本ADSL VPN入門解釋了什么是ADSL  IP VPN（非對(duì)稱數(shù)字用戶環(huán)線），ADSL VPN的安全，服務(wù)和備份知識(shí)。

MPLS IP VPN的另一個(gè)選擇

IT數(shù)據(jù)和通訊市場里的每一項(xiàng)新的服務(wù)和技術(shù)都有自己的生命周期。MPLS網(wǎng)絡(luò)獲得了很好的市場份額，很多用戶站點(diǎn)把昂貴的專線和幀中繼線路替換成了MPLS線路。

MPLS相比以前老的WAN鏈路在價(jià)格上有很大的優(yōu)勢，企業(yè)試圖遷移到MPLS上來削減開支并且把他們的鏈路速度降到絕對(duì)最小值。

雖然MPLS越來越為大眾所知，市場份額在持續(xù)增長，但是一個(gè)看上去更有前途的技術(shù)將給MPLS服務(wù)商帶來巨大的挑戰(zhàn)。我要介紹給你的就是ADSL IP VPN（這里叫ADSL VPN）。

什么是ADSL VPN？

今天，每家企業(yè)都有一條專用的ADSL寬帶，提供上網(wǎng)服務(wù)。ADSL早已存在不止十年了，然而，也就是近年來隨著引進(jìn)新的ADSL技術(shù)，比如ADSL2和HDSL，它才真正廣泛應(yīng)用。其允許的最高下載速度可以達(dá)到24Mbps而上傳速度可以超過2Mbps。

ADSL速度提高了，市場都用不同的眼光看著ADSL技術(shù)。許多IT專業(yè)人員開始追問，如果我可以用這么高的速度下載和上傳，為什么不拋棄MPLS WAN網(wǎng)絡(luò)，而在兩個(gè)站點(diǎn)間直接建立一個(gè)加密的隧道呢？這就是ADSL VPN的由來。高速的ADSL鏈路將成為現(xiàn)有MPLS網(wǎng)絡(luò)強(qiáng)有力的替代品。

本質(zhì)上來說一條ADSL VPN隧道就是在兩個(gè)直接接入上網(wǎng)的ADSL站點(diǎn)間的一條加密的IPsec隧道。對(duì)于力圖尋找更便宜的通信方式的網(wǎng)絡(luò)管理員和工程師，他們終于找到了堅(jiān)實(shí)可靠地保證——ADSL VPN。

ADSL VPN最大的好處就是從來就不需要因特網(wǎng)提供商創(chuàng)建它們，這讓它們的應(yīng)用變得快速和簡便。傳統(tǒng)的WAN鏈路設(shè)置是由服務(wù)商控制，一旦WAN網(wǎng)絡(luò)中斷，工程師經(jīng)常就變得極度沮喪。因?yàn)榫W(wǎng)絡(luò)中斷，他們干不了任何事情，一切都被因特網(wǎng)服務(wù)商控制著，他們的策略防止企業(yè)訪問服務(wù)商安置在企業(yè)場所的終端設(shè)備，以保證安全和可靠的服務(wù)。

服務(wù)提供商的這種“保護(hù)策略”促成了ADSL VPN技術(shù)的應(yīng)用，工程師可以用他們自己喜歡的方式來配置終端設(shè)備，創(chuàng)建自己的加密隧道，而且不受限制地自由控制它們。

下面圖表演示了在兩個(gè)站點(diǎn)間，通過ADSL連到因特網(wǎng)的一條典型IPsec加密隧道。即ADSL VPN：

圖1 ADSL VPN圖表

因特網(wǎng)提供商會(huì)分配各個(gè)站點(diǎn)一個(gè)靜態(tài)的IP地址，網(wǎng)絡(luò)工程師配置兩邊站點(diǎn)來形成一個(gè)IPsec VPN隧道，來連接兩邊站點(diǎn)，并以加密的形式進(jìn)行數(shù)據(jù)交換。

ADSL VPN安全

我們不能否認(rèn)通過因特網(wǎng)連接后，數(shù)據(jù)安全和加密的重要性。將內(nèi)部網(wǎng)絡(luò)暴露在公網(wǎng)上是非常重大嚴(yán)肅的事情。采取必要地防范措施是每位工程師應(yīng)該做到的。

