VPN具有非常出色的经济实用性,与其他WAN解决
方案相比,VPN能够帮助您更加快速经济地实现业务“全球化”,大大降低一般性成本并获得快速的投资回报。通过VPN,用户可将关键任务应用扩展到远程办公室和外部网合作伙伴,使企业更具竞争力,并提高客户服务质量。VPN可以说是Intranet在公用网络上的延伸,能提供和专用网一样的安全性、可管理性和传输性能,而建设、运转和维护网络的工作从企业的IT部门剥离出来,交由专门的VPN提供商负责。对于计划迅速开展全球电子商务的企业来说,选择VPN无疑是明智之举。
为了进一步促进VPN的全面发展,今年Cisco公司推出了完善的企业级虚拟专用网(EVPN)的全面解决
方案,在可扩展的平台、安全性、服务、应用和管理五大VPN实施要素方面,具有基于标准的开放式体系结构、可扩充的和端到端的网络互联能力。
这一案例是一个典型的简单VPN应用。对于用户所提出的要求,我们只需要在北京、上海、广州三地分别安装一台Cisco 1720路由器,并对路由器进行简单的软件配置便可以实现VPN功能。而由于在北京、上海、广州三地的用户数目不尽相同,因此,在将不同地点用户接入专网中时,应通过交换机接入路由器。这里我们可以选用Cisco 1924、Cisco 2924及Cisco 1912交换机。对于出差到其他城市的总经理或是销售总监如果要接入到虚拟专网当中,则可以采取以下方式:用户拨号到Internet上,通过Internet进入到虚拟专网。这要求当地ISP用有拨号访问服务器,并能提供该项服务。
此
方案中VPN的实现是通过隧道(Tunnel)技术进行连接。隧道技术通过软件“叠加”在物理网络之上,是VPN“虚拟”特征的体现,它使VPN连接看起来象是线路上唯一的数据流。借助隧道VPN,还能够使用内部网络中采用的安全和优先级策略,使您能够完全控制数据流。隧道提供了一层名副其实的安全保障。
访问VPN的隧道技术包括点到点隧道技术(PPTP)、第二层转发技术(L2F)或第二层隧道协议(L2TP)。专用的内部网和外部网VPN可使用基于IPsec的技术或普通路径封装技术(GRE)来创建永久性的“虚拟”隧道。
在该虚拟专网
方案中和专用网络一样,为VPN提供了有保障的带宽和差别控制的服务与应用。在Cisco IOS软件12.0版中,丰富了QoS功能和机制,包括承诺访问速率(CAR)、策略路由、加权公平队列技术(WFQ)、通用流量整形技术(GTS)和资源保留协议(RSVP),甚至支持IP QoS,使企业用户能够在不同应用和用户之间强制实现优先级和带宽分配,并内置了一个专门用来检测服务水平的响应时间报告器(RTR)。
在公用网络上搭建专用网,安全是一个焦点问题。这一方案当中采用了Cisco的安全解决方案。Cisco为此提供了一系列的VPN安全功能来实现安全保障,包括隧道技术、加密、分组验证、防火墙、入侵检测系统和用户验证。基于硬件的集成式IPsec加密,把DES或3DES加密算法与IPPCP压缩结合起来,在加密之前实现数据压缩,不仅可以实现高速加密,还提高了WAN的可用带宽。加密技术在方案中具有可选特性,也是VPN“专有”特征的体现。加密功能只应用于特别敏感的应用数据流且只能在需要时使用,因为这种功能耗费大量的处理器容量,并会对性能产生影响。基于IPsec标准的加密
方案,能与其他厂商的IPsec设备实现全面的互操作。根据用户对性能的不同要求,可通过Cisco IOS软件或模块与端口适配器中的硬件在Cisco路由器中部署加密服务。Cisco 1720路由器系列具有一个可选的硬件加密模块,这是可以用于低端路由器的第一种硬件加密模块。
另外,PIX防火墙、NetRanger入侵检测系统和NetSonar安全扫描程序三者配合,最大限度地保证了企业VPN的可靠性和安全性。而这些功能都是被集成进Cisco IOS软件中的,用户可以通过简单的软件升级,透明地保护网络安全。
在这一
方案当中,VPN用户还必须通过鉴定,令网络知道其身份,然后才能获得授权,了解网络允许他们做什么。一个好的系统还应该能够执行计费功能,能跟踪用户的操作,用于计费和保证安全性。鉴定、授权和计费功能合称AAA业务。CiscoSecure访问控制服务器(ACS)是一系列能够提供AAA业务的强大服务器。
VPN的管理是基于策略的,Cisco推出的Security Manager 1.0策略管理软件集成了多种关键功能,扩大了Cisco端到端的安全解决
方案。CiscoWorks 2000则通过提供不同版本的IPM(Internet Performance Monitor)和ACL(Access Control List)Manag