隨著企業(yè)信息化辦公的普及，如何把這些流離在企業(yè)外圍的機構(gòu)納入到企業(yè)同一的信息化平臺中來，這就是CIO所面對的一個挑戰(zhàn)。

　　過去，大部分企業(yè)是地域性的，駐守在一個區(qū)域中。但是，現(xiàn)在多數(shù)企業(yè)則是全國性的，甚至是全球性的。企業(yè)通過合并、收購等形式，或者在各地設(shè)立辦事處等等方式，迅速擴大企業(yè)的規(guī)模。在分散的地理位置上存在越來越多的辦事機構(gòu)、分公司等等。而隨著企業(yè)信息化辦公的普及，如何把這些流離在企業(yè)外圍的機構(gòu)納入到企業(yè)同一的信息化平臺中來，這就是CIO所面對的一個挑戰(zhàn)。企業(yè)需要在總部與各個分支機構(gòu)之間進行快速、安全的信息及交流，VPN(虛擬專用網(wǎng))也應(yīng)用而生。到目前為止，可以說VPN的解決方案已經(jīng)讓人眼花繚亂。為此，CIO現(xiàn)在不用擔心找到的VPN解決方式；而該擔心的是，如何選擇一個價廉物美又合身的VPN服務(wù)提供商，包括硬件設(shè)備。筆者將結(jié)合自己的VPN選型經(jīng)驗，跟各位CIO朋友們，探討一下如何圍繞三個核心問題進行VPN選型。

　　核心一：對于用戶要透明。

　　VPN(虛擬專用網(wǎng))允許在遠處的分支機構(gòu)工作的職員與企業(yè)總部內(nèi)的網(wǎng)絡(luò)進行安全通信。他們在使用VPN虛擬專用網(wǎng)聯(lián)入企業(yè)總部內(nèi)部網(wǎng)絡(luò)的時候，跟訪問局域網(wǎng)沒有什么不同。而且，通過因特網(wǎng)連接到公司VPN的遠程用戶還可以在公司的VPN上進行身份鑒別，從而實現(xiàn)訪問權(quán)限的控制。要實現(xiàn)這一點，就是要求VPN虛擬專用網(wǎng)解決方案對于用戶來說，是“透明”的。簡而言之，遠程分支機構(gòu)的員工在通過VPN虛擬專用網(wǎng)訪問企業(yè)總部網(wǎng)絡(luò)資源的時候，他們并不知道有VPN的存在。他們通過網(wǎng)上鄰居或者通過文件服務(wù)器的圖標，就可以直接進入到企業(yè)總部的網(wǎng)絡(luò)。

　　只有如此，終端用戶用起來才能夠比較方便。根據(jù)對用戶透明程度的不同，VPN主要由兩種實現(xiàn)方式。

　　一是終端用戶需要進行撥號才能夠連接到企業(yè)內(nèi)部網(wǎng)絡(luò)。如當分支結(jié)構(gòu)的員工需要通過VPN虛擬專用網(wǎng)連接到企業(yè)內(nèi)部網(wǎng)絡(luò)的話，則需要先進行撥號連接到企業(yè)的VPN服務(wù)器。然后才能夠訪問。當用戶下次再進行訪問的時候，仍然需要撥號。這顯然非常的麻煩。對于終端用戶來說，不夠透明。

