良好的开端等于成功的一半:VPN规划要点
作者: CBISMB编辑
责任编辑: 阚智
来源: 中小企业IT采购
时间: 2008-01-13 11:21
浏览: 0
点赞: 0
收藏: 0
千里之行始于足下,在实施VPN工程之前,有些问题是不能不想到,如果有一个详细的VPN实施规划,相信也是VPN工程成功的一半了。构建一个企业的内部VPN系统,实际上就是重新建立了一个Intranet,可以理解成为一个个小小的Internet。在设计和实施、维护过程中,有些问题是必须事先考虑好的。
IP规划
在网络规划中,IP地址分配和管理方案的设计至关重要。好的IP地址方案不仅可以减少网络负荷,还能为以后的网络扩展打下良好的基础。分配和管理地址之所以成为网络规划中最重要的问题之一,其原因如下:
• 应用的规划、用户上网的规划都是基于IP地址的分配。
• 地址分配通常被认为是一种管理方法,而忽略了其对网络稳定性的影响; 而事实上,如何分配IP地址将直接影响到网络的稳定性。
• 分配地址后,它们是很难更改的,因为单个的主机经常需要重新配置。
• 网络的管理、网络的安全性和信息资源的访问都与IP地址的分配息息相关。
在VPN的方案设置中,很多情况下,中心点、总部的IP因为涉及太多的应用、管理方面的原因而无法改动,而大多数情况下,大部分分支机构的IP是可以重新规划的。很显然,不合理的IP地址分配会造成宝贵IP地址资源的浪费,影响网络规模的扩展,网络管理员不能有效的跟踪定位网络故障,无法对网络的使用进行有效的控制。甚至糟糕的地址分配几乎可以导致所有大规模网络的崩溃。为什么呢?因为每次网络拓朴结构改变时所需的工作量,以及将此种改变产生的网络传输路径的数量直接制约了路由的稳定性和路由器的稳定性。
网络带宽的考虑
在规划了IP之后,需要考虑实施VPN工程了。这个时候还需要考虑以下参数:
1.网络带宽的选择:
一般情况下考虑的原则是VPN设备的加密解密速度要大于网络的带宽;选择的带宽应该要能够满足网络应用带宽的需求。这里需要注意一些问题:
• ADSL的带宽是上行下行不平衡的,所以要结合应用软件来考虑。简单来说,常常需要发出去的数据多,例如某些软件有报表保送的功能,那是发出去的,是上行;有些软件重点是查询获得数据,是下载的东西比较多,是下行;选择线路的时候,要尽可能选择符合软件特点的带宽;
• 软件的带宽怎么得到呢?一方面可以咨询软件的开发商,一方面就是测试了。APN可以做带宽限制管理来测试软件需要的带宽。
• 带宽方面考虑的另外一个参数就是并发处理需要的带宽。例如,一个客户端如果需要带宽是80K,那么十个客户端一起使用的时候,其带宽应该考虑为800K。当然,很多软件都考虑了一定的优化功能,不一定是简单的累加。当然最简单的原则,是带宽越宽越好。
• 这里应用的带宽,不等于两地的VPN通道带宽。一般运营商宣传的带宽,是指接入点到当地电信局的带宽。例如,一个北京的网通ADSL是下行512K,上行512K;一个深圳的电信ADSL是下行1M,上行512K。从理论上讲,建立隧道后应该是通道带宽是512K。但是实际上,很可能因为线路问题,没有512K。运营商也没有宣传错误,因为他们只能保证他们机房到用户的带宽,到了互联网上,经过不同的运营商,加上Internet的带宽、阻塞等问题,这个带宽就无法保证了。现在如果是同一的ISP,基本上不存在互通问题,所以解决这个问题的方法目前是尽量采用统一的运营商或者参考本文的描述来解决互联互通的问题。
2.应用软件的测试
基本上所有基于TCP/IP的软件都可以在VPN里面运行。但是选择VPN产品的时候,必要的测试是需要的,因为很多软件特别是国内开发的早期软件,因为开发环境是在局域网内完成的,是通过读取计算机名来标识主机的。所以在设置这样的网络的时候,需要在客户端配置host,对应目标主机名字为IP地址。
3.QOS的考虑
带宽再宽也是有限的,很多情况下,需要在有限的带宽条件下实现应用的合理分配、优先分配。所以需要考虑VPN产品的QOS支持能力。
防火墙的考虑
最早在国内的安全领域,VPN概念出现是一些加密设备。很多是用在专线上进行链路加密或者工作在网桥模式下的加密。一般较少考虑防火墙问题,反之,最开始的防火墙,都是考虑NAT、过滤等因素,对远程联网考虑少一些。随着Internet的发展,很多企业的应用都和Internet结合起来,而IPSEC的出现也很好的解决了安全问题,所以VPN和防火墙越来越近,大有合二为一的趋势。
