使用VPN连接分公司

不断壮大的企业可能在几个地方都拥有分公司，将这些站点连网是一项挑战。但是有一个可升级并省钱的方法就是：实施一个站点到站点的 VPN解决方案。

随着企业的增长，企业的发展可能会超出最初物理站点的限度。这意味着企业需要在其他地方增设分公司，这些远程地点的雇员很可能需要像 总部的员工那样访问许多相同的网络资源，而且可能两个组需要共享文件并相互进行通信。

传统的解决方案在总公司和分公司之间实现了一个专用广域网（WAN）。这通常是一条T1或者T3线路。然而，专用的租用线路价格不菲。当你只 有一个分公司的时候，一条单一线路就足够了，但是如果再增加一个，你可能需要再增加两条专用线路以确保连通性。完全连通性所需要的线 路数量会随着新机构的增加而急速增加，成本亦是如此。

一个更容易升级的解决方案是利用站点到站点的虚拟专用网连接分公司。让我们了解一下VPN如何向你提供最大的可伸缩性，同时保证机构之间 的通信安全。

Internet是网络
在你的分公司之间实现一个站点到站点的VPN连接，每个站点都需要连接到Internet。Internet连接可以通过一条T载波线路或一条更便宜的企 业级宽带连接实现，例如DSL，电缆或诸如Verizon的FIOS这样的光纤技术。所有这些连接提供比一条T1线路高得多的数据传输速率。例如，在 德克萨斯州达拉斯市的Ft. Worth，一条1.5 Mbps T1每月花费399美元或更多。而一条FIOS连接以每月199美元提供30 Mbps或二十倍的带宽。

VPN利用企业总公司局域网和分公司网络都连接到更大型网络（如Internet）上，来保证局域网之间的连通性。当然，Internet是一个公共网络 ，到处都是黑客和攻击者，所以通过Internet进行通信的关键是保证公司的秘密的安全。

VPN技术解决了这个问题，它在Internet上从一个分部（站点）到另一个建立一条“隧道”。经过这条隧道的流量被加密以保护任何敏感的数据 。

站点到站点VPN的一些优点包括：

费用。你不需要为专门的分公司WAN链接租用多条线路。你可以在每个分部使用一条连接到Internet的租用线路，或更低费用的商业宽带 Internet连接。性能。你可以在每个分部使用非常高速的Internet连接，数据传输速率接近或超过一些以太网链接。

灵活性。如果你迁移一个或更多的分部，比一条专用的租用线路链接更容易“实现迁移”。

可伸缩性。只要每个站点拥有一条到Internet的连接，增加新站点/连接很容易。使用租用线路，分部之间更远的距离意味着更高的费用。 因为VPN使用一个到Internet的连接，而不是分部之间的点到点连接，它更加容易升级。

实现站点到站点的VPN

和远距离工作者或工作在外的员工所使用的远程访问类型的VPN不同的是，站点到站点VPN利用连接两端的网关。（Internet上）网关到网关的 流量是加密的。

有许多不同的方法可以建立站点到站点VPN。首先你需要考虑你用来建立隧道和加密流量的协议。流行的隧道协议包括：

点对点隧道协议（PPTP）。最初的VPN方法之一，被许多VPN软件和硬件供应商支持，但是不如一些其他选择安全。经常用在远程访问VPN， 但也可以用在站点到站点VPN。

第二层隧道协议（L2TP）。基于微软的PPTP和Cisco的第二层转发（L2F）的结合之上。L2TP建立隧道而且使用IPsec加密隧道中的流量。

Internet协议安全（IPsec）。IPsec本身可以用来在“隧道模式”建立一条VPN隧道。
站点到站点的VPN软件除了协议问题之外，另一个重要的考虑是如何实现VPN软件。可以购买专用的VPN网关设备。多数防火墙设备，例如Cisco的PIX就包括VPN功能。 可选择的是，诸如微软的ISA Server和Check Point这样的软件防火墙也可以配置为站点到站点VPN网关。最后，微软的服务器操作系统也可以 通过路由和远程访问服务（RRAS）建立VPN网关。

在进行选择的过程中，请牢记可伸缩性。如果你的分公司可能会增加，这很可能意味着分公司和总公司之间的通信量会增加，也进一步意味着 在你的网关上更大的负载。如果你对某个设备考虑不足，升级可能需要你购买一个全新的设备。使用诸如Windows Server、ISA Server或Check Point for Windows这样的基于软件的VPN网关允许你更容易地升级硬件，通过增加处理器或内存以处理额外的负载。然而，这是折衷的，基于 设备的网关首先会提供更高的性能，其次它们可能还运行有版权的比Windows服务器更少受到攻击的操作系统。