虛擬環(huán)境的MPLS VPN設(shè)備使用常識，在向大家詳細介紹MPLS VPN設(shè)備之前，首先讓大家了解下配置模式中相應(yīng)參數(shù)，然后全面介紹共享上網(wǎng)，選擇使用MPLS VPN設(shè)備這種最簡單方案。

應(yīng)該使用MPLS(多協(xié)議標簽交換)VPN嗎

對于許多企業(yè)網(wǎng)絡(luò)需求來說，這個答案是絕對肯定的。向MPLS過渡正在很好地進行?？匆幌逻@個數(shù)據(jù)。據(jù)市場研究公司Vertical Systems Group的數(shù)據(jù)顯示，MPLS VPN設(shè)備多年以來一直吞噬幀中繼的市場。在未來18個月里，在美國新應(yīng)用的MPLS VPN設(shè)備連接數(shù)量將超過幀中繼。到2011年，在美國將有100多萬個MPLS VPN設(shè)備連接。

這就意味著隨著企業(yè)連接需求的增長和需要連接到新的站點，企業(yè)正在購買MPLS連接。在許多情況下，這是服務(wù)提供商向企業(yè)推廣的。但是，Vertical Systems Group分析師Rosemary Cochran說，隨著運營商本身過渡的MPLS技術(shù)，將有更多的企業(yè)從幀中繼過渡到MPLS。幀中繼使用的數(shù)量實際上將下降。

據(jù)市場研究公司Infonetics稱，2007年全球MPLS服務(wù)收入為130億美元，比2006年增長了20%。這個原因有很多。MPLS VPN設(shè)備服務(wù)通常提供許多網(wǎng)狀網(wǎng)絡(luò)，任何站點都能夠與其它站點連接。要使用幀中繼技術(shù)達到這個目的就需要在每一個站點與每一個其它站點之間建立昂貴的虛擬線路。MPLS能夠讓用戶避免復(fù)雜性和更多的成本。

MPLS還支持各種價格的多種服務(wù)質(zhì)量，為企業(yè)用戶提供為不重要的通訊購買價格便宜的VPN服務(wù)的選擇。Sprint剛剛宣布它將安裝一個每秒40GB的光纖干線以承載日益增多的IP通訊量。這些通信量都是MPLS服務(wù)和互聯(lián)網(wǎng)通訊產(chǎn)生的。

MPLS VPN設(shè)備能為我省錢嗎

也許不能。Cochran說，如果你從幀中繼平等地過渡到MPLS，線路的成本也許實際上會下降。但是，服務(wù)的總體價格沒有下降。當企業(yè)進行這種轉(zhuǎn)換的時候，整個價格也許不會下降。

但是，連接到更多站點的能力和管理網(wǎng)絡(luò)的靈活性會提高。我們沒有看到過從幀中繼過渡到MPLS導(dǎo)致價格大幅度下降的情況，因為你在使用T1線路接入，然后你開始為這個線路增加了安全和管理以及語音等功能。

據(jù)研究公司Nemertes Research稱，TI線路接入在美國的成本是每個月大約435美元。但是，其它接入方式能夠顯著降低這個價格。例如， New Edge Networks公司向運營商MPLS干線提供DSL服務(wù)，支持五種服務(wù)質(zhì)量和商業(yè)級服務(wù)級協(xié)議，每個月的費用是240美元。采用T1線路服務(wù)有維修時間保證和更可靠的對稱的帶寬。不過，這個價格差距也許值得考慮其它的技術(shù)。

Infonetics主要分析師Michael Howard說，企業(yè)喜歡這些服務(wù)，因為他們以較低的價格提供相當多的帶寬，與企業(yè)原來的幀中繼、ATM和專線服務(wù)提供商相比，廣域網(wǎng)的成本沒有增加。這種情況將促使用戶增加他們?yōu)?font style="background-color: #ffffff">MPLS VPN設(shè)備連接購買的帶寬，超過T1線路的速度，一般達到幀中繼連接的最高水平。

Cochran說，更高速度的需求將增長?？捎玫墓δ芎蛢r格將取決于哪一個服務(wù)提供商。這是一家正在減少自己的幀中繼用戶群的主導(dǎo)的服務(wù)提供商?還是一個提供低價格接入的競爭性的提供商?

