天网VPN解决方案

　　在当今世界，随着企业网应用的日益广泛，企业网的范围也在不断扩大，从本地网络，发展到跨地区跨城市，甚至是跨国家的网络。网络的范围日渐扩大，导致在实际应用上对网络的要求也越来越高。但采用传统的广域网建立企业专网，往往需要租用昂贵的跨地区数字专线。而在此同时，国内公众信息网(ChinaNET与Internet)在近几年来得到高速发展，已经遍布全国各地，在物理上，各地的公众信息网都是连通的，但由于公众信息网是对社会开放的，如果企业的信息要通过公众信息网进行传输，在安全性上会存在着很多问题。因此如何能够利用现有的公众信息网，来安全地建立企业的专有网络，就成为了现今网络应用上最迫切需要解决的一个重要课题。VPN技术的出现，为问题的解决带来了新的方向。VPN技术，也就是虚拟专网技术，是指在公共网络中建立私有专用网络，数据通过安全的“加密管道”在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以安全地连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。

　　目前建造虚拟专网的国际标准有IPSEC(RFC 1825-1829)和L2TP(草案draft-ietf-pppext-l2tp-10)。其中L2TP是虚拟专用拨号网络协议，是IETF根据各厂家协议(包括微软公司的PPTP、Cisco的L2F)进行起草的，目前尚处于草案阶段。IPSEC是由IETF正式定制的开放性IP安全标准，是虚拟专网的基础，已经相当成熟可靠。L2TP协议草案中规定它(L2TP标准)必须以IPSEC为安全基础(见draft-ietf-pppext-l2tp-security-01)。同时IPSEC得到厂家支持广泛，Microsoft 的NT5、Cisco PIX防火墙、Ascent Secure Access Control防火墙，包括天网防火墙，都支持IPSEC标准。因此在构造VPN基础设施时最好采用IPSEC标准，至少也必须采取以IPSEC为加密基础的L2TP协议。

　　目前，VPN技术越来越体现出其价值，作为一种非常灵活和可靠的技术和手段，跨国、跨区域公司中分布于各地的雇员、客户、供货商、代理商、合作伙伴可利用此技术以非常可靠和简易的方式借助公众网络与公司内部网络联系，并进行统一的规划和管理。根据Infonetics的研究报告，VPN业务的开展将为企业提供节省长途专线租用成本的20%～47%，节省远程拨号费用的60%～80%。

　　根据统计报告，VPN产品、系统集成和服务的市场将以每年超过100%的增长率发展，从1997年的205万美元到2001年的11。9亿美元。到2001年，ISP将通过VPN获益90亿美元，55%的企业有意建立VPN。对于国内，今年是政府上网年，VPN技术又恰恰能够解决国家政府机关、各大部委的上网、安全及互联问题，因而国内的VPN市场蕴含着无穷的潜力。

　　VPN的服务必须有Internet服务提供商(ISP)的介入，因为只有ISP才能建立起具有完善功能的、可重复使用的VPN服务体系，所以Internet服务提供商(ISP)将会在VPN市场上发挥越来越大的作用，作为一个整体解决方案的提供者，服务提供商除了能够提供各种本地和长途专线和拨号用户的服务，还能提供基于目前广泛的Internet网络的VPN的服务，以满足绝大多数用户和企业应用目前以及将来发展的需求。

　　VPN业务的开展将刺激国内企业内部网信息资源挖掘的力度，如此庞大的市场并非海市蜃楼，中国的ISP，特别是作为中国最大的ISP的中国电信，不应在观望中错失良机。

　　同时VPN可以在多种场合得到应用。从应用上虚拟专网可以分为虚拟企业网和虚拟专用拨号网络(有厂家称之为VPDN，属于VPN的一种特例)。虚拟企业网主要是使用专线上网的企业分部、合作伙伴间的虚拟专网；虚拟专用拨号网络是指使用电话拨号(PPP拨号)上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议必须具备以下条件：

　　保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址冒认(IP Spoofing)的能力。

　　保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力。

　　保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。 l 提供动态密钥交换功能，提供密钥中心管理服务器，必须具备防止数据重演(Replay)的功能，保证通道不能被重演。

　　提供安全防护措施和访问控制，要有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制(Access Control)。

　　信息产业部部长吴基传指出，建立一个完整、统一、先进的国家公用信息基础网，是当前的首要任务。同时，要充分利用这个网络，构建面向各种业务和应用的信息应用系统。

　　根据我们对VPN技术、IP发展趋势的跟踪和研究，就目前我国面向公众提供信道接入的部门应如何充分利用国家公用信息基础网建设各部门、各行业的专用广域网提出一点建设思路，利用VPN提供增值服务进行可行性分析，以期提高服务商的行业竞争力，同时籍着提供的VPN服务改变目前各行业网和各专业网过于分散、规模过小、技术层次不高等局面。

