论文部分内容阅读
目前,VPN市场前景普遍为IT界众家所看好,因为VPN可以为用户提供方便、廉价的远程访问,这为各种网络技术产品厂商和服务提供商带来了大量的商业机会。据预测,到2000年VPN市场上,ISP/NSP服务市场价值将达到45亿美元,集成市场为10亿美元,VPN产品市场价值为5亿美元。因此,有人把VPN形象的比喻为IT的“新钱袋”,一旦你了解了VPN技术的含义,你就不可能对它无动于衷。
什么是VPN?
虚拟专网(VPN:Virtual Private Network)指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台(如Internet、ATM、Frame Relay等)之上的逻辑网络,用户数据在逻辑链路中传输。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输,从而真正实现网络数据的专有性。
为了形成这样的逻辑链路,采用了所谓的“隧道(Tunnel)”技术。可以模仿点对点连接技术,依靠Internet服务提供商(ISP)和其它的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”,让数据包通过这条隧道传输。对于不同的信息来源,可分别给它们开出不同的隧道。于是,兼容性问题、不同的服务质量要求,以及其它的麻烦都迎刃而解。
要形成隧道,基本的要素有以下几项:
* 隧道开通器(TI)
* 有路由能力的公用网络
* 一个或多个隧道终止器(TT)
隧道开通器的任务是在公用网中开出一条隧道。有多种网络设备和软件可完成此项任务,例如:(1)配有模拟式调制解调器PC卡和VPN型拨号软件的最终用户膝上型计算机;(2)分支机构的LAN或家庭办公室LAN中的有VPN功能的Extranet路由器;(3)网络服务提供商站点中的有VPN能力的访问集中器。
隧道终止器的任务是使隧道到此终止,不再继续向前延伸。也有多种网络设备和软件可完成此项任务,例如:(1)专门的隧道终止器;(2)企业网络中的隧道交换机;(3)NSP网络的Extranet路由器上的VPN网关。
VPN网络中通常还有一个或多个安全服务器。安全服务器除提供防火墙和地址转换功能之外,还通过与隧道设备的通信来提供加密、身份查验和授权功能。它们通常也提供各种信息,如带宽、隧道端点、网络策略和服务等级。
通过软件或模块升级,现有的网络设备就可以增加VPN能力。一个有VPN能力的设备可以承担多项VPN应用。
VPN有哪些实际的好处?
VPN的好处很多,这里只举出四个主要方面。
* 降低成本
大家知道,当使用Internet时,实际上只需付短途电话费,却收到了长途通信的效果。因此,借助ISP来建立VPN,就可以节省大量的通信费用。此外,VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。这些工作都甩给ISP,真是快哉妙哉!
* 容易扩展
如果企业想扩大VPN的容量和覆盖范围,企业需做的事情很少,而且能立时实现:企业只需与新的ISP签约,建立帐户;或者与原有的ISP重签合约,扩大服务范围。在远程办公室增加VPN能力也很简单:几条命令就可以使Extranet路由器拥有Internet和VPN能力,路由器还能对工作站自动进行配置。
* 可随意与合作伙伴联网
在过去,企业如果想与合作伙伴联网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了VPN之后,这种协商也毫无必要,真正达到了要连就连、要断就断。
* 完全控制主动权
VPN使企业可以利用NSP的设施和服务,同时又完全掌握着自己网络的控制权。比方说,企业可以把拨号访问交给NSP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。 VPN是如何工作的?
VPN实在没有什么神秘。比较常规的直接拨号连接与虚拟专网连接的异同点:在前一种情形中,PPP(点对点协议)数据包流是通过专用线路传输的;在VPN中,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。
这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN云海中拉出一根串行通信电缆。那么,如何形成VPN隧道呢?
