VPN是一个舶来词,中文的意识就是“虚拟专用网络”。他可以通过特殊点加密通信协议在互联网上开辟一条通道,为用户之间通信建立连接。在外部看起来,好像是一条通信的专线,但是其不用铺设通信光缆。所以,利用VPN技术的话,可以实现安全的、快捷的通信,而且,由于不需要专门铺设光缆,成本也不是很高。所以,VPN技术的话,现在在企业中应用的非常的广泛。
VPN虚拟局域专用网络,在企业中,主要有三种应用的场景。掌握这三种应用的配置与管理,那么对于VPN技术,就入门了。俗话说,师傅领进门,修行在自身。笔者在这里就充当一回老大哥,谈谈VPN技术在企业中的三种典型应用。或许对大家有所帮助。
典型应用一 连接企业不同办事处或者不同公司之间的网络
现在很多企业可能都不只一家生产工厂或者办事处。像笔者这样的一个外资企业,除了在浙江有一家生产工厂和外贸公司外,在内地,如安徽等地,也有其加工厂。现在遇到的问题是,这些公司之间的网络如何进行相互连接?若采用铺设光缆的方法,明显是行不通的,成本太大。为此,该如何进行连接呢?可选的方法可能比较多。
如企业可以通过NAT技术实现对企业部分主机或者特殊应用的连接,如可以利用NAT技术,让安徽的加工成访问企业的ERP系统。但是,利用NAT技术的话,有一些限制。如访问的速度比较慢、安全性难以得到有效的保障;重要的是利用NAT技术的话,只能对一些特定的主机进行访问,而不能像是在企业内部网路一样,访问自己想要访问的主机或者服务等等。真是由于NAT技术由种种的缺陷和限制,所以,利用NAT技术来解决企业不同办事处或者分公司之间的网络通信,只可以说是一种可选的方案,而不是一种良好的方案。
笔者现在使用的是利用VPN技术,实现企业不同地点的分公司之间的网络通信。其实,也是非常简单的一个配置。在企业不同分公司两端的防火墙上,都配置一个VPN服务器。如此的话,两个网络就可以利用VPN技术在互联网上开辟一条局域网专用通道,把各个分公司之间的网络进行连接。如此的话,各个分公司的网络就好像是在企业内部网络中一样。一方面,利用VPN技术的话,可以在一定程度上保障通信内容的安全性。VPN技术在安全上的设计,个人认为比NAT技术要上一个层次。另一方面,利用虚拟局域专用网络的话,在速度上也有保障。其实,对于大部分企业来说,要在不同企业之间进行访问,安全性上可能还是次要的,对于速度的追求反而是更加敏感。所以,VPN技术在速度上的优势,更加使NAT技术不可匹敌的。当然,用户申请的带宽不同,这方面也有明显的区别。
在利用VPN技术实现公司之间网络对接的话,要注意以下几个问题:
1、涉及具体带宽的问题。VPN技术虽然可以提供比较高的网络访问性能,但是,其仍然受到企业带宽申请的限制。所以,我们网络管理员在部署VPN应用的时候,要注意分析,看看未来可能产生的带宽与访问数量。这跟个人利用VPN服务器登陆企业内部网络不同,访问的数量、产生的数据流量两者都不能相比。故,在利用VPN技术实现不同企业网络对接的时候,有必要收集一下用户的需求,如会不会有视频会议的需求;会不会在总公司的网络上放置一些视频培训内容,让下面各个子公司进行访问;如会不会在总公司部署文件服务器或者ERP服务器,让下面的各个分公司使用等等。这些应用都会产生很大的数据流量。所以,若现在或者将来可能会采取这些应用的话,则企业在带宽的申请或者VPN设备的购置时,都要有这个预算。不然,等到需要时,再进行网络的升级,很可能会产生重复投资的浪费。
