用无线接入为企业搭建VPN网络

2010-08-28 10:49:01来源:西部e网作者:

宽带无线接入的最大特点是组网迅速、灵活,能以最快的速度为用户提供服务。它可提供诸如无线Internet接入、无线VPN、IP电话、VOD视频点播、局域网互联等多种业务种类。其中,企业用户更关心的是如何利用宽带无线接入组建自己的VPN。

为适应我国电信市场发展的需要,鼓励竞争,优化配置无线电频率资源。2001年4月,信息产业部决定将3.5GHz频段中2×30MHz频带通过招标方式,在南京、厦门、青岛、武汉、重庆等5个城市行政区域内,第一批进行地面固定无线接入系统的频率分配。这是我国首次以招标方式分配频率,它极大地推进了宽带无线接入的发展。

业务种类多样

宽带无线接入采用点对多点微波技术,应用高效率的调制,把数据以无线的形式传送给用户。它的最大特点是组网迅速、灵活,能以最快的速度为用户提供服务,主要服务对象是中小型企业、小区、写字楼、公众机关、教育和科研单位。

宽带无线接入的主要特点包括:

·传输性能好、技术先进、覆盖范围广;

·成本更低、灵活性高;

·采用高效调制方式,具有更高的频谱利用率;

·提供服务速度快捷,运营维护成本低;

·采用动态带宽分配技术,灵活分配带宽;

·安全、可靠、稳定,提供QoS保证。

宽带无线接入可提供的业务种类包括:无线Internet接入业务、无线VPN业务、IP电话业务、VOD视频点播业务、局域网互联业务以及其他基于无线接入的增值服务。

发展思路明确

宽带无线接入应有明确的市场定位:

定位一:宽带无线接入技术更适合特定的用户服务。它可以比较成功地在校园、多层住宅和人口密度大的都市等特定区域内得到较大规模的应用。

定位二:针对企业用户和集团用户。目前,一些企业特别是许多中小企业没有实现光纤接入,但其对高速数据业务具有较大的需求,为这些用户提供宽带无线接入,其高速率和投资的相对低廉具有很大吸引力。

定位三:面向宽带数据综合业务。由于宽带无线接入能提供较高的带宽和综合的业务能力,因此,其在提供数据业务方面具有较大的优势,宽带数据综合应用应是其主攻方向。由于多媒体业务在通信领域的广泛开展,为宽带无线接入提供了大舞台,宽带无线接入将扮演越来越突出的角色。而无线领域的宽带革命,也将给无线通信业务的拓宽带来巨大的推动力。

随着我国电信事业的改革开放,整个电信运营业的趋势是运营主体向多元化方向发展,市场竞争的焦点从长途骨干转为本地接入,市场竞争要求接入手段多元化,宽带无线接入凭借其组网快速灵活、运营维护方便及良好的成本竞争力,正迅速地成为市场的热点。

用宽带无线接入组建VPN

对于企业用户来说,可能更关心利用宽带无线接入组建自己的VPN。安全性和实用性对用户来说是至关重要的。随着科技的发展,商务活动与互联网的关系日趋紧密,越来越多的商务活动需要以高质量、高速度的数据传输为技术依托。通过科学的方案设计、缜密的实地勘察、严格的施工与安装程序,无线接入技术与光纤技术可以竟相媲美。使用无线接入技术:用户将享受光纤般的服务,但价格可大大降低,得到服务的过程是非常快速的。因此,使用无线接入建立自己的VPN是企业用户的明智选择。无线VPN就是使用无线接入技术接入到共网上的VPN。

