如何选择你所需的VPN产品
[size=2]对于那些跨地区的单位来说,长期面临着如何组建自己的广域网的问题。传统的专线接入方式经济与维护负担过大。因此,这些单位不约而同的将眼光放在了VPN技术上。目前,流行着两种既各具特点又具有一定互补性的VPN架构,这两种VPN就是基于[/size][url=http://www.yishang-h3c.com/Product.aspx?id=1&maxseries=5][size=2][color=#000080]IPSec[/color][/size][/url][size=2]的VPN和采用MPLS(Multiprotocol Label Switching,多协议标记交换)技术的VPN。这其中[/size][url=http://www.yishang-h3c.com/Product.aspx?id=1&maxseries=5][size=2][color=#000080]IPSec VPN[/color][/size][/url][size=2]由于发展的时间比较长,技术也较为成熟,所以市面上基于此技术的VPN产品较为常见。但由于各家产品互有优劣,服务水平也良莠不齐,使得用户在部署VPN时难以抉择。在选择[/size][url=http://www.yishang-h3c.com/Product.aspx?id=1&maxseries=5][size=2][color=#000080]IPSec VPN[/color][/size][/url][size=2]产品时,结合用户自身的需求以及经济实力。最主要应从以下几个方面考虑:
[b]一、性能:[/b]
[b]1、新建隧道数[/b]
新建隧道数的高低是反映[/size][url=http://www.yishang-h3c.com/Product.aspx?id=1&maxseries=5][size=2][color=#000080]IPSec VPN[/color][/size][/url][size=2]产品性能的一个重要指标。
[b]2、加解密速度[/b]
这是影响VPN产品性能的最主要因素,通常它的表现形式为VPN通道的吞吐量。性能较高的千兆产品吞吐量可以达到5~6G。
[b]3、VPN通道数目[/b]
VPN通道数目最主要与用户的网络规模相关,用户在考虑扩展的前提下,可以选择合适的数目,以节约成本。
[b]二、功能:[/b]
[b]1、VPN产品的互通[/b]
这是[/size][url=http://www.yishang-h3c.com/Product.aspx?id=1&maxseries=5][size=2][color=#000080]IPSec VPN[/color][/size][/url][size=2]产品目前存在的最大的问题,由于没有统一的官方机构制定标准,各个厂家的产品实现方式各有不同,所以互通也无从谈起。这就造成了用户在购买一家的产品后,无法再使用其它家产品,对于用户的网络扩充带来极大的不便。所以在选择VPN产品时,要关注其支持的加密算法种类以及认证方式。目前,常用的加密算法种类有:DES、3DES、AES、CAST、Blowfish以及国密办认证的硬件加密卡;常用的认证方式为:共享密钥、RSA、X.509证书等。
[b]2、VPN穿越NAT[/b]
如果VPN产品是放在NAT网关之后,用户就必须选择能够穿越NAT的VPN产品。目前,大多数的产品穿越NAT使用的都是UDP封装数据包的方法。
[b]3、动态IP对动态IP的VPN[/b]
随着ADSL产品的普及,很多单位在分支机构间选用了PPPoE这种拨号上网的方式。由于拨号上网是动态获得IP,就给VPN通道的建立带来问题。目前常用的技术有两种:一、通过自有的VPN控制协议实现。二、通过中间静态结点周转。
[b]4、VPN通道自动检测[/b]
如果VPN通道的中间链路出现问题,VPN产品必需支持自动检测通道、自动建立、恢复通道的功能。
[b]5、QoS[/b]
用户会利用VPN开展各种业务,由于带宽所限,不同的任务就会有不同的优先级。同时,某些业务必须保证实时性,这样用户就对VPN中的QoS有了具体的需求。
[b]三、易用性:[/b]
[b]1、 配置简单化[/b]
由于IPSec协议本身比较复杂,所以配置IPSec VPN一般都比较繁锁,需要有专门的技术人员来实施。用户在选择时,尽量挑选配置较为简单的产品,为VPN的实施以及维护带来便利。
[b]2、诊断快速化[/b]
在VPN的实施过程中,经常会遇到各种各样的问题。这就需要VPN产品有很好的诊断方法或工具。
