什么是VPN?

術(shù)語(yǔ)名稱：VPN

術(shù)語(yǔ)解釋：虛擬專用網(wǎng)的縮寫，是使用互聯(lián)網(wǎng)連接物理上分散的系統(tǒng)來(lái)模擬單一專用網(wǎng)的安全方式。VPN支持遠(yuǎn)程和移動(dòng)用戶訪問公司網(wǎng)絡(luò)。
?
VPN的英文全稱是“Virtual Private Network”，翻譯過來(lái)就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)可以把它理解成是虛擬出來(lái)的企業(yè)內(nèi)部專線。

　VPN可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購(gòu)買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，在交換機(jī)，防火墻設(shè)備或Windows 2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。
　　虛擬專用網(wǎng)（VPN）被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
網(wǎng)絡(luò)協(xié)議
　　VPN主要采用的四項(xiàng)安全保證技術(shù)
　　VPN主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。
　　常用的虛擬私人網(wǎng)絡(luò)協(xié)議有：
　　IPSec : IPsec(縮寫IP Security)是保護(hù)IP協(xié)議安全通信的標(biāo)準(zhǔn)，它主要對(duì)IP協(xié)議分組進(jìn)行加密和認(rèn)證。
　　IPsec作為一個(gè)協(xié)議族（即一系列相互關(guān)聯(lián)的協(xié)議）由以下部分組成：(1)保護(hù)分組流的協(xié)議；(2)用來(lái)建立這些安全分組流的密鑰交換協(xié)議。前者又分成兩個(gè)部分：加密分組流的封裝安全載荷（ESP）及較少使用的認(rèn)證頭（AH），認(rèn)證頭提供了對(duì)分組流的認(rèn)證并保證其消息完整性，但不提供保密性。目前為止，IKE協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。
　　PPTP: Point to Point Tunneling Protocol -- 點(diǎn)到點(diǎn)隧道協(xié)議
　　在因特網(wǎng)上建立IP虛擬專用網(wǎng)（VPN）隧道的協(xié)議，主要內(nèi)容是在因特網(wǎng)上建立多協(xié)議安全虛擬專用網(wǎng)的通信方式。
　　L2F: Layer 2 Forwarding -- 第二層轉(zhuǎn)發(fā)協(xié)議
　　L2TP: Layer 2 Tunneling Protocol --第二層隧道協(xié)議
　　GRE：VPN的第三層隧道協(xié)議
使用方法
　　一.便攜網(wǎng)帳號(hào)申請(qǐng)開通
　　企業(yè)向運(yùn)營(yíng)商申請(qǐng)租用一批便攜網(wǎng)使用帳號(hào)（即license，譯：許可證）,由企業(yè)自行管理分配帳號(hào)。企業(yè)管理員可以將需要使用便攜網(wǎng)的各個(gè)部門，成立不同的VCN域，即不同的工作組，比如可分為財(cái)務(wù)、人事、市場(chǎng)、外聯(lián)部等等。同一工作組內(nèi)的成員可以互相通訊，既加強(qiáng)了成員之間的聯(lián)絡(luò)，又保證了數(shù)據(jù)的安全。而各個(gè)工作組之間不能互相通訊，保證了企業(yè)內(nèi)部數(shù)據(jù)的安全。
　　二．便攜網(wǎng)客戶端安裝
　　1．系統(tǒng)需求
　　表—列出了在裝有Microsoft Windows操作系統(tǒng)的計(jì)算機(jī)上安裝便攜網(wǎng)絡(luò)客戶端軟件（yPND：your Portable Network Desktop）的最小系統(tǒng)要求。計(jì)算機(jī)必須符合或好于最小系統(tǒng)要求才能成功的安裝和使用便攜網(wǎng)絡(luò)客戶端軟件
