采用無線接入為企業(yè)搭建VPN網(wǎng)絡(luò)

　　寬帶無線接入的最大特點(diǎn)是組網(wǎng)迅速、靈活，能以最快的速度為用戶提供服務(wù)。它可提供諸如無線Internet接入、無線VPN、IP電話、VOD視頻點(diǎn)播、局域網(wǎng)互聯(lián)等多種業(yè)務(wù)種類。其中，企業(yè)用戶更關(guān)心的是如何利用寬帶無線接入組建自己的VPN。

　　為適應(yīng)我國電信市場發(fā)展的需要，鼓勵競爭，優(yōu)化配置無線電頻率資源。2001年4月，信息產(chǎn)業(yè)部決定將3.5GHz頻段中2×30MHz頻帶通過招標(biāo)方式，在南京、廈門、青島、武漢、重慶等5個城市行政區(qū)域內(nèi)，第一批進(jìn)行地面固定無線接入系統(tǒng)的頻率分配。這是我國首次以招標(biāo)方式分配頻率，它極大地推進(jìn)了寬帶無線接入的發(fā)展。

　　業(yè)務(wù)種類多樣

　　寬帶無線接入采用點(diǎn)對多點(diǎn)微波技術(shù)，應(yīng)用高效率的調(diào)制，把數(shù)據(jù)以無線的形式傳送給用戶。它的最大特點(diǎn)是組網(wǎng)迅速、靈活，能以最快的速度為用戶提供服務(wù)，主要服務(wù)對象是中小型企業(yè)、小區(qū)、寫字樓、公眾機(jī)關(guān)、教育和科研單位。

　　寬帶無線接入的主要特點(diǎn)包括：

　　·傳輸性能好、技術(shù)先進(jìn)、覆蓋范圍廣；

　　·成本更低、靈活性高；

　　·采用高效調(diào)制方式，具有更高的頻譜利用率；

　　·提供服務(wù)速度快捷，運(yùn)營維護(hù)成本低；

　　·采用動態(tài)帶寬分配技術(shù)，靈活分配帶寬；

　　·安全、可靠、穩(wěn)定，提供QoS保證。

　　寬帶無線接入可提供的業(yè)務(wù)種類包括：無線Internet接入業(yè)務(wù)、無線VPN業(yè)務(wù)、IP電話業(yè)務(wù)、VOD視頻點(diǎn)播業(yè)務(wù)、局域網(wǎng)互聯(lián)業(yè)務(wù)以及其他基于無線接入的增值服務(wù)。

　　發(fā)展思路明確

　　寬帶無線接入應(yīng)有明確的市場定位：

　　定位一：寬帶無線接入技術(shù)更適合特定的用戶服務(wù)。它可以比較成功地在校園、多層住宅和人口密度大的都市等特定區(qū)域內(nèi)得到較大規(guī)模的應(yīng)用。

　　定位二：針對企業(yè)用戶和集團(tuán)用戶。目前，一些企業(yè)特別是許多中小企業(yè)沒有實(shí)現(xiàn)光纖接入，但其對高速數(shù)據(jù)業(yè)務(wù)具有較大的需求，為這些用戶提供寬帶無線接入，其高速率和投資的相對低廉具有很大吸引力。

　　定位三：面向?qū)拵��?shù)據(jù)綜合業(yè)務(wù)。由于寬帶無線接入能提供較高的帶寬和綜合的業(yè)務(wù)能力，因此，其在提供數(shù)據(jù)業(yè)務(wù)方面具有較大的優(yōu)勢，寬帶數(shù)據(jù)綜合應(yīng)用應(yīng)是其主攻方向。由于多媒體業(yè)務(wù)在通信領(lǐng)域的廣泛開展，為寬帶無線接入提供了大舞臺，寬帶無線接入將扮演越來越突出的角色。而無線領(lǐng)域的寬帶革命，也將給無線通信業(yè)務(wù)的拓寬帶來巨大的推動力。

