VPN 解决方案分类

微信公众号：计算机与网络安全

ID：Computer-network

紧接着网络技术的发展，VPN技术得到了广泛的应用，同时也得到了很大的发展，基于各种软硬件平台涌现了许多不同的VPN解决方案。按照不同的角度，VPN方案可以分为多种类型。

一、按VPN的应用平台分类

根据VPN的应用平台可分为：软件平台和硬件平台两类。

1、软件平台VPN

当对数据连接速率要求不高，对性能和安全性要求不强时，可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN的功能，如Open VPN、Green VPN、天行VPN等。甚至可以不需要另外购置软件，仅依靠Windows和Linux服务器、客户端操作系统就可以实现纯软件平台的VPN连接。

这类VPN网络一般性能较差，数据传输速率较低，同时在安全性方面也比较低，一般仅适用于连接用户较少的小型企业和个人用户。

2、硬件平台VPN

使用硬件平台的VPN功能可以满足企业和个人用户对高数据安全及通信性能的需求。在硬件平台VPN中，有专门的VPN设备，如网康VPN、深信服VPN等品牌的VPN网关设备，但更多是集成在交换机、【路由器】或防火墙设备中的，如华为、思科和华三等三层交换机（交换机仅支持少数VPN方案）、【路由器】和防火墙中就自带有一些VPN功能。

其实，硬件平台VPN也并不是仅需要硬件设备，对于一些移动接入用户也还是需要借助一些软件系统来实现的。通常是需要在用户主机上安装VPN客户端软件。

二、按组网模型分

按组网模型也即组网方式分，目前主要有VPDN（Virtual Private Dial Network，虚拟专用拨号网络）、VPRN（Virtual Private Routing Network，虚拟专用路由网络）、VLL（Virtual Leased Line，虚拟租用线路）和VPLS（Virtual Private LAN Service，虚拟专用局域网业务）等几种VPN解决方案。

1、VPDN方案

紧接着企业的发展和业务的不断拓展，在不同地域成立的分支机构和出差的员工往往也需要和公司总部网络建立快速、安全和可靠的网络连接，以实现资源共享。传统的拨号网络需要租用ISP的电话线路，申请公共的号码或IP地址，不仅产生高额的费用，而且无法为远程用户尤其是出差员工提供便利的接入服务。为了更好的利用拨号网络，方便远程用户的接入，产生了基于拨号网络的VPN，即VPDN。通过VPDN技术，远程用户和企业总部网关之间建立了一条端到端虚拟链路。

在VPDN类型中，又根据所采用的隧道技术的不同而分为以下几种VPN方案。

（1）PPTP（Point-to-Point Tunneling Protocol，点对点隧道协议） VPN

PPTP协议是在PPP协议的基础上开发的一种新的增强型安全协议，支持多协议VPN，可以通过密码验证协议（PAP）、可扩展认证协议（EAP）等方法增强安全性。可以使远程用户通过拨入ISP、直接连接Internet或其他网络安全地访问企业网。主要应用于直接通过各种Windows、Linux操作系统构建VPN网络的应用场景。

这种PPTP VPN有以下不足：只支持IP网络（不支持ATM、FR、X.25网络），只能在两端之间构建一条VPN隧道、不支持隧道验证，报文封装时的额外开销大等，目前比较少用。

（2）L2F（Layer 2 Forwarding，二层转发）VPN

L2F协议最初是由Cisco开发并专用，于1998年提交给IETF，成为RFC2341，是基于PPP或SLIP（Serial Line Internet Protocol，串行线路网际协议）协议的一种扩展应用，可以基于PPP或SLIP拨号网络在公共的IP、ATM、FR等网络基础上构建一条虚拟隧道，但这种协议不支持数据加密标准，所以这个协议已经很少用了。

