使用VPN連接分公司

不斷壯大的企業(yè)可能在幾個地方都擁有分公司，將這些站點連網(wǎng)是一項挑戰(zhàn)。但是有一個可升級并省錢的方法就是：實施一個站點到站點的 VPN解決方案。

隨著企業(yè)的增長，企業(yè)的發(fā)展可能會超出最初物理站點的限度。這意味著企業(yè)需要在其他地方增設(shè)分公司，這些遠(yuǎn)程地點的雇員很可能需要像 總部的員工那樣訪問許多相同的網(wǎng)絡(luò)資源，而且可能兩個組需要共享文件并相互進(jìn)行通信。

傳統(tǒng)的解決方案在總公司和分公司之間實現(xiàn)了一個專用廣域網(wǎng)（WAN）。這通常是一條T1或者T3線路。然而，專用的租用線路價格不菲。當(dāng)你只 有一個分公司的時候，一條單一線路就足夠了，但是如果再增加一個，你可能需要再增加兩條專用線路以確保連通性。完全連通性所需要的線 路數(shù)量會隨著新機(jī)構(gòu)的增加而急速增加，成本亦是如此。

一個更容易升級的解決方案是利用站點到站點的虛擬專用網(wǎng)連接分公司。讓我們了解一下VPN如何向你提供最大的可伸縮性，同時保證機(jī)構(gòu)之間 的通信安全。

Internet是網(wǎng)絡(luò)
在你的分公司之間實現(xiàn)一個站點到站點的VPN連接，每個站點都需要連接到Internet。Internet連接可以通過一條T載波線路或一條更便宜的企 業(yè)級寬帶連接實現(xiàn)，例如DSL，電纜或諸如Verizon的FIOS這樣的光纖技術(shù)。所有這些連接提供比一條T1線路高得多的數(shù)據(jù)傳輸速率。例如，在 德克薩斯州達(dá)拉斯市的Ft. Worth，一條1.5 Mbps T1每月花費(fèi)399美元或更多。而一條FIOS連接以每月199美元提供30 Mbps或二十倍的帶寬。

VPN利用企業(yè)總公司局域網(wǎng)和分公司網(wǎng)絡(luò)都連接到更大型網(wǎng)絡(luò)（如Internet）上，來保證局域網(wǎng)之間的連通性。當(dāng)然，Internet是一個公共網(wǎng)絡(luò) ，到處都是黑客和攻擊者，所以通過Internet進(jìn)行通信的關(guān)鍵是保證公司的秘密的安全。

VPN技術(shù)解決了這個問題，它在Internet上從一個分部（站點）到另一個建立一條“隧道”。經(jīng)過這條隧道的流量被加密以保護(hù)任何敏感的數(shù)據(jù) 。

站點到站點VPN的一些優(yōu)點包括：

費(fèi)用。你不需要為專門的分公司W(wǎng)AN鏈接租用多條線路。你可以在每個分部使用一條連接到Internet的租用線路，或更低費(fèi)用的商業(yè)寬帶 Internet連接。性能。你可以在每個分部使用非常高速的Internet連接，數(shù)據(jù)傳輸速率接近或超過一些以太網(wǎng)鏈接。

靈活性。如果你遷移一個或更多的分部，比一條專用的租用線路鏈接更容易“實現(xiàn)遷移”。

可伸縮性。只要每個站點擁有一條到Internet的連接，增加新站點/連接很容易。使用租用線路，分部之間更遠(yuǎn)的距離意味著更高的費(fèi)用。 因為VPN使用一個到Internet的連接，而不是分部之間的點到點連接，它更加容易升級。

實現(xiàn)站點到站點的VPN

和遠(yuǎn)距離工作者或工作在外的員工所使用的遠(yuǎn)程訪問類型的VPN不同的是，站點到站點VPN利用連接兩端的網(wǎng)關(guān)。（Internet上）網(wǎng)關(guān)到網(wǎng)關(guān)的 流量是加密的。

有許多不同的方法可以建立站點到站點VPN。首先你需要考慮你用來建立隧道和加密流量的協(xié)議。流行的隧道協(xié)議包括：

點對點隧道協(xié)議（PPTP）。最初的VPN方法之一，被許多VPN軟件和硬件供應(yīng)商支持，但是不如一些其他選擇安全。經(jīng)常用在遠(yuǎn)程訪問VPN， 但也可以用在站點到站點VPN。

第二層隧道協(xié)議（L2TP）?；谖④浀腜PTP和Cisco的第二層轉(zhuǎn)發(fā)（L2F）的結(jié)合之上。L2TP建立隧道而且使用IPsec加密隧道中的流量。

Internet協(xié)議安全（IPsec）。IPsec本身可以用來在“隧道模式”建立一條VPN隧道。
站點到站點的VPN軟件除了協(xié)議問題之外，另一個重要的考慮是如何實現(xiàn)VPN軟件。可以購買專用的VPN網(wǎng)關(guān)設(shè)備。多數(shù)防火墻設(shè)備，例如Cisco的PIX就包括VPN功能。 可選擇的是，諸如微軟的ISA Server和Check Point這樣的軟件防火墻也可以配置為站點到站點VPN網(wǎng)關(guān)。最后，微軟的服務(wù)器操作系統(tǒng)也可以 通過路由和遠(yuǎn)程訪問服務(wù)（RRAS）建立VPN網(wǎng)關(guān)。

在進(jìn)行選擇的過程中，請牢記可伸縮性。如果你的分公司可能會增加，這很可能意味著分公司和總公司之間的通信量會增加，也進(jìn)一步意味著 在你的網(wǎng)關(guān)上更大的負(fù)載。如果你對某個設(shè)備考慮不足，升級可能需要你購買一個全新的設(shè)備。使用諸如Windows Server、ISA Server或Check Point for Windows這樣的基于軟件的VPN網(wǎng)關(guān)允許你更容易地升級硬件，通過增加處理器或內(nèi)存以處理額外的負(fù)載。然而，這是折衷的，基于 設(shè)備的網(wǎng)關(guān)首先會提供更高的性能，其次它們可能還運(yùn)行有版權(quán)的比Windows服務(wù)器更少受到攻擊的操作系統(tǒng)。