基于宽带互联网和3G的软件VPN服务

1、基于宽带互联网和3G的软件VPN服务一、概述随着中国经济的迅猛发展，今天很多的企业都不止有一个办公地点（如制造企业有办公室和多家厂房、连锁加盟企业有多处门店和专卖店等），而且企业中销售、采购和相关办事人员外出办事也更加频繁。如何有效、简便地解决企业分支机构间的信息沟通，解决外出办事员工的在家办公和移动办公，安全访问公司内部网中的信息数据资源，成为每个企业IT管理人员当前面对的的重要课题。伴随这经济的迅猛发展，电信运营商的互联网宽带ADSL/xDSL/LAN业务也得到迅速发展，与此同时，各大电信运营商也在大力发展3G网络和增加无线局域网（WLAN）热点的覆盖范围，电信运营商的3G网络和无线局域网

2、业务为移动无线宽带数据接入提供了有力的通讯手段，进而为能够真正实现“随时随地移动办公”的思路提供了现实的解决途径。基于IP的VPN组网技术在全国各地也逐渐宣传普及起来，许多企业转而考虑在宽带IP网络（互联网宽带ADSL/xDSL/LAN、3G网络和WLAN）上使用IP VPN技术来组建虚拟企业专网，实现分支机构的互连互通和信息资源共享，实现员工的在家办公和移动办公，以提高企业的办公效率。IP VPN技术帮助企业基于互联网组建相对封闭的虚拟企业专网，只有合法的企业用户可以加入到该虚拟企业专网，访问相关的信息数据资源。但是当企业的IT管理人员在使用IP VPN技术组建虚拟企业专网时，往往发现IP

3、VPN组网技术一旦碰到防火墙、私有地址、不同地点跨运营商网络接入问题和异地维护VPN网络设备问题时，IP VPN组网技术就变得异常复杂和烦琐。IP VPN组网的困难阻碍了众多的企业对IP VPN组网技术的使用。以下我们不妨先探讨一下几种传统的IP VPN技术：二、VPN技术介绍VPN（虚拟专用网，Virtual Private Network）指的是依靠ISP和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。目前，电信运营商业务和接入技术的发展，使得企业可以选择多种技术来建立自己的广域网络。VPN的实现方式有多种，可以根据不同的着重点来区分VPN。按VPN的部署模式分类

4、VPN的部署模式从本质上描述了VPN的通道是如何建立和终止的，一般有3种VPN部署模式：端到端(End-to-End)模式；供应商企业(Provider-Enterprise)模式；供应商内联（Intra-Provider）模式。按VPN的服务类型分类根据服务类型，VPN业务大致可分为3类：IntranetVPN、AccessVPN与ExtranetVPN。Intranet VPN：即企业的总部与分支机构间通过公网构筑的虚拟网。Access VPN：又称为拨号VPN（即VPDN），是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。ExtranetVPN：即企业间发生收购、兼并或

5、企业间建立战略联盟后，不同企业网通过公网来构筑的虚拟网。按VPN技术分类这里我们将VPN HYPERLINK 技术分为两大类：Overlay VPN和MPLS VPN，还有一类是软件VPN也就是易联网公司为代表的软件VPN解决方案。Overlay VPN：OverlayVPN要求在帧中继、ATM或IP网络上建立隧道或加密，这种方案是建立在点到点连接的基础上的，需要对每条隧道或VC进行单独的配置。MPLS VPN：基于MPLS的网络能够将数据流分开，无需建立隧道或加密即可提供保密性，基于MPLS的网络以网络到网络的方式提供保密性，如同帧中继以连接到连接的方式提供保密性一样。软件VPN：易联网公司

6、易联网软件VPN服务是一种基于DNR（Domain Name Routing：域名路由）专利技术的VPN解决方案，通过这种技术，可以使IPSec数据包直接穿过地址翻译设备（NAT：Network Address Translating），从而实现真正义意上的端到端双向数据的安全。通过这种技术，所有的IP数据业务都可以得到支持，不仅包括传统意义上的和E-mail等业务可以得到支持，而且包括各种基于TCP/IP协议开发的应用软件如：OA、ERP和财务等也可以得到支持。易联网软件VPN服务屏蔽底层网络结构互联互通的复杂性问题，在互联网上为用户提供一个安全的虚拟局域网访问环境，这样带来的一个好处是VP

7、N解决方案本身的灵活性。在这种实现方式中，对用户的物理接入方式没有任何的要求，也不管易联网软件VPN服务是否跨越了多个服务商，都可以灵活地实现三种不同服务类型的IP VPN业务。Overlay VPN主要是指传统的以IPSec为基础的VPN的解决方案，这种方式的VPN适合于用户自行建设，而不是由电信运营商来提供的VPN服务。在这里，有必要把传统的IPSec VPN的实现方式说明一下。传统的IPSec VPN的实现方式是指那些采用VPN（IPSec）网关的实现方式，如下图所示：在这种实现方式中，不同的VPN网关之间，或者是在个人用户与VPN网关之间建立一条IPSec隧道，互相之间建立信任关系。不

