淺談專網(wǎng)接入

段波

【摘要】 關(guān)于專網(wǎng)接入的形勢以及關(guān)于VPN的簡單介紹。

【關(guān)鍵詞】 專網(wǎng)通信 VPN

一、引言

進入21世紀，全球經(jīng)濟加快了一體化的進程，各國紛紛對內(nèi)、對外開放。眾所周知，由于我國在歷史上存在各方面原因，電信企業(yè)處于壟斷地位。但是進入80年代，我國改革開放經(jīng)濟發(fā)展較快，使得通信行業(yè)的效率大大提高，全行業(yè)有了長足的發(fā)展，國家、企業(yè)、消費者均獲得更好的通信服務(wù)，取得了令世界矚目的成功。

目前，我國對外開放程度在不斷提高，進入國際化電信市場的進程也日益加快，但已經(jīng)無法適應(yīng)電信市場國際化的潮流，給我國電信企業(yè)進入國際化電信市場造成了巨大的障礙。同時，中國加入WTO只是時間問題，“入世”后，我國政府必然要取消部分關(guān)稅壁壘，進一步開放電信市場，這勢必促使我國電信市場的迅猛發(fā)展和重新構(gòu)造。目前我國電信市場已由中國電信獨家分為中國電信、中國移動、中國中國聯(lián)通三家電信企業(yè)共同經(jīng)營，這種格局使我國的電信企業(yè)間出現(xiàn)激烈的競爭。目前對于各大運營商而言，對于大客戶的競爭已經(jīng)到了白熱化的地步，甚至帶有些惡性競爭的態(tài)勢。

二、概述

結(jié)合山西省現(xiàn)狀，以中國聯(lián)通為例，已經(jīng)為煤炭系統(tǒng)、稅務(wù)系統(tǒng)、教育系統(tǒng)以及政府等搭建了以傳輸SDH為基礎(chǔ)的專網(wǎng)。就拿煤炭瓦斯系統(tǒng)來說，山西省煤炭瓦斯網(wǎng)絡(luò)總體由省煤炭廳、各地市煤管局、區(qū)縣煤管局、煤礦四級網(wǎng)絡(luò)節(jié)點組成。用戶租用的電路主要包括省煤炭廳-地市煤管局、地市煤管局-區(qū)縣煤管局、區(qū)縣煤管局-煤礦三個部分。山西聯(lián)通為山西省煤炭瓦斯系統(tǒng)網(wǎng)絡(luò)提供各級節(jié)點的網(wǎng)絡(luò)匯聚及出口設(shè)備。主要包括：省煤炭廳的核心網(wǎng)絡(luò)設(shè)備；地市煤管局、區(qū)縣煤管局的下聯(lián)匯聚設(shè)備、上聯(lián)出口設(shè)備；各煤礦節(jié)點的網(wǎng)絡(luò)出口設(shè)備等。光是設(shè)備投資就是上千萬元之多，再加上線路部分，投資巨大，還要牽涉到后期的維護成本。

山西省作為一個煤炭大省，全省80%的縣市都有煤礦。國務(wù)院在安全生產(chǎn)“十二五”規(guī)劃中提出，要在“十二五”末，全國安全生產(chǎn)形勢實現(xiàn)根本性好轉(zhuǎn)的目標，提出了安全發(fā)展的戰(zhàn)略，其核心就是以人為本，有效預(yù)防和減少安全生產(chǎn)重大事故發(fā)生，安全生產(chǎn)事關(guān)人民生命群眾生命財產(chǎn)安全，事關(guān)社會和諧穩(wěn)定。在此背景下，山西省煤炭廳主導(dǎo)的煤炭瓦斯監(jiān)控系統(tǒng)應(yīng)運而生，山西聯(lián)通為其組建了煤炭瓦斯監(jiān)控系統(tǒng)專網(wǎng)，投資好幾千萬元，投資主要集中在接入層從各級聯(lián)通鄉(xiāng)鎮(zhèn)接入網(wǎng)點到煤礦點的光纜投資。在這種高投入的情況下，其實存在著許多隱患。大大小小的煤礦大部分分布在山溝里、深山中，光纜接入困難重重，日后維護成本也大大提高。更是讓人擔(dān)心的是部分煤礦屬于被關(guān)停之列，或者是開采期很短的煤礦，可能開采三五年之后就會枯竭的煤礦。像諸如此類的煤礦，光纜鋪設(shè)進去可能就等于上萬元甚至幾十萬元掉進無底洞。然而這僅僅是其中的某一個專網(wǎng)而已，還有許許多多的專網(wǎng)。倘若每一個專網(wǎng)都像這樣搭建，動輒上千萬，耗費大量的人力、物力、財力，造成很大的資源浪費。目前的傳統(tǒng)運營商都在像現(xiàn)代企業(yè)靠攏，追求利潤的最大化為經(jīng)營目標，已不是原有的那種普遍服務(wù)，因此一種解決專網(wǎng)接入行之有效的方式VPN就提出。

隨著網(wǎng)絡(luò)經(jīng)濟的發(fā)展，企業(yè)日益擴張，客戶分布日益廣泛，合作伙伴日益增多，這種情況促使了企業(yè)的效益日益增長，另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷：傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點的專線連接方式已難以適應(yīng)現(xiàn)代企業(yè)的需求。于是企業(yè)對于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求，主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟性、擴展性等方面。在這樣的背景下，VPN技術(shù)以其獨具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞，令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運行與維護，而更多地致力于企業(yè)的商業(yè)目標的實現(xiàn)。