　　隨著我國電信事業(yè)的改革開放，整個電信運(yùn)營業(yè)的趨勢是運(yùn)營主體向多元化方向發(fā)展，市場競爭的焦點(diǎn)從長途骨干轉(zhuǎn)為本地接入，市場競爭要求接入手段多元化，寬帶無線接入憑借其組網(wǎng)快速靈活、運(yùn)營維護(hù)方便及良好的成本競爭力，正迅速地成為市場的熱點(diǎn)。

　　用寬帶無線接入組建VPN

　　對于企業(yè)用戶來說，可能更關(guān)心利用寬帶無線接入組建自己的VPN。安全性和實(shí)用性對用戶來說是至關(guān)重要的。隨著科技的發(fā)展，商務(wù)活動與互聯(lián)網(wǎng)的關(guān)系日趨緊密，越來越多的商務(wù)活動需要以高質(zhì)量、高速度的數(shù)據(jù)傳輸為技術(shù)依托。通過科學(xué)的方案設(shè)計、縝密的實(shí)地勘察、嚴(yán)格的施工與安裝程序，無線接入技術(shù)與光纖技術(shù)可以竟相媲美。使用無線接入技術(shù)：用戶將享受光纖般的服務(wù)，但價格可大大降低，得到服務(wù)的過程是非�？焖俚摹Ｒ虼�，使用無線接入建立自己的VPN是企業(yè)用戶的明智選擇。無線VPN就是使用無線接入技術(shù)接入到共網(wǎng)上的VPN。


圖1 中華通信在武漢建立的固定無線接入網(wǎng)

　　無線接入既可以組成單蜂窩網(wǎng)，也可以組成多蜂窩，如圖２和圖３所示。


　　圖2 單蜂窩組網(wǎng)圖


　　圖3 多蜂窩組網(wǎng)圖

　　隨著交流的日益增多，企業(yè)的不斷發(fā)展，企業(yè)的分支機(jī)構(gòu)也分布到全國及世界各地。為了加強(qiáng)企業(yè)的內(nèi)部聯(lián)系，越來越多的企業(yè)認(rèn)識到建立內(nèi)部網(wǎng)的重要性，開始組建企業(yè)內(nèi)部網(wǎng)，把各分支機(jī)構(gòu)及移動辦公用戶相連。目前已經(jīng)建成的企業(yè)內(nèi)部網(wǎng)，大多是靠租借電信部門的數(shù)據(jù)專線來組建的。從網(wǎng)絡(luò)結(jié)構(gòu)上看，一般是星型結(jié)構(gòu)。這種接入方式極其昂貴，讓大多數(shù)用戶望而卻步。而出差在外的人員如果需要與總部聯(lián)系，往往需要通過撥號上網(wǎng)撥入企業(yè)內(nèi)部網(wǎng)，這樣又無法保證其安全性和可靠性。因此，它有許多缺點(diǎn)：網(wǎng)絡(luò)運(yùn)行維護(hù)費(fèi)用高、可擴(kuò)展性差、可靠性差。Internet的發(fā)展推動了基于公網(wǎng)的虛擬專用網(wǎng)的發(fā)展。虛擬專用網(wǎng)就是在Internet等共享式公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上提供安全可靠的連接，由于這些基礎(chǔ)是共享式的，因此連接的成本低于現(xiàn)有的專用網(wǎng)絡(luò)。用戶使用虛擬專用網(wǎng)連接遠(yuǎn)程網(wǎng)站，整個廣域網(wǎng)絡(luò)的成本可以節(jié)省20%－47%以上。但如何保證企業(yè)內(nèi)部的數(shù)據(jù)通過公共網(wǎng)絡(luò)傳輸?shù)陌踩�性和保密性，以及如何管理企業(yè)網(wǎng)在公共網(wǎng)上的不同節(jié)點(diǎn)，成為關(guān)注的問題。虛擬專用網(wǎng)技術(shù)采用專用的網(wǎng)絡(luò)加密和通信協(xié)議，可以使企業(yè)在公共網(wǎng)絡(luò)上建立虛擬的加密信道，組建安全、低成本的企業(yè)內(nèi)部網(wǎng)。

