世上没有免费的午餐,ADSL IP VPN也不例外。虽然相比其他MPLS类型的服务,选择ADSL IP VPN会更便宜。但这并不说明它适合任何人,因为客户的要求总是不同的。在这篇文章中,我将同时阐述ADSL IP VPN的利与弊。
首先,让我们看看一些ADSL IP VPN优于大多数WAN MPLS线路的地方:
◆成本低。互联网服务提供商通常是以一个静态的IP地址和较快的速度,提供简单的ADSL线路接入因特网。24 Mbps/1 Mbps (下载/上传速度) ADSL费用几乎比任何一种WAN MPLS服务要便宜。对力求降低通讯成本的企业来说,这是是非常有吸引力的。
◆完全配置。WAN工程师对站点之间VPN隧道建立拥有完全控制权。他们可以随时改变配置来修复任何网络问题或帮助解决可能产生的问题。有了访问VPN的最高权限,如路由器和防火墙的终端设备,工程师可以发现ADSL线路上的状况,然后采取相应的措施。
◆VPN需要做备份。对重要的站点,如果ADSL线路是通过ISDN,就可以留ISDN做备用。万一连接失效,路由器可以设置自动启用ISDN拨号,暂时通过ISDN连接站点,直到ADSL线路恢复正常。一些更复杂的每个站点多条ADSL的设置,VPN可以自动转到其他ADSL路径。使用备用线路的响应时间是可以由网络工程师自行配置的,企业不需要等到服务提供商把线路修复好后才可以工作。
◆二合一。当配置站点到站点的VPN,工程师同样可以为在全国或者全世界出差的用户配置远程VPN接入,为了从他们的服务提供商那得到这个功能,大多数企业必须支付额外的费用。
◆可升级功能。可能ADSL IP VPN一个最大的优势是站点到站点VPN功能完全依赖VPN路由器/防火墙的支持。这表明一旦在路由器更新的操作系统(i.e., Cisco IOS)上添加了新的功能,网络工程师就可以马上进行部署。例如,思科引进了IOS的QoS预分类功能,修复了许多通过IPsec VPN隧道跑各类服务的QoS。动态多点VPN是另一项不错的功能,容许在多个站点间扩展IPsec VPN隧道。DMVPN让各个终端和其他对等体动态地建立一条VPN隧道,提供低成本的mesh VPN解决方案。
如果你觉得上面关于ADSL IP VPN优势的清单看上去非常不错,很想立即采用它。不要着急,请你看完下面的劣势。
下面列出一些ADSL IP VPN和所有WAN MPLS线路相比的劣势
◆Qos限制。为了得到完整功能的QoS模型,需要能访问VPN数据包通过的所有设备和路径。在ADSL IP VPN模型中,QoS从每个站点的LAN一直到路由器的ADSL接口都是一直起作用的。从那后,数据包进入ISP网络,但ISP提供商对该链路是没有QoS的。毫无疑问,虽然所以都是尽力交付的,但任何植入在WAN数据包里的QoS参数在大多数情况下会被ISP忽略掉。
◆可能出现瓶颈和低速度。在ADSL IP VPN的结构中,企业连接到单独的数字用户线路访问多路复用器(DSLAM),这是一种使用多路复用技术通过电话线提供高速Internet服务的设备——它为ISP建立ADSL连接。同一地区其他用户,包括商业和家庭用户,连接到相同的DSLAM上时,如果在DSLAM节点产生流量拥塞,你有可能在高峰时体验到速度极慢。重申下,使用ADSL,你的速度是没法保证的。
◆不对称的速度。ADSL提供良好的下载速度,但是它的上传速度总是受限。这对拥有远程VPN终端的总部来说是个大缺陷。仅凭有限的上传带宽,让所有远程站点连到一条ADSL线路上几乎是不可能的,除非站点和总部之间控制流量。根据站点数量和在ADSL IP VPN隧道跑的远程用户数和服务,有必要将远程站点分开成2条或者更多的ADSL线路到总部。
◆没有服务等级协议(SLA).既然ADSL IP VPN走的是普通的Internet线路,你可以不用考虑服务商的服务等级协议(SLA)。因为没有哪个服务提供商会为ADSL线路签署SLA合同。
◆VPN和路由器/防火墙 安全。ADSL线路直接暴露在Internet上。这就意味着你的VPN和终端装置(路由器或防火墙)的安全问题是你的责任。如果企业工程师不采取相应措施保护设备安全的话,会导致企业完全暴露在Internet上。这可不是什么轻松的话题,造成的伤害可以是致命的。因此,了解存在的风险非常重要,请技术专家确保工作准确顺利地完成,理想状态下,当设备配置正确,你不需要担心,因为很安全。
◆拒绝服务攻击。使用Internet线路,你随时会受到拒绝服务的攻击。所有尝试都可以被“成功”拒绝;不过,请记住,流量要先到达你的路由器/防火墙。意味着对一个配置正确的终端DoS攻击造成的最大伤害,是在ADSL上制造瓶颈,极大降低了被攻击时的速度。