如何选择思科VPN客户端

会计考友

　　在网络设备领域，思科无疑是一个大哥大。在VPN领域也不例外。在部署VPN虚拟专用网络的时候，思科提供了两种不同类型的客户端供企业选用，分别为软件客户端与硬件客户端。这两种不同的客户端具有不同的特点，网络管理员需要根据企业的实际情况来选择合适的客户端类型。
' ^* P! X4 {& \　　一、软件客户端与硬件客户端的特点
　　在任何VPN网路中，都依赖于VPN客户端来建立并维持与VPN集中器之间的连接。所以VPN客户端与服务器两个是缺一不可。而思科提供的软件客户端无疑是一种价廉物美的客户端解决方案。
6 d- s  t9 K7 a* i　　笔者跟思科的软件客户端打交道已经有多年。笔者认为思科软件客户端最主要有两大特点。一是跨平台的。也就是说，其不仅可以在传统的Windows操作系统上使用，而且还可以在Linux等非Windows操作系统平台上使用。不过不同平台上的客户端其功能稍微有一点差异。如在Windows操作系统平台上部署思科软件客户端的话，还可以跟操作系统的防火墙结合，保护VPN客户端与集中器之间的连接。如果网络管理员在Windows操作系统上部署思科的软件客户端，则可以启用状态防火墙。这种防火墙模式虽然有VPN集中器要求开启，但是最终需要有远程客户端来启动或者关闭。一旦远程用户在客户端启动防火墙，则它将一直处于开启的状态。也就是说，如果远程用户中断VPN连接，则这个防火墙仍然是开启的，不会自动关闭。这是一种强制开启防火墙的策略。如果网络管理员希望客户端有这个选择权，可以根据实际情况来判断是否需要启用客户端防火墙，则可以启用AYT防火墙。这种防火墙在建立VPN连接隧道之前，AYT会检查客户端的防火墙是否开启了。然后会把这信息反馈给VPN集中器。集中器会根据预定义的规则(如远程访问的IP地址或者帐户等信息)来判断是否允许没有开启防火墙的客户端建立隧道。除了支持Windows操作系统外，思科的软件客户端还支持Linux、Solaris等操作系统。只是在这些操作系统上，防火墙等安全策略可能就不起作用了。
　　二是价廉的。思科VPN软件客户端是与VPN集中器一起交付的，而且也没有许可证的限制。也就是说企业无论有多少用户需要利用VPN来建立远程连接，都不用再去掏钱购买客户端或者许可证。这可以帮助企业节省一大笔的费用。
　　除了VPN软件客户端之外，思科还提供了基于硬件的客户端。如果企业有钱则可以采用硬件客户端来提高VPN网络的性能与安全性。从笔者的工作经验来看，如果采用硬件客户端的话，可以给企业带来如下好处。
) m8 \/ h; w& G" B- y" O3 Z　　一是可以节省维护的工作量。如果企业采用硬件客户端，网络管理员可以直接把远程站点的PC插入硬件客户端，而不必在每个远程站点的主机上加载软件客户端或者其他额外的应用。显然这可以避免网络管理员配置、维护客户端的工作。也就是说，VPN客户端对于远程用户来说是透明的，他们并不知道有VPN网络或者客户端的存在。他们就好像访问局域网一样，可以访问远程网络的资源。而其多个远程用户可以共享同一个硬件客户端，从而也减少了身份认证、隧道建立等等的资源消耗。
5 K' k& R4 d) l% j. C　　二是可以提供比较高的性能。VPN网络的性能除了跟集中器有关之外，跟客户端的性能也具有很大的关系。特别是在客户端实现防火墙之后，客户端配置的优劣直接影响了VPN网络的性能。而如果把VPN连接通信的任务交给独立的硬件客户端来完成，那么VPN网络的性能将会得到极大的改善。因为VPN隧道的建立、身份认证、连接管理等等都是由独立的VPN硬件客户端来完成，而远程主机只需要负责把数据传送到硬件客户端即可。
