隨著企業(yè)信息化辦公的普及，如何把這些流離在企業(yè)外圍的機(jī)構(gòu)納入到企業(yè)同一的信息化平臺(tái)中來，這就是CIO所面對(duì)的一個(gè)挑戰(zhàn)。

　　過去，大部分企業(yè)是地域性的，駐守在一個(gè)區(qū)域中。但是，現(xiàn)在多數(shù)企業(yè)則是全國性的，甚至是全球性的。企業(yè)通過合并、收購等形式，或者在各地設(shè)立辦事處等等方式，迅速擴(kuò)大企業(yè)的規(guī)模。在分散的地理位置上存在越來越多的辦事機(jī)構(gòu)、分公司等等。而隨著企業(yè)信息化辦公的普及，如何把這些流離在企業(yè)外圍的機(jī)構(gòu)納入到企業(yè)同一的信息化平臺(tái)中來，這就是CIO所面對(duì)的一個(gè)挑戰(zhàn)。企業(yè)需要在總部與各個(gè)分支機(jī)構(gòu)之間進(jìn)行快速、安全的信息及交流，VPN(虛擬專用網(wǎng))也應(yīng)用而生。到目前為止，可以說VPN的解決方案已經(jīng)讓人眼花繚亂。為此，CIO現(xiàn)在不用擔(dān)心找到的VPN解決方式；而該擔(dān)心的是，如何選擇一個(gè)價(jià)廉物美又合身的VPN服務(wù)提供商，包括硬件設(shè)備。筆者將結(jié)合自己的VPN選型經(jīng)驗(yàn)，跟各位CIO朋友們，探討一下如何圍繞三個(gè)核心問題進(jìn)行VPN選型。

　　核心一：對(duì)于用戶要透明。

　　VPN(虛擬專用網(wǎng))允許在遠(yuǎn)處的分支機(jī)構(gòu)工作的職員與企業(yè)總部內(nèi)的網(wǎng)絡(luò)進(jìn)行安全通信。他們?cè)谑褂肰PN虛擬專用網(wǎng)聯(lián)入企業(yè)總部內(nèi)部網(wǎng)絡(luò)的時(shí)候，跟訪問局域網(wǎng)沒有什么不同。而且，通過因特網(wǎng)連接到公司VPN的遠(yuǎn)程用戶還可以在公司的VPN上進(jìn)行身份鑒別，從而實(shí)現(xiàn)訪問權(quán)限的控制。要實(shí)現(xiàn)這一點(diǎn)，就是要求VPN虛擬專用網(wǎng)解決方案對(duì)于用戶來說，是“透明”的。簡(jiǎn)而言之，遠(yuǎn)程分支機(jī)構(gòu)的員工在通過VPN虛擬專用網(wǎng)訪問企業(yè)總部網(wǎng)絡(luò)資源的時(shí)候，他們并不知道有VPN的存在。他們通過網(wǎng)上鄰居或者通過文件服務(wù)器的圖標(biāo)，就可以直接進(jìn)入到企業(yè)總部的網(wǎng)絡(luò)。

　　只有如此，終端用戶用起來才能夠比較方便。根據(jù)對(duì)用戶透明程度的不同，VPN主要由兩種實(shí)現(xiàn)方式。

　　一是終端用戶需要進(jìn)行撥號(hào)才能夠連接到企業(yè)內(nèi)部網(wǎng)絡(luò)。如當(dāng)分支結(jié)構(gòu)的員工需要通過VPN虛擬專用網(wǎng)連接到企業(yè)內(nèi)部網(wǎng)絡(luò)的話，則需要先進(jìn)行撥號(hào)連接到企業(yè)的VPN服務(wù)器。然后才能夠訪問。當(dāng)用戶下次再進(jìn)行訪問的時(shí)候，仍然需要撥號(hào)。這顯然非常的麻煩。對(duì)于終端用戶來說，不夠透明。

