​VPN整体解决方案

VPN常用的有二种解决方案，用户可以根据自己的情况进行选择。这二种解决方案分别是：SSL VPN和IPSEC VPN。

（1）SSL VPN

如果企业的内部人员移动办公或有远程办公需要，或者商家要提供B2C的安全访问服务，就可以考虑使用SSL VPN。

SSL VPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。SSL VPN能使用户随时、随地以其所需的方式访问企业资源。SSL VPN包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。如图1所示。

图1 SSL VPN结构图

SSL VPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权，保证连接的安全，同时负担的电话费用大大降低。

SSL VPN对用户的吸引力在于：

* 减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络；

* 实现本地拨号接入的功能来取代远距离接入，对用户的上网环境没有太高要求,用户不需要固定的公网地址。

* 极大的可扩展性，简便地对加入网络的新用户进行调度；

* 远端验证拨入用户服务（RADIUS）基于标准，基于策略功能的安全服务；

* 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。

(2)IPSEC VPN

如果要进行企业内部各分支机构的互联，使用IPSEC VPN是很好的方式。

越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的虚拟网络。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个VPN上安全传输。IPSEC VPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。如图2所示。

图2 IPSEC VPN结构图

IPSEC VPN对用户的吸引力在于：

* 减少WAN带宽的费用；

* 能使用灵活的拓扑结构，包括全网络连接；

* 新的站点能更快、更容易地被连接；

* 通过设备供应商WAN的连接冗余，可以延长网络的可用时间。

图3 ISEC VPN和SSL VPN 结构图

在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。

在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。