　　如何建設(shè)VPN

　　如果企業(yè)自己組建VPN，首先會造成資金的浪費(fèi)，VPN設(shè)備需要進(jìn)行復(fù)雜的加密處理，需要功能強(qiáng)大的處理器，才能獲得較高的性能，因此VPN設(shè)備大都比較昂貴。其次，需要對VPN進(jìn)行復(fù)雜的管理，企業(yè)需要人員對VPN設(shè)備在各地進(jìn)行安裝、調(diào)試和維護(hù)。

　　因此，大多數(shù)企業(yè)希望把VPN業(yè)務(wù)外包給能夠提供可管理業(yè)務(wù)的運(yùn)營商。所謂可管理的業(yè)務(wù)是指，不僅運(yùn)營商能夠?qū)�業(yè)務(wù)進(jìn)行管理，客戶本身也能對業(yè)務(wù)進(jìn)行監(jiān)視和進(jìn)行一定程度的控制。企業(yè)希望不僅能夠?qū)ψ约旱腣PN進(jìn)行全視角的監(jiān)視，察看系統(tǒng)的配置和性能統(tǒng)計，而且能夠?qū)ο到y(tǒng)進(jìn)行配置更新和改變。

　　使用哪種協(xié)議

　　VPN使用的協(xié)議可以分為兩類：隧道協(xié)議和其他相關(guān)協(xié)議，使用不同的隧道協(xié)議，可以組建不同級別的VPN。

　　二層和三層隧道協(xié)議的區(qū)別主要在于用戶數(shù)據(jù)在網(wǎng)絡(luò)協(xié)議棧的第幾層被封裝。第三層隧道與第二層隧道相比，優(yōu)點(diǎn)在于它的安全性、可擴(kuò)展性及可靠性。從安全的角度來看，由于第二層隧道一般終止在用戶網(wǎng)設(shè)備上，會對用戶網(wǎng)的安全及防火墻技術(shù)提出較嚴(yán)峻的挑戰(zhàn)。而第三層隧道一般終止在ISP的網(wǎng)關(guān)上，不會對用戶網(wǎng)的安全構(gòu)成威脅。從可擴(kuò)展性角度看，第二層隧道將整個PPP幀封裝在報文內(nèi)，可能會產(chǎn)生傳輸效率問題。由于用戶網(wǎng)內(nèi)的網(wǎng)關(guān)要保存大量的PPP對話狀態(tài)及信息，這會對系統(tǒng)負(fù)荷產(chǎn)生較大的影響，當(dāng)然也會影響系統(tǒng)的擴(kuò)展性。第三層隧道技術(shù)對于公司網(wǎng)絡(luò)還有一些其他優(yōu)點(diǎn)。網(wǎng)絡(luò)管理者采用第三層隧道技術(shù)時，不必在他們的遠(yuǎn)程節(jié)點(diǎn)或客戶端設(shè)備上安裝特殊軟件。因?yàn)镻PP和隧道終點(diǎn)由ISP的設(shè)備生成，客戶端設(shè)備不用負(fù)擔(dān)這些功能，而僅作為一臺路由器即可。第三層隧道技術(shù)可采用任意廠家的客戶端設(shè)備來實(shí)現(xiàn)，公司網(wǎng)絡(luò)不需要IP地址，也具有安全性。服務(wù)提供商網(wǎng)絡(luò)能夠隱藏私有網(wǎng)絡(luò)和遠(yuǎn)端節(jié)點(diǎn)地址。

　　一般情況下，第二層隧道協(xié)議和第三層隧道協(xié)議分別使用，但合理地運(yùn)用兩層協(xié)議，將具有更好的安全性。

　　組建何種類型

　　根據(jù)VPN設(shè)備在網(wǎng)絡(luò)中安裝位置的不同，可分為兩種類型的建設(shè)方式：基于客戶端設(shè)備的VPN和基于網(wǎng)絡(luò)的VPN。

