传统的解决方案在总公司和分公司之间实现了一个专用广域网(WAN)。这通常是一条T1或者T3线路。然而,专用的租用线路价格不菲。当你只有一个分公司的时候,一条单一线路就足够了,但是如果再增加一个,你可能需要再增加两条专用线路以确保连通性。完全连通性所需要的线路数量会随着新机构的增加而急速增加,成本亦是如此。
一个更容易升级的解决方案是利用站点到站点的虚拟专用网连接分公司。让我们了解一下VPN如何向你提供最大的可伸缩性,同时保证机构之间的通信安全。
Internet是网络
在你的分公司之间实现一个站点到站点的VPN连接,每个站点都需要连接到Internet。Internet连接可以通过一条T载波线路或一条更便宜的企业级宽带连接实现。例如DSL、电缆或诸如Verizon的FIOS这样的光纤技术。所有这些连接提供比一条T1线路高得多的数据传输速率。
VPN利用企业总公司局域网和分公司网络都连接到更大型网络(如Internet)上,来保证局域网之间的连通性。当然,Internet是一个公共网络,到处都是黑客和攻击者,所以通过Internet进行通信的关键是保证公司的秘密的安全。
VPN技术解决了这个问题,它在Internet上从一个分部(站点)到另一个建立一条“隧道”。经过这条隧道的流量被加密以保护任何敏感的数据。
实现站点到站点的VPN
和远距离工作者或工作在外的员工所使用的远程访问类型的VPN不同的是,站点到站点VPN利用连接两端的网关,(Internet上)网关到网关的流量是加密的。
有许多不同的方法可以建立站点到站点VPN。首先你需要考虑你用来建立隧道和加密流量的协议。流行的隧道协议包括:
点对点隧道协议(PPTP)最初的VPN方法之一,被许多VPN软件和硬件供应商支持,但是不如一些其他选择安全。经常用在远程访问VPN,但也可以用在站点到站点VPN。
第二层隧道协议(L2TP)基于微软的PPTP和Cisco的第二层转发(L2F)的结合之上。L2TP建立隧道而且使用IPsec加密隧道中的流量。
Internet协议安全(IPsec)IPsec本身可以用来在“隧道模式”建立一条VPN隧道。
站点到站点的VPN软件
除了协议问题之外,另一个重要的考虑是如何实现VPN软件。可以购买专用的VPN网关设备,多数防火墙设备,例如Cisco的PIX就包括VPN功能。
可选择的是,诸如微软的ISA Server和Check Point这样的软件防火墙也可以配置为站点到站点VPN网关。最后,微软的服务器操作系统也可以通过路由和远程访问服务(RRAS)建立VPN网关。
在进行选择的过程中,请牢记可伸缩性。如果你的分公司可能会增加,这很可能意味着分公司和总公司之间的通信量会增加,也进一步意味着在你的网关上更大的负载。如果你对某个设备考虑不足,升级可能需要你购买一个全新的设备。
|
|
|
|
|
|
|
|
|