　　二是利用路由器等網(wǎng)絡(luò)設(shè)備來代替終端用戶的撥號行為。這就好像ADSL撥號上網(wǎng)一樣，再ADSL貓上聯(lián)入一個路由器，把這個撥號的任務(wù)交給路由器來完成。如此的話，用戶需要上網(wǎng)的時候，不需要再重新?lián)芴柫?。因為路由器始終連接在互聯(lián)網(wǎng)上。所以，ADSL對于用戶來說，是透明的。他們并不關(guān)心如何才能夠聯(lián)網(wǎng)。其實，VPN也可以實現(xiàn)類似的處理。如現(xiàn)在有一個分支機構(gòu)需要與企業(yè)總部建立VPN連接，那么只需要在這個分支機構(gòu)的邊界路由器中，實現(xiàn)一個VPN的客戶端。讓其永遠與企業(yè)的VPN服務(wù)器之間建立連接。如此，只要這個分支機構(gòu)的員工終端主機連接在這臺路由器上，那么他們就可以不經(jīng)過任何操作直接跟企業(yè)的VPN服務(wù)器進行操作。因為事先的撥號工作路由器已經(jīng)幫助完成了。不過，這雖然提供了VPN虛擬專用網(wǎng)對終端用戶的透明性，但是，其需要路由器等網(wǎng)絡(luò)設(shè)備的支持。

　　到底是放棄透明性，提高VPN虛擬專用網(wǎng)的靈活性；還是堅持透明性，增加一定的網(wǎng)絡(luò)投資呢？筆者認為這沒有一個絕對的答案。需要CIO根據(jù)企業(yè)的應(yīng)用場景來進行選擇。在通常情況下，如果終端用戶的數(shù)量比較少、終端用戶具有一定的知識背景、而且其流動性比較強的話，那么最好還是通過撥號來連接到VPN網(wǎng)絡(luò)服務(wù)器為好。但是，如果終端用戶數(shù)量比較多，如分公司與總公司的連接等等，那么還是讓路由器來進行撥號、跟企業(yè)VPN服務(wù)器進行連接為好。

　　核心二：利用軟件還是利用硬件來實現(xiàn)？

　　現(xiàn)有的VPN虛擬專用網(wǎng)解決方案，基本上都是基于IP網(wǎng)絡(luò)的。VPN能夠在公共網(wǎng)絡(luò)上為分布在各地的辦事處之間提供安全連接，而不需要租用昂貴的線路。由于VPN是基于IP網(wǎng)絡(luò)的，所以任何現(xiàn)有的基于IP網(wǎng)絡(luò)通過安裝允許安全遠程訪問的軟件，都可以被輕易的轉(zhuǎn)化為VPN?？梢姡琕PN基本上跟平臺無關(guān)的。故CIO在選擇VPN解決方案的時候，基本上不用考慮VPN的實現(xiàn)平臺問題。這跟選擇ERP等信息化管理軟件不同。后者還需要考慮企業(yè)現(xiàn)有的平臺跟ERP等管理軟件能夠兼容問題。而VPN虛擬專用網(wǎng)則不用考慮這個問題。

　　那么CIO該考慮什么問題呢？CIO應(yīng)該考慮該如何實現(xiàn)VPN，即是通過軟件來實現(xiàn)，還是通過硬件來實現(xiàn)。根據(jù)現(xiàn)有VPN服務(wù)提供商設(shè)計出的虛擬專用網(wǎng)解決方案，大致可以分為三種。分別為基于硬件、基于軟件與基于網(wǎng)絡(luò)三種。他們各有各的特點，也各有各的局限性。CIO需要根據(jù)自己企業(yè)的實際情況，進行選擇。

　　一是基于硬件的虛擬專用網(wǎng)解決方案。也就是說，VPN解決方案跟加密路由器等網(wǎng)絡(luò)設(shè)備是集成的，即在專用的網(wǎng)絡(luò)設(shè)備上實現(xiàn)VPN技術(shù)。有了專業(yè)設(shè)備的支持，一方面VPN解決方案能夠提供更高的安全級別，如與AAA服務(wù)器結(jié)合提高身份鑒別的安全性等等。其次，由于有專門的網(wǎng)絡(luò)設(shè)備來處理VPN數(shù)據(jù)流，所以其可以在短時間內(nèi)處理大量的網(wǎng)絡(luò)流量。其三，比較容易管理。因為在專業(yè)設(shè)別上，往往會有一個管理的平臺。在這個平臺上CIO可以根據(jù)企業(yè)的需要設(shè)置不同的策略，如CIO可能想讓遠程用戶只能夠通過VPN來訪問企業(yè)的郵箱服務(wù)器。如果利用專門的硬件設(shè)備來實現(xiàn)VPN的話，那么這個需求就可以很輕易的實現(xiàn)。不過其缺陷也很明顯。如需要專門的硬件投資，而且這不是消費用；如由于硬件是死的，所以其靈活性就會大打折扣。

