無線接入為企業(yè)搭建VPN

　　寬帶無線接入的最大特點是組網(wǎng)迅速、靈活，能以最快的速度為用戶提供服務(wù)。它可提供諸如無線Internet接入、無線VPN、IP電話、VOD視頻點播、局域網(wǎng)互聯(lián)等多種業(yè)務(wù)種類。其中，企業(yè)用戶更關(guān)心的是如何利用寬帶無線接入組建自己的VPN。



　　為適應(yīng)我國電信市場發(fā)展的需要，鼓勵競爭，優(yōu)化配置無線電頻率資源。2001年4月，信息產(chǎn)業(yè)部決定將3.5GHz頻段中2×30MHz頻帶通過招標方式，在南京、廈門、青島、武漢、重慶等5個城市行政區(qū)域內(nèi)，第一批進行地面固定無線接入系統(tǒng)的頻率分配。這是我國首次以招標方式分配頻率，它極大地推進了寬帶無線接入的發(fā)展。



　　業(yè)務(wù)種類多樣



　　寬帶無線接入采用點對多點微波技術(shù)，應(yīng)用高效率的調(diào)制，把數(shù)據(jù)以無線的形式傳送給用戶。它的最大特點是組網(wǎng)迅速、靈活，能以最快的速度為用戶提供服務(wù)，主要服務(wù)對象是中小型企業(yè)、小區(qū)、寫字樓、公眾機關(guān)、教育和科研單位。



　　寬帶無線接入的主要特點包括：



　　·傳輸性能好、技術(shù)先進、覆蓋范圍廣；



　　·成本更低、靈活性高；



　　·采用高效調(diào)制方式，具有更高的頻譜利用率；



　　·提供服務(wù)速度快捷，運營維護成本低；



　　·采用動態(tài)帶寬分配技術(shù)，靈活分配帶寬；



　　·安全、可靠、穩(wěn)定，提供QoS保證。



　　寬帶無線接入可提供的業(yè)務(wù)種類包括：無線Internet接入業(yè)務(wù)、無線VPN業(yè)務(wù)、IP電話業(yè)務(wù)、VOD視頻點播業(yè)務(wù)、局域網(wǎng)互聯(lián)業(yè)務(wù)以及其他基于無線接入的增值服務(wù)。



　　發(fā)展思路明確



　　寬帶無線接入應(yīng)有明確的市場定位：



　　定位一：寬帶無線接入技術(shù)更適合特定的用戶服務(wù)。它可以比較成功地在校園、多層住宅和人口密度大的都市等特定區(qū)域內(nèi)得到較大規(guī)模的應(yīng)用。



　　定位二：針對企業(yè)用戶和集團用戶。目前，一些企業(yè)特別是許多中小企業(yè)沒有實現(xiàn)光纖接入，但其對高速數(shù)據(jù)業(yè)務(wù)具有較大的需求，為這些用戶提供寬帶無線接入，其高速率和投資的相對低廉具有很大吸引力。



　　定位三：面向?qū)拵��?shù)據(jù)綜合業(yè)務(wù)。由于寬帶無線接入能提供較高的帶寬和綜合的業(yè)務(wù)能力，因此，其在提供數(shù)據(jù)業(yè)務(wù)方面具有較大的優(yōu)勢，寬帶數(shù)據(jù)綜合應(yīng)用應(yīng)是其主攻方向。由于多媒體業(yè)務(wù)在通信領(lǐng)域的廣泛開展，為寬帶無線接入提供了大舞臺，寬帶無線接入將扮演越來越突出的角色。而無線領(lǐng)域的寬帶革命，也將給無線通信業(yè)務(wù)的拓寬帶來巨大的推動力。



　　隨著我國電信事業(yè)的改革開放，整個電信運營業(yè)的趨勢是運營主體向多元化方向發(fā)展，市場競爭的焦點從長途骨干轉(zhuǎn)為本地接入，市場競爭要求接入手段多元化，寬帶無線接入憑借其組網(wǎng)快速靈活、運營維護方便及良好的成本競爭力，正迅速地成為市場的熱點。