2、访问权限的设置与管理。利用虚拟局域专用网络VPN进行公司之间网络的对接的时候,我们的设想是这对于用户来说是透明的。也就是说,用户在利用VPN技术访问其他公司的内部网络时,跟访问自己企业的内部网络差不多。最简单的说,分公司的财务人员在往企业总公司放财务报表的时候,不需要频繁的输入用户名与密码。这就是说,企业两端的VPN服务器需要设置统一的访问帐户与密码。就好像现在有些网站推出的“一号通”功能,利用同一个帐号,就可以登陆博客、邮箱、论坛等等。根据用户登录系统的帐号,不但可以访问企业自己内部的资源,也可以访问总公司的资源。总之,用一句话来概括,就是要最大限度的让用户感受不到VPN的存在。当然,要实现这个目标,就需要在不同公司的VPN服务器进行统一的管理,并对访问权限进行合理的配置;要对各个公司的用户帐户与密码进行统一的规划。
典型应用二 企业扩展虚拟局域网
随着信息化技术的发展,有时候,信息化管理已经不再是企业自己的事情,更是一种跟客户进行谈判的手段。
如笔者企业,就有不少的老外客户,他们在跟我们谈订单的时候,就特别强调,他们要能够访问我们公司的ERP系统,查询他们订单的处理进度。客户是上帝,对于客户的要求我们可不敢怠慢。为此,我们就可以使用VPN技术,实现企业扩展虚拟局域网,让客户也能够访问我们公司企业内部的ERP服务器。
企业扩展虚拟局域网,其就是来实现一个目标,就是让企业的外部合作伙伴,能够快速、安全的访问企业的内部应用。其实现的原理,跟利用VPN技术,对不同公司之间网络的对接,是一致的。不过,外部合作伙伴毕竟不是自己的人,所以,在关注上面所提到的注意点之外,还需要关注一下内容。
一是数据的过滤。若有客户需要访问公司内部的ERP系统,那么,公司当然不希望其看到其他公司的信息,也不希望看到公司的生产成本。客户只能够访问他们自己企业的订单相关信息,如订单的生产进度、质量检验情况、出货情况等等。而这些信息的话,通过VPN服务器是没法进行控制的,需要在应用系统中,如ERP系统中,进行帐户设置并分配给其合理的权限。笔者企业的ERP管理员的做法是,为客户设置几份报表,这几份报表中包含用户所关心所有信息。也就是说,客户在访问ERP信息的时候,只能够访问这几份报表,而不能访问其他内容。我们都知道,利用数据库的视图功能,可以实现数据的过滤,从而保障客户不能够看到其不应该看到的内容。
二是访问内容的限制。在使用企业扩展虚拟局域网的时候,要先明确客户需要访问企业的哪些应用。一般来说,客户只能够访问有限的应用,而不能访问企业所有的内部网络资源
可能企业允许客户访问自己公司内部对ERP系统、CRM系统或者报关系统等等,而不能访问其他资源,特别是对主机的随意访问。所以,网络此时就需要注意,给他们的帐户在分配权限的时候,要遵循最小权限的原则。宁可他们认为权限不够时在进行调整,而不要一开始就给与他们太大的权限,让他们可以访问不该访问的资源。
典型应用三 远程访问虚拟网
这是最常见的一种VPN应用。远程访问虚拟网,是指当员工出差或者在家里时,也可以利用VPN技术,连上企业的内部网络,访问企业内部的ERP系统、文件服务器系统、甚至任何主机等等。远程访问虚拟网,相比以上两种应用来说,要简单的多。一方面,其一般都通过帐户与用户名进行访问,所以,不需要进行很复杂的帐户规划;另一方面,一个人利用VPN访问企业的内部网络,一般不会产生很大的数据流量,所以,也不用担心VPN服务器负荷太重。
不过,对于远程访问虚拟网有一个很头疼的问题。像以上两种应用,都可以通过IP地址来实现访问权限的控制,即使帐号泄露了,但是,只要不在他们公司内部,就不能利用VPN服务器访问企业的内部网络。因为企业的IP地址往往是固定的,如此的话,访问的时候,VPN服务器会认为IP地址不对而拒绝访问。
但是,个人利用远程访问虚拟网登陆企业内部网络的时候,就有一个问题。员工在外面出差,其使用的IP地址是不固定的,要是其密码泄露了,则其他非法访问者就可以轻松的进行访问,因为此时VPN服务器不会检测IP地址。只要帐号与用户名对了,VPN服务器就会放行。
所以,利用VPN技术实现远程访问虚拟网,虽然不是很复杂,但是,其帐户的安全性则是个大问题。这一点,我们网络管理员要引起充分的重视。