　　2.預(yù)安裝
　　為成功安裝 便攜網(wǎng)絡(luò)客戶端 軟件必須確保滿足下列情況：
　　? 計(jì)算機(jī)符合“系統(tǒng)需求”表所列的最小系統(tǒng)要求。
　　安裝程序時(shí)會(huì)檢查系統(tǒng)是否符合要求，如果不滿足就不能繼續(xù)安裝，必須使系統(tǒng)符合要求才能安裝。
　　· 必須有計(jì)算機(jī)的系統(tǒng)管理員權(quán)限才能安裝。
特點(diǎn)
　　1.安全保障雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問。
　　2.服務(wù)質(zhì)量保證（QoS）
　　VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。
　　3.可擴(kuò)充性和靈活性
　　VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。
　　4.可管理性
　　從用戶角度和運(yùn)營(yíng)商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。
需求及解決方案
　　虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的壓網(wǎng)絡(luò)上，一個(gè)企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時(shí)，這將簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理，加速連接新的用戶和網(wǎng)站。另外，虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
　　目前很多單位都面臨著這樣的挑戰(zhàn)：分公司、經(jīng)銷商、合作伙伴、客戶和外地出差人員要求隨時(shí)經(jīng)過公用網(wǎng)訪問公司的資源,這些資源包括:公司的內(nèi)部資料、辦公OA、ERP系統(tǒng)、CRM系統(tǒng)、項(xiàng)目管理系統(tǒng)等。現(xiàn)在很多公司通過使用IPSec VPN來(lái)保證公司總部和分支機(jī)構(gòu)以及移動(dòng)工作人員之間安全連接。
　　針對(duì)不同的用戶要求，VPN有三種解決方案：遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（Extranet VPN），這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet（外部擴(kuò)展）相對(duì)應(yīng)。
　　對(duì)于很多IPSec VPN用戶來(lái)說，IPSec VPN的解決方案的高成本和復(fù)雜的結(jié)構(gòu)是很頭疼的。存在如下事實(shí)：在部署和使用軟硬件客戶端的時(shí)候，需要大量的評(píng)價(jià)、部署、培訓(xùn)、升級(jí)和支持，對(duì)于用戶來(lái)說，這些無(wú)論是在經(jīng)濟(jì)上和技術(shù)上都是個(gè)很大的負(fù)擔(dān)，將遠(yuǎn)程解決方案和昂貴的內(nèi)部應(yīng)用相集成，對(duì)任何IT專業(yè)人員來(lái)說都是嚴(yán)峻的挑戰(zhàn)。由于受到以上IPSec VPN的限制，大量的企業(yè)都認(rèn)為IPSec VPN是一個(gè)成本高、復(fù)雜程度高，甚至是一個(gè)無(wú)法實(shí)施的方案。為了保持競(jìng)爭(zhēng)力，消除企業(yè)內(nèi)部信息孤島，很多公司需要在與企業(yè)相關(guān)的不同的組織和個(gè)人之間傳遞信息，所以很多公司需要找一種實(shí)施簡(jiǎn)便，不需改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，運(yùn)營(yíng)成本低的解決方案。
