Internet 是一个全球性的 IP 网络,可供人们公开访问。它在全球范围的迅猛发展,已使其成为一种有吸引力的远程站点互联手段。但 Internet 的公共基础架构特性,又会给企业及其内部网络带来安全风险。然而幸运的是,现在各组织都可以利用 ××× 技术在公共 Internet 基础架构上,创建能够保持机密性和安全性的私有网络。
组织使用 ××× 提供一个虚拟的 WAN 基础架构,该基础架构将分支机构、家庭办公室、业务合作伙伴站点以及远程工作者连接到其整个企业网络或其企业网络的一部分。为保持私有性,流量经过了加密处理。××× 不使用专用的第 2 层连接(如租用线路),而是使用通过 Internet 路由的虚拟连接。
在本课程的前文中,我们做过一个有关获得体育场演出优先票的比喻。我们将这个比喻延伸一下,以便说明 ××× 的工作方式。我们可以把 Internet 看作一个类似体育场的公共场所。演出结束时,观众们都通过公共走廊和通道离场,于是在此过程中难免会发生推撞,也可能会有小偷小摸。
现在再想想演员们是怎样离场的。他们的随从都挽起手臂,在人群中形成一个警戒圈,使名人们免遭推搡和冲撞。而这些警戒圈所形成的特殊通道,将护送着他们迅速钻入豪华轿车并前往目的地。本节所介绍的 ××× 的工作方式与此非常相似:捆绑数据,然后通过有保护措施的隧道在 Internet 上安全地传输数据。因此,理解 ××× 技术对于在企业网络上实现安全的远程服务至关重要。
有这样一个比喻:每个 LAN 都是一座岛
我们将通过另一个比喻,从另一个视角来说明 ××× 概念。假设您生活在一座岛屿上,周围是一片×××。您的四周有成千上万座其它岛屿,一些岛屿靠得很近,另一些岛屿则离得很远。一般的出行方式是,从您所在的岛屿乘渡船前往想要拜访的任何岛屿。但乘渡船出行意味着您几乎毫无隐私可言,因为您的任何行动都被旁人看在眼里。
假定每座岛屿都表示一个私有局域网,海洋则是 Internet。您乘渡船出行类似于通过 Internet 连接到某个 Web 服务器或另一台设备。由于您无法控制组成 Internet 的电缆和路由器,正如您无法控制渡船上的其他人一样。因此,如果您尝试利用公共资源连接两个私有网络,就很容易受到安全问题的困扰。
于是,您决定架设通往另一座岛屿的桥梁,以便两岛的人们可更方便、安全、直接地往来。即使要连接的岛屿靠得很近,架设和维护桥梁的费用也不简单,但安全可靠的通道需要使您还是决定架桥。然而对于另一座较远的岛屿,过高的费用则使您不得不打消架桥的念头。
这种情况与拥有租用线路非常相似,桥梁(租用线路)与海洋 (Internet) 是分开的,但它们能够连接各座岛屿(局域网)。许多公司之所以选择这一途径,就是因为在连接其远程办公室时有安全性和可靠性方面的需求。不过,如果各办公室相隔很远,代价就会极其高昂,就像尝试架设一座跨度极大的桥梁一样。
那么如何将 ××× 融入到这个比喻中呢?我们可以向各个岛屿的每位居民赠送一艘小潜水艇,这些潜水艇具有以下特点:
速度快
无论前往何处,都便于携带
能够将您完全隐藏起来,不被其它船只或潜艇发现
可靠
购买第一艘之后,为船队添置更多潜艇的花费很少
尽管潜艇在海上行驶时其它船只也在海上通行,但两座岛屿的居民只要愿意,可以随时来往于两座岛屿,并且隐私权和安全性都能够得到保证。这本质上便是 ××× 的工作原理。网络的每位远程成员都可以将 Internet 用作连接到私有局域网的媒介,从而以安全、可靠的方式进行通信。××× 可以进行扩展来满足更多用户和不同地点的需求,比租用线路的扩展要容易得多。实际上,可扩展性是 ××× 相对于一般租用线路的一大优势。使用租用线路时,覆盖的距离越远,成本就越高;而在搭建 ××× 时,各办公室的地理位置无关紧要。
使用 ××× 的组织会受益于更大的灵活性和效率提升。远程站点和远程工作者几乎可以从任何地点安全地连接到企业网络。××× 上的数据经过加密,无权拥有数据的人无法破译。××× 将远程主机纳入到防火墙内,这样它们在访问网络设备时便可拥有与在企业办公室中时近乎相同的访问能力。
图中以红色显示租用线路,蓝线表示基于 ××× 的连接。请记住使用 ××× 的以下优点:
节省成本 — 组织可以利用经济的第三方 Internet 传输让远程办公室和远程用户连接到总公司站点,从而节省了为架设专用 WAN 链路和购买大批调制解调器而带来的昂贵开销。××× 通过使用宽带降低了连接成本,同时增加了远程连接的带宽。
安全性 — 使用先进的加密和身份认证协议防止数据受到未经授权的访问。
可扩展性 — 由于 ××× 使用 ISP 和电信公司内的 Internet 基础架构,因此组织可以方便地添加新用户。组织无论大小,无需大规模添置基础架构即可大幅度扩充容量。