隧道是由隧道协议形成的,这与流行的各种网络是依靠相应的网络协议完成通信毫无二致。为了传输来自不同网络的数据包,最普遍使用的方法是先把各种网络协议(IP、IPX和AppleTalk等)封装到PPP里,再把这整个数据包装入隧道协议里。这种双层封装方法形成的数据包需靠第2层协议进行传输,所以称之为“第2层隧道”。用得很少的另一种方法是把各种网络协议直接装入隧道协议中,由于形成的数据包需靠第3层协议进行传输,所以称之为“第3层隧道”。
第2层隧道协议基于第3层隧道协议,这表现在第2层协议有以下的独特能力:
企业可以决定用户的审批、访问权和网络地址是由企业自己管理还是交由NSP管理。
支持隧道交换机。隧道交换机既对隧道起终止作用,又可以开通另一条新隧道连至其它的隧道终止器,使PPP连接延伸到更远的端点。
企业可以在防火墙和内部服务器上实施更细致的访问策略,如对不同来源的信息流采取不同的安全性策略。
VPN的应用技术
VPN的应用必须依赖于专门或辅助的软件或硬件平台,其目的便是为了“Tunnel”数据,所谓“Tunnel”是指将传输协议和数据封装于基于IP或其他标准协议网络(如Internet)的过程。目前主要有以下几种Tunnel方式,它们是:Point-to-Point Tunneling Protocol(PPTP)、Generic Routing Encapsulation(GRE)、Layer2 Tunneling Protocol(L2TP)、IP Security(IPSec)和Layer 2 Forwarding (L2F)。
PPTP:将其它协议和数据封装于IP网络,用于在公共的Internet创建VPN,远端用户能够透过任何支持PPTP的ISP访问公司的专用网络。此协议由Microsoft和3com开发,与Windows95和NT集成很好。在数据安全性方面,此协议使用40 bit或128 bit RC4的加密算法。
GRE:是Cisco公司专有的一种封装协议,用于在互联的路由器间建立点到点的逻辑隧道(IP Tunnel)。用户的信息包通过GRE封装入普通IP数据报(Packets)内,送入逻辑隧道传输。GRE协议不仅支持TCP/IP协议,还支持IPX、AppleTalk、Banyan VINES、DECnet等网络协议。这些协议作为Passenger Protocol,而GRE协议作为Carrier Protocol,起着承载用户网络协议的作用,而传输协议仍然是Internet网络的公共传输协议Internet Protocol(IP)。
IPSec:IETF所制定的安全协议,它可以在Internet网上提供Tunnel封装、数据验证和数据乱码加密的服务,IPSec工作在网络协议栈的第三层,并且支持IPV6,使用DES(56-bit)或Triple DEX(112-bit)加密方式。
IPSec分两种工作方式:Tunnel模式(Tunnel服务和加密服务同时提供)和Transport模式(只提供加密服务,不提供Tunnel)。
L2TP:IETF所制定的在Internet上创建VPN的协议,它支持非IP的协议,例如:AppleTalk和IPX,还有非IP Sec的安全协议,这个协议是在PPTP和L2F的技术之上所制定的标准Internet Tunnel协议。在数据安全方面,建议使用IP Sec作为加密方式。Bay Networks是这个标准最早的应用者,目前Bay Networks的全系列路由器均支持此协议。
另外,Cisco公司提供其开发的L2F(Layer 2 Forwarding)Tunnel协议,主要应用于Cisco路由器和Cisco接入服务器。其限制在于:Tunnel必须起始于提供服务的ISP端,另外L2F不支持加密算法。
在以上几种Tunnel协议中,PPTP、IPSec为基于用户端而对ISP透明的Tunnel协议。L2TP和L2F则为ISP所提供的Tunnel协议,用户不需要有Tunnel的知识,但L2TP将来会提供基于用户的选项。
3Com的VPN解决方案
3Com公司在网络界拥有很多VPN经验。目前全世界有5万个正在使用的VPN端口和200万个准备投用的VPN端口采用了3Com技术。3Com公司为企业和NSP提供多种端对端的VPN解决方案。所有的3Com VPN解决方案都遵守各种工业标准(其中包括IPSec安全标准),而且彼此兼容。
VPN能力现已集成于3Com公司的各种久经考验的产品系列中,其中包括管理功能丰富的多协议路由器、屡获大奖的访问集线器以及高密度的电信级解决方案。针对不同用户的需求,3Com提供了三种VPN解决方案。
全球Internet接入:它可使面临大量的拨号访问需求的大型企业用户不用花费大量的资金来建立和维护一个庞大的拨号网络,所有的拨号连接都通过Internet来完成。
虚拟专线:当有多个用户同时访问VPN时,可采用虚拟专线解决方案。虚拟专线将远程的局域网与企业的局域网通过VPN互联起来,即所谓的LAN-to-LAN互联。该方案除了能支持IP、IPX协议以外,还支持AppleTalk、DECNet、SNA等几乎所有的局域网协议。
