【IT168专稿】IPSec VPN现在普遍被认为是一种在部署远程接入和广域网时能有效节省资金的技术，但实际上用户应该多了解一些VPN安装部署过程背后人们易犯的错误从而尽量避免付出不必要的代价。

　　一个现实的例子是Mercator Partners商业咨询公司，他们就放弃了原先部署在员工家庭办公室中由SonicWall公司所生产的IPSec VPN设备，取而代之的做法是在员工的电脑上安装IPSec VPN客户端软件。

　　虽然SonicWall的设备确实能够做到利用不同的通讯端口把企业电脑和家庭电脑区分开，但据该公司IT管理员Seth Cordes的说法，这种实现方式还是没能解决家庭其他非授权用户进入企业VPN网络的可能性。

　　为了不冒这个险，该公司在技术上做了改变，现在家庭电脑只有安装了相关软件才能连进企业VPN网络。

　　还有，从大的方面看，部署VPN在资金节省方面也是大有可为，尤其是那些用于替代传统广域网链接的点到点VPN。一家名为广域网策略有限公司的VPN服务提供商的负责人John Pouliot说道：“平均来看， VPN网络中在每个站点的设备身上每个月大概要花费450美元到1200美元。”

　　对于基于因特网的VPN来说，这种费用其实有很大的下降空间。“相比较之下，用DSL连接的站点每个月大概只要花45美元。” John Pouliot说道。

　　虽然可以节省资金，但企业还是应该意识到实现VPN之路不会是一帆风顺的，会出现各种各样棘手的问题。

　　Lancet技术公司是一家位于波士顿的医药软件公司，该公司首席信息官Kevin Mulligan说他们已经使用Cisco系统公司和Nortel网络公司的VPN设备实现了与商业合作伙伴的VPN互联，但这些VPN设备配置起来有相当难度，而且合作伙伴一般在这方面没有什么经验。

　　而且，为了让VPN连接能顺利通过企业防火墙，调整防火墙的设置是免不了的，而这样造成的结果就是Lancet不得不花费大量的时间在电话上进行技术支持。

　　“VPN曾让我头疼不已。” Mulligan说道，“为了说服合作伙伴使用VPN我是费尽周折，主要的障碍就在于防火墙的重新配置会违反他们的企业安全策略。”

　　反过来，如果你是被要求加入现有VPN网络的一方，这项工作将占用你大量宝贵的时间，从另一个角度来看实际上也就意味着成本的增加。

　　“为了让客户能用上相同的VPN客户端我们遇到了各种各样的问题，客户会打电话问我们，而我们又得打电话问Cisco，也许几个小时后问题圆满解决了，但一整天时间就这样浪费掉了。” Mulligan说道。因此Lancet公司决定切换到另外一种无需客户端和防火墙变动的SSL远程访问方式。

　　Dan King是一家心理健康中心的网络管理员，他认为虽然VPN取得了相当大的成功，但正是这种成功反而会对资金的节省造成一定的反作用。该健康中心原先有四个分支办公点使用点对点的T1线路直接连到主办公点，后来Dan King把这些T1线路换成了SonicWall的IPSec VPN产品，用省下来的钱为原先没有连接的第五个分支办公点配备了一条基于ISDN的DSL线路。但是，原先所有分支办公点和主办公点的通讯都是经过独立的线路，现在变成所有的办公点都能直接连到整个因特网。这些新线路也提供更快的下载速度，但使用率高了也就造成带宽的吃紧。有一次运营商提供了两种优惠方案，一种是为现有线路降价，另一种是增加带宽，经过权衡Dan King没有选择更省钱的前者，而是出于带宽的考虑选择了后者。

　　夏威夷Hualalai旅游公司的IT主管Tony McCafferty认为用户在采用VPN之前应该认真评估VPN所有可能的用途，有可能某些问题的出现会使得其在资金节省方面的优势荡然无存。

　　Hualalai旅游公司需要一种能够远程接入进行办公的方法以便安排旅游计划，McCafferty当时认为IPsec VPN是最好的解决方案。一开始他们购买了Check Point软件公司的安全远程客户端产品并安装在公司的笔记本上，绝大多数时候这没什么问题，但一旦某天到了旅馆或是合作伙伴那里，防火墙就把他们给挡住了，于是电话求助自然就少不了了。

　　McCafferty决定试一下SSL远程接入软件，因为这不需要特殊的防火墙配置。他们购买的是Aventail公司的软件，但没想到要让它正确地跑起来却困难重重，过程非常复杂。

　　“没想到会碰到这么多问题。” McCafferty说。不管是通过软件升级方式甚至直接让Aventail公司送一套预先配置好的软件过来也解决不了Outlook远程Web访问这个基本问题。

　　经过长达九个月的尝试，McCafferty决定放弃，转而购买了Enkoo公司开发的易于配置的SSL网关，该网关虽然缺少了其他产品的一些功能，但对Hualalai公司来说已经足够用了。“直到最近我们才彻底抛弃了Check Point的东西，因为Aventail的SSL产品在配置和运行过程中产生的问题太多了，所以我们那时候不得不保留IPSec VPN以备不测。” McCafferty说道。

　　客户一旦购买了VPN产品基本上也就意味着需要维护更多的网络设备。“一旦买了这些安全设备，你就得经常安装升级和补丁程序，” Forrester研究公司的VPN分析师Robert Whiteley说道，“如果对企业来说这是必需的话，那么首先你就得测试这些升级和补丁程序，这也就意味着时间和精力上的投资。”

　　这还不止，VPN产品的安全配置还包括远端用户的数字证书认证，这又是一项时间和培训上的投资。“你得管理这些数字证书并确保它们能正确地安装部署。” Whiteley说道。

　　国际再保险公司PartnerRe的VPN项目管理员Desmond Lee认为随着技术的发展，企业是免不了要在软硬件升级方面投入更多资金的。该公司决定不再升级已有的Check Point的IPSec VPN产品，因为对他们来说这意味着同时要在15个站点上做软硬件升级，这可不是个小项目，而后来该公司仅仅购买了三台Juniper网络公司的SSL远程访问网关就解决了整个替换过程。

　　“SSL远程访问网关不需要那么多设备，而且它能检查远程机器的安全性，如果是Check Point的产品的话要做到这点恐怕又得升级才行。” Lee说道。