自己動手的客戶能夠節(jié)省每個月的帶寬成本，他們建立自己的MPLS VPN設(shè)備并且到處購買最佳的帶寬成本。在這種情況下，因為你不局限于購買一家提供商的產(chǎn)品，你在你的每一個站點都能以最佳的價格購買產(chǎn)品，然后使用你自己的硬件和軟件實現(xiàn)這種連接。

我應(yīng)該建立自己的VPN嗎

如果你建立自己的VPN，你不會孤單，還有其他人這樣做。但是，你要準備在公司內(nèi)部投資和開發(fā)技術(shù)。Cochran說，更多的廣域網(wǎng)連接是在自己制作的VPN上進行的。在這種情況下，企業(yè)購買自己的VPN設(shè)備并且把這種設(shè)備連接到他們另外購買的廣域網(wǎng)連接，然后在MPLS VPN設(shè)備服務(wù)上使用這些設(shè)備。

這個工作范圍包括安裝和設(shè)置每一個站點的MPLS設(shè)備，這種方式是很昂貴的?；蛘呤褂猛ǔＥc防火墻捆綁銷售的站點對站點的IPSec設(shè)備，這種方法一般要便宜一些。Network World網(wǎng)站的設(shè)計顧問和博客Mark Lewis說，與VPN服務(wù)進行比較的是這個DIY部分。

企業(yè)必須要提供時間和經(jīng)驗進行設(shè)計、安裝、維護和維修這個VPN。這就意味著培訓(xùn)。沒有培訓(xùn)，排除VPN故障就是隨機的和耗費時間的，經(jīng)常不能解決你遇到的問題，甚至還會使故障更加嚴重。

我應(yīng)該為遠程接入VPN使用IPSec還是SSL

使用SSL。在大多數(shù)情況下，SSL VPN能夠提供與IPSec VPN相同的接入。SSL還能提供更多的選擇。SSL VPN使用大多數(shù)瀏覽器中常見功能在互聯(lián)網(wǎng)上提供應(yīng)用層安全接入。這就意味著不用發(fā)布和維護遠程計算機上的客戶端軟件。這個局限性是瀏覽器只能訪問基于網(wǎng)絡(luò)的應(yīng)用程序。

通過在使用時向遠程計算機加入Java或者Active X SSL VPN插件，SSL VPN能夠創(chuàng)建相當于IPSec的網(wǎng)絡(luò)層連接，不用發(fā)布專用的VPN客戶端軟件。SSL還能夠更詳細地控制遠程用戶訪問的資源。IPSec能夠提供全面的網(wǎng)絡(luò)接入，而SSL能夠根據(jù)應(yīng)用程序的情況限制訪問。

如果用戶的需求就是訪問基于網(wǎng)絡(luò)的應(yīng)用程序，那么，需要的唯一的客戶端軟件就是一個兼容的瀏覽器。這就意味著用戶能夠從家里的計算機、借來的計算機或者用商業(yè)中心小亭子中的計算機進行連接。

Gartner分析師John Girard稱，SSL VPNs已經(jīng)取代了IPSec成為各種用戶的最方便的選擇。這些用戶包括有VPN接入需求的隨機的和專門的員工、企業(yè)合作伙伴、外部維護提供商和退休的相關(guān)人員。雖然2006年年中至2007年年中期間SSL VPN設(shè)備銷售收入增長了43%，達到了3.40億美元，但是，這個增長率預(yù)計將下降，從而使SSL VPN設(shè)備在2011年之前的平均年增長率達到13.8%。