安全外联网:安全外联网解决方案可以通过VPN来取代原有的专线,使网络的成本费用降低50%~75%。通过IPSec协议和隧道协议可以实现多协议的连接。另外,对于VPN和专线,安全外联网解决方案使用同样的设备进行支持。因此,借助于该解决方案,用户既可以通过专线连入广域的路由网,也可以采用虚拟专线的方式。
Bay Networks的VPN解决方案
绝大多数的VPN方案可以通过部署模式来区分,部署模式从本质上描述了VPN的隧道是如何建立和终止的。Bay Networks的VPN战略的特点之一就是能够提供适用于以下三种VPN部署模式的方案。
端到端(End-to-End)模式:是一种主要使用Internet作为透明服务的模式。该模式是典型的由自建VPN的客户所采用的模式。虽然在该模式中网络设施是被动的,但是许多融合了的端到端模式解决方案其实是由服务商为他们的客户集成或捆绑实现的。
商业—企业(Provider Enterprise)模式:是服务商提供的模式。隧道通常在VPN服务器或路由器中,在客户前端关闭。在该模式中,客户不需要购买专门的隧道软件,由服务商的PAS来建立隧道并验证。然而,客户仍然可以通过加密数据实现端到端的全面安全性。
内部服务商(Intra Provider)模式:是很受电信公司欢迎的模式,因为在该模式中,服务商保持了对整个VPN设施的控制,隧道的建立和终止都是在服务商的网络设施中实现的。对客户来说,不需要做任何实现VPN的工作,即可以获得VPN的所有的好处(包括安全性、减少访问成本等等),整个网络的负担都由服务商承担。
IBM的VPN解决方案
IBM在使用最新技术提供具有工业优势的网络解决方案方面有着多年的经验。在VPN方面可以提供全面的产品,包括防火墙、客户机、服务器、路由器、控制器、ISP服务和咨询服务。这些解决方案受到IBM世界级安全专门技术的支撑。IBM世界级安全专门技术是先进的Internet安全技术,如DESC(数据加密标准)、HMAC(散列消息授权码)和SET(安全电子商务)。他们还承诺开发开放的、基于IETF的技术,所以如果用户选用其它厂家产品的话,也能纳入到其电子网络VPN解决方案中。
IBM VPN解决方案的优点是:可伸缩性;VPN功能配置的灵活性;在客户机与存放大多数公司关键数据的IBM服务器之间具有安全IP隧道的能力。这种做法不会改变现有的应用程序,能容易地使用电子网络管理功能管理VPN环境。
IBM的基于IPSec基础框架的构建具有高度安全性和可靠性的企业VPN解决方案包括:企业分支机构互连,企业之间的互连,远程访问连接。
Cisco的VPN解决方案
Cisco Systems公司推出的完善的企业级虚拟专用网(EVPN)全面解决方案,在可扩展的平台、安全性、服务、应用和管理五大VPN实施要素方面,具有基于标准的开放式体系结构、可扩充的和端到端的网络互联能力。
具体来讲,Cisco根据可升级的原则提出了三种方案,访问VPN(Access VPN)使个人通过Internet对企业的中央网络进行远程访问;内部网VPN(Intranet VPN)通过Internet将远程分支机构与中央Intranet连接起来;外部网VPN(Extranet VPN)通过Internet将客户、供应商、合作伙伴或相关团体连接到中央Intranet的非管制区域。Cisco在充分保护用户投资的前提下,考虑网络尺度的伸缩性提出了这三种方案,它们在实施本质上没有区别,仅仅在规模上有所不同。
和专用网络一样,Cisco为VPN提供了有保障的带宽和差别控制的服务与应用。并提供了一系列的VPN安全功能来实现安全保障,包括隧道技术、加密、分组验证、防火墙、入侵检测系统和用户验证。
目前,所有的Cisco路由器平台都可以方便地实现VPN,经过优化的Cisco路由器集成了VPN功能、高速加密、安全、带宽管理和与WAN连接的能力,降低了VPN的复杂度和成本。另外,所有的Cisco VPN路由器都完全可以互操作,为从园区到广域网ISP,以窄带或宽带速率进行多媒体通信提供了一条可扩展的端到端链路。
在哪里可以得到VPN服务
目前,国内的VPN市场已开始起步,作为中国金桥网的业主,吉通公司是国内第一家开通VPN业务的网络服务提供商。其VPN业务主要针对在国内不同地域设有分支机构的企业级用户,通过本地接入ChinaGBN进行相互通信。接入范围包括:北京、上海、武汉、深圳、广州、大连、青岛等16个城市,接入方式包括无线微波接入和DDN接入,接入速率可达64K-2M。
另外,作为国内最大的网络服务提供商——中国电信,继年初提出政府上网年后,不久前又提出明年为企业上网年,其VPN业务正在积极的筹备中,预计今年9月份投入试运行,明年初正式开通。可以预期,随着我国网络建设和应用的日益深化,VPN在我国将拥有无限广阔的市场前景,其所带来的网络战略是难以用金钱来衡量的。
什么是VPN?
