1 聯(lián)通運(yùn)營現(xiàn)狀

中國聯(lián)通大力發(fā)展寬帶業(yè)務(wù)戰(zhàn)略目的是滿足消費(fèi)者對數(shù)據(jù)信息和語音視頻的需求。伴隨著寬帶業(yè)務(wù)和CDMA1X無線上網(wǎng)產(chǎn)品的大量應(yīng)用，用戶可以在互聯(lián)網(wǎng)上傳輸更為廣泛的數(shù)據(jù)。

但是在寬帶接入迅速發(fā)展、為用戶解決了接入問題的同時，用戶數(shù)據(jù)傳輸?shù)陌踩珕栴}也突顯出來了，互聯(lián)網(wǎng)的數(shù)據(jù)安全傳輸解決方案能很好的與中國聯(lián)通的大力發(fā)展增值業(yè)務(wù)的戰(zhàn)略相結(jié)合，能協(xié)助運(yùn)營商開拓未來增值服務(wù)市場。

2 需求分析

隨著經(jīng)濟(jì)的發(fā)展，企業(yè)規(guī)模的不斷擴(kuò)大，企業(yè)對信息的獲取方式提出了更高的要求。同時企業(yè)各部門之間的信息交換方式的網(wǎng)絡(luò)化，能夠減少很多不必要的人工往返和重復(fù)工作，可提高各方面的辦事效率。

大量的公司為了適應(yīng)業(yè)務(wù)需要，成立了一系列的子公司或分支機(jī)構(gòu)，而快速掌握溝通信息、傳輸分析數(shù)據(jù)是公司在日趨激烈的競爭中取勝的關(guān)鍵。

公司的分支機(jī)構(gòu)間傳輸數(shù)據(jù)的方式主要有兩種模式：①、專線方式；②、利用Internet傳輸。

專線方式的優(yōu)點(diǎn)是具有較好的安全性，但是價格昂貴，一般的企業(yè)難以承受。

利用Internet傳輸因為只是簡單的使用公用網(wǎng)絡(luò)，所有信息都是以明文方式傳送，雖然節(jié)約了成本，但因為公用網(wǎng)絡(luò)固有的安全原因，存在線路不穩(wěn)定、傳輸安全性差、容易受到攻擊、感染病毒等隱患。

在這種情況下，為了拓展寬帶業(yè)務(wù)市場的新業(yè)務(wù)，采用了IPSec隧道加密技術(shù)，在ADSL接入/寬帶接入業(yè)務(wù)的基礎(chǔ)上推出了主要針對商用客戶的IPSecVPN新業(yè)務(wù)，為商用客戶既提供了高帶寬低資費(fèi)的企業(yè)網(wǎng)絡(luò)聯(lián)網(wǎng)服務(wù)，又提供了在公用網(wǎng)絡(luò)上擁有私有IPSecVPN網(wǎng)絡(luò)的數(shù)據(jù)傳輸安全保障服務(wù)，可以為廣大商用客戶解決互聯(lián)網(wǎng)的安全傳輸問題。

IPSecVPN技術(shù)是最經(jīng)濟(jì)簡單的互聯(lián)網(wǎng)安全傳輸技術(shù)，可以滿足用戶如下的需求：

1) 安全數(shù)據(jù)傳輸

2) 拓展EIP、ERP系統(tǒng)到全球

3) 支持安全移動訪問

上述三大客戶需求中，“支持安全移動訪問”的需求，目前只有IPSecVPN技術(shù)可以很好的滿足，而使用專線接入，MPLSVPN等技術(shù)都無法滿足這一要求。

作為一種新的業(yè)務(wù)，對于IPSecVPN的部署而言，即可以由企業(yè)用戶來部署，也可以由運(yùn)營商來部署。兩種方式比較，對于數(shù)量眾多的中小企業(yè)而言，迫切地需要運(yùn)營商能夠提供IPSecVPN業(yè)務(wù)。

3 IPSec VPN的用戶群

IPSecVPN的一個突出優(yōu)點(diǎn)是具有極高的傳輸安全性，同時經(jīng)濟(jì)實用，擁有大量的潛在用戶，這些用戶的特征是：

1) 需要借助互聯(lián)網(wǎng)安全傳輸數(shù)據(jù)；

2) 需要將現(xiàn)有EIP、ERP拓展到全球范圍使用；

3) 需要支持安全移動訪問數(shù)據(jù)。

具有上述需求的用戶是非常多的，例如：

1) 具有大量分支機(jī)構(gòu)的商業(yè)企業(yè)；

2) 大規(guī)模連鎖經(jīng)營的超市；

3) 具有跨地域組織方式的企事業(yè)單位；

4) 金融、證券行業(yè)；

5) 醫(yī)療、醫(yī)藥經(jīng)營連鎖等；

從中國企業(yè)名錄數(shù)據(jù)庫中可以查到，中國各省市的中小型企業(yè)數(shù)量如下：

[[815]]