　　用寬帶無線接入組建VPN



　　對于企業(yè)用戶來說，可能更關(guān)心利用寬帶無線接入組建自己的VPN。安全性和實用性對用戶來說是至關(guān)重要的。隨著科技的發(fā)展，商務(wù)活動與互聯(lián)網(wǎng)的關(guān)系日趨緊密，越來越多的商務(wù)活動需要以高質(zhì)量、高速度的數(shù)據(jù)傳輸為技術(shù)依托。通過科學(xué)的方案設(shè)計、縝密的實地勘察、嚴格的施工與安裝程序，無線接入技術(shù)與光纖技術(shù)可以竟相媲美。使用無線接入技術(shù)：用戶將享受光纖般的服務(wù)，但價格可大大降低，得到服務(wù)的過程是非�？焖俚摹Ｒ虼�，使用無線接入建立自己的VPN是企業(yè)用戶的明智選擇。無線VPN就是使用無線接入技術(shù)接入到共網(wǎng)上的VPN。



　　隨著交流的日益增多，企業(yè)的不斷發(fā)展，企業(yè)的分支機構(gòu)也分布到全國及世界各地。為了加強企業(yè)的內(nèi)部聯(lián)系，越來越多的企業(yè)認識到建立內(nèi)部網(wǎng)的重要性，開始組建企業(yè)內(nèi)部網(wǎng)，把各分支機構(gòu)及移動辦公用戶相連。目前已經(jīng)建成的企業(yè)內(nèi)部網(wǎng)，大多是靠租借電信部門的數(shù)據(jù)專線來組建的。從網(wǎng)絡(luò)結(jié)構(gòu)上看，一般是星型結(jié)構(gòu)。這種接入方式極其昂貴，讓大多數(shù)用戶望而卻步。而出差在外的人員如果需要與總部聯(lián)系，往往需要通過撥號上網(wǎng)撥入企業(yè)內(nèi)部網(wǎng)，這樣又無法保證其安全性和可靠性。因此，它有許多缺點：網(wǎng)絡(luò)運行維護費用高、可擴展性差、可靠性差。Internet的發(fā)展推動了基于公網(wǎng)的虛擬專用網(wǎng)的發(fā)展。虛擬專用網(wǎng)就是在Internet等共享式公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上提供安全可靠的連接，由于這些基礎(chǔ)是共享式的，因此連接的成本低于現(xiàn)有的專用網(wǎng)絡(luò)。用戶使用虛擬專用網(wǎng)連接遠程網(wǎng)站，整個廣域網(wǎng)絡(luò)的成本可以節(jié)省20%－47%以上。但如何保證企業(yè)內(nèi)部的數(shù)據(jù)通過公共網(wǎng)絡(luò)傳輸?shù)陌踩�性和保密性，以及如何管理企業(yè)網(wǎng)在公共網(wǎng)上的不同節(jié)點，成為關(guān)注的問題。虛擬專用網(wǎng)技術(shù)采用專用的網(wǎng)絡(luò)加密和通信協(xié)議，可以使企業(yè)在公共網(wǎng)絡(luò)上建立虛擬的加密信道，組建安全、低成本的企業(yè)內(nèi)部網(wǎng)。



　　如何建設(shè)VPN



　　如果企業(yè)自己組建VPN，首先會造成資金的浪費，VPN設(shè)備需要進行復(fù)雜的加密處理，需要功能強大的處理器，才能獲得較高的性能，因此VPN設(shè)備大都比較昂貴。其次，需要對VPN進行復(fù)雜的管理，企業(yè)需要人員對VPN設(shè)備在各地進行安裝、調(diào)試和維護。



　　因此，大多數(shù)企業(yè)希望把VPN業(yè)務(wù)外包給能夠提供可管理業(yè)務(wù)的運營商。所謂可管理的業(yè)務(wù)是指，不僅運營商能夠?qū)�業(yè)務(wù)進行管理，客戶本身也能對業(yè)務(wù)進行監(jiān)視和進行一定程度的控制。企業(yè)希望不僅能夠?qū)ψ约旱腣PN進行全視角的監(jiān)視，察看系統(tǒng)的配置和性能統(tǒng)計，而且能夠?qū)ο到y(tǒng)進行配置更新和改變。



