使用VPN連接分公司

不斷壯大的企業(yè)可能在幾個(gè)地方都擁有分公司，將這些站點(diǎn)連網(wǎng)是一項(xiàng)挑戰(zhàn)。但是有一個(gè)可升級(jí)并省錢(qián)的方法就是：實(shí)施一個(gè)站點(diǎn)到站點(diǎn)的 VPN解決方案。

隨著企業(yè)的增長(zhǎng)，企業(yè)的發(fā)展可能會(huì)超出最初物理站點(diǎn)的限度。這意味著企業(yè)需要在其他地方增設(shè)分公司，這些遠(yuǎn)程地點(diǎn)的雇員很可能需要像 總部的員工那樣訪問(wèn)許多相同的網(wǎng)絡(luò)資源，而且可能兩個(gè)組需要共享文件并相互進(jìn)行通信。

傳統(tǒng)的解決方案在總公司和分公司之間實(shí)現(xiàn)了一個(gè)專用廣域網(wǎng)（WAN）。這通常是一條T1或者T3線路。然而，專用的租用線路價(jià)格不菲。當(dāng)你只 有一個(gè)分公司的時(shí)候，一條單一線路就足夠了，但是如果再增加一個(gè)，你可能需要再增加兩條專用線路以確保連通性。完全連通性所需要的線 路數(shù)量會(huì)隨著新機(jī)構(gòu)的增加而急速增加，成本亦是如此。

一個(gè)更容易升級(jí)的解決方案是利用站點(diǎn)到站點(diǎn)的虛擬專用網(wǎng)連接分公司。讓我們了解一下VPN如何向你提供最大的可伸縮性，同時(shí)保證機(jī)構(gòu)之間 的通信安全。

Internet是網(wǎng)絡(luò)
在你的分公司之間實(shí)現(xiàn)一個(gè)站點(diǎn)到站點(diǎn)的VPN連接，每個(gè)站點(diǎn)都需要連接到Internet。Internet連接可以通過(guò)一條T載波線路或一條更便宜的企 業(yè)級(jí)寬帶連接實(shí)現(xiàn)，例如DSL，電纜或諸如Verizon的FIOS這樣的光纖技術(shù)。所有這些連接提供比一條T1線路高得多的數(shù)據(jù)傳輸速率。例如，在 德克薩斯州達(dá)拉斯市的Ft. Worth，一條1.5 Mbps T1每月花費(fèi)399美元或更多。而一條FIOS連接以每月199美元提供30 Mbps或二十倍的帶寬。

VPN利用企業(yè)總公司局域網(wǎng)和分公司網(wǎng)絡(luò)都連接到更大型網(wǎng)絡(luò)（如Internet）上，來(lái)保證局域網(wǎng)之間的連通性。當(dāng)然，Internet是一個(gè)公共網(wǎng)絡(luò) ，到處都是黑客和攻擊者，所以通過(guò)Internet進(jìn)行通信的關(guān)鍵是保證公司的秘密的安全。

VPN技術(shù)解決了這個(gè)問(wèn)題，它在Internet上從一個(gè)分部（站點(diǎn)）到另一個(gè)建立一條“隧道”。經(jīng)過(guò)這條隧道的流量被加密以保護(hù)任何敏感的數(shù)據(jù) 。

站點(diǎn)到站點(diǎn)VPN的一些優(yōu)點(diǎn)包括：

費(fèi)用。你不需要為專門(mén)的分公司W(wǎng)AN鏈接租用多條線路。你可以在每個(gè)分部使用一條連接到Internet的租用線路，或更低費(fèi)用的商業(yè)寬帶 Internet連接。性能。你可以在每個(gè)分部使用非常高速的Internet連接，數(shù)據(jù)傳輸速率接近或超過(guò)一些以太網(wǎng)鏈接。

靈活性。如果你遷移一個(gè)或更多的分部，比一條專用的租用線路鏈接更容易“實(shí)現(xiàn)遷移”。

可伸縮性。只要每個(gè)站點(diǎn)擁有一條到Internet的連接，增加新站點(diǎn)/連接很容易。使用租用線路，分部之間更遠(yuǎn)的距離意味著更高的費(fèi)用。 因?yàn)閂PN使用一個(gè)到Internet的連接，而不是分部之間的點(diǎn)到點(diǎn)連接，它更加容易升級(jí)。

實(shí)現(xiàn)站點(diǎn)到站點(diǎn)的VPN

和遠(yuǎn)距離工作者或工作在外的員工所使用的遠(yuǎn)程訪問(wèn)類(lèi)型的VPN不同的是，站點(diǎn)到站點(diǎn)VPN利用連接兩端的網(wǎng)關(guān)。（Internet上）網(wǎng)關(guān)到網(wǎng)關(guān)的 流量是加密的。

有許多不同的方法可以建立站點(diǎn)到站點(diǎn)VPN。首先你需要考慮你用來(lái)建立隧道和加密流量的協(xié)議。流行的隧道協(xié)議包括：

點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）。最初的VPN方法之一，被許多VPN軟件和硬件供應(yīng)商支持，但是不如一些其他選擇安全。經(jīng)常用在遠(yuǎn)程訪問(wèn)VPN， 但也可以用在站點(diǎn)到站點(diǎn)VPN。

第二層隧道協(xié)議（L2TP）?；谖④浀腜PTP和Cisco的第二層轉(zhuǎn)發(fā)（L2F）的結(jié)合之上。L2TP建立隧道而且使用IPsec加密隧道中的流量。

Internet協(xié)議安全（IPsec）。IPsec本身可以用來(lái)在“隧道模式”建立一條VPN隧道。
站點(diǎn)到站點(diǎn)的VPN軟件除了協(xié)議問(wèn)題之外，另一個(gè)重要的考慮是如何實(shí)現(xiàn)VPN軟件。可以購(gòu)買(mǎi)專用的VPN網(wǎng)關(guān)設(shè)備。多數(shù)防火墻設(shè)備，例如Cisco的PIX就包括VPN功能。 可選擇的是，諸如微軟的ISA Server和Check Point這樣的軟件防火墻也可以配置為站點(diǎn)到站點(diǎn)VPN網(wǎng)關(guān)。最后，微軟的服務(wù)器操作系統(tǒng)也可以 通過(guò)路由和遠(yuǎn)程訪問(wèn)服務(wù)（RRAS）建立VPN網(wǎng)關(guān)。

在進(jìn)行選擇的過(guò)程中，請(qǐng)牢記可伸縮性。如果你的分公司可能會(huì)增加，這很可能意味著分公司和總公司之間的通信量會(huì)增加，也進(jìn)一步意味著 在你的網(wǎng)關(guān)上更大的負(fù)載。如果你對(duì)某個(gè)設(shè)備考慮不足，升級(jí)可能需要你購(gòu)買(mǎi)一個(gè)全新的設(shè)備。使用諸如Windows Server、ISA Server或Check Point for Windows這樣的基于軟件的VPN網(wǎng)關(guān)允許你更容易地升級(jí)硬件，通過(guò)增加處理器或內(nèi)存以處理額外的負(fù)載。然而，這是折衷的，基于 設(shè)備的網(wǎng)關(guān)首先會(huì)提供更高的性能，其次它們可能還運(yùn)行有版權(quán)的比Windows服務(wù)器更少受到攻擊的操作系統(tǒng)。