构建一个企业集团的IP分布式呼叫中心,其成本、安全性、稳定性、高效性是必须要考虑的重要因素,本文正是基于这样的环境,提出了采用开源的软交换和VPN系统来构建企业集团IP分布式呼叫中心的方案,即 呼叫中心VPN – IPPBX
一、VPN Tutorial —VPN的软件、硬件 和 协议
虚拟专用网 – VPN – 吸引了许多既希望扩大其网络功能又降低成本的公司(组织)。这种VPN可以在 允许员工安全登录公司网站的工作场所和家庭 中找到。远程办公人员,和那些能够很快捷地与公司内部网保持连接的出差人员。无论你是否参与(使用)了VPN,对它有所了解是一项很好的技术。该VPN教程涉及了很多有趣的方面,比如:网络协议设计、网络安全、网络服务外包 和 技术标准。
二、究竟什么是VPN?—VPN解决方案和主要特点
VPN,提供了一个尽可能长的物理距离的网络连接。在这方面,VPN是广域网(WAN)的一种形式。它可以实现文件共享,视频会议 和 类似的网络服务。虚拟专用网络一般不会提供尚未通过其他机制提供的任何新功能,但在大多数情况下,VPN会更有效地、更便宜地实现这些服务。
VPN的一个主要特点是:它可以用一种叫做通道的方法,通过像Internet公共网络一样的专用网络 来工作。VPN使用的基础硬件设施与现有的Internet或Intranet连接所使用的一样。VPN技术,包括各种用以保护虚拟专用连接的安全机制 。具体来说,一个VPN支持至少三种不同的使用模式:
- 互联网远程访问客户端连接
- LAN到LAN互联
- 在内部网中控制访问
VPN互联网的远程访问
近年来,许多公司(组织)通过允许更多的员工远程办公来提高员工的流动性。不断出差的员工面临一个日益增长的需求,那就是想与公司网络保持连接。VPN可以设置远程支持,保护互联网上企业家庭办公室访问。互联网VPN的解决方案采用如下的客户机/服务器设计的工作原理:
- 一个远程主机(客户端)想登录到公司网络,首先要连接到一个公共的 互联网服务提供商(ISP)。
- 接下来,主机要发起一个要连接公司VPN服务器的连接。这种连接是通过安装在远程主机上的VPN客户端运行的。
- 一旦连接被建立,远程客户端就可以通过因特网,就像本地主机一样与公司内部系统进行通信。
之前的VPN,远程的工作人员要访问公司网络,是通过私人租用线路或通过拨号远程访问服务器。然而,VPN客户端和服务器端是需要安装软硬件的,因此在某种程度上,互联网VPN是一个不错的解决方案。
VPN的互联网互联
除了使用虚拟专用网络进行远程访问外,VPN也可以将两个网络桥接在一起。在这种操作模式下,一个完整的远程网络(而非仅是一个单一的远程客户端)可以连接到不同的公司网络以形成一个更广大的内联网。
内网/局域网的VPN
内部网络也可以利用VPN技术,来实现控制对专用网下单个子网的访问。在这种操作模式下,VPN客户端连接到作为网络网关的VPN服务器。这种类型的VPN的使用不涉及因特网服务提供商(ISP)或公共网络布线。但是,它允许在一个组织内部配置VPN的安全保护。这种作为为企业保护本地无线网络的方法,已经变得十分流行。
三、VPN的优缺点
像许多商业化网络技术一样,大量的销售和营销炒作包围着VPN。实际上,虚拟专用网只提供了一些超过传统广域网形式的具体潜在优势。这些优势当然非常明显,但是凡事都有两面性。VPN的潜在问题超过它的优点,这一点并不难理解,虽然缺点未必比优点多。从安全和性能的角度来考虑,去应对各式各样的厂商产品不兼容问题,在没有计划和准备的情况下,无法作出是否使用VPN的决定。
四、支持VPN的技术
VPN的发展使得很多网络协议变得流行起来。比如:
- PPTP(Point to Point Tunneling Protocol):点对点隧道协议。
- L2TP:工业标准的Internet隧道协议。
- IPsec(InternetProtocolSecurity):安全联网。
- SOCKS:防火墙安全会话转换协议。
这些协议强调VPN的身份验证和加密。在网络上,身份验证允许VPN客户端和服务器能够正确地建立信任。加密则允许来自公众的潜在敏感数据被隐藏。许多厂商已经开始开发VPN硬件 和/或 软件产品。不幸的是,未成熟的VPN标准意味着一些产品仍然互不兼容。
VPN的未来
对那些远程连接公司网络的员工来说,虚拟专用网络已经因为节省公司开支而变得越来越流行。很多公司还采用VPN作为私人Wi-Fi无线网络安全的解决方案。预计在未来几年,VPN技术的使用将逐步继续扩大。
五、VPN的优势及前景
问:VPN的优势以及给呼叫中心带来的益处?
