首頁(yè) > 學(xué)院 > 網(wǎng)絡(luò )管理 > 正文

VPN的三大典型應用

2021-06-11 23:10:45
字體:
來(lái)源:轉載
供稿:網(wǎng)友
VPN是一個(gè)舶來(lái)詞,中文的意識就是“虛擬專(zhuān)用網(wǎng)絡(luò )”。他可以通過(guò)特殊點(diǎn)加密通信協(xié)議在互聯(lián)網(wǎng)上開(kāi)辟一條通道,為用戶(hù)之間通信建立連接。在外部看起來(lái),好像是一條通信的專(zhuān)線(xiàn),但是其不用鋪設通信光纜。所以,利用VPN技術(shù)的話(huà),可以實(shí)現安全的、快捷的通信,而且,由于不需要專(zhuān)門(mén)鋪設光纜,成本也不是很高。所以,VPN技術(shù)的話(huà),現在在企業(yè)中應用的非常的廣泛。 

  VPN虛擬局域專(zhuān)用網(wǎng)絡(luò ),在企業(yè)中,主要有三種應用的場(chǎng)景。掌握這三種應用的配置與管理,那么對于VPN技術(shù),就入門(mén)了。俗話(huà)說(shuō),師傅領(lǐng)進(jìn)門(mén),修行在自身。筆者在這里就充當一回老大哥,談?wù)刅PN技術(shù)在企業(yè)中的三種典型應用?;蛟S對大家有所幫助。

  典型應用一      連接企業(yè)不同辦事處或者不同公司之間的網(wǎng)絡(luò )

  現在很多企業(yè)可能都不只一家生產(chǎn)工廠(chǎng)或者辦事處。像筆者這樣的一個(gè)外資企業(yè),除了在浙江有一家生產(chǎn)工廠(chǎng)和外貿公司外,在內地,如安徽等地,也有其加工廠(chǎng)?,F在遇到的問(wèn)題是,這些公司之間的網(wǎng)絡(luò )如何進(jìn)行相互連接?若采用鋪設光纜的方法,明顯是行不通的,成本太大。為此,該如何進(jìn)行連接呢?可選的方法可能比較多。

  如企業(yè)可以通過(guò)NAT技術(shù)實(shí)現對企業(yè)部分主機或者特殊應用的連接,如可以利用NAT技術(shù),讓安徽的加工成訪(fǎng)問(wèn)企業(yè)的ERP系統。但是,利用NAT技術(shù)的話(huà),有一些限制。如訪(fǎng)問(wèn)的速度比較慢、安全性難以得到有效的保障;重要的是利用NAT技術(shù)的話(huà),只能對一些特定的主機進(jìn)行訪(fǎng)問(wèn),而不能像是在企業(yè)內部網(wǎng)路一樣,訪(fǎng)問(wèn)自己想要訪(fǎng)問(wèn)的主機或者服務(wù)等等。真是由于NAT技術(shù)由種種的缺陷和限制,所以,利用NAT技術(shù)來(lái)解決企業(yè)不同辦事處或者分公司之間的網(wǎng)絡(luò )通信,只可以說(shuō)是一種可選的方案,而不是一種良好的方案。

  筆者現在使用的是利用VPN技術(shù),實(shí)現企業(yè)不同地點(diǎn)的分公司之間的網(wǎng)絡(luò )通信。其實(shí),也是非常簡(jiǎn)單的一個(gè)配置。在企業(yè)不同分公司兩端的防火墻上,都配置一個(gè)VPN服務(wù)器。如此的話(huà),兩個(gè)網(wǎng)絡(luò )就可以利用VPN技術(shù)在互聯(lián)網(wǎng)上開(kāi)辟一條局域網(wǎng)專(zhuān)用通道,把各個(gè)分公司之間的網(wǎng)絡(luò )進(jìn)行連接。如此的話(huà),各個(gè)分公司的網(wǎng)絡(luò )就好像是在企業(yè)內部網(wǎng)絡(luò )中一樣。一方面,利用VPN技術(shù)的話(huà),可以在一定程度上保障通信內容的安全性。VPN技術(shù)在安全上的設計,個(gè)人認為比NAT技術(shù)要上一個(gè)層次。另一方面,利用虛擬局域專(zhuān)用網(wǎng)絡(luò )的話(huà),在速度上也有保障。其實(shí),對于大部分企業(yè)來(lái)說(shuō),要在不同企業(yè)之間進(jìn)行訪(fǎng)問(wèn),安全性上可能還是次要的,對于速度的追求反而是更加敏感。所以,VPN技術(shù)在速度上的優(yōu)勢,更加使NAT技術(shù)不可匹敵的。當然,用戶(hù)申請的帶寬不同,這方面也有明顯的區別。

  在利用VPN技術(shù)實(shí)現公司之間網(wǎng)絡(luò )對接的話(huà),要注意以下幾個(gè)問(wèn)題: 

