售后服务基于宽带互联网和G的软件VPN服务.docx
《售后服务基于宽带互联网和G的软件VPN服务.docx》由会员分享,可在线阅读,更多相关《售后服务基于宽带互联网和G的软件VPN服务.docx(12页珍藏版)》请在冰点文库上搜索。
售后服务基于宽带互联网和G的软件VPN服务
(售后服务)基于宽带互联网和G的软件VPN服务
基于宽带互联网和3G的软件VPN服务
壹、概述
随着中国经济的迅猛发展,今天很多的企业均不止有壹个办公地点(如制造企业有办公室和多家厂房、连锁加盟企业有多处门店和专卖店等),而且企业中销售、采购和关联办事人员外出办事也更加频繁。
如何有效、简便地解决企业分支机构间的信息沟通,解决外出办事员工的于家办公和移动办公,安全访问公司内部网中的信息数据资源,成为每个企业IT管理人员当前面对的的重要课题。
伴随这经济的迅猛发展,电信运营商的互联网宽带ADSL/xDSL/LAN业务也得到迅速发展,和此同时,各大电信运营商也于大力发展3G网络和增加无线局域网(WLAN)热点的覆盖范围,电信运营商的3G网络和无线局域网业务为移动无线宽带数据接入提供了有力的通讯手段,进而为能够真正实现“随时随地移动办公”的思路提供了现实的解决途径。
基于IP的VPN组网技术于全国各地也逐渐宣传普及起来,许多企业转而考虑于宽带IP网络(互联网宽带ADSL/xDSL/LAN、3G网络和WLAN)上使用IPVPN技术来组建虚拟企业专网,实现分支机构的互连互通和信息资源共享,实现员工的于家办公和移动办公,以提高企业的办公效率。
IPVPN技术帮助企业基于互联网组建相对封闭的虚拟企业专网,只有合法的企业用户能够加入到该虚拟企业专网,访问关联的信息数据资源。
可是当企业的IT管理人员于使用IPVPN技术组建虚拟企业专网时,往往发现IPVPN组网技术壹旦碰到防火墙、私有地址、不同地点跨运营商网络接入问题和异地维护VPN网络设备问题时,IPVPN组网技术就变得异常复杂和烦琐。
IPVPN组网的困难阻碍了众多的企业对IPVPN组网技术的使用。
以下我们不妨先探讨壹下几种传统的IPVPN技术:
二、VPN技术介绍
VPN(虚拟专用网,VirtualPrivateNetwork)指的是依靠ISP和其它NSP(网络服务提供商),于公用网络中建立专用的数据通信网络的技术。
目前,电信运营商业务和接入技术的发展,使得企业能够选择多种技术来建立自己的广域网络。
VPN的实现方式有多种,能够根据不同的着重点来区分VPN。
1)按VPN的部署模式分类
VPN的部署模式从本质上描述了VPN的通道是如何建立和终止的,壹般有3种VPN部署模式:
●端到端(End-to-End)模式;
●供应商—企业(Provider-Enterprise)模式;
●供应商内联(Intra-Provider)模式。
2)按VPN的服务类型分类
根据服务类型,VPN业务大致可分为3类:
IntranetVPN、AccessVPN和ExtranetVPN。
●IntranetVPN:
即企业的总部和分支机构间通过公网构筑的虚拟网。
●AccessVPN:
又称为拨号VPN(即VPDN),是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。
●ExtranetVPN:
即企业间发生收购、兼且或企业间建立战略联盟后,不同企业网通过公网来构筑的虚拟网。
3)按VPN技术分类
这里我们将VPN技术分为俩大类:
OverlayVPN和MPLSVPN,仍有壹类是软件VPN也就是易联网公司为代表的软件VPN解决方案。
●OverlayVPN:
OverlayVPN要求于帧中继、ATM或IP网络上建立隧道或加密,这种方案是建立于点到点连接的基础上的,需要对每条隧道或VC进行单独的配置。
●MPLSVPN:
基于MPLS的网络能够将数据流分开,无需建立隧道或加密即可提供保密性,基于MPLS的网络以网络到网络的方式提供保密性,如同帧中继以连接到连接的方式提供保密性壹样。
●软件VPN:
易联网公司易联网软件VPN服务是壹种基于DNR(DomainNameRouting:
