IPSecVPN运营之我见
发布时间:2006-10-14 8:05:27   收集提供:gaoqian


  1 联通运营现状

  中国联通大力发展宽带业务战略目的是满足消费者对数据信息和语音视频的需求。伴随着宽带业务和CDMA1X无线上网产品的大量应用,用户可以在互联网上传输更为广泛的数据。

  但是在宽带接入迅速发展、为用户解决了接入问题的同时,用户数据传输的安全问题也突显出来了,互联网的数据安全传输解决方案能很好的与中国联通的大力发展增值业务的战略相结合,能协助运营商开拓未来增值服务市场。

  2 需求分析

  随着经济的发展,企业规模的不断扩大,企业对信息的获取方式提出了更高的要求。同时企业各部门之间的信息交换方式的网络化,能够减少很多不必要的人工往返和重复工作,可提高各方面的办事效率。

  大量的公司为了适应业务需要,成立了一系列的子公司或分支机构,而快速掌握沟通信息、传输分析数据是公司在日趋激烈的竞争中取胜的关键。

  公司的分支机构间传输数据的方式主要有两种模式:①、专线方式;②、利用Internet传输。

  专线方式的优点是具有较好的安全性,但是价格昂贵,一般的企业难以承受。

  利用Internet传输因为只是简单的使用公用网络,所有信息都是以明文方式传送,虽然节约了成本,但因为公用网络固有的安全原因,存在线路不稳定、传输安全性差、容易受到攻击、感染病毒等隐患。

  在这种情况下,为了拓展宽带业务市场的新业务,采用了IPSec隧道加密技术,在ADSL接入/宽带接入业务的基础上推出了主要针对商用客户的IPSecVPN新业务,为商用客户既提供了高带宽低资费的企业网络联网服务,又提供了在公用网络上拥有私有IPSecVPN网络的数据传输安全保障服务,可以为广大商用客户解决互联网的安全传输问题。

  IPSecVPN技术是最经济简单的互联网安全传输技术,可以满足用户如下的需求:

  1) 安全数据传输

  2) 拓展EIP、ERP系统到全球

  3) 支持安全移动访问

  上述三大客户需求中,“支持安全移动访问”的需求,目前只有IPSecVPN技术可以很好的满足,而使用专线接入,MPLSVPN等技术都无法满足这一要求。

  作为一种新的业务,对于IPSecVPN的部署而言,即可以由企业用户来部署,也可以由运营商来部署。两种方式比较,对于数量众多的中小企业而言,迫切地需要运营商能够提供IPSecVPN业务。

  3 IPSec VPN的用户群

  IPSecVPN的一个突出优点是具有极高的传输安全性,同时经济实用,拥有大量的潜在用户,这些用户的特征是:

  1) 需要借助互联网安全传输数据;

  2) 需要将现有EIP、ERP拓展到全球范围使用;

  3) 需要支持安全移动访问数据。

  具有上述需求的用户是非常多的,例如:

  1) 具有大量分支机构的商业企业;

  2) 大规模连锁经营的超市;

  3) 具有跨地域组织方式的企事业单位;

  4) 金融、证券行业;

  5) 医疗、医药经营连锁等;

  从中国企业名录数据库中可以查到,中国各省市的中小型企业数量如下:



  从上图可以看到,在广东中小企业有48万家之多,这些企业中有20%以上具有2个以上分支机构,这些用户都是潜在的IPSecVPN用户。

  在这20%的用户群中,5%的用户是属于大型用户,15%是数据中小型用户。大型用户的特征是:

  拥有固定的IP地址;

  使用专线或者宽带接入;

  拥有自己的网络安装维护人员。

  中小型用户的基本特征:

  使用专线或者宽带接入;

  接入互联网时,具有临时的IP地址;

  拥有自己的网络安装维护人员。

  对于大型用户和中小型用户,将使用不同的组网模式,而大量的中小型用户,非常渴望运营商能够提供IPSecVPN用户。

  4 IPSec VPN的用户组网模式

  本节将分析一下IPSecVPN用户的组网模式。从组网模式中可以看到,大量中小用户将非常迫切地需求运营商提供IPSecVPN服务。

  4.1.1 大型用户的组网模式

  对于大型IPSecVPN用户,可以使用如下的组网方式:



  在上面的大型企业组网方案中,在企业的公司总部,必须有一个固定的IP地址,并把总部的IPSecVPN网关的地址设置为这个固定的IP地址。在其他的分支机构或者移动用户,可以是使用动态IP地址的方式来连接到互联网。

  在这种工作方式下,企业总部和各个分支机构、移动用户组成一个星型网络。所有的通信数据都经过加密后,在总部的IPSecVPN网关上进行转发,从而实现通信的安全性。

  4.1.2 中小用户的组网模式

  对于中小用户而言,通常无法使用大用户的IPSecVPN组网方式。因为中小用户通常不具备固定IP方式的互联网接入。通常中小企业使用ADSL或者宽带方式接入互联网,这种接入方式下,IP地址是临时动态分配的,而不是固定的IP地址,因此无法使用固定IP的组网方式。

  根据VPN虚拟专用网的组网原理,当创建VPN隧道时网络的至少一方要具有固定的IP地址由于申请固定IP地址的月租费用远远高于动态IP地址的月租费。因此如果用户想采用宽带接入进行VPN组网的话,如能在网络的两端均申请动态IP地址的宽带接入方式将大大降低组网成本。

  对于中小企业,一种很好的选择是使用运营商提供的IPSecVPN服务,其组网模式如下图所示:

  虚拟安全域VPN网络模式



  如上图所示,运营商给小企业提供VPN服务,运营商在局端部署VPN3020设备,在企业的各个VPN业务点上部署一台VPN3005。业务点上的VPN3005将隧道建到运营商的中心VPN3020上面,由中心VPN3020设备转发IPSec报文,实现VPN隧道的互联互通。

  运营商在局端的VPN3020设备可以使用迈普特有的“虚拟安全域技术”,使一台VPN3020可以为多个用户提供IPSecVPN服务,而保证信息的安全隔离。因为多个用户公用一台VPN3020,这种模式将降低运营商运营商开通小企业VPN业务的成本。

  用户只需要在联通申请IPSecVPN服务,无需使用DDNS服务,就可以享受IPSecVPN服务。

  
----《通信世界》
 
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50