企業(yè)網(wǎng)遠程寬帶接入訪(fǎng)問(wèn)的實(shí)現
——VPN技術(shù)的應用
Avaya公司中國區技術(shù)經(jīng)理李海彬 2001/08/29
作為企業(yè)網(wǎng)絡(luò )平臺的一種有效的延伸,遠程訪(fǎng)問(wèn)接入技術(shù)一直在我們的網(wǎng)絡(luò )應用中扮演著(zhù)非常重要的角色。它克服了局域網(wǎng)絡(luò )技術(shù)在覆蓋范圍和接入形式上的局限性,使網(wǎng)絡(luò )用戶(hù)在局域網(wǎng)絡(luò )范圍之外也能夠方便地隨時(shí)訪(fǎng)問(wèn)企業(yè)的網(wǎng)絡(luò )平臺。得益于這種便利技術(shù),企業(yè)網(wǎng)絡(luò )應用才得以廣泛實(shí)施和普及,并不斷發(fā)展。
一、遠程訪(fǎng)問(wèn)技術(shù)及其發(fā)展:
顧名思義,遠程訪(fǎng)問(wèn)技術(shù)首先解決的問(wèn)題就是地域的局限。用戶(hù)不再需要處于企業(yè)局域網(wǎng)絡(luò )平臺覆蓋范圍之內,通過(guò)局域網(wǎng)接入方式來(lái)訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò )應用服務(wù)。此外,遠程訪(fǎng)問(wèn)技術(shù)解決的另一個(gè)問(wèn)題是靈活性,不論用戶(hù)身在何處��在家中,亦或在另一個(gè)城市出差,均能夠利用遠程訪(fǎng)問(wèn)技術(shù)接入到企業(yè)內部網(wǎng)絡(luò )平臺。
正因為要實(shí)現這些目標,遠程訪(fǎng)問(wèn)技術(shù)必須要使用公共傳輸媒介。換句話(huà)說(shuō),企業(yè)私有網(wǎng)絡(luò )平臺是無(wú)法實(shí)現該功能的,盡管目前有某些網(wǎng)絡(luò )技術(shù)可以突破局域網(wǎng)覆蓋范圍,使傳輸距離達到數公里甚至數十公里。姑且不談其建設成本問(wèn)題,僅僅靈活性一項要求便是私有網(wǎng)絡(luò )無(wú)法滿(mǎn)足的。
由于上述原因,遠程訪(fǎng)問(wèn)技術(shù)長(cháng)期以來(lái)一直使用一種最為普通、隨處可得的傳輸媒介——PSTN(公用電話(huà)網(wǎng))。利用Modem模擬撥號技術(shù)來(lái)實(shí)現遠程連接。利用PSTN進(jìn)行遠程接入,用戶(hù)只要利用一條電話(huà)線(xiàn)和普通的Modem(調制解調器),對于用戶(hù)來(lái)說(shuō),一次性投入很小。當然如果用戶(hù)想同時(shí)獲得數據服務(wù)和模擬的電話(huà)傳真服務(wù),就不得不再申請一個(gè)號碼,因為在這種通訊方式下,數據和模擬通訊均要求獨占一個(gè)信道。而企業(yè)需在局域網(wǎng)邊緣設置遠程訪(fǎng)問(wèn)接入設備并配備一定數量的語(yǔ)音中繼線(xiàn)路供遠程訪(fǎng)問(wèn)用戶(hù)撥入。如下圖所示:
盡管經(jīng)歷了若干年的發(fā)展,PSTN遠程撥號接入方式對于大量的遠程訪(fǎng)問(wèn)用戶(hù)來(lái)說(shuō),只是一種無(wú)奈的選擇。始終存在的帶寬不足、接入速度慢,服務(wù)質(zhì)量差等問(wèn)題嚴重阻礙了遠程網(wǎng)絡(luò )應用的發(fā)展。用戶(hù)的抱怨在與日俱增,遠程用戶(hù)們己厭倦了長(cháng)時(shí)間的等待,他們需要的是快速而又優(yōu)質(zhì)的接入方式。尤其隨著(zhù)近年來(lái)層出不窮的新興的網(wǎng)絡(luò )應用,對網(wǎng)絡(luò )帶寬的要求和對延遲的敏感性越來(lái)越高。最高速率為56Kbps的PSTN撥號接入方式已遠遠無(wú)法滿(mǎn)足今天的應用需求。
既然如此,我們再來(lái)看一看近年出現的一些寬帶接入技術(shù)。從利用電話(huà)線(xiàn)作為傳輸介質(zhì)的xDSL,到依靠有線(xiàn)電視電纜的Cable Modem,直到城域網(wǎng)Ethernet接入,各種新技術(shù)層出不窮,更新?lián)Q代極快,真可謂你方唱罷我登場(chǎng):
xDSL寬帶接入:包括ADSL、CDSL、HDSL、IDSL、UDSL等,典型的是ADSL,即不對稱(chēng)數字用戶(hù)線(xiàn)。ADSL被普遍認為將是一種在下一世紀具有廣闊應用前景的接入技術(shù)之一,將代替傳統Modem模擬接入方式成為家庭和小型商務(wù)應用的主流接入技術(shù)。
