1.可运营
VPN技术的是用共享网络给企业内部之间提供服务。由VPN的前景看出,它的技术必须要有可运营性,大多VPN企业用户不愿意在网络维护上花很多时间和精力,需由专门的运营商给出此服务。因此,在设计VPN网络时,第一步需考虑可运营性。
2.可管理
VPN需企业把它的网络管理从局域网延伸至公用网络,更是客户和合作伙伴。企业可把不紧要的网络管理任务给服务提供商,企业也要完成许多网络管理任务。
VPN管理的目的主要有以下四个:
(1)减小网络风险:在用户对VPN访问时,网络管理需保证内部数据资源的完整性。
(2)扩展性:VPN管理要给不断增加的用户和合作伙伴迅捷的反应,包括网络硬件及软件的升级、网络质量保证、安全策略维护等。
(3)经济性:保证扩展性的时不应过多增加操作和维护成本。
(4)可靠性: VPN可靠而稳定地运行是它管理必须考虑的问题。
3.VPN的安全性
VPN直接建在公用网上,完成简单、灵活。但它的安全问题也更为明显。
(1)对于传统的 IP VPN,企业本身须确保VPN数据不会受攻击者窥探和篡改,且要避免非法用户访问企业内部资源或私有信息。尤其是 Extranet VPN,有了更高的安全性要求。以下方案可提升VPN的安全性:
①隧道与加密:隧道能进行多协议封装,VPN应用的灵活性得以提高,可在无连接的IP网上提供点到点的逻辑通道。在安全性要求更高的场合应用加密隧道,进一步保护了数据的私有性,使它在网上传送而不会受非法窥探与篡改。
②数据验证:在建设VPN的不安全公用网络上,数据包可能会被非法截获,篡改后重新发送,接收方则会收到不对的数据。数据测验使接收方能识别篡改,确保了数据的完整性。
③用户验证:VPN可使合法用户访问他们所需的企业资源,也还要不让未授权用户的非法访问。由AAA,路由器可给出用户验证、访问级别及必要的访问记录等功能,这对 Access VPN和 Extranet VPN有重要意义。
④防火墙与攻击检测:防火墙过滤数据包,避免非法访问,而攻击检测需进一步分析它的内容,确定其合法性,并可实时应用安全策略,断开包含非法访问内容的会话链接,产生不合法的访问记录。
(2)由MPLS的VPN技术在网络侧通过转发表和数据包的标记来构建VPN,若封闭的MPLS网络不和 nternet相连,那么它内在是安全的。因此, MPLS VPN能在一定程度上确保VPN的安全。若 MPLS VPN的客户要访问 Internet,可建立一个通道。在该通道上放个防火墙,就能给整个VPN给出安全的连接。管理也非常方便。对整个VPN而言,只用维护一种安全策略。 MPLS VPN能创建一个和FR网络安全性非常相近的专用网。因此,用户设备通常不用 IPSec等安全技术,也无需配置隧道给VPN。因此,MPLS VPN的利用,使时延减到最小,因数据包不再封装或加密。也因不用隧道,构建全网状的VPN网也会变得更简单。
4. VPN QoS
充分地用有限的广域网资源是构建VPN的又一个重要需求,它为重要数据给出可靠的带宽。不确定的广域网流量让它带宽的利用率特别低,流量高峰时会造成网络阻塞,产生网络瓶颈,不能实时发要求大的数据,但流量低谷时又会导致许多网络带宽空闲。 VPN QoS借助流量预测与控制策略,由优先级分带宽资源来管理带宽,使各种类型的数据陆续被恰当地发送,并预防发生阻塞。
