虚拟环境的MPLS VPN设备使用常识,在向大家详细介绍MPLS VPN设备之前,首先让大家了解下配置模式中相应参数,然后全面介绍共享上网,选择使用MPLS VPN设备这种最简单方案。
应该使用MPLS(多协议标签交换)VPN吗
对于许多企业网络需求来说,这个答案是绝对肯定的。向MPLS过渡正在很好地进行。看一下这个数据。据市场研究公司Vertical Systems Group的数据显示,MPLS VPN设备多年以来一直吞噬帧中继的市场。在未来18个月里,在美国新应用的MPLS VPN设备连接数量将超过帧中继。到2011年,在美国将有100多万个MPLS VPN设备连接。
这就意味着随着企业连接需求的增长和需要连接到新的站点,企业正在购买MPLS连接。在许多情况下,这是服务提供商向企业推广的。但是,Vertical Systems Group分析师Rosemary Cochran说,随着运营商本身过渡的MPLS技术,将有更多的企业从帧中继过渡到MPLS。帧中继使用的数量实际上将下降。
据市场研究公司Infonetics称,2007年全球MPLS服务收入为130亿美元,比2006年增长了20%。这个原因有很多。MPLS VPN设备服务通常提供许多网状网络,任何站点都能够与其它站点连接。要使用帧中继技术达到这个目的就需要在每一个站点与每一个其它站点之间建立昂贵的虚拟线路。MPLS能够让用户避免复杂性和更多的成本。
MPLS还支持各种价格的多种服务质量,为企业用户提供为不重要的通讯购买价格便宜的VPN服务的选择。Sprint刚刚宣布它将安装一个每秒40GB的光纤干线以承载日益增多的IP通讯量。这些通信量都是MPLS服务和互联网通讯产生的。
MPLS VPN设备能为我省钱吗
也许不能。Cochran说,如果你从帧中继平等地过渡到MPLS,线路的成本也许实际上会下降。但是,服务的总体价格没有下降。当企业进行这种转换的时候,整个价格也许不会下降。
但是,连接到更多站点的能力和管理网络的灵活性会提高。我们没有看到过从帧中继过渡到MPLS导致价格大幅度下降的情况,因为你在使用T1线路接入,然后你开始为这个线路增加了安全和管理以及语音等功能。
据研究公司Nemertes Research称,TI线路接入在美国的成本是每个月大约435美元。但是,其它接入方式能够显著降低这个价格。例如, New Edge Networks公司向运营商MPLS干线提供DSL服务,支持五种服务质量和商业级服务级协议,每个月的费用是240美元。采用T1线路服务有维修时间保证和更可靠的对称的带宽。不过,这个价格差距也许值得考虑其它的技术。
Infonetics主要分析师Michael Howard说,企业喜欢这些服务,因为他们以较低的价格提供相当多的带宽,与企业原来的帧中继、ATM和专线服务提供商相比,广域网的成本没有增加。这种情况将促使用户增加他们为MPLS VPN设备连接购买的带宽,超过T1线路的速度,一般达到帧中继连接的最高水平。
Cochran说,更高速度的需求将增长。可用的功能和价格将取决于哪一个服务提供商。这是一家正在减少自己的帧中继用户群的主导的服务提供商?还是一个提供低价格接入的竞争性的提供商?
