企业规模日益扩大,客户分布日益广泛,合作伙伴日益增多,传统企业网基于固定地点的专线连接方式,已难以适应现代企业的需求。于是企业在自身网络的灵活性、安全性、经济性、扩展性等方面提出了更高的要求。虚拟专用网(VPN)以其独具特色的优势,赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,更多地致力于企业商业目标的实现。
虚拟专用网(VPN)代表了当今网络发展的最新趋势,它综合了传统数据网络的性能优点(安全和 QoS)和共享数据网络结构的优点(简单和低成本),能够提供远程访问,外部网和内部网的连接,价格比专线或者帧中继网络要低得多。而且,VPN在降低成本的同时满足了对网络带宽、接入和服务不断增加的需求,因此,VPN必将成为未来企业传输业务的主要工具。
但是,面对种类繁多的VPN产品和解决方案我们如何选择?这成了众多企业用户头疼的一件大事,网上有很多讲VPN选择和部署的文章,大多是讲安全,性能以及易用方面的.可笔者倒觉得在VPN技术非常成熟的今天,这些己经不是什么秘密或优势了.你看哪个VPN产品不是超多位加密,多条加密隧道.多种加密协议.这些加密措施,别说黑客,恐怕就是开发者本身想破译也决非易事.性能和易用性亦是如此,哪个产品不是性能卓越?跑几个应用就挂了能算是成熟VPN产品么?如果没有人会用,或者需要专业人才能维护,那你的VPN产品别说卖,人家多看一眼可能都嫌烦!
因此,笔者不想老调重谈.其实,除了人们经常观注的一些方面以外,还有很多用户想不到或是容易被忽视但却十分重要的地方.下面就讲讲VPN选购过程中的三个比较重点的地方.
一 可联通性
有些人可能会问:VPN就是虚拟专用网嘛,不互相联通能叫VPN么?我觉得你说的对,也不对.的确,VPN必须具备联通性.VPN系统从网络模型上讲是一种C/S逻辑模型.一般在公司总部或应用服务器所在网络内安装服务器,也叫总部版.然后各使用用户或分支端安装客户端,有些VPN产品把客户端分为两种.以畅通伟业的HLINK VPN为例,一种叫分支版,一种叫移动版.分支版可以将其下的子网也带入VPN,所以要求比较固定,一般是安装在指定的一台PC上.而移动版相对比较自由,所以采用类似于U盘的硬件KEY.即插即用,无需安装.说你说的对,是因为客户端,包括分支与移动,都需要连接到总部端才能正常工作.说你说的不对,是因为可联通性绝不是单纯的客户端连接到总部就完了的.其实这里就涉及到两种网络结构,一种是星型,一种是网状.
星型结构是指分支与总部相联通,分支与总部可以互访资源,包括分支/总部所带子网资源,即以总部为核心的星型网络拓朴结构.
网状结构是指不仅分支与总部可以互访资源,而且各分支与分支间也可以互访资源,并且分支间可以互访彼此间子网的资源.
传统的VPN大多是星型结构,所以如果某分支机构有一些资源服务,那其它分支机构是无法访问的.由于这样的局限性,一些VPN产品不得不采用多总部的模式来组网.只要某分支机构提供服务,那么就必须换成总部版.所以,一个VPN系统里可能出现多个总部.而且一般总部的价格比分支要贵很多,所以这样的解决方案没有充分发挥VPN的潜力.新一代VPN都提供网状结构,像HLINK VPN,除了分支节点可以互访以外,分支下的子网也可以互访的.架设一套VPN系统就相当原来架设多套VPN系统.所以,可联通性是很重要的.
二 VPNP性
VPNP最初是针对于PC外设来讲的,像现在的网卡啊,声卡啊,鼠标键盘等,都是VPNP的,就是即插即用型设备.对于VPN网络,传统的组网多是考虑各分支地相连互通,一般都是相对固定的网络.但随着网络信息技术的飞速发展以及中国经济的持续增长,越来越多的公司企业己经完成打破了地域的限制,全国联网乃至全球联网己经成为现实.员工经常需要异地出差,同时又要求随时远程接入公司网络,协同办公及数据交换.因些,VPN的VPNP性也随之突显了出来.
一般来讲,基于SSL的会比基于IPsec的VPN的VPNP性好.像HLINK VPN,他们的移动端是一种基于USB接口的UKey硬件设备.外观看上去与普通的U盘没有什么两样.用户使用时无需关心自己的网络配置,只要插上UKey,就会自动接入VPN系统.HLINK系统的VPNP优点一方面是随时接入随时使用.另一方面是对于用户的使用安全以及管理.通常,UKey只限固定的用户使用,管理员可能指定UKey的使用者,而其它非法用户由于没有UKey,是无法获取用户名及密码的,所以根本无法接入到VPN系统里.更谈不上盗取资料了.可能用人会问:我copy一张U盘不就行了么?不行,UKey不是普通的U盘,它本身具有硬件识别能力,即使你copy了文件系统也无法运行或者说根本不能启动HLINK.
三 综合解决方案
很多用户在选择的时候着重关注VPN产品本身的功能,什么隧道安全啊,鉴权认证啊,什么线路备份啊,QOS啊等.却很少关心综合解决方案.为什么要强调综合解决方案呢?那是因为VPN本身是一套网络系统,它本身的运行不会增加网络的带宽,也不会使网络加快,相反它还会占用一部分带宽资源.就比如:高速公路己经修好,就算你交通管制做的再好,汽车再分道行驶,司机再遵守交通规则,也不会增加高速公路最大通行量.网络本身就好比高速公路,而上边所有的网络软/硬件,包括VPN本身,都好比是行驶的汽车.只不过是每一种车的车型,速度,性能,司机不同罢了.
聪明的人马上会想到,既然高速公路的最大承运量是一定的,那只有想办法减少汽车的数量,比如减少运送的货物,才能从根本解决高速公路堵车的问题.事实上的确如此,而且,减少运送的货物还可以让更多的其它用途的车正常行驶.同样,VPN本身不可能扩大网络的吞吐量,只能想尽一切办法来提高他的效率.为此,各VPN产品也是八仙过海,各显神通.在这里,以HLINK VPN为例说一下.
在HLINK VPN的综合解决方案中,有一套HLink+Krun的解决方案,它主要是采用一种叫做UDT(Unification Data Transmission 统一数据传输)的网络新技术.通过Krun的接入与管理,将任何业务数据都统一成标准终端数据的技术.这使得大量的业务数据不再需要占用本来就不富足的网络带宽资源,只要在本地传送就可以了.UDT将会所有数据统一成终端控制数据在HLINK里边传输.因此,无论你是成千上万条的记录查询,还是多用户同时接入进行复杂的操作,对于UDT来讲都没有任何差别!因为所有的资源消耗都是在业务服务器本地进行,与网速毫无关系