　　---- 從概念上講，IP-VPN是運(yùn)營(yíng)商(即服務(wù)提供者)支持企業(yè)用戶應(yīng)用的方案。一個(gè)通用的方法可以適用于由一個(gè)運(yùn)營(yíng)商來(lái)支持的、涉及其他運(yùn)營(yíng)商網(wǎng)絡(luò)的情況（如運(yùn)營(yíng)商的運(yùn)營(yíng)商）。
　　---- 圖1給出了實(shí)現(xiàn)IP-VPN的一個(gè)通用方案。其中，CE路由器是用于將一個(gè)用戶站點(diǎn)接入服務(wù)提供者網(wǎng)絡(luò)的用戶邊緣路由器。而PE路由器則是與用戶CE路由器相連的、服務(wù)提供者的邊緣路由器。
　　---- 站點(diǎn)是指這樣一組網(wǎng)絡(luò)或子網(wǎng)，它們是用戶網(wǎng)絡(luò)的一部分，并且通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點(diǎn)，一個(gè)站點(diǎn)可以同時(shí)位于不同的幾個(gè)VPN之中。
　　---- 圖2顯示了一個(gè)服務(wù)提供者網(wǎng)絡(luò)支持多個(gè)VPN的情況。如圖2所示，一個(gè)站點(diǎn)可以同時(shí)屬于多個(gè)VPN。依據(jù)一定的策略，屬于多個(gè)VPN的站點(diǎn)既可以在兩個(gè)VPN之間提供一定的轉(zhuǎn)發(fā)能力，也可以不提供這種能力。當(dāng)一個(gè)站點(diǎn)同時(shí)屬于多個(gè)VPN時(shí)，它必須具有一個(gè)在所有VPN中唯一的地址空間。
　　---- MPLS為實(shí)現(xiàn)IP-VPN提供了一種靈活的、具有可擴(kuò)展性的技術(shù)基礎(chǔ)，服務(wù)提供者可以根據(jù)其內(nèi)部網(wǎng)絡(luò)以及用戶的特定需求來(lái)決定自己的網(wǎng)絡(luò)如何支持IP-VPN。所以，在MPLS/ATM網(wǎng)絡(luò)中,有多種支持IP-VPN的方法，本文介紹其中兩種方法。
　　方案一
　　---- 本節(jié)介紹一種在公共網(wǎng)中使用MPLS提供IP?VPN業(yè)務(wù)的方法。該方法使用LDP的一般操作方式，即拓?fù)潋?qū)動(dòng)方式來(lái)實(shí)現(xiàn)基本的LSP建立過程，同時(shí)使用兩級(jí)LSP隧道(標(biāo)記堆棧)來(lái)支持VPN的內(nèi)部路由。
　　---- 圖3 給出了在MPLS/ATM核心網(wǎng)絡(luò)中提供IP?VPN業(yè)務(wù)的一種由LER和LSR構(gòu)成的網(wǎng)絡(luò)配置。
　　---- LER (標(biāo)記邊緣路由器)
　　---- LER是MPLS的邊緣路由器，它位于MPLS/ATM服務(wù)提供者網(wǎng)絡(luò)的邊緣。 對(duì)于VPN用戶的IP業(yè)務(wù)量，LER將是VPN隧道的出口與入口節(jié)點(diǎn)。如果一個(gè)LER同時(shí)為多個(gè)用戶所共享，它還應(yīng)當(dāng)具有執(zhí)行虛擬路由的能力。這就是說，它應(yīng)當(dāng)為自己服務(wù)的各個(gè)VPN分別建立一個(gè)轉(zhuǎn)發(fā)表，這是因?yàn)椴煌琕PN的IP地址空間可能是有所重疊的。
　　---- LSR(標(biāo)記交換路由器)
　　---- MPLS/ATM核心網(wǎng)絡(luò)是服務(wù)提供者的下層網(wǎng)絡(luò)，它為用戶的IP-VPN業(yè)務(wù)所共享。
　　---- 建立IP-VPN區(qū)域的操作
　　---- 希望提供IP-VPN的網(wǎng)絡(luò)提供者必須首先對(duì)MPLS域進(jìn)行配置。這里的MPLS域指的就是IP?VPN區(qū)域。作為一種普通的LDP操作，基本的LSP 建立過程將使用拓?fù)潋?qū)動(dòng)方法來(lái)進(jìn)行，這一過程被定義為使用基本標(biāo)記的、基本的或是單級(jí)LSP建立。而對(duì)于VPN內(nèi)部路由，則將使用兩級(jí)LSP隧道（標(biāo)記堆棧）。
　　---- VPN成員