（3）L2TP（Layer 2 Tunneling Protocol，二层隧道协议）VPN

L2TP协议可以说是L2F协议的改进版，同时也结合了PPTP协议的一些优点，所以它也是PPP协议的一种扩展应用。它不仅支持多种公共网络协议（如IP、ATM、FR等），还支持隧道验证功能，支持在两个端点间构建多条VPN隧道，是目前应用最广泛的一种二层隧道协议。但它的安全保护措施仍然不是很好，与PPTP、L2F协议一样，既不支持对隧道中传输的数据进行加密保护，也不能对所接收的数据进行完全性验性和身份检查。所以假如想要部署更安全的L2TP VPN，通常还是要与IPSec结构，构建L2TP over IPSec VPN。

VPDN利用公共网络的拨号功能及接入网，为企业、小型ISP和移动办公人员提供拨号VPN远程接入服务。VPDN方案中，用户可以使用私有IP地址，接入技术也可使用广泛使用的PSTN（Public Switched Telephone Network，公共交换电话网络）、ISDN （Integrated Services Digital Network，综合业务数字网）、xDSL，甚至像L2TP还支持光纤以太网接入方式，使得用户在进行VPN方案建设时投资少、周期短，网络运行费用低。

VPDN还具有灵活的身份认证机制和网络计费方式（利用AAA功能），以及较高的安全性，并支持动态IP地址分配。此外，VPDN虽然采用的是二层隧道协议，但像L2F、L2TP一样都能支持多种三层网络协议。

2、VPRN方案

VPRN是总部、分支机构和远端办公室内部网络之间通过公共网络管理虚拟设备互连，属于站点到站点（Site-to-Site）的远程网络连接。VPRN数据包的转发是在网络层实现的，公共网络的每个VPN节点需要为每个VPN建立专用路由转发表，包含网络层可达性信息。数据流在公共网络的VPN节点之间的转发以及VPN节点和用户站点之间的转发都是基于这些专用路由转发表。

根据所使用的隧道协议的不同，VPRN方案包括多种VPN类型，例如GRE VPN、IPSec VPN、DSVPN（Dynamic Smart VPN，动态智能VPN）、SSL（Secure Sockets Layer，安全套接字层）VPN、MPLS L3VPN（三层VPN）等。

3、VLL方案

传统的二层隧道是通过二层的交换技术来实现的，比如X.25、FR、ATM网络，通过对应二层设备来完成用户节点间二层隧道的建立。由于使用了不同的二层协议，因此不同种二层网络是隔离的。MPLS标签技术的产生，为建立统一兼容的二层交换网络提供了可能。可以把MPLS理解成为一个特殊的二层协议，也就是说在原有的各种二层封装基础上再进行MPLS封装。

VLL技术就是一种建立在MPLS技术上的二层隧道技术，是对传统租用专线业务的仿真，使用IP网络模拟租用线，提供非对称、低成本的DDN（Digital Data Network，数字数据网络）业务。从虚拟租用线两端的用户来看，该虚拟租用线近似于传统的租用线，能够支持几乎所有的链路层协议，解决了不同网络介质不能相互通信的问题，主要是在接入层和汇聚层使用。但它不能直接在服务商处进行多点间的业务交换。

4、VPLS方案

VPLS是公共网络中提供的一种点到多点的L2VPN（二层VPN）业务，使地域上隔离的用户站点能通过LAN/WAN相连，并且使各个站点间的连接效果像在一个LAN中一样。

VPLS也是一种基于以太网和MPLS标签交换的二层VPN技术，结合了以太网技术和MPLS技术的优势，是对传统LAN全部功能的仿真，可以实现多点通信。

三、按业务用途分

根据VPN应用的业务类型来分，VPN方案可分为：Intranet VPN、Access VPN与Extranet VPN三类，但更多情况下是需要同时用到这三种VPN网络类型，特别是对于大型企业，因为在这类用户中不仅有站点到站点的网络互联需求，也有移动用户的端到端（End-to-End）或者端到站点（End-to-Site）的接入需求。

1、Access VPN（远程访问虚拟专网）

Access VPN（远程访问虚拟专网）又称为拨号VPN（即前面介绍的VPDN），是指企业员工或企业的小分支机构通过公共网络远程拨号的方式构建的虚拟专用网。假如企业的内部人员有移动办公需要，或者商家要提供B2C（企业到客户）的安全访问服务，就可以考虑使用Access VPN。

Access VPN