) d0 L3 O5 i; M* o　　二、关于选择客户端的几点建议
- u' m+ J" @) j+ X2 k' f5 a　　既然VPN软件客户端与硬件客户端有这么大的差异，那么企业该如何选择呢?到底该用软件客户端还是用硬件客户端呢?对于这个问题需要网络管理员根据自己企业的实际情况来进行抉择。不过笔者可以给你们几个建议，或许对你们下决心有所帮助。
　　一是考虑项目成本因素。软件客户端其随着VPN集中器一起交付，而且没有许可证的限制，为此软件客户端比硬件客户端要便宜不少。故网络管理员在选择VPN客户端时，需要考虑自己的腰包鼓不鼓。如果项目资金比较充裕的话，则可以采用硬件客户端，毕竟其在性能、安全方面都比软件客户端要高。
# f" ]  h4 o6 N  f" r+ Q　　二是需要考虑远程访问用户的数量与特征。如果远程用户比较多，如果采用软件客户端的话，则就意味着网络管理员需要维护的客户端数量会非常之多。这会让网络管理员疲于奔命。最糟糕的是，这些远程用户往往对计算机都不怎么熟悉。如果他们远在外地，如在外地的办事处，需要进行VPN远程连接时客户端发生故障，此时网络管理员如果光靠远程指挥可能很难解决客户端的故障问题。而需要远程用户把主机拿到公司之后才能够寻找问题的原因。显然这在紧急的时候，会引起用户的不满。所以当客户端数量比较多的时候，最好还是采用硬件客户端。因为采用硬件客户端的话，这个VPN客户端对于远程用户来说是透明的。远程用户只需要像平时一样，把网线插入到VPN硬件客户端的接口即可，就可以利用已经建立的隧道来传递数据。而作为网络管理员，只需要保证一个硬件客户端的正常运行即可。虽然硬件客户端在刚开始部署的时候需要投入一大笔资金，但是随着远程用户的增多，这个硬件客户端投资的成本会被分摊掉。
　　三是需要考虑VPN网络的用途。如果VPN网络主要用来连接多个不同的局域网。如企业想利用VPN网络把分布在全球各地的分公司内部局域网连接起来，此时最好采用VPN硬件客户端。因为公司局域网内部的用户可能比较多，此时传递的数据流量也比较大，所以对于性能方面的考虑就比较优先了。此时虽然采用硬件客户端需要耗费一定的投资，但是至少可以提供比较高的性能，能够提升客户端与VPN服务器之间的数据传输速度。而且硬件客户端与企业防火墙的兼容性要比软件客户端好许多，所以可以提高各个不同局域网之间数据传输的安全。这对于一些安全性级别比较高的企业，硬件客户端就可能是其唯一的选择。
　　为此笔者建议网络管理员，如果企业利用VPN网络来连接各地的局域网，则最好采用硬件客户端;如果远程访问的用户比较多，则最好采用硬件客户端。而远程访问用户数量比较少或者位置经常移动时，则可以采用软件客户端。而在需要的时候，可以同时采用软件客户端与硬件客户端，以满足远程用户移动作业的需求。
　　另外需要注意的是同样是思科VPN硬件客户端，其也有差异。如型号为VPN30028E的客户端，其釉8个专用接口;而型号为3002的硬件客户端，其专用接口只有1个。而且VPN30028E硬件客户端有AutoMDIX功能，可以避免使用交叉线等等。为此在选择硬件客户端的时候，也需要注意不同规格之间接口、功能上的差异。
6 D/ d- g( |7 {: D8 W. ?/ P* c　　而在采用软件客户端的时候，主要是要考虑采用的操作系统不同，其软件客户端的功能也有所不同。如采用Windows操作系统，则软件客户端可以跟操作系统上的个人防火墙配合使用。而采用其他客户端的话，就没有这方面的功能。为此如果对于安全要求比较高，而又没有配置硬件客户端的话，则笔者建议尽量在Windows客户端上部署软件客户端。