赛迪网_IT门户_技术天地_tech_ccidnetVPN：谁更需要你？ -

VPN：谁更需要你？
作者：钟小平、陈绍瑜 发文时间：2003.10.13

VPN的重量
VPN看似简单，就是虚拟专用通道，其实并非如此。
VPN作为远程访问和网络互联的高效低价、安全可靠的解决方案，集灵活性、安全性、经济性以及可扩展性于一身，可充分满足企业分支机构、移动办公安全通信的需求。时下VPN的应用正成为热点，在发达国家，VPN已成为一项相当普及的网络业务。目前国内的VPN应用如何呢？用户在使用VPN过程中存在哪些问题呢？如何选择适合自己的VPN呢？针对这些问题，记者采访了思科、北电、NETGEAR等提供VPN设备和解决方案的生产厂家，同时还采访了AT&T、联通、中国电信、网通等服务提供商，试图揭开VPN的迷团。
目前VPN的市场状况
近年来宽带的迅速发展带动了VPN及其架构在其平台上的各种高速网络应用，如视频会议、企业ERP/大型分布式海量数据仓库等应用的飞速发展，而VPN的应用反过来促进宽带内容的不断丰富，并进一步激活宽带应用。现在宽带VPN的应用日趋成熟，并成为一种全新的非接触沟通模式，从费用、可靠性、安全性、管理和便于连接等几个方面，VPN将成为下一波的技术与市场热点。VPN产品的市场份额也将快速增长。专家预测，到2005年，中国VPN的市场份额将超过5亿元。
在国外网络通信发达的国家，VPN应用非常普及。AT&T介绍，目前全球30.4%企业已在使用IP VPN，33.6%的企业正在有计划部署IP VPN。那么国内的VPN市场如何呢？据NETGEAR介绍，中国VPN市场从去年开始加速启动，VPN技术的成熟、产品价格的平民化，是市场启动的主要因素。随着企业对网络需求的增加，VPN这种低价的远程互联方式，逐渐被企业用户接受和应用。
但是，现在还有不少国内企业没有使用VPN，主要原因在什么地方呢？记者走访一些企业用户，他们认为，一是宣传力度不够，用户认识不到位。一些企业一方面对于网络远程互联的认识存在误区，认为要实现企业远程业务的安全传输，只能用传统的广域网技术，如DDN、FR、ATM等专线虚电路方式传输，而这些传输方式价格贵、连接复杂，每次网络升级，用户都要投入大量的资金进行用户端设备的更新换代，而且管理负担重。另一方面，即使了解一些VPN技术，对于VPN技术和应用效果仍然停留在几年前的认识，当时的VPN确实不比专线省钱，也不比专线更稳定，可如今已今非昔比。二是安全意识不强，对建立跨地区的专用网络认识不足。一些企业为了省钱、省事，将企业的一些重要信息直接通过公网传递，结果企业的机密泄露出去了，还蒙在鼓里。三是国内的一些服务提供商从赢利角度出发，首先向用户推荐价格贵的DDN、FR、ATM等专线服务，而不是推荐价格低廉的IP VPN业务。这就造成中小企业因无力负担昂贵的专线费用，而放弃使用VPN。与之形成鲜明对照的是，一些跨国企业在中国的分公司都特别认可并广泛使用VPN。
使用VPN带来的好处
为了认识VPN给用户带来的好处，首先需要对VPN有一个正确的理解。VPN，Virtual Private Network（虚拟专用网络），它利用公用网如Internet来搭建企业的私有专用网络。NETGEAR解释，当需要时，VPN从公用网中独占一部分带宽，作为私用网使用；当VPN通信结束后，这部分带宽又还给公用网。VPN不需要用户建设远程物理连接，而是通过服务提供商提供的公用网来实现广域连接。
思科中国中央技术部顾问工程师汪澍介绍说，企业选用VPN可带来如下好处：一是节省总体成本。用VPN替代传统的拨号网络，可节省20%～40%的费用，替代网络互联，可减少60%～80%的费用。另外，VPN还可以保护现有的网络投资。二是VPN能大大降低网络复杂度，简化网络设计。三是VPN能增强内部网络的互联性和扩展性。四是VPN有助于实现网络安全。VPN以通过用户验证、加密和隧道技术等保证通过公用网络传输私有数据的安全性。五是VPN能增强与用户、商业伙伴和供应商的联系。
