VPN技术专题-下一代VPN面临的挑战

虚拟专用网（VPN）是由在公用网上提供安全路径的一些路由器及防火墙组成，但下一代VPN的概念有所不同，它还包括网络设计策略。为此，下一代的VPN要求设计师不仅要仔细研究VPN的每一个技术细节，而且要有宏观意识。

----目录服务

----下一代VPN的最为主要的部件是目录服务器，主要用于存放端用户的信息及网络配置数据，目录服务器决定了未来VPN的发展方向，它既可以运行于由VPN提供控制的公用网的某一部分，也可以作为运行于公司网络的一个平台。VPN的设备与内容都可在专用网与公用网上进行复制，公司的网络可以横跨网络公共服务设施，因此，传统公用网与专用网的界线已经变得模糊。

----VPN的这一变化直接影响了它的设计，为此网络设计师必须生成一个逻辑与物理目录服务器，该服务器既可设置于公司的一端，也可设置于电话公司的NOC处，且有防火墙的保护。但是该设计的最大缺点是单点故障，另外，这种多个地点使用的目录服务器在NOC端做镜像，虽然提供了物理与逻辑的冗余备份，但却给黑客提供了攻击的机会。

----这种使用网络目录的方式也改变了传统网络的访问点，与路由器不同的是，这些载有整个公司用户相关资料及网络配置的目录应置于用户或网络运行中心NOC的安全区内。该安全区是进一步开发VPN的基础，它主要由策略服务器与认证服务器组成。策略服务器根据公司的规则制定访问策略，认证服务器则负责公共密钥的认证及其他有关安全任务，另外，VoIP网关也置于上述安全区内。网络如果具有了上述安全机制、网络目录及QoS的保证，那么端用户就可以建立用于远程教育、远程医疗及虚拟会议的VPN连接了。

----实现QoS

----实现上述VPN仍有许多工作要做，首当其冲的是要解决服务质量QoS问题。基于策略的网络提供这样一种QoS方案，策略服务器装载有关应用及网络资源的信息，动态地确定端用户如何访问应用程序。IPv6是人们多年来努力的结果，其QoS的实现是通过将IPv6的信息包定义为不同级别的信息流。例如，可将实时多媒体的演示定义为具有最高级别的信息流。须注意的是，由于QoS要求提供跨越LAN与WAN的端对端的服务，因此增加了问题的复杂性：网络设计人员必须了解每个公司的网络在何处结束，公用网的VPN又从何处开始。因此，要求网络设计师要予以规划、区分不同系统间的各种进程流及每个公司各拥有哪些VPN部件等。