觀點

省錢密道 VPN一網打盡

2003 / 03 / 24
省錢密道 VPN一網打盡

文/謝誼萱


MPLS-VPN(多重通訊協定標籤交換傳輸)隨著網路技術進步與應用需求日益增加,已成為新經濟時代通訊應用平台。這種交換協定,可以在傳輸封包上加上標籤(Label),在傳送時路由器只需讀取其標籤,而不需要讀取整個封包,明顯提高路由效率,是現今當紅的協定技術。跨區企業除了可以向傳統電信業者租用專線服務外,亦可以透過新興網路服務供應商的共享數據網路,租用包括訊框傳送網路(Frame-Relay)、非同步傳輸網路(ATM)、甚至是網際網路(Internet)來構建eBusiness的通訊傳輸平台。


MPLS-VPN提供更進一步的網路服務品質保證(QoS),讓不同任務導向的網路傳輸透過服務層級保證機制,服務等級區分(CoS)及網路服務供應商封閉而安全的網路,予以分級處理。換言之,企業可以針對資訊應用訂定不同等級的重要度,由網路服務供應商給予不同的服務及傳輸品質保證。
VPN新潮流 MPLS正走紅
現有國內提供MPLS VPN廠商計有, Hinet、Seednet(數位聯合)、TTN(台灣電訊)、APOL(亞太線上) 、英普達、神坊資訊等業者提供MPLS VPN,以現階段來說,國內的ISP業者要能夠提供此一服務都必需是規模不算小的業者,因為其中牽涉到在各區域的機房是否具備有支援MPLS VPN的路由設備,而且這些路由設備還必需定義有相同的QoS或是CoS的設定,如此才能夠確保MPLS的封包在網路上傳遞時能夠正確並且符合企業所要求的QoS機制。


英普達總經理劉元璋指出,英普達isMPLS採用最先進網路傳輸協定,由於核心網路以最具效率的標籤交換(Label Switching)方式傳輸,因此可以解決網路傳輸效率、穩定度、流量控管以及多路徑備援等網路問題,是企業內部繼國際、長途專線、Frame relay及ATM之後的另一種最新的多功能性VPN通訊解決方案。劉元璋對isMPLS具備完整的網路備援方案、高度網路私密性的優點大力推薦,他說:「isMPLS不只具備Frame relay同等級的安全可靠性,在IP的普遍性及共通性特點下,提供客戶快速且簡易的網路連結環境。企業可有效運用現有設備,輕鬆建構企業內私有網路,達到網路升級並降低投資成本的目的。」


Seednet產品部協理洪欽滿則表示,Seednet MPLS VPN屬於第三代網路架構,是新一代的IP高速骨幹網路交換標準,由 IETF ( Internet Engineering Task Force,網際網路工程專案小組)所提出,由Cisco、3Com等網路設備大廠所主導。洪欽滿進一步指出,企業客戶若選用MPLS VPN,基本上客戶端不需要添購任何設備,ISP業者自動會完成架設,可以省下人力成本。


企業用戶使用MPLS-VPN以流通業、連鎖店等最多,對成本考量大於安全考量的行業為主。「未來可能一個加油站就是一埠點,如果中油要架設MPLS-VPN,就必須用上千個埠點。」TTN副總經理林經堯指出,TTN在流通業有很多MPLS-VPN客戶,現在全台大約有四千個埠數。
兩岸企業在資料溝通傳遞上有幾項考量:資料傳遞的安全與完整性、與企業內部的資訊系統整合、.網路架構簡單易管理、降低成本並提高經濟效益。國內ISP業者積極佈局兩岸VPN服務,不但陸續與大陸當地網路服務供應業者,或電信服務商策略聯盟,更對赴大陸投資台商展開加強行銷,爭取兩岸VPN領導地位。


MPLS提供了有別於傳統IP-Over-ATM的好處。因為透過labeling switch的方式使的不同的網路服務可以運行在相同的平台之上,也就是BPX switch可以讓ATM, Frame Relay, IP Internet service, and IP VPN藉由MPLS成為一個高效率且有彈性的應用服務。正因為是採用單一的平台為基礎,相對的建置成本就能有效的節省。相對的,MPLS VPN也存在一些問題,例如兩大派系(思科、Juniper加北電網路)標準尚無法互通、ISP業者互連協定及定義比對等問題,都必須加以解決才能讓MPLS VPN溝通無障礙。