從上圖可以看到，在廣東中小企業(yè)有48萬家之多，這些企業(yè)中有20%以上具有2個以上分支機(jī)構(gòu)，這些用戶都是潛在的IPSecVPN用戶。

在這20%的用戶群中，5%的用戶是屬于大型用戶，15%是數(shù)據(jù)中小型用戶。大型用戶的特征是：

擁有固定的IP地址；

使用專線或者寬帶接入；

擁有自己的網(wǎng)絡(luò)安裝維護(hù)人員。

中小型用戶的基本特征：

使用專線或者寬帶接入；

接入互聯(lián)網(wǎng)時，具有臨時的IP地址；

擁有自己的網(wǎng)絡(luò)安裝維護(hù)人員。

對于大型用戶和中小型用戶，將使用不同的組網(wǎng)模式，而大量的中小型用戶，非常渴望運(yùn)營商能夠提供IPSecVPN用戶。#p#

4 IPSec VPN的用戶組網(wǎng)模式

本節(jié)將分析一下IPSecVPN用戶的組網(wǎng)模式。從組網(wǎng)模式中可以看到，大量中小用戶將非常迫切地需求運(yùn)營商提供IPSecVPN服務(wù)。

4.1.1 大型用戶的組網(wǎng)模式

對于大型IPSecVPN用戶，可以使用如下的組網(wǎng)方式：

[[816]]

在上面的大型企業(yè)組網(wǎng)方案中，在企業(yè)的公司總部，必須有一個固定的IP地址，并把總部的IPSecVPN網(wǎng)關(guān)的地址設(shè)置為這個固定的IP地址。在其他的分支機(jī)構(gòu)或者移動用戶，可以是使用動態(tài)IP地址的方式來連接到互聯(lián)網(wǎng)。

在這種工作方式下，企業(yè)總部和各個分支機(jī)構(gòu)、移動用戶組成一個星型網(wǎng)絡(luò)。所有的通信數(shù)據(jù)都經(jīng)過加密后，在總部的IPSecVPN網(wǎng)關(guān)上進(jìn)行轉(zhuǎn)發(fā)，從而實現(xiàn)通信的安全性。

4.1.2 中小用戶的組網(wǎng)模式

對于中小用戶而言，通常無法使用大用戶的IPSecVPN組網(wǎng)方式。因為中小用戶通常不具備固定IP方式的互聯(lián)網(wǎng)接入。通常中小企業(yè)使用ADSL或者寬帶方式接入互聯(lián)網(wǎng)，這種接入方式下，IP地址是臨時動態(tài)分配的，而不是固定的IP地址，因此無法使用固定IP的組網(wǎng)方式。

根據(jù)VPN虛擬專用網(wǎng)的組網(wǎng)原理，當(dāng)創(chuàng)建VPN隧道時網(wǎng)絡(luò)的至少一方要具有固定的IP地址由于申請固定IP地址的月租費(fèi)用遠(yuǎn)遠(yuǎn)高于動態(tài)IP地址的月租費(fèi)。因此如果用戶想采用寬帶接入進(jìn)行VPN組網(wǎng)的話，如能在網(wǎng)絡(luò)的兩端均申請動態(tài)IP地址的寬帶接入方式將大大降低組網(wǎng)成本。

對于中小企業(yè)，一種很好的選擇是使用運(yùn)營商提供的IPSecVPN服務(wù)，其組網(wǎng)模式如下圖所示：

虛擬安全域VPN網(wǎng)絡(luò)模式

[[817]]

如上圖所示，運(yùn)營商給小企業(yè)提供VPN服務(wù)，運(yùn)營商在局端部署VPN3020設(shè)備，在企業(yè)的各個VPN業(yè)務(wù)點(diǎn)上部署一臺VPN3005。業(yè)務(wù)點(diǎn)上的VPN3005將隧道建到運(yùn)營商的中心VPN3020上面，由中心VPN3020設(shè)備轉(zhuǎn)發(fā)IPSec報文，實現(xiàn)VPN隧道的互聯(lián)互通。

運(yùn)營商在局端的VPN3020設(shè)備可以使用邁普特有的“虛擬安全域技術(shù)”，使一臺VPN3020可以為多個用戶提供IPSecVPN服務(wù)，而保證信息的安全隔離。因為多個用戶公用一臺VPN3020，這種模式將降低運(yùn)營商運(yùn)營商開通小企業(yè)VPN業(yè)務(wù)的成本。

用戶只需要在聯(lián)通申請IPSecVPN服務(wù)，無需使用DDNS服務(wù)，就可以享受IPSecVPN服務(wù)。

【編輯推薦】

1. MPLS VPN與IPSec VPN的融合解決方案
2. 華為3com的IPSec VPN方案