VPN Over Satellite: More Than Viable

　　原著：Peter j. Brown 翻译：王琦

　　一旦实现了安全和可靠的连网，拥有专用网络就不再只有惟一的选择。随着公司对这一认识的加深，基于因特网协议(IP)的VPN便越来越流行了起来。

　　当VSAT方案在逐渐适应当前所强调的使用卫星和地面方案的混合方式时，这一进程需要许多利基应用(niches)来填补空白。位于休斯顿的CapRock通信公司的营销副总裁Randy Neck认为，因为商务的全球化，卫星传输VPN方案存在很大的需求。这一方案能够降低日常开支，并提高用户的灵活性，代表着新的不断扩大的网络领域的重要组成部分。休斯网络系统公司的北美部业务发展的高级主管Sampath Ramaswami说，VPN这一术语在产业中的应用，表明了方案的应用范围。“VPN是一个连接分布式企业的无数站点的专用网络，由操作人员通过因特网应用，安全地接入公司服务器。后者有时被称作远程接入VPN，”他说。“┅┅拔号和帧中继等传统网络已迅速地被始终在线的宽带VPN所替代。”

　　然而对于大多数分布式企业来说，这一转变通常并没有达到20%~50%，结果是，“卫星宽带提供了高效的、具有价格竞争力的、完全可与其它地面替代选择相媲美的能力，例如租借线路，” Ramaswami说。“我们注意到基于卫星的VPN在两个领域的需求：一是作为连接企业所有站点的完全一体化的连网技术，二是作为地面卫星宽带混合网络的一部分。”

　　1 TCP可能招致麻烦

　　卫星传输VPN的环境代表着它具有自身的一套运作的艰巨的任务，但VSAT零售商正在克服这些困难。

　　卫星产生的时延加上传输控制协议(TCP)，时常会导致令人失望的结果。“信号退化这一结果的主要原因是TCP算法不适合卫星链路的长时延，并不能被VSAT优化，”吉来特卫星网络公司的战略营销主管Doron Elinav说。“我们看到的趋势是朝着加密、通常建立在因特网协议安全的VPN方向发展，这一趋势正在增长，在整个电信产业中也很普遍。IPSec的出现，是作为支持基于密钥认证的数据安全的现代标准，加密包括数据和分组头等整个数据包，并加上自己的分组头。因此，它阻止了大多数的威胁，同时也阻止了对TCP的任何加速。”

　　对于远程接入VPN而言，休斯公司的VPN加速器是支持经由卫星的IPSec VPN的现成的方案。“如果一个由用户端产生(即远程接入VPN)的使用IPSec VPN隧道，其中有一个隐没在卫星路由器之后的局域网，那么将不能应用传统的通常用来减缓相对时延性能问题的加速技术，” Ramaswami说。“VPN加速器通过在VPN隧道前的传输中应用卫星加速技术，既提高了性能，又保证了VPN安全的整体性。它容易与公司的安全政策和使用北电、思科或Check Point VPN企业的基础设施进行综合集成。”

　　VPN的一个关键的问题，是保证数据的机密性，思科数据中心安全技术小组的营销主管Adrian Amelse说。“身份认证和加密是客户的基本要求，我们将这些能力综合进我们所有的通信技术中，包括卫星VPN，”他说。“基于此，我们完全认为卫星传输的VPN是可行的。”

　　另外，这些新的端对端的VPN现在通过因特网能实现远端位置的安全连接，并不需要价格昂贵的回传线路。“通过经由卫星的VPN的这种灵活性和经济效应，产生了强劲的容量需求，”Neck说。“未来因为商务持续的全球化拓展，经由卫星的VPN方案部署的速度和方便，相对于不胜其烦和耗时费力的点对点回传的其它选择，是一个明显的优势。”

　　2 需要改进TCP

　　正如前面所提到的，作为相当于64kbit/s链路的典型的宽带连接，没有进行加速的TCP/IPSec的通信流量会严重地退化。这是人们所不能接受的，卫星产业正在雄心勃勃地向这些问题发动攻击。

　　Gilat公司将TCP加速功能嵌入进了其SkyEdge VSAT设备。因此，它可以不增加任何应用或软件在VPN中使用IPsec。“在VSAT中，一个集成的VPN方案意味着能够应用经由卫星网络，同时保持改善用户从TCP加速中获得的体验，”Elinav说。“大部分的方案是首先加速，然后再加密，为的是既提供安全性同时又提供性能。”

　　某些用户并不要求端到端加密的VPN，而是将通信流量与专用寻址功能分开，VLAN和多协议交换及其它技术提供了这一功能，Elinav说。