过去,大部分企业是地域性的,驻守在一个区域中。但是,现在多数企业则是全国性的,甚至是全球性的。企业通过合并、收购等形式,或者在各地设立办事处等等方式,迅速扩大企业的规模。在分散的地理位置上存在越来越多的办事机构、分公司等等。而随着企业信息化办公的普及,如何把这些流离在企业外围的机构纳入到企业同一的信息化平台中来,这就是CIO所面对的一个挑战。企业需要在总部与各个分支机构之间进行快速、安全的信息及交流,VPN(虚拟专用网)也应用而生。到目前为止,可以说VPN的解决方案已经让人眼花缭乱。为此,CIO现在不用担心找到的VPN解决方式;而该担心的是,如何选择一个价廉物美又合身的VPN服务提供商,包括硬件设备。笔者将结合自己的VPN选型经验,跟各位CIO朋友们,探讨一下如何围绕三个核心问题进行VPN选型。
核心一:对于用户要透明
VPN(虚拟专用网)允许在远处的分支机构工作的职员与企业总部内的网络进行安全通信。他们在使用VPN虚拟专用网联入企业总部内部网络的时候,跟访问局域网没有什么不同。而且,通过因特网连接到公司VPN的远程用户还可以在公司的VPN上进行身份鉴别,从而实现访问权限的控制。要实现这一点,就是要求VPN虚拟专用网解决方案对于用户来说,是“透明”的。简而言之,远程分支机构的员工在通过VPN虚拟专用网访问企业总部网络资源的时候,他们并不知道有VPN的存在。他们通过网上邻居或者通过文件服务器的图标,就可以直接进入到企业总部的网络。
只有如此,终端用户用起来才能够比较方便。根据对用户透明程度的不同,VPN主要由两种实现方式。
一是终端用户需要进行拨号才能够连接到企业内部网络。如当分支结构的员工需要通过VPN虚拟专用网连接到企业内部网络的话,则需要先进行拨号连接到企业的VPN服务器。然后才能够访问。当用户下次再进行访问的时候,仍然需要拨号。这显然非常的麻烦。对于终端用户来说,不够透明。
二是利用路由器等网络设备来代替终端用户的拨号行为。这就好像ADSL拨号上网一样,再ADSL猫上联入一个路由器,把这个拨号的任务交给路由器来完成。如此的话,用户需要上网的时候,不需要再重新拨号了。因为路由器始终连接在互联网上。所以,ADSL对于用户来说,是透明的。他们并不关心如何才能够联网。其实,VPN也可以实现类似的处理。如现在有一个分支机构需要与企业总部建立VPN连接,那么只需要在这个分支机构的边界路由器中,实现一个VPN的客户端。让其永远与企业的VPN服务器之间建立连接。如此,只要这个分支机构的员工终端主机连接在这台路由器上,那么他们就可以不经过任何操作直接跟企业的VPN服务器进行操作。因为事先的拨号工作路由器已经帮助完成了。不过,这虽然提供了VPN虚拟专用网对终端用户的透明性,但是,其需要路由器等网络设备的支持。
到底是放弃透明性,提高VPN虚拟专用网的灵活性;还是坚持透明性,增加一定的网络投资呢?笔者认为这没有一个绝对的答案。需要CIO根据企业的应用场景来进行选择。在通常情况下,如果终端用户的数量比较少、终端用户具有一定的知识背景、而且其流动性比较强的话,那么最好还是通过拨号来连接到VPN网络服务器为好。但是,如果终端用户数量比较多,如分公司与总公司的连接等等,那么还是让路由器来进行拨号、跟企业VPN服务器进行连接为好。
核心二:利用软件还是利用硬件来实现
现有的VPN虚拟专用网解决方案,基本上都是基于IP网络的。VPN能够在公共网络上为分布在各地的办事处之间提供安全连接,而不需要租用昂贵的线路。由于VPN是基于IP网络的,所以任何现有的基于IP网络通过安装允许安全远程访问的软件,都可以被轻易的转化为VPN。可见,VPN基本上跟平台无关的。故CIO在选择VPN解决方案的时候,基本上不用考虑VPN的实现平台问题。这跟选择ERP等信息化管理软件不同。后者还需要考虑企业现有的平台跟ERP等管理软件能够兼容问题。而VPN虚拟专用网则不用考虑这个问题。