  1、涉及具體帶寬的問(wèn)題。VPN技術(shù)雖然可以提供比較高的網(wǎng)絡(luò )訪(fǎng)問(wèn)性能,但是,其仍然受到企業(yè)帶寬申請的限制。所以,我們網(wǎng)絡(luò )管理員在部署VPN應用的時(shí)候,要注意分析,看看未來(lái)可能產(chǎn)生的帶寬與訪(fǎng)問(wèn)數量。這跟個(gè)人利用VPN服務(wù)器登陸企業(yè)內部網(wǎng)絡(luò )不同,訪(fǎng)問(wèn)的數量、產(chǎn)生的數據流量?jì)烧叨疾荒芟啾?。故,在利用VPN技術(shù)實(shí)現不同企業(yè)網(wǎng)絡(luò )對接的時(shí)候,有必要收集一下用戶(hù)的需求,如會(huì )不會(huì )有視頻會(huì )議的需求;會(huì )不會(huì )在總公司的網(wǎng)絡(luò )上放置一些視頻培訓內容,讓下面各個(gè)子公司進(jìn)行訪(fǎng)問(wèn);如會(huì )不會(huì )在總公司部署文件服務(wù)器或者ERP服務(wù)器,讓下面的各個(gè)分公司使用等等。這些應用都會(huì )產(chǎn)生很大的數據流量。所以,若現在或者將來(lái)可能會(huì )采取這些應用的話(huà),則企業(yè)在帶寬的申請或者VPN設備的購置時(shí),都要有這個(gè)預算。不然,等到需要時(shí),再進(jìn)行網(wǎng)絡(luò )的升級,很可能會(huì )產(chǎn)生重復投資的浪費。

  2、訪(fǎng)問(wèn)權限的設置與管理。利用虛擬局域專(zhuān)用網(wǎng)絡(luò )VPN進(jìn)行公司之間網(wǎng)絡(luò )的對接的時(shí)候,我們的設想是這對于用戶(hù)來(lái)說(shuō)是透明的。也就是說(shuō),用戶(hù)在利用VPN技術(shù)訪(fǎng)問(wèn)其他公司的內部網(wǎng)絡(luò )時(shí),跟訪(fǎng)問(wèn)自己企業(yè)的內部網(wǎng)絡(luò )差不多。最簡(jiǎn)單的說(shuō),分公司的財務(wù)人員在往企業(yè)總公司放財務(wù)報表的時(shí)候,不需要頻繁的輸入用戶(hù)名與密碼。這就是說(shuō),企業(yè)兩端的VPN服務(wù)器需要設置統一的訪(fǎng)問(wèn)帳戶(hù)與密碼。就好像現在有些網(wǎng)站推出的“一號通”功能,利用同一個(gè)帳號,就可以登陸博客、郵箱、論壇等等。根據用戶(hù)登錄系統的帳號,不但可以訪(fǎng)問(wèn)企業(yè)自己內部的資源,也可以訪(fǎng)問(wèn)總公司的資源??傊?,用一句話(huà)來(lái)概括,就是要最大限度的讓用戶(hù)感受不到VPN的存在。當然,要實(shí)現這個(gè)目標,就需要在不同公司的VPN服務(wù)器進(jìn)行統一的管理,并對訪(fǎng)問(wèn)權限進(jìn)行合理的配置;要對各個(gè)公司的用戶(hù)帳戶(hù)與密碼進(jìn)行統一的規劃。

       典型應用二     企業(yè)擴展虛擬局域網(wǎng)

  隨著(zhù)信息化技術(shù)的發(fā)展,有時(shí)候,信息化管理已經(jīng)不再是企業(yè)自己的事情,更是一種跟客戶(hù)進(jìn)行談判的手段。

  如筆者企業(yè),就有不少的老外客戶(hù),他們在跟我們談?dòng)唵蔚臅r(shí)候,就特別強調,他們要能夠訪(fǎng)問(wèn)我們公司的ERP系統,查詢(xún)他們訂單的處理進(jìn)度??蛻?hù)是上帝,對于客戶(hù)的要求我們可不敢怠慢。為此,我們就可以使用VPN技術(shù),實(shí)現企業(yè)擴展虛擬局域網(wǎng),讓客戶(hù)也能夠訪(fǎng)問(wèn)我們公司企業(yè)內部的ERP服務(wù)器。

  企業(yè)擴展虛擬局域網(wǎng),其就是來(lái)實(shí)現一個(gè)目標,就是讓企業(yè)的外部合作伙伴,能夠快速、安全的訪(fǎng)問(wèn)企業(yè)的內部應用。其實(shí)現的原理,跟利用VPN技術(shù),對不同公司之間網(wǎng)絡(luò )的對接,是一致的。不過(guò),外部合作伙伴畢竟不是自己的人,所以,在關(guān)注上面所提到的注意點(diǎn)之外,還需要關(guān)注一下內容。 