8、同的私有网络或者是个人用户与私有网络之间通过该IPSec隧道来交换数据，从而实现VPN。传统的IPSec VPN的解决方案都有一些致命的问题导致了这些解决方案只能在一些中小型的企业简单的点到点VPN应用中被采用，而不可能在互联网中得到大规模的应用。这些致命的问题已经是广为人知了：用户端设备：由于企业的IPSec网关需要来终结所有的IPSec 隧道，需要大量的CPU资源来进行加解密的运算，这对网关的性能提出了非常高的要求。由于IPsec必然要在VPN网关上被终止，因此这意味着每一个用户必须有一个独立的网关，每个用户必须自行维护其IP VPN网关设备。难于管理：IPSec动态密钥的管理非常复杂，当

9、网络的规模大到一定程度时，例如当需要在数十个节点间建立虚拟专网时，密钥由企业IT管理员手工管理已经几乎不可能做到。安全问题：由于IPSec隧道在网关上被终结，数据在网关内部传输时得不到安全保护。现在VPN产品不能通过VPN网关实现用户对用户的IPsec。在企业的内部网络中客户与网关之间有安全漏洞，而这在电子商务中尤其严重。性能和扩展性：现在的VPN网关存在着性能上的瓶颈，而且难于扩展。由于所有的IPsec在网关上被终止，所有的IPsec的加密和解密计算都集中在网关上，这导致了网关成为最大的瓶颈，不可能实现有服务质量保证的业务。同时这种VPN网络中，任何一个VPN节点的配置改动，都需要在其它相应

10、的VPN节点设备上进行配置修改。不是真正意义上的移动VPN。传统VPN解决方案并不支持真正意义上的双向移动漫游用户，传统VPN解决方案仅能满足分散的移动终端访问中心节点，难以解决中心节点反向访问分散的移动终端。而双向通信对于很多应用的解决方案，如IP电话，网络会议等是必须的。采用MPLS来实现VPN的办法不外乎有两种，一种是采用Juniper的CCC (Circuit Cross Connect)或者是Cisco的VLL (Virtual Leased Line)来实现。如下图所示：无论是Cisco的VLL还是Juniper的CCC，都是采用MPLS流量工程的手段，模拟出类似于ATM PVC的

11、具有带宽保证的逻辑虚电路。说到底，这是一种位于网络层之下的解决方案。这一种解决方案可以来提供类似于数据专线或者是类似于ATM/FR逻辑虚电路的业务，并且可以模拟出在IP网络上开展的传统电信业务。这种实现方式的缺点是：方案本身不提供任何数据安全的手段，需要依靠网络层之上的手段来实现。例如，可以在网络中相应地采用IPSec 来保证设备与用户数据的安全。系统本身的管理复杂性较大，当用户需要在网络中建立一条逻辑虚电路时，对这一条虚电路所经过的每一个路由器都要进行配置，并且配置的难度较大。所能支持的用户端的联接方式有限，一般只能支持串行方式的联接。MPLS的第二种VPN的实现是采用BGP/MPLS (R

12、FC2547Bis) 的方式。这种实现方式如下图所示：这种实现方式是在一个物理路由器内产生多个虚拟路由进程，并且利用MBGP（Multi-protocol BGP）在不同路由器的不同路由进程之间传递路由信息，从而产生多个虚拟路由域，即所谓的VPN。这一种VPN的实现方式相比较于上一种实现方式而言，管理的复杂性大大降低，网络管理员只需要手动地配置PE路由器与CE路由器，以及相应的路由协议，而PE路由器与其它PE路由器之间的路由交换依靠动态路由协议自动地完成。而且MPLS的虚电路也可以依靠动态的协议完成，从而降低管理的成本。再有，与上一种实现方式一样，可以实现有业务质量保证的VPN业务，这是其它的

13、解决方案所不能实现的部分。但是，这种实现方式并没有解决上一种实现方式中的其他问题。另外，这两种MPLS的VPN解决方案还有一些共同的问题：一是两者都是针对于网络用户或者是专线接入用户的解决方案，而对于拨号用户或者是个人用户而言，这两种解决方案并不能覆盖。如果服务提供商需要一个针对于个人用户的解决方案，这两种方案显然是不合适的。另外，MPLS的VPN实现方式对网络结构的要求较高，任何一个客户的接入点发生改变的话，都可能带来很大的管理与重新配置的问题。再有，如果用户有接入互联网的要求的话，MPLS VPN需要在接入点增加另外一条物理链路或者是另外一条逻辑链路，这是由于MPLS的技术实现方式造成的。

