◎ 案例
鹿先生是圣中集團(tuán)通信中心的主任,最近他所在的集團(tuán)正在進(jìn)行VPN的選型,為了這件事情,他覺得有些困惑。
前一段時(shí)間公司總部上了一套ERP系統(tǒng),需要下屬分公司都能通過這套軟件,向總部上報(bào)信息和實(shí)現(xiàn)各分公司信息共享,這樣分公司必須能夠訪問總公司的數(shù)據(jù)庫,總公司對(duì)其進(jìn)行統(tǒng)一管理。但目前由于下屬分公司和總公司之間沒有建立內(nèi)部局域網(wǎng),為了能訪問公司總部的服務(wù)器,下屬分公司只能通過上網(wǎng)后,在搜索總部在公網(wǎng)上設(shè)定的固定IP機(jī)器,再通過遠(yuǎn)程桌面共享的形式進(jìn)行ERP軟件的使用。
在廣域網(wǎng)上進(jìn)行連接,就會(huì)涉及到數(shù)據(jù)保密和病毒入侵的問題。為了解決這些問題,鹿先生看中了VPN(虛擬專用網(wǎng),Virtual Private Network)。VPN是在公眾網(wǎng)絡(luò)上所建立的企業(yè)網(wǎng)絡(luò),可以擁有與專用網(wǎng)絡(luò)相同的安全、管理等功能特點(diǎn)。
結(jié)合圣中集團(tuán)的特點(diǎn)來看,圣中集團(tuán)是一家集科、工、貿(mào)于一體的大型企業(yè),是以環(huán)保建材、木制建材、房地產(chǎn)開發(fā)為主導(dǎo)產(chǎn)業(yè),以國際貿(mào)易為輔的集團(tuán)公司。集團(tuán)的網(wǎng)絡(luò)系統(tǒng)由總部的總公司和下屬20余家分公司和組成(其中外地規(guī)模較大的分公司就有10余家),在北京、大連、廣州、上海和美國、俄羅斯、阿聯(lián)酋的首都迪拜等都有分公司。目前公司總部與駐外下屬分公司沒有實(shí)現(xiàn)統(tǒng)一的內(nèi)部局域網(wǎng),只能通過公網(wǎng)來處理事物。
公司希望通過實(shí)施VPN,能夠?qū)崿F(xiàn)下屬分公司和移動(dòng)用戶與總公司的辦公網(wǎng)互聯(lián),形成一個(gè)大的內(nèi)部私有網(wǎng)絡(luò),可以達(dá)到內(nèi)部機(jī)器互相訪問,并且能為以后在網(wǎng)絡(luò)中建立其他應(yīng)用系統(tǒng)打下基礎(chǔ)。
聽人介紹,VPN不僅能實(shí)現(xiàn)這些要求,而且相對(duì)于廣域網(wǎng)在安全方面的欠缺,VPN還能夠保障數(shù)據(jù)傳輸?shù)陌踩院捅C苄。鹿先生很高興,看起來建立VPN以后就可以高枕無憂了?墒牵碌膯栴}又出現(xiàn)了。
鹿先生原來是學(xué)法律出身,來到通信中心也只有一年多的時(shí)間。對(duì)這些專業(yè)技術(shù)并不是很在行,現(xiàn)在要研究VPN,卻發(fā)現(xiàn)VPN原來還有很多種。有IPSEC VPN和SSL VPN,以硬件防火墻為主的VPN和以VPN為主的硬件防火墻,轉(zhuǎn)發(fā)形式基于軟件上的VPN和基于硬件上的VPN。
看完這些,鹿先生感到很困惑。也有廠商主動(dòng)提供策劃方案,但是不夠詳細(xì)。廠商們都在推銷自己的產(chǎn)品,說的都是VPN的優(yōu)點(diǎn),缺點(diǎn)提得很少。也看了很多家廠商的推薦,各個(gè)廠商之間一些相關(guān)的數(shù)據(jù)也都不太一樣,區(qū)分也不一樣。究竟哪個(gè)適合自己的集團(tuán),還真不好說。
這樣下來鹿先生感到十分迷茫,就像在茫茫的大海里找東西,不知道該從哪里入手了。VPN是不是真的那么好?到底哪種類型的VPN能夠解決問題?用什么組網(wǎng)方式最好?哪家的產(chǎn)品更適合自己集團(tuán)的需要呢?