　　经过十几年的发展，我国通信部门已基本建成了覆盖全国的大容量、数字化的通信传输主干道，其数字化水平和技术层次已达到世界先进水平。目前，国内跨省干线SDH传输网主要采用10Gbps、2.5Gbps速率。中国公众多媒体网(简称169网)已经全国开通(除少数省市外)，该网的省间骨干由34M到155M的ATM构成，部分省份还建成了省内ATM高速网(如广东省、江苏省)。这是一个基于IP应用的高速骨干网，为跨省、跨地区的通信提供了一个高速的通信主干道。如何充分利用这个高速主干道为国内用户提供增值服务，我国电信部门应有相应的积极可行的政策和策略。

　　另一方面，由中央各部委、各行业主管部门牵头的各个行业网在最近几年得到了飞速发展，各行业纷纷建设自己的行业网(如科技网、经济网、卫生网、劳动网、医学网、电力网等等)，在本行业中发挥了很好的作用。从网络结构上来看，一般都是在北京建立中心节点，各个地区建立区域节点，区域节点以64K(或128K)DDN连入中心节点，各个市级节点也以64K DDN接入区域节点，形成一个以DDN专线或卫星专线为广域网联网手段的三级网络结构。在北京的中心节点又以64K(或64K以上)DDN专线接入我国四大Internet出口中的一个。

　　这种广域网的结构体系，在当时的技术条件下，也不能说有什么问题。但目前看来，有两个明显的弊病：一是各个网络之间相互独立，规模小，互相访问很慢(都要绕道北京或国外)，不利于信息资源的共享和提高信息资源利用率，不利于形成规模效益；二是网络运行维护费用高、可靠性差。各个中心节点不仅要支付昂贵的DDN专线租用费，还要支付Internet出口费用；同时还要专人维护并不可靠的广域网。而且，一般情况下都是主要由中心节点来组织信息源上网，可见中心节点的负担之重。

　　从以上两个方面(电信、各专业系统)的情况来看，不难看出为什么信息产业部提出要“以国家公用信息基础网络为基础，通过联合投资、合作改造等形式，构建面向各种业务和应用的信息应用系统”的策略。目前，由国家发起的“政府上网”工程，正是对这一思路的具体体现，但如何实现，不是一个行政指令就能完成的，需要依靠采用先进的技术手段来进行改造。Top

　　目前各行业网、专业网的应用主要有两个方面：一是作为Internet的一部分，组织本行业的信息资源上网；二是作为一个内部网，为本行业、本系统的内部办公自动化和业务处理系统服务。基本上都是采用Internet技术的IP数据通信。

{
this.src=\'http://www.yesky.com/image20010518/212864.gif\';
}\" hspace=\"3\" src=\"http://www.yesky.com/image20010518/212864.gif\" align=\"center\" vspace=\"1\" border=\"1\" />

　　传统的20/80规则，即80%的通信流量分布在局域网，20%的通信流量分布在广域网，已经逐渐演变为80/20规则，即20%的通信流量分布在局域网，80%的通信流量分布在广域网。

　　如何充分利用已有的公共网络设施，实现廉价的跨地区数据通信，目前已成为IT领域最热门的技术之一。这其中的焦点就是虚拟专用网技术(VPN)，它集网络加密、访问控制、认证和网络管理于一体，能够实现廉价的、安全可靠的跨地域数据通信。

　　对于各专业网两种应用的第一种应用，其解决方案可以根据网络的性质和信息资源的服务对象，各地就近接入当地的宽带骨干网络，完全省去了用于连接跨省的DDN专线，只需在域名规划和信息主页设计中统一规划，统一形象，把有限的人力和物力用于专业的信息资源开发和深加工。

　　对于第二种应用或两者都有的应用，则各地就近接入当地的宽带骨干网络，采用VPN技术，实现跨地区的数据通信，充分利用宽带网络的跨省通道主干道，建设自己的内部网。其网络结构如下图所示。由于内部网的敏感数据在公网传输时是加密传输，因此可以实现安全廉价的跨地域数据通信。Top

　　当然，对于各行业网、专业网的这类应用，接入服务商应在当地接入线路、信息流量费用等方面给予一定的优惠政策(一些地方已采取的免费提供接入线路、免收流量费的做法值得推广)。即使是接入服务商不给优惠政策，就目前的资费情况来看，由于采有VPN技术，也大大节省了广域网的费用和维护工作。下表列出了目前的DDN广域网方式和采用VPN技术组网方式的费用对照。

本地接入方式

速率

初装费?/span>

月租?/span>

流量费

DDN方式

64K

1.3万

6300元

4万元

VPN方式

ADSL(169)

7M/1M

3900元

1500元

无

　　从表中可以看出，以ADSL方式接入169网，不仅费用低，而且通信速率高，同时还可以开通内部语音电话服务及内部电视会议服务(无需另外的通信费用)。

　　同样，本解决方案也适用于企业的跨地域数据通信，实现集数据、语音和图像于一体的广域网解决方案。实际上在国外率先采用VPN技术的就是跨国、跨地区的大公司和一些行业的网络。

