浅谈专网接入
2016-03-16段波
段波
【摘要】 关于专网接入的形势以及关于VPN的简单介绍。
【关键词】 专网通信 VPN
一、引言
进入21世纪,全球经济加快了一体化的进程,各国纷纷对内、对外开放。众所周知,由于我国在历史上存在各方面原因,电信企业处于垄断地位。但是进入80年代,我国改革开放经济发展较快,使得通信行业的效率大大提高,全行业有了长足的发展,国家、企业、消费者均获得更好的通信服务,取得了令世界瞩目的成功。
目前,我国对外开放程度在不断提高,进入国际化电信市场的进程也日益加快,但已经无法适应电信市场国际化的潮流,给我国电信企业进入国际化电信市场造成了巨大的障碍。同时,中国加入WTO只是时间问题,“入世”后,我国政府必然要取消部分关税壁垒,进一步开放电信市场,这势必促使我国电信市场的迅猛发展和重新构造。目前我国电信市场已由中国电信独家分为中国电信、中国移动、中国中国联通三家电信企业共同经营,这种格局使我国的电信企业间出现激烈的竞争。目前对于各大运营商而言,对于大客户的竞争已经到了白热化的地步,甚至带有些恶性竞争的态势。
二、概述
结合山西省现状,以中国联通为例,已经为煤炭系统、税务系统、教育系统以及政府等搭建了以传输SDH为基础的专网。就拿煤炭瓦斯系统来说,山西省煤炭瓦斯网络总体由省煤炭厅、各地市煤管局、区县煤管局、煤矿四级网络节点组成。用户租用的电路主要包括省煤炭厅-地市煤管局、地市煤管局-区县煤管局、区县煤管局-煤矿三个部分。山西联通为山西省煤炭瓦斯系统网络提供各级节点的网络汇聚及出口设备。主要包括:省煤炭厅的核心网络设备;地市煤管局、区县煤管局的下联汇聚设备、上联出口设备;各煤矿节点的网络出口设备等。光是设备投资就是上千万元之多,再加上线路部分,投资巨大,还要牵涉到后期的维护成本。
山西省作为一个煤炭大省,全省80%的县市都有煤矿。国务院在安全生产“十二五”规划中提出,要在“十二五”末,全国安全生产形势实现根本性好转的目标,提出了安全发展的战略,其核心就是以人为本,有效预防和减少安全生产重大事故发生,安全生产事关人民生命群众生命财产安全,事关社会和谐稳定。在此背景下,山西省煤炭厅主导的煤炭瓦斯监控系统应运而生,山西联通为其组建了煤炭瓦斯监控系统专网,投资好几千万元,投资主要集中在接入层从各级联通乡镇接入网点到煤矿点的光缆投资。在这种高投入的情况下,其实存在着许多隐患。大大小小的煤矿大部分分布在山沟里、深山中,光缆接入困难重重,日后维护成本也大大提高。更是让人担心的是部分煤矿属于被关停之列,或者是开采期很短的煤矿,可能开采三五年之后就会枯竭的煤矿。像诸如此类的煤矿,光缆铺设进去可能就等于上万元甚至几十万元掉进无底洞。然而这仅仅是其中的某一个专网而已,还有许许多多的专网。倘若每一个专网都像这样搭建,动辄上千万,耗费大量的人力、物力、财力,造成很大的资源浪费。目前的传统运营商都在像现代企业靠拢,追求利润的最大化为经营目标,已不是原有的那种普遍服务,因此一种解决专网接入行之有效的方式VPN就提出。
随着网络经济的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况促使了企业的效益日益增长,另一方面也越来越凸现传统企业网的功能缺陷:传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下,VPN技术以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。
三、VPN的定义
所谓VPN(Virtual Private Network 虚拟专用网络)指的是依靠Internet服务提供商(ISP)或其他网络服务提供商(NSP),在公用网络中建立专用的数据通信网络的技术。VPN不是真的专用网络,但却能够实现专用网络的功能。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公用网络的资源动态组成的。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。企业利用Internet建立自己的IPSec VPN有许多便利条件。
