|
VPN Over Satellite: More Than Viable 原著:Peter j. Brown翻译:王琦 一旦实现了安全和可靠的连网,拥有专用网络就不再只有惟一的选择。随着公司对这一认识的加深,基于因特网协议(IP)的VPN便越来越流行了起来。 当VSAT方案在逐渐适应当前所强调的使用卫星和地面方案的混合方式时,这一进程需要许多利基应用(niches)来填补空白。位于休斯顿的CapRock通信公司的营销副总裁Randy Neck认为,因为商务的全球化,卫星传输VPN方案存在很大的需求。这一方案能够降低日常开支,并提高用户的灵活性,代表着新的不断扩大的网络领域的重要组成部分。休斯网络系统公司的北美部业务发展的高级主管Sampath Ramaswami说,VPN这一术语在产业中的应用,表明了方案的应用范围。“VPN是一个连接分布式企业的无数站点的专用网络,由操作人员通过因特网应用,安全地接入公司服务器。后者有时被称作远程接入VPN,”他说。“┅┅拔号和帧中继等传统网络已迅速地被始终在线的宽带VPN所替代。” 然而对于大多数分布式企业来说,这一转变通常并没有达到20%~50%,结果是,“卫星宽带提供了高效的、具有价格竞争力的、完全可与其它地面替代选择相媲美的能力,例如租借线路,” Ramaswami说。“我们注意到基于卫星的VPN在两个领域的需求:一是作为连接企业所有站点的完全一体化的连网技术,二是作为地面卫星宽带混合网络的一部分。” 1 TCP可能招致麻烦 卫星传输VPN的环境代表着它具有自身的一套运作的艰巨的任务,但VSAT零售商正在克服这些困难。 卫星产生的时延加上传输控制协议(TCP),时常会导致令人失望的结果。“信号退化这一结果的主要原因是TCP算法不适合卫星链路的长时延,并不能被VSAT优化,”吉来特卫星网络公司的战略营销主管Doron Elinav说。“我们看到的趋势是朝着加密、通常建立在因特网协议安全的VPN方向发展,这一趋势正在增长,在整个电信产业中也很普遍。IPSec的出现,是作为支持基于密钥认证的数据安全的现代标准,加密包括数据和分组头等整个数据包,并加上自己的分组头。因此,它阻止了大多数的威胁,同时也阻止了对TCP的任何加速。” 对于远程接入VPN而言,休斯公司的VPN加速器是支持经由卫星的IPSec VPN的现成的方案。“如果一个由用户端产生(即远程接入VPN)的使用IPSec VPN隧道,其中有一个隐没在卫星路由器之后的局域网,那么将不能应用传统的通常用来减缓相对时延性能问题的加速技术,” Ramaswami说。“VPN加速器通过在VPN隧道前的传输中应用卫星加速技术,既提高了性能,又保证了VPN安全的整体性。它容易与公司的安全政策和使用北电、思科或Check Point VPN企业的基础设施进行综合集成。” VPN的一个关键的问题,是保证数据的机密性,思科数据中心安全技术小组的营销主管Adrian Amelse说。“身份认证和加密是客户的基本要求,我们将这些能力综合进我们所有的通信技术中,包括卫星VPN,”他说。“基于此,我们完全认为卫星传输的VPN是可行的。” 另外,这些新的端对端的VPN现在通过因特网能实现远端位置的安全连接,并不需要价格昂贵的回传线路。“通过经由卫星的VPN的这种灵活性和经济效应,产生了强劲的容量需求,”Neck说。“未来因为商务持续的全球化拓展,经由卫星的VPN方案部署的速度和方便,相对于不胜其烦和耗时费力的点对点回传的其它选择,是一个明显的优势。” 2 需要改进TCP 正如前面所提到的,作为相当于64kbit/s链路的典型的宽带连接,没有进行加速的TCP/IPSec的通信流量会严重地退化。这是人们所不能接受的,卫星产业正在雄心勃勃地向这些问题发动攻击。 Gilat公司将TCP加速功能嵌入进了其SkyEdge VSAT设备。因此,它可以不增加任何应用或软件在VPN中使用IPsec。“在VSAT中,一个集成的VPN方案意味着能够应用经由卫星网络,同时保持改善用户从TCP加速中获得的体验,”Elinav说。“大部分的方案是首先加速,然后再加密,为的是既提供安全性同时又提供性能。” 某些用户并不要求端到端加密的VPN,而是将通信流量与专用寻址功能分开,VLAN和多协议交换及其它技术提供了这一功能,Elinav说。 “除了卫星与生俱来的500ms的时延,设计VPN也不能不考虑昂贵的卫星带宽,”Shiron卫星通信公司的副总裁Oscar Glottmann说。“Shiron公司的InterSKY系统通过其Aloha随机接入方式,给了用户VPN应用的最重要的特点,即带宽的节省。因为加密开销和增加的处理延迟,IPSec要求大约5%~15%的额外带宽。Shiron公司的无抖动突发模式,即通过负载方式的频分多址传输方案,和小分组突发模式随机接入的结合,来降低开销和降低时延,”他说。 Glottmann说,InterSKY也是一种纯粹的基于IP的系统。