企业VPN需求与解决方案

企业VPN需求与解决方案【2004-08-3010:34】【】【中国电信】随着计算机网络的不断普及，以多媒体通信为标志的网络环境已将成为我们赖以工作、生活甚至生存的基本“生态环境”。当前，企业客户不仅有上网及专线互连的传统需求，通过技术手段形成虚拟专用网，达到安全网络互通的需求正在迅速增长。上海市电信有限公司信息网络部作为上海电信归口管理综合数据产品的部门，利用电信强大的网络资源，除了为大客户提供所需的高端数据产品外，还致力于为企业提供各种VPN解决方案。本方案集根据现有VPN各种技术手段的运用，形成VPN的“产品线”，以提供用户不同安全层次、不同应用要求的“虚拟”的专网。一、VPN概述VPN,即VirtualPrivateNetwork虚拟私用网,是利用Internet来传输私有信息而形成的逻辑网络,它可为企业级用户提供比专线价格低廉和高安全性的资源共享和互连的服务，具有同私有网络相同的安全性、优先级特性、易管理性和稳定性，可以满足客户对企业内部局域网与RemoteOffice、移动用户、远程用户间无缝连接的要求，又可将网络连接扩展到客户、供货商、合作者和关键用户以形成Extranet来降低商业运作开支和提升服务质量（包括速度、简便性和保密性上的提升）。二、企业VPN需求与解决方案例企业内部组织地理上分布的而需要内部网络互联，或者客户对企业内部局域网与RemoteOffice、移动用户、远程用户有无缝连接的要求，甚至有将网络连接扩展到客户、供货商、合作者和关键用户以形成Extranet的需求，而同时对安全性有一定要求，对通信费用的承受能力或意愿较低者，偏好于VPN。案例一：某中型企业的邮件服务器、文件服务器、认证服务器等放置在总部，分部需与总部通信。该企业速率要求不高。建议用户采用IP-SECVPN的应用解决方案，其分部通过ADSL拨号、VPNclient软件与其总部通过隧道tunnel进行加密通信。案例二：某教育行业类用户，具有若干分支点，分支点之间需要相互通信，对速率要求较高。建议通过光纤、双绞线等多种形式，将其分支机构接入IP城域网，实现基于IP-MAN的MPLSVPN组网。案例三：某企业将下属各个业务点的业务信息通过安全、价格相对低廉的宽带网络传输给总部，可为其采用VPDN方案。具体要求为：可以支持用户为数众多的业务点（包括市区和郊县）满足客户对带宽的需求网络与internet隔离，直接进入内部网络需要提供备份方案，确保网络的可用性下属业务点可以自动拨号到总部，尽量减少人工操作根据上述业务需求,采用VPDN解决方案，宽带adsl和窄带拨号两种：案例四：这是一个应用二层VPN的例子：某银行用户的分支机构较多，安全性要求很高，各互联点的带宽需求较高，希望以以太口接入方式，减少用户端设备投资。方案采用二层交换VPN，为用户提供以太口接入，同时以SDH作为备份。三、VPN产品描述当前电信可提供的VPN产品类：MPLSVPN、二层交换VPN、IPSECVPN、VPDN。我们根据以上各业务能实现的功能和质量，为VPN产品定位如下图所示:在上图中，DDN/FR专线和MPLSVPN、二层交换VPN由于其承载网络为专网，用户在使用这些业务时需要通过专用线路（模拟线或光纤）连入专网的相应接入节点，由统一的网络管理中心来负责管理整个网络的运行和维护，因此可以提供较稳定的网络带宽和较高的运行质量。MPLSVPN和二层VPN的技术手段,相较于专线方式，具有资费较低而质量好的特点。值得强调的是，电信基于庞大的双绞线接入资源，通过新的调制编码技术形成的二层交换VPN产品，具有客户端设备要求简单（以太网口下联，模拟线上联）、带宽高且速率对称的优点（256kbps—10Mbps）。四、VPN业务比较表IPSECVPNMPLSVPNVPDN二层交换VPN网络位置属于端到端服务，不需要骨干网络承担业务相关功能利用ADSL接入资源利用MUX接入网资源，属于端到端服务服务部署响应市场变化的速度快捷，可以在现有的任何IP网络上部署。用户可在任意位置使用。需要用户在业务网络覆盖范围内使用。