宽带移动唤醒企业VPN需求_企业

宽带移动唤醒企业VPN需求
——北电网络数据产品及应用系列之一

2003/05/22

　　每个人都深切地感受到互联网接入越来越方便，接入速度也令人满意。但是，互联网的方便性、高速接入和广大的覆盖并没有被企业网络充分应用。问题来自于企业的IT经理对互联网安全性的担忧，任何企业的IT经理都不会将企业内部网络直接连接到互联网络中。一般情况下，企业内部网络与互联网互通都会设置防火墙，只允许内部网络节点向互联网发出请求，进行互联网的访问；但不允许通过互联网访问企业内部的信息。怎样才能利用高速、便利、多样的互联网接入实现移动办公，在家办公的人员可安全地访问企业内部网络呢？答案是远程接入VPN。——编者

　　移动办公的实现并不复杂，只须在企业总部的互联网接入侧增加一个VPN网关设备，就可以提供企业远程办公的支持。对于在家办公、移动办公的PC或计算机，只须安装一个支持安全加密的客户端软件，在以任何方式与任何ISP建立有效的互联网连接后，通过认证，移动办公的PC与企业的VPN网关之间就建立起了一个安全的、经过加密的隧道，同时移动PC从企业内部网络中得到一个虚拟IP地址，与企业内部的资源进行通信；其中所有的数据流都是通过公共网络的IP地址封装在外部实现的。移动办公的PC就好像在企业内部的局域网中一样，可以进行内部信息的访问。

　　安全保证包括以下方面。

　　——IPSEC隧道的安全。远程接入采用成熟的IPSEC技术实现数据的安全传输。IPSEC利用单向函数的数学算法，提供了易加密不易解密的安全保证。IPSEC协议从三个方面提供安全的保证：数据的私密性（如通过DES，3DES，AES等进行加密），数据的完整性（如MD5，SHA－1等算法），用户和数据的鉴权和认证（如CA认证等）。

　　——集成防火墙功能。由于VPN网关的一侧必须与互联网接入，因此通过集成的防火墙功能可以有效地控制来自互联网的数据，比如只允许IPSEC相关的数据进入，在广域网接口设置反IP欺骗和反DOS攻击等。

　　——用户的认证。远程用户接入之前，必须进行身份认证。企业可以使用VPN网关内置的用户数据库进行认证，也可以通过外部的RADIUS服务器、LDAP服务器，或使用WINDOWSDOMAIN的方式提供用户认证；对于更高的安全性要求，可以通过CA的方式实现对用户的认证。

　　——用户行为控制。对于用户可以分成不同的接入组进行控制，可以限制特定用户组的安全性，如要求用户设置屏幕保护，否则不允许建立隧道；不允许用户选择“savepassword”选项，以保证安全性；可以设置用户的远程拨号时段，以及拨号时长、空闲时长等。

　　远程接入VPN的可用性可以从企业总部和远程接入用户两个方面来看。对于企业总部来说，首先要求VPN网关设备可以通过插板提供多种广域网的接入方式，如V.35，以太网接口；对于专线用户可以使用PPP、帧中继的广域网连接；对于宽带用户要求支持DHCP客户端或PPPoE客户端软件；要求高可靠性的企业用户会通过两台VPN网关设备，对内部局域网通过VRRPwithCriticalInterface实现备份；对于广域网连接，要求在两台设备上支持VPN隧道备份和分均负载。

　　远程用户可能使用各种操作系统平台，如微软平台98，2000，NT，XP，WINME等，以及Linux，Unix以及PDA等；因此要求远程接入的客户端软件应支持多种平台和操作系统，并且通过虚拟网卡的方式实现，以保证所有的VPN数据流均采用隧道方式，真正的应用都是以虚拟网卡的IP地址进行的，保证对所有IP业务（如H.323，SIP）的支持。远程接入用户可能通过任何不同的接入方式进行接入，因此要求系统对各种接入方式透明，如ADSL，以太网，WirelessLAN，GPRS，CDMA1x。远程接入用户有可能在全球漫游，要求只要有互联网的接入，就可以实现VPN的互通。因此一个特性变得非常重要，就是VPN隧道是否可以穿透NAT设备。许多NAT设备不能支持IPSEC数据包的地址转换，而将IPSEC数据包丢掉，用户在使用NAT的接入网络时，就没有办法实现VPN了。因此，VPN网关需要在建立IPSEC隧道前，自动检测网络中是否有NAT设备，如检测到NAT设备，则自动采用NAT穿透方式保证IPSEC隧道的建立和传输。远程接入用户可以透明地实现VPN网关的备份功能，如果企业有两台或两台以上VPN网关设备，当其中任何一台出现故障时，远程接入软件会自动地向其它VPN设备拨号，而无须人工干预。

　　VPN网关设备在企业用户的广域网接入端，因此，要求设备不仅可以支持VPN，还须具有防火墙功能，并具备路由和QoS功能，如对不同的VPN隧道设置不同的优先级和带宽保证。

　　在业务实现方面，业界存在自组还是外包的争论。比较而言，外包更经济、更灵活、易升级、风险小，服务更多，更有保证。

　　通过与运营商的协商，企业可以将专线业务、宽带业务和远程接入VPN等通信服务通过电信运营商提供，打包的业务不仅得到优惠，服务质量也更有保障。通过外包，企业还可以以租用方式灵活地实现自己的业务需求，根据需求租用不同档次的设备，以降低技术和投资风险。运营商也可以充分发挥通信技术的优势，将WEB、EMAIL等服务器托管外包业务、用户认证系统的外包、设备代维、7×24电话服务、现场服务、网络报表、告警等服务统一地提供给企业客户。

　　通过外包业务，企业可以选择在企业网络的广域网接入侧增加一个VPN业务网关，或者要求实现完全虚拟化的服务，即只须与运营商签署协议，运营商可以通过虚拟路由技术和账号管理，由运营商的网络设备为企业用户提供远程接入的服务，不需要在企业网络中进行任何设备的安装和结构的改变。

　　Contivity是北电网络向企业和运营商提供的安全IP业务网关设备，包括从600，10X0，1700，2700和4600网关和相应的客户端及网络管理软件在内的全系列产品。

　　Contivity安全IP业务网关集成北电网络的安全路由技术SRC，SRT是Contivity全系列产品都支持的一个安全软件体系结构，包括IP路由、VPN、防火墙和策略服务。这一软件结构为全系列产品提供了管理的一致性，支持多种IP业务的高性能实现。SRT提供了业界与众不同的功能特性，如在安全IPSEC隧道上的动态路由协议支持（RIP/OSPF），跨VPN网络的一致性安全策略，路由功能，防火墙服务，并通过软件许可方式为用户提供灵活的IP业务支持而不需要进行硬件升级。

　　Contivity解决方案改变了原来企业广域网边缘IP业务实施的复杂结构，可增加的IP业务可以快速简单地实现，Contivity可以只作为VPN网关，也可将其同时作为互联网的接入设备，还可以再增加路由、防火墙等功能。

　　Contivity产品系列在全球基于CPE的VPN市场上一直处于领先地位，在由运营商为企业提供基于CPE的VPN业务市场中，连续多年在市场上保持第一。Contivity被全球八大运营商中的七家选定为企业提供远程接入VPN业务的产品；在全球500强企业中，有超过100家企业使用北电Contivity产品作为VPN网关设备。

　　随着我国互联网接入的发展和宽带接入、移动接入的普及，企业对远程接入VPN的需求不断增加。北电网络正在中国与各大运营商合作，为企业实现移动办公、家庭办公作出努力。

北电网络公司供稿 CTI论坛编辑