本ADSL VPN入門解釋了什么是ADSL  IP VPN（非對稱數字用戶環線），ADSL VPN的安全，服務和備份知識。

MPLS IP VPN的另一個選擇

IT數據和通訊市場里的每一項新的服務和技術都有自己的生命周期。MPLS網絡獲得了很好的市場份額，很多用戶站點把昂貴的專線和幀中繼線路替換成了MPLS線路。

MPLS相比以前老的WAN鏈路在價格上有很大的優勢，企業試圖遷移到MPLS上來削減開支并且把他們的鏈路速度降到絕對最小值。

雖然MPLS越來越為大眾所知，市場份額在持續增長，但是一個看上去更有前途的技術將給MPLS服務商帶來巨大的挑戰。我要介紹給你的就是ADSL IP VPN（這里叫ADSL VPN）。

什么是ADSL VPN？

今天，每家企業都有一條專用的ADSL寬帶，提供上網服務。ADSL早已存在不止十年了，然而，也就是近年來隨著引進新的ADSL技術，比如ADSL2和HDSL，它才真正廣泛應用。其允許的最高下載速度可以達到24Mbps而上傳速度可以超過2Mbps。

ADSL速度提高了，市場都用不同的眼光看著ADSL技術。許多IT專業人員開始追問，如果我可以用這么高的速度下載和上傳，為什么不拋棄MPLS WAN網絡，而在兩個站點間直接建立一個加密的隧道呢？這就是ADSL VPN的由來。高速的ADSL鏈路將成為現有MPLS網絡強有力的替代品。

本質上來說一條ADSL VPN隧道就是在兩個直接接入上網的ADSL站點間的一條加密的IPsec隧道。對于力圖尋找更便宜的通信方式的網絡管理員和工程師，他們終于找到了堅實可靠地保證——ADSL VPN。

ADSL VPN最大的好處就是從來就不需要因特網提供商創建它們，這讓它們的應用變得快速和簡便。傳統的WAN鏈路設置是由服務商控制，一旦WAN網絡中斷，工程師經常就變得極度沮喪。因為網絡中斷，他們干不了任何事情，一切都被因特網服務商控制著，他們的策略防止企業訪問服務商安置在企業場所的終端設備，以保證安全和可靠的服務。

服務提供商的這種“保護策略”促成了ADSL VPN技術的應用，工程師可以用他們自己喜歡的方式來配置終端設備，創建自己的加密隧道，而且不受限制地自由控制它們。

下面圖表演示了在兩個站點間，通過ADSL連到因特網的一條典型IPsec加密隧道。即ADSL VPN：

圖1 ADSL VPN圖表

因特網提供商會分配各個站點一個靜態的IP地址，網絡工程師配置兩邊站點來形成一個IPsec VPN隧道，來連接兩邊站點，并以加密的形式進行數據交換。

ADSL VPN安全

我們不能否認通過因特網連接后，數據安全和加密的重要性。將內部網絡暴露在公網上是非常重大嚴肅的事情。采取必要地防范措施是每位工程師應該做到的。

思科系統和其他獨立機構的廠家通過研究和測試證明，只要合理部署，ADSL VPN所能提供的安全級別可以和MPLS IP VPN加密級別相當。這應該不會讓任何有經驗的網絡工程師或IT經理感到驚訝。

兩種解決方案MPLS IP VPN和ADSL IP VPN都使用相同的協議和IPsec部署，這樣可以得到高加密性的VPN隧道。通過IPsec，所有數據使用ESP（封裝安全有效負載）進行加密，提供數據保密性。之后，ESP客戶端-路由器或者防火墻-認證產生的新ESP包頭，來防范外來攻擊。

下圖演示了這個過程，每一項方框里的數字代表了以位為單位的長度。

圖2 ADSL 加密過程

安裝ADSL VPN最重要的一步也許是正確配置VPN IPsec隧道，通常這些是部署在一臺思科路由器或者防火墻上。

一旦隧道加密完成并且ADSL VPN隧道激活之后，就非常必要鎖住路由器和防火墻。任何未經授權訪問設備的人不但對設備來說是個危害，對當地或者通過VPN遠程接入的用戶都是一種危險。所有的防范措施必須都要考慮到。#p#

ADSL VPN服務

正如剛開始ADSL VPN入門所述，ADSL VPN服務依賴傳統的ADSL寬帶接入和兩站點間額外的一條IPsec隧道。保證站點間安全連接的加密技術會有一定開銷，并輕微地降低可用的數據載荷。不過，數據載荷降低極少出現問題，我們可以在VPN WAN網絡中傳輸各種類型的應用程序。