用户位置要求固定ADSL延伸到的地方在电话模拟线覆盖、MUX布点3KM域内服务质量、服务级协约IPsec或SSL协议不解决底层网络本身的可靠性或者QoS机制等方面的问题，其服务质量主要依赖承载网络可以提供可伸缩的、稳固的QoS机制和流量工程能力，从而令服务供应商可以提供具有保证SLA的IP服务稳定性和带宽取决于ADSL可以提供高带宽、上下行对称，相对稳固和安全的网络质量保证机密性通过网络层或应用层上的一整套灵活的加密和隧道机制提供数据私密性采用专用线路，从链路层保证用户数据安全通过安全认证和专用服务器建立专用通讯隧道由于是二层交换机制的VPN网，保证用户数据安全客户支持可通过客户端支持；可采用WEB浏览器基于网络的服务，不需要客户端承担数据处理基于网络的服务，功能在骨干端实施基于网络的服务，不需要客户端承担数据处理与其他业务兼容性在使用vpn同时，不影响用户使用基础线路服务使用专用线路，不共享线路通过不同的账号拨号，可达到共用线路效果五、各种技术介绍及典型案例MPLSVPNMPLSVPN介绍MPLSVPN是一种基于MPLS技术的IPVPN，是在网络路由和交换设备上应用MPLS（MultiprotocolLabelSwitching，多协议标记交换）技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IPVPN），可用来构造宽带的Internet、Extranet，满足多种灵活的业务需求。MPLSVPN网络技术特征MPLS是属于第三层交换技术，引入了基于标记的机制，它把选路和转发分开，由标签来规定一个分组通过网络的路径。MPLS网络由核心部分的标签交换路由器（LSR）、边缘部分的标签边缘路由器（LER）组成。MPLSVPN利用新的差分服务技术来支持QoS。业务综合能力强,网络能够提供数据、语音、视频相融合的能力。安全性高，采用MPLS作为通道机制实现透明报文传输，MPLS的LSP具有与帧中继和ATMVCC（VirtualChannelConnection，虚通道连接）类似的高可靠安全性。提高了资源利用率,由于网内使用标签交换，用户各个点的局域网可以使用重复的IP地址，提高了IP资源利用率。MPLSVPN的适用范围适用于具有以下明显特征的企业：高效运作、商务活动频繁、数据通信量大、对网络依靠程度高、有较多分支机构，如网络公司、IT公司、金融业、贸易行业、新闻机构等。企业网的节点数较多，通常将达到几十个以上。IP-SECVPNIP-SECVPN介绍在公共网络架构上（通常是Internet）利用安全、认证、加密等技术建立企业的专用线路，也就是一个安全的网络隧道（TUNNEL）,在降低联网费用的同时确保信息的安全性、完整性和真实性。VPN虚拟专网，是一个通过INTERNET将个人和系统安全相连的技术，即利用公用基础建设为企业各部门提供安全的互联网服务，它可以提供与昂贵的专线（DDN）类似的安全性，可靠性，可管理性和优先级别，可构筑于IP网络，帧中继网络和ATM网络上.IP-secVPN网络技术特征属于端到端服务，不需要骨干网络承担业务相关功能响应市场变化的速度快捷，可以在现有的任何IP网络上部署。用户可在任意位置使用。IPsec协议不解决网络的可靠性或者QoS机制等方面的问题，服务质量主要依赖承载网络IP-SECVPN的适用范围连锁业态的超市便利店、大卖场、连锁快餐点及大型企业物流、跨地区大型企业、政府，公用事业总部和分支机构VPDN远程办公VPDN介绍远程办公（VPDN）是指有远程办公（包括群体远程办公和个人远程办公）需求的用户采用专门的帐号和企业自定义的IP地址，通过ADSLPPPoE拨号联入企业内部网络，该帐号不提供Internet功能。VPDN网络技术特征上下行速率不对称用户认证以保证其安全性速率为128K-2M用户通过ADSL方式拨入，用户无需路由器VPDN的适用范围A类业务帐号：用户端账号与ADSLPVC绑定。适用于固定地点的公司内部分支点(超市、连锁类远程办公点)，仅开通VPDN账号（不提供Internet上网功能），以包月资费形式绑定在各业务分支点上；B类业务帐号：VPDN账号与ADSLPVC不绑定，适用于个人远程访问公司内部信息（SOHO）,采用有限包月、超时计费的资费方式。二层VPN二层VPN介绍建立在MUX接入、宽带ATM传输网基础上，采用用户端以太接口，二层交换组网，综合了ADSL和以太网的业务特点，是一种高带宽、低实现费用的新型DSL的VPN产品。