VPN的兩大典型應(yīng)用及問題分析

VPN是一個(gè)舶來詞，中文的意識就是“虛擬專用網(wǎng)絡(luò)”。他可以通過特殊點(diǎn)加密通信協(xié)議在互聯(lián)網(wǎng)上開辟一條通道，為用戶之間通信建立連接。在外部看起來，好像是一條通信的專線，但是其不用鋪設(shè)通信光纜。所以，利用VPN技術(shù)的話，可以實(shí)現(xiàn)安全的、快捷的通信，而且，由于不需要專門鋪設(shè)光纜，成本也不是很高。所以，VPN技術(shù)的話，現(xiàn)在在企業(yè)中應(yīng)用的非常的廣泛。

VPN虛擬局域?qū)Ｓ镁W(wǎng)絡(luò)，在企業(yè)中，主要有三種應(yīng)用的場景。掌握這三種應(yīng)用的配置與管理，那么對于VPN技術(shù)，就入門了。俗話說，師傅領(lǐng)進(jìn)門，修行在自身。筆者在這里就充當(dāng)一回老大哥，談?wù)刅PN技術(shù)在企業(yè)中的三種典型應(yīng)用�；蛟S對大家有所幫助。

典型應(yīng)用一 連接企業(yè)不同辦事處或者不同公司之間的網(wǎng)絡(luò)

現(xiàn)在很多企業(yè)可能都不只一家生產(chǎn)工廠或者辦事處。像筆者這樣的一個(gè)外資企業(yè)，除了在浙江有一家生產(chǎn)工廠和外貿(mào)公司外，在內(nèi)地，如安徽等地，也有其加工廠�，F(xiàn)在遇到的問題是，這些公司之間的網(wǎng)絡(luò)如何進(jìn)行相互連接?若采用鋪設(shè)光纜的方法，明顯是行不通的，成本太大。為此，該如何進(jìn)行連接呢?可選的方法可能比較多。

如企業(yè)可以通過NAT技術(shù)實(shí)現(xiàn)對企業(yè)部分主機(jī)或者特殊應(yīng)用的連接，如可以利用NAT技術(shù)，讓安徽的加工成訪問企業(yè)的ERP系統(tǒng)。但是，利用NAT技術(shù)的話，有一些限制。如訪問的速度比較慢、安全性難以得到有效的保障;重要的是利用NAT技術(shù)的話，只能對一些特定的主機(jī)進(jìn)行訪問，而不能像是在企業(yè)內(nèi)部網(wǎng)路一樣，訪問自己想要訪問的主機(jī)或者服務(wù)等等。真是由于NAT技術(shù)由種種的缺陷和限制，所以，利用NAT技術(shù)來解決企業(yè)不同辦事處或者分公司之間的網(wǎng)絡(luò)通信，只可以說是一種可選的方案，而不是一種良好的方案。

筆者現(xiàn)在使用的是利用VPN技術(shù)，實(shí)現(xiàn)企業(yè)不同地點(diǎn)的分公司之間的網(wǎng)絡(luò)通信。其實(shí)，也是非常簡單的一個(gè)配置。在企業(yè)不同分公司兩端的防火墻上，都配置一個(gè)VPN服務(wù)器。如此的話，兩個(gè)網(wǎng)絡(luò)就可以利用VPN技術(shù)在互聯(lián)網(wǎng)上開辟一條局域網(wǎng)專用通道，把各個(gè)分公司之間的網(wǎng)絡(luò)進(jìn)行連接。如此的話，各個(gè)分公司的網(wǎng)絡(luò)就好像是在企業(yè)內(nèi)部網(wǎng)絡(luò)中一樣。一方面，利用VPN技術(shù)的話，可以在一定程度上保障通信內(nèi)容的安全性。VPN技術(shù)在安全上的設(shè)計(jì)，個(gè)人認(rèn)為比NAT技術(shù)要上一個(gè)層次。另一方面，利用虛擬局域?qū)Ｓ镁W(wǎng)絡(luò)的話，在速度上也有保障。其實(shí)，對于大部分企業(yè)來說，要在不同企業(yè)之間進(jìn)行訪問，安全性上可能還是次要的，對于速度的追求反而是更加敏感。所以，VPN技術(shù)在速度上的優(yōu)勢，更加使NAT技術(shù)不可匹敵的。當(dāng)然，用戶申請的帶寬不同，這方面也有明顯的區(qū)別。

在利用VPN技術(shù)實(shí)現(xiàn)公司之間網(wǎng)絡(luò)對接的話，要注意以下幾個(gè)問題：

1、涉及具體帶寬的問題。VPN技術(shù)雖然可以提供比較高的網(wǎng)絡(luò)訪問性能，但是，其仍然受到企業(yè)帶寬申請的限制。所以，我們網(wǎng)絡(luò)管理員在部署VPN應(yīng)用的時(shí)候，要注意分析，看看未來可能產(chǎn)生的帶寬與訪問數(shù)量。這跟個(gè)人利用VPN服務(wù)器登陸企業(yè)內(nèi)部網(wǎng)絡(luò)不同，訪問的數(shù)量、產(chǎn)生的數(shù)據(jù)流量兩者都不能相比。故，在利用VPN技術(shù)實(shí)現(xiàn)不同企業(yè)網(wǎng)絡(luò)對接的時(shí)候，有必要收集一下用戶的需求，如會不會有視頻會議的需求;會不會在總公司的網(wǎng)絡(luò)上放置一些視頻培訓(xùn)內(nèi)容，讓下面各個(gè)子公司進(jìn)行訪問;如會不會在總公司部署文件服務(wù)器或者ERP服務(wù)器，讓下面的各個(gè)分公司使用等等。這些應(yīng)用都會產(chǎn)生很大的數(shù)據(jù)流量。所以，若現(xiàn)在或者將來可能會采取這些應(yīng)用的話，則企業(yè)在帶寬的申請或者VPN設(shè)備的購置時(shí)，都要有這個(gè)預(yù)算。不然，等到需要時(shí)，再進(jìn)行網(wǎng)絡(luò)的升級，很可能會產(chǎn)生重復(fù)投資的浪費(fèi)。

