在云电脑建设方案中,网关尤为重要,当前大部分企业一般会在非可信网络(企业外部网络,如互联网或广域网)与可信网络(企业内部网络)之间架设VPN(Virtual Private Network)接入网关,实现居家、酒店、路途中等远程办公场景下的云电脑外网接入功能。
VPN属于远程访问技术,简单地说就是利用公用网络架设专用网络,让外地员工访问到内网资源。利用VPN的解决方法是在内网中架设一台VPN服务器,外地员工在当地连上互联网后,通过互联网连接VPN服务器,然后通过VPN服务器进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通信数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同架设了一个专用网络一样,但实际上VPN使用的是互联网上的公用链路,因此VPN被称为虚拟专用网络,其实质是利用加密技术在公网上封装出一个数据通信隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN访问内网资源,这就是VPN在企业中应用得如此广泛的原因。
云电脑VPN部署方案的弊端
在传统的企业网络配置中,要进行远程访问,传统方法是租用DDN(数字数据网)专线或帧中继,此方案导致高昂的网络通信和维护费用。移动办公人员与远端个人用户一般会通过拨号线路(Internet)进入企业的局域网,有安全隐患。此外,很多时候远程接入环境的网络条件并不太好,尤其是在酒店或旅途中。传统VPN虽然功能丰富,却未对弱网环境及云数据中心的就近接入做适配,因此经常出现云电脑在外网环境下无法接入或接入后桌面卡顿的问题,这一现象在疫情爆发后大量员工远程办公情况下尤为明显。
基于以上情况,中兴通讯云电脑产品团队针对远程办公接入场景做了专题技术穿刺,发现通用VPN接入手段存在较多弊端,主要体现在以下几方面:
- VPN方案需要在用户侧(如个人PC)安装VPN客户端,VPN客户端和PC的安全软件容易发生兼容问题,导致VPN不能成功登录,云电脑无法使用;
- 很多应用通过VPN网关传输时,协议被VPN隧道封装,应用针对网络优化做的大量传输协议算法优化和策略被屏蔽,无法生效;
- VPN业务和功能丰富,但同时导致处理复杂,云桌面流经过VPN网关后造成时延增加,降低了体验的流畅性。
中兴通讯云电脑CAG技术方案
为了解决上述VPN的弊端,中兴通讯研制并发布了CAG(Cloud Access Gateway)云接入网关,CAG专为云电脑承载协议优化,实现云电脑业务媒体数据转发,打破VPN限制,屏蔽其他业务转发请求,实现网络隔离,在安全的前提下大幅提升用户体验,保障外网接入稳定流畅。中兴通讯云电脑以物理数据中心为单位进行部署,支持集群部署、动态扩展及负载均衡,以实现大容量并发接入,组网方案如图1所示。
图1 云电脑CAG组网方案
云电脑CAG云接入网关应用场景主要包括:
- 终端接入场景:CAG位于跨网的DMZ区或跨网边缘,用于终端的安全接入和代理访问后端的服务;
- 服务穿越场景:CAG位于跨网的DMZ区或跨网边缘,用于两个不同网络间服务的相互访问;
- 边缘接入场景:应用于分支机构的边缘接入,提供就近安全接入服务能力,能够支持与云桌面的一体机部署。
CAG云接入网关具有以下几个特点:
- 轻量:无需安装额外客户端组件,兼容性高,资源消耗小,避免了网关与PC安全软件冲突的问题;
- 专业:针对云电脑传输协议在弱网适应性、低带宽等场景进行优化,大大提升了互联网接入体验;
- 高效:数据传输效率高,性能强,可根据实际需要自主切换TCP或UDP承载,并灵活应用拥塞控制算法,极大化提升用户体验;
- 安全:强加密,对外统一端口接入,减少公网端口数量,屏蔽其他业务转发请求,安全性高。
CAG为云电脑的网络自适应提供了充分的灵活性,同时对云电脑业务的唯一支撑也极大的缩小了风险敞口,降低内网暴露的风险。
方案实践
2020年10月,中兴通讯抽取13000+研发人员进行远程办公演练,采用CAG云接入网关访问云电脑,超10000用户并发,系统运行平稳流畅。据公司IT中心用户调查反馈,93%的员工认为在外网环境下通过CAG接入比VPN接入体验更好,70%员工认为通过CAG接入获得了与在公司内网一致的云电脑使用效果。在2021年底实施交付的渤海银行开发测试云电脑项目中也应用了此项技术,为渤海银行用户带来了良好的远程办公接入体验。
未来,会有越来越多的企业、政府、金融等机构开始应用云电脑,并将其作为远程办公的最佳工具选择。中兴通讯CAG自研云接入网关技术,为云电脑外网接入提供了更好的用户体验,在降低成本的同时满足了用户对网络带宽、接入服务等需求的增加,有助于云电脑更多场景应用。