VPN虚拟专用网是一个建立长距离或安全的网络连接。VPN一般是由企业或组织而不是个人 来实施(部署),但从家庭内部网络即可连接上。与其他技术相比而言,VPN为无线局域网提供了多种优势和明显的效益。
答:对于希望提供一种安全网络基础设施的组织(公司)客户群体而言,在技术上VPN具有了两大主要优势:节约成本和网络的可测性。对于访问网络的客户端而言,VPN可以带来易用性的优势。
用VPN来节约成本
VPN节省开支在以下几个方面:
- 省去了昂贵的长途租线费用
- 降低了长途电话费用
- 减少技术支持成本
VPN与租线
组织(公司)通常需要租用网络容量,比如用T1线路去实现办公场所之间的安全连接。用VPN,就可用包括因特网在内的公共网络基础设施使得它们相互连接。并且还可以通过更便宜的本地租线甚至只是宽带连接到附近的Internet服务提供商(ISP),进入虚拟网络。
长途电话费用
VPN也可以代替远程服务器访问,在过去,出差在外的员工通常用远程拨号进行网络连接来访问公司内部网。例如:用因特网VPN,通常客户端仅需连接到本地服务提供者的访问点。
支持成本
使用VPN来维护服务器的成本往往低于其他方法,因为组织(公司)可以从专业的第三方服务提供商获取所需要的支持。这将通过 为很多企业客户提供服务获得的规模经济,来取得低成本。
VPN给呼叫中心带来的好处
强安全性
目前VPN主要采用四项技术来保证数据通信安全,这四项技术分别是:隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、身份认证技术(Authentication)。在用户身份验证安全技术方面,VPN是通过使用点到点协议(PPP)用户级身份验证的方法来进行验证,这些验证方法包括;密码身份验证协议(PAP)、质询握手身份验证协议 (CHAP)、Shiva 密码身份验证协议 (SPAP)、Microsoft 质询握手身份验证协议(MS-CHAP) 和可选的可扩展身份验证协议 (EAP);
数据加密和密钥
VPN采用微软的点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据进行加密,并采用公、私密钥对的方法对密钥进行管理。MPPE使 Windows 95、98和NT 4.0终端可以从全球任何地方进行安全的通信。MPPE加密确保了数据的安全传输,并具有最小的公共密钥开销。以上的身份验证和加密手段由远程VPN服务器强制执行。对于采用拨号方式建立VPN连接的情况下,VPN连接可以实现双重数据加密,使网络数据传输更安全。
网络协议支持
VPN支持最常用的网络协议,这样基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。新的VPN技术可以全面支持如:AppleTalk、DECNet、SNA等几乎所有的局域网协议,应用更加全面。
安全的IP地址
因为VPN是加密的,VPN数据包在因特网中传输时,因特网上的用户只看到公用的IP地址,看不到数据包内包含的专有网络地址。因此远程专用网络上指定的地址是受到保护的。IP地址的不安全性也是在早期的VPN没有被充分重视的根本原因之一。
VPN网络的可扩展性
最开始,一个组织(公司)建立一个专用网络的成本是合理的。但是,它会随着企业的成长而呈指数增长。例如,一个公司有2个分公司,那么1根线即可将互联,但4家分公司则需要6根线才可以实现直接地两两互联,6家分公司则需要15根线才可以实现直接地两两互联,依次类推…。基于互联网的VPN通过简单地窃听公共线路和即时获取网络功能避免这种扩展性问题。特别是对偏远和国际地区,互联网VPN提供了优越的覆盖面和服务质量。