市場研究公司IDC另外發(fā)表的一篇研究報告稱，2007年VPN設(shè)備銷售收入為12.7億美元，IPSec VPN設(shè)備的銷售收入占其中的一半以上。但是，IPSec VPN設(shè)備銷售收入所占的比例實際上下降了9.8%。與此同時，SSL VPN設(shè)備的銷售收入增長了18.2%。

此外，用戶還與SSL一起使用IPSec遠程接入。混合的SSL/IPSec設(shè)備銷售量較低，但是，這種混合設(shè)備銷售的增長速度比單獨的SSL或者IPSec設(shè)備增長速度快。最暢銷的VPN設(shè)備的廠商依次是思科、Juniper、諾基亞、Safenet和阿爾卡特-朗訊。

VPN適用于VoIP嗎

是的。MPLS VPN設(shè)備提供的服務(wù)質(zhì)量能夠保證以更好的語音質(zhì)量及時地傳送VoIP數(shù)據(jù)包。MPLS還能夠升級以便容納全面混搭的數(shù)量巨大的站點，因此，在企業(yè)站點之間打VoIP電話應(yīng)該是沒有問題的。

Network World網(wǎng)站進行的測試表明，使用SSL VPN在ICP協(xié)議上傳送VoIP確實提高了語音質(zhì)量。因為TCP協(xié)議記錄數(shù)據(jù)包并且重播丟失的數(shù)據(jù)包，它能夠提高接聽電話的質(zhì)量。如果帶寬足夠容納這個VoIP信道加上這個重播信道，它就能夠提高質(zhì)量。

VPN還能夠為在Wi-Fi網(wǎng)絡(luò)或者有線網(wǎng)絡(luò)上傳送的VoIP電話提供安全功能，阻止竊聽。VPN還用來保護iPhone等智能手機和其它掌上設(shè)備發(fā)送的數(shù)據(jù)，盡管這項管理目前仍是初步的。

我能在虛擬環(huán)境中使用VPN嗎

是的。這樣做也許能夠增強VPN的安全。許多廠商正在推出在虛擬服務(wù)器平臺上運行的VPN軟件。這對于那些為了減少數(shù)據(jù)中心服務(wù)器數(shù)量和耗電量正在實施服務(wù)器虛擬化的企業(yè)來說是很理想的。

這種方法意味著不使用VPN設(shè)備。VPN設(shè)備是部署VPN網(wǎng)關(guān)的常用方法，因為它們是單獨管理的設(shè)備。VMware公司稱，在VPN的客戶端方面，遠程機器能夠幫助提高VPN安全。用戶能夠設(shè)置遠程虛擬臺式電腦，這樣，他們必須要要通過VPN網(wǎng)關(guān)訪問企業(yè)站點。同時，虛擬臺式電腦在其之上運行的物理主機可以禁止VPN連接。

這樣，虛擬機成為加入這個VPN的實體。這就意味著任何對主機本身的攻擊都將在物理服務(wù)器上被隔離，不能通過這個VPN傳播到整個企業(yè)網(wǎng)絡(luò)。虛擬機政策可以限制虛擬臺式電腦。沒有VPN，這些虛擬臺式電腦什么都不能訪問，從而使這些虛擬臺式電腦與VPN外面的攻擊隔離開。VMware稱，除了企業(yè)的VPN服務(wù)器之外，你能夠把虛擬機與一切東西隔離開。

進一步的虛擬機政策能夠加密在虛擬機中的所有的數(shù)據(jù)，阻止這些數(shù)據(jù)傳送到虛擬機外部。從而保證通過VPN訪問的數(shù)據(jù)不會被攻破。VMware說，虛擬機過時的政策能夠進一步保證VPN的安全。例如，如果一個承包商獲得批準允許使用自己的機器通過一個虛擬臺式電腦訪問企業(yè)VPN網(wǎng)絡(luò)，這個虛擬機必須設(shè)置在某個時間過期。也就是說要在合同結(jié)束時過期。