14、另外MPLS在提供跨地域特别是全球VPN业务时，不得不面临运营商之间相互配合的问题，即MPLS VPN跨IP自治域的互连互通的问题。虽然从技术的角度来说，MPLS VPN跨IP自治域的互连互通不是问题，但由于人为配合等工程实施因素，往往造成MPLS VPN施工周期较长，影响了MPLS VPN业务的迅速推广。近几年来，VPN的解决方案似乎一直是人们争论的热点，究竟是采用MPLS的VPN解决方案好还是采用IPSec的解决方案好。VPN解决方案提供商也在向用户推销不同的解决方案，MPLS VPN方案提供商攻击IPSec的解决方案不具有扩展性，不适合大型网络的采用；而IPSecVPN的方案提供商也攻击

15、MPLSVPN解决方案安全性不好，管理复杂。似乎MPLS与IPSec 是两种水火不相容的东西，造成ISP也同时分成两派，采用MPLS VPN的ISP不会同时采用IPSec，而采用IPSec解决方案的ISP不会再采用MPLS的解决方案。实际上任何一种解决方案都有其本身的优点与缺点，任何一种解决方案都不可能覆盖所有的用户对象，也就是说任何一种单一的解决方案本身都不是一种完美的解决方案。当某一种解决方案不能做到“完全覆盖”时，可能会有另外的一种解决方案可以作为这一种解决方案的补充。市场调查资料显示MPLS VPN实际上仅能满足5%左右的高端VPN用户，剩下不到10%的VPN用户会采用自行建设硬件VP

16、N网关（IPSec解决方案之一）的方式，大量的85%左右的VPN用户并没有找到很理想的IP VPN解决方案。三、无线局域网WLAN的安全问题不需要有线的方式就可以完成普通的网络接入，这是部署无线局域网的强大驱动力。但对于许多企业和人员来说，无线技术在接入的灵活性方面的明显优势被传输过程中没有安全保障带来的安全问题所抵消，尤其是由电信运营商提供的无线局域网接入业务由于考虑到需要向所有公众用户提供服务，为了降低接入的复杂性，因此没有采用数据加密措施，这样用户通过电信运营商提供的无线局域网传输的数据极易被人监听。UC Berkley的研究人员发表的一篇文章表明：“在802.11安全协议(WEP)中的

17、安全漏洞严重破坏了系统的安全要求”，并且802.11无线局域网会带来潜在的安全攻击。研究员在文章所描述的安全问题可以在Wall Street杂志或其它刊物上找到。文章主要阐述了电脑黑客通过无线网络监视、攻击802.11网络并造成数据流崩溃的可能性。由此可见虚拟专用网（IP VPN）则是保护无线局域网后门安全的关键。IP VPN具有比无线局域网所采用的WEP协议更高层的网络安全性(第三层)，能够支持用户和网络间端到端的安全隧道连接。目前有两个被选方案来解决这个问题：使用其它的加密或完整性算法，例如在上层使用IPSec是一个好的选择，它提供IP层的加密和完整性检查，这是必须的，因为大多数的无线网络

18、都承载IP包。更好的方案是端到端的加密方案，这可以彻底的提高无线网络的安全水平。大家都知道IPSec是一个非常完美和重要的IP网络安全解决方案。它可以同时提供数据的加密和完整性检查。IPSec可以充分利用对称/非对称加密算法的各自优点，来保证数据传输的保密性。IPSec还可以提供完整性检查和认证，以拒绝数据包被修改和插入非法数据包。 IPSec提供在WEP上层应用数据的安全，可以保证数据传输的保密，即便是偷听者知道了802.11WEP协议中的所有密钥也无法修改数据包。IPSec如果能够提供端到端的安全的话，将使最挑剔无线局域网的研究员和IT经理人对他们的无线网络都感到安全，如果可以使IPSec

19、隧道从一个客户端穿越整个网络（甚至通过多个NAT）到达另一个客户端IPSec隧道的终点，这样就可以拒绝网络中的任何偷听者和入侵者。易联网软件VPN服务可以很好地解决电信运营商提供的无线局域网的安全漏洞，提高移动无线接入网络的安全性。易联网软件VPN服务与无线局域网集成在一起，企业用户在使用电信运营商提供的无线局域网实现移动办公时，可以获得额外的安全保障，并实现真正放心的端到端的无线通讯。易联网软件VPN服务易联网公司敏锐地洞察到市场上的需求帮助外出办事员工克服联系上的不便利性，实现任意分支机构间的双向信息交流，帮助企业的IT管理人员摆脱IP VPN组网困难。易联网公司适时地推出了易联网软件VP