　　二是基于軟件來實現(xiàn)。也就是說，在現(xiàn)有的服務(wù)器或者網(wǎng)絡(luò)設(shè)備上，可能本身就帶有VPN的軟件包；又或者可以安裝VPN服務(wù)器軟件的方式來實現(xiàn)虛擬專用網(wǎng)?；谲浖韺崿F(xiàn)VPN，企業(yè)不需要投入額外的硬件設(shè)備，可以節(jié)省VPN應(yīng)用成本。同時，可以在所需要的服務(wù)器上安裝VPN軟件來實現(xiàn)，其靈活性也比基于硬件的方式要高的多。但是，由于其沒有處理大量網(wǎng)絡(luò)數(shù)據(jù)流的專門設(shè)備的支持，其性能就會比較低；而且也沒有專業(yè)用來處理安全的身份鑒別服務(wù)器設(shè)別或者加密設(shè)備，其安全性也會大折扣。

　　三是基于網(wǎng)絡(luò)的VPN。這個是在專用的IP網(wǎng)絡(luò)上實現(xiàn)的。而以上兩種方式，是通過公共網(wǎng)絡(luò)，即互聯(lián)網(wǎng)實現(xiàn)的。在基于IP網(wǎng)絡(luò)上實現(xiàn)的VPN虛擬專用，比在互聯(lián)網(wǎng)上實現(xiàn)的VPN，能夠提供更高的安全性、更好的性能和更易于管理等等。當然，其所需要的成本也會更高。在實際工作中，企業(yè)常利用前面兩種實現(xiàn)方式，即基于硬件或者基于軟件來實現(xiàn)。而基于網(wǎng)絡(luò)的VPN，由于出于成本的考慮，很少有企業(yè)會采用。

　　到底采用哪種實現(xiàn)方式，筆者認為，CIO主要從性能、安全與成本三個方面去考慮。如對于性能、安全要求比較高，而又比較財大氣粗的集團型企業(yè)，則可以采用基于硬件的VPN實現(xiàn)方式。現(xiàn)在很多跨國集團基本上都是采用這些方式。而如果只是想通過VPN虛擬專用網(wǎng)來實現(xiàn)幾個小辦事處與企業(yè)的連接，或者一些散戶的遠程訪問需求，則采用基于軟件的VPN解決方案，也是可行的。

　　核心三：利用什么技術(shù)來實現(xiàn)VPN？

　　VPN的實現(xiàn)技術(shù)有很多，如利用IP隧道、幀中繼或者ATM技術(shù)實現(xiàn)等等。筆者傾向于通過IP隧道來實現(xiàn)。因為他跟其他技術(shù)而言，具有比較高的性價比。在基于IP隧道的VPN解決方案中，數(shù)據(jù)包被封裝到一個IP包內(nèi)，然后再在一個基于IP的網(wǎng)絡(luò)上進行數(shù)據(jù)傳輸。需要連接的各個辦事處、分支機構(gòu)通常各自安裝、部署、維護這些VPN。

　　采用IP隧道技術(shù)來實現(xiàn)VPN，可以減少電信費用。因為此時是利用本地連接代替專用和廠距離的連接，他們對ISP的以來只是其提供的物理連接。同時，其安全性并不比其他解決方案差。他也可以為內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)等等提供一個安全的安全通道，實現(xiàn)快速、安全的數(shù)據(jù)交換。