4 IPSec VPN的用户组网模式
在上面的大型企业组网方案中,在企业的公司总部,必须有一个固定的IP地址,并把总部的IPSecVPN网关的地址设置为这个固定的IP地址。在其他的分支机构或者移动用户,可以是使用动态IP地址的方式来连接到互联网。
在这种工作方式下,企业总部和各个分支机构、移动用户组成一个星型网络。所有的通信数据都经过加密后,在总部的IPSecVPN网关上进行转发,从而实现通信的安全性。
4.1.2 中小用户的组网模式
对于中小用户而言,通常无法使用大用户的IPSecVPN组网方式。因为中小用户通常不具备固定IP方式的互联网接入。通常中小企业使用ADSL或者宽带方式接入互联网,这种接入方式下,IP地址是临时动态分配的,而不是固定的IP地址,因此无法使用固定IP的组网方式。
根据VPN虚拟专用网的组网原理,当创建VPN隧道时网络的至少一方要具有固定的IP地址由于申请固定IP地址的月租费用远远高于动态IP地址的月租费。因此如果用户想采用宽带接入进行VPN组网的话,如能在网络的两端均申请动态IP地址的宽带接入方式将大大降低组网成本。
对于中小企业,一种很好的选择是使用运营商提供的IPSecVPN服务,其组网模式如下图所示:
虚拟安全域VPN网络模式
如上图所示,运营商给小企业提供VPN服务,运营商在局端部署VPN3020设备,在企业的各个VPN业务点上部署一台VPN3005。业务点上的 VPN3005将隧道建到运营商的中心VPN3020上面,由中心VPN3020设备转发IPSec报文,实现VPN隧道的互联互通。
运营商在局端的VPN3020设备可以使用迈普特有的“虚拟安全域技术”,使一台VPN3020可以为多个用户提供IPSecVPN服务,而保证信息的安全隔离。因为多个用户公用一台VPN3020,这种模式将降低运营商运营商开通小企业VPN业务的成本。
用户只需要在联通申请IPSecVPN服务,无需使用DDNS服务,就可以享受IPSecVPN服务。
责任编辑:小草
您现在的位置: 