OpenVPN

开源VPN

　　近两年，美国的IT经理人时常抱怨，尽管集中管理的防火墙 / VPN设备费用低廉，但建设大规模、点到点的VPN费用会很高。

　　有人认为，这个问题是厂商掺和的结果，因为厂商提供的防火墙管理工具不能管理多厂商产品。有时候，尽管IT人员尽量选择通用性强的产品，但公司仍会坚持使用不能很好提供VPN功能的防火墙。

　　目前，很多美国用户开始关注开源VPN产品。其中，使用最多的是OpenVPN。这种基于SSL的VPN工具可以方便、迅速地将宽带连接的远 程站点连接到企业的核心业务系统上。有专家认为，单纯从技术的角度说，OpenVPN具有很多优势，甚至优于一些基于效率更高、表现更好的、采用 IPSec协议的商用VPN产品。

　　由于大多数宽带ISP使用网络地址转换（NAT），因此，大量使用动态IP地址进行Internet连接的企业发现，复杂的IPSec协议在 通过NAT设备时并不总是可以可靠地工作。将传输流封装在单一TCP连接中是绕过这个问题的好办法，而像OpenVPN这样的基于SSL的VPN始终在这 样做。

　　从费用观点看，OpenVPN似乎对美国的IT经理更具吸引力。因为不论企业的远程服务器运行Windows还是各种Unix，这台服务器都可被用做VPN网关，企业人员可以利用OpenVPN安全地连接远程站点。

　　另外，不少企业的IT经理表示，使用OpenVPN可以大大降低部署的成本。因为OpenVPN使用已经部署在远程站点中的服务器，因此，无须新硬件它就可以很容易地加入到已有的网络中。

　　不过值得中国用户注意的是，OpenVPN并不是解决所有问题的答案。有美国企业用户透露，一些高速VPN连接，在IPSec上运行得更好， 而通过服务器运行VPN传输流的思路在许多环境中行不通。此外，也有人认为，OpenVPN不适于大型、网状VPN，因为它缺少大规模管理系统。

　　另外，有专家提示说，同许多开源工具一样，OpenVPN管理界面是基于命令行的。不过由于该产品的流行度以及OpenVPN中提供了资料完备的API，一些基于GUI的工具（可能是第三方）可用于帮助企业进行配置和系统监测。

　　目前来看，很多专家推荐在企业的小型分支机构或办事处的中心建设VPN，而通过多条宽带连接进入企业核心业务系统，在这种情况下， OpenVPN如鱼得水。因为，对IT经理来说，它提供了其他开源产品中没有的高可用和可伸缩特性。 （美国《Network World》供本报专稿）