20、N服务，来满足不同用户对IP VPN的要求。通过在互联网上建立一套易联网软件VPN服务管理平台，各企业通过租用该平台上的易联网软件VPN服务，就可以快速、便捷地完成各自企业虚拟专网的建设。各企业的IT管理人员安全登录到易联网软件VPN服务管理平台上，通过Web管理界面配置各自企业虚拟专网中每个员工的用户账号信息，在解决各分支机构和外出办事员工的IP接入问题（租用运营商的宽带xDSL接入服务）后，企业的员工仅需简单地在其可以上网的各电脑终端上安装易联网软件VPN客户端软件并激活用户账号，就可以加入到各自的虚拟企业专网中，就仿佛是回到企业内部局域网一样，安全、轻松地访问其企业内部网络中信息数据资源

21、。二、易联网软件VPN服务组建虚拟企业专网的步骤各企业申请租用一定数量的易联网软件VPN服务用户账号（如：为每个外出办事的员工租用一个用户账号，为每个分支机构租用一个到多个用户账号，以月租或年费的收费方式收取每一个易联网软件VPN服务用户账号的费用）后，各企业的IT管理人员就可以获得该企业易联网软件VPN服务的客户管理员账号，使用该客户管理员账号管理其租用来的易联网软件VPN服务用户账号。各企业的IT管理人员远程安全登录到易联网软件VPN服务管理平台上，通过Web管理界面配置用户账号信息（如每个用户账号的用户名/密码、访问权限等）。企业的分支机构通过申请运营商的宽带ADSL接入线路接入互联网；

22、少量无法申请到宽带ADSL接入线路的分支机构节点，仅需要能够接入访问互联网（如：楼宇宽带LAN接入）就可以了；外出办事的员工可以灵活采用各种方便的方式（如在家时采用宽带ADSL接入和小区宽带LAN等，外出时采用无线局域网和电话拨号等）接入互联网；总部中心节点一般建议采用局域网专线或ADSL方式接入互联网（推荐采用局域网专线接入方式，可以有效避免总部节点双向数据传输时网络带宽瓶颈问题）。在解决了各分支机构和外出办事员工的IP接入问题后，各员工仅需在其能够上网的电脑终端上安装易联网软件VPN客户端软件，激活IT管理人员为其分配的速易达宽带加密直通用户账号，就可以加入到其虚拟企业专网中。每个员工都可

23、以从易联网软件VPN客户端软件在线用户列表窗口中看到所有在线的其他员工和各数据信息服务器。加入后的易联网软件VPN客户端软件界面如下图示：员工加入虚拟企业专网后，就仿佛回到办公室，象使用企业内部局域网一样，使用易联网软件VPN客户端软件中在线用户的用户名，启动其电脑终端上相应的应用软件客户端软件（用户可以自行启动也可以由速易达客户端软件自动启动应用软件客户端软件），访问相关的数据信息服务器（如上图中的ipd-email-01和ipd-email-02所代表的电子邮件服务器、ipd-所代表的文件服务器等）、也可以和其他员工进行文件和数据信息的相互访问或实现在家办公（如上图中的jeff代表员工je

24、ff在单位的电脑，jeff-home代表员工jeff在家中的电脑）。所有的员工在虚拟企业专网中相互访问时，都无需要关心网络连接过程中任何复杂的网络配置和安全加密通讯等技术问题，所有的使用方式都和在企业内部局域网中一样。易联网软件VPN客户端软件不仅给使用者提供了类似企业内部局域网一样的网络使用环境，而且易联网软件VPN客户端软件还集成了在VPN网络访问中常用的应用软件，如远程桌面共享、文件共享、即时消息和微软的NetMeeting语音视频通讯软件，便于员工在虚拟企业专网中使用。远程桌面共享应用软件便于企业的IT管理人员远程维护各分支机构员工的电脑终端，如排除其他应用软件故障、安装新的应用软件，

25、进行应用或系统软件的升级等操作；在家办公的员工也可以通过家里的电脑终端使用远程桌面共享应用软件远程登录到其公司内部网中的电脑终端上，就仿佛坐在公司电脑终端前面一样，实现在家设计开发工作或访问数据信息；文件共享应用软件方便员工间实现文件数据信息共享；即时消息应用软件方便员工间实现点到点的文字信息即时通讯交流；微软的NetMeeting语音视频通讯软件方便员工间实现语音视频通讯交流。三、总结易联网软件VPN服务简化了企业信息化建设步骤，同时全软件租用服务模式大大节省了企业的网络硬件设备投资和维护费用。易联网软件VPN服务的安全性和灵活性主要体现在以下几个方面：杜绝非法访问易联网软件VPN客户端软件提供双因子用户身份验证，即员工必须同时通过用户名/密码和内置的数字身份证书的验证后，才能加入虚拟企业专网中。所有员工的访问都要经过认证和授权，充分保证用户身份的合法性，只有合法的用户才能访问指定的服务器，进行指定的授权的网络访