　　---- 每一個(gè)LER都有一個(gè)任務(wù)，即發(fā)現(xiàn)在VPN區(qū)域中為同一 IP?VPN服務(wù)的其他所有LER。由于本方案最終目的是要建立第二級(jí)MPLS隧道，所以 LER發(fā)現(xiàn)對(duì)等實(shí)體的過程也就是LDP會(huì)話初始化的過程。每一個(gè)LER沿著能夠到達(dá)其他 LER的每一條基本網(wǎng)絡(luò)LSP，向下游發(fā)送一個(gè)LDP Hello消息。LDP Hello消息中會(huì)包含一個(gè)基本的MPLS標(biāo)記，以方便這些消息能夠最終到達(dá)目的LER。
　　---- LDP Hello消息實(shí)際上是一種查詢消息，通過這一消息，發(fā)送方可以獲知在目的LER處是否存在與發(fā)送方LSR同屬一個(gè)VPN的LER（對(duì)等實(shí)體）。新的Hello消息相鄰實(shí)體注冊(cè)完成之后，相關(guān)的兩個(gè)LER之間將開始發(fā)起LDP會(huì)話。隨后，其中一個(gè)LER將初始化與對(duì)方的TCP連接。當(dāng)TCP連接建立完成而且必要的初始化消息交互也完成之后，對(duì)等LER之間的會(huì)話便建立起來(lái)了。此后，雙方各自為對(duì)方到自己的LSP 隧道提供一個(gè)標(biāo)記。如果LSP隧道是嵌套隧道，則該標(biāo)記將被推入標(biāo)記棧中，并被置于原有的標(biāo)記之上。
　　---- VPN成員資格和可到達(dá)性信息的傳播
　　---- 通過路由信息的交換，LER可以學(xué)習(xí)與之直接相連的、用戶站點(diǎn)的IP地址前綴。LER需要找到對(duì)等LER，還需要找到在一個(gè)VPN中哪些LER 是為同一個(gè)VPN服務(wù)的。LER將與其所屬的VPN區(qū)域中其他的LER建立直接的LDP會(huì)話。換言之，只有支持相同VPN的LER之間才能成功地建立LDP會(huì)話。
　　---- VPN內(nèi)的可到達(dá)性
　　---- 最早在嵌套隧道中傳送的數(shù)據(jù)流是LER之間的路由信息。當(dāng)一個(gè)LER被配置成一個(gè)IP?VPN的一員時(shí)，配置信息將包含它在VPN內(nèi)部要使用的路由協(xié)議。在這一過程中，還可能會(huì)配置必要的安全保密特性，以便該LER能夠成為其他LER的相鄰路由器。在VPN內(nèi)部路由方案中，每一次發(fā)現(xiàn)階段結(jié)束之后，每一個(gè)LER 都將發(fā)布通過它可以到達(dá)的、VPN用戶的地址前綴。
　　---- IP分組轉(zhuǎn)發(fā)
　　---- LER之間的路由信息交互完成之后，各個(gè)LER都將建立起一個(gè)轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表將把VPN用戶的特定地址前綴(FEC轉(zhuǎn)發(fā)等價(jià)類) 與下一跳聯(lián)系起來(lái)。當(dāng)收到的IP分組的下一跳是一個(gè)LER時(shí)，轉(zhuǎn)發(fā)進(jìn)程將首先把用于該LER的標(biāo)記（嵌套隧道標(biāo)記）推入標(biāo)記棧，隨后把能夠到達(dá)該LER的基本網(wǎng)絡(luò)LSP上下一跳的基本標(biāo)記推入標(biāo)記分組，接著帶有兩個(gè)標(biāo)記的分組將被轉(zhuǎn)發(fā)到基本網(wǎng)絡(luò)LSP中的下一個(gè)LSR；當(dāng)該分組到達(dá)目的LER時(shí)，最外層的標(biāo)記可能已經(jīng)發(fā)生許多次的改變，而嵌套在內(nèi)部的標(biāo)記始終保持不變；當(dāng)標(biāo)記棧彈出后，繼續(xù)使用嵌套標(biāo)記將分組發(fā)送至正確的LER。在LER上，每一個(gè)VPN使用的嵌套標(biāo)記空間必須與該LER所支持的其他所有VPN使用的嵌套標(biāo)記空間不同。
　　方案二
　　---- 本節(jié)將對(duì)一種在公共網(wǎng)中使用MPLS和多協(xié)議邊界網(wǎng)關(guān)協(xié)議來(lái)提供IP-VPN業(yè)務(wù)的方法進(jìn)行介紹，其技術(shù)細(xì)節(jié)可以參見RFC 2547。
　　---- 圖1 給出了在MPLS/ATM核心網(wǎng)絡(luò)中提供IP?VPN業(yè)務(wù)的、由LER和LSR構(gòu)成的網(wǎng)絡(luò)配置，圖4則給出了使用RFC 2547的網(wǎng)絡(luò)模型。