　　VPN应用前景诱人，国内的网络通讯业务接入商，最有资格和必要首先提供VPN增值服务。VPN本身具有的高保密性、低费用、灵活的网间切换等其它技术无法比拟的优点迎合了数量庞大的国内用户群的需求。但作为一种新兴的技术，VPN技术在现阶段也存在缺点，这就是QoS问题。

　　所谓QoS问题，体现在VPN应用上就是带宽保证。何谓带宽保证，比如说DDN，DDN就提供了带宽保证，64K的DDN专线任何时候提供给了用户64K的传输带宽。但VPN的本质是利用公网传输数据，当网络传输饱和的时候，提供给VPN用户的带宽就窄；当网络传输未饱和的时候，提供给VPN用户的带宽就宽。所以VPN在现阶段还不能提供带宽保证。

　　虽然VPN存在上述弱点，但根据“技术推动市场，市场又反作用于技术”的理论，我们认为国内的网络通讯业务接入商现阶段存在应用VPN项目的必要性，具体分析如下：

　　服务细分的角度，我们发现，专用广域网都对网络的安全性提出了需求。专用广域网用户的需求大致可分为实时性、安全性、灵活性三个方面的需求。像银行、证券对实时性、安全性要求很高，对灵活性几乎不作要求；而各政府网、司局网(地税、国税、工商等，典型成功案例如国家海关报关稽核系统)对实时性要求不高，对安全性、灵活性提出了比较高的要求；各企业网对灵活性提出了很高的要求，同时要求数据的安全传输，但对实时性一般要求不高。针对上述需求的差异，现在的对应服务只有DDN专线方式，而其它公网传输方式只能提供灵活性和实时性，根本不能提供安全性的解决方式。VPN服务填补了这一服务空档：对实时性要求不高的专用广域网用户，从此不用再享受和银行行业一样的高费用“待遇”了。这些用户(其实也是数量最多的专用广域网用户)就是VPN增值服务的潜在市场，也是电信部门推广VPN业务的市场切入点。

　　从市场竞争的角度考虑。国内能提供DDN专线的不光中国电信，还有中国广电；国内能提供VPN增值业务的已有中国吉通公司。一方面，因为广电打出价格优势，有一部分DDN用户会被广电争取过去，而且随着国内形势的发展，这一竞争更趋激化。另一方面，中国吉通公司已宣布提供VPN增值服务，据我们了解，在短短的一个月时间内，已有很多用户咨询VPN业务，同时在吉通公司的市场宣传下，已有一些用户准备试用VPN服务。这样，以前由中国电信提供的DDN专线市场逐渐形成三足鼎立的局面，尤其是吉通公司，因为据我们上面的分析，会用VPN服务把国内大部分专线广域网用户拉到自己旗下。

　　从品牌巩固的策略角度分析，中国电信应该首先提供VPN增值业务。远期根据以往中国电信在移动通信领域成功的经验，中国电信首先在国内推出存在弱点的模拟移动，抢占了移动通信市场，确立了自己在国内移动市场的第一品牌形象，从而进入投资——回报——巩固投资——再回报的正螺旋规则；为以后连续推出一系列移动通信服务打下了良好的基础，成为在移动通信领域无可争议的龙头。近期炒作的沸沸扬扬的IP电话，也是一项新技术，其本身存在着很多缺点，如语音忽高忽低、延迟时间长、声音不真实等，与电信级的应用要求相去甚远，但一好遮百丑，其低廉的费用相比其缺点，对大多数用户、大多数场合来讲都是可以忍受的；所以吉通公司(又是吉通公司)迅捷的上马IP电话卡业务，率先抢占了这一市场，树立了自己在这一领域的第一品牌形象，事实证明拥护者众，而中国电信这一次比较保守，落在了吉通公司的后面；对这种有前途的业务来讲，不能抢先树立第一品牌形象意味着以后的市场工作加倍艰难。而VPN业务恰恰类似于IP电话业务，谁先树立第一品牌形象，谁就在以后的竞争中占领先机。

　　从网络技术发展的趋势来看，VPN最终将完全替代专线。可以分两个方面来看待这个问题：一是随着带宽建设的力度加强，网上信息拥挤问题将应刃而解，正如八辆车在十车道的高速公路上，根本不存在优先级别的问题，到那时，将不会再有人担忧QoS问题；二是退一步讲，就算带宽建设跟不上网络信息增长的力度，但技术水平是不断发展的，很快QoS问题在技术上会被解决。这正如以前中国电信上马模拟移动通信时，并机问题无法解决，但随着技术的发展，GSM和CDMA就解决了这方面的问题，而且还会发展。如果等着一项技术十全十美时再加以利用，遥遥无期。

　　综上所述，从国家信息产业发展的大趋势和中国电信发展市场的角度来看，国内的网络通讯业务接入商提供VPN增值业务是必要的也是必然的趋势。