　　二是利用路由器等網(wǎng)絡(luò)設(shè)備來代替終端用戶的撥號(hào)行為。這就好像ADSL撥號(hào)上網(wǎng)一樣，再ADSL貓上聯(lián)入一個(gè)路由器，把這個(gè)撥號(hào)的任務(wù)交給路由器來完成。如此的話，用戶需要上網(wǎng)的時(shí)候，不需要再重新?lián)芴?hào)了。因?yàn)槁酚善魇冀K連接在互聯(lián)網(wǎng)上。所以，ADSL對(duì)于用戶來說，是透明的。他們并不關(guān)心如何才能夠聯(lián)網(wǎng)。其實(shí)，VPN也可以實(shí)現(xiàn)類似的處理。如現(xiàn)在有一個(gè)分支機(jī)構(gòu)需要與企業(yè)總部建立VPN連接，那么只需要在這個(gè)分支機(jī)構(gòu)的邊界路由器中，實(shí)現(xiàn)一個(gè)VPN的客戶端。讓其永遠(yuǎn)與企業(yè)的VPN服務(wù)器之間建立連接。如此，只要這個(gè)分支機(jī)構(gòu)的員工終端主機(jī)連接在這臺(tái)路由器上，那么他們就可以不經(jīng)過任何操作直接跟企業(yè)的VPN服務(wù)器進(jìn)行操作。因?yàn)槭孪鹊膿芴?hào)工作路由器已經(jīng)幫助完成了。不過，這雖然提供了VPN虛擬專用網(wǎng)對(duì)終端用戶的透明性，但是，其需要路由器等網(wǎng)絡(luò)設(shè)備的支持。

　　到底是放棄透明性，提高VPN虛擬專用網(wǎng)的靈活性；還是堅(jiān)持透明性，增加一定的網(wǎng)絡(luò)投資呢？筆者認(rèn)為這沒有一個(gè)絕對(duì)的答案。需要CIO根據(jù)企業(yè)的應(yīng)用場(chǎng)景來進(jìn)行選擇。在通常情況下，如果終端用戶的數(shù)量比較少、終端用戶具有一定的知識(shí)背景、而且其流動(dòng)性比較強(qiáng)的話，那么最好還是通過撥號(hào)來連接到VPN網(wǎng)絡(luò)服務(wù)器為好。但是，如果終端用戶數(shù)量比較多，如分公司與總公司的連接等等，那么還是讓路由器來進(jìn)行撥號(hào)、跟企業(yè)VPN服務(wù)器進(jìn)行連接為好。

　　核心二：利用軟件還是利用硬件來實(shí)現(xiàn)？

　　現(xiàn)有的VPN虛擬專用網(wǎng)解決方案，基本上都是基于IP網(wǎng)絡(luò)的。VPN能夠在公共網(wǎng)絡(luò)上為分布在各地的辦事處之間提供安全連接，而不需要租用昂貴的線路。由于VPN是基于IP網(wǎng)絡(luò)的，所以任何現(xiàn)有的基于IP網(wǎng)絡(luò)通過安裝允許安全遠(yuǎn)程訪問的軟件，都可以被輕易的轉(zhuǎn)化為VPN。可見，VPN基本上跟平臺(tái)無關(guān)的。故CIO在選擇VPN解決方案的時(shí)候，基本上不用考慮VPN的實(shí)現(xiàn)平臺(tái)問題。這跟選擇ERP等信息化管理軟件不同。后者還需要考慮企業(yè)現(xiàn)有的平臺(tái)跟ERP等管理軟件能夠兼容問題。而VPN虛擬專用網(wǎng)則不用考慮這個(gè)問題。

　　那么CIO該考慮什么問題呢？CIO應(yīng)該考慮該如何實(shí)現(xiàn)VPN，即是通過軟件來實(shí)現(xiàn)，還是通過硬件來實(shí)現(xiàn)。根據(jù)現(xiàn)有VPN服務(wù)提供商設(shè)計(jì)出的虛擬專用網(wǎng)解決方案，大致可以分為三種。分別為基于硬件、基于軟件與基于網(wǎng)絡(luò)三種。他們各有各的特點(diǎn)，也各有各的局限性。CIO需要根據(jù)自己企業(yè)的實(shí)際情況，進(jìn)行選擇。

　　一是基于硬件的虛擬專用網(wǎng)解決方案。也就是說，VPN解決方案跟加密路由器等網(wǎng)絡(luò)設(shè)備是集成的，即在專用的網(wǎng)絡(luò)設(shè)備上實(shí)現(xiàn)VPN技術(shù)。有了專業(yè)設(shè)備的支持，一方面VPN解決方案能夠提供更高的安全級(jí)別，如與AAA服務(wù)器結(jié)合提高身份鑒別的安全性等等。其次，由于有專門的網(wǎng)絡(luò)設(shè)備來處理VPN數(shù)據(jù)流，所以其可以在短時(shí)間內(nèi)處理大量的網(wǎng)絡(luò)流量。其三，比較容易管理。因?yàn)樵趯I(yè)設(shè)別上，往往會(huì)有一個(gè)管理的平臺(tái)。在這個(gè)平臺(tái)上CIO可以根據(jù)企業(yè)的需要設(shè)置不同的策略，如CIO可能想讓遠(yuǎn)程用戶只能夠通過VPN來訪問企業(yè)的郵箱服務(wù)器。如果利用專門的硬件設(shè)備來實(shí)現(xiàn)VPN的話，那么這個(gè)需求就可以很輕易的實(shí)現(xiàn)。不過其缺陷也很明顯。如需要專門的硬件投資，而且這不是消費(fèi)用；如由于硬件是死的，所以其靈活性就會(huì)大打折扣。

