VPN技术006.pdfVIP

下载 第6章 将VPN并入现有网络 主要内容： • 网络访问与使用策略 • 培训 • 技术支持人员 • 设计注解 • 隐性成本考虑 我希望读者不要跳过本章。我们从考察 V P N 实现对用户和技术支持人员的影响开始本章 的介绍。实现一个V P N方案可能会产生某些未曾料到的影响。 为了减少稳定地支持 T 1线路的成本，你的公司可能会在某个中心位置和大量分支机构之 间实现一个V P N 方案。假如是这种情况，你可能会认为用户不会觉察到网络的这种外观或操 作方面的差异。既然是这样，为什么一定要对现有网络访问与使用有过多的顾虑呢？在本章 后面将建立一个可方便地用于任何公司的小方案。这个方案说明了每个人都会以某种方式涉 及在用户的需求与公司的需求之间共享有限资源的问题。 正如前面章节所述，将作一些基本的假设。首先，你当前具有一个现成的网络，至少是 L A N ，或许你还有具有一个或多个分支机构以及一个或多个远程用户的 WA N 。如果你的业务 涉及供应或制造，那么假定你可能正向外扩张，建立与你的某些厂商、卖主或你的某些顾客 相连的一个企业外部网。 6.1 人的因素 正如我们所看到的那样，这一切都是安装 V P N 系统的正确的应用。你将还要看到的是系 统越大、越复杂，尽可能构造一个有内聚力的设计的要求就越大。 前几年，实现网络系统的第一步是进行设计。来自企业不同部门的各组人员 (一般是管理 人员) 聚在一起，根据理论上的可能性与实际能实现什么进行磋商折衷。而今天的问题是很少 有网络方案充分地描述了各种各样利用现有技术的实现方法。 为什么呢？道理很简单，技术已经成熟，不再需要一大帮子来自不同部门的人员 (他们彼 此之间非常熟悉，甚至互相知道彼此的小名 )设想可以得到什么。否则我们也不会有一个由信 息技术专家和网络管理员组成的M I S部门了。 无论如何都不能减少企业对充分规划的绝对需求。但是，规划也只是良好的网络运作的 组成部分。任何人现在着手建网并希望三到五年内仍然不落后，那么他必须具有一定的策略。 6.1.1 策略规划 几年前，围绕单一的基本规划设计和建立一个网络已经足够了。而今天，因为技术方面 的巨大改进，关注实现新网络系统的公司发现必须为网络上的每个用户设计一个规划。或许， 没有其他的网络实现领域会比 V P N更需要这样的规划了。面对这样一个令人沮丧的任务，你 118使用虚拟专用网的创建与实现 下载 从何或怎样入手呢？对于具有扩张雄心的大公司或小企业，答案很明显：即规划必须建立在 公认的策略之上。 策略在用于网络时，是一个时髦词。很多人都提到它；他们在说这个词时的感觉一定很 良好。但真正理解好的网络访问与使用策略的人又有几个呢？为了保证我们所谈论的是相同 的东西，让我们快速浏览一下，看看我们的理解是否相同。与其他内容一样，还是首先从历 史回顾开始。 1. 你的公司当前使用策略了吗 你可能还没有意识到这一点，但任何为一个公司工作的人 (或以某种方式与之相连系的人 ) 都有所遵循的一套策略。最常见的策略是管理方面的策略：工资率、假期、休假津贴等等。 目前，I T 管理员和网络管理员正在定义新类型的策略，即计算机与网络使用的准则。 几年前，多数网络系统还基于大型计算机，多数企业的 M I S部门负责是否允许用户访问计 算机系统。一般来说，网络管理员建立用户账号、设置所需文件的访问并实现定义允许该用 户对这些文件进行什么样处理的过程。所有过程都是基于用户所需执行的任务的。在需要保 护时，M I S部门发出口令，指定该口令的长度及其终止日期 (一般为某个固定的时间间隔 ) 。注 意，口令允许用户登录主机系统。 8 0年代初期，N e t Wa r e 网络操作系统出现。一开始，N o v e l l 决定适用于主机的相同安全级 别对于由P C进行的网络信息访问也适用。这种安全措施指定用户可以访问文件系统的哪些部 分，可以运行哪些程序以及用户可以进行何种级别的更改。这些信息存放在文件服务器的一 个特殊的数据库中，即存取控制表( A C L ) 。N o v e l l 唯一关心的是控制用户通过网络进行的访问， 包括对N e t Wa r e服务器的访问；它并不试图在 P C工作站自身实现任何类型的安