1497685667745第1页共7页虚拟专用网络最近两年,VPN(VirtualPrivateNetworks)虚拟专用网络已经成为流行的喧闹词汇。但是否每个人都充分理解VPN是什么和它如何确切地工作呢?VPN的工作定义如下:隧道、加密、鉴别以及存取控制技术的综合体,和在因特网、IP网或ISP的主干网上管理交通运输的服务器。用VPN能干什么?它可以减少通信成本。隐藏在使用VPN后面的一般想法是公司减少返回的电信费用,该费用是远程用户及公司的分部办公室连接到集团总部资源的开销。第一斧:远程访问几个截然不同的VPN应用是新出现的,每一个都有它自己的运行要求,这反过来规定一套设备与服务要求。新出现的VPN应用领域分为四类:远程访问、现场对现场连通、Extranet超级网和其它。1497685667745第2页共7页在远程访问使用VPN的应用中,基本想法是给打电话者和传输资料的人员一条能通过因特网或ISP的主干网返回到集团网络的通路。用户拨号进入服务提供者已有的服务站点,建立一条返回总部的隧道,并且鉴别本人,以便再次访问集团网络。VPN方法让用户打本地电话到服务供应者的POP服务器上,而不是呼叫一个长途电话或者使用800服务直接拨号到公司,这样节省了电话费用。进一步的节省可能是减少支持远程用户连接的操作成本。例如,当公司使用VPN时,公司能免掉他们的远程访问服务器。另外,公司也可能节省其它的通信费用。例如,在使用VPN之前,公司可能与ISP有一个专用的链接用于因特网访问,和连到远程访问服务器上的一条T1线提供给拨号用户。在完全使用VPN的情况,拨号访问将不需要T1线。这些用户的通信将经过已有的因特网访问线。这样一来,就可以节省掉支付给拨号访问用的T1线的每月开销。1497685667745第3页共7页第二斧:现场对现场连通在某些情况下,使用VPN连接成本并不是明显少于使用帧中继的成本,但其它一些方法可以降低使用VPN现场对现场连通的通信成本。工业界调查发现多达72%的现场有多重访问线:一条传送数据返回到总部,另一条为因特网传送数据。使用VPN技术用于现场对现场连通,使有多重连接的分部办公室免掉传送数据返回到总部的数据线,而在访问因特网的连接线上传送数据。另外,如果公司有许多国际现场,那么现场对现场的VPN应用能极大地削减通信成本。举例说来,若使用租用线路或者数据服务器,例如帧中继,把欧洲分部现场与北美总部办公室相连接的成本可能十分高。而利用分部办公室所驻留国家的ISP站点,在该站点周围建立VPN,将使分部办公室现场仅仅支付对ISP站点的访问费用,这比支付往返美国的一个长途的连接要便宜得多。1497685667745第4页共7页VPN能影响公司的财政的另一个方面是建立连接的时间。通常说来,公司建立高速的因特网连接,比建立高速数据服务所需的时间短得多。如果你正在考虑使用VPN取代租用线路,在美国建立VPN连接只花费几个月;在外国,建立VPN连接可能要一年或许更长的时间。在诸如保险业中,这种时间差可能是工作成功与否的决定因素。第三斧:超级网有一些方法可建立不包括VPN技术的超级网,但是以VPN为基础的超级网给IT管理另外一种选择。以VPN为基础的超级网的基本想法是:使用VPN鉴别服务和访问控制,去拒绝或准予客户、贸易合伙人对与业务有关的特殊信息的访问。以VPN为基础的超级网的应用中,利用隧道越过因特网或者服务供应者网络,外部人员或许能抵达到集团网络的防火墙,而抵达防火墙后面的能力是由VPN访问控制服务器所控制的。1497685667745第5页共7页要估计使用VPN的超级网比使用另一种网络技术的超级网节省的成本,是很困难的。但对于许多公司,以VPN为基础的超级网很方便地使他们做以前不可能干的业务。如果VPN超级网取代其它某些事情,硬的价格分析或许也是可能的。例如,为了减少成本,一些与贸易合伙人使用电子数据交换(EDI)做生意的公司关注VPN超级网。一般情况,EDI应用要求有客户软件和使用增值网络(VAN)供应。无论何处,这样VAN增值网络通常价格是每连通小时从6美元到12美元。而VPN超级网将允许公司以低得多的费用使传统的服务供应者与贸易伙伴连通。内部使用VPN应用的第四主要范畴是广阔的范围:其它类。然而,甚至在这弱定义范畴中,一种VPN应用也提到面前了:内部使用VPN。在集团的网络或者内部互连网上划分人员,一般想法是使用加密、鉴别以及VPN1497685667745第6页共7页的访问控制服务。在许多情形下,公司需要确认数据的机密。例如,人力资源部门可能想让雇员核对假期时间,但不能见到实绩检查,或者可以授权一位营业部经理访问所有有关销售员的销售实绩记录,而每一销售员仅仅有机会接近他或者她自己的联系记录。VPN能帮助IT管理者建立并且管理这些水平的访问。使用VPN技术,控制不同组工作人员访问数据,解决了IT管理长时间以来一直面临的某些问题。例如,许多IT管理者一直试图使用虚拟局域网络(VLAN)技术划分用户人员。该想法是使用VLAN,管理者能迅速建立工作人员组,它看上去像是在一个单一的网络段上。管理者能动态地分配用户到特定组中并且从任何一组限制其他组。IT管理与VLAN冲突的大量问题是许多方法所特有的,因此这些方法不能在来自多个卖主的集线器和交换机的混合环境中运行。利用在用户工作站和服务器之间的基于IP的隧道,VPN能走捷径旁路绕过1497685667745第7页共7页混合设备环境,把两种设备间的通讯译成密码,这样有助于确保机密。因此,VPN建立了一个模拟在不同的LAN网段上物理划分用户的环境。关于VPN的最令人激动的事情是所有四种应用不相互排斥。公司可以部署VPN去连接它的分部办公室,然后扩充对单个远程用户的访问,并且对局外人开放网络,所有这些全都使用一样的设备和服务器。一旦满足了远程用户和外部用户的连通要求后,也能在集团的网络上去划分用户组。