虚拟专网(VPN:Virtual Private Network)指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台(如Internet、ATM、Frame Relay等)之上的逻辑网络,用户数据在逻辑链路中传输。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输,从而真正实现网络数据的专有性。
为了形成这样的逻辑链路,采用了所谓的“隧道(Tunnel)”技术。可以模仿点对点连接技术,依靠Internet服务提供商(ISP)和其它的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”,让数据包通过这条隧道传输。对于不同的信息来源,可分别给它们开出不同的隧道。于是,兼容性问题、不同的服务质量要求,以及其它的麻烦都迎刃而解。
要形成隧道,基本的要素有以下几项:
* 隧道开通器(TI)
* 有路由能力的公用网络
* 一个或多个隧道终止器(TT)
隧道开通器的任务是在公用网中开出一条隧道。有多种网络设备和软件可完成此项任务,例如:(1)配有模拟式调制解调器PC卡和VPN型拨号软件的最终用户膝上型计算机;(2)分支机构的LAN或家庭办公室LAN中的有VPN功能的Extranet路由器;(3)网络服务提供商站点中的有VPN能力的访问集中器。
隧道终止器的任务是使隧道到此终止,不再继续向前延伸。也有多种网络设备和软件可完成此项任务,例如:(1)专门的隧道终止器;(2)企业网络中的隧道交换机;(3)NSP网络的Extranet路由器上的VPN网关。
VPN网络中通常还有一个或多个安全服务器。安全服务器除提供防火墙和地址转换功能之外,还通过与隧道设备的通信来提供加密、身份查验和授权功能。它们通常也提供各种信息,如带宽、隧道端点、网络策略和服务等级。
通过软件或模块升级,现有的网络设备就可以增加VPN能力。一个有VPN能力的设备可以承担多项VPN应用。
VPN有哪些实际的好处?
VPN的好处很多,这里只举出四个主要方面。
* 降低成本
大家知道,当使用Internet时,实际上只需付短途电话费,却收到了长途通信的效果。因此,借助ISP来建立VPN,就可以节省大量的通信费用。此外,VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。这些工作都甩给ISP,真是快哉妙哉!
* 容易扩展
如果企业想扩大VPN的容量和覆盖范围,企业需做的事情很少,而且能立时实现:企业只需与新的ISP签约,建立帐户;或者与原有的ISP重签合约,扩大服务范围。在远程办公室增加VPN能力也很简单:几条命令就可以使Extranet路由器拥有Internet和VPN能力,路由器还能对工作站自动进行配置。
* 可随意与合作伙伴联网
在过去,企业如果想与合作伙伴联网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了VPN之后,这种协商也毫无必要,真正达到了要连就连、要断就断。
* 完全控制主动权
VPN使企业可以利用NSP的设施和服务,同时又完全掌握着自己网络的控制权。比方说,企业可以把拨号访问交给NSP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。 VPN是如何工作的?
VPN实在没有什么神秘。比较常规的直接拨号连接与虚拟专网连接的异同点:在前一种情形中,PPP(点对点协议)数据包流是通过专用线路传输的;在VPN中,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。
这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN云海中拉出一根串行通信电缆。那么,如何形成VPN隧道呢?
