MPLS-VPN(多重通訊協定標籤交換傳輸)隨著網路技術進步與應用需求日益增加,已成為新經濟時代通訊應用平台。這種交換協定,可以在傳輸封包上加上標籤(Label),在傳送時路由器只需讀取其標籤,而不需要讀取整個封包,明顯提高路由效率,是現今當紅的協定技術。跨區企業除了可以向傳統電信業者租用專線服務外,亦可以透過新興網路服務供應商的共享數據網路,租用包括訊框傳送網路(Frame-Relay)、非同步傳輸網路(ATM)、甚至是網際網路(Internet)來構建eBusiness的通訊傳輸平台。
MPLS-VPN提供更進一步的網路服務品質保證(QoS),讓不同任務導向的網路傳輸透過服務層級保證機制,服務等級區分(CoS)及網路服務供應商封閉而安全的網路,予以分級處理。換言之,企業可以針對資訊應用訂定不同等級的重要度,由網路服務供應商給予不同的服務及傳輸品質保證。
VPN新潮流 MPLS正走紅
現有國內提供MPLS VPN廠商計有, Hinet、Seednet(數位聯合)、TTN(台灣電訊)、APOL(亞太線上) 、英普達、神坊資訊等業者提供MPLS VPN,以現階段來說,國內的ISP業者要能夠提供此一服務都必需是規模不算小的業者,因為其中牽涉到在各區域的機房是否具備有支援MPLS VPN的路由設備,而且這些路由設備還必需定義有相同的QoS或是CoS的設定,如此才能夠確保MPLS的封包在網路上傳遞時能夠正確並且符合企業所要求的QoS機制。
英普達總經理劉元璋指出,英普達isMPLS採用最先進網路傳輸協定,由於核心網路以最具效率的標籤交換(Label Switching)方式傳輸,因此可以解決網路傳輸效率、穩定度、流量控管以及多路徑備援等網路問題,是企業內部繼國際、長途專線、Frame relay及ATM之後的另一種最新的多功能性VPN通訊解決方案。劉元璋對isMPLS具備完整的網路備援方案、高度網路私密性的優點大力推薦,他說:「isMPLS不只具備Frame relay同等級的安全可靠性,在IP的普遍性及共通性特點下,提供客戶快速且簡易的網路連結環境。企業可有效運用現有設備,輕鬆建構企業內私有網路,達到網路升級並降低投資成本的目的。」
Seednet產品部協理洪欽滿則表示,Seednet MPLS VPN屬於第三代網路架構,是新一代的IP高速骨幹網路交換標準,由 IETF ( Internet Engineering Task Force,網際網路工程專案小組)所提出,由Cisco、3Com等網路設備大廠所主導。洪欽滿進一步指出,企業客戶若選用MPLS VPN,基本上客戶端不需要添購任何設備,ISP業者自動會完成架設,可以省下人力成本。
|
小字典:VPN是什麼?