在实际的工程实施种,很多用户已经购买了防火墙产品,这种情况下需要考虑二者的配合问题。下面简单介绍二者的安装方法。
1、 并列安装:一般推荐此方式。即VPN设备和防火墙在并列的位置,NAT处理、内到外的规则过滤都经过防火墙,对外的服务也通过防火墙进来,VPN设备只负责VPN通讯。这样安装的最大优点就是对现在的网络结构改变最小,而且出现问题也比较容易定位;
2、 VPN设备在防火墙后面:此方式需要设置VPN设备支持NAT穿透,或者需要防火墙设置多一个trust口来处理VPN的数据。此方式的主要是管理员考虑所有的数据必须通过防火墙处理才能放行而设计,缺点是不一定防火墙都有较多的扩展接口;如果没有就设置VPN设备需要NATT出去,在维护和稳定性上有额外考虑的因素,而且即使这样也需要防火墙规则的改动;数据同时经过两个设备处理,一定程度上也影响效率;
3、 VPN设备在防火墙前:同2,这样防火墙规则也需要改动;数据同时经过两个设备处理,一定程度上影响效率;
4、 VPN设备在桥接模式:此方式是将VPN设备设置在桥接模式,此方式VPN设备可以在局域网内放置,看起来设置比较简单,缺点是不是所有的网络都可以这样做,在ADSL/DHCP等动态IP各种复杂的情况下往往很难实施。一般只是用在一些已经铺设了专线上考虑再次加密的场合。
其他需要考虑的问题
实施VPN的时候,还需要充分考虑以下一些问题。
1. 充分环境调查网络环境。一般实施VPN都是远程、异地,都是一个不大不小的工程。在实施之前,进行IP规划,规划的时候,了解现在的网络环境是十分重要的,研究范围涵盖了现有用户的网络、应用、局域网信息。
2. 制定符合用户需求的网络拓扑。基本的原则是该通的一定要通起来,不该通的一定不能通起来。互联互通是好事,但是也是按需通讯,否则管理和维护一些不该通讯的隧道、路由,不光是工作强度的不同,而且还存在安全的考虑;
维护
建立了VPN网络之后,当然需要一个长期的维护过程。管理员应该建立一个必要的项目资料,包含了节点、上网方式、网络规划等信息,同时根据自己的应用软件,制定一个标准的维护流程和使用者的自我诊断方法,在出现故障的时候,一旦提供必要的信息,就可以快速定位和解决问题。
IP规划
在网络规划中,IP地址分配和管理方案的设计至关重要。好的IP地址方案不仅可以减少网络负荷,还能为以后的网络扩展打下良好的基础。分配和管理地址之所以成为网络规划中最重要的问题之一,其原因如下:
• 应用的规划、用户上网的规划都是基于IP地址的分配。
• 地址分配通常被认为是一种管理方法,而忽略了其对网络稳定性的影响; 而事实上,如何分配IP地址将直接影响到网络的稳定性。
• 分配地址后,它们是很难更改的,因为单个的主机经常需要重新配置。
• 网络的管理、网络的安全性和信息资源的访问都与IP地址的分配息息相关。
在VPN的方案设置中,很多情况下,中心点、总部的IP因为涉及太多的应用、管理方面的原因而无法改动,而大多数情况下,大部分分支机构的IP是可以重新规划的。很显然,不合理的IP地址分配会造成宝贵IP地址资源的浪费,影响网络规模的扩展,网络管理员不能有效的跟踪定位网络故障,无法对网络的使用进行有效的控制。甚至糟糕的地址分配几乎可以导致所有大规模网络的崩溃。为什么呢?因为每次网络拓朴结构改变时所需的工作量,以及将此种改变产生的网络传输路径的数量直接制约了路由的稳定性和路由器的稳定性。
网络带宽的考虑
在规划了IP之后,需要考虑实施VPN工程了。这个时候还需要考虑以下参数:
1.网络带宽的选择:
一般情况下考虑的原则是VPN设备的加密解密速度要大于网络的带宽;选择的带宽应该要能够满足网络应用带宽的需求。这里需要注意一些问题:
• ADSL的带宽是上行下行不平衡的,所以要结合应用软件来考虑。简单来说,常常需要发出去的数据多,例如某些软件有报表保送的功能,那是发出去的,是上行;有些软件重点是查询获得数据,是下载的东西比较多,是下行;选择线路的时候,要尽可能选择符合软件特点的带宽;
• 软件的带宽怎么得到呢?一方面可以咨询软件的开发商,一方面就是测试了。APN可以做带宽限制管理来测试软件需要的带宽。