思科系統(tǒng)和其他獨(dú)立機(jī)構(gòu)的廠家通過研究和測試證明，只要合理部署，ADSL VPN所能提供的安全級(jí)別可以和MPLS IP VPN加密級(jí)別相當(dāng)。這應(yīng)該不會(huì)讓任何有經(jīng)驗(yàn)的網(wǎng)絡(luò)工程師或IT經(jīng)理感到驚訝。

兩種解決方案MPLS IP VPN和ADSL IP VPN都使用相同的協(xié)議和IPsec部署，這樣可以得到高加密性的VPN隧道。通過IPsec，所有數(shù)據(jù)使用ESP（封裝安全有效負(fù)載）進(jìn)行加密，提供數(shù)據(jù)保密性。之后，ESP客戶端-路由器或者防火墻-認(rèn)證產(chǎn)生的新ESP包頭，來防范外來攻擊。

下圖演示了這個(gè)過程，每一項(xiàng)方框里的數(shù)字代表了以位為單位的長度。

圖2 ADSL 加密過程

安裝ADSL VPN最重要的一步也許是正確配置VPN IPsec隧道，通常這些是部署在一臺(tái)思科路由器或者防火墻上。

一旦隧道加密完成并且ADSL VPN隧道激活之后，就非常必要鎖住路由器和防火墻。任何未經(jīng)授權(quán)訪問設(shè)備的人不但對(duì)設(shè)備來說是個(gè)危害，對(duì)當(dāng)?shù)鼗蛘咄ㄟ^VPN遠(yuǎn)程接入的用戶都是一種危險(xiǎn)。所有的防范措施必須都要考慮到。#p#

ADSL VPN服務(wù)

正如剛開始ADSL VPN入門所述，ADSL VPN服務(wù)依賴傳統(tǒng)的ADSL寬帶接入和兩站點(diǎn)間額外的一條IPsec隧道。保證站點(diǎn)間安全連接的加密技術(shù)會(huì)有一定開銷，并輕微地降低可用的數(shù)據(jù)載荷。不過，數(shù)據(jù)載荷降低極少出現(xiàn)問題，我們可以在VPN WAN網(wǎng)絡(luò)中傳輸各種類型的應(yīng)用程序。

有很多ADSL服務(wù)的例子，全球很多企業(yè)都在使用低成本的VPN連接，看看下面的列表：

●終端服務(wù)：遠(yuǎn)程工作人員使用終端服務(wù)連到位于總部的中央服務(wù)器（終端服務(wù)器）。充分利用帶寬，終端服務(wù)和類似服務(wù)（如Citrix Metaframe）為集中式處理和控制提供了絕佳的方案，不論你的遠(yuǎn)程工作人員有多遠(yuǎn)。

●IP語言（VOIP）：為站點(diǎn)間提供語音對(duì)話非常重要。就算是在ADSL鏈路上運(yùn)行VOIP服務(wù)也是有可能的。服務(wù)質(zhì)量（QoS）機(jī)制控制著數(shù)據(jù)包進(jìn)入加密VPN隧道的先后級(jí)別，確保最高級(jí)別是分配給延遲敏感的VoIP數(shù)據(jù)包。在全世界各地連接站點(diǎn)和遠(yuǎn)程員工不再那么復(fù)雜，所以沒有必要讓服務(wù)商參與進(jìn)來。使用合適的語音編碼比如G.729，可以將語音流從85Kbps壓縮到22Kbps，節(jié)省了很多有用的帶寬。將VoIP編碼和QoS結(jié)合是ADSL VPN隧道最佳方案。

●站點(diǎn)到站點(diǎn)的備份：很多管理員在非工作時(shí)間利用ADSL VPN 進(jìn)行日常的備份，將他們的數(shù)據(jù)從分支站點(diǎn)傳送到總部。使用類似Hewlett Packard的Data Protector的專門備份工具，避免復(fù)制全部數(shù)據(jù)，而只需要復(fù)制數(shù)據(jù)間的差異，這樣一來，整個(gè)備份服務(wù)的帶寬耗用就變得很低。