域名路由)专利技术的VPN解决方案,通过这种技术,能够使IPSec数据包直接穿过地址翻译设备(NAT:
NetworkAddressTranslating),从而实现真正义意上的端到端双向数据的安全。
通过这种技术,所有的IP数据业务均能够得到支持,不仅包括传统意义上的FTP、Telnet和E-mail等业务能够得到支持,而且包括各种基于TCP/IP协议开发的应用软件如:
OA、ERP和财务等也能够得到支持。
易联网软件VPN服务屏蔽底层网络结构互联互通的复杂性问题,于互联网上为用户提供壹个安全的虚拟局域网访问环境,这样带来的壹个好处是VPN解决方案本身的灵活性。
于这种实现方式中,对用户的物理接入方式没有任何的要求,也不管易联网软件VPN服务是否跨越了多个服务商,均能够灵活地实现三种不同服务类型的IPVPN业务。
OverlayVPN主要是指传统的以IPSec为基础的VPN的解决方案,这种方式的VPN适合于用户自行建设,而不是由电信运营商来提供的VPN服务。
于这里,有必要把传统的IPSecVPN的实现方式说明壹下。
传统的IPSecVPN的实现方式是指那些采用VPN(IPSec)网关的实现方式,如下图所示:
于这种实现方式中,不同的VPN网关之间,或者是于个人用户和VPN网关之间建立壹条IPSec隧道,互相之间建立信任关系。
不同的私有网络或者是个人用户和私有网络之间通过该IPSec隧道来交换数据,从而实现VPN。
传统的IPSecVPN的解决方案均有壹些致命的问题导致了这些解决方案只能于壹些中小型的企业简单的点到点VPN应用中被采用,而不可能于互联网中得到大规模的应用。
这些致命的问题已经是广为人知了:
●用户端设备:
由于企业的IPSec网关需要来终结所有的IPSec隧道,需要大量的CPU资源来进行加解密的运算,这对网关的性能提出了非常高的要求。
由于IPsec必然要于VPN网关上被终止,因此这意味着每壹个用户必须有壹个独立的网关,每个用户必须自行维护其IPVPN网关设备。
●难于管理:
IPSec动态密钥的管理非常复杂,当网络的规模大到壹定程度时,例如当需要于数十个节点间建立虚拟专网时,密钥由企业IT管理员手工管理已经几乎不可能做到。
●安全问题:
由于IPSec隧道于网关上被终结,数据于网关内部传输时得不到安全保护。
当下VPN产品不能通过VPN网关实现用户对用户的IPsec。
于企业的内部网络中客户和网关之间有安全漏洞,而这于电子商务中尤其严重。
●性能和扩展性:
当下的VPN网关存于着性能上的瓶颈,而且难于扩展。
由于所有的IPsec于网关上被终止,所有的IPsec的加密和解密计算均集中于网关上,这导致了网关成为最大的瓶颈,不可能实现有服务质量保证的业务。
同时这种VPN网络中,任何壹个VPN节点的配置改动,均需要于其它相应的VPN节点设备上进行配置修改。
●不是真正意义上的移动VPN。
传统VPN解决方案且不支持真正意义上的双向移动漫游用户,传统VPN解决方案仅能满足分散的移动终端访问中心节点,难以解决中心节点反向访问分散的移动终端。
而双向通信对于很多应用的解决方案,如IP电话,网络会议等是必须的。
采用MPLS来实现VPN的办法不外乎有俩种,壹种是采用Juniper的CCC(CircuitCrossConnect)或者是Cisco的VLL(VirtualLeasedLine)来实现。
如下图所示:
无论是Cisco的VLL仍是Juniper的CCC,均是采用MPLS流量工程的手段,模拟出类似于ATMPVC的具有带宽保证的逻辑虚电路。
说到底,这是壹种位于网络层之下的解决方案。
这壹种解决方案能够来提供类似于数据专线或者是类似于ATM/FR逻辑虚电路的业务,且且能够模拟出于IP网络上开展的传统电信业务。
这种实现方式的缺点是:
●方案本身不提供任何数据安全的手段,需要依靠网络层之上的手段来实现。
例如,能够于网络中相应地采用IPSec来保证设备和用户数据的安全。
●系统本身的管理复杂性较大,当用户需要于网络中建立壹条逻辑虚电路时,对这壹条虚电路所经过的每壹个路由器均要进行配置,且且配置的难度较大。
●所能支持的用户端的联接方式有限,壹般只能支持串行方式的联接。