三、VPN的定義

所謂VPN（Virtual Private Network 虛擬專用網(wǎng)絡(luò)）指的是依靠Internet服務(wù)提供商（ISP）或其他網(wǎng)絡(luò)服務(wù)提供商（NSP），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。VPN不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是利用某種公用網(wǎng)絡(luò)的資源動態(tài)組成的。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。企業(yè)利用Internet建立自己的IPSec VPN有許多便利條件。

四、VPN的特點

1.經(jīng)濟。不再承擔(dān)昂貴的固定線路的租費。SDH電路的異地收費隨著通訊距離的增加而遞增，分支越遠，租費越高。而Internet的接入費用則只承擔(dān)本地的接入費用，無論分支多遠，費用卻是一樣的。因此，連接長途分支時，采用Internet作為傳輸骨干是非常便宜的，但帶寬卻可以較高。此外，VPN設(shè)備也是功能強勁但投資小。

2.靈活。連接Internet的方式可以是10M、100M、1000M端口，也可以是2M或更低速的端口，因而成為選擇種類眾多的端口連接方式。可以連接到任意Internet通的地點，不受距離和運營商的網(wǎng)絡(luò)限制。一個IPSec VPN網(wǎng)絡(luò)可以連接任意地點的分支，即使跨越大洋也毫不受限制。而本地的接入可以選擇Internet服務(wù)提供最好的運營商，以求得到最優(yōu)服務(wù)。

3.廣泛。IPSec VPN可以以低廉的價格連接少量的分支，也適合連接眾多的分支。對社會保險行業(yè)、零售行業(yè)等眾多的客戶群，大量分支連接是IT部門領(lǐng)導(dǎo)頭痛的事情。而IPSec VPN的核心設(shè)備的擴展性好，一個端口可以同時連接成千上萬的分支，包括分支部門和移動辦公的用戶，而不需要SDH等一個端口對應(yīng)一個遠端用戶。

4. 多業(yè)務(wù)。遠程的IP話音業(yè)務(wù)和視頻也可傳送到遠端分支和移動用戶，連通數(shù)據(jù)業(yè)務(wù)一起，為現(xiàn)代化辦公提供便利條件，節(jié)省大量長途話費。

5. 安全。IPSec VPN 的顯著特點就是它的安全性，這是它保證內(nèi)部數(shù)據(jù)安全的根本。在VPN 交換機上，通過多種方式保證層層安全。

VPN產(chǎn)品提供的安全性特性包括：1）支持所有領(lǐng)先的通道協(xié)議；2）數(shù)據(jù)加密；3）過濾/防火墻；4）通過RADIUS，LDAP，和SecurID實現(xiàn)授權(quán)5）內(nèi)置防火墻。VPN設(shè)備提供內(nèi)置防火墻功能，可以在VPN通道之外，從公網(wǎng)到私網(wǎng)接口傳輸流量。內(nèi)置防火墻可以設(shè)置在每個邏輯端口，提供很大的靈活性。6）用戶認證、計費。通過RADIUS，PAP，CHAP，Tokens，X.509，LDAP和 SecurID，提供大量授權(quán)方法。Entrust&VeriSign;數(shù)字認證——使用數(shù)字認證X.509提供業(yè)界領(lǐng)先的VPN 安全。

6. 冗余設(shè)計。VPN設(shè)備提供冗余機制，保證鏈路和設(shè)備的可靠性。在中心節(jié)點VPN核心設(shè)備提供冗余CPU、冗余電源的硬件冗余設(shè)計。鏈路出現(xiàn)故障時，VPN交換機支持靜態(tài)隧道故障恢復(fù)功能。安全IP服務(wù)網(wǎng)關(guān)可以在多條路由選擇路徑以及多個交換機之間實現(xiàn)負載均衡。

此外在連接時，VPN客戶端會自動選擇通訊列表中設(shè)置的本區(qū)域的骨干節(jié)點，當本區(qū)域節(jié)點故障時，自動依列表上的設(shè)置選擇連接其他VPN交換機，從而達到連接的目的。

7. 分離的通道。VPN交換機的分離通道特性為IPSec客戶端提供，同時對Internet、Extranet網(wǎng)絡(luò)訪問的支持。它可以設(shè)置權(quán)限，允許用戶的訪問權(quán)限，如允許本地打印和文件共享訪問，允許直接Internet 訪問和允許安全外網(wǎng)訪問，該特性使用戶在安全條件下合理方便地使用網(wǎng)絡(luò)資源，既有安全性又有靈活性。

8. 動、靜態(tài)路由。RIPv1和RIPv2、OSPF——簡化地址路由的配置。眾多的用戶和復(fù)雜的路由需要路由協(xié)議的支持使得整個網(wǎng)絡(luò)的地址管理方便有效，RIP和OSPF協(xié)議使得VPN設(shè)備之間象路由器一樣連接和擴展，適合網(wǎng)絡(luò)規(guī)模的不斷擴大。并且動態(tài)路由協(xié)議可在加密隧道中支持。

9. 管理特性。管理人員可以通過管理軟件，遠程配置達到對遠端節(jié)點的管理，非常方便。使用VPN正是一個實現(xiàn)容易、管理簡單、安全性好、花費低廉的綜合解決方案。使用VPN既比租用專線省錢，又比僅通過Internet進行訪問安全。

五、結(jié)束語

隨著專網(wǎng)技術(shù)的迅速發(fā)展，VPN技術(shù)也會成熟起來。在國內(nèi)，大量企業(yè)開始考慮這種方式，許多企業(yè)進行了實施。這種經(jīng)濟、方便、靈活、可擴展的方式逐步成為企業(yè)用戶的新寵。

參 考 文 獻

[1]《中國數(shù)據(jù)通信》

[2]《通信世界報》