隧道是由隧道协议形成的,这与流行的各种网络是依靠相应的网络协议完成通信毫无二致。为了传输来自不同网络的数据包,最普遍使用的方法是先把各种网络协议(IP、IPX和AppleTalk等)封装到PPP里,再把这整个数据包装入隧道协议里。这种双层封装方法形成的数据包需靠第2层协议进行传输,所以称之为“第2层隧道”。用得很少的另一种方法是把各种网络协议直接装入隧道协议中,由于形成的数据包需靠第3层协议进行传输,所以称之为“第3层隧道”。
第2层隧道协议基于第3层隧道协议,这表现在第2层协议有以下的独特能力:
企业可以决定用户的审批、访问权和网络地址是由企业自己管理还是交由NSP管理。
支持隧道交换机。隧道交换机既对隧道起终止作用,又可以开通另一条新隧道连至其它的隧道终止器,使PPP连接延伸到更远的端点。
企业可以在防火墙和内部服务器上实施更细致的访问策略,如对不同来源的信息流采取不同的安全性策略。
VPN的应用技术
VPN的应用必须依赖于专门或辅助的软件或硬件平台,其目的便是为了“Tunnel”数据,所谓“Tunnel”是指将传输协议和数据封装于基于IP或其他标准协议网络(如Internet)的过程。目前主要有以下几种Tunnel方式,它们是:Point-to-Point Tunneling Protocol(PPTP)、Generic Routing Encapsulation(GRE)、Layer2 Tunneling Protocol(L2TP)、IP Security(IPSec)和Layer 2 Forwarding (L2F)。
PPTP:将其它协议和数据封装于IP网络,用于在公共的Internet创建VPN,远端用户能够透过任何支持PPTP的ISP访问公司的专用网络。此协议由Microsoft和3com开发,与Windows95和NT集成很好。在数据安全性方面,此协议使用40 bit或128 bit RC4的加密算法。
GRE:是Cisco公司专有的一种封装协议,用于在互联的路由器间建立点到点的逻辑隧道(IP Tunnel)。用户的信息包通过GRE封装入普通IP数据报(Packets)内,送入逻辑隧道传输。GRE协议不仅支持TCP/IP协议,还支持IPX、AppleTalk、Banyan VINES、DECnet等网络协议。这些协议作为Passenger Protocol,而GRE协议作为Carrier Protocol,起着承载用户网络协议的作用,而传输协议仍然是Internet网络的公共传输协议Internet Protocol(IP)。
IPSec:IETF所制定的安全协议,它可以在Internet网上提供Tunnel封装、数据验证和数据乱码加密的服务,IPSec工作在网络协议栈的第三层,并且支持IPV6,使用DES(56-bit)或Triple DEX(112-bit)加密方式。
IPSec分两种工作方式:Tunnel模式(Tunnel服务和加密服务同时提供)和Transport模式(只提供加密服务,不提供Tunnel)。
L2TP:IETF所制定的在Internet上创建VPN的协议,它支持非IP的协议,例如:AppleTalk和IPX,还有非IP Sec的安全协议,这个协议是在PPTP和L2F的技术之上所制定的标准Internet Tunnel协议。在数据安全方面,建议使用IP Sec作为加密方式。Bay Networks是这个标准最早的应用者,目前Bay Networks的全系列路由器均支持此协议。
另外,Cisco公司提供其开发的L2F(Layer 2 Forwarding)Tunnel协议,主要应用于Cisco路由器和Cisco接入服务器。其限制在于:Tunnel必须起始于提供服务的ISP端,另外L2F不支持加密算法。
在以上几种Tunnel协议中,PPTP、IPSec为基于用户端而对ISP透明的Tunnel协议。L2TP和L2F则为ISP所提供的Tunnel协议,用户不需要有Tunnel的知识,但L2TP将来会提供基于用户的选项。
3Com的VPN解决方案
3Com公司在网络界拥有很多VPN经验。目前全世界有5万个正在使用的VPN端口和200万个准备投用的VPN端口采用了3Com技术。3Com公司为企业和NSP提供多种端对端的VPN解决方案。所有的3Com VPN解决方案都遵守各种工业标准(其中包括IPSec安全标准),而且彼此兼容。
VPN能力现已集成于3Com公司的各种久经考验的产品系列中,其中包括管理功能丰富的多协议路由器、屡获大奖的访问集线器以及高密度的电信级解决方案。针对不同用户的需求,3Com提供了三种VPN解决方案。
全球Internet接入:它可使面临大量的拨号访问需求的大型企业用户不用花费大量的资金来建立和维护一个庞大的拨号网络,所有的拨号连接都通过Internet来完成。
虚拟专线:当有多个用户同时访问VPN时,可采用虚拟专线解决方案。虚拟专线将远程的局域网与企业的局域网通过VPN互联起来,即所谓的LAN-to-LAN互联。该方案除了能支持IP、IPX协议以外,还支持AppleTalk、DECNet、SNA等几乎所有的局域网协议。