MPLS的第二种VPN的实现是采用BGP/MPLS(RFC2547Bis)的方式。
这种实现方式如下图所示:
这种实现方式是于壹个物理路由器内产生多个虚拟路由进程,且且利用MBGP(Multi-protocolBGP)于不同路由器的不同路由进程之间传递路由信息,从而产生多个虚拟路由域,即所谓的VPN。
这壹种VPN的实现方式相比较于上壹种实现方式而言,管理的复杂性大大降低,网络管理员只需要手动地配置PE路由器和CE路由器,以及相应的路由协议,而PE路由器和其它PE路由器之间的路由交换依靠动态路由协议自动地完成。
而且MPLS的虚电路也能够依靠动态的协议完成,从而降低管理的成本。
再有,和上壹种实现方式壹样,能够实现有业务质量保证的VPN业务,这是其它的解决方案所不能实现的部分。
可是,这种实现方式且没有解决上壹种实现方式中的其他问题。
另外,这俩种MPLS的VPN解决方案仍有壹些共同的问题:
壹是俩者均是针对于网络用户或者是专线接入用户的解决方案,而对于拨号用户或者是个人用户而言,这俩种解决方案且不能覆盖。
如果服务提供商需要壹个针对于个人用户的解决方案,这俩种方案显然是不合适的。
另外,MPLS的VPN实现方式对网络结构的要求较高,任何壹个客户的接入点发生改变的话,均可能带来很大的管理和重新配置的问题。
再有,如果用户有接入互联网的要求的话,MPLSVPN需要于接入点增加另外壹条物理链路或者是另外壹条逻辑链路,这是由于MPLS的技术实现方式造成的。
另外MPLS于提供跨地域特别是全球VPN业务时,不得不面临运营商之间相互配合的问题,即MPLSVPN跨IP自治域的互连互通的问题。
虽然从技术的角度来说,MPLSVPN跨IP自治域的互连互通不是问题,但由于人为配合等工程实施因素,往往造成MPLSVPN施工周期较长,影响了MPLSVPN业务的迅速推广。
近几年来,VPN的解决方案似乎壹直是人们争论的热点,究竟是采用MPLS的VPN解决方案好仍是采用IPSec的解决方案好。
VPN解决方案提供商也于向用户推销不同的解决方案,MPLSVPN方案提供商攻击IPSec的解决方案不具有扩展性,不适合大型网络的采用;而IPSecVPN的方案提供商也攻击MPLSVPN解决方案安全性不好,管理复杂。
似乎MPLS和IPSec是俩种水火不相容的东西,造成ISP也同时分成俩派,采用MPLSVPN的ISP不会同时采用IPSec,而采用IPSec解决方案的ISP不会再采用MPLS的解决方案。
实际上任何壹种解决方案均有其本身的优点和缺点,任何壹种解决方案均不可能覆盖所有的用户对象,也就是说任何壹种单壹的解决方案本身均不是壹种完美的解决方案。
当某壹种解决方案不能做到“完全覆盖”时,可能会有另外的壹种解决方案能够作为这壹种解决方案的补充。
市场调查资料显示MPLSVPN实际上仅能满足5%左右的高端VPN用户,剩下不到10%的VPN用户会采用自行建设硬件VPN网关(IPSec解决方案之壹)的方式,大量的85%左右的VPN用户且没有找到很理想的IPVPN解决方案。
三、无线局域网WLAN的安全问题
不需要有线的方式就能够完成普通的网络接入,这是部署无线局域网的强大驱动力。
但对于许多企业和人员来说,无线技术于接入的灵活性方面的明显优势被传输过程中没有安全保障带来的安全问题所抵消,尤其是由电信运营商提供的无线局域网接入业务由于考虑到需要向所有公众用户提供服务,为了降低接入的复杂性,因此没有采用数据加密措施,这样用户通过电信运营商提供的无线局域网传输的数据极易被人监听。
UCBerkley的研究人员发表的壹篇文章表明:
“于802.11安全协议(WEP)中的安全漏洞严重破坏了系统的安全要求”,且且802.11无线局域网会带来潜于的安全攻击。
研究员于文章所描述的安全问题能够于WallStreet杂志或其它刊物上找到。
文章主要阐述了电脑黑客通过无线网络监视、攻击802.11网络且造成数据流崩溃的可能性。
由此可见虚拟专用网(IPVPN)则是保护无线局域网后门安全的关键。
IPVPN具有比无线局域网所采用的WEP协议更高层的网络安全性(第三层),能够支持用户和网络间端到端的安全隧道连接。