　　---- 提供者邊緣(PE)路由器
　　---- PE路由器是與用戶路由器相連的服務(wù)提供者邊緣路由器。
　　---- 實(shí)際上它就是一個(gè)邊緣LSR（即MPLS網(wǎng)絡(luò)與不使用 MPLS的用戶或服務(wù)提供者之間的接口）。
　　---- 用戶邊緣 (CE)路由器
　　---- CE路由器是用于將一個(gè)用戶站點(diǎn)接至PE路由器的用戶邊緣路由器。在這一方案中，CE路由器不使用MPLS，它只是一臺(tái)IP路由器。CE不必支持任何VPN的特定路由協(xié)議或信令。
　　---- 提供者(P)路由器
　　---- P路由器是指網(wǎng)絡(luò)中的核心LSR。
　　---- 站點(diǎn)（Site）
　　---- 站點(diǎn)是指這樣一組網(wǎng)絡(luò)或子網(wǎng)：它們是用戶網(wǎng)絡(luò)的一部分，通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點(diǎn)。一個(gè)站點(diǎn)可以同時(shí)位于不同的幾個(gè)VPN之中。
　　---- 路徑區(qū)別標(biāo)志
　　---- 服務(wù)提供者將為每一個(gè)VPN分配一個(gè)唯一的標(biāo)志符，該標(biāo)志符稱為路徑區(qū)別標(biāo)志（RD）,它對(duì)應(yīng)于服務(wù)提供者網(wǎng)絡(luò)中的每一個(gè)Intranet或Extranet 都是不同的。PE路由器中的轉(zhuǎn)發(fā)表里將包含一系列唯一的地址，這些地址稱為VPN?IP 地址，它們是由RD與用戶的IP地址連接而成的。VPN?IP地址對(duì)于服務(wù)提供者網(wǎng)絡(luò)中的每一個(gè)端點(diǎn)都是唯一的，對(duì)于VPN中的每一個(gè)節(jié)點(diǎn)（即VPN中的每一個(gè)PE路由器），轉(zhuǎn)發(fā)表中都將存儲(chǔ)有一個(gè)條目。
　　---- 連接模型
　　---- 圖4給出了MPLS/BGP VPN的連接模型。
　　---- 從圖4中可以看出，P路由器位于MPLS網(wǎng)絡(luò)的核心。 PE路由器將使用MPLS與核心MPLS網(wǎng)絡(luò)通信，同時(shí)使用IP路由技術(shù)來(lái)與CE路由器通信。 P與PE路由器將使用IP路由協(xié)議（內(nèi)部網(wǎng)關(guān)協(xié)議）來(lái)建立MPLS核心網(wǎng)絡(luò)中的路徑，并且使用LDP實(shí)現(xiàn)路由器之間的標(biāo)記分發(fā)。
　　---- PE路由器使用多協(xié)議BGP?4來(lái)實(shí)現(xiàn)彼此之間的通信，完成標(biāo)記交換和每一個(gè)VPN策略。除非使用了路徑映射標(biāo)志（route reflector），否則PE 之間是BGP全網(wǎng)狀連接。特別地，圖4中的PE處于同一自治域中，它們之間使用內(nèi)部BGP （iBGP）協(xié)議。
　　---- P路由器不使用BGP協(xié)議而且對(duì)VPN一無(wú)所知，它們使用普通的MPLS協(xié)議與進(jìn)程。
　　---- PE路由器可以通過IP路由協(xié)議與CE路由器交換IP路徑，也可以使用靜態(tài)路徑。在CE與PE路由器之間使用普通的路由進(jìn)程。CE路由器不必實(shí)現(xiàn)MPLS或?qū)PN有任何特別了解。
　　---- PE路由器通過iBGP將用戶路徑分發(fā)到其他的PE路由器。為了實(shí)現(xiàn)路徑分發(fā)，BGP使用VPN-IP地址（由RD和IPv4地址構(gòu)成）。這樣，不同的VPN可以使用重疊的IPv4地址空間而不會(huì)發(fā)生VPN-IP地址重復(fù)的情況。
　　---- PE路由器將BGP計(jì)算得到的路徑映射到它們的路由表中，以便把從CE路由器收到的分組轉(zhuǎn)發(fā)到正確的LSP上。
