IPSec VPN運(yùn)營(yíng)之我見(jiàn)

2019-11-03 09:00:59

字體：大中小

供稿：網(wǎng)友

謝先兵

　　聯(lián)通寬帶運(yùn)營(yíng)現(xiàn)狀

　　中國(guó)聯(lián)通大力發(fā)展寬帶業(yè)務(wù)戰(zhàn)略目的是滿足消費(fèi)者對(duì)數(shù)據(jù)信息和語(yǔ)音視頻的需求。伴隨著寬帶業(yè)務(wù)和ＣＤＭＡ１Ｘ?zé)o線上網(wǎng)產(chǎn)品的大量應(yīng)用，用戶可以在互聯(lián)網(wǎng)上傳輸更為廣泛的數(shù)據(jù)。

　　但是在寬帶接入迅速發(fā)展、為用戶解決了接入問(wèn)題的同時(shí)，用戶數(shù)據(jù)傳輸?shù)陌踩珕?wèn)題也突顯出來(lái)了，互聯(lián)網(wǎng)的數(shù)據(jù)安全傳輸解決方案能很好的與中國(guó)聯(lián)通的大力發(fā)展增值業(yè)務(wù)的戰(zhàn)略相結(jié)合，能協(xié)助運(yùn)營(yíng)商開拓未來(lái)增值服務(wù)市場(chǎng)。

　　ＩＰＳｅｃＶＰＮ業(yè)務(wù)需求分析

　　隨著經(jīng)濟(jì)的發(fā)展，企業(yè)規(guī)模的不斷擴(kuò)大，許多大型企業(yè)成立了一系列的子公司或分支機(jī)構(gòu)，而快速掌握溝通信息、傳輸分析數(shù)據(jù)是公司在日趨激烈的競(jìng)爭(zhēng)中取勝的關(guān)鍵。公司的分支機(jī)構(gòu)間傳輸數(shù)據(jù)的方式主要有兩種模式：①、專線方式；②、利用Ｉｎｔｅｒｎｅｔ傳輸。

　　專線方式的優(yōu)點(diǎn)是具有較好的安全性，但是價(jià)格昂貴，一般的企業(yè)難以承受。

　　利用Ｉｎｔｅｒｎｅｔ傳輸因?yàn)橹皇呛?jiǎn)單的使用公用網(wǎng)絡(luò)，所有信息都是以明文方式傳送，雖然節(jié)約了成本，但因?yàn)楣镁W(wǎng)絡(luò)固有的安全因素，存在線路不穩(wěn)定、傳輸安全性差、容易受到攻擊、感染病毒等隱患。

　　在這種情況下，為了拓展寬帶業(yè)務(wù)市場(chǎng)的新業(yè)務(wù)，采用了ＩＰＳｅｃ隧道加密技術(shù)，在ＡＤＳＬ接入／寬帶接入業(yè)務(wù)的基礎(chǔ)上推出了主要針對(duì)商用客戶的ＩＰＳｅｃＶＰＮ新業(yè)務(wù)，為商用客戶既提供了高帶寬低資費(fèi)的企業(yè)網(wǎng)絡(luò)聯(lián)網(wǎng)服務(wù)，又提供了在公用網(wǎng)絡(luò)上擁有私有ＩＰＳｅｃＶＰＮ網(wǎng)絡(luò)的數(shù)據(jù)傳輸安全保障服務(wù)，可以為廣大商用客戶解決互聯(lián)網(wǎng)的安全傳輸問(wèn)題。

　　ＩＰＳｅｃＶＰＮ技術(shù)是最經(jīng)濟(jì)簡(jiǎn)單的互聯(lián)網(wǎng)安全傳輸技術(shù)，可以滿足用戶如下的需求：

　　（１）安全數(shù)據(jù)傳輸

　　（２）拓展ＥＩＰ、ＥＲＰ系統(tǒng)到全球

　　（３）支持安全移動(dòng)訪問(wèn)

　　上述三大客戶需求中，“支持安全移動(dòng)訪問(wèn)”的需求，目前只有ＩＰＳｅｃＶＰＮ技術(shù)可以很好的滿足，而使用專線接入，ＭＰＬＳＶＰＮ等技術(shù)都無(wú)法滿足這一要求。

　　作為一種新的業(yè)務(wù)，對(duì)于ＩＰＳｅｃＶＰＮ的部署而言，既可以由企業(yè)用戶來(lái)部署，也可以由運(yùn)營(yíng)商來(lái)部署。兩種方式比較，對(duì)于數(shù)量眾多的中小企業(yè)而言，迫切地需要運(yùn)營(yíng)商能夠提供ＩＰＳｅｃＶＰＮ業(yè)務(wù)。

　　ＩＰＳｅｃＶＰＮ的用戶群

　　ＩＰＳｅｃＶＰＮ的一個(gè)突出優(yōu)點(diǎn)是具有極高的傳輸安全性，同時(shí)經(jīng)濟(jì)實(shí)用，擁有大量的潛在用戶，這些用戶的特征是：

　　（１）需要借助互聯(lián)網(wǎng)安全傳輸數(shù)據(jù)；

　　（２）需要將現(xiàn)有ＥＩＰ、ＥＲＰ拓展到全球范圍使用；

　　（３）需要支持安全移動(dòng)訪問(wèn)數(shù)據(jù)。

　　具有上述需求的用戶是非常多的，例如具有大量分支機(jī)構(gòu)的商業(yè)企業(yè)；大規(guī)模連鎖經(jīng)營(yíng)的超市；具有跨地域組織方式的企事業(yè)單位；金融、證券行業(yè)；醫(yī)療、醫(yī)藥經(jīng)營(yíng)連鎖等；

　　ＩＰＳｅｃＶＰＮ的用戶組網(wǎng)模式

　　（１）大型用戶的組網(wǎng)模式

　　在企業(yè)的公司總部，必須有一個(gè)固定的ＩＰ地址，并把總部的ＩＰＳｅｃＶＰＮ網(wǎng)關(guān)的地址設(shè)置為這個(gè)固定的ＩＰ地址。在其他的分支機(jī)構(gòu)或者移動(dòng)用戶，可以使用動(dòng)態(tài)ＩＰ地址的方式來(lái)連接到互聯(lián)網(wǎng)。

　　在這種工作方式下，企業(yè)總部和各個(gè)分支機(jī)構(gòu)、移動(dòng)用戶組成一個(gè)星型網(wǎng)絡(luò)。所有的通信數(shù)據(jù)都經(jīng)過(guò)加密后，在總部的ＩＰＳｅｃＶＰＮ網(wǎng)關(guān)上進(jìn)行轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)通信的安全性。

　　（２）中小用戶的組網(wǎng)模式

　　對(duì)于中小用戶而言，通常無(wú)法使用大用戶的ＩＰＳｅｃＶＰＮ組網(wǎng)方式。因?yàn)橹行∮脩敉ǔ２痪邆涔潭ǎ桑蟹绞降幕ヂ?lián)網(wǎng)接入。通常中小企業(yè)使用ＡＤＳＬ或者寬帶方式接入互聯(lián)網(wǎng)，這種接入方式下，ＩＰ地址是臨時(shí)動(dòng)態(tài)分配的，而不是固定的ＩＰ地址，因此無(wú)法使用固定ＩＰ的組網(wǎng)方式。

　　根據(jù)ＶＰＮ虛擬專用網(wǎng)的組網(wǎng)原理，當(dāng)創(chuàng)建ＶＰＮ隧道時(shí)網(wǎng)絡(luò)中至少一方要具有固定的ＩＰ地址，由于申請(qǐng)固定ＩＰ地址的月租費(fèi)用遠(yuǎn)遠(yuǎn)高于動(dòng)態(tài)ＩＰ地址的月租費(fèi)，因此如果用戶想采用寬帶接入進(jìn)行ＶＰＮ組網(wǎng)的話，如能在網(wǎng)絡(luò)的兩端均申請(qǐng)動(dòng)態(tài)ＩＰ地址的寬帶接入方式將大大降低組網(wǎng)成本。

　　對(duì)于中小企業(yè)，一種很好的選擇是使用運(yùn)營(yíng)商提供的ＩＰＳｅｃＶＰＮ服務(wù)。

　　運(yùn)營(yíng)商給小企業(yè)提供ＶＰＮ服務(wù)，運(yùn)營(yíng)商在局端部署ＶＰＮ３０２０設(shè)備，在企業(yè)的各個(gè)ＶＰＮ業(yè)務(wù)點(diǎn)上部署一臺(tái)ＶＰＮ３００５。業(yè)務(wù)點(diǎn)上的ＶＰＮ３００５將隧道建到運(yùn)營(yíng)商的中心ＶＰＮ３０２０上面，由中心ＶＰＮ３０２０設(shè)備轉(zhuǎn)發(fā)ＩＰＳｅｃ報(bào)文，實(shí)現(xiàn)ＶＰＮ隧道的互聯(lián)互通。

　　運(yùn)營(yíng)商在局端的ＶＰＮ３０２０設(shè)備可以使用邁普特有的“虛擬安全域技術(shù)”，使一臺(tái)ＶＰＮ３０２０可以為多個(gè)用戶提供ＩＰＳｅｃＶＰＮ服務(wù)，而保證信息的安全隔離。因?yàn)槎鄠€(gè)用戶公用一臺(tái)ＶＰＮ３０２０，這種模式將降低運(yùn)營(yíng)商開通小企業(yè)ＶＰＮ業(yè)務(wù)的成本。

　　值得一提的是，用戶只需要在聯(lián)通申請(qǐng)ＩＰＳｅｃＶＰＮ服務(wù)，無(wú)需使用ＤＤＮＳ服務(wù)，就可以享受ＩＰＳｅｃＶＰＮ服務(wù)。

　　
----《通信世界報(bào)》