　　早期的VPN是通過在客戶端，放置在多廠家生產(chǎn)的VPN硬件或軟件來實(shí)現(xiàn)的，稱為基于客戶端設(shè)備的VPN。目前市場上的軟硬件設(shè)備，有的是專為基于客戶端設(shè)備的VPN而設(shè)計，有的則是在原有設(shè)備（路由器、防火墻）的基礎(chǔ)上加以改進(jìn)，使之具備VPN功能。由于客戶端設(shè)備來自不同的廠家，彼此缺少互操作性測試，隨著時間的推移和新功能的增加，基于客戶端設(shè)備的VPN將變得難以管理和提供業(yè)務(wù)。每種VPN設(shè)備具有不同的參數(shù)配置要求，運(yùn)營商不可能在網(wǎng)管中心進(jìn)行統(tǒng)一大批量的配置。

　　基于客戶端設(shè)備的VPN由于需要在每個客戶端放置VPN設(shè)備，造成客戶的初期投資較高，運(yùn)營商需要到每一個客戶處進(jìn)行現(xiàn)場安裝、測試、維護(hù)。運(yùn)營商不僅需要在POP點(diǎn)安裝線路復(fù)用設(shè)備和高速接入路由器，還需要投入大量資金購置客戶端設(shè)備，繳納VPN軟件的使用費(fèi)。通常這些費(fèi)用將轉(zhuǎn)移到客戶的身上，使客戶難以承受，而影響VPN業(yè)務(wù)的推廣。基于客戶端設(shè)備的VPN方案也需客戶進(jìn)行另外的投資，為客戶端設(shè)備提供正常的工作環(huán)境，如增加空調(diào)設(shè)備。

　　基于客戶端設(shè)備的VPN存在以下的缺點(diǎn)和限制：

　　初期投資費(fèi)用高——需要在每個客戶端安裝VPN設(shè)備，需要進(jìn)行安裝調(diào)試，系統(tǒng)運(yùn)行中故障排除更為復(fù)雜，運(yùn)營成本增加。

　　可靠性差——當(dāng)新的功能增加時，將會造成網(wǎng)絡(luò)業(yè)務(wù)中斷，不具備運(yùn)營級的質(zhì)量。

　　可管理性差——系統(tǒng)難以進(jìn)行集中統(tǒng)一管理，不能獲得系統(tǒng)的整體視圖，不能準(zhǔn)確地進(jìn)行系統(tǒng)監(jiān)控和業(yè)務(wù)計費(fèi)。由于這些設(shè)備彼此獨(dú)立、缺乏協(xié)作，運(yùn)營商很難提供高附加值的業(yè)務(wù)。

　　可擴(kuò)展性差——系統(tǒng)很難增加新的功能。每項新功能的增加，需要全部客戶端設(shè)備的功能升級，費(fèi)用高，管理和操作困難。

　　基于網(wǎng)絡(luò)的VPN能夠讓運(yùn)營商通過POP點(diǎn)運(yùn)營單一的VPN平臺設(shè)備，有效創(chuàng)建、布置、管理VPN業(yè)務(wù)，同時支持幾千個用戶，而不需要在客戶端安裝VPN設(shè)備，VPN用戶只需通過普通的路由器、LAN交換機(jī)接入運(yùn)營商的網(wǎng)絡(luò)中，由運(yùn)營商網(wǎng)絡(luò)中的VPN設(shè)備提供所需功能。

　　基于網(wǎng)絡(luò)的VPN把VPN的功能和應(yīng)用等智能地從企業(yè)客戶端移到運(yùn)營商網(wǎng)絡(luò)中的VPN設(shè)備上來實(shí)現(xiàn)，不需要在客戶端布置VPN的硬件和軟件，且完全在運(yùn)營商的控制之下。

　　由于基于網(wǎng)絡(luò)的VPN平臺和運(yùn)營商的接入和核心網(wǎng)絡(luò)設(shè)備可以實(shí)現(xiàn)無縫集成，此時，運(yùn)營商提供的VPN將能保證端到端的跨越整個網(wǎng)絡(luò)的QoS和SLA。通過客戶管理系統(tǒng)，客戶可以觀察到其VPN的運(yùn)行情況、收集VPN性能和SLA進(jìn)行監(jiān)視和對比，對其企業(yè)網(wǎng)絡(luò)進(jìn)行控制。基于網(wǎng)絡(luò)的VPN支持IPSec、L2TP、PPTP、代理防火墻、密鑰管理、入侵檢測和MPLS等。這些特性的支持，將為運(yùn)營商提供各種復(fù)雜的VPN應(yīng)用。