目前有俩个被选方案来解决这个问题:
1.使用其它的加密或完整性算法,例如于上层使用IPSec是壹个好的选择,它提供IP层的加密和完整性检查,这是必须的,因为大多数的无线网络均承载IP包。
2.更好的方案是端到端的加密方案,这能够彻底的提高无线网络的安全水平。
大家均知道IPSec是壹个非常完美和重要的IP网络安全解决方案。
它能够同时提供数据的加密和完整性检查。
IPSec能够充分利用对称/非对称加密算法的各自优点,来保证数据传输的保密性。
IPSec仍能够提供完整性检查和认证,以拒绝数据包被修改和插入非法数据包。
IPSec提供于WEP上层应用数据的安全,能够保证数据传输的保密,即便是偷听者知道了802.11WEP协议中的所有密钥也无法修改数据包。
IPSec如果能够提供端到端的安全的话,将使最挑剔无线局域网的研究员和IT经理人对他们的无线网络均感到安全,如果能够使IPSec隧道从壹个客户端穿越整个网络(甚至通过多个NAT)到达另壹个客户端IPSec隧道的终点,这样就能够拒绝网络中的任何偷听者和入侵者。
易联网软件VPN服务能够很好地解决电信运营商提供的无线局域网的安全漏洞,提高移动无线接入网络的安全性。
易联网软件VPN服务和无线局域网集成于壹起,企业用户于使用电信运营商提供的无线局域网实现移动办公时,能够获得额外的安全保障,且实现真正放心的端到端的无线通讯。
易联网软件VPN服务
易联网公司敏锐地洞察到市场上的需求——帮助外出办事员工克服联系上的不便利性,实现任意分支机构间的双向信息交流,帮助企业的IT管理人员摆脱IPVPN组网困难。
易联网公司适时地推出了易联网软件VPN服务,来满足不同用户对IPVPN的要求。
通过于互联网上建立壹套易联网软件VPN服务管理平台,各企业通过租用该平台上的易联网软件VPN服务,就能够快速、便捷地完成各自企业虚拟专网的建设。
各企业的IT管理人员安全登录到易联网软件VPN服务管理平台上,通过Web管理界面配置各自企业虚拟专网中每个员工的用户账号信息,于解决各分支机构和外出办事员工的IP接入问题(租用运营商的宽带xDSL接入服务)后,企业的员工仅需简单地于其能够上网的各电脑终端上安装易联网软件VPN客户端软件且激活用户账号,就能够加入到各自的虚拟企业专网中,就仿佛是回到企业内部局域网壹样,安全、轻松地访问其企业内部网络中信息数据资源。
二、易联网软件VPN服务组建虚拟企业专网的步骤
各企业申请租用壹定数量的易联网软件VPN服务用户账号(如:
为每个外出办事的员工租用壹个用户账号,为每个分支机构租用壹个到多个用户账号,以月租或年费的收费方式收取每壹个易联网软件VPN服务用户账号的费用)后,各企业的IT管理人员就能够获得该企业易联网软件VPN服务的客户管理员账号,使用该客户管理员账号管理其租用来的易联网软件VPN服务用户账号。
各企业的IT管理人员远程安全登录到易联网软件VPN服务管理平台上,通过Web管理界面配置用户账号信息(如每个用户账号的用户名/密码、访问权限等)。
企业的分支机构通过申请运营商的宽带ADSL接入线路接入互联网;少量无法申请到宽带ADSL接入线路的分支机构节点,仅需要能够接入访问互联网(如:
楼宇宽带LAN接入)就能够了;外出办事的员工能够灵活采用各种方便的方式(如于家时采用宽带ADSL接入和小区宽带LAN等,外出时采用无线局域网和电话拨号等)接入互联网;总部中心节点壹般建议采用局域网专线或ADSL方式接入互联网(推荐采用局域网专线接入方式,能够有效避免总部节点双向数据传输时网络带宽瓶颈问题)。
于解决了各分支机构和外出办事员工的IP接入问题后,各员工仅需于其能够上网的电脑终端上安装易联网软件VPN客户端软件,激活IT管理人员为其分配的速易达宽带加密直通用户账号,就能够加入到其虚拟企业专网中。
每个员工均能够从易联网软件VPN客户端软件于线用户列表窗口中见到所有于线的其他员工和各数据信息服务器。
加入后的易联网软件VPN客户端软件界面如下图示:
