宽带、移动唤醒企业VPN需求
你的企业实现家庭办公、移动办公了吗?
2003/06/09
目前,互联网的方便和高速覆盖并没有被企业网充分利用。公司老总很晚才下班,要在公司处理完所有的邮件,尽管家中有宽带,但那是互联网接入,不能接到公司内部网络;出差在外的员工必须拔打昂贵的800号码或长途电话才能访问公司内部信息,以大约28.8Kbps的速率连接到公司内部网络,酒店的宽带接口却放在一边不能用。
任何企业的IT经理都不会将企业内部网直接连接到互联网,企业内部网与互联网之间都会设置防火墙,只允许内部网络结点向互联网发起请求,进行互联网的访问,但不允许通过互联网结点访问企业内部的信息。怎样才能利用高速、便利的互联网接入安全地实现移动办公、家庭办公呢?答案是远程接入VPN。
移动办公的实现并不复杂,只需要在企业总部的广域网接入侧增加一个VPN网关设备,就可以提供企业远程办公的支持;对于移动办公的结点,只需要安装一个远程VPN客户端软件。移动结点在家、酒店、咖啡厅连接到互联网后,通过VPN拔号,就可以与企业的VPN网关之间建立一个安全加密的隧道。移动结点就如同在企业内部的局域网一样,进行内部信息的访问。
安全保证是任何一个企业对VPN的首要要求。首先,远程接入采用IP- Sec协议,提供数据私密性、完整性和用户/数据的鉴权和认证,并支持L2TP、PPTP或L2TP over IPSec等协议。其次,VPN网关集成的状态防火墙功能可以有效地控制来自互联网的数据。再有,远程用户接入之前必须进行身份认证。VPN网关可以直接用于用户认证,大型企业多个VPN结点建议通过外部的RADIUS/LDAP服务器;还可支持卡认证、CA认证。最后,VPN网关可以将用户进行分组,针对小组制定安全策略,如要求结点必须设置屏幕保护;不允许保存口令,设置拔号时段、时长、空闲时长等。
远程接入VPN应具有很高的可用性。在企业内部,要求VPN网关设备可以通过插板提供V.35、以太网等接入方式,支持PPP、FR、DHCP或PPPoE客户端;要求高可靠性的企业用户可以通过两台以上VPN网关设备实现备份和分均负载,透明地为远程用户提供高可靠性。对于远程用户,除微软平台,还要求支持PDA、Linux、UNIX以及PDA等操作系统;业务实现应通过虚拟网卡的方式实现,以支持H.323、SIP等任何IP应用。
一个重要的特性是VPN隧道是否可以穿透NAT设备。许多NAT设备不能支持IPSec的地址转换,而将其丢掉,用户在使用有NAT设备的网络时,就没有办法实现VPN了。因此,VPN网关需要在建立IPSec隧道前,自动检测网络中是否有NAT设备,如果检测到,则自动采用NAT穿透方式保证IP-Sec隧道的建立和传输。
QoS也非常重要,对于不同的隧道,应能提供不同的服务质量。
业务实现是自组,还是外包?新的趋势是外包。企业可将广域网、宽带业务和远程接入VPN等通过电信运营商提供,打包的业务可以得到优惠,服务质量也更有保障。通过外包,企业还能选择租用方式灵活地实现自已的业务需求,根据需求租用不同档次的设备,以降低技术和投资风险。运营商也可以充分发挥技术优势,将服务器托管、设备代维等全套服务统一地提供给企业客户。
通过外包业务,企业可以要求实现完全虚拟化的服务,即只需要与运营商签署协议,运营商可以通过虚拟路由技术和账号管理,为企业用户提供远程接入的服务,不需要在企业网络中进行任何设备的安装和结构的改变。
北电网络Contivity业务网关推助移动办公业务实现
Contivity是北电网络向企业和运营商提供的高性能安全IP业务网关,包括600、10X0、1700、2700和5000网关设备和相应的客户端及网管软件在内的全系列产品。Contivity集成了VPN、路由、防火墙、QoS等功能。
Contivity产品系列在全球管理VPN市场上一直处于领先地位,连续多年在市场上保持第一。在全球500强企业当中,有超过100家企业使用Contivity作为VPN网关设备;Contivity被全球八大运营商中的七家选定为管理VPN业务的产品。
计算机世界网(www.ccw.com.cn)