自己动手的客户能够节省每个月的带宽成本,他们建立自己的MPLS VPN设备并且到处购买最佳的带宽成本。在这种情况下,因为你不局限于购买一家提供商的产品,你在你的每一个站点都能以最佳的价格购买产品,然后使用你自己的硬件和软件实现这种连接。
我应该建立自己的VPN吗
如果你建立自己的VPN,你不会孤单,还有其他人这样做。但是,你要准备在公司内部投资和开发技术。Cochran说,更多的广域网连接是在自己制作的VPN上进行的。在这种情况下,企业购买自己的VPN设备并且把这种设备连接到他们另外购买的广域网连接,然后在MPLS VPN设备服务上使用这些设备。
这个工作范围包括安装和设置每一个站点的MPLS设备,这种方式是很昂贵的。或者使用通常与防火墙捆绑销售的站点对站点的IPSec设备,这种方法一般要便宜一些。Network World网站的设计顾问和博客Mark Lewis说,与VPN服务进行比较的是这个DIY部分。
企业必须要提供时间和经验进行设计、安装、维护和维修这个VPN。这就意味着培训。没有培训,排除VPN故障就是随机的和耗费时间的,经常不能解决你遇到的问题,甚至还会使故障更加严重。
我应该为远程接入VPN使用IPSec还是SSL
使用SSL。在大多数情况下,SSL VPN能够提供与IPSec VPN相同的接入。SSL还能提供更多的选择。SSL VPN使用大多数浏览器中常见功能在互联网上提供应用层安全接入。这就意味着不用发布和维护远程计算机上的客户端软件。这个局限性是浏览器只能访问基于网络的应用程序。
通过在使用时向远程计算机加入Java或者Active X SSL VPN插件,SSL VPN能够创建相当于IPSec的网络层连接,不用发布专用的VPN客户端软件。SSL还能够更详细地控制远程用户访问的资源。IPSec能够提供全面的网络接入,而SSL能够根据应用程序的情况限制访问。
如果用户的需求就是访问基于网络的应用程序,那么,需要的唯一的客户端软件就是一个兼容的浏览器。这就意味着用户能够从家里的计算机、借来的计算机或者用商业中心小亭子中的计算机进行连接。
Gartner分析师John Girard称,SSL VPNs已经取代了IPSec成为各种用户的最方便的选择。这些用户包括有VPN接入需求的随机的和专门的员工、企业合作伙伴、外部维护提供商和退休的相关人员。虽然2006年年中至2007年年中期间SSL VPN设备销售收入增长了43%,达到了3.40亿美元,但是,这个增长率预计将下降,从而使SSL VPN设备在2011年之前的平均年增长率达到13.8%。
市场研究公司IDC另外发表的一篇研究报告称,2007年VPN设备销售收入为12.7亿美元,IPSec VPN设备的销售收入占其中的一半以上。但是,IPSec VPN设备销售收入所占的比例实际上下降了9.8%。与此同时,SSL VPN设备的销售收入增长了18.2%。
此外,用户还与SSL一起使用IPSec远程接入。混合的SSL/IPSec设备销售量较低,但是,这种混合设备销售的增长速度比单独的SSL或者IPSec设备增长速度快。最畅销的VPN设备的厂商依次是思科、Juniper、诺基亚、Safenet和阿尔卡特-朗讯。
VPN适用于VoIP吗
是的。MPLS VPN设备提供的服务质量能够保证以更好的语音质量及时地传送VoIP数据包。MPLS还能够升级以便容纳全面混搭的数量巨大的站点,因此,在企业站点之间打VoIP电话应该是没有问题的。
Network World网站进行的测试表明,使用SSL VPN在ICP协议上传送VoIP确实提高了语音质量。因为TCP协议记录数据包并且重播丢失的数据包,它能够提高接听电话的质量。如果带宽足够容纳这个VoIP信道加上这个重播信道,它就能够提高质量。
VPN还能够为在Wi-Fi网络或者有线网络上传送的VoIP电话提供安全功能,阻止窃听。VPN还用来保护iPhone等智能手机和其它掌上设备发送的数据,尽管这项管理目前仍是初步的。
我能在虚拟环境中使用VPN吗
是的。这样做也许能够增强VPN的安全。许多厂商正在推出在虚拟服务器平台上运行的VPN软件。这对于那些为了减少数据中心服务器数量和耗电量正在实施服务器虚拟化的企业来说是很理想的。
这种方法意味着不使用VPN设备。VPN设备是部署VPN网关的常用方法,因为它们是单独管理的设备。VMware公司称,在VPN的客户端方面,远程机器能够帮助提高VPN安全。用户能够设置远程虚拟台式电脑,这样,他们必须要要通过VPN网关访问企业站点。同时,虚拟台式电脑在其之上运行的物理主机可以禁止VPN连接。
这样,虚拟机成为加入这个VPN的实体。这就意味着任何对主机本身的攻击都将在物理服务器上被隔离,不能通过这个VPN传播到整个企业网络。虚拟机政策可以限制虚拟台式电脑。没有VPN,这些虚拟台式电脑什么都不能访问,从而使这些虚拟台式电脑与VPN外面的攻击隔离开。VMware称,除了企业的VPN服务器之外,你能够把虚拟机与一切东西隔离开。
进一步的虚拟机政策能够加密在虚拟机中的所有的数据,阻止这些数据传送到虚拟机外部。从而保证通过VPN访问的数据不会被攻破。VMware说,虚拟机过时的政策能够进一步保证VPN的安全。例如,如果一个承包商获得批准允许使用自己的机器通过一个虚拟台式电脑访问企业VPN网络,这个虚拟机必须设置在某个时间过期。也就是说要在合同结束时过期。