虛擬私有網路(Virtual Private Networks,VPN)被業者形容為大樓管理委員會,不但提供資訊傳遞也主動通知異常現象,VPN提供企業商用資料在網際網路上通行必要的保護,防範入侵者在網路上竊取資料及從事不當的存取。VPN是在路由器內建入加密及建立私用通道(tunneling)的功能,以軟體技術將某些固定節點組成群組(grouping),在網際網路上構築一個虛擬的企業網路。VPN對企業最主要的效益在於硬體及專線支出的節省,適用於跨域或跨國經營的企業,尤其對於跨國經營的業者,更可將國際通訊費的支出,至少調降到50%以下,幾乎等於國內通訊費。亦可大幅降低差旅行社員工的連接成本,將Intranets(企業內部網路)延伸到分支辦公室,並使企業可透過Extranets(適度開放的企業間網路)與重要的關鍵合作夥伴及客戶建立通訊,緊密維繫關係。
|
企業用戶使用MPLS-VPN以流通業、連鎖店等最多,對成本考量大於安全考量的行業為主。「未來可能一個加油站就是一埠點,如果中油要架設MPLS-VPN,就必須用上千個埠點。」TTN副總經理林經堯指出,TTN在流通業有很多MPLS-VPN客戶,現在全台大約有四千個埠數。
兩岸企業在資料溝通傳遞上有幾項考量:資料傳遞的安全與完整性、與企業內部的資訊系統整合、.網路架構簡單易管理、降低成本並提高經濟效益。國內ISP業者積極佈局兩岸VPN服務,不但陸續與大陸當地網路服務供應業者,或電信服務商策略聯盟,更對赴大陸投資台商展開加強行銷,爭取兩岸VPN領導地位。
MPLS提供了有別於傳統IP-Over-ATM的好處。因為透過labeling switch的方式使的不同的網路服務可以運行在相同的平台之上,也就是BPX switch可以讓ATM, Frame Relay, IP Internet service, and IP VPN藉由MPLS成為一個高效率且有彈性的應用服務。正因為是採用單一的平台為基礎,相對的建置成本就能有效的節省。相對的,MPLS VPN也存在一些問題,例如兩大派系(思科、Juniper加北電網路)標準尚無法互通、ISP業者互連協定及定義比對等問題,都必須加以解決才能讓MPLS VPN溝通無障礙。
支援PKI IPSec學問大
IPSec是受企業用戶青睞的VPN技術之一,因為IPSec是一種由端對端的設計技術,確保通訊的數據安全性比較高,同時支持對數據加密,可確保數據完整性,所以建置成本也相對比較高。IPSec使用兩種安全協定,來確保數據完整性,一為驗證包頭(AH,Authentication Header);另一為封裝安全負載(ESP,Encapsulating Security Payload)。IPSec協議下,只有發送方和接受方知道密鑰,如果驗證數據有效,接受方可以知道數據來自發送方,並且在傳輸過程中沒有受到破壞。
為了保證數據的保密性並防止數據被第三者竊取,ESP提供了一種對IP負載進行加密的機制,另外,ESP還提供數據驗證和數據完整性服務,因此在IPSec下可以用ESP取代AH。在網路型的IPSec VPN解決方案中,客戶的路由骨幹通常皆外包給服務供應商經營,因此服務供應商的用戶管理系統(SMS)會置於客戶的CPE裝置附近。有別於Layer 2型的服務,服務供應商的網路負責執行Layer 3客戶路由作業,並提供一組額外的功能層,負責支援路由階層,並省下透過CPE提供網狀虛擬線路或通道的成本以及排除這類環境的複雜度。若SMS具備多重環境支援的能力,這種技術能提供區隔機制,因此能支援私人位址的服務,同時亦不須變更客戶的網路組態。
一般而言,SMS採用IPSec—在通道模式下運作以建置網路型的VPN,並融入端至端的加密機制,範圍涵蓋分享式的IP網路。網路型的內部VPN能擴展地理範圍,讓系統不需複雜的現場設定工作就能快速加入站點。串連多個站點亦不再需要採用虛擬線路,故能節省硬體方面的成本。省下的成本甚至多於國際連線費用,各種出租專線、ATM、或訊框中繼的連線費用皆相當可觀。