　　使用哪種協(xié)議



　　VPN使用的協(xié)議可以分為兩類：隧道協(xié)議和其他相關(guān)協(xié)議，使用不同的隧道協(xié)議，可以組建不同級別的VPN。



　　二層和三層隧道協(xié)議的區(qū)別主要在于用戶數(shù)據(jù)在網(wǎng)絡(luò)協(xié)議棧的第幾層被封裝。第三層隧道與第二層隧道相比，優(yōu)點在于它的安全性、可擴展性及可靠性。從安全的角度來看，由于第二層隧道一般終止在用戶網(wǎng)設(shè)備上，會對用戶網(wǎng)的安全及防火墻技術(shù)提出較嚴峻的挑戰(zhàn)。而第三層隧道一般終止在ISP的網(wǎng)關(guān)上，不會對用戶網(wǎng)的安全構(gòu)成威脅。從可擴展性角度看，第二層隧道將整個PPP幀封裝在報文內(nèi)，可能會產(chǎn)生傳輸效率問題。由于用戶網(wǎng)內(nèi)的網(wǎng)關(guān)要保存大量的PPP對話狀態(tài)及信息，這會對系統(tǒng)負荷產(chǎn)生較大的影響，當然也會影響系統(tǒng)的擴展性。第三層隧道技術(shù)對于公司網(wǎng)絡(luò)還有一些其他優(yōu)點。網(wǎng)絡(luò)管理者采用第三層隧道技術(shù)時，不必在他們的遠程節(jié)點或客戶端設(shè)備上安裝特殊軟件。因為PPP和隧道終點由ISP的設(shè)備生成，客戶端設(shè)備不用負擔這些功能，而僅作為一臺路由器即可。第三層隧道技術(shù)可采用任意廠家的客戶端設(shè)備來實現(xiàn)，公司網(wǎng)絡(luò)不需要IP地址，也具有安全性。服務(wù)提供商網(wǎng)絡(luò)能夠隱藏私有網(wǎng)絡(luò)和遠端節(jié)點地址。



　　一般情況下，第二層隧道協(xié)議和第三層隧道協(xié)議分別使用，但合理地運用兩層協(xié)議，將具有更好的安全性。



　　組建何種類型



　　根據(jù)VPN設(shè)備在網(wǎng)絡(luò)中安裝位置的不同，可分為兩種類型的建設(shè)方式：基于客戶端設(shè)備的VPN和基于網(wǎng)絡(luò)的VPN。



　　早期的VPN是通過在客戶端，放置在多廠家生產(chǎn)的VPN硬件或軟件來實現(xiàn)的，稱為基于客戶端設(shè)備的VPN。目前市場上的軟硬件設(shè)備，有的是專為基于客戶端設(shè)備的VPN而設(shè)計，有的則是在原有設(shè)備（路由器、防火墻）的基礎(chǔ)上加以改進，使之具備VPN功能。由于客戶端設(shè)備來自不同的廠家，彼此缺少互操作性測試，隨著時間的推移和新功能的增加，基于客戶端設(shè)備的VPN將變得難以管理和提供業(yè)務(wù)。每種VPN設(shè)備具有不同的參數(shù)配置要求，運營商不可能在網(wǎng)管中心進行統(tǒng)一大批量的配置。



　　基于客戶端設(shè)備的VPN由于需要在每個客戶端放置VPN設(shè)備，造成客戶的初期投資較高，運營商需要到每一個客戶處進行現(xiàn)場安裝、測試、維護。運營商不僅需要在POP點安裝線路復(fù)用設(shè)備和高速接入路由器，還需要投入大量資金購置客戶端設(shè)備，繳納VPN軟件的使用費。通常這些費用將轉(zhuǎn)移到客戶的身上，使客戶難以承受，而影響VPN業(yè)務(wù)的推廣�；�于客戶端設(shè)備的VPN方案也需客戶進行另外的投資，為客戶端設(shè)備提供正常的工作環(huán)境，如增加空調(diào)設(shè)備。



　　基于客戶端設(shè)備的VPN存在以下的缺點和限制：



　　初期投資費用高——需要在每個客戶端安裝VPN設(shè)備，需要進行安裝調(diào)試，系統(tǒng)運行中故障排除更為復(fù)雜，運營成本增加。



　　可靠性差——當新的功能增加時，將會造成網(wǎng)絡(luò)業(yè)務(wù)中斷，不具備運營級的質(zhì)量。



　　可管理性差——系統(tǒng)難以進行集中統(tǒng)一管理，不能獲得系統(tǒng)的整體視圖，不能準確地進行系統(tǒng)監(jiān)控和業(yè)務(wù)計費。由于這些設(shè)備彼此獨立、缺乏協(xié)作，運營商很難提供高附加值的業(yè)務(wù)。



　　可擴展性差——系統(tǒng)很難增加新的功能。每項新功能的增加，需要全部客戶端設(shè)備的功能升級，費用高，管理和操作困難。



　　基于網(wǎng)絡(luò)的VPN能夠讓運營商通過POP點運營單一的VPN平臺設(shè)備，有效創(chuàng)建、布置、管理VPN業(yè)務(wù)，同時支持幾千個用戶，而不需要在客戶端安裝VPN設(shè)備，VPN用戶只需通過普通的路由器、LAN交換機接入運營商的網(wǎng)絡(luò)中，由運營商網(wǎng)絡(luò)中的VPN設(shè)備提供所需功能。



