|
说这个话题实在有点不得已,我向来不攻击别的公司的产品,市场自有检验标准,华盾公司产品要是卖不出去,那是我们学艺不精,无话可说。可是一定有人说软件vpn要替代硬件vpn的话,我倒不得不来说几句了。
说这个,倒不是我们公司没有软件vpn这个产品线,实际上我们的大型项目,象中铁快运,出于成本考虑,差不多一半左右的点都是使用软件包或者软件网关。但是软件包和软件VPN,在我们公司产品线中间是处于一个补充的作用。大家如果对软件VPN有兴趣,可以看一个VNN软件(vnn.cn),他的作者胡大侠是我师弟,以前在我们公司作软件vpn开发的。vnn是他离开以后的个人作品,算是一个非常好的个人版的vpn软件。各位要是想要实现点到点vpn连接,使用这个软件,非常合适,而且是完全免费的。
抛开技术原因不谈,先从商务的角度来看,一张光盘和一个硬件设备,对于中国人而言,有几个人能够认可光盘的价值?我自己销售出去的小型网关,客户都一再提醒我,最好外形作得更大一些,才象能够值钱一点的东西。举例来说,一个100万规模的大型VPN网络,最后买回去1000张光盘,或者半卡车硬件,不言而喻,到底哪一个对用户有说服力?尤其是中国的领导并不见得懂得技术,观念可想而知。
从技术而言,我认为硬件VPN和软件VPN开发都需要非常大的投入。倒不见得谁的技术含量一定高,谁的技术含量就一定低。所谓的硬件VPN,实际上也是一个硬件设备,灌入操作系统和应用程序。我们的开发硬件VPN,实际上也都是在作软件工作,只不过要作很多操作系统级的工作,诸如裁剪操作系统,修改内核驱动等等。现在的vpn硬件,对于一个公司而言,一般有2-3种合适的硬件平台,普通的中高端的一般使用X86工控机或者专用的网络处理芯片,硬件由台湾研华等厂家提供,中低端典型硬件有ixp 422/425等,带硬件3des加速功能,更低端的,一般就用宽带路由器一样的体系,主要是arm系列或者MIPS系列。
国内具备独立开发操作系统内核的公司并不多,即使有linux公开源代码,要根据需要更改操作系统内核,也没有几个公司能够达到,这个需要技术积累,大跃进不出来的。vpn网关是软件/硬件一体化的设备,需要比较强的研发团队和多年的技术积累才能做好。目前大量国内销售的VPN网关实际上是台湾开发的,台湾制作硬件的同时,把Linux裁剪好,提供vpn的功能,并且能够为用户定做接口和用户界面。这导致大量同质化的vpn产品充斥大陆市场,而这些产品并没有按照国内网络的特点和用户需求定做开发,因此大面积的推广应用,存在很大的困难。而国内很多软件VPN,正好弥补了这些缺点,因此也占据了一部分的市场。
但是和硬件网关相比,软件VPN自身也有很多的缺点,前面说到的商业价值认同算一个(实际上已经够致命了),其他方面还有:
1.纯软件的VPN一般运行于Windows系统之上,但是我们知道Windows系统并不是一个合适的网络操作系统平台。别的不说,每次新病毒爆发, windows往往首当其冲,而运行vpn的计算机挂在Internet之上,风险更是无形增加了很多。硬件设备,相对而言,稳定性和可靠性要高很多,价值10几万到20万以上的高端设备,其可靠性要求非常高。估计国内没有多少人能够认同windows安装一个软件就可以的。
2.VPN是基础网络,那么vpn网关起到的作用,实际上就相当于传统的路由器作用。从这个角度理解,使用一个专用硬件是很自然的事情。目前VPN的巨头,一般可以分为2类,一类是象华为、迈普那样从路由器作过来的,另外一类是象华盾、天融信这一类从安全技术领域作过来的,所以走的路线基本上都是从原有产品线延伸过来。而从事软件VPN开发的,占据的是一个细分的市场。从国外it发展成熟的情况来看,凡是某项专门的功能,能够通过一个单独的设备能够完成的,一定会使用专用的设备。以前我们公司曾经代理过一家美国的防火墙产品,基于windows nt开发的,确实很好用,但是最终这家美国的公司没有逃脱被淘汰的命运。而生存下来的美国防火墙厂家,100%都是使用硬件,再没听说哪家公司以 windows为基础开发防火墙。
3.从成本而言,软件VPN可以做到价格更低,但是考虑到运行软件需要一台专用的计算机,如果要求比较稳定可靠的话,计算机的档次还不能太低。把软件和硬件的成本累加起来,其实已经不低。而一个比较够用的硬件VPN(可以带20台以上计算机),折扣下来的价格也就几千而已。我规划的明年推出的easy VPN硬件,一个硬件外加数量不限的客户端软件,零售价格不超过4500,实际上软件VPN已经优势不明显了。我自己的公司的VPN软件,除了要求使用 usb-key认证的,其余的可能走上全面free的道路。
4.从功能而言,如果vpn网关是大牌厂家推出的,例如:迈普、华盾、天融信、华为(和他们交手n次)等等。除了VPN功能以外,一般都内置了这些公司之前的大量的技术积累,功能因此相当强大。除了vpn组网功能以外,一般都包括了路由模块、代理上网、包过滤防火墙、带宽管理、应用代理、双向nat、各种应用服务器(拨号服务器、DHCP服务器,l2tp server)。
说了这么多,可能对专门作软件VPN的兄弟有得罪之处,请多指正。其他兄弟,对此有不同看法的,也可以提出意见。 | ![[ 永远的UNIX::UNIX技术资料的宝库 ]](/images/title.gif)