VPN的使用
要使用VPN,每个客户端必须拥有支持适合他们本地网络和电脑的网络软硬件。正确设置后,VPN解决方案易于使用,有时也可作为注册网络的一部分而自动工作。VPN技术也可以通过Wi-Fi无线局域网络良好地运行。很多组织(公司)在办公室内工作时,使用VPN来保护自己本地接入点的无线连接。这些解决方案提供了强有力的保障,而且不会过分影响性能。
VPN的局限性
尽管VPN有很高的知名度,但是它并不完美,它的局限性像其他技术一样真实地存在着。当配置和使用虚拟专用网络时,企业应该注意以下操作:
- VPN的网络安全问题需要详细了解,并且要关注它的安装及配置。这样一来,在那些像Internet的公共网络上才会被足够的保护。
- 企业并不能够直接控制基于互联网的VPN的可靠性和性能。相反,该解决方案依赖于ISP以及它们的服务质量。
- 长远来看,由于VPN技术标准的问题,来自不同厂商的VPN产品和解决方案并不总是兼容。试图混搭设备可能会引起技术问题,并且使用一个不会给你节约大量成本的供应商手中的设备。
六、VPN隧道
虚拟专用网络技术是基于隧道的想法。VPN隧道包括建立和维护一个逻辑网络连接(可能包含中间跳)。在这类连接中,包被创建在特定的封装在某些其他基础或载体的VPN协议格式的分组内,然后在客户端和服务器之间传输,并最终在接收端解封装。对于基于互联网的VPN,VPN协议中的一个数据包将被封装在IP包中。VPN协议还支持身份验证和加密来保证隧道安全。
VPN隧道的类型
VPN支持两种类型的隧道 – 自愿隧道和强制隧道,这两种类型的隧道都很常用。自愿隧道,客户端提供连接设置的管理。客户端首先使连接到网络提供商的载体(因特网VPN下的ISP),然后,VPN客户端应用程序通过这种实时连接创建隧道到VPN服务器。强制隧道,网络运营商载体提供连接设置的管理。当客户首次与载体建立普通连接,所述载体会反过来立即断掉客户端和VPN服务器之间的连接。从客户端角度看,VPN的连接 的设置只需一步的步骤,而不像自愿隧道需要两步程序。
强制VPN隧道的客户端认证和它们相关连用特定VPN服务器,用逻辑连接到代理设备。该网络设备有时被称为VPN的前端处理器(FEP),网络接入服务器(NAS) 或 实时服务器热点(POS)。强制隧道会隐藏从VPN客户端到服务器连接的详细信息,并有效地转移了从客户端到ISP的隧道管理控制。作为回应,服务提供商必须附加安装和维护FEP设备的额外负担。
VPN隧道的协议
很多计算机网络协议已经专为VPN隧道的使用实现。下面列出的三种最流行的VPN隧道协议。它们在这个行业中相互竞争,因此这些协议通常彼此是不兼容的。
点对点隧道协议(PPTP)
多家公司合作,共同打造PPTP规范。人们通常会把 PPTP 和 微软联系在一起,因为几乎所有客户端的协议包括内置此协议都会支持微软。虽然微软一直改善PPTP的支持,但在最初发布时,就有很多专家声称在使用方面,安全功能弱爆了。
第二层隧道协议(L2TP)
在VPN隧道中,PPTP起初的竞争对手是L2F,L2F是思科产品实现的主要协议。在试图改善L2F上,它和PPTP的最佳功能相结合,以创建一个名为L2TP的标准。就像PPTP,在OSI模型中,L2TP存在于数据链路层(第二层),因此它的名字由此而来。
互联网协议安全(IPsec)
IPsec是实际上的多个相关协议的集合。它可以作为一个完整的VPN协议解决方案或者单纯地作为L2TP或PPTP的加密格式。IPsec存在于OSI模型的网络层(第三层)。
相关阅读:《什么是 呼叫中心VPN 安全技术的关键?》 http://compnetworking.about.com/od/vpn/f/vpn-security.htm
