https://newera17031.activehosted.com/index.php?action=social&chash=17ed8abedc255908be746d245e50263a.2770&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=17ed8abedc255908be746d245e50263a.2770&nosocial=1

觀點

省錢密道 VPN一網打盡

2003 / 03 / 05
謝誼萱
省錢密道  VPN一網打盡

MPLS-VPN(多重通訊協定標籤交換傳輸)隨著網路技術進步與應用需求日益增加,已成為新經濟時代通訊應用平台。這種交換協定,可以在傳輸封包上加上標籤(Label),在傳送時路由器只需讀取其標籤,而不需要讀取整個封包,明顯提高路由效率,是現今當紅的協定技術。跨區企業除了可以向傳統電信業者租用專線服務外,亦可以透過新興網路服務供應商的共享數據網路,租用包括訊框傳送網路(Frame-Relay)、非同步傳輸網路(ATM)、甚至是網際網路(Internet)來構建eBusiness的通訊傳輸平台。
VPN新潮流 MPLS正走紅
現有國內提供MPLS VPN廠商計有, Hinet、Seednet(數位聯合)、TTN(台灣電訊)、APOL(亞太線上) 、英普達、神坊資訊等業者提供MPLS VPN,以現階段來說,國內的ISP業者要能夠提供此一服務都必需是規模不算小的業者,因為其中牽涉到在各區域的機房是否具備有支援MPLS VPN的路由設備,而且這些路由設備還必需定義有相同的QoS或是CoS的設定,如此才能夠確保MPLS的封包在網路上傳遞時能夠正確並且符合企業所要求的QoS機制。

英普達總經理劉元璋指出,英普達isMPLS採用最先進網路傳輸協定,由於核心網路以最具效率的標籤交換(Label Switching)方式傳輸,因此可以解決網路傳輸效率、穩定度、流量控管以及多路徑備援等網路問題,是企業內部繼國際、長途專線、Frame relay及ATM之後的另一種最新的多功能性VPN通訊解決方案。

Seednet產品部協理洪欽滿則表示,Seednet MPLS VPN屬於第三代網路架構,是新一代的IP高速骨幹網路交換標準,由 IETF ( Internet Engineering Task Force,網際網路工程專案小組)所提出,由Cisco、3Com等網路設備大廠所主導。洪欽滿進一步指出,企業客戶若選用MPLS VPN,基本上客戶端不需要添購任何設備,ISP業者自動會完成架設,可以省下人力成本。

企業用戶使用MPLS-VPN以流通業、連鎖店等最多,對成本考量大於安全考量的行業為主。「未來可能一個加油站就是一埠點,如果中油要架設MPLS-VPN,就必須用上千個埠點。」TTN副總經理林經堯指出,TTN在流通業有很多MPLS-VPN客戶,全台大約有四千個埠數。

兩岸企業在資料溝通傳遞上有幾項考量:資料傳遞的安全與完整性、與企業內部的資訊系統整合、網路架構簡單易管理、降低成本並提高經濟效益。國內ISP業者積極佈局兩岸VPN服務,不但陸續與大陸當地網路服務供應業者,或電信服務商策略聯盟,更對赴大陸投資台商展開加強行銷,爭取兩岸VPN領導地位。

MPLS提供了有別於傳統IP-Over-ATM的好處。因為透過labeling switch的方式使得不同的網路服務可以運行在相同的平台之上,也就是BPX switch可以讓ATM, Frame Relay, IP Internet service, and IP VPN藉由MPLS成為一個高效率且有彈性的應用服務。正因為是採用單一的平台為基礎,相對的建置成本就能有效的節省。相對的,MPLS VPN也存在一些問題,例如兩大派系(思科、Juniper加北電網路)標準尚無法互通、ISP業者互連協定及定義比對等問題,都必須加以解決才能讓MPLS VPN溝通無障礙。

支援PKI IPSec學問大
IPSec是受企業用戶青睞的VPN技術之一,因為IPSec是一種由端對端的設計技術,確保通訊的數據安全性比較高,同時支持對數據加密,可確保數據完整性,所以建置成本也相對比較高。IPSec使用兩種安全協定,來確保數據完整性,一為驗證包頭(AH,Authentication Header);另一為封裝安全負載(ESP, Encapsulating Security Payload)。IPSec協議下,只有發送方和接受方知道密鑰,如果驗證數據有效,接受方可以知道數據來自發送方,並且在傳輸過程中沒有受到破壞。

為了保證數據的保密性並防止數據被第三者竊取,ESP提供了一種對IP負載進行加密的機制,另外,ESP還提供數據驗證和數據完整性服務,因此在IPSec下可以用ESP取代AH。在網路型的IPSec VPN解決方案中,客戶的路由骨幹通常皆外包給服務供應商經營,因此服務供應商的用戶管理系統(SMS)會置於客戶的CPE裝置附近。有別於Layer 2型的服務,服務供應商的網路負責執行Layer 3客戶路由作業,並提供一組額外的功能層,負責支援路由階層,並省下透過CPE提供網狀虛擬線路或通道的成本以及排除這類環境的複雜度。若SMS具備多重環境支援的能力,這種技術能提供區隔機制,因此能支援私人位址的服務,同時亦不須變更客戶的網路組態。

