| 作为企业网络平台的一 非常重要的角色。但远程接 。VPN正好在这方面可以发 |
种有效的延伸,远程访问接入技 入既需要跨越地域局限,又需要 挥作用。 |
术一直在我们的网络应用中扮演着 具有灵活性,还需要有足够的带宽 |
| 顾名思义,远程访问技 络平台覆盖范围之内,通过 决的另一个问题是灵活性, 用远程访问技术接入到企业 |
术首先解决的问题就是地域的局 局域网接入方式来访问企业网络 不论用户身在何处——在家中, 内部网络平台。 |
限。用户不再需要处于企业局域网 应用服务。此外,远程访问技术解 亦或在另一个城市出差,均能够利 |
| 正因为要实现这些目标 络平台是无法实现该功能的 达到数公里甚至数十公里。 满足的。 |
,远程访问技术必须要使用公共 ,尽管目前有某些网络技术可以 姑且不谈其建设成本问题,仅仅 |
传输媒介。换句话说,企业私有网 突破局域网覆盖范围,使传输距离 灵活性一项要求便是私有网络无法 |
| ■各种接入层出不穷 |
| 由于上述原因,远程访问技术长期以 PSTN(公用电话网)。利用Modem模拟拨号 只要利用一条电话线和普通的Modem,对 时获得数据服务和模拟的电话传真服务, 数据和模拟通讯均要求独占一个信道。而 一定数量的语音中继线路,供远程访问用 |
来一直使用一种最为普通、随处可得的传输媒介—— 技术来实现远程连接。利用PSTN进行远程接入,用户 于用户来说,一次性投入很小。当然,如果用户想同 就不得不再申请一个号码,因为在这种通讯方式下, 企业需在局域网边缘设置远程访问接入设备,并配备 户拨入。 |
| 尽管经历了若干年的发展,PSTN远程 种无奈的选择。始终存在的带宽不足、接 应用的发展。用户的抱怨在与日俱增,远 着近年来层出不穷的新兴的网络应用,对 率为56kbps的PSTN拨号接入方式,已远远 |
拨号接入方式对于大量的远程访问用户来说,只是一 入速度慢、服务质量差等问题,严重阻碍了远程网络 程用户们需要的是快速而又优质的接入方式。尤其随 网络带宽的要求和对延迟的敏感性越来越高。最高速 无法满足今天的应用需求。 |
| 因此,又出现了一些接 的Cable Modem,直到城域 |
入技术。从利用电话线作为传输 网Ethernet接入,各种新技术层 |
介质的xDSL,到依靠有线电视电缆 出不穷,更新换代极快。 |
| xDSL宽带接入包括ADSL、CDSL、HDSL 线。ADSL被认为将是一种在21世纪有广阔 入方式,成为家庭和小型商务应用的主流 |
、IDSL、UDSL等,典型的是ADSL,即不对称数字用户 应用前景的接入技术之一,将代替传统Modem模拟接 接入技术。 |
| Cable Modem即电缆调 某个频率范围内进行传输、 数据,传递给接收方。其在 调频或调幅对数据编码。由 宽的优势,使得通过有线电 |
制解调器,是在有线电视电缆上 接收一方再在同一频率范围内对 物理层上的传输机制与电话线上 于有线电视网具有四通八达、共 视网访问Internet成为下一世纪 |
将数据进行调制,然后在有线网的 该已调制的信号进行解调,解析出 的调制解调器无异,同样也是通过 享介质、线路质量较好及多频率带 接入技术的发展方向之一。 |
| 随着目前城域网建设及 城域网接入这一领域获得广 太网技术在带宽接入领域具 |
信息化小区的普遍推广,以太网 泛使用。凭借其带宽的优势和在 有极强的竞争力。 |
作为最成熟、最经济的网络技术在 服务质量及安全性方面的突破,以 |
| 上述宽带接入技术目前 而不能直接运用于企业网远 必须自己提供端到端电话线 了远程访问的意义。 |
均广泛运用于Internet接入,但 程访问。举例来说,如欲使用AD 路来接入远程用户,而无法使用 |
是由于其对各自传输介质的依赖性 SL技术实现企业网远程访问,企业 PSTN公共电话网。这已经完全丧失 |
| ■VPN适宜远程接入 |
| 那么企业网远程访问到底能否利用上 利用Internet作为传输载体,采用VPN技 要优点: |
述的宽带接入技术呢?答案是肯定的。解决方案就是 术,实现企业网宽带远程访问。该方案将具有如下主 |
| □高度灵活性 |
| 用户不论在家中、在出差途中,或是 便能够安全地接入企业网内部。既不受地 |
在其它任何环境中,只要该用户能够接入Internet, 域限制,也不受接入方式限制。 |
| □高带宽 |
| 用户可以选择使用本地 Modem,还是在信息化小区 |
服务供应商所能够提供的任何宽 或酒店中使用以太网接入。 |
带接入技术,不论是ADSL、Cable |
| □高安全性 |
| 所有的流量均经过加密 天的加密技术已经发展到即 解密。因此,即便您的数据 机密会泄露。 |
和压缩后在网络中传输,为用户 便使用最先进的计算机,也需要 信息在传输过程中存在被窃取的 |
信息提供了最高的安全性保证。今 花费超过一个世纪的时间才能将其 可能,您也完全不必担心企业内部 |
| 相比而言,传统的PSTN拨号接入方式 自然更不必说了。唯一值得一提的是,很 路交换的PSTN拨号连接具有更高的安全性 出现的,用户数据在PSTN网络中同样存在 是完全没有加密的。 |
只具有地域灵活性,而不具备接入方式灵活性,带宽 多用户认为,相对于开放的Internet而言,点到点电 。事实上,电话窃听技术几乎是紧随着电话的出现而 被窃取的可能。而且,请不要忘记此时被窃取的数据 |
| 因此,利用先进成熟的 络平台,同时又可以摆脱PS 体验。这的确是一个非常理 |
VPN技术,使我们的企业网用户 TN拨号接入的带宽限制,充分享 想的企业网远程宽带访问解决方 |
不仅可以随时随地远程访问企业网 受Internet宽带接入所带来的全新 案。 |
| ■实现远程宽带接入 |
| 虽然实现的方法可能有 。通道在无连接的IP网络中 网络数据和私密性,从而只 供了可扩展的第三层解决方 标准(DES)等已经验证的 |
所不同,但是所有VPN技术都在 创建了逻辑端到端连接。加密通 有指定的发送者和接收者才能明 案,实现网络加密。它使用包括 加密技术,当数据已在网络上传 |
共享的网络基础设施上提供私密性 道利用对数据进行扰码的方式提供 白。IPSec是一个新业界标准,提 安全封装协议(ESP)和数据加密 输时,提供净荷保护。 |
| 远程接入VPN包含两种体系结构:客 使用客户驱动的连接,用户可以从他们的 络建立一条加密的IP通道。利用这种体系 的附加值服务。 |
户机驱动连接或网络接入服务器(NAS)驱动连接。 客户端开始,通过服务供应商的共享网络,到企业网 结构,用户并不需要服务供应商提供与VPN应用相关 |
| 远程接入VPN的另一种 服务供应商的营业点(POP 用由NAS驱动的体系结构, 络中;然而,企业仍保留有 限并在网络上跟踪用户活动 题——远端用户接入服务供 |
体系结构定义了由NAS驱动的通 )。服务供应商则建立一条安全 服务供应商对用户的身份进行验 控制他们自己的安全策略、对用 的权力。使用这种体系结构需要 应商的营业点之前的数据是未经 |
道。在这种情况下,远端用户接入 的、加密的通道连接企业网络。利 证,使他们能够初步接入到企业网 户进行身份验证、授与用户访问权 服务供应商支持,而且存在一个问 加密的。 |
| 因此,如果企业用户要实现一个完善 体系结构,由企业自己部署和控制安全策 |
的远程宽带接入VPN方案,我们建议采用上述第一种 略以及对远程用户的认证、授权及监控。 |
| 使用Avaya公司的VSU系 如图所示,企业网络中心利 系统。当远程用户接入本地 上VPNremote Client即登录 访问相应权限的资源。然后 当数据包到达目标VPN设备 |
列产品、VPNManager和VPNRemot 用VPNManager建立全网的LDAP认 的ISP之后需要访问企业网内部 网络中心的LDAP服务器或RADIUS 远程主机通过Internet发送加密 时,数据包被解开封装,数字签 |
e组成远程宽带访问VPN的拓扑结构 证目录服务系统或使用RADIUS认证 的资源时,安装在移动用户计算机 服务器进行验证工作,通过后即可 信息到企业网络中心的VPN设备; 名被核对无误后数据包被解密。 |
 |
| 通过VPN实现远程宽带访问 |
| 在本方案中,VPN设备 速的数据交换以满足需要。 。VPNManager能够实现对整 重要工作。VPNRemote安装 ISP即可建立VPN连接的功能 务系统为远程用户提供拨入 |
选用Avaya公司的VPN系列网关产 VPN设备和移动用户的管理采用V 个VPN网络进行管理,满足用户 在移动用户的计算机上,为用户 ,充分满足移动用户的的需要。 服务。 |
品,网络中心使用VSU-2000实现高 PNManager和VPNRemote软件来完成 认证、加密策略的制定和修改等等 提供在任何地点只需接入任意一个 企业网络中心不再需要建立拨入服 |