过去,大部分企业是地域性的,驻守在一个区域中。但是,现在多数企业则是全国性的,甚至是全球性的。企业通过合并、收购等形式,或者在各地设立办事处等等方式,迅速扩大企业的规模。在分散的地理位置上存在越来越多的办事机构、分公司等等。而随着企业信息化办公的普及,如何把这些流离在企业外围的机构纳入到企业同一的信息化平台中来,这就是CIO所面对的一个挑战。企业需要在总部与各个分支机构之间进行快速、安全的信息及交流,VPN(虚拟专用网)也应用而生。到目前为止,可以说VPN的解决方案已经让人眼花缭乱。为此,CIO现在不用担心找到的VPN解决方式;而该担心的是,如何选择一个价廉物美又合身的VPN服务提供商,包括硬件设备。笔者将结合自己的VPN选型经验,跟各位CIO朋友们,探讨一下如何围绕三个核心问题进行VPN选型。
核心一:对于用户要透明
VPN(虚拟专用网)允许在远处的分支机构工作的职员与企业总部内的网络进行安全通信。他们在使用VPN虚拟专用网联入企业总部内部网络的时候,跟访问局域网没有什么不同。而且,通过因特网连接到公司VPN的远程用户还可以在公司的VPN上进行身份鉴别,从而实现访问权限的控制。要实现这一点,就是要求VPN虚拟专用网解决方案对于用户来说,是“透明”的。简而言之,远程分支机构的员工在通过VPN虚拟专用网访问企业总部网络资源的时候,他们并不知道有VPN的存在。他们通过网上邻居或者通过文件服务器的图标,就可以直接进入到企业总部的网络。
只有如此,终端用户用起来才能够比较方便。根据对用户透明程度的不同,VPN主要由两种实现方式。
一是终端用户需要进行拨号才能够连接到企业内部网络。如当分支结构的员工需要通过VPN虚拟专用网连接到企业内部网络的话,则需要先进行拨号连接到企业的VPN服务器。然后才能够访问。当用户下次再进行访问的时候,仍然需要拨号。这显然非常的麻烦。对于终端用户来说,不够透明。
二是利用路由器等网络设备来代替终端用户的拨号行为。这就好像ADSL拨号上网一样,再ADSL猫上联入一个路由器,把这个拨号的任务交给路由器来完成。如此的话,用户需要上网的时候,不需要再重新拨号了。因为路由器始终连接在互联网上。所以,ADSL对于用户来说,是透明的。他们并不关心如何才能够联网。其实,VPN也可以实现类似的处理。如现在有一个分支机构需要与企业总部建立VPN连接,那么只需要在这个分支机构的边界路由器中,实现一个VPN的客户端。让其永远与企业的VPN服务器之间建立连接。如此,只要这个分支机构的员工终端主机连接在这台路由器上,那么他们就可以不经过任何操作直接跟企业的VPN服务器进行操作。因为事先的拨号工作路由器已经帮助完成了。不过,这虽然提供了VPN虚拟专用网对终端用户的透明性,但是,其需要路由器等网络设备的支持。
到底是放弃透明性,提高VPN虚拟专用网的灵活性;还是坚持透明性,增加一定的网络投资呢?笔者认为这没有一个绝对的答案。需要CIO根据企业的应用场景来进行选择。在通常情况下,如果终端用户的数量比较少、终端用户具有一定的知识背景、而且其流动性比较强的话,那么最好还是通过拨号来连接到VPN网络服务器为好。但是,如果终端用户数量比较多,如分公司与总公司的连接等等,那么还是让路由器来进行拨号、跟企业VPN服务器进行连接为好。
核心二:利用软件还是利用硬件来实现
现有的VPN虚拟专用网解决方案,基本上都是基于IP网络的。VPN能够在公共网络上为分布在各地的办事处之间提供安全连接,而不需要租用昂贵的线路。由于VPN是基于IP网络的,所以任何现有的基于IP网络通过安装允许安全远程访问的软件,都可以被轻易的转化为VPN。可见,VPN基本上跟平台无关的。故CIO在选择VPN解决方案的时候,基本上不用考虑VPN的实现平台问题。这跟选择ERP等信息化管理软件不同。后者还需要考虑企业现有的平台跟ERP等管理软件能够兼容问题。而VPN虚拟专用网则不用考虑这个问题。
还没有评论,来说两句吧...