“我们从未针对VPN的监视和网络的管理实施任何特殊的研发,”他说。“当然,它以IP的原生态和透明环境工作,比为各种IP组合在一起的新方案要好一些。” 除了TCP的加速,其它诸如数据压缩和缓存,应用加速和普通因特网文件系统的加速等问题,也发挥着基本的作用,Neck说。然而,CapRock对各类应用加速设备的评估,仅仅促使公司相信,没有单一的技术能最好地适合所有的用户。“评估结果的变化很大,很大程度上要视应用的领域,以及对用户环境的应用模式的独特性而定,”他说。“CapRock强烈地向用户建议考虑应用加速设备,并与其首选的通信设备商一起工作,为其独特的环境确定最合适的加速技术。” 当然,IPSec并不是惟一的方案,位于西雅图的Aventail公司的首席结构师Gary Tomlinson说。他强调说,在卫星应用上,安全套接层(SSL)VPN比IPSec VPN提供了更好的性能。一个最简单的理由是,他们将TCP运营在应用层上,因此能够应用TCP性能加速服务器。“这点与IPSec形成对比,因为后者因为TCP分组信息的加密,阻止了性能的提高。因为卫星无线的特点,加密是保证秘密所必需的,这点让SSL VPN与地面多协议标签交换VPN得以区别。” 3 管理成本并容易获得性能 涉及至监控和网络管理,企业VPN的优势之一,是集成进拔号和租借线路等多种多样的多接入技术的能力。这一优势让企业能够优化网络成本和性能,Ramaswami说。休斯提供了完全的可管理业务,综合了卫星宽带和地面宽带。休斯网络的VPN业务向企业提供了广泛的连接选择,其范围从100%的卫星网络到100%的地面网络。 “任一企业能够根据其价格和应用要求,来选择合适的技术,” Ramaswami说。“我们也提供休斯网络的高效性的VPN,这些VPN在每个站点集成了卫星和地面宽带的优势,即高级的效用性和高级的宽带组播,同时提供完全的网络和业务管理。然而,这一灵活性来自建立网络的成本和业务管理的复杂度。提供一个国家范围内的VPN,需要半打或以上的接入提供商,数个各式各样的DSL环路技术,卫星接入和线缆接入技术,”他说。“每种方案可能有不同的用户驻地设备,不同的提供和安装、缺省管理和维护方式。” 企业可选择可管理业务提供商来管理这些复杂的技术,让企业享受宽带VPN的优点,将运营和管理技术交由具有竞争力的服务提供商。 说及经由卫星的SSL VPN的监视和管理,卫星与其它复杂媒介看上去并没有什么不同。根据特有的突发方式,SSL VPN预期存在潜在的抖动的可能性和某些分组的损失,Tomlinson说。“然而,根据潜在的网络观点,即特定的卫星环路的延迟和集成的端到端连接在SSL隧道的倍效应,在使用SSL VPN的卫星链路上提出并监控TCP的增强服务器是重要的,”他说。 因为吉来特将其VPN用户嵌入进了SkyEdge VSAT,其中的一个结果就是可简便地管理基于控制台的综合网络管理方案,Elinav说。“将IPSec嵌入进VSAT,能让远端的VSAT成为公司安全设施的有机部分。”这一加密技术建立在硬件加密工程上,能够提供DES、3DES和AES转换,保证了加密通信流量的高性能。“SkyEdge的主站还与新型的思科VSAT网络模块一起工作,后者嵌入进了思科的综合业务路由器系列,以及思科潜在的路由器。这也就意味着这些思科路由器的运营商们在SkyEdge的卫星链路上已经接入了所有的思科的VPN安全措施,” Elinav说。 4 加强应急响应 当美国联邦紧急事务管理署(FEMA)建设其移动灾害恢复中心和移动应急响应单元时都安装有卫星VPN。很快,FEMA的地区性办公室也将安装卫星VPN。UDcast的UD网关就位于这一经由卫星VPN方案的核心部心,它在双向卫星连接中通过加密IP,传输安全的数据和话音。Oncall和Intelsat也参加了与UDcast合作的这个项目。 “使用UD网关和经由卫星的VPN,美国国家安全部和FEMA获得了最大的灵活性,同时以最高层次的安全性管理和控制其经由卫星的VPN网络,”UDcast的合作创立者和工程副总裁Antoine Clergot说。“用UD网关建立端到端的VPN环境,具有非常好的成本效率,容易部署和架设,在灾难中通过指尖传递信息,同时这是一种在高压力环境中始科不会降低传输质量的可靠保证。” 在卡特里娜飓风发生后,思科与联邦政府共同努力,在红十字站刚刚建立的边远地区部署装有综合业务路由器的VSAT。思科向其用户推荐了这一方式,而不是尚不存在的相对应的地面选择,Amelse说。“当时没有其它连接的选择。一切均在水的下面。从应用的观点来看,卫星VPN非常可行。事实上,对于关键性任务,如灾难响应和应急通信来说,的确如此。” 所有的上述观点都指向一个方向。经由卫星的虚拟专网是虚拟的,但它的确是真实可行的。假以时日,它一定会在价格和性能方面更具吸引力,效益更高。(原文刊于《Via Satellite》2007年第3期)
| 