VPN新風貌 整合產品百家爭鳴
企業在採購VPN同時,會考慮與防火牆(Firewall)、入侵偵測 (IDS) 合一的產品,Cisco、NetScreen、CheckPoint、Cybergand、Borderware等廠商都提供防火牆加VPN整合性產品,其中不乏整合入侵偵測機制的產品。

據IDC市調報告指出,未來VPN軟硬體供應商的排名,將取決於是否能將先進的網路安全技術整合到產品中,NetScreen亞太區資深行銷總監Paul Serranol,清楚地勾勒國外廠商在安全解決方案上整合的趨勢,NetScreen進入國內市場雖然腳步慢了一點,但是表現卻令人刮目相看,以2002年營收逆勢成長62%的亮眼成績,可以預見來台後,將對市場造成不小影響。

「現在做防毒、防火牆廠商往上吃市場,就必須做VPN或IDS。」台灣思科技術支援部經理楊士逸指出,VPN加防火牆已是企業升級不可或缺的資安產品,以思科自己員工配備為例,Cisco員工在無線上網時,VPN有內建個人防火牆及動態密碼,安全性是所有產品中最高的,員工不論傳遞任何訊息,都必須透過內建防火牆的VPN傳送。

VPN新管理 安全快速操作簡便
通常只有中大型企業規模,才會考慮採購VPN專用管理工具,相關工具軟體售價大約一百萬元至兩百萬元間,管理功能愈高階相對價位也愈高。思科在VPN專用管理軟體上有技高一籌的地方,不但可以管理的VPN點數較多,功能也比較強。

「Cisco 以分散式架構下做集中式管理,有很大彈性做產品整合,也就是用一塊背板做介面,可同時整合防火牆、VPN、IDS等,降低故障點和機率,這是其他網路架構無法做到。」台灣思科技術支援部經理楊士逸道出Cisco在VPN管理上的新思維,在新一代VPN管理工具上Cisco則內建「Push Mode」管理功能。楊士逸進一步解釋,只要在總公司設VPN Concentrator,安裝、操作程序簡便,即可藉由Push Mode功效將網路指令推至分公司及用戶端,不一定非得在總公司端下命令。不過,也必須在思科架構環境下,才能有「Push Mode」管理功能,否則還是行不通。

以往VPN用戶端軟體安裝步驟繁雜,只要有設定錯誤,便無法連線,對一般個人用戶非常不方便,現在廠商不但將安裝手續簡化,更把安裝動作先由資訊人員做設定,使用者端通常只要按照指示按滑鼠即可。

代理NetScreen產品的敦陽科技產品部協理劉守元就表示,「企業第一道防線可能已經飽合,但是第二、第三道防線仍有待建立,尤其是高科技產業及安全需求度高的產業,防毒與防火牆配備已不敷所需,VPN和入侵偵測是接下來要考量的建置。」

「現在廠商都以安全政策為行銷導向,而不是只有談單一產品銷售,協助企業做安全政策擬定,並提供整合性產品。」Cisco在台重要代理商聚碩科技產品經理江其杰,對新一代VPN安全管理下了體切的注解。

VPN新世代 潛力無窮商機無限
ADSL普及與建置專線成本大幅下降,是VPN異軍突起主因,今年VPN市場可望大鳴大放,主要因素不外乎,VPN投資報酬率是看得到也算得出,企業為省下大筆專線費用,租用ISP VPN或自己架設VPN網路,將會成為企業拓展業務及設置分支機構的首要考量。總言之,多據點企業以及產業上下游電子交易市集建立,應是VPN最主要客戶群;另外MPLS-VPN則鎖定在使用Frame relay同等級行業,例如金融、製造業等客戶升級時會採用的技術。

全球VPN市場以思科(Cisco)、北方電訊(Nortel)、Vpnet、Asend等為領導廠商,而國內廠商為在廣大的IP-VPN市場上占一席之地,已有多家進行IP-VPN技術的研發,例如﹕合勤、仲琦、台林、星通、台聯、偉僑、達創、東聖、聚碩等,將IP-VPN的功能建立在他們原有的Modem、Mux、Switch、IAD、xDSL Modem等產品上,期待能藉此提昇國內在通訊與網路設備方面的競爭力。

ISP和固網及大哥大業者,如Hinet、Seednet、Htnet、遠傳、台灣固網等也將陸續提供IP-VPN的服務,此外亦有研究機構,如工研院電通所、資策會等也透過策略聯盟與技術推廣等活動,提供廠商IP-VPN相關關鍵技術,使國內廠商更能掌握 IP-VPN 之技術發展趨勢與產業前景。

根據MIC最新統計顯示,由於網路應用的普及與單價降低,防火牆與VPN將快速成長,2001至2005年複合成長率將達37.4%,佔資安產品市場最大比例。IDC分析預測,單就IP-VPN專用網路設備的市場而言,在2002年全球便可達到7億美元的規模,這還不包括附加IP-VPN功能的產品如防火牆、路由器,交換器等設備的市場。而IP-VPN服務的市場收益單就美國而言,在2002年更達到百億美元的規模。

工研院電通所委託學界所做的研究顯示,VPN的觀念是網路演變之必然趨勢,VPN除具有高度學術研究價值外,並提供實際電子商務之應用,可創造數百億元之商機,因此同時兼受學術界及工商業界之重視。

不論是國內或國外的統計數字都顯示,VPN將在資安市場上大有斬獲,相關業者也卯足全力搶攻市場,未來競爭之激烈可以想見的。