●郵件服務(wù)：遠(yuǎn)程站點(diǎn)的用戶可以通過位于總部的企業(yè)中央郵件服務(wù)器收發(fā)郵件。通過選擇像Webmail或IMAP這樣的連接方式，管理終端用戶郵件變得非常容易。

●遠(yuǎn)程監(jiān)控：通過ADSL VPN 安裝一些IP攝像機(jī)或者監(jiān)控系統(tǒng)，企業(yè)可以用安全且便宜的方式來遠(yuǎn)程監(jiān)控辦事處，商店或者倉庫。ADSL VPN可以很容易地傳輸這類數(shù)據(jù)。

很明顯，ADSL VPN隧道幾乎沒有你做不到的事情。讓一切工作正常的關(guān)鍵是正確地配置好你的終端。

ADSL VPN備份

也許你會(huì)問：如果ADSL鏈路中斷，我失去和遠(yuǎn)程站點(diǎn)的VPN連接，該怎么辦？

好問題！既然你的服務(wù)商對(duì)ADSL鏈路沒有任何保證，不要忘了，這是個(gè)普通的寬帶連接，你必須自己解決這個(gè)問題。好消息是現(xiàn)在有解決方案了。如果你的ADSL是基于PSTN線路，這有點(diǎn)棘手——升級(jí)到ISDN線路！但是對(duì)于基于ISDN的ADSL，你可以用ISDN線路做一個(gè)到服務(wù)商的ISDN撥號(hào)備份，建立一條到服務(wù)商的128Kbps鏈路。也許128Kbps速度不是很好，但支持3到4個(gè)終端用戶、基本郵件服務(wù)和一條G.729信道應(yīng)該是足夠了——這是個(gè)不錯(cuò)的備份方案。

當(dāng)然，我們必須牢記備份鏈路不是用來替代主要鏈路的，但可以讓你的遠(yuǎn)程站點(diǎn)在最小帶寬下正常工作。一旦激活備份鏈路，大部分不重要的服務(wù)將被丟棄，只有核心服務(wù)可用。再一次強(qiáng)調(diào)，這是個(gè)純粹的路由器/防火墻配置問題，所以責(zé)任再一次落在工程師的肩上。

根據(jù)以往經(jīng)驗(yàn)，如果你打算使用ADSL VPN，就要確保它是跑在ISDN線路上，這樣一旦ADSL失效，你可以使用備份線路。在思科設(shè)備上獲得最好最便捷的WAN冗余方法是配合IP SLA使用可靠的靜態(tài)備份路由。

總之，IP SLAs可以在因特網(wǎng)上對(duì)某一臺(tái)主機(jī)做連續(xù)監(jiān)控。配合IP SLA，你可以監(jiān)控到通過特定鏈路（比如ADSL）的IP主機(jī)（IP地址）。該IP地址不斷地被你的路由器跟蹤。如果因?yàn)槟承┰蚵酚善骱捅槐O(jiān)控IP地址失去連接，我們可以認(rèn)為被監(jiān)控主機(jī)的ADSL線路失效了，隨即激活I(lǐng)SDN備份線路。

ISDN備份期間，路由器仍然會(huì)通過配置好的鏈路持續(xù)監(jiān)控IP主機(jī)，一旦遠(yuǎn)程主機(jī)IP地址開始回應(yīng)路由器的ICMP echo請(qǐng)求，路由器會(huì)自動(dòng)關(guān)掉ISDN備份恢復(fù)默認(rèn)路由，在這里是ATM撥號(hào)接口。

實(shí)際上，使用ISDN備份沒有問題——你只需要正確配置好它。再次重申，一切決定于工程師是否配置正確。

如果在一條ADSL VPN上有多個(gè)VPN鏈路，ISDN備份接口就顯得沒那么必要。這種情況，你可以考慮使用另外一家服務(wù)商的ADSL做備用線路，讓遠(yuǎn)程站點(diǎn)臨時(shí)連接到它那。這個(gè)方案要更復(fù)雜些，需要有經(jīng)驗(yàn)的工程師來做。