支援PKI IPSec學問大
IPSec是受企業用戶青睞的VPN技術之一,因為IPSec是一種由端對端的設計技術,確保通訊的數據安全性比較高,同時支持對數據加密,可確保數據完整性,所以建置成本也相對比較高。IPSec使用兩種安全協定,來確保數據完整性,一為驗證包頭(AH,Authentication Header);另一為封裝安全負載(ESP,Encapsulating Security Payload)。IPSec協議下,只有發送方和接受方知道密鑰,如果驗證數據有效,接受方可以知道數據來自發送方,並且在傳輸過程中沒有受到破壞。


為了保證數據的保密性並防止數據被第三者竊取,ESP提供了一種對IP負載進行加密的機制,另外,ESP還提供數據驗證和數據完整性服務,因此在IPSec下可以用ESP取代AH。在網路型的IPSec VPN解決方案中,客戶的路由骨幹通常皆外包給服務供應商經營,因此服務供應商的用戶管理系統(SMS)會置於客戶的CPE裝置附近。有別於Layer 2型的服務,服務供應商的網路負責執行Layer 3客戶路由作業,並提供一組額外的功能層,負責支援路由階層,並省下透過CPE提供網狀虛擬線路或通道的成本以及排除這類環境的複雜度。若SMS具備多重環境支援的能力,這種技術能提供區隔機制,因此能支援私人位址的服務,同時亦不須變更客戶的網路組態。

VPN新風貌 整合產品百家爭鳴
企業在採購VPN同時,會考慮與防火牆(Firewall)、入侵偵測 (IDS) 合一的產品,Cisco、NetScreen、CheckPoint、Cybergand、Borderware等廠商都提供防火牆加VPN整合性產品,其中不乏整合入侵偵測機制的產品。


據IDC市調報告指出,未來VPN軟硬體供應商的排名,將取決於是否能將先進的網路安全技術整合到產品中,NetScreen被視為防火牆與VPN市場成長最快的廠商,「效能、速能、管理能力、成本效益是NetScreen快速竄起的主因,未來將針對市場研發整合能力更強的產品。」NetScreen亞太區資深行銷總監Paul Serranol,清楚地勾勒國外廠商在安全解決方案上整合的趨勢,NetScreen進入國內市場雖然腳步慢了一點,但是表現卻令人刮目相看,以2002年營收逆勢成長62%的亮眼成績,可以預見來台後,將對市場造成不小影響。


「現在做防毒、防火牆廠商往上吃市場,就必須做VPN或IDS。」台灣思科技術支援部經理楊士逸指出,VPN加防火牆已是企業升級不可或缺的資安產品,以思科自己員工配備為例,Cisco員工在無線上網時,VPN有內建個人防火牆及動態密碼,安全性是所有產品中最高的,員工不論傳遞任何訊息,都必須透過內建防火牆的VPN傳送。

VPN新管理 安全快速操作簡便
通常只有中大型企業規模,才會考慮採購VPN專用管理工具,相關工具軟體售價大約一百萬元至兩百萬元間,管理功能愈高階相對價位也愈高。思科在VPN專用管理軟體上有技高一籌的地方,不但可以管理的VPN點數高,功能也比較強。


「Cisco 以分散式架構下做集中式管理,有很大彈性做產品整合,也就是用一塊背板做介面,可同時整合防火牆、VPN、IDS等,降低故障點和機率,這是其他網路架構無法做到。」台灣思科技術支援部經理楊士逸道出Cisco在VPN管理上的新思維,在新一代VPN管理工具上Cisco則內建「Push Mode」管理功能。楊士逸進一步解釋,只要在總公司設VPN Concentrator,安裝、操作程序簡便,即可藉由Push Mode功效將網路指令推至分公司及用戶端,不一定非得在總公司端下命令。不過,也必須在思科架構環境下,才能有「Push Mode」管理功能,否則還是行不通。


以往VPN用戶端軟體安裝步驟繁雜,只要有設定錯誤,便無法連線,對一般個人用戶非常不方便,現在廠商不但將安裝手續簡化,更把安裝動作先由資訊人員做設定,使用者端通常只要按照指示按滑鼠即可。


代理NetScreen產品的敦陽科技產品部協理劉守元就表示,「企業第一道防線可能已經飽合,但是第二、第三道防線仍有待建立,尤其是高科技產業及安全需求度高的產業,防毒與防火牆配備已不敷所需,VPN和入侵偵測是接下來要考量的建置。」


「現在廠商都以安全政策為行銷導向,而不是只有談單一產品銷售,協助企業做安全政策擬定,並提供整合性產品。」Cisco在台重要代理商聚碩科技產品經理江其杰,對新一代VPN安全管理下了體切的注解。


如要詳閱相關內文,請參考《資安人》雜誌創刊號....