cq9电子·(中国)官方网站

  根据构建VPN的基础网络平台的层次不同，可以将VPN划分为二层VPN，比如利用VLAN在以太网络上实现多个虚拟网络;三层VPN，比如利用IPSec 实现VPN等;四层VPN，比如利用SSL技术构建VPN。至于在国内应用较多的基于TDM技术实现数据网络，比如DDN等，则一般将其称为数据专网，而不再将其纳入VPN的概念，尽管数据专网也是在电信运营商提供的统一的数据网络平台上利用时分复用等技术构建的虚拟的用户专用网络。

  鏈路加密機實現VPN

  鏈路加密機指的是針對具體的鏈路層協議提供數據加密功能的設備，比如ATM加密機、幀中繼加密機、DDN加密機等。加密機的特點是必須在鏈路兩端配對使用，比如一個企業租用一條64K的鏈路，那麽必須在鏈路兩端分別部署加密機。利用鏈路加密機可以實現鏈路兩端的網絡之間通信的保密性，但是其組網方式也因此受到限制，不能實現任意兩點之間靈活的加密保護。

  隨著Internet和寬帶網絡的發展，鏈路加密機已經不適合在Internet和寬帶網絡環境下應用了，因爲企業利用Internet構建Intranet時，企業兩個分支機構之間網絡連接可能會跨越很多種鏈路，比如一方接入利用ADSL，然後通過運營商的骨幹ATM網絡達到另外一段城域網，在這樣的網絡環境下利用鏈路加密機實現端到端的網絡保護是不可能的。

  基于IPSec 的VPN

  基于IPSec的VPN主要目的是解决网络通信的安全性和利用开放的Internet实现异地的局域网络之间的虚拟连接，IPSec VPN既可以在IPv4网络也可以在IPv6网络中部署。图1是典型的基于IPSec的VPN组网模式，其中体现了移动用户接入VPN(Access VPN)、企业分支机构同总部之间构建的Intranet VPN，以及企业同合作伙伴之间构建的Extranet VPN。

  基于IPSec的VPN不依赖于网络接入方式，它可以在任意基础网络上部署，而且可以实现端到端的安全保护，即两个异地局域网络的出口上只要部署了基于IPSec 的网关设备，那么不管采用何种广域网络都能够保证两个局域网络安全地互联在一起。

  基于SSL的VPN

  SSL (Secure Socket Layer，安全套接字层)是Netscape公司开发的协议软件，目的是保护HTTP协议，但是这个协议本身可以保护任何一种基于TCP协议的应用。

  基于SSL也可以構建VPN，因爲SSL在Socket層上實施安全措施，因此它可以針對具體的應用實施安全保護，目前應用最多的就是利用SSL實現對Web應用的保護。

  在应用服务器前面需要部署一台SSL服务器，它负责接入各个分布的SSL客户端。这种应用模式也是SSL主要的应用模式，类似于IPSec VPN中的Access VPN模式，如果企业分布的网络环境下只有这种基于C/S或B/S架构的应用，不要求各分支机构之间的计算机能够相互访问，则可以选择利用SSL构建简单的VPN。具备这种应用模式的企业有：证券公司为股民提供的网上炒股，金融系统的网上银行，中小企业的ERP等。

  基于SSL的VPN部署起來非�：唵危恍枰惶ǚ⻊掌骱腿魩挚蛻舳塑浖�。

  基于MPLS的VPN

  MPLS(Multi Protocol Label Switch，多协议标签交换)协议设计的目的是希望利用三层以太网交换机一次路由多次转发的思想，用来提高路由器的转发性能，其基本的原理则是在报文中增加一个TAG字段，在数据报文经过的路径上的设备根据该标签决定下一步的转发方向。这是完全不同于传统路由器通过查路由表确定数据报文下一步转发方向的方法，路径上的路由转发设备需要运行LDP标签分发协议，来相互通知对不同TAG的处理办法。利用MPLS协议，可以在纯粹的IP网络上实现虚拟专用网络，但是此虚拟专用网络不能保证用户数据的安全性。

  利用MPLS构建的VPN网络需要全网的设备都支持MPLS协议，而IPSec VPN则仅仅需要部署在网络边缘上的设备具备IPSec协议的支持即可，从这一点上来看，IPSec VPN非常适合企业用户在公共IP网络上构建自己的虚拟专用网络，而MPLS则只能由运营商进行统一部署。这种建立VPN的方式有一点利用IP网络模拟传统的DDN/FR等专线网络的味道，因为在用户使用MPLS VPN之前，需要网络运营者根据用户的需求在全局的MPLS网络中为用户设定通道。MPLS VPN隧道划分的原理是网络中MPLS路由器利用数据包自身携带的通道信息来对数据进行转发，而不再向传统的路由器那样要根据IP包的地址信息来匹配路由表查找转发路径。这种做法可以减少路由器寻址的时间，而且能够实现资源预留保证制定VPN通道的服务质量。

  MPLS本身不能提供對數據的安全性，MPLS協議封裝的數據沒有經過任何的加密處理，僅僅是在報文中增加一個TAG標識，這個標識被路由設備用來進行數據鏈路的識別和對數據的快速轉發使用。

  MPLS更适合运营商部署，而不适合企业用户自己建设，运营商部署了MPLS网络之后，可以向企业用户提供具有服务质量保证的网络传输服务。但是如果用户希望保障自己的数据在网络传输中的安全性还是需要借助IPSec VPN或者SSL VPN来实现。

  基于L2TP的VPN

  L2TP协议由 IETF 起草，微软、 Ascend 、Cisco、 3Com 等公司参与。该协议结合了众多公司支持的PPTP(Point to Point Tunneling Protocol，点对点隧道协议)，和 Cisco、北方电信等公司支持的 L2F(Layer 2 Forwarding，二层转发协议)。 L2TP(Layer 2 Tunneling Protocol，二层隧道协议)结合了上述两个协议的优点，将很快地成为 IETF 有关二层隧道协议的工业标准。 L2TP 作为更优更新的标准，已经得到了诸多厂商的支持，将是使用最广泛的 VPN 协议。

  利用L2TP來構建企業的VPN，一樣需要運營商支持，因爲LAC一般是在傳統電話交換網絡中部署的，並且一個公司的分支機構以及移動辦公的員工在地域上分布很廣，所以需要各地的運營商都具備LAC才能夠實現企業大範圍構建VPN網絡。當然企業也可以構建自己的基于L2TP的VPN網絡。

  在L2TP VPN中，用户端的感觉就像是利用PPP协议直接接到了企业总部的PPP端接设备上一样，其地址分配可以由企业通过DHCP来分配，认证方式可以沿用PPP一直沿用的各种认证方式，并且L2TP是IETF定义的，其MIB库也将定义出来从而可以实现全局的网络管理。