允許訪問位于DMZ(非軍事化區)的內部服務器主機,公司的外地辦事處機構可以利用VPN和總部建立安全的私有隧道,以訪問總部的資源。
