论文部分内容阅读
对于VPN 引领的网络发展未来新趋势,我们将目光瞄准了规模市场效应下,其自身痼疾和发展难点。
国内Internet的迅速发展,为VPN应用提供了很好的基础平台,Internet的接入环境已经非常成熟,覆盖区域非常广泛,价格也相当低廉。在可以预见的将来,会有更多的单位考虑使用VPN进行组网。
随着应用的成熟和市场规模的扩大,国内外众多的VPN产品供应商,都推出了一系列成熟的VPN产品。就目前VPN市场份额而言,国产厂商占据了主导地位。
那么,VPN在实际应用中间,会遇到哪些常见的难题呢?以IPSEC VPN为例,总结起来,国内VPN应用的难点主要包括以下几个方面:网络接入问题;客户对于网关多功能一体化的需求和实现;VPN管理模式的问题;客户端的问题;另外,嵌入式系统开发缺乏足够积累。
网络接入考验产品适应性
VPN基于Internet公网进行组网,数据的延迟和带宽的瓶颈,都集中在Internet环节。因此Internet网络质量的好坏,就直接决定了VPN组网运行的质量。另外,为了保证接入的适应性,VPN产品设计的时候,必须完整考虑国内网络接入的复杂性。除了网通和电信两大网络巨头的主流的光纤和ADSL线路以外,国内Internet接入方式还包括铁通、电话拨号、小区宽带、长城宽带、有线电视线缆接入、广电接入、无线接入等等方式。
各个ISP的用户接入认证方式,并非都采用开放标准。具体而言,电信、网通等大型的电信级ISP,基本都采用完全开放的接入标准,例如:PPPOE。而小型的区域ISP,常常倾向于使用封闭的自定义接入模式。因此VPN产品的适应性,实际上是考验厂家实力的一个重要依据。
除此之外,很多单位已经购置了防火墙,并且已经把防火墙放置在Internet出口位置,在这种情况下,如何协调VPN网关与原有的防火墙的接入关系,是一个相当头疼的问题。
除了以上网络的接入问题以外,目前影响VPN应用的最大的问题来自于国内网通和电信之间的互联通问题。自电信、网通分家以来,国内南方北方的Internet互通瓶颈问题就一直没有彻底解决。在某些极端的情形下,甚至出现国内网络互访比出国访问还慢的情形。
这些网络问题,很难在短时间内完整解决,就一般的应用而言,这些问题都不算严重。更深层次的应用,例如视频应用等等,这些网络问题的瓶颈效应就很明显了。
多功能需求挑战产品集成性
在大多数情况下,客户购买VPN网关,架设在Internet出口处,客观上除了网络通讯的功能以外,其他的相关功能,也希望能够集成进去。因为一个出口放置多个功能不同设备,不仅维护管理复杂,而且成本也很难接受。
以下列出VPN网关通常附加的功能,这些功能通常远远超过了一般意义的VPN通讯,但是在实际应用中,基本上都是需要的。
用户对于多功能的需求,对于厂家提出了更多的挑战。如此众多的功能集成在网关上,大大增加了系统的复杂性。厂家需要在保证实现如此众多功能的基础上,保持产品的稳定性、易用性,同时这些功能对于硬件基础也提出了更高的要求,厂家必须平衡多功能和产品整体成本,保持产品的市场竞争力。
管理模式需统筹架构
VPN协议只定义了协议标准,而没有定义网络管理模型,也没有提出具体的标准协议。因此,每个VPN厂家都会结合自身对客户需求的理解,设计自身的VPN管理平台。对于大型的VPN网络,节点数目可能达到几百上千个,分级机构多达3-5级,没有一个功能完备,集成管理的平台,整个VPN网络几乎无法架构,也很难维护管理。
管理模式是一个比较难以平衡的技术课题,大型企业和小型企业的管理模式完全不一样。大型企业要求管理功能完备全面,复杂程度高。而小型企业的VPN要求维护简单,结构层次少。
目前国内的VPN供应商几乎都有自己的VPN管理平台,这个平台的优劣,是区别各个厂商实力的非常重要的依据。
客户端软件存在兼容性问题
VPN客户端软件是客户端软件的问题。一直是困扰各个VPN厂商的问题。
各个VPN厂家,一般都开发了自己的VPN客户端软件。而Windows体系不是开放体系,对于网络层软件的开发,微软提供了二次开发接口,无论是个人防火墙、反病毒软件、VPN软件,大多数都采用这种模式开发。
因此,大多数VPN客户端,存在兼容性的问题。在大多数情况下,VPN客户端不能同时安装,大部分的VPN客户端软件,与反病毒、反垃圾邮件软件,都存在或多或少的冲突。
客户端软件的不兼容,可能会给客户应用带来很大的麻烦。号称免客户端安装的SSL VPN产品,虽然不存在这类问题,但是应用范围受限明显。
嵌入式系统开发经验不足