图1 中华通信在武汉建立的固定无线接入网

无线接入既可以组成单蜂窝网,也可以组成多蜂窝,如图2和图3所示。

图2 单蜂窝组网图

图3 多蜂窝组网图

随着交流的日益增多,企业的不断发展,企业的分支机构也分布到全国及世界各地。为了加强企业的内部联系,越来越多的企业认识到建立内部网的重要性,开始组建企业内部网,把各分支机构及移动办公用户相连。目前已经建成的企业内部网,大多是靠租借电信部门的数据专线来组建的。从网络结构上看,一般是星型结构。这种接入方式极其昂贵,让大多数用户望而却步。而出差在外的人员如果需要与总部联系,往往需要通过拨号上网拨入企业内部网,这样又无法保证其安全性和可靠性。因此,它有许多缺点:网络运行维护费用高、可扩展性差、可靠性差。Internet的发展推动了基于公网的虚拟专用网的发展。虚拟专用网就是在Internet等共享式公共网络基础设施上提供安全可靠的连接,由于这些基础是共享式的,因此连接的成本低于现有的专用网络。用户使用虚拟专用网连接远程网站,整个广域网络的成本可以节省20%-47%以上。但如何保证企业内部的数据通过公共网络传输的安全性和保密性,以及如何管理企业网在公共网上的不同节点,成为关注的问题。虚拟专用网技术采用专用的网络加密和通信协议,可以使企业在公共网络上建立虚拟的加密信道,组建安全、低成本的企业内部网。

如何建设VPN

如果企业自己组建VPN,首先会造成资金的浪费,VPN设备需要进行复杂的加密处理,需要功能强大的处理器,才能获得较高的性能,因此VPN设备大都比较昂贵。其次,需要对VPN进行复杂的管理,企业需要人员对VPN设备在各地进行安装、调试和维护。

因此,大多数企业希望把VPN业务外包给能够提供可管理业务的运营商。所谓可管理的业务是指,不仅运营商能够对业务进行管理,客户本身也能对业务进行监视和进行一定程度的控制。企业希望不仅能够对自己的VPN进行全视角的监视,察看系统的配置和性能统计,而且能够对系统进行配置更新和改变。

使用哪种协议

VPN使用的协议可以分为两类:隧道协议和其他相关协议,使用不同的隧道协议,可以组建不同级别的VPN。

二层和三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。第三层隧道与第二层隧道相比,优点在于它的安全性、可扩展性及可靠性。从安全的角度来看,由于第二层隧道一般终止在用户网设备上,会对用户网的安全及防火墙技术提出较严峻的挑战。而第三层隧道一般终止在ISP的网关上,不会对用户网的安全构成威胁。从可扩展性角度看,第二层隧道将整个PPP帧封装在报文内,可能会产生传输效率问题。由于用户网内的网关要保存大量的PPP对话状态及信息,这会对系统负荷产生较大的影响,当然也会影响系统的扩展性。第三层隧道技术对于公司网络还有一些其他优点。网络管理者采用第三层隧道技术时,不必在他们的远程节点或客户端设备上安装特殊软件。因为PPP和隧道终点由ISP的设备生成,客户端设备不用负担这些功能,而仅作为一台路由器即可。第三层隧道技术可采用任意厂家的客户端设备来实现,公司网络不需要IP地址,也具有安全性。服务提供商网络能够隐藏私有网络和远端节点地址。

一般情况下,第二层隧道协议和第三层隧道协议分别使用,但合理地运用两层协议,将具有更好的安全性。

组建何种类型

根据VPN设备在网络中安装位置的不同,可分为两种类型的建设方式:基于客户端设备的VPN和基于网络的VPN。

早期的VPN是通过在客户端,放置在多厂家生产的VPN硬件或软件来实现的,称为基于客户端设备的VPN。目前市场上的软硬件设备,有的是专为基于客户端设备的VPN而设计,有的则是在原有设备(路由器、防火墙)的基础上加以改进,使之具备VPN功能。由于客户端设备来自不同的厂家,彼此缺少互操作性测试,随着时间的推移和新功能的增加,基于客户端设备的VPN将变得难以管理和提供业务。每种VPN设备具有不同的参数配置要求,运营商不可能在网管中心进行统一大批量的配置。

基于客户端设备的VPN由于需要在每个客户端放置VPN设备,造成客户的初期投资较高,运营商需要到每一个客户处进行现场安装、测试、维护。运营商不仅需要在POP点安装线路复用设备和高速接入路由器,还需要投入大量资金购置客户端设备,缴纳VPN软件的使用费。通常这些费用将转移到客户的身上,使客户难以承受,而影响VPN业务的推广。基于客户端设备的VPN方案也需客户进行另外的投资,为客户端设备提供正常的工作环境,如增加空调设备。