Cable Modem:即電纜調制解調器。是在有線(xiàn)電視電纜上將數據進(jìn)行調制,然后在有線(xiàn)網(wǎng)(cable)的某個(gè)頻率范圍內進(jìn)行傳輸、接收一方再在同一頻率范圍內對該已調制的信號進(jìn)行解調,解析出數據,傳遞給接收方。其在物理層上的傳輸機制與電話(huà)線(xiàn)上的調制解調器無(wú)異,同樣也是通過(guò)調頻或調幅對數據編碼。由于有線(xiàn)電視網(wǎng)具有四通八達、共享介質(zhì)、線(xiàn)路質(zhì)量較好及多頻率帶寬的優(yōu)勢,使得通過(guò)有線(xiàn)電視網(wǎng)訪(fǎng)問(wèn)Internet成為下一世紀接入技術(shù)的發(fā)展方向之一。
城域網(wǎng)Ethernet接入:隨著(zhù)目前城域網(wǎng)建設及信息化小區的普遍推廣,以太網(wǎng)作為最成熟、最經(jīng)濟的網(wǎng)絡(luò )技術(shù)在這一領(lǐng)域獲得廣泛使用。憑借其帶寬的優(yōu)勢和在服務(wù)質(zhì)量及安全性方面的突破,以太網(wǎng)技術(shù)在帶寬接入領(lǐng)域具有極強的競爭力。
上述寬帶接入技術(shù)目前均廣泛運用于Internet接入,但是由于其對各自傳輸介質(zhì)的依賴(lài)性而不能直接運用于企業(yè)網(wǎng)遠程訪(fǎng)問(wèn)。舉例來(lái)說(shuō),如欲使用ADSL技術(shù)實(shí)現企業(yè)網(wǎng)遠程訪(fǎng)問(wèn),企業(yè)必須自己提供端到端電話(huà)線(xiàn)路來(lái)接入遠程用戶(hù),而無(wú)法使用PSTN公共電話(huà)網(wǎng)。這已經(jīng)完全喪失了遠程訪(fǎng)問(wèn)的意義。
那么企業(yè)網(wǎng)遠程訪(fǎng)問(wèn)到底能否利用上述的寬帶接入技術(shù)呢?答案是肯定的。解決方案就是利用Internet作為傳輸載體,采用VPN技術(shù),實(shí)現企業(yè)網(wǎng)寬帶遠程訪(fǎng)問(wèn)。該方案將具有如下主要優(yōu)點(diǎn):
最高的靈活性:用戶(hù)不論在家中、在出差途中,或是在其它任何環(huán)境中,只要該用戶(hù)能夠接入Internet,便能夠安全地接入企業(yè)網(wǎng)內部。既不受地域限制,也不受接入方式限制。
最高的帶寬:用戶(hù)可以選擇使用本地服務(wù)供應商所能夠提供的任何寬帶接入技術(shù),不論是ADSL、Cable Modem,或是在信息化小區或酒店中使用以太網(wǎng)接入。
最高的安全性:所有的流量均經(jīng)過(guò)加密和壓縮后在網(wǎng)絡(luò )中傳輸,為用戶(hù)信息提供了最高的安全性保證。今天的加密技術(shù)已經(jīng)發(fā)展到即便使用最先進(jìn)的計算機,也需要花費超過(guò)一個(gè)世紀的時(shí)間才能將其解密。因此,即便您的數據信息在傳輸過(guò)程中存在被竊取的可能,您也完全不必擔心企業(yè)內部機密會(huì )泄露。
相比而言,傳統的PSTN撥號接入方式只具有地域靈活性,而不具備接入方式靈活性,帶寬自然更不必說(shuō)。唯一值得一提的是,很多用戶(hù)認為,相對于開(kāi)放的Internet而言,點(diǎn)到點(diǎn)電路交換的PSTN撥號連接具有更高的安全性。事實(shí)上,電話(huà)竊聽(tīng)技術(shù)幾乎是緊隨著(zhù)電話(huà)的出現而出現的,用戶(hù)數據在PSTN網(wǎng)絡(luò )中同樣存在被竊取的可能。但是,請不要忘記此時(shí)您被竊取的數據是完全沒(méi)有加密的……
因此,利用先進(jìn)成熟的VPN技術(shù),使我們的企業(yè)網(wǎng)用戶(hù)不僅可以隨時(shí)隨地遠程訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò )平臺;同時(shí)又可以擺脫PSTN撥號接入的帶寬限制,充分享受Internet寬帶接入所帶來(lái)的全新體驗。的確是一個(gè)非常理想的企業(yè)網(wǎng)遠程寬帶訪(fǎng)問(wèn)解決方案。
二、遠程寬帶接入VPN的實(shí)現:
雖然實(shí)現的方法可能有所不同,但是所有VPN技術(shù)都在共享的網(wǎng)絡(luò )基礎設施上提供私密性。通道在無(wú)連接的IP網(wǎng)絡(luò )中創(chuàng )建了邏輯端到端連接。加密通道利用對數據進(jìn)行擾碼的方式提供網(wǎng)絡(luò )數據和私密性,從而只有指定的發(fā)送者和接收者才能明白。IPSec-一個(gè)新業(yè)界標準-提供了可擴展的第三層解決方案,實(shí)現網(wǎng)絡(luò )加密。它使用包括安全封裝協(xié)議(ESP)和數據加密標準(DES)等已經(jīng)驗證的加密技術(shù),當數據已在網(wǎng)絡(luò )上傳輸時(shí),提供凈荷保護。
遠程接入VPN包含兩種體系結構:客戶(hù)機驅動(dòng)連接或網(wǎng)絡(luò )接入服務(wù)器(NAS)驅動(dòng)連接。使用客戶(hù)驅動(dòng)的連接,用戶(hù)可以從他們的客戶(hù)端開(kāi)始,通過(guò)服務(wù)供應商的共享網(wǎng)絡(luò ),到企業(yè)網(wǎng)絡(luò )建立一條加密的IP通道。利用這種體系結構,用戶(hù)并不需要服務(wù)供應商提供與VPN應用相關(guān)的附加值服務(wù)。
遠程接入VPN的另一種體系結構定義了由NAS驅動(dòng)的通道。在這種情況下,遠端用戶(hù)接入服務(wù)供應商的營(yíng)業(yè)點(diǎn)(POP)。服務(wù)供應商則建立一條安全的、加密的通道連接企業(yè)網(wǎng)絡(luò )。利用由NAS驅動(dòng)的體系結構,服務(wù)供應商對用戶(hù)的身份進(jìn)行驗證,使他們能夠初步接入到企業(yè)網(wǎng)絡(luò )中;然而,企業(yè)仍保留有控制他們自己的安全策略、對用戶(hù)進(jìn)行身份驗證、授與用戶(hù)訪(fǎng)問(wèn)權限并在網(wǎng)絡(luò )上跟蹤用戶(hù)活動(dòng)的權力。使用這種體系結構需要服務(wù)供應商支持,而且存在一個(gè)問(wèn)題——遠端用戶(hù)接入服務(wù)供應商的營(yíng)業(yè)點(diǎn)(POP)之前的數據是未經(jīng)加密的。
因此,如果企業(yè)用戶(hù)要實(shí)現一個(gè)完善的遠程寬帶接入VPN方案。我們建議采用上述第一種體系結構,由企業(yè)自己部署和控制安全策略以及對遠程用戶(hù)的認證、授權及監控。
使用Avaya公司的VSU系列產(chǎn)品、VPNManager和VPNRemote組成遠程寬帶訪(fǎng)問(wèn)VPN的拓撲結構如下圖:
如上圖所示,企業(yè)網(wǎng)絡(luò )中心利用VPNManager建立全網(wǎng)的LDAP認證目錄服務(wù)系統或使用RADIUS認證系統,當遠程用戶(hù)接入本地的ISP之后需要訪(fǎng)問(wèn)企業(yè)網(wǎng)內部的資源時(shí),安裝在移動(dòng)用戶(hù)計算機上VPNremote Client即登錄網(wǎng)絡(luò )中心的LDAP服務(wù)器或RADIUS服務(wù)器進(jìn)行驗證工作,通過(guò)后即可訪(fǎng)問(wèn)相應權限的資源。然后遠程主機通過(guò)Internet發(fā)送加密信息到企業(yè)網(wǎng)絡(luò )中心的VPN設備;當數據包到達目標VPN設備時(shí),數據包被解封裝,數字簽名被核對無(wú)誤后數據包被解密。
在本方案中,VPN設備選用Avaya公司的VPN系列網(wǎng)關(guān)產(chǎn)品,網(wǎng)絡(luò )中心使用VSU-2000實(shí)現高速的數據交換以滿(mǎn)足需要。VPN設備和移動(dòng)用戶(hù)的管理采用VPNManager和VPNRemote軟件來(lái)完成。VPNManager能夠實(shí)現對整個(gè)VPN網(wǎng)絡(luò )進(jìn)行管理,滿(mǎn)足用戶(hù)認證、加密策略的制定和修改等等重要工作。VPNRemote安裝在移動(dòng)用戶(hù)的計算機上,為用戶(hù)提供在任何地點(diǎn)只需接入任意一個(gè)ISP即可建立VPN連接的功能,充分滿(mǎn)足移動(dòng)用戶(hù)的的需要。企業(yè)網(wǎng)絡(luò )中心不再需要建立撥入服務(wù)系統為遠程用戶(hù)提供撥入服務(wù)。
Avaya公司供稿 CTI論壇編輯
| 朗訊全球技術(shù)支援暨IMS研發(fā)中心落戶(hù)在青島 2007-03-07 |
| 全球運營(yíng)商啟動(dòng)IMS NGN融合的高速引擎 2006-09-20 |
| 朗訊科技為KPN提供IMS解決方案 2006-09-12 |
| 朗訊科技與KPN合作 管理NGN的部署和集成 2006-08-30 |
| 朗訊向美政府提交申請 望獲批收購阿爾卡特 2006-08-25 |