那么CIO该考虑什么问题呢?CIO应该考虑该如何实现VPN,即是通过软件来实现,还是通过硬件来实现。根据现有VPN服务提供商设计出的虚拟专用网解决方案,大致可以分为三种。分别为基于硬件、基于软件与基于网络三种。他们各有各的特点,也各有各的局限性。CIO需要根据自己企业的实际情况,进行选择。
一是基于硬件的虚拟专用网解决方案。也就是说,VPN解决方案跟加密路由器等网络设备是集成的,即在专用的网络设备上实现VPN技术。有了专业设备的支持,一方面VPN解决方案能够提供更高的安全级别,如与AAA服务器结合提高身份鉴别的安全性等等。其次,由于有专门的网络设备来处理VPN数据流,所以其可以在短时间内处理大量的网络流量。其三,比较容易管理。因为在专业设别上,往往会有一个管理的平台。在这个平台上CIO可以根据企业的需要设置不同的策略,如CIO可能想让远程用户只能够通过VPN来访问企业的邮箱服务器。如果利用专门的硬件设备来实现VPN的话,那么这个需求就可以很轻易的实现。不过其缺陷也很明显。如需要专门的硬件投资,而且这不是消费用;如由于硬件是死的,所以其灵活性就会大打折扣。
二是基于软件来实现。也就是说,在现有的服务器或者网络设备上,可能本身就带有VPN的软件包;又或者可以安装VPN服务器软件的方式来实现虚拟专用网。基于软件来实现VPN,企业不需要投入额外的硬件设备,可以节省VPN应用成本。同时,可以在所需要的服务器上安装VPN软件来实现,其灵活性也比基于硬件的方式要高的多。但是,由于其没有处理大量网络数据流的专门设备的支持,其性能就会比较低;而且也没有专业用来处理安全的身份鉴别服务器设别或者加密设备,其安全性也会大折扣。
三是基于网络的VPN。这个是在专用的IP网络上实现的。而以上两种方式,是通过公共网络,即互联网实现的。在基于IP网络上实现的VPN虚拟专用,比在互联网上实现的VPN,能够提供更高的安全性、更好的性能和更易于管理等等。当然,其所需要的成本也会更高。在实际工作中,企业常利用前面两种实现方式,即基于硬件或者基于软件来实现。而基于网络的VPN,由于出于成本的考虑,很少有企业会采用。
到底采用哪种实现方式,笔者认为,CIO主要从性能、安全与成本三个方面去考虑。如对于性能、安全要求比较高,而又比较财大气粗的集团型企业,则可以采用基于硬件的VPN实现方式。现在很多跨国集团基本上都是采用这些方式。而如果只是想通过VPN虚拟专用网来实现几个小办事处与企业的连接,或者一些散户的远程访问需求,则采用基于软件的VPN解决方案,也是可行的。
核心三:利用什么技术来实现VPN
VPN的实现技术有很多,如利用IP隧道、帧中继或者ATM技术实现等等。笔者倾向于通过IP隧道来实现。因为他跟其他技术而言,具有比较高的性价比。在基于IP隧道的VPN解决方案中,数据包被封装到一个IP包内,然后再在一个基于IP的网络上进行数据传输。需要连接的各个办事处、分支机构通常各自安装、部署、维护这些VPN。
采用IP隧道技术来实现VPN,可以减少电信费用。因为此时是利用本地连接代替专用和厂距离的连接,他们对ISP的以来只是其提供的物理连接。同时,其安全性并不比其他解决方案差。他也可以为内联网、外联网等等提供一个安全的安全通道,实现快速、安全的数据交换。
总之,在VPN的众多实现技术中,笔者是比较倾向于这个IP隧道技术的。诸如帧中继、ATM服务的应用范围并不广泛,而且费用比较昂贵,并不是企业的首选。