在IPSec VPN環境中,網路端點上用戶管理系統的輸入與輸出端皆有配置相關元件,對網路資料流進行安全控制。系統透過存取控制清單(ACL)的定義資料,依據來源與目的地位址,對IP資料流採取特定的安全策略。安全策略本身須具備充裕的彈性,能對每種資料流套用不同的設定,例如像不同的資料流採用不同層級的加密與授權。為因應顧客的需求,服務供應商可運用能提高自動化程序並降低設定與供應成本的工具,推出各種IPSec VPN服務。最終發展出的網路型IPSec VPN解決方案,能為服務供應商以及其顧客同時提供利益,創造一個雙贏的局面。IPSec VPN也有其限制,例如只能支持IP數據流。
Cisco整合性虛擬私有網路產品結合多樣化新通訊協定,如AToM(Any Transport over MPLS)、第二層通道協定第三版(Layer 2 Tunneling Protocol version 3; L2TPv3)、及全新擴充能力,透過Cisco Easy VPN和相關強化的功能,可將IPSec協定整合在MPLS網路之中。台灣思科技術支援部經理楊士逸表示:「服務供應商在增加第二層與第三層存取服務收益的同時,也希望能夠完全發揮IP或MPLS骨幹網路的優勢。而Cisco整合性虛擬私有網路產品不僅具有上述優勢,同時更可使服務供應商擴充其服務範圍、增加新型態IP服務,並且在封包骨幹網路上有效傳輸現有的存取服務訊務。」
VPN新風貌 整合產品百家爭鳴
企業在採購VPN同時,會考慮與防火牆(Firewall)、入侵偵測 (IDS) 合一的產品,Cisco、NetScreen、CheckPoint、Cybergand、Borderware等廠商都提供防火牆加VPN整合性產品,其中不乏整合入侵偵測機制的產品。
據IDC市調報告指出,未來VPN軟硬體供應商的排名,將取決於是否能將先進的網路安全技術整合到產品中,NetScreen被視為防火牆與VPN市場成長最快的廠商,「效能、速能、管理能力、成本效益是NetScreen快速竄起的主因,未來將針對市場研發整合能力更強的產品。」NetScreen亞太區資深行銷總監Paul Serranol,清楚地勾勒國外廠商在安全解決方案上整合的趨勢,NetScreen進入國內市場雖然腳步慢了一點,但是表現卻令人刮目相看,以2002年營收逆勢成長62%的亮眼成績,可以預見來台後,將對市場造成不小影響。
「現在做防毒、防火牆廠商往上吃市場,就必須做VPN或IDS。」台灣思科技術支援部經理楊士逸指出,VPN加防火牆已是企業升級不可或缺的資安產品,以思科自己員工配備為例,Cisco員工在無線上網時,VPN有內建個人防火牆及動態密碼,安全性是所有產品中最高的,員工不論傳遞任何訊息,都必須透過內建防火牆的VPN傳送。
VPN新管理 安全快速操作簡便
通常只有中大型企業規模,才會考慮採購VPN專用管理工具,相關工具軟體售價大約一百萬元至兩百萬元間,管理功能愈高階相對價位也愈高。思科在VPN專用管理軟體上有技高一籌的地方,不但可以管理的VPN點數高,功能也比較強。
「Cisco 以分散式架構下做集中式管理,有很大彈性做產品整合,也就是用一塊背板做介面,可同時整合防火牆、VPN、IDS等,降低故障點和機率,這是其他網路架構無法做到。」台灣思科技術支援部經理楊士逸道出Cisco在VPN管理上的新思維,在新一代VPN管理工具上Cisco則內建「Push Mode」管理功能。楊士逸進一步解釋,只要在總公司設VPN Concentrator,安裝、操作程序簡便,即可藉由Push Mode功效將網路指令推至分公司及用戶端,不一定非得在總公司端下命令。不過,也必須在思科架構環境下,才能有「Push Mode」管理功能,否則還是行不通。
|
架設VPN優點
* 簡化資訊傳輸架構流暢作業程序
* 網路傳輸效率及安全保證
