互联网的方便、高速和覆盖并没有被企业网充分利用。公司老总很晚才下班,要在公司处理完所有的邮件,尽管家中有宽带,但那是互联网接入,不能接到公司内部网络;出差在外的员工必须拔打昂贵的800号码或长途电话才能访问公司内部信息,以大约28.8Kbps的速率连接到公司内部网络,酒店的宽带接口却放在一边不能用。因为任何企业的IT经理都不会将企业内部网直接连接到互联网,企业内部网与互联网之间都会设置防火墙,只允许内部网络结点向互联网发起请求,进行互联网的访问;但不允许通过互联网结点访问企业内部的信息。
怎样才能利用高速、便利的互联网接入安全地实现移动办公,在家办公呢?答案是远程接入VPN。
移动办公的实现并不复杂,只需要在企业总部的广域网接入侧增加一个VPN网关设备,就可以提供企业远程办公的支持;对于移动办公的结点,只需要安装一个远程VPN客户端软件。移动结点在家,酒店,咖啡厅连接到互联网后,通过VPN拨号,就可以与企业的VPN网关之间建立一个安全加密的隧道。移动结点就好像在企业内部的局域网一样,进行内部信息的访问。
安全保证是任何一个企业对VPN的首要要求。首先,远程接入采用IPSEC协议,提供数据私密性、完整性和用户/数据的鉴权和认证,并支持L2TP,PPTP或L2TP over IPSEC等协议。其次,VPN网关集成的状态防火墙功能可以有效地控制来自互联网的数据。再有,远程用户接入之前必须进行身份认证。VPN网关可以直接用于用户认证,大型企业多个VPN结点建议通过外部的 RADIUS/LDAP 服务器;还可支持卡认证,CA认证。最后,VPN网关可以将用户进行分组,针对小组制定安全策略,如要求结点必须设置屏幕保护;不允许保存口令,设置拨号时段、时长,空闲时长等。
远程接入VPN应具有很高的可用性,在企业内部,要求VPN网关设备可以通过插板提供V.35、以太网等接入方式,支持PPP,FR,DHCP或PPPoE客户端;要求高可靠性的企业用户可以通过两台以上VPN网关设备实现备份和分均负载,透明地为远程用户提供高可靠性。对于远程用户,除微软平台,还要求支持PDA, Linux ,UNIX以及PDA等操作系统;业务实现应通过虚拟网卡的方式实现,以支持 H.323 ,SIP等任何IP应用。
一个重要的特性是VPN隧道是否可以穿透NAT设备。许多NAT设备不能支持IPSEC的地址转换,而将其丢掉,用户在使用有NAT设备的网络时,就没有办法实现VPN了。因此,VPN网关需要在建立 IP SEC 隧道前,自动检测网络中是否有NAT设备,如检测到,则自动采用NAT穿透方式保证IPSEC隧道的建立和传输。
QoS也非常重要,对于不同的隧道,应能提供不同的服务质量。
业务实现是自组还是外包?新的趋势是外包。企业可将广域网、宽带业务和远程接入VPN等通过电信运营商提供,打包的业务可以得到优惠,服务质量也更有保障。通过外包,企业还能选择租用方式灵活地实现自已的业务需求,根据需求租用不同档次的设备,以降低技术和投资风险。运营商也可以充分发挥技术优势,将服务器托管,设备代维等全套服务统一地提供给企业客户。
通过外包业务,企业可以要求实现完全虚拟化的服务,即只需要与运营商签署协议,运营商可以通过虚拟路由技术和账号管理,为企业用户提供远程接入的服务,不需要在企业网络中进行任何设备的安装和结构的改变。
北电网络Contivity业务网关推助移动办公业务实现
Contivity是北电网络向企业和运营商提供的高性能安全IP业务网关,包括从600,10X0,1700,2700和5000网关设备和相应的客户端及网管软件在内的全系列产品。 Contivity集成了VPN,路由,防火墙,QoS等功能。
Contivity产品系列在全球管理VPN市场上一直处于领先地位,连续多年在市场上保持第一。在全球500强企业当中,有超过100家企业使用 Contivity作为VPN网关设备;Contivity被全球八大运营商中的七家选定为管理VPN业务的产品。
随着我国互联网接入的发展和宽带接入、移动接入的普及,企业对远程接入VPN的需求不断增加。北电网络正在中国与各大运营商合作,为企业实现移动办公,家庭办公作出努力。