　　基于網(wǎng)絡(luò)的VPN具有以下優(yōu)點(diǎn)：

　　可靠性高——為不間斷運(yùn)行的高性能業(yè)務(wù)提供平臺，能夠處理復(fù)雜的VPN業(yè)務(wù)，具有運(yùn)營級質(zhì)量。

　　可管理性強(qiáng)——通過網(wǎng)管中心的集中統(tǒng)一管理，運(yùn)營商能夠快速方便地布置、提供、管理包括VPN在內(nèi)的各種可管理的業(yè)務(wù)。通過CNM，企業(yè)用戶能夠?qū)ψ约旱腣PN網(wǎng)絡(luò)進(jìn)行監(jiān)視和控制。

　　可擴(kuò)展性強(qiáng)——運(yùn)營商不需對每個客戶的客戶端設(shè)備進(jìn)行安裝調(diào)試，當(dāng)新的功能需要增加時，只需對位于POP點(diǎn)的VPN業(yè)務(wù)設(shè)備進(jìn)行升級。

　　總體成本低——由于不需要在客戶端安裝VPN設(shè)備，就無需進(jìn)行維護(hù)，簡化了系統(tǒng)的運(yùn)營。同時，單一VPN系統(tǒng)能夠支持多達(dá)幾千個用戶，支持各種可管理的IP業(yè)務(wù)。

　　使用基于網(wǎng)絡(luò)的VPN，企業(yè)用戶能夠?qū)ψ约旱腣PN進(jìn)行性能監(jiān)測和控制，能夠獲得不間斷的高性能服務(wù)，對于企業(yè)那些關(guān)鍵性的業(yè)務(wù)運(yùn)行至關(guān)重要。用戶也不需要對客戶端設(shè)備進(jìn)行費(fèi)時復(fù)雜的維護(hù)。

　　使用何種技術(shù)

　　利用Internet作為計算機(jī)通信的公網(wǎng)，建立基于IP的虛擬專用網(wǎng)，即IP VPN，在技術(shù)和經(jīng)濟(jì)上優(yōu)點(diǎn)很多，對推動企業(yè)網(wǎng)絡(luò)的應(yīng)用和電子商務(wù)的發(fā)展有重大的價值。

　　虛擬路由器(VR)是通過軟件實(shí)現(xiàn)的模擬物理路由器。VR有獨(dú)立的IP路由表和轉(zhuǎn)發(fā)表，并且各VR相互獨(dú)立。這意味著VPN的地址空間可以相同，但同一VPN內(nèi)的地址必須惟一。基于VR的IP VPN可以提供基于每VPN的路由、轉(zhuǎn)發(fā)、QoS和業(yè)務(wù)管理能力。基于概念構(gòu)建的VPN和基于物理路由器的VPN有完全一樣的機(jī)制，并且繼承了現(xiàn)有的配置、實(shí)施、運(yùn)行、故障恢復(fù)、監(jiān)測和計費(fèi)的機(jī)制和工具。

　　使用VR實(shí)現(xiàn)VPN有兩種方案：

　　通過第二層VR到VR的連接，VR可以在FR或ATM連接或第二層傳輸技術(shù)之上實(shí)現(xiàn)。這種類型VR的實(shí)施允許直接在每個VPN連接上實(shí)現(xiàn)QoS。第二層連接可以靜態(tài)配置或動態(tài)建立。

　　多個VR聚合到一個VR上，把多個VR連接到一個稱為骨干VR的VR上，然后再連接到骨干網(wǎng)。骨干VR在功能上和其他VR沒有什么不同，它僅僅是一個被特殊配置和應(yīng)用的VR，并且骨干VR不需要了解運(yùn)行在每一專用VR上的路由。骨干VR可以在ATM、FR、IP或MPLS網(wǎng)絡(luò)上實(shí)現(xiàn)。


----《中國計算機(jī)報》