觀點(diǎn)一:總部安裝VPN網(wǎng)關(guān)加防火墻,小型分支機(jī)構(gòu)只安裝網(wǎng)關(guān),做到安全與投資最大性價(jià)比。
需求決定應(yīng)用平臺(tái)
銳捷網(wǎng)絡(luò)行業(yè)營銷經(jīng)理 田稼源
如何解決企業(yè)與分支機(jī)構(gòu)安全地進(jìn)行資源共享的問題,現(xiàn)在看來,采用VPN是最合適的方法。
從現(xiàn)在的需求情況來看,圣中集團(tuán)在國內(nèi)外都有較多的分支機(jī)構(gòu)。目前的問題是公司總部與駐外下屬分公司沒有實(shí)現(xiàn)統(tǒng)一的內(nèi)部局域網(wǎng),辦公軟件、進(jìn)銷存軟件等,ERP系統(tǒng)、財(cái)務(wù)軟件都運(yùn)行在公網(wǎng)上,安全得不到保障。選用專線第一存在跨區(qū)域部署困難的問題,第二是費(fèi)用非常昂貴,第三是專線并不等于安全。那么如何解決企業(yè)與分支機(jī)構(gòu)安全地進(jìn)行資源共享的問題,現(xiàn)在看來,采用VPN是最合適的方法。
基于這樣的需求和目標(biāo),我們來看一下現(xiàn)在常見VPN技術(shù)的優(yōu)缺點(diǎn):
PPTP和L2TP
PPTP協(xié)議是微軟公司提出來的,PPTP已被嵌入到NT4操作系統(tǒng)中,并被用于Microsoft的路由和遠(yuǎn)程訪問服務(wù),它是數(shù)據(jù)鏈路層上的協(xié)議。
L2TP協(xié)議是PPTP協(xié)議和Cisco公司的L2F組合而成,可用于基于Internet的遠(yuǎn)程撥號(hào)方式訪問。它有能力為使用PPP協(xié)議的客戶端建立撥號(hào)方式的VPN連接。
PPTP/L2TP并不能解決形成大的內(nèi)部私網(wǎng)的問題,同時(shí)由于其用戶數(shù)受限,也不能適應(yīng)企業(yè)發(fā)展,因此,這種模式是不適合的。
SSL VPN
安全套接字層(Secure Socket Layer,SSL)屬于高層安全機(jī)制,廣泛應(yīng)用于Web瀏覽程序和Web服務(wù)器程序。在SSL中,身份認(rèn)證是基于證書的。
優(yōu)點(diǎn):SSL VPN技術(shù)幫助用戶通過標(biāo)準(zhǔn)的Web瀏覽器就可以訪問重要的企業(yè)應(yīng)用。這使得企業(yè)員工出差時(shí)不必再攜帶自己的筆記本電腦,僅僅通過一臺(tái)接入了Internet的計(jì)算機(jī)就能訪問企業(yè)資源,這為企業(yè)提高了效率也帶來了方便。
缺點(diǎn):對(duì)于非web頁面的文件訪問,往往要借助于應(yīng)用轉(zhuǎn)換。有的SSL VPN產(chǎn)品所能支持的應(yīng)用轉(zhuǎn)換器和代理的數(shù)量非常少,有的能很好地支持了FTP、網(wǎng)絡(luò)文件系統(tǒng)和微軟文件服務(wù)器的應(yīng)用轉(zhuǎn)換。 但是并不能真正形成局域網(wǎng)對(duì)局域網(wǎng)的應(yīng)用,形成一個(gè)大的私有網(wǎng)絡(luò)。
從上面的分析來看,SSL VPN的部署和應(yīng)用會(huì)非常方便。但是如果考慮到企業(yè)今后的應(yīng)用,比如說一些網(wǎng)絡(luò)協(xié)同開發(fā)軟件的使用,一些局域網(wǎng)內(nèi)部非基于web頁面的應(yīng)用,IP語音的安全應(yīng)用等,則SSL VPN則可能達(dá)不到很好的支撐。
IPSec VPN
IPSec是IETF支持的標(biāo)準(zhǔn)之一,它是第三層即IP層的加密。 IPSec不是某種特殊的加密算法或認(rèn)證算法,也沒有在它的數(shù)據(jù)結(jié)構(gòu)中指定某種特殊的加密算法或認(rèn)證算法,它只是一個(gè)開放的結(jié)構(gòu),定義在IP數(shù)據(jù)包格式中,不同的加密算法都可以利用IPSec定義的體系結(jié)構(gòu)在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中實(shí)施。
信息產(chǎn)業(yè)部電信研究院通信標(biāo)準(zhǔn)研究所的專家何寶宏曾經(jīng)指出,IPSec是到目前為止最為安全的協(xié)議。同時(shí)IPSec VPN能夠真正解決局域網(wǎng)之間的互聯(lián),形成一個(gè)真正的私有網(wǎng)絡(luò)。另外,從發(fā)展的角度來看,IPSec VPN也能夠?yàn)閷淼膽?yīng)用發(fā)展提供良好的支撐,不局限于應(yīng)用的形勢(shì)是基于web還是其他環(huán)境。
在上述討論后,我們建議方案如下:
總部和大型分支機(jī)構(gòu)安裝IPSec VPN網(wǎng)關(guān),同時(shí)加裝防火墻,確保核心業(yè)務(wù)正常運(yùn)行,同時(shí)保護(hù)內(nèi)網(wǎng)不受攻擊;小型分支機(jī)構(gòu)僅安裝IPSec VPN網(wǎng)關(guān),做到安全與投資的最大性價(jià)比。IP語音在VPN網(wǎng)的基礎(chǔ)上實(shí)現(xiàn)整網(wǎng)規(guī)劃、整網(wǎng)實(shí)施,實(shí)現(xiàn)新的語音網(wǎng)建設(shè)的同時(shí),融合原有的PSTN網(wǎng),降低企業(yè)經(jīng)營費(fèi)用,提升企業(yè)在市場(chǎng)中的競(jìng)爭(zhēng)力。
觀點(diǎn)二:多種VPN技術(shù)相結(jié)合,同時(shí)還要注意安全保障
具體情況具體分析
Juniper網(wǎng)絡(luò)公司大中華區(qū)新興技術(shù)經(jīng)理 吳若松
圣中集團(tuán)擁有一個(gè)典型的樹型跨區(qū)域網(wǎng)絡(luò)架構(gòu),使用VPN技術(shù)實(shí)現(xiàn)各地網(wǎng)絡(luò)經(jīng)濟(jì)安全的互連,應(yīng)該是一個(gè)很好的選擇。
VPN技術(shù),也就是虛擬專網(wǎng)技術(shù),是指在公共的互連網(wǎng)絡(luò)中建立私有專用網(wǎng)絡(luò),數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線,連接上本地的公眾信息網(wǎng),各地的機(jī)構(gòu)以及各地員工就可以互相傳遞信息,安全地連接到企業(yè)網(wǎng)當(dāng)中。使用VPN技術(shù),可以有效的節(jié)省成本、避免了專線的昂貴費(fèi)用,同時(shí)又可以提供遠(yuǎn)程的訪問、持續(xù)的擴(kuò)展和安全的訪問控制等好處,是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的一個(gè)趨勢(shì)。而圣中集團(tuán)擁有一個(gè)典型的樹型跨區(qū)域網(wǎng)絡(luò)架構(gòu),使用VPN技術(shù)實(shí)現(xiàn)各地網(wǎng)絡(luò)經(jīng)濟(jì)安全的互連,應(yīng)該是一個(gè)很好的選擇。
結(jié)合到圣中網(wǎng)絡(luò)的實(shí)際情況,其實(shí)我們可以采用多種VPN技術(shù)相結(jié)合的解決方案。因?yàn)槊恳环NVPN的技術(shù)都有它最適合的環(huán)境和應(yīng)用,比如IPSec VPN,最適合用于企業(yè)的各個(gè)分公司之間實(shí)現(xiàn)網(wǎng)絡(luò)的虛擬互連。各個(gè)分公司網(wǎng)絡(luò)對(duì)于圣中集團(tuán)來講,都可以看作是可信的網(wǎng)絡(luò),各個(gè)分公司內(nèi)的主機(jī),都是可信的主機(jī),因此我們完全可以通過IPSec VPN這種網(wǎng)絡(luò)層的連接,將大家的網(wǎng)絡(luò)虛擬地連接在一起,進(jìn)而實(shí)現(xiàn)了更加方面的使用和管理,比如我們可以統(tǒng)一地規(guī)劃IP地址,統(tǒng)一地安全策略下發(fā)等等;而SSL VPN,最適合于在家辦公的員工、移動(dòng)辦公員工、甚至合作伙伴和最終用戶使用,這些用戶的主機(jī)基本上都是不可信的動(dòng)態(tài)變化的主機(jī),而SSL VPN這樣應(yīng)用層的連接就可以進(jìn)行很好的細(xì)粒度的控制。
一、對(duì)于圣中集團(tuán)網(wǎng)絡(luò)中各分支機(jī)構(gòu)的網(wǎng)絡(luò)與總部網(wǎng)絡(luò)之間的互聯(lián),建議使用IPSec VPN的解決方案。利用現(xiàn)成的Internet資源構(gòu)建安全穩(wěn)定的虛擬專網(wǎng),提供專線級(jí)別的穩(wěn)定性和安全性。它的優(yōu)點(diǎn)在于:
實(shí)施簡(jiǎn)單:只需為總部和每個(gè)分支機(jī)構(gòu)部署一臺(tái)VPN網(wǎng)關(guān),即可以實(shí)現(xiàn)各機(jī)構(gòu)網(wǎng)絡(luò)之間的安全互聯(lián),高強(qiáng)度的加密隧道和完整性校驗(yàn),保證在Internet上經(jīng)過的數(shù)據(jù)不會(huì)被泄露(保證機(jī)密性)和篡改(保證完整性)。
安全和增值服務(wù):這里建議采用防火墻和VPN集成的安全網(wǎng)關(guān),防火墻、VPN、抗拒絕服務(wù)攻擊等眾多安全技術(shù)的集成,在為集團(tuán)各分支機(jī)構(gòu)實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)的同時(shí),提供更全面的安全增值功能,實(shí)現(xiàn)最大化用戶的投資效益。
擴(kuò)展性好:集團(tuán)公司可以非常輕松地?cái)U(kuò)展新網(wǎng)點(diǎn),當(dāng)發(fā)展了新的分支機(jī)構(gòu)后,只需在新網(wǎng)點(diǎn)部署一臺(tái)安全網(wǎng)關(guān)設(shè)備即可將其接入現(xiàn)有網(wǎng)絡(luò)。無論是建設(shè)周期還是實(shí)施復(fù)雜度、投資費(fèi)用都比專線要?jiǎng)澦愕枚唷?
二、為圣中集團(tuán)網(wǎng)絡(luò)的移動(dòng)用戶部署SSL VPN的方案。對(duì)于圣中集團(tuán)的移動(dòng)業(yè)務(wù)人員,重要的是可以隨時(shí)隨地、快捷、方便并且安全地訪問公司內(nèi)部網(wǎng)絡(luò),及時(shí)獲取他們所需的信息;而那些原先不具備互聯(lián)條件的小型營業(yè)點(diǎn)也能經(jīng)濟(jì)、快捷地接入整個(gè)公司網(wǎng)絡(luò)。另外,利用通過SSL VPN, 集團(tuán)公司的業(yè)務(wù)伙伴和關(guān)鍵客戶也能通過Internet方便安全地訪問集團(tuán)公司對(duì)他們開放的信息資源,也可以實(shí)現(xiàn)安全有效的電子商務(wù)。它的優(yōu)點(diǎn)在于:
實(shí)施簡(jiǎn)單,只需要在公司總部部署一臺(tái)SSL VPN設(shè)備即可利用Internet實(shí)現(xiàn)全國移動(dòng)群體的安全接入,而不需要再安裝其它任何設(shè)備或客戶端軟件,而且不要改動(dòng)內(nèi)網(wǎng)服務(wù)器的任何配置。
使用方便,接入的客戶端不需要安裝任何客戶端軟件,不需要掌握任何VPN知識(shí),不需要任何復(fù)雜操作過程,就跟在公司內(nèi)部本地使用局域網(wǎng)資源一樣簡(jiǎn)單。
隨時(shí)隨地的接入,遠(yuǎn)程用戶可以在咖啡廳、機(jī)場(chǎng)、酒吧等任何可以上網(wǎng)的地方,在任何時(shí)間任何地點(diǎn)使用任何的電腦(不管是自己的筆記本還是公共場(chǎng)所的電腦)甚至是手機(jī)、 PDA掌上電腦,及時(shí)安全地接入公司網(wǎng)絡(luò)。
成本低且擴(kuò)展性好: 當(dāng)增添了新的移動(dòng)業(yè)務(wù)人員或拓展了新營業(yè)點(diǎn)、辦公室后,不用再添置任何設(shè)備或再安裝任何軟件。真正做到新開辟的業(yè)務(wù)點(diǎn)只要能接入Internet,就能即時(shí)與公司網(wǎng)絡(luò)安全連通。
安全,SSL VPN的安全性級(jí)別很高,全面的客戶端主機(jī)安全檢查,可以保證只有符合集團(tuán)安全策略的主機(jī)才可以接入;細(xì)粒度的訪問控制,保證只有得到授權(quán)的用戶,才能訪問相應(yīng)的資源。
VPN系統(tǒng)的采用,可以有效地解決遠(yuǎn)程訪問的問題,從安全性上講,VPN主要實(shí)現(xiàn)了在不可信網(wǎng)絡(luò)上的數(shù)據(jù)安全傳輸。但是,VPN實(shí)現(xiàn)互連的同時(shí),也會(huì)帶來相應(yīng)的安全隱患,如各地分公司網(wǎng)絡(luò)的接入,來自于網(wǎng)絡(luò)內(nèi)部的安全威脅也相應(yīng)的增加了。
因此,建議圣中集團(tuán)同時(shí)采用相應(yīng)的身份認(rèn)證機(jī)制和安全訪問控制機(jī)制,利用身份認(rèn)證和授權(quán),有效的區(qū)分不同用戶的訪問權(quán)限,并利用其與VPN系統(tǒng)或者訪問控制系統(tǒng)的結(jié)合,保證只有授權(quán)的用戶可以訪問指定的資源;也可以利用其他的安全手段,如入侵防護(hù)系統(tǒng)等,進(jìn)行應(yīng)用訪問的威脅控制,通過安全策略制度的制定和培訓(xùn),提高員工的安全意識(shí)。在保證公司網(wǎng)絡(luò)擴(kuò)展性和可用性的同時(shí),最大限度地保證網(wǎng)絡(luò)的安全性。
觀點(diǎn)三:IPSEC VPN和SSL VPN結(jié)合同時(shí)解決網(wǎng)間互聯(lián)和移動(dòng)辦公需求
適合自己的,才是最好的!
深信服科技高級(jí)產(chǎn)品經(jīng)理 葉宜斌
不同規(guī)模的企業(yè)、不同的業(yè)務(wù)模式,相應(yīng)的對(duì)VPN產(chǎn)品的要求也不盡相同。只有適合自身業(yè)務(wù)需求和未來發(fā)展的專業(yè)VPN產(chǎn)品,并且整體投資適度、性價(jià)比高,才是最好的產(chǎn)品。
到底如何選擇一款好的VPN產(chǎn)品?對(duì)于企業(yè)用戶來說,根據(jù)不同的需求、選擇適合自身業(yè)務(wù)和網(wǎng)絡(luò)需求的方案,并綜合考慮產(chǎn)品的性能、特點(diǎn)和整體投資,是企事業(yè)IT人員甚至高層決策的根本出發(fā)點(diǎn)。
不同規(guī)模的企業(yè)、不同的業(yè)務(wù)模式,相應(yīng)的對(duì)VPN產(chǎn)品的要求也不盡相同。只有適合自身業(yè)務(wù)需求和未來發(fā)展的專業(yè)VPN產(chǎn)品,并且整體投資適度、性價(jià)比高,才是最好的產(chǎn)品。