* 降低專線租用成本、設備採購成本 、通信成本、人力成本
* 降低網路建構時間成本
* 無時空限制的存取
* 有效管理庫存
|
以往VPN用戶端軟體安裝步驟繁雜,只要有設定錯誤,便無法連線,對一般個人用戶非常不方便,現在廠商不但將安裝手續簡化,更把安裝動作先由資訊人員做設定,使用者端通常只要按照指示按滑鼠即可。
代理NetScreen產品的敦陽科技產品部協理劉守元就表示,「企業第一道防線可能已經飽合,但是第二、第三道防線仍有待建立,尤其是高科技產業及安全需求度高的產業,防毒與防火牆配備已不敷所需,VPN和入侵偵測是接下來要考量的建置。」
「現在廠商都以安全政策為行銷導向,而不是只有談單一產品銷售,協助企業做安全政策擬定,並提供整合性產品。」Cisco在台重要代理商聚碩科技產品經理江其杰,對新一代VPN安全管理下了體切的注解。
VPN新世代 潛力無窮商機無限
ADSL普及與建置專線成本大幅下降,是VPN異軍突起主因,今年VPN市場可望大鳴大放,主要因素不外乎,VPN投資報酬率是看得到也算得出,企業為省下大筆專線費用,租用ISP VPN或自己架設VPN網路,將會成為企業拓展業務及設置分支機構的首要考量。總言之,多據點企業以及產業上下游電子交易市集建立,應是VPN最主要客戶群;另外MPLS-VPN則鎖定在使用Frame relay同等級行業,例如金融、製造業等客戶升級時會採用的技術。
全球VPN市場以思科(Cisco)、北方電訊(Nortel)、Vpnet、Asend等為領導廠商,而國內廠商為在廣大的IP-VPN市場上占一席之地,已有多家進行IP-VPN技術的研發,例如﹕合勤、仲琦、台林、星通、台聯、偉僑、達創、東聖、聚碩等,將IP-VPN的功能建立在他們原有的Modem、Mux、Switch、IAD、xDSL Modem等產品上,期待能藉此提昇國內在通訊與網路設備方面的競爭力。
ISP和固網及大哥大業者,如Hinet、Seednet、Htnet、遠傳、台灣固網等也將陸續提供IP-VPN的服務,此外亦有研究機構,如工研院電通所、資策會等也透過策略聯盟與技術推廣等活動,提供廠商IP-VPN相關關鍵技術,使國內廠商更能掌握 IP-VPN 之技術發展趨勢與產業前景。
VPN可作為site-to-site(分支辦公室到另一個分支辦公室)連線或撥接存取所使用的私有網路替代方案。針對VPN這項特性,英普達劉元璋總經理認為,最適用於跨域或跨國經營的企業,不但可以省下員工差旅往返時間也大幅降低國際通訊費;以英普達為例,自推出VPN產品後,服務的對象已由中小型企業轉為中大型企業,對集團營運業績的貢獻值也逐年增加。劉元璋指出,放眼未來隨著企業拓展業務的需求,架設VPN的必要性也相對提高。Seednet洪欽滿協理則認為,中小企業市場龐大,VPN應用廣泛,對重視資料傳送的安全性與隱密性、內部點對點網路資訊存取的多節點、建置企業專屬虛擬網路的連鎖加盟體系、上、下游廠商或跨企業連接需求的用戶、Intranet 與 Internet 二者同時需求用戶、語音整合與資料傳輸需求兼備等企業用戶都很合適。
根據MIC最新統計顯示,由於網路應用的普及與單價降低,防火牆與VPN將快速成長,2001至2005年複合成長率將達37.4%,佔資安產品市場最大比例。IDC分析預測,單就IP-VPN專用網路設備的市場而言,在2002年全球便可達到7億美元的規模,這還不包括附加IP-VPN功能的產品如防火牆、路由器,交換器等設備的市場。而IP-VPN服務的市場收益單就美國而言,在2002年更達到百億美元的規模。
工研院電通所委託學界所做的研究顯示,VPN的觀念是網路演變之必然趨勢,VPN除具有高度學術研究價值外,並提供實際電子商務之應用,可創造數百億元之商機,因此同時兼受學術界及工商業界之重視。
不論是國內或國外的統計數字都顯示,VPN將在資安市場上大有斬獲,相關業者也卯足全力搶攻市場,未來競爭之激烈可以想見的。