隨著企業(yè)信息化辦公的普及，如何把這些流離在企業(yè)外圍的機構納入到企業(yè)同一的信息化平臺中來，這就是CIO所面對的一個挑戰(zhàn)。

　　過去，大部分企業(yè)是地域性的，駐守在一個區(qū)域中。但是，現在多數企業(yè)則是全國性的，甚至是全球性的。企業(yè)通過合并、收購等形式，或者在各地設立辦事處等等方式，迅速擴大企業(yè)的規(guī)模。在分散的地理位置上存在越來越多的辦事機構、分公司等等。而隨著企業(yè)信息化辦公的普及，如何把這些流離在企業(yè)外圍的機構納入到企業(yè)同一的信息化平臺中來，這就是CIO所面對的一個挑戰(zhàn)。企業(yè)需要在總部與各個分支機構之間進行快速、安全的信息及交流，VPN(虛擬專用網)也應用而生。到目前為止，可以說VPN的解決方案已經讓人眼花繚亂。為此，CIO現在不用擔心找到的VPN解決方式；而該擔心的是，如何選擇一個價廉物美又合身的VPN服務提供商，包括硬件設備。筆者將結合自己的VPN選型經驗，跟各位CIO朋友們，探討一下如何圍繞三個核心問題進行VPN選型。

　　核心一：對于用戶要透明。

　　VPN(虛擬專用網)允許在遠處的分支機構工作的職員與企業(yè)總部內的網絡進行安全通信。他們在使用VPN虛擬專用網聯入企業(yè)總部內部網絡的時候，跟訪問局域網沒有什么不同。而且，通過因特網連接到公司VPN的遠程用戶還可以在公司的VPN上進行身份鑒別，從而實現訪問權限的控制。要實現這一點，就是要求VPN虛擬專用網解決方案對于用戶來說，是“透明”的。簡而言之，遠程分支機構的員工在通過VPN虛擬專用網訪問企業(yè)總部網絡資源的時候，他們并不知道有VPN的存在。他們通過網上鄰居或者通過文件服務器的圖標，就可以直接進入到企業(yè)總部的網絡。

　　只有如此，終端用戶用起來才能夠比較方便。根據對用戶透明程度的不同，VPN主要由兩種實現方式。

　　一是終端用戶需要進行撥號才能夠連接到企業(yè)內部網絡。如當分支結構的員工需要通過VPN虛擬專用網連接到企業(yè)內部網絡的話，則需要先進行撥號連接到企業(yè)的VPN服務器。然后才能夠訪問。當用戶下次再進行訪問的時候，仍然需要撥號。這顯然非常的麻煩。對于終端用戶來說，不夠透明。

　　二是利用路由器等網絡設備來代替終端用戶的撥號行為。這就好像ADSL撥號上網一樣，再ADSL貓上聯入一個路由器，把這個撥號的任務交給路由器來完成。如此的話，用戶需要上網的時候，不需要再重新撥號了。因為路由器始終連接在互聯網上。所以，ADSL對于用戶來說，是透明的。他們并不關心如何才能夠聯網。其實，VPN也可以實現類似的處理。如現在有一個分支機構需要與企業(yè)總部建立VPN連接，那么只需要在這個分支機構的邊界路由器中，實現一個VPN的客戶端。讓其永遠與企業(yè)的VPN服務器之間建立連接。如此，只要這個分支機構的員工終端主機連接在這臺路由器上，那么他們就可以不經過任何操作直接跟企業(yè)的VPN服務器進行操作。因為事先的撥號工作路由器已經幫助完成了。不過，這雖然提供了VPN虛擬專用網對終端用戶的透明性，但是，其需要路由器等網絡設備的支持。

　　到底是放棄透明性，提高VPN虛擬專用網的靈活性；還是堅持透明性，增加一定的網絡投資呢？筆者認為這沒有一個絕對的答案。需要CIO根據企業(yè)的應用場景來進行選擇。在通常情況下，如果終端用戶的數量比較少、終端用戶具有一定的知識背景、而且其流動性比較強的話，那么最好還是通過撥號來連接到VPN網絡服務器為好。但是，如果終端用戶數量比較多，如分公司與總公司的連接等等，那么還是讓路由器來進行撥號、跟企業(yè)VPN服務器進行連接為好。