　　二是基于軟件來實(shí)現(xiàn)。也就是說，在現(xiàn)有的服務(wù)器或者網(wǎng)絡(luò)設(shè)備上，可能本身就帶有VPN的軟件包；又或者可以安裝VPN服務(wù)器軟件的方式來實(shí)現(xiàn)虛擬專用網(wǎng)?；谲浖韺?shí)現(xiàn)VPN，企業(yè)不需要投入額外的硬件設(shè)備，可以節(jié)省VPN應(yīng)用成本。同時(shí)，可以在所需要的服務(wù)器上安裝VPN軟件來實(shí)現(xiàn)，其靈活性也比基于硬件的方式要高的多。但是，由于其沒有處理大量網(wǎng)絡(luò)數(shù)據(jù)流的專門設(shè)備的支持，其性能就會(huì)比較低；而且也沒有專業(yè)用來處理安全的身份鑒別服務(wù)器設(shè)別或者加密設(shè)備，其安全性也會(huì)大折扣。

　　三是基于網(wǎng)絡(luò)的VPN。這個(gè)是在專用的IP網(wǎng)絡(luò)上實(shí)現(xiàn)的。而以上兩種方式，是通過公共網(wǎng)絡(luò)，即互聯(lián)網(wǎng)實(shí)現(xiàn)的。在基于IP網(wǎng)絡(luò)上實(shí)現(xiàn)的VPN虛擬專用，比在互聯(lián)網(wǎng)上實(shí)現(xiàn)的VPN，能夠提供更高的安全性、更好的性能和更易于管理等等。當(dāng)然，其所需要的成本也會(huì)更高。在實(shí)際工作中，企業(yè)常利用前面兩種實(shí)現(xiàn)方式，即基于硬件或者基于軟件來實(shí)現(xiàn)。而基于網(wǎng)絡(luò)的VPN，由于出于成本的考慮，很少有企業(yè)會(huì)采用。

　　到底采用哪種實(shí)現(xiàn)方式，筆者認(rèn)為，CIO主要從性能、安全與成本三個(gè)方面去考慮。如對(duì)于性能、安全要求比較高，而又比較財(cái)大氣粗的集團(tuán)型企業(yè)，則可以采用基于硬件的VPN實(shí)現(xiàn)方式。現(xiàn)在很多跨國集團(tuán)基本上都是采用這些方式。而如果只是想通過VPN虛擬專用網(wǎng)來實(shí)現(xiàn)幾個(gè)小辦事處與企業(yè)的連接，或者一些散戶的遠(yuǎn)程訪問需求，則采用基于軟件的VPN解決方案，也是可行的。

　　核心三：利用什么技術(shù)來實(shí)現(xiàn)VPN？

　　VPN的實(shí)現(xiàn)技術(shù)有很多，如利用IP隧道、幀中繼或者ATM技術(shù)實(shí)現(xiàn)等等。筆者傾向于通過IP隧道來實(shí)現(xiàn)。因?yàn)樗渌夹g(shù)而言，具有比較高的性價(jià)比。在基于IP隧道的VPN解決方案中，數(shù)據(jù)包被封裝到一個(gè)IP包內(nèi)，然后再在一個(gè)基于IP的網(wǎng)絡(luò)上進(jìn)行數(shù)據(jù)傳輸。需要連接的各個(gè)辦事處、分支機(jī)構(gòu)通常各自安裝、部署、維護(hù)這些VPN。

　　采用IP隧道技術(shù)來實(shí)現(xiàn)VPN，可以減少電信費(fèi)用。因?yàn)榇藭r(shí)是利用本地連接代替專用和廠距離的連接，他們對(duì)ISP的以來只是其提供的物理連接。同時(shí)，其安全性并不比其他解決方案差。他也可以為內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)等等提供一個(gè)安全的安全通道，實(shí)現(xiàn)快速、安全的數(shù)據(jù)交換。