• 带宽方面考虑的另外一个参数就是并发处理需要的带宽。例如,一个客户端如果需要带宽是80K,那么十个客户端一起使用的时候,其带宽应该考虑为800K。当然,很多软件都考虑了一定的优化功能,不一定是简单的累加。当然最简单的原则,是带宽越宽越好。
• 这里应用的带宽,不等于两地的VPN通道带宽。一般运营商宣传的带宽,是指接入点到当地电信局的带宽。例如,一个北京的网通ADSL是下行512K,上行512K;一个深圳的电信ADSL是下行1M,上行512K。从理论上讲,建立隧道后应该是通道带宽是512K。但是实际上,很可能因为线路问题,没有512K。运营商也没有宣传错误,因为他们只能保证他们机房到用户的带宽,到了互联网上,经过不同的运营商,加上Internet的带宽、阻塞等问题,这个带宽就无法保证了。现在如果是同一的ISP,基本上不存在互通问题,所以解决这个问题的方法目前是尽量采用统一的运营商或者参考本文的描述来解决互联互通的问题。
2.应用软件的测试
基本上所有基于TCP/IP的软件都可以在VPN里面运行。但是选择VPN产品的时候,必要的测试是需要的,因为很多软件特别是国内开发的早期软件,因为开发环境是在局域网内完成的,是通过读取计算机名来标识主机的。所以在设置这样的网络的时候,需要在客户端配置host,对应目标主机名字为IP地址。
3.QOS的考虑
带宽再宽也是有限的,很多情况下,需要在有限的带宽条件下实现应用的合理分配、优先分配。所以需要考虑VPN产品的QOS支持能力。
防火墙的考虑
最早在国内的安全领域,VPN概念出现是一些加密设备。很多是用在专线上进行链路加密或者工作在网桥模式下的加密。一般较少考虑防火墙问题,反之,最开始的防火墙,都是考虑NAT、过滤等因素,对远程联网考虑少一些。随着Internet的发展,很多企业的应用都和Internet结合起来,而IPSEC的出现也很好的解决了安全问题,所以VPN和防火墙越来越近,大有合二为一的趋势。
在实际的工程实施种,很多用户已经购买了防火墙产品,这种情况下需要考虑二者的配合问题。下面简单介绍二者的安装方法。
1、 并列安装:一般推荐此方式。即VPN设备和防火墙在并列的位置,NAT处理、内到外的规则过滤都经过防火墙,对外的服务也通过防火墙进来,VPN设备只负责VPN通讯。这样安装的最大优点就是对现在的网络结构改变最小,而且出现问题也比较容易定位;
2、 VPN设备在防火墙后面:此方式需要设置VPN设备支持NAT穿透,或者需要防火墙设置多一个trust口来处理VPN的数据。此方式的主要是管理员考虑所有的数据必须通过防火墙处理才能放行而设计,缺点是不一定防火墙都有较多的扩展接口;如果没有就设置VPN设备需要NATT出去,在维护和稳定性上有额外考虑的因素,而且即使这样也需要防火墙规则的改动;数据同时经过两个设备处理,一定程度上也影响效率;
3、 VPN设备在防火墙前:同2,这样防火墙规则也需要改动;数据同时经过两个设备处理,一定程度上影响效率;
4、 VPN设备在桥接模式:此方式是将VPN设备设置在桥接模式,此方式VPN设备可以在局域网内放置,看起来设置比较简单,缺点是不是所有的网络都可以这样做,在ADSL/DHCP等动态IP各种复杂的情况下往往很难实施。一般只是用在一些已经铺设了专线上考虑再次加密的场合。
其他需要考虑的问题
实施VPN的时候,还需要充分考虑以下一些问题。
1. 充分环境调查网络环境。一般实施VPN都是远程、异地,都是一个不大不小的工程。在实施之前,进行IP规划,规划的时候,了解现在的网络环境是十分重要的,研究范围涵盖了现有用户的网络、应用、局域网信息。
2. 制定符合用户需求的网络拓扑。基本的原则是该通的一定要通起来,不该通的一定不能通起来。互联互通是好事,但是也是按需通讯,否则管理和维护一些不该通讯的隧道、路由,不光是工作强度的不同,而且还存在安全的考虑;
维护
建立了VPN网络之后,当然需要一个长期的维护过程。管理员应该建立一个必要的项目资料,包含了节点、上网方式、网络规划等信息,同时根据自己的应用软件,制定一个标准的维护流程和使用者的自我诊断方法,在出现故障的时候,一旦提供必要的信息,就可以快速定位和解决问题。
©本站发布的所有内容,包括但不限于文字、图片、音频、视频、图表、标志、标识、广告、商标、商号、域名、软件、程序等,除特别标明外,均来源于网络或用户投稿,版权归原作者或原出处所有。我们致力于保护原作者版权,若涉及版权问题,请及时联系我们进行处理。