目前稍具規(guī)模的企業(yè),都不僅只有一個(gè)辦公場(chǎng)所,而是擁有眾多的分公司、辦事處、工廠等。隨著企業(yè)信息化的發(fā)展,越來越多的應(yīng)用系統(tǒng)開始用來處理企業(yè)的各項(xiàng)業(yè)務(wù),如何將公司總部的各項(xiàng)應(yīng)用系統(tǒng)推廣到各個(gè)分支機(jī)構(gòu)、辦事處,實(shí)現(xiàn)應(yīng)用系統(tǒng)的實(shí)時(shí)、統(tǒng)一的管理,就成為當(dāng)前眾多企業(yè)所面臨的問題。正如點(diǎn)評(píng)話題中所提到的圣中集團(tuán),如何安全、高效地使用ERP軟件將各地的數(shù)據(jù)集中上傳、統(tǒng)一管理,以及實(shí)現(xiàn)集團(tuán)內(nèi)部的信息共享等問題,成為困擾眾多CIO的一個(gè)難題。
國內(nèi)的寬帶網(wǎng)絡(luò)發(fā)展從2000年開始,已經(jīng)得到了極大的發(fā)展。企業(yè)用戶接入Internet逐步過渡到ADSL等寬帶方式,資費(fèi)也能夠被用戶所接受、并有進(jìn)一步下降的趨勢(shì)。VPN從不為人所知、到逐步地被用戶了解和認(rèn)同,并且已經(jīng)有很多信息化程度領(lǐng)先的企業(yè)選用了相關(guān)的VPN方案來構(gòu)建企業(yè)遠(yuǎn)程網(wǎng)絡(luò)平臺(tái)。因此,點(diǎn)評(píng)話題中所提到的圣中集團(tuán),完全適合使用VPN的解決方式來解決其上述問題。
目前主流的VPN產(chǎn)品大部分是通過隧道技術(shù)來保證其數(shù)據(jù)的安全性。隧道技術(shù)有兩種:一種是工作于TCP/IP協(xié)議中網(wǎng)絡(luò)層的IPSec 協(xié)議,另一種是工作于應(yīng)用層的SSL協(xié)議,兩者都有很好的保密性和安全性。IPSec VPN主要是用于異地網(wǎng)絡(luò)的遠(yuǎn)程互連,兩個(gè)網(wǎng)絡(luò)之間需要安裝IPSec VPN的客戶端并需要進(jìn)行復(fù)雜的配置。而SSL VPN最大的優(yōu)勢(shì)就是無需客戶端,只需要標(biāo)準(zhǔn)的IE瀏覽器就能夠通過SSL協(xié)議連接到總部網(wǎng)絡(luò)。
當(dāng)前IPSec VPN已經(jīng)能夠較好地解決企業(yè)網(wǎng)間互連方面的問題,由于工作在網(wǎng)絡(luò)層,采用安全的IPSec協(xié)議和PKI密鑰分發(fā)體系,IPSec VPN能夠安全地保證重要數(shù)據(jù)在公網(wǎng)上的傳輸。但是在易用性方面,IPSec VPN就顯的有些力不從心。隨著“移動(dòng)辦公”的需求逐漸升溫,傳統(tǒng)的IPSec VPN在易用性方面已經(jīng)無法滿足新的需求(IPSec VPN需要安裝IPSec 客戶端,進(jìn)行復(fù)雜的配置等),眾多企業(yè)迫切需要通過一種新的技術(shù)來實(shí)現(xiàn)便捷的移動(dòng)辦公。
因而SSL VPN孕育而生。移動(dòng)辦公人員可以通過瀏覽器利用無處不在的網(wǎng)絡(luò)使用SSL VPN安全訪問企業(yè)的內(nèi)部資源。但是由于SSL VPN是工作在應(yīng)用層上的,在解決企業(yè)網(wǎng)間互連方面就不如IPSec VPN。因而,若能在一臺(tái)設(shè)備內(nèi)同時(shí)提供IPSec和SSL 兩套VPN技術(shù),同時(shí)解決網(wǎng)間互連和移動(dòng)辦公的需求,將能解決絕大部分企業(yè)用戶的需求。深信服科技就推出了IPSec和SSL一體化的安全網(wǎng)關(guān),實(shí)現(xiàn)了一套設(shè)備內(nèi)同時(shí)支持IPSec和SSL 兩種協(xié)議,對(duì)于用戶來說,將是一個(gè)不錯(cuò)的選擇。
觀點(diǎn)四:專用網(wǎng)絡(luò)還是VPN,還要仔細(xì)斟酌
專用網(wǎng)絡(luò)還是VPN?