  一是數據的過(guò)濾。若有客戶(hù)需要訪(fǎng)問(wèn)公司內部的ERP系統,那么,公司當然不希望其看到其他公司的信息,也不希望看到公司的生產(chǎn)成本??蛻?hù)只能夠訪(fǎng)問(wèn)他們自己企業(yè)的訂單相關(guān)信息,如訂單的生產(chǎn)進(jìn)度、質(zhì)量檢驗情況、出貨情況等等。而這些信息的話(huà),通過(guò)VPN服務(wù)器是沒(méi)法進(jìn)行控制的,需要在應用系統中,如ERP系統中,進(jìn)行帳戶(hù)設置并分配給其合理的權限。筆者企業(yè)的ERP管理員的做法是,為客戶(hù)設置幾份報表,這幾份報表中包含用戶(hù)所關(guān)心所有信息。也就是說(shuō),客戶(hù)在訪(fǎng)問(wèn)ERP信息的時(shí)候,只能夠訪(fǎng)問(wèn)這幾份報表,而不能訪(fǎng)問(wèn)其他內容。我們都知道,利用數據庫的視圖功能,可以實(shí)現數據的過(guò)濾,從而保障客戶(hù)不能夠看到其不應該看到的內容。

  二是訪(fǎng)問(wèn)內容的限制。在使用企業(yè)擴展虛擬局域網(wǎng)的時(shí)候,要先明確客戶(hù)需要訪(fǎng)問(wèn)企業(yè)的哪些應用。一般來(lái)說(shuō),客戶(hù)只能夠訪(fǎng)問(wèn)有限的應用,而不能訪(fǎng)問(wèn)企業(yè)所有的內部網(wǎng)絡(luò )資源
可能企業(yè)允許客戶(hù)訪(fǎng)問(wèn)自己公司內部對ERP系統、CRM系統或者報關(guān)系統等等,而不能訪(fǎng)問(wèn)其他資源,特別是對主機的隨意訪(fǎng)問(wèn)。所以,網(wǎng)絡(luò )此時(shí)就需要注意,給他們的帳戶(hù)在分配權限的時(shí)候,要遵循最小權限的原則。寧可他們認為權限不夠時(shí)在進(jìn)行調整,而不要一開(kāi)始就給與他們太大的權限,讓他們可以訪(fǎng)問(wèn)不該訪(fǎng)問(wèn)的資源。

典型應用三    遠程訪(fǎng)問(wèn)虛擬網(wǎng)

  這是最常見(jiàn)的一種VPN應用。遠程訪(fǎng)問(wèn)虛擬網(wǎng),是指當員工出差或者在家里時(shí),也可以利用VPN技術(shù),連上企業(yè)的內部網(wǎng)絡(luò ),訪(fǎng)問(wèn)企業(yè)內部的ERP系統、文件服務(wù)器系統、甚至任何主機等等。遠程訪(fǎng)問(wèn)虛擬網(wǎng),相比以上兩種應用來(lái)說(shuō),要簡(jiǎn)單的多。一方面,其一般都通過(guò)帳戶(hù)與用戶(hù)名進(jìn)行訪(fǎng)問(wèn),所以,不需要進(jìn)行很復雜的帳戶(hù)規劃;另一方面,一個(gè)人利用VPN訪(fǎng)問(wèn)企業(yè)的內部網(wǎng)絡(luò ),一般不會(huì )產(chǎn)生很大的數據流量,所以,也不用擔心VPN服務(wù)器負荷太重。 

  不過(guò),對于遠程訪(fǎng)問(wèn)虛擬網(wǎng)有一個(gè)很頭疼的問(wèn)題。像以上兩種應用,都可以通過(guò)IP地址來(lái)實(shí)現訪(fǎng)問(wèn)權限的控制,即使帳號泄露了,但是,只要不在他們公司內部,就不能利用VPN服務(wù)器訪(fǎng)問(wèn)企業(yè)的內部網(wǎng)絡(luò )。因為企業(yè)的IP地址往往是固定的,如此的話(huà),訪(fǎng)問(wèn)的時(shí)候,VPN服務(wù)器會(huì )認為IP地址不對而拒絕訪(fǎng)問(wèn)。

  但是,個(gè)人利用遠程訪(fǎng)問(wèn)虛擬網(wǎng)登陸企業(yè)內部網(wǎng)絡(luò )的時(shí)候,就有一個(gè)問(wèn)題。員工在外面出差,其使用的IP地址是不固定的,要是其密碼泄露了,則其他非法訪(fǎng)問(wèn)者就可以輕松的進(jìn)行訪(fǎng)問(wèn),因為此時(shí)VPN服務(wù)器不會(huì )檢測IP地址。只要帳號與用戶(hù)名對了,VPN服務(wù)器就會(huì )放行。 

  所以,利用VPN技術(shù)實(shí)現遠程訪(fǎng)問(wèn)虛擬網(wǎng),雖然不是很復雜,但是,其帳戶(hù)的安全性則是個(gè)大問(wèn)題。這一點(diǎn),我們網(wǎng)絡(luò )管理員要引起充分的重視。
發(fā)表評論 共有條評論
用戶(hù)名: 密碼:
驗證碼: 匿名發(fā)表