员工加入虚拟企业专网后,就仿佛回到办公室,象使用企业内部局域网壹样,使用易联网软件VPN客户端软件中于线用户的用户名,启动其电脑终端上相应的应用软件客户端软件(用户能够自行启动也能够由速易达客户端软件自动启动应用软件客户端软件),访问关联的数据信息服务器(如上图中的ipd-email-01和ipd-email-02所代表的电子邮件服务器、ipd-file-01所代表的文件服务器等)、也能够和其他员工进行文件和数据信息的相互访问或实当下家办公(如上图中的jeff代表员工jeff于单位的电脑,jeff-home代表员工jeff于家中的电脑)。
所有的员工于虚拟企业专网中相互访问时,均无需要关心网络连接过程中任何复杂的网络配置和安全加密通讯等技术问题,所有的使用方式均和于企业内部局域网中壹样。
易联网软件VPN客户端软件不仅给使用者提供了类似企业内部局域网壹样的网络使用环境,而且易联网软件VPN客户端软件仍集成了于VPN网络访问中常用的应用软件,如远程桌面共享、文件共享、即时消息和微软的NetMeeting语音视频通讯软件,便于员工于虚拟企业专网中使用。
远程桌面共享应用软件便于企业的IT管理人员远程维护各分支机构员工的电脑终端,如排除其他应用软件故障、安装新的应用软件,进行应用或系统软件的升级等操作;于家办公的员工也能够通过家里的电脑终端使用远程桌面共享应用软件远程登录到其公司内部网中的电脑终端上,就仿佛坐于公司电脑终端前面壹样,实当下家设计开发工作或访问数据信息;文件共享应用软件方便员工间实现文件数据信息共享;即时消息应用软件方便员工间实现点到点的文字信息即时通讯交流;微软的NetMeeting语音视频通讯软件方便员工间实现语音视频通讯交流。
三、总结
易联网软件VPN服务简化了企业信息化建设步骤,同时全软件租用服务模式大大节省了企业的网络硬件设备投资和维护费用。
易联网软件VPN服务的安全性和灵活性主要体当下以下几个方面:
杜绝非法访问
易联网软件VPN客户端软件提供双因子用户身份验证,即员工必须同时通过用户名/密码和内置的数字身份证书的验证后,才能加入虚拟企业专网中。
所有员工的访问均要经过认证和授权,充分保证用户身份的合法性,只有合法的用户才能访问指定的服务器,进行指定的授权的网络访问操作。
防止信息泄漏
所有的虚拟企业专网中的员工终端和服务器之间实现高强度的端到端加密信息传输,因此虽然信息传输是通过公网进行的,可是其安全性是能够得到保证的,不仅保证了员工于公网上传输数据的安全性,而且仍保证了于关联的企业内部网中传输数据的安全性。
第三方即使能够得到传输数据,可是却无法得到隐藏到其中的明文信息。
因此敏感的信息如业务帐号等被保护起来,杜绝了有效信息的泄露。
保证企业网络系统的可用性
易联网软件VPN服务保证了虚拟企业专网和互联网的相互隔离,企业的服务器无须暴露于公网上,甚至没有任何服务的端口暴露于公网上,如果请求连接的用户没有合法身份,则将拒绝其连接请求,从而限制了非法用户(如:
黑客等)对企业服务器的攻击。
用户接入的灵活性、无须改动物理网络
针对各种接入手段(如宽带ADSL接入、LAN局域网接入和拨号接入等),采用灵活的网络覆盖技术,安全透明穿透多层防火墙/NAT,无须改动企业现有的IP网络架构和网络配置的修改。
用户使用界面的友好性——类似局域网的访问习惯
以域名为基础的技术,每个员工均能够采用用户账号名进行相互的访问,无须关心其底层的IP地址规划和网络连接的复杂性,给用户呈现出壹个其熟悉的企业内部局域网的访问环境,适合于商务人员和管理人员使用。
易联网软件VPN客户端软件集成的常用应用软件便于使用者于虚拟企业专网中相互访问。
使用者仅需于于线用户列表中用鼠标选中需要通讯的对端用户名,点击相应的应用软件图标,就能够自动启动该应用软件和选中的用户进行相互通讯或访问数据信息,无须使用者手工输入对端的用户名。
纯软件的IPVPN组网方案、无须增加新的网络设备
企业仅需简单地于其能够上网的各电脑终端上安装易联网软件VPN客户端软件且激活用户账号,就能够组建虚拟企业专网,安全、轻松地访问其企业内部网络中信息数据资源。
虚拟企业专网的建设甚至能够于几分钟内完成,而且无需采购专用的VPN网络硬件设备,企业能够根据企业的发展规模动态按需增加所租用的用户账号数量,保护了企业的网络投资。