新華信正略鈞策管理咨詢有限公司顧問 呂謀篤
如果僅考慮ERP應(yīng)用,VPN應(yīng)該是一個(gè)不錯(cuò)的選擇,但考慮到信息化建設(shè)的持續(xù)性,那么決策過程要復(fù)雜的多。
點(diǎn)評(píng)話題中提到的圣中集團(tuán)通信中心面臨的困難實(shí)際上是廣域網(wǎng)鏈路選擇問題,這一問題在企業(yè)信息化建設(shè)中具有一定的普遍性。企業(yè)應(yīng)該如何面向未來進(jìn)行企業(yè)的網(wǎng)絡(luò)基礎(chǔ)建設(shè)?在眾多的網(wǎng)絡(luò)互聯(lián)方式中,哪一種最適合企業(yè)?選擇的依據(jù)又是什么?選擇的鏈路其安全性、穩(wěn)定性是不是能夠滿足業(yè)務(wù)的要求?這些問題均在不同程度上困繞著企業(yè)。就目前圣中集團(tuán)的信息化應(yīng)用水平來說,我認(rèn)為如果僅考慮ERP應(yīng)用,VPN應(yīng)該是一個(gè)不錯(cuò)的選擇,但考慮到信息化建設(shè)的持續(xù)性,那么決策過程要復(fù)雜得多,下面我們圍繞這個(gè)問題進(jìn)行簡(jiǎn)單的討論。
首先,我認(rèn)為一個(gè)企業(yè)廣域網(wǎng)的鏈路選擇,必須建立在IT規(guī)劃基礎(chǔ)之上。通過對(duì)企業(yè)未來5~10年的戰(zhàn)略剖析、業(yè)務(wù)流程梳理、信息化現(xiàn)狀以及信息技術(shù)發(fā)展趨勢(shì)的分析,明確企業(yè)未來信息化需求以及信息化的建設(shè)步驟。只有在確定信息化需求及建設(shè)內(nèi)容之后,才能夠準(zhǔn)確計(jì)算企業(yè)網(wǎng)絡(luò)通信量及理清網(wǎng)絡(luò)要求,才能在一定時(shí)期內(nèi)保證網(wǎng)絡(luò)基礎(chǔ)平臺(tái)的高效性、先進(jìn)性,最大程度的保護(hù)投資,避免重復(fù)建設(shè)。
一般來說,企業(yè)的遠(yuǎn)程接入方式主要由以下幾個(gè)方面決定:
1、企業(yè)應(yīng)用的網(wǎng)絡(luò)流量
如何估算企業(yè)未來信息化應(yīng)用的帶寬需求,是建設(shè)經(jīng)濟(jì)型網(wǎng)絡(luò)的理論依據(jù)。我們認(rèn)為,計(jì)算網(wǎng)絡(luò)帶寬應(yīng)該綜合考慮數(shù)據(jù)及文件傳輸、各應(yīng)用系統(tǒng)傳輸以及音頻視頻傳輸三方面因素。
◆ 數(shù)據(jù)傳輸及文件下載
帶寬估算的簡(jiǎn)單公式如下:
帶寬=F×O×8÷R
F是待傳輸?shù)拇笈繑?shù)據(jù)的大小,O是協(xié)議開銷因子,R是所需的終端用戶傳輸時(shí)間。開銷因子表明了每個(gè)TCP段必須的TCP/IP和鏈路層開銷。對(duì)于一個(gè)1024字節(jié)的段來說,協(xié)議開銷因子約為[(1024+48)÷1024]-1=0.05,即大約為5%。用戶可以容忍的最大傳輸時(shí)間通常為3~5s(包括所有的延時(shí))。
◆ 應(yīng)用系統(tǒng)
目前企業(yè)級(jí)的應(yīng)用系統(tǒng)(如OA、ERP、EIP、BI等)大部分以三層架構(gòu)為基礎(chǔ),在客戶端提供網(wǎng)頁支持,客戶在訪問系統(tǒng)時(shí)均需要耗用一定的通信資源。
因此,要提出準(zhǔn)確所需要的帶寬是很困難的。一般情況下,我們僅按照基本的網(wǎng)絡(luò)帶寬(即并發(fā)用戶數(shù)每屏2K)進(jìn)行測(cè)算。
◆ 視頻會(huì)議