安全外联网:安全外联网解决方案可以通过VPN来取代原有的专线,使网络的成本费用降低50%~75%。通过IPSec协议和隧道协议可以实现多协议的连接。另外,对于VPN和专线,安全外联网解决方案使用同样的设备进行支持。因此,借助于该解决方案,用户既可以通过专线连入广域的路由网,也可以采用虚拟专线的方式。
Bay Networks的VPN解决方案
绝大多数的VPN方案可以通过部署模式来区分,部署模式从本质上描述了VPN的隧道是如何建立和终止的。Bay Networks的VPN战略的特点之一就是能够提供适用于以下三种VPN部署模式的方案。
端到端(End-to-End)模式:是一种主要使用Internet作为透明服务的模式。该模式是典型的由自建VPN的客户所采用的模式。虽然在该模式中网络设施是被动的,但是许多融合了的端到端模式解决方案其实是由服务商为他们的客户集成或捆绑实现的。
商业—企业(Provider Enterprise)模式:是服务商提供的模式。隧道通常在VPN服务器或路由器中,在客户前端关闭。在该模式中,客户不需要购买专门的隧道软件,由服务商的PAS来建立隧道并验证。然而,客户仍然可以通过加密数据实现端到端的全面安全性。
内部服务商(Intra Provider)模式:是很受电信公司欢迎的模式,因为在该模式中,服务商保持了对整个VPN设施的控制,隧道的建立和终止都是在服务商的网络设施中实现的。对客户来说,不需要做任何实现VPN的工作,即可以获得VPN的所有的好处(包括安全性、减少访问成本等等),整个网络的负担都由服务商承担。
IBM的VPN解决方案
IBM在使用最新技术提供具有工业优势的网络解决方案方面有着多年的经验。在VPN方面可以提供全面的产品,包括防火墙、客户机、服务器、路由器、控制器、ISP服务和咨询服务。这些解决方案受到IBM世界级安全专门技术的支撑。IBM世界级安全专门技术是先进的Internet安全技术,如DESC(数据加密标准)、HMAC(散列消息授权码)和SET(安全电子商务)。他们还承诺开发开放的、基于IETF的技术,所以如果用户选用其它厂家产品的话,也能纳入到其电子网络VPN解决方案中。
IBM VPN解决方案的优点是:可伸缩性;VPN功能配置的灵活性;在客户机与存放大多数公司关键数据的IBM服务器之间具有安全IP隧道的能力。这种做法不会改变现有的应用程序,能容易地使用电子网络管理功能管理VPN环境。
IBM的基于IPSec基础框架的构建具有高度安全性和可靠性的企业VPN解决方案包括:企业分支机构互连,企业之间的互连,远程访问连接。
Cisco的VPN解决方案
Cisco Systems公司推出的完善的企业级虚拟专用网(EVPN)全面解决方案,在可扩展的平台、安全性、服务、应用和管理五大VPN实施要素方面,具有基于标准的开放式体系结构、可扩充的和端到端的网络互联能力。
具体来讲,Cisco根据可升级的原则提出了三种方案,访问VPN(Access VPN)使个人通过Internet对企业的中央网络进行远程访问;内部网VPN(Intranet VPN)通过Internet将远程分支机构与中央Intranet连接起来;外部网VPN(Extranet VPN)通过Internet将客户、供应商、合作伙伴或相关团体连接到中央Intranet的非管制区域。Cisco在充分保护用户投资的前提下,考虑网络尺度的伸缩性提出了这三种方案,它们在实施本质上没有区别,仅仅在规模上有所不同。
和专用网络一样,Cisco为VPN提供了有保障的带宽和差别控制的服务与应用。并提供了一系列的VPN安全功能来实现安全保障,包括隧道技术、加密、分组验证、防火墙、入侵检测系统和用户验证。
目前,所有的Cisco路由器平台都可以方便地实现VPN,经过优化的Cisco路由器集成了VPN功能、高速加密、安全、带宽管理和与WAN连接的能力,降低了VPN的复杂度和成本。另外,所有的Cisco VPN路由器都完全可以互操作,为从园区到广域网ISP,以窄带或宽带速率进行多媒体通信提供了一条可扩展的端到端链路。
在哪里可以得到VPN服务
目前,国内的VPN市场已开始起步,作为中国金桥网的业主,吉通公司是国内第一家开通VPN业务的网络服务提供商。其VPN业务主要针对在国内不同地域设有分支机构的企业级用户,通过本地接入ChinaGBN进行相互通信。接入范围包括:北京、上海、武汉、深圳、广州、大连、青岛等16个城市,接入方式包括无线微波接入和DDN接入,接入速率可达64K-2M。
另外,作为国内最大的网络服务提供商——中国电信,继年初提出政府上网年后,不久前又提出明年为企业上网年,其VPN业务正在积极的筹备中,预计今年9月份投入试运行,明年初正式开通。可以预期,随着我国网络建设和应用的日益深化,VPN在我国将拥有无限广阔的市场前景,其所带来的网络战略是难以用金钱来衡量的。