有很多ADSL服務的例子，全球很多企業都在使用低成本的VPN連接，看看下面的列表：

●終端服務：遠程工作人員使用終端服務連到位于總部的中央服務器（終端服務器）。充分利用帶寬，終端服務和類似服務（如Citrix Metaframe）為集中式處理和控制提供了絕佳的方案，不論你的遠程工作人員有多遠。

●IP語言（VOIP）：為站點間提供語音對話非常重要。就算是在ADSL鏈路上運行VOIP服務也是有可能的。服務質量（QoS）機制控制著數據包進入加密VPN隧道的先后級別，確保最高級別是分配給延遲敏感的VoIP數據包。在全世界各地連接站點和遠程員工不再那么復雜，所以沒有必要讓服務商參與進來。使用合適的語音編碼比如G.729，可以將語音流從85Kbps壓縮到22Kbps，節省了很多有用的帶寬。將VoIP編碼和QoS結合是ADSL VPN隧道最佳方案。

●站點到站點的備份：很多管理員在非工作時間利用ADSL VPN 進行日常的備份，將他們的數據從分支站點傳送到總部。使用類似Hewlett Packard的Data Protector的專門備份工具，避免復制全部數據，而只需要復制數據間的差異，這樣一來，整個備份服務的帶寬耗用就變得很低。

●郵件服務：遠程站點的用戶可以通過位于總部的企業中央郵件服務器收發郵件。通過選擇像Webmail或IMAP這樣的連接方式，管理終端用戶郵件變得非常容易。

●遠程監控：通過ADSL VPN 安裝一些IP攝像機或者監控系統，企業可以用安全且便宜的方式來遠程監控辦事處，商店或者倉庫。ADSL VPN可以很容易地傳輸這類數據。

很明顯，ADSL VPN隧道幾乎沒有你做不到的事情。讓一切工作正常的關鍵是正確地配置好你的終端。

ADSL VPN備份

也許你會問：如果ADSL鏈路中斷，我失去和遠程站點的VPN連接，該怎么辦？

好問題！既然你的服務商對ADSL鏈路沒有任何保證，不要忘了，這是個普通的寬帶連接，你必須自己解決這個問題。好消息是現在有解決方案了。如果你的ADSL是基于PSTN線路，這有點棘手——升級到ISDN線路！但是對于基于ISDN的ADSL，你可以用ISDN線路做一個到服務商的ISDN撥號備份，建立一條到服務商的128Kbps鏈路。也許128Kbps速度不是很好，但支持3到4個終端用戶、基本郵件服務和一條G.729信道應該是足夠了——這是個不錯的備份方案。

當然，我們必須牢記備份鏈路不是用來替代主要鏈路的，但可以讓你的遠程站點在最小帶寬下正常工作。一旦激活備份鏈路，大部分不重要的服務將被丟棄，只有核心服務可用。再一次強調，這是個純粹的路由器/防火墻配置問題，所以責任再一次落在工程師的肩上。

根據以往經驗，如果你打算使用ADSL VPN，就要確保它是跑在ISDN線路上，這樣一旦ADSL失效，你可以使用備份線路。在思科設備上獲得最好最便捷的WAN冗余方法是配合IP SLA使用可靠的靜態備份路由。

總之，IP SLAs可以在因特網上對某一臺主機做連續監控。配合IP SLA，你可以監控到通過特定鏈路（比如ADSL）的IP主機（IP地址）。該IP地址不斷地被你的路由器跟蹤。如果因為某些原因路由器和被監控IP地址失去連接，我們可以認為被監控主機的ADSL線路失效了，隨即激活ISDN備份線路。

ISDN備份期間，路由器仍然會通過配置好的鏈路持續監控IP主機，一旦遠程主機IP地址開始回應路由器的ICMP echo請求，路由器會自動關掉ISDN備份恢復默認路由，在這里是ATM撥號接口。

實際上，使用ISDN備份沒有問題——你只需要正確配置好它。再次重申，一切決定于工程師是否配置正確。

如果在一條ADSL VPN上有多個VPN鏈路，ISDN備份接口就顯得沒那么必要。這種情況，你可以考慮使用另外一家服務商的ADSL做備用線路，讓遠程站點臨時連接到它那。這個方案要更復雜些，需要有經驗的工程師來做。