企業(yè)視頻會(huì)議是建設(shè)基礎(chǔ)網(wǎng)絡(luò)必須要考慮的一個(gè)方面。使用基于最壞情況下的帶寬需求經(jīng)驗(yàn)公式,可以將現(xiàn)有的企業(yè)內(nèi)部語音話務(wù)量及視頻數(shù)據(jù)作為基礎(chǔ)數(shù)據(jù),來進(jìn)行對(duì)網(wǎng)絡(luò)帶寬的估測(cè)。
音頻:傳統(tǒng)語音網(wǎng)絡(luò)上使用的G.711編解碼算法(64kbit/s)是最耗帶寬,但是能夠提供最好的語音質(zhì)量。如果按照多數(shù)語音網(wǎng)關(guān)的設(shè)置,每20毫秒的語音數(shù)據(jù)打成IP包,語音包在打成IP包時(shí)按IP/UDP/RTP順序封裝,考慮每個(gè)IP包要加入40字節(jié)的IP包頭的原因,每個(gè)會(huì)話的帶寬需求是80kbit/s。
視頻:根據(jù)視頻會(huì)議系統(tǒng)要求,用戶提供384 kbit/s以上的帶寬保證,則能提供每秒20幀以上的CIF格式的視頻效果,在該效果下,視頻較果較為流暢。
以上計(jì)算的帶寬僅是理論值,考慮到編碼的效率,幀間隙,數(shù)據(jù)包頭等因素,網(wǎng)絡(luò)的實(shí)際傳輸能力,從應(yīng)用層來看最多有 70%~80%,通過公式折算,我們就會(huì)得出網(wǎng)絡(luò)流量的測(cè)算值,以此來判斷企業(yè)的帶寬需求,進(jìn)而判斷適合企業(yè)的網(wǎng)絡(luò)接入方式。
2、網(wǎng)絡(luò)應(yīng)用的安全性要求
專用網(wǎng)絡(luò)在通信中的安全性,是通過物理傳輸介質(zhì)隔離來實(shí)現(xiàn)的,其傳輸安全性得到了最大程度的保障。
VPN是基于公用網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式,其安全性取決于隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption & Decryption)、密鑰管理技術(shù)(Key Management)、身份認(rèn)證技術(shù)(Authentication)。這些技術(shù)的成熟度決定了VPN方式的安全性。
當(dāng)然,VPN的安全性也取決于隧道協(xié)議,目前主要隧道協(xié)議有四種:PPTP、L2TP、IPSec和SSL,PPTP和L2TP協(xié)議是工作在OSI/RM開放模型中的第二層,較少用到,IPSec為第三層隧道協(xié)議,應(yīng)用較廣,SSL是近年來發(fā)展起來的協(xié)議,為應(yīng)用層協(xié)議,其安全性要比IPsec差,但由于易用性等原因在近幾年有較大發(fā)展。
3、網(wǎng)絡(luò)應(yīng)用的穩(wěn)定性要求
在穩(wěn)定性方面,由于采用運(yùn)營商提供的專有網(wǎng)絡(luò)通道,專用網(wǎng)絡(luò)帶寬能夠得到保障,穩(wěn)定性也是最好的。
VPN雖然在理論上能夠提供足夠的帶寬,但由于受到各地ISP本身帶寬的制約,受到網(wǎng)絡(luò)流量波峰波谷的影響,VPN的穩(wěn)定性要遜于專用網(wǎng)絡(luò)。
總之,考慮企業(yè)廣域網(wǎng)的接入方式,必須充分考慮未來信息化需求以及通信安全性穩(wěn)定性要求,然后對(duì)比各種接入方式的特點(diǎn),才能選擇適合企業(yè)的廣域網(wǎng)接入方式。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:如何解讀VPN選型之困
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1082011876.html