　　基于網(wǎng)絡(luò)的VPN把VPN的功能和應(yīng)用等智能地從企業(yè)客戶端移到運營商網(wǎng)絡(luò)中的VPN設(shè)備上來實現(xiàn)，不需要在客戶端布置VPN的硬件和軟件，且完全在運營商的控制之下。



　　由于基于網(wǎng)絡(luò)的VPN平臺和運營商的接入和核心網(wǎng)絡(luò)設(shè)備可以實現(xiàn)無縫集成，此時，運營商提供的VPN將能保證端到端的跨越整個網(wǎng)絡(luò)的QoS和SLA。通過客戶管理系統(tǒng)，客戶可以觀察到其VPN的運行情況、收集VPN性能和SLA進行監(jiān)視和對比，對其企業(yè)網(wǎng)絡(luò)進行控制�；�于網(wǎng)絡(luò)的VPN支持IPSec、L2TP、PPTP、代理防火墻、密鑰管理、入侵檢測和MPLS等。這些特性的支持，將為運營商提供各種復(fù)雜的VPN應(yīng)用。



　　基于網(wǎng)絡(luò)的VPN具有以下優(yōu)點：



　　可靠性高——為不間斷運行的高性能業(yè)務(wù)提供平臺，能夠處理復(fù)雜的VPN業(yè)務(wù)，具有運營級質(zhì)量。



　　可管理性強——通過網(wǎng)管中心的集中統(tǒng)一管理，運營商能夠快速方便地布置、提供、管理包括VPN在內(nèi)的各種可管理的業(yè)務(wù)。通過CNM，企業(yè)用戶能夠?qū)ψ约旱腣PN網(wǎng)絡(luò)進行監(jiān)視和控制。



　　可擴展性強——運營商不需對每個客戶的客戶端設(shè)備進行安裝調(diào)試，當新的功能需要增加時，只需對位于POP點的VPN業(yè)務(wù)設(shè)備進行升級。



　　總體成本低——由于不需要在客戶端安裝VPN設(shè)備，就無需進行維護，簡化了系統(tǒng)的運營。同時，單一VPN系統(tǒng)能夠支持多達幾千個用戶，支持各種可管理的IP業(yè)務(wù)。



　　使用基于網(wǎng)絡(luò)的VPN，企業(yè)用戶能夠?qū)ψ约旱腣PN進行性能監(jiān)測和控制，能夠獲得不間斷的高性能服務(wù)，對于企業(yè)那些關(guān)鍵性的業(yè)務(wù)運行至關(guān)重要。用戶也不需要對客戶端設(shè)備進行費時復(fù)雜的維護。



　　使用何種技術(shù)



　　利用Internet作為計算機通信的公網(wǎng)，建立基于IP的虛擬專用網(wǎng)，即IP VPN，在技術(shù)和經(jīng)濟上優(yōu)點很多，對推動企業(yè)網(wǎng)絡(luò)的應(yīng)用和電子商務(wù)的發(fā)展有重大的價值。



　　虛擬路由器(VR)是通過軟件實現(xiàn)的模擬物理路由器。VR有獨立的IP路由表和轉(zhuǎn)發(fā)表，并且各VR相互獨立。這意味著VPN的地址空間可以相同，但同一VPN內(nèi)的地址必須惟一�；�于VR的IP VPN可以提供基于每VPN的路由、轉(zhuǎn)發(fā)、QoS和業(yè)務(wù)管理能力�；�于概念構(gòu)建的VPN和基于物理路由器的VPN有完全一樣的機制，并且繼承了現(xiàn)有的配置、實施、運行、故障恢復(fù)、監(jiān)測和計費的機制和工具。



　　使用VR實現(xiàn)VPN有兩種方案：



　　通過第二層VR到VR的連接，VR可以在FR或ATM連接或第二層傳輸技術(shù)之上實現(xiàn)。這種類型VR的實施允許直接在每個VPN連接上實現(xiàn)QoS。第二層連接可以靜態(tài)配置或動態(tài)建立。



　　多個VR聚合到一個VR上，把多個VR連接到一個稱為骨干VR的VR上，然后再連接到骨干網(wǎng)。骨干VR在功能上和其他VR沒有什么不同，它僅僅是一個被特殊配置和應(yīng)用的VR，并且骨干VR不需要了解運行在每一專用VR上的路由。骨干VR可以在ATM、FR、IP或MPLS網(wǎng)絡(luò)上實現(xiàn)。







摘自《http://www.goodstart.com.cn/index.asp》