[b]3、自有的VPN客户端[/b]
一般的厂商在出售VPN设备时,往往都会配有自已开发的VPN客户端。为移动远程用户的VPN接入带来便利。
[/size][url=http://www.yishang-h3c.com/Product.aspx?id=1&maxseries=5][size=2][color=#000080]IPSec VPN[/color][/size][/url][size=2]虽然具有很多优点,但它也并非无懈可击。由于加解密以及VPN通道协商过程的存在,严重的影响了VPN的性能。虽然特有的硬件加速设备可以减轻这一影响,但又势必造成成本的增加,而且不一定能达到理想的效果。同时,由于IPSec VPN是利用公众网建立私有网,难免会受到黑客的攻击。
同IPSec VPN不同,MPLS VPN不依靠封装和加密技术,MPLS VPN依靠转发表和数据包的标记来创建一个安全的VPN。目前,中国网通已经在全国范围内开展了这项业务。
MPLS的运作原理是提供每个IP数据包一个标记,并由此决定数据包的路径以及优先级。与MPLS兼容的路由器在将数据包转送到其路径前,仅读取数据包标记,无须读取每个数据包的IP地址以及标头(因此网络速度便会加快),然后将所传送的数据包置于Frame Relay或ATM的虚拟电路上,并迅速将数据包传送至终点的路由器,进而减少数据包的延迟,同时由Frame Relay及ATM交换器所提供的QoS对所传送的数据包加以分级,因而大幅提升网络服务品质,并提供更多样化的服务。下图为MPLS VPN的实现示意图。
[/size][align=center][size=2][img]http://www.yishang-h3c.com/Back/ArticleImages/Article/VPN.jpg[/img][/size][/align]
[size=2]MPLS VPN只要求用户把它们的客户设备(CE)简单地连接到运营商的网络边缘设备(PE)就可以了,运营商同时负责二层的数据传输工作和三层的路由工作,这种三层MPLS VPN对客户的要求比较低,客户负担较小,但这种做法的问题之一是常见的可扩展性问题。如果运营商把这种业务看作替代所有形式的零售传输业务,如Frame Relay PVC,ATM PVC甚至T1租用线的VPN,那么毫无疑问,运营商必须考虑到可能连接成百或甚至上千个VPN客户的PE路由器的可扩展性问题。因为运营商负责VPN客户的路由,运营商的VPN路由系统把每个VPN客户的完整路由信息都抽取到每个PE路由器中,同时客户则不会做路由聚合来帮助运营商减轻PE的负担。因此在这种VPN中,运营商PE路由器的负担可能会比较重,PE路由表的规模是一个很现实的问题。同时,不同的运营商之间的MPLS VPN目前还不能互通,这对于MPLS VPN的普及也极为不利。
综上所述,[/size][url=http://www.yishang-h3c.com/Product.aspx?id=1&maxseries=5][size=2][color=#000080]IPSec VPN[/color][/size][/url][size=2]与MPLS VPN各有千秋,同时还具备互补性。由于MPLS VPN还是个新兴技术,基于多种原因,在相当长的时间里,MPLS VPN还不能完全取代IPSec VPN,但MPLS VPN应该是VPN技术发展的趋势。在短期内最可能出现的情况是[/size][url=http://www.yishang-h3c.com/Product.aspx?id=1&maxseries=5][size=2][color=#000080]IPSec VPN[/color][/size][/url][size=2]和MPLS VPN这两种IP VPN技术有机地组合在起来,发挥各自的优点,更好的为用户提供安全可靠的VPN服务。
转自:[/size][url=http://www.yishang-h3c.com/wmkeyword_redirect.asp?kvid=700284&source=1&show=ignore][size=2][color=#0000ff]http://www.yishang-h3c.com/wmkeyword_redirect.asp?kvid=700284&source=1&show=ignore[/color][/size][/url] 不错的文章,学习了,也真长了不少的见识! 楼主的这篇文章也不错哦,怎么没被楼主发现呢? 这个我喜欢。。。不错 这业方面我有专业
页:
[1]
