Odpowiedź na postawione pytanie nie może być jednoznaczna. Przeważnie będziemy potrzebowali więcej niż jednego typu połączenia VPN do realizacji wszystkich wymagań. Przejrzymy więc dostępne technologie VPN, prezentując ich zalety i wady.

SSL VPN

SSL VPN tworzy bezpieczne połączenie z przeglądarki komputera osobistego do serwera aplikacji. W większości przypadków jest to serwer pośredniczący, rzadziej końcowa aplikacja.

Zaletą systemu jest wykorzystywanie do tworzenia tunelu VPN wyłącznie przeglądarki internetowej. Nie ma potrzeby instalowania oprogramowania klienckiego, a SSL VPN może zostać wykorzystany w każdym miejscu. Wadę rozwiązania mogą stanowić problemy z dostępem do aplikacji, które nie są przystosowane do pracy przez interfejs przeglądarki internetowej.

Ponieważ SSL VPN jest ruchem www, dodatkowym problemem jest zapewnienie jakości pakietów (Quality of Services), czy realizacji usług głosowych. Oprogramowanie takie jak FTP lub TELNET nie będzie bezpośrednio wspierane, więc będziemy musieli wykorzystać aplet przekazujący ruch od prawidłowego portu TCP i uzyskanie dostępu tą drogą. Ruch "multicast" niestety nie będzie pracował poprawnie.

IPSec

IPSec zestawia tunel pomiędzy zdalną stroną - zdalnym użytkownikiem z zainstalowanym oprogramowaniem klienckim lub zdalną siecią terminującą tunel dla zdalnej lokalizacji - a stroną centralną. Nawiązanie połączenia umożliwia dostęp do każdej aplikacji, niezależnie od możliwości przystosowania do pracy przez przeglądarkę.

Jak sugeruje nazwa, IPSec został stworzony dla ruchu IP. Jeżeli chcielibyśmy więc przesyłać tunelem ruch nie-IP, należy skonfigurować tunel GRE i uruchomić IPSec ponad tunelowaniem GRE. Otrzymujemy w tym przypadku także wsparcie ruchu "multicast".

MPLS

Nie należy zapominać o MPLS VPN. Nie jest to dobra metoda zdalnego dostępu dla indywidualnych użytkowników, ale dla połączeń typu lokalizacja-do-lokalizacji jest to najbardziej elastyczna i skalowalna opcja. Cała praca jest wykonywana na poziomie warstwy sieciowej - użytkownicy widzą wyłącznie standardowe połączenie sieciowe - wspierającej zarządzenie jakością pakietów (Quality of Service) oraz ruch "multicast". Nie musimy się więc martwić o aplikacje do których użytkownicy powinni mieć dostęp. Oczywiście sieci MPLS nie są łatwe do konfiguracji, a ich budowa jest kosztowna.

Rozwiązania dla zdalnych użytkowników

Dla indywidualnych użytkowników, którzy mogą przemieszczać się lub potrzebują dostępu z hoteli i internetowych kawiarenek, można zapomnieć o MPLS. IPSec będzie bardzo dobrym rozwiązaniem jeżeli mamy kontrolę nad komputerem osobistym użytkownika i możemy zarządzać konfiguracją i aktualizacją klienta VPN. Jest to także jedyne rozwiązanie dla pracowników wsparcia IT lub pracowników, którzy potrzebują dostępu do szerokiego spektrum aplikacji i usług. IPSec jest rozwiązaniem dobrze skalowalnym, natomiast koncentrator VPN w centralnym miejscu pozwala na łatwe administrowanie.

Połączenia SSL są dobrym rozwiązaniem dostępu dla obcych komputerów - partnerzy, komputery przyłączone do publicznego Internetu - ponieważ nie wymagają oprogramowania klienckiego. Jeżeli użytkownicy potrzebują dostępu wyłącznie do aplikacji opartych o interfejs przeglądarki, rozwiązanie SSL VPN jest łatwe, szybkie i tanie. Jeżeli posiadamy dostęp do Internetu, posiadamy dostęp do danych. Niestety nie będzie możliwości dostępu do dowolnej aplikacji, której w danym momencie potrzebujemy.

Zdalne sieci

Jeżeli posiadamy wielu użytkowników w jednej lokalizacji, SSL VPN nie będzie dobrym rozwiązaniem. Bardziej efektywne będzie utworzenie bezpiecznego połączenia od zdalnego biura do centrali. Jeżeli planowana architektura przewiduje dostęp wszystkich zdalnych lokalizacji do jednego centralnego punktu - IPSec będzie najlepszym wyborem. Nie trzeba w tym przypadku wykorzystywać oprogramowania klienckiego.

Jeżeli każda zdalna lokalizacja musi komunikować się z każdą pozostałą lokalizacją, to budowa takiej kratowej architektury będzie dość skomplikowana. Problemy pojawią się szczególnie w przypadkach, gdy będziemy potrzebowali konfigurować tunele GRE dla ruchu nie-IP lub ruchu "multicast". Należy pamiętać także o tym, ze zestawiamy połączenia przez Internet, więc nie otrzymujemy żadnych gwarancji jakości transmisji (QoS) i wykupione SLA może nie być wystarczające do naszych potrzeb.

Dla dużych biur i wielu zdalnych lokalizacji wymagających zapewnienia QoS, najlepszym rozwiązaniem będzie wdrożenie MPLS VPN. Z pewnością dostawca takiej usługi zapewni odpowiedni poziom zarządzania jakością pakietów. Warto jednak pytać o możliwość transmisji ruchu "multicast".

Prawdopodobnie dopiero kilka technologii VPN zastosowanych jednocześnie, zaspokoi wszystkie potrzeby użytkowników. Nie warto forsować użycia jednej metody dostępu dla wszystkich użytkowników. Utrudni to pracę użytkownikom, a administratorom przysporzy problemów. Dobrze jest podzielić potrzeby użytkowników na kilka kategorii, dostosować każdą kategorię do technologii, a następnie wybrać rozwiązanie najbardziej dopasowane do potrzeb.