2、訪問權(quán)限的設(shè)置與管理。利用虛擬局域?qū)Ｓ镁W(wǎng)絡(luò)VPN進(jìn)行公司之間網(wǎng)絡(luò)的對接的時(shí)候，我們的設(shè)想是這對于用戶來說是透明的。也就是說，用戶在利用VPN技術(shù)訪問其他公司的內(nèi)部網(wǎng)絡(luò)時(shí)，跟訪問自己企業(yè)的內(nèi)部網(wǎng)絡(luò)差不多。最簡單的說，分公司的財(cái)務(wù)人員在往企業(yè)總公司放財(cái)務(wù)報(bào)表的時(shí)候，不需要頻繁的輸入用戶名與密碼。這就是說，企業(yè)兩端的VPN服務(wù)器需要設(shè)置統(tǒng)一的訪問帳戶與密碼。就好像現(xiàn)在有些網(wǎng)站推出的“一號通”功能，利用同一個(gè)帳號，就可以登陸博客、郵箱、論壇等等。根據(jù)用戶登錄系統(tǒng)的帳號，不但可以訪問企業(yè)自己內(nèi)部的資源，也可以訪問總公司的資源。總之，用一句話來概括，就是要最大限度的讓用戶感受不到VPN的存在。當(dāng)然，要實(shí)現(xiàn)這個(gè)目標(biāo)，就需要在不同公司的VPN服務(wù)器進(jìn)行統(tǒng)一的管理，并對訪問權(quán)限進(jìn)行合理的配置;要對各個(gè)公司的用戶帳戶與密碼進(jìn)行統(tǒng)一的規(guī)劃。

典型應(yīng)用二 企業(yè)擴(kuò)展虛擬局域網(wǎng)

隨著信息化技術(shù)的發(fā)展，有時(shí)候，信息化管理已經(jīng)不再是企業(yè)自己的事情，更是一種跟客戶進(jìn)行談判的手段。

如筆者企業(yè)，就有不少的老外客戶，他們在跟我們談訂單的時(shí)候，就特別強(qiáng)調(diào)，他們要能夠訪問我們公司的ERP系統(tǒng)，查詢他們訂單的處理進(jìn)度。客戶是上帝，對于客戶的要求我們可不敢怠慢。為此，我們就可以使用VPN技術(shù)，實(shí)現(xiàn)企業(yè)擴(kuò)展虛擬局域網(wǎng)，讓客戶也能夠訪問我們公司企業(yè)內(nèi)部的ERP服務(wù)器。

企業(yè)擴(kuò)展虛擬局域網(wǎng)，其就是來實(shí)現(xiàn)一個(gè)目標(biāo)，就是讓企業(yè)的外部合作伙伴，能夠快速、安全的訪問企業(yè)的內(nèi)部應(yīng)用。其實(shí)現(xiàn)的原理，跟利用VPN技術(shù)，對不同公司之間網(wǎng)絡(luò)的對接，是一致的。不過，外部合作伙伴畢竟不是自己的人，所以，在關(guān)注上面所提到的注意點(diǎn)之外，還需要關(guān)注一下內(nèi)容。

一是數(shù)據(jù)的過濾。若有客戶需要訪問公司內(nèi)部的ERP系統(tǒng)，那么，公司當(dāng)然不希望其看到其他公司的信息，也不希望看到公司的生產(chǎn)成本�？蛻糁荒軌蛟L問他們自己企業(yè)的訂單相關(guān)信息，如訂單的生產(chǎn)進(jìn)度、質(zhì)量檢驗(yàn)情況、出貨情況等等。而這些信息的話，通過VPN服務(wù)器是沒法進(jìn)行控制的，需要在應(yīng)用系統(tǒng)中，如ERP系統(tǒng)中，進(jìn)行帳戶設(shè)置并分配給其合理的權(quán)限。筆者企業(yè)的ERP管理員的做法是，為客戶設(shè)置幾份報(bào)表，這幾份報(bào)表中包含用戶所關(guān)心所有信息。也就是說，客戶在訪問ERP信息的時(shí)候，只能夠訪問這幾份報(bào)表，而不能訪問其他內(nèi)容。我們都知道，利用數(shù)據(jù)庫的視圖功能，可以實(shí)現(xiàn)數(shù)據(jù)的過濾，從而保障客戶不能夠看到其不應(yīng)該看到的內(nèi)容。

二是訪問內(nèi)容的限制。在使用企業(yè)擴(kuò)展虛擬局域網(wǎng)的時(shí)候，要先明確客戶需要訪問企業(yè)的哪些應(yīng)用。一般來說，客戶只能夠訪問有限的應(yīng)用，而不能訪問企業(yè)所有的內(nèi)部網(wǎng)絡(luò)資源

可能企業(yè)允許客戶訪問自己公司內(nèi)部對ERP系統(tǒng)、CRM系統(tǒng)或者報(bào)關(guān)系統(tǒng)等等，而不能訪問其他資源，特別是對主機(jī)的隨意訪問。所以，網(wǎng)絡(luò)此時(shí)就需要注意，給他們的帳戶在分配權(quán)限的時(shí)候，要遵循最小權(quán)限的原則。寧可他們認(rèn)為權(quán)限不夠時(shí)在進(jìn)行調(diào)整，而不要一開始就給與他們太大的權(quán)限，讓他們可以訪問不該訪問的資源。