基于客户端设备的VPN存在以下的缺点和限制:

初期投资费用高——需要在每个客户端安装VPN设备,需要进行安装调试,系统运行中故障排除更为复杂,运营成本增加。

可靠性差——当新的功能增加时,将会造成网络业务中断,不具备运营级的质量。

可管理性差——系统难以进行集中统一管理,不能获得系统的整体视图,不能准确地进行系统监控和业务计费。由于这些设备彼此独立、缺乏协作,运营商很难提供高附加值的业务。

可扩展性差——系统很难增加新的功能。每项新功能的增加,需要全部客户端设备的功能升级,费用高,管理和操作困难。

基于网络的VPN能够让运营商通过POP点运营单一的VPN平台设备,有效创建、布置、管理VPN业务,同时支持几千个用户,而不需要在客户端安装VPN设备,VPN用户只需通过普通的路由器、LAN交换机接入运营商的网络中,由运营商网络中的VPN设备提供所需功能。

基于网络的VPN把VPN的功能和应用等智能地从企业客户端移到运营商网络中的VPN设备上来实现,不需要在客户端布置VPN的硬件和软件,且完全在运营商的控制之下。

由于基于网络的VPN平台和运营商的接入和核心网络设备可以实现无缝集成,此时,运营商提供的VPN将能保证端到端的跨越整个网络的QoS和SLA。通过客户管理系统,客户可以观察到其VPN的运行情况、收集VPN性能和SLA进行监视和对比,对其企业网络进行控制。基于网络的VPN支持IPSec、L2TP、PPTP、代理防火墙、密钥管理、入侵检测和MPLS等。这些特性的支持,将为运营商提供各种复杂的VPN应用。

基于网络的VPN具有以下优点:

可靠性高——为不间断运行的高性能业务提供平台,能够处理复杂的VPN业务,具有运营级质量。

可管理性强——通过网管中心的集中统一管理,运营商能够快速方便地布置、提供、管理包括VPN在内的各种可管理的业务。通过CNM,企业用户能够对自己的VPN网络进行监视和控制。

可扩展性强——运营商不需对每个客户的客户端设备进行安装调试,当新的功能需要增加时,只需对位于POP点的VPN业务设备进行升级。

总体成本低——由于不需要在客户端安装VPN设备,就无需进行维护,简化了系统的运营。同时,单一VPN系统能够支持多达几千个用户,支持各种可管理的IP业务。

使用基于网络的VPN,企业用户能够对自己的VPN进行性能监测和控制,能够获得不间断的高性能服务,对于企业那些关键性的业务运行至关重要。用户也不需要对客户端设备进行费时复杂的维护。

使用何种技术

利用Internet作为计算机通信的公网,建立基于IP的虚拟专用网,即IP VPN,在技术和经济上优点很多,对推动企业网络的应用和电子商务的发展有重大的价值。

虚拟路由器(VR)是通过软件实现的模拟物理路由器。VR有独立的IP路由表和转发表,并且各VR相互独立。这意味着VPN的地址空间可以相同,但同一VPN内的地址必须惟一。基于VR的IP VPN可以提供基于每VPN的路由、转发、QoS和业务管理能力。基于概念构建的VPN和基于物理路由器的VPN有完全一样的机制,并且继承了现有的配置、实施、运行、故障恢复、监测和计费的机制和工具。

使用VR实现VPN有两种方案:

通过第二层VR到VR的连接,VR可以在FR或ATM连接或第二层传输技术之上实现。这种类型VR的实施允许直接在每个VPN连接上实现QoS。第二层连接可以静态配置或动态建立。

多个VR聚合到一个VR上,把多个VR连接到一个称为骨干VR的VR上,然后再连接到骨干网。骨干VR在功能上和其他VR没有什么不同,它仅仅是一个被特殊配置和应用的VR,并且骨干VR不需要了解运行在每一专用VR上的路由。骨干VR可以在ATM、FR、IP或MPLS网络上实现。

关键词:无线

赞助商链接: