随着计算机网络的不断普及,以多媒体通信为标志的网络环境已将成为我们赖以工作、生活甚至生存的基本“生态环境”。当前,企业客户不仅有上网及专线互连的传统需求,通过技术手段形成虚拟专用网,达到安全网络互通的需求正在迅速增长。
上海市电信有限公司信息网络部作为上海电信归口管理综合数据产品的部门,利用电信强大的网络资源,除了为大客户提供所需的高端数据产品外,还致力于为企业提供各种 VPN解决方案。本方案集根据现有VPN各种技术手段的运用,形成VPN的“产品线”,以提供用户不同安全层次、不同应用要求的“虚拟”的专网。
一、VPN概述
VPN, 即Virtual Private Network虚拟私用网,是利用Internet来传输私有信息而形成的逻辑网络,它可为企业级用户提供比专线价格低廉和高安全性的资源共享和互连的服务,具有同私有网络相同的安全性、优先级特性、易管理性和稳定性,可以满足客户对企业内部局域网与Remote Office、移动用户、远程用户间无缝连接的要求,又可将网络连接扩展到客户、供货商、合作者和关键用户以形成Extranet来降低商业运作开支和提升服务质量(包括速度、简便性和保密性上的提升)。
二、企业 VPN需求与解决方案例
企业内部组织地理上分布的而需要内部网络互联,或者客户对企业内部局域网与 Remote Office、移动用户、远程用户有无缝连接的要求,甚至有将网络连接扩展到客户、供货商、合作者和关键用户以形成Extranet的需求,而同时对安全性有一定要求,对通信费用的承受能力或意愿较低者,偏好于VPN。
案例一:某中型企业的邮件服务器、文件服务器、认证服务器等放置在总部,分部需与总部通信。该企业速率要求不高。建议用户采用 IP-SEC VPN的应用解决方案,其分部通过ADSL拨号、VPN client软件与其总部通过隧道tunnel进行加密通信。
案例二: 某教育 行业类用户,具有若干分支点,分支点之间需要相互通信,对速率要求较高。建议通过光纤、双绞线等多种形式,将其分支机构接入 IP 城域网 ,实现基于 IP-MAN的MPLS VPN组网。
案例三:某企业将下属各个业务点的业务信息通过安全、价格相对低廉的宽带网络传输给总部,可为其采用 VPDN 方案。具体要求为:
可以支持用户为数众多的业务点(包括市区和郊县)
满足客户对带宽的需求
网络与 internet隔离,直接进入内部网络
需要提供备份方案,确保网络的可用性
下属业务点可以自动拨号到总部,尽量减少人工操作
根据上述业务需求 ,采用VPDN解决方案,宽带 adsl 和窄带拨号两种:
案例四:这是一个应用二层 VPN的例子:
某银行用户的分支机构较多,安全性要求很高,各互联点的带宽需求较高,希望以以太口接入方式,减少用户 端设备 投资。方案采用二层交换VPN,为用户提供以太口接入,同时以SDH作为备份。
三、 VPN产品描述
当前电信可提供的VPN产品类:MPLS VPN、二层交换VPN、IPSEC VPN、VPDN。
我们根据以上各业务能实现的功能和质量,为 VPN产品定位如下图所示:
在上图中, DDN/FR专线和MPLS VPN、二层交换 VPN由于其承载网络为专网,用户在使用这些业务时需要通过专用线路(模拟线或光纤)连入专网的相应接入节点,由统一的网络管理中心来负责管理整个网络的运行和维护,因此可以提供较稳定的网络带宽和较高的运行质量。
MPLS VPN和二层VPN的技术手段,相较于专线方式,具有资费较低而质量好的特点。值得强调的是,电信基于庞大的双绞线接入资源,通过新的调制编码技术形成的二层交换VPN产品,具有客户端设备要求简单(以太网口下联,模拟线上联)、带宽高且速率对称的优点(256kbps—10Mbps)。
四、VPN业务比较表
IPSEC VPN MPLS VPN VPDN 二层交换VPN
网络位置 属于端到端服务,不需要骨干网络承担业务相关功能 利用ADSL接入资源 利用MUX接入网资源,属于端到端服务
服务部署 响应市场变化的速度快捷,可以在现有的任何IP网络上部署。用户可在任意位置使用。 需要用户在业务网络覆盖范围内使用。用户位置要求固定 ADSL延伸到的地方 在电话模拟线覆盖、MUX布点3KM域内
服务质量、服务级协约 IPsec或SSL协议不解决底层网络本身的可靠性或者QoS机制等方面的问题,其服务质量主要依赖承载网络 可以提供可伸缩的、稳固的QoS机制和流量工程能力,从而令服务供应商可以提供具有保证SLA的IP服务 稳定性和带宽取决于ADSL 可以提供高带宽、上下行对称,相对稳固和安全的网络质量保证
机密性 通过网络层或应用层上的一整套灵活的加密和隧道机制提供数据私密性 采用专用线路,从链路层保证用户数据安全 通过安全认证和专用服务器建立专用通讯隧道 由于是二层交换机制的VPN网,保证用户数据安全
客户支持 可通过客户端支持; 可采用WEB浏览器 基于网络的服务,不需要客户端承担数据处理 基于网络的服务,功能在骨干端实施 基于网络的服务,不需要客户端承担数据处理
与其他业务兼容性 在使用vpn同时,不影响用户使用基础线路服务 使用专用线路,不共享线路 通过不同的账号拨号,可达到共用线路效 果 使用专用线路,不共享线路
上海市电信有限公司信息网络部作为上海电信归口管理综合数据产品的部门,利用电信强大的网络资源,除了为大客户提供所需的高端数据产品外,还致力于为企业提供各种 VPN解决方案。本方案集根据现有VPN各种技术手段的运用,形成VPN的“产品线”,以提供用户不同安全层次、不同应用要求的“虚拟”的专网。
一、VPN概述
VPN, 即Virtual Private Network虚拟私用网,是利用Internet来传输私有信息而形成的逻辑网络,它可为企业级用户提供比专线价格低廉和高安全性的资源共享和互连的服务,具有同私有网络相同的安全性、优先级特性、易管理性和稳定性,可以满足客户对企业内部局域网与Remote Office、移动用户、远程用户间无缝连接的要求,又可将网络连接扩展到客户、供货商、合作者和关键用户以形成Extranet来降低商业运作开支和提升服务质量(包括速度、简便性和保密性上的提升)。
二、企业 VPN需求与解决方案例
企业内部组织地理上分布的而需要内部网络互联,或者客户对企业内部局域网与 Remote Office、移动用户、远程用户有无缝连接的要求,甚至有将网络连接扩展到客户、供货商、合作者和关键用户以形成Extranet的需求,而同时对安全性有一定要求,对通信费用的承受能力或意愿较低者,偏好于VPN。
案例一:某中型企业的邮件服务器、文件服务器、认证服务器等放置在总部,分部需与总部通信。该企业速率要求不高。建议用户采用 IP-SEC VPN的应用解决方案,其分部通过ADSL拨号、VPN client软件与其总部通过隧道tunnel进行加密通信。
案例二: 某教育 行业类用户,具有若干分支点,分支点之间需要相互通信,对速率要求较高。建议通过光纤、双绞线等多种形式,将其分支机构接入 IP 城域网 ,实现基于 IP-MAN的MPLS VPN组网。
案例三:某企业将下属各个业务点的业务信息通过安全、价格相对低廉的宽带网络传输给总部,可为其采用 VPDN 方案。具体要求为:
可以支持用户为数众多的业务点(包括市区和郊县)
满足客户对带宽的需求
网络与 internet隔离,直接进入内部网络
需要提供备份方案,确保网络的可用性
下属业务点可以自动拨号到总部,尽量减少人工操作
根据上述业务需求 ,采用VPDN解决方案,宽带 adsl 和窄带拨号两种:
案例四:这是一个应用二层 VPN的例子:
某银行用户的分支机构较多,安全性要求很高,各互联点的带宽需求较高,希望以以太口接入方式,减少用户 端设备 投资。方案采用二层交换VPN,为用户提供以太口接入,同时以SDH作为备份。
三、 VPN产品描述
当前电信可提供的VPN产品类:MPLS VPN、二层交换VPN、IPSEC VPN、VPDN。
我们根据以上各业务能实现的功能和质量,为 VPN产品定位如下图所示:
在上图中, DDN/FR专线和MPLS VPN、二层交换 VPN由于其承载网络为专网,用户在使用这些业务时需要通过专用线路(模拟线或光纤)连入专网的相应接入节点,由统一的网络管理中心来负责管理整个网络的运行和维护,因此可以提供较稳定的网络带宽和较高的运行质量。
MPLS VPN和二层VPN的技术手段,相较于专线方式,具有资费较低而质量好的特点。值得强调的是,电信基于庞大的双绞线接入资源,通过新的调制编码技术形成的二层交换VPN产品,具有客户端设备要求简单(以太网口下联,模拟线上联)、带宽高且速率对称的优点(256kbps—10Mbps)。
四、VPN业务比较表
IPSEC VPN MPLS VPN VPDN 二层交换VPN
网络位置 属于端到端服务,不需要骨干网络承担业务相关功能 利用ADSL接入资源 利用MUX接入网资源,属于端到端服务
服务部署 响应市场变化的速度快捷,可以在现有的任何IP网络上部署。用户可在任意位置使用。 需要用户在业务网络覆盖范围内使用。用户位置要求固定 ADSL延伸到的地方 在电话模拟线覆盖、MUX布点3KM域内
服务质量、服务级协约 IPsec或SSL协议不解决底层网络本身的可靠性或者QoS机制等方面的问题,其服务质量主要依赖承载网络 可以提供可伸缩的、稳固的QoS机制和流量工程能力,从而令服务供应商可以提供具有保证SLA的IP服务 稳定性和带宽取决于ADSL 可以提供高带宽、上下行对称,相对稳固和安全的网络质量保证
机密性 通过网络层或应用层上的一整套灵活的加密和隧道机制提供数据私密性 采用专用线路,从链路层保证用户数据安全 通过安全认证和专用服务器建立专用通讯隧道 由于是二层交换机制的VPN网,保证用户数据安全
客户支持 可通过客户端支持; 可采用WEB浏览器 基于网络的服务,不需要客户端承担数据处理 基于网络的服务,功能在骨干端实施 基于网络的服务,不需要客户端承担数据处理
与其他业务兼容性 在使用vpn同时,不影响用户使用基础线路服务 使用专用线路,不共享线路 通过不同的账号拨号,可达到共用线路效 果 使用专用线路,不共享线路