由于技术积累的原因,国内主流网络安全产品供应商,都采用X86平台。就开发而言,X86的优势比较明显。因为熟悉X86开发平台人才资源丰富,开发周期短,在PC机上完成的程序,就可以运行在设备平台上。
但是X86平台并不是一个合适的廉价嵌入式硬件系统平台,质量优良的X86硬件体系,价格相当高。对于大规模的推广使用,成本很难接受。如果要产生规模效益,使用ARM、MIPS系列的硬件平台,几乎是大型VPN厂家必须完成的技术路线。
从嵌入式软件系统而言,除了一些从国外引进的嵌入式系统(例如:VXworks等)以外,大多数都采用开放的linux系统。因为Linux是一个完全开放的操作系统,经过多年技术沉淀,稳定性和可靠性完全可以满足网关级产品的需要。
把X86平台的整体系统移植到ARM、MIPS等专用的嵌入式平台上,对于国内的VPN产品开发商,也是一个挑战。国内这方面经验积累不多,人才资源稀少。作嵌入式开发的工程师连找个论坛讨论一下都很困难。
附加功能 描述 用户关注程度
综合网络功能 接入、路由转发、 ★★★★★
防火墙过滤安全功能 进行安全过滤 ★★★★★
Nat代理上网功能 代理内部网络上网 ★★★★★
反向nat问题 反向nat地址映射、端口映射 ★★★★
应用代理 提供应用级的代理功能 ★★★
入侵检测 简单的IDS功能 ★★
设备自身安全保护 设备的自身安全防护功能 ★★★★★
带宽管理功能 合理分配VPN、上网带宽 ★★★
用户管理功能 管理VPN用户 ★★★★
反病毒功能 在网关上集成反病毒功能 ★★
多线路捆绑 一个网关多路接入Internet ★★★★
动态解析功能 动态域名、动态IP地址解析等等 ★★★★★
冗余备份方案 多线路、多设备相互备份方案 ★★★★★
多加密方式 多种加密算法选择,包括国内指 ★★★★
定加密卡的支持
其他附加功能 ...... ★★
VPN代表了网络发展的最新趋势,能够提供远程访问、外部网和内部网络的连接,价格比专线或者帧中继网络要低很多。国内Internet的迅速发展,为VPN应用提供了很好的基础平台。相关VPN产品供应商,都推出了一系列成熟的VPN产品。尽管国内厂商在协议层面,都采用国际成熟的标准体系。但是即使功能完全符合标准化的产品,在应用过程中间,仍然需要面对一系列的难题。解决这些难题,是VPN技术和产业往前面发展的保证。本文作者对这些难点的分析较为全面与独到,值得分享。
国内Internet的迅速发展,为VPN应用提供了很好的基础平台,Internet的接入环境已经非常成熟,覆盖区域非常广泛,价格也相当低廉。在可以预见的将来,会有更多的单位考虑使用VPN进行组网。
随着应用的成熟和市场规模的扩大,国内外众多的VPN产品供应商,都推出了一系列成熟的VPN产品。就目前VPN市场份额而言,国产厂商占据了主导地位。
那么,VPN在实际应用中间,会遇到哪些常见的难题呢?以IPSEC VPN为例,总结起来,国内VPN应用的难点主要包括以下几个方面:网络接入问题;客户对于网关多功能一体化的需求和实现;VPN管理模式的问题;客户端的问题;另外,嵌入式系统开发缺乏足够积累。
网络接入考验产品适应性
VPN基于Internet公网进行组网,数据的延迟和带宽的瓶颈,都集中在Internet环节。因此Internet网络质量的好坏,就直接决定了VPN组网运行的质量。另外,为了保证接入的适应性,VPN产品设计的时候,必须完整考虑国内网络接入的复杂性。除了网通和电信两大网络巨头的主流的光纤和ADSL线路以外,国内Internet接入方式还包括铁通、电话拨号、小区宽带、长城宽带、有线电视线缆接入、广电接入、无线接入等等方式。
各个ISP的用户接入认证方式,并非都采用开放标准。具体而言,电信、网通等大型的电信级ISP,基本都采用完全开放的接入标准,例如:PPPOE。而小型的区域ISP,常常倾向于使用封闭的自定义接入模式。因此VPN产品的适应性,实际上是考验厂家实力的一个重要依据。
除此之外,很多单位已经购置了防火墙,并且已经把防火墙放置在Internet出口位置,在这种情况下,如何协调VPN网关与原有的防火墙的接入关系,是一个相当头疼的问题。
除了以上网络的接入问题以外,目前影响VPN应用的最大的问题来自于国内网通和电信之间的互联通问题。自电信、网通分家以来,国内南方北方的Internet互通瓶颈问题就一直没有彻底解决。在某些极端的情形下,甚至出现国内网络互访比出国访问还慢的情形。
这些网络问题,很难在短时间内完整解决,就一般的应用而言,这些问题都不算严重。更深层次的应用,例如视频应用等等,这些网络问题的瓶颈效应就很明显了。
多功能需求挑战产品集成性
在大多数情况下,客户购买VPN网关,架设在Internet出口处,客观上除了网络通讯的功能以外,其他的相关功能,也希望能够集成进去。因为一个出口放置多个功能不同设备,不仅维护管理复杂,而且成本也很难接受。
以下列出VPN网关通常附加的功能,这些功能通常远远超过了一般意义的VPN通讯,但是在实际应用中,基本上都是需要的。
用户对于多功能的需求,对于厂家提出了更多的挑战。如此众多的功能集成在网关上,大大增加了系统的复杂性。厂家需要在保证实现如此众多功能的基础上,保持产品的稳定性、易用性,同时这些功能对于硬件基础也提出了更高的要求,厂家必须平衡多功能和产品整体成本,保持产品的市场竞争力。
管理模式需统筹架构
VPN协议只定义了协议标准,而没有定义网络管理模型,也没有提出具体的标准协议。因此,每个VPN厂家都会结合自身对客户需求的理解,设计自身的VPN管理平台。对于大型的VPN网络,节点数目可能达到几百上千个,分级机构多达3-5级,没有一个功能完备,集成管理的平台,整个VPN网络几乎无法架构,也很难维护管理。
管理模式是一个比较难以平衡的技术课题,大型企业和小型企业的管理模式完全不一样。大型企业要求管理功能完备全面,复杂程度高。而小型企业的VPN要求维护简单,结构层次少。
目前国内的VPN供应商几乎都有自己的VPN管理平台,这个平台的优劣,是区别各个厂商实力的非常重要的依据。
客户端软件存在兼容性问题
VPN客户端软件是客户端软件的问题。一直是困扰各个VPN厂商的问题。
各个VPN厂家,一般都开发了自己的VPN客户端软件。而Windows体系不是开放体系,对于网络层软件的开发,微软提供了二次开发接口,无论是个人防火墙、反病毒软件、VPN软件,大多数都采用这种模式开发。
因此,大多数VPN客户端,存在兼容性的问题。在大多数情况下,VPN客户端不能同时安装,大部分的VPN客户端软件,与反病毒、反垃圾邮件软件,都存在或多或少的冲突。
客户端软件的不兼容,可能会给客户应用带来很大的麻烦。号称免客户端安装的SSL VPN产品,虽然不存在这类问题,但是应用范围受限明显。
嵌入式系统开发经验不足
由于技术积累的原因,国内主流网络安全产品供应商,都采用X86平台。就开发而言,X86的优势比较明显。因为熟悉X86开发平台人才资源丰富,开发周期短,在PC机上完成的程序,就可以运行在设备平台上。
但是X86平台并不是一个合适的廉价嵌入式硬件系统平台,质量优良的X86硬件体系,价格相当高。对于大规模的推广使用,成本很难接受。如果要产生规模效益,使用ARM、MIPS系列的硬件平台,几乎是大型VPN厂家必须完成的技术路线。
从嵌入式软件系统而言,除了一些从国外引进的嵌入式系统(例如:VXworks等)以外,大多数都采用开放的linux系统。因为Linux是一个完全开放的操作系统,经过多年技术沉淀,稳定性和可靠性完全可以满足网关级产品的需要。
把X86平台的整体系统移植到ARM、MIPS等专用的嵌入式平台上,对于国内的VPN产品开发商,也是一个挑战。国内这方面经验积累不多,人才资源稀少。作嵌入式开发的工程师连找个论坛讨论一下都很困难。
附加功能 描述 用户关注程度
综合网络功能 接入、路由转发、 ★★★★★
防火墙过滤安全功能 进行安全过滤 ★★★★★
Nat代理上网功能 代理内部网络上网 ★★★★★
反向nat问题 反向nat地址映射、端口映射 ★★★★
应用代理 提供应用级的代理功能 ★★★
入侵检测 简单的IDS功能 ★★
设备自身安全保护 设备的自身安全防护功能 ★★★★★
带宽管理功能 合理分配VPN、上网带宽 ★★★
用户管理功能 管理VPN用户 ★★★★
反病毒功能 在网关上集成反病毒功能 ★★
多线路捆绑 一个网关多路接入Internet ★★★★
动态解析功能 动态域名、动态IP地址解析等等 ★★★★★
冗余备份方案 多线路、多设备相互备份方案 ★★★★★
多加密方式 多种加密算法选择,包括国内指 ★★★★
定加密卡的支持
其他附加功能 ...... ★★
VPN代表了网络发展的最新趋势,能够提供远程访问、外部网和内部网络的连接,价格比专线或者帧中继网络要低很多。国内Internet的迅速发展,为VPN应用提供了很好的基础平台。相关VPN产品供应商,都推出了一系列成熟的VPN产品。尽管国内厂商在协议层面,都采用国际成熟的标准体系。但是即使功能完全符合标准化的产品,在应用过程中间,仍然需要面对一系列的难题。解决这些难题,是VPN技术和产业往前面发展的保证。本文作者对这些难点的分析较为全面与独到,值得分享。