VPN不仅给中小企业带来新的希望，中小企业不再为远程连接负担高额成本，而且大型企业、政府部门采用VPN可在保证专用网络功能的前提下大大降低总体成本。目前，VPN主要用于以下场合：一是已经通过专线连接实现广域网的企业，由于增加业务，带宽已不能满足业务需要，需要经济可靠的升级方案；二是企业的内部用户和分支机构分布范围广、距离远，需要扩展企业网，实现远程访问和局域网互联，最典型的是跨国企业、跨地区企业；三是分支机构、远程用户、合作伙伴多的企业，需要组建企业专用网；四是关键业务多，对通信线路保密和可用性要求高的用户，如银行、证券公司、保险公司等；五是用于各种远程专线连接的网络连接备份。
按需选用VPN
目前VPN从实现技术角度出发，可分两大类：一类是基于传统虚电路技术的VPN，用户租用FR、ATM等虚电路建立自己的VPN；另一类是基于IP网络的连接，这种IP VPN主要有两种——基于网络的VPN和基于用户设备的VPN。
一些行业用户如银行、大企业租用帧中继、ATM等虚电路，进行专线组网。这种专线VPN费用高，是点对点的网络互联技术，它要求企业总部的接点路由器必须能承受大容量的数据交换和数据吞吐，因此，企业必须花费巨资，在公司总部配置多台高档路由器，而且每次增加新的接点，都需要购买昂贵的板卡进行全网配置，不便于升级和扩展。但专线VPN，信息传输比较稳定，安全性、可靠性都比较好，仍然被银行、证券、保险公司所采用。
基于IP网络的VPN，适合企业分支机构、中小企业对VPN的需求。AT&T介绍，基于网络的VPN是由运营商提供的，利用其基于MPLS技术的IP网络而建立的，它能提供至关重要的可管理的网络安全和服务等级（CoS），还能提供和传统的帧中继、ATM服务相当水平的安全、性能和可靠性。VPN隧道的建立、管理、维护都由运营商负责，VPN用户不承担隧道业务，无需安装VPN设备，直接接入网络即可。由于这种基于网络的VPN是要计费的，因此，国内的企业分支机构需要选择能提供全国范围内的VPN服务运营商，如中国网通、中国电信；而跨国公司的分支机构需要选择能提供全球的VPN服务运营商。像AT&T这样的公司，网络遍及60多个国家的850多个城市，拥有2500多个接入点，能为跨国公司提供全球一致的服务。
总体来说，基于网络的VPN提供与生俱来的类似传统帧中继网络和ATM网络的安全性、可靠性和性能。而当网络需要延伸到更小的远距办公地点，基于用户设备的VPN通常更经济。此外，基于用户设备的VPN能轻易延伸或扩展到相对边远的地区，使得商务伙伴或大量的远程拨号用户可以访问外联网。
基于用户设备的VPN是通过在用户端安装和设置VPN路由器、防火墙来实现的，VPN隧道的起始点和终止点都位于VPN用户端，VPN隧道的建立、管理、维护都由用户负责，运营商只提供通信线路，不承担建立隧道的业务。
企业应当根据自己的需要来灵活选择正确的解决方案。有的企业同时选择多种VPN技术来满足不同的应用需求，如企业总部与分支机构之间的网络互联采用基于网络的MPLS VPN，而远程办公员工对总部的远程访问则采用基于用户设备的IPSec VPN。
在具体建设VPN时，用户首先面临的选择究竟是自建VPN网络，还是直接外包VPN服务。外包是实现VPN的捷径，也是企业的首选方案，因为它方便易行，对用户的技术水平要求低，而且成本更低。然而，国内提供的VPN客户服务类型偏少，目前，运营商主要面向大企业客户市场，适合中小企业的租用业务主要是VPDN（虚拟专用拨号网络），企业只需在自己的局域网中建立VPN服务器，只要有电话，远程或移动用户无论在什么地方都可利用PSTN拨号接入企业VPN，中国电信和中国网通都提供此类服务。如果没有专业人员，中小企业可委托ISP、经营VPN产品和服务的商家、网络工程和系统集成公司等来帮助自己组建VPN。
汪澍说，目前，VPN产品主要有VPN路由器和网关，用户用得最多是路由器。用户在选择VPN产品时，要注意产品是否与其他通过IPSec认证的厂商产品兼容；VPN加密是否安全；是否易于配置和管理；是否提供QoS保证；VPN通道的数量不要太少；能否穿透防火墙。像思科Cisco 375、北电、NETGEAR FVM318等公司的产品在上述几方面都有保证。
VPN路由器和防火墙都具备网络安全功能，许多防火墙产品本身就集成有VPN功能。在实际应用中，VPN与防火墙一般有以下几种组合方式：一是将VPN服务器置于防火墙后面的内部网络；二是将VPN服务器置于DMZ（非军事区）；三是将VPN服务器集成于防火墙，这是中小型网络比较常见的组合方式，目前流行的中低端VPN宽带路由器都集成有防火墙。

VPN应用网络示意图
(责任编辑：赵纪雷)