1 聯通運營現狀

中國聯通大力發展寬帶業務戰略目的是滿足消費者對數據信息和語音視頻的需求。伴隨著寬帶業務和CDMA1X無線上網產品的大量應用，用戶可以在互聯網上傳輸更為廣泛的數據。

但是在寬帶接入迅速發展、為用戶解決了接入問題的同時，用戶數據傳輸的安全問題也突顯出來了，互聯網的數據安全傳輸解決方案能很好的與中國聯通的大力發展增值業務的戰略相結合，能協助運營商開拓未來增值服務市場。

2 需求分析

隨著經濟的發展，企業規模的不斷擴大，企業對信息的獲取方式提出了更高的要求。同時企業各部門之間的信息交換方式的網絡化，能夠減少很多不必要的人工往返和重復工作，可提高各方面的辦事效率。

大量的公司為了適應業務需要，成立了一系列的子公司或分支機構，而快速掌握溝通信息、傳輸分析數據是公司在日趨激烈的競爭中取勝的關鍵。

公司的分支機構間傳輸數據的方式主要有兩種模式：①、專線方式；②、利用Internet傳輸。

專線方式的優點是具有較好的安全性，但是價格昂貴，一般的企業難以承受。

利用Internet傳輸因為只是簡單的使用公用網絡，所有信息都是以明文方式傳送，雖然節約了成本，但因為公用網絡固有的安全原因，存在線路不穩定、傳輸安全性差、容易受到攻擊、感染病毒等隱患。

在這種情況下，為了拓展寬帶業務市場的新業務，采用了IPSec隧道加密技術，在ADSL接入/寬帶接入業務的基礎上推出了主要針對商用客戶的IPSecVPN新業務，為商用客戶既提供了高帶寬低資費的企業網絡聯網服務，又提供了在公用網絡上擁有私有IPSecVPN網絡的數據傳輸安全保障服務，可以為廣大商用客戶解決互聯網的安全傳輸問題。

IPSecVPN技術是最經濟簡單的互聯網安全傳輸技術，可以滿足用戶如下的需求：

1) 安全數據傳輸

2) 拓展EIP、ERP系統到全球

3) 支持安全移動訪問

上述三大客戶需求中，“支持安全移動訪問”的需求，目前只有IPSecVPN技術可以很好的滿足，而使用專線接入，MPLSVPN等技術都無法滿足這一要求。

作為一種新的業務，對于IPSecVPN的部署而言，即可以由企業用戶來部署，也可以由運營商來部署。兩種方式比較，對于數量眾多的中小企業而言，迫切地需要運營商能夠提供IPSecVPN業務。

3 IPSec VPN的用戶群

IPSecVPN的一個突出優點是具有極高的傳輸安全性，同時經濟實用，擁有大量的潛在用戶，這些用戶的特征是：

1) 需要借助互聯網安全傳輸數據；

2) 需要將現有EIP、ERP拓展到全球范圍使用；

3) 需要支持安全移動訪問數據。

具有上述需求的用戶是非常多的，例如：

1) 具有大量分支機構的商業企業；

2) 大規模連鎖經營的超市；

3) 具有跨地域組織方式的企事業單位；

4) 金融、證券行業；

5) 醫療、醫藥經營連鎖等；

從中國企業名錄數據庫中可以查到，中國各省市的中小型企業數量如下：

[[815]]

從上圖可以看到，在廣東中小企業有48萬家之多，這些企業中有20%以上具有2個以上分支機構，這些用戶都是潛在的IPSecVPN用戶。

在這20%的用戶群中，5%的用戶是屬于大型用戶，15%是數據中小型用戶。大型用戶的特征是：

擁有固定的IP地址；

使用專線或者寬帶接入；

擁有自己的網絡安裝維護人員。

中小型用戶的基本特征：

使用專線或者寬帶接入；

接入互聯網時，具有臨時的IP地址；

擁有自己的網絡安裝維護人員。

對于大型用戶和中小型用戶，將使用不同的組網模式，而大量的中小型用戶，非?？释\營商能夠提供IPSecVPN用戶。#p#

4 IPSec VPN的用戶組網模式

本節將分析一下IPSecVPN用戶的組網模式。從組網模式中可以看到，大量中小用戶將非常迫切地需求運營商提供IPSecVPN服務。

4.1.1 大型用戶的組網模式

對于大型IPSecVPN用戶，可以使用如下的組網方式：

[[816]]

在上面的大型企業組網方案中，在企業的公司總部，必須有一個固定的IP地址，并把總部的IPSecVPN網關的地址設置為這個固定的IP地址。在其他的分支機構或者移動用戶，可以是使用動態IP地址的方式來連接到互聯網。

在這種工作方式下，企業總部和各個分支機構、移動用戶組成一個星型網絡。所有的通信數據都經過加密后，在總部的IPSecVPN網關上進行轉發，從而實現通信的安全性。

4.1.2 中小用戶的組網模式

對于中小用戶而言，通常無法使用大用戶的IPSecVPN組網方式。因為中小用戶通常不具備固定IP方式的互聯網接入。通常中小企業使用ADSL或者寬帶方式接入互聯網，這種接入方式下，IP地址是臨時動態分配的，而不是固定的IP地址，因此無法使用固定IP的組網方式。

根據VPN虛擬專用網的組網原理，當創建VPN隧道時網絡的至少一方要具有固定的IP地址由于申請固定IP地址的月租費用遠遠高于動態IP地址的月租費。因此如果用戶想采用寬帶接入進行VPN組網的話，如能在網絡的兩端均申請動態IP地址的寬帶接入方式將大大降低組網成本。

對于中小企業，一種很好的選擇是使用運營商提供的IPSecVPN服務，其組網模式如下圖所示：

虛擬安全域VPN網絡模式

[[817]]

如上圖所示，運營商給小企業提供VPN服務，運營商在局端部署VPN3020設備，在企業的各個VPN業務點上部署一臺VPN3005。業務點上的VPN3005將隧道建到運營商的中心VPN3020上面，由中心VPN3020設備轉發IPSec報文，實現VPN隧道的互聯互通。

運營商在局端的VPN3020設備可以使用邁普特有的“虛擬安全域技術”，使一臺VPN3020可以為多個用戶提供IPSecVPN服務，而保證信息的安全隔離。因為多個用戶公用一臺VPN3020，這種模式將降低運營商運營商開通小企業VPN業務的成本。

用戶只需要在聯通申請IPSecVPN服務，無需使用DDNS服務，就可以享受IPSecVPN服務。

【編輯推薦】

1. MPLS VPN與IPSec VPN的融合解決方案
2. 華為3com的IPSec VPN方案