1、虚拟专用网络最近两年,VPN (VirtualPrivateNetworks )虚拟专用网络已经成为流行的喧闹词汇。但是否每个人都充分理解 VPN是什么和它如何确切地工作呢?VPN的工作定义如下:隧道、加密、鉴别以及存取控制技术的综合体,和在因特网、IP网或ISP的主干网上管理交通运输的服务哭 WTo用VPN能干什么?它可以减少通信成本。隐藏在使用VPN后面的一般想法是公司减 少返回的电信费用,该费用是远程用户及公司的分部办公室连接到集团总部资源的开 销。第一斧:远程访问几个截然不同的 VPN 应用是新出现的,每一个都有它自己的运行要求, 这反过来规定一套设备与服务要求。新出现的 VPN 应用
2、领域分为四类: 远程访问、 现场对现场连通、Extranet 超级网和其它。在远程访问使用 VPN 的应用中,基本想法是给打电话者和传输资料的人员一条能通过因特网或ISP 的主干网返回到集团网络的 通路。 用户拨号进入服务提供者已有的服务站点,建立一条返回总部的隧道,并且鉴别 本人,以便再次访问集团网络。VPN 方法让用户打本地电话到服务供应者的 POP 服务器上,而不是呼叫一个长途电话或者使用 800 服务直接拨号到公司, 这样节省了电话费用。进一步的节省可能是减少支持远程用户连接的操作成本。例如,当公司使用 VPN 时,公司能免掉他们的远程访问服务器。另外,公司也可能节省其它的通信费用。例
3、如,在使用 VPN 之前,公司可能与 ISP 有一个专 用的链接用于因特网访问, 和连到远程访问服务器上的一条T1 线提供给拨号用户。在 完全使用 VPN 的情况,拨号访问将不需要T1 线。这些用户的通信将经过已有的因特网访问线。这样一来,就可以节省掉支付给拨号访问用的 T1 线的每月开销。第二斧:现场对现场连通在某些情况下,使用 VPN 连接成本并不是明显少于使用帧中继的成本, 但其它一些方法可以降低使用 VPN 现场对现场连通的通信成本。工业界调查发现多达72 的现场有多重访问线:一条传送数据返回到总部,另一条为因特网传送数据。使用 VPN 技术用于现场对现场连通, 使有多重连接的分部办公
4、室免掉传送数据返回到总部的数据线,而在访问因特网的连接线上传送数据。另外,如果公司有许多国际现场,那么现场对现场的 VPN 应用能极大地削减通信成本。举例说来,若使用租用线路或者数据服务器,例如帧中继,把欧洲分部现场与北美总部办公室相连接的成本可能十分高。 而利用分部办公室所驻留国家的 ISP 站点,在该站点周围建立VPN , 将使分部办公室现场仅仅支付对 ISP 站点的访问费用,这比支付往返 美国的一个长途的连接要便宜得多。VPN 能影响公司的财政的另一个方面是建立连接的时间。通常说来,公司建立高速的因特网连接, 比建立高速数据服务所需的时间短得多。如果你正在考虑使用 VPN 取代租用线路,
5、在美国建立VPN 连接只花费几个月;在外国,建立VPN 连接可能要一年或许更长的时间。在诸如保险业中,这种时间差可能是工作成功与否的决定因素。第三斧:超级网有一些方法可建立不包括VPN 技术的超级网,但是以 VPN 为基础的超级网给IT 管理另外一种选择。以 VPN 为基础的超级网的基本想法是:使用 VPN 鉴别服务和访问控 制,去拒绝或准予客户、贸易合伙人对与业务有关的特殊信息的访问。以 VPN 为基础的超级网的应用中,利用隧道越过因特网或者服务供应者网络,外部人员或许能抵达到集团网络的防火墙,而抵达防火墙后面的能力是由 VPN 访问控制服务器所控制的。要估计使用 VPN 的超级网比使用另一
6、种网络技术的超级网节省的成本,是很困难的。但对于许多公司,以 VPN 为基础的超级网很方便地使他们做以前不可能干的业务。如果 VPN 超级网取代其它某些事情,硬的价格分析或许也是可能的。例如,为了减少成本, 一些与贸易合伙人使用电子数据交换(EDI ) 做生意的公司关注 VPN 超级网。 一般情况, EDI 应用要求有客户软件和使用增值网络 ( VAN ) 供应。 无论何处, 这样 VAN增值网络通常价格是每连通小时从 6 美元到12 美元。 而 VPN 超级网将允许公司以低得多的费用使传统的服务供应者与贸易伙伴 连通。内部使用 VPN应用的第四主要范畴是广阔的范围:其它类。然而,甚至在这弱定
7、义范畴中,一种VPN 应用也提到面前了:内部使用 VPN 。在集团的网络或者内部互连网上划分人员,一般想法是使用加密、鉴别以及VPN 的访问控制服务。在许多情形下,公司需要确认数据的机密。例如,人力资源部门可能想让雇员核对假期时间,但不能见到实绩检查,或者可以授权一位营业部经理访问所有有关销售员的销售实绩记录, 而每一销售员仅仅有机会接近他或者她自己的联系记录。VPN 能帮助 IT 管理者建立并且管理这些水平的访问。数据, 解决了 IT 管理长时间以来一直面临的 某些问题。 例如, 许多 IT 管理者一直试图使用虚拟局域网络( VLAN )技术划分用户人员。该想法是使用 VLAN ,管理者能迅
8、速建立工作人员组,它看上去像是在一个单一的网络段上。 管理者能动态地分配用户到特定组中并且从任何一组限制其他组。 IT 管理与VLAN 冲突的大量问题是许多方法所特有的, 因此这些方法不能在来自多个卖主的集线器和交换机的混合环境中运行。利用在用户工作站和服务器之间的基于 IP境,把两种设备间的通讯译成密码,这样有 助于确保机密。 因此, VPN 建立了一个模拟在不同的 LAN 网段上物理划分用户的环境。关于 VPN 的最令人激动的事情是所有四种应用不相互排斥。公司可以部署 VPN 去连接它的分部办公室, 然后扩充对单个远程用户的访问,并且对局外人开放网络,所有这些全都使用一样的设备和服务器。 一旦满足了远程用户和外部用户的连通要求后, 也能在集团的网络上去划分用户组。