　　核心二：利用軟件還是利用硬件來實現？

　　現有的VPN虛擬專用網解決方案，基本上都是基于IP網絡的。VPN能夠在公共網絡上為分布在各地的辦事處之間提供安全連接，而不需要租用昂貴的線路。由于VPN是基于IP網絡的，所以任何現有的基于IP網絡通過安裝允許安全遠程訪問的軟件，都可以被輕易的轉化為VPN?？梢?，VPN基本上跟平臺無關的。故CIO在選擇VPN解決方案的時候，基本上不用考慮VPN的實現平臺問題。這跟選擇ERP等信息化管理軟件不同。后者還需要考慮企業(yè)現有的平臺跟ERP等管理軟件能夠兼容問題。而VPN虛擬專用網則不用考慮這個問題。

　　那么CIO該考慮什么問題呢？CIO應該考慮該如何實現VPN，即是通過軟件來實現，還是通過硬件來實現。根據現有VPN服務提供商設計出的虛擬專用網解決方案，大致可以分為三種。分別為基于硬件、基于軟件與基于網絡三種。他們各有各的特點，也各有各的局限性。CIO需要根據自己企業(yè)的實際情況，進行選擇。

　　一是基于硬件的虛擬專用網解決方案。也就是說，VPN解決方案跟加密路由器等網絡設備是集成的，即在專用的網絡設備上實現VPN技術。有了專業(yè)設備的支持，一方面VPN解決方案能夠提供更高的安全級別，如與AAA服務器結合提高身份鑒別的安全性等等。其次，由于有專門的網絡設備來處理VPN數據流，所以其可以在短時間內處理大量的網絡流量。其三，比較容易管理。因為在專業(yè)設別上，往往會有一個管理的平臺。在這個平臺上CIO可以根據企業(yè)的需要設置不同的策略，如CIO可能想讓遠程用戶只能夠通過VPN來訪問企業(yè)的郵箱服務器。如果利用專門的硬件設備來實現VPN的話，那么這個需求就可以很輕易的實現。不過其缺陷也很明顯。如需要專門的硬件投資，而且這不是消費用；如由于硬件是死的，所以其靈活性就會大打折扣。

　　二是基于軟件來實現。也就是說，在現有的服務器或者網絡設備上，可能本身就帶有VPN的軟件包；又或者可以安裝VPN服務器軟件的方式來實現虛擬專用網。基于軟件來實現VPN，企業(yè)不需要投入額外的硬件設備，可以節(jié)省VPN應用成本。同時，可以在所需要的服務器上安裝VPN軟件來實現，其靈活性也比基于硬件的方式要高的多。但是，由于其沒有處理大量網絡數據流的專門設備的支持，其性能就會比較低；而且也沒有專業(yè)用來處理安全的身份鑒別服務器設別或者加密設備，其安全性也會大折扣。

　　三是基于網絡的VPN。這個是在專用的IP網絡上實現的。而以上兩種方式，是通過公共網絡，即互聯網實現的。在基于IP網絡上實現的VPN虛擬專用，比在互聯網上實現的VPN，能夠提供更高的安全性、更好的性能和更易于管理等等。當然，其所需要的成本也會更高。在實際工作中，企業(yè)常利用前面兩種實現方式，即基于硬件或者基于軟件來實現。而基于網絡的VPN，由于出于成本的考慮，很少有企業(yè)會采用。

　　到底采用哪種實現方式，筆者認為，CIO主要從性能、安全與成本三個方面去考慮。如對于性能、安全要求比較高，而又比較財大氣粗的集團型企業(yè)，則可以采用基于硬件的VPN實現方式?，F在很多跨國集團基本上都是采用這些方式。而如果只是想通過VPN虛擬專用網來實現幾個小辦事處與企業(yè)的連接，或者一些散戶的遠程訪問需求，則采用基于軟件的VPN解決方案，也是可行的。

　　核心三：利用什么技術來實現VPN？

　　VPN的實現技術有很多，如利用IP隧道、幀中繼或者ATM技術實現等等。筆者傾向于通過IP隧道來實現。因為他跟其他技術而言，具有比較高的性價比。在基于IP隧道的VPN解決方案中，數據包被封裝到一個IP包內，然后再在一個基于IP的網絡上進行數據傳輸。需要連接的各個辦事處、分支機構通常各自安裝、部署、維護這些VPN。

　　采用IP隧道技術來實現VPN，可以減少電信費用。因為此時是利用本地連接代替專用和廠距離的連接，他們對ISP的以來只是其提供的物理連接。同時，其安全性并不比其他解決方案差。他也可以為內聯網、外聯網等等提供一個安全的安全通道，實現快速、安全的數據交換。