四、VPN的特点
1.经济。不再承担昂贵的固定线路的租费。SDH电路的异地收费随着通讯距离的增加而递增,分支越远,租费越高。而Internet的接入费用则只承担本地的接入费用,无论分支多远,费用却是一样的。因此,连接长途分支时,采用Internet作为传输骨干是非常便宜的,但带宽却可以较高。此外,VPN设备也是功能强劲但投资小。
2.灵活。连接Internet的方式可以是10M、100M、1000M端口,也可以是2M或更低速的端口,因而成为选择种类众多的端口连接方式。可以连接到任意Internet通的地点,不受距离和运营商的网络限制。一个IPSec VPN网络可以连接任意地点的分支,即使跨越大洋也毫不受限制。而本地的接入可以选择Internet服务提供最好的运营商,以求得到最优服务。
3.广泛。IPSec VPN可以以低廉的价格连接少量的分支,也适合连接众多的分支。对社会保险行业、零售行业等众多的客户群,大量分支连接是IT部门领导头痛的事情。而IPSec VPN的核心设备的扩展性好,一个端口可以同时连接成千上万的分支,包括分支部门和移动办公的用户,而不需要SDH等一个端口对应一个远端用户。
4. 多业务。远程的IP话音业务和视频也可传送到远端分支和移动用户,连通数据业务一起,为现代化办公提供便利条件,节省大量长途话费。
5. 安全。IPSec VPN 的显著特点就是它的安全性,这是它保证内部数据安全的根本。在VPN 交换机上,通过多种方式保证层层安全。
VPN产品提供的安全性特性包括:1)支持所有领先的通道协议;2)数据加密;3)过滤/防火墙;4)通过RADIUS,LDAP,和SecurID实现授权5)内置防火墙。VPN设备提供内置防火墙功能,可以在VPN通道之外,从公网到私网接口传输流量。内置防火墙可以设置在每个逻辑端口,提供很大的灵活性。6)用户认证、计费。通过RADIUS,PAP,CHAP,Tokens,X.509,LDAP和 SecurID,提供大量授权方法。Entrust&VeriSign;数字认证——使用数字认证X.509提供业界领先的VPN 安全。
6. 冗余设计。VPN设备提供冗余机制,保证链路和设备的可靠性。在中心节点VPN核心设备提供冗余CPU、冗余电源的硬件冗余设计。链路出现故障时,VPN交换机支持静态隧道故障恢复功能。安全IP服务网关可以在多条路由选择路径以及多个交换机之间实现负载均衡。
此外在连接时,VPN客户端会自动选择通讯列表中设置的本区域的骨干节点,当本区域节点故障时,自动依列表上的设置选择连接其他VPN交换机,从而达到连接的目的。
7. 分离的通道。VPN交换机的分离通道特性为IPSec客户端提供,同时对Internet、Extranet网络访问的支持。它可以设置权限,允许用户的访问权限,如允许本地打印和文件共享访问,允许直接Internet 访问和允许安全外网访问,该特性使用户在安全条件下合理方便地使用网络资源,既有安全性又有灵活性。
8. 动、静态路由。RIPv1和RIPv2、OSPF——简化地址路由的配置。众多的用户和复杂的路由需要路由协议的支持使得整个网络的地址管理方便有效,RIP和OSPF协议使得VPN设备之间象路由器一样连接和扩展,适合网络规模的不断扩大。并且动态路由协议可在加密隧道中支持。
9. 管理特性。管理人员可以通过管理软件,远程配置达到对远端节点的管理,非常方便。使用VPN正是一个实现容易、管理简单、安全性好、花费低廉的综合解决方案。使用VPN既比租用专线省钱,又比仅通过Internet进行访问安全。
五、结束语
随着专网技术的迅速发展,VPN技术也会成熟起来。在国内,大量企业开始考虑这种方式,许多企业进行了实施。这种经济、方便、灵活、可扩展的方式逐步成为企业用户的新宠。
参 考 文 献
[1]《中国数据通信》
[2]《通信世界报》