　　---- 這一方案使用兩級(jí)標(biāo)記：內(nèi)部標(biāo)記用于PE路由器對(duì)于各個(gè)VPN的識(shí)別，外部標(biāo)記則為MPLS網(wǎng)絡(luò)中的LSR所用——它們將使用這些標(biāo)記把分組轉(zhuǎn)發(fā)給正確的PE。
　　---- 建立IP-VPN區(qū)域的操作
　　---- 希望提供IP-VPN業(yè)務(wù)的網(wǎng)絡(luò)提供者必須按照連接需求對(duì)網(wǎng)絡(luò)進(jìn)行設(shè)計(jì)與配置，這包括：PE必須為其支持的VPN以及與之相連的CE所屬的VPN 進(jìn)行配置；MPLS網(wǎng)絡(luò)或者是一個(gè)路徑映射標(biāo)志中的PE路由器之間必須進(jìn)行對(duì)等關(guān)系的配置；為了與CE進(jìn)行通信，還必須進(jìn)行普通的路由協(xié)議配置；為了與MPLS核心網(wǎng)絡(luò)進(jìn)行通信，還必須進(jìn)行普通的MPLS配置（如LDP、IGP）。另外，P路由器除了要求能夠支持MPLS之外，還要能夠支持VPN。
　　>---- VPN成員資格和可到達(dá)性信息的傳播
　　---- PE路由器使用IP路由協(xié)議或者是靜態(tài)路徑的配置來(lái)交換路由信息，并且通過這一過程獲得與之直接相連的用戶網(wǎng)站IP地址前綴。
　　---- PE路由器通過與其BGP對(duì)等實(shí)體交換VPN-IP地址前綴來(lái)獲得到達(dá)目的VPN站點(diǎn)的路徑。另外，PE路由器還要通過BGP與其PE路由器對(duì)等實(shí)體交換標(biāo)記，以此確定PE路由器間連接所使用的LSP。這些標(biāo)記用作第二級(jí)標(biāo)記，P 路由器看不到這些標(biāo)記。
　　---- PE路由器將為其支持的每一個(gè)VPN分別建立路由表和轉(zhuǎn)發(fā)表，與一個(gè)PE路由器相連的CE路由器則根據(jù)該連接所使用的接口選擇合適的路由表。
　　---- IP分組轉(zhuǎn)發(fā)
　　---- PE之間的路由信息交換完成之后，每一個(gè)PE都將為每一個(gè)VPN建立一個(gè)轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表將把VPN用戶的特定地址前綴與下一跳PE路由器聯(lián)系起來(lái)。
　　---- 當(dāng)收到發(fā)自CE路由器的IP分組時(shí)，PE路由器將在轉(zhuǎn)發(fā)表中查詢?cè)摲纸M對(duì)應(yīng)的VPN。
　　---- 如果找到匹配的條目，路由器將執(zhí)行以下操作：
　　---- 如果下一跳是一個(gè)PE路由器，轉(zhuǎn)發(fā)進(jìn)程將首先把從路由表中得到的、該P(yáng)E路由器所對(duì)應(yīng)的標(biāo)記（嵌套隧道標(biāo)記）推入標(biāo)記棧；PE路由器把基本的標(biāo)記推入分組，該標(biāo)記用于把分組轉(zhuǎn)發(fā)到到達(dá)目的PE路由器的、基本網(wǎng)絡(luò)LSP上的第一跳；帶有兩級(jí)標(biāo)記的分組將被轉(zhuǎn)發(fā)到基本網(wǎng)絡(luò)LSP上的下一個(gè)LSR。
　　---- P路由器（LSR）使用頂層標(biāo)記及其路由表對(duì)分組繼續(xù)進(jìn)行轉(zhuǎn)發(fā)。當(dāng)該分組到達(dá)目的LER時(shí)，最外層的標(biāo)記可能已發(fā)生多次改變，而嵌套在內(nèi)部的標(biāo)記保持不變。
　　---- 當(dāng)PE收到分組時(shí)，它使用內(nèi)部標(biāo)記來(lái)識(shí)別VPN。此后， PE將檢查與該VPN相關(guān)的路由表，以便決定對(duì)分組進(jìn)行轉(zhuǎn)發(fā)所要使用的接口。
　　---- 如果在VPN路由表中找不到匹配的條目，PE路由器將檢查Internet路由表（如果網(wǎng)絡(luò)提供者具備這一能力）。如果找不到路由，相應(yīng)分組將被丟棄。
　　---- VPN?IP轉(zhuǎn)發(fā)表中包含VPN?IP地址所對(duì)應(yīng)的標(biāo)記，這些標(biāo)記可以把業(yè)務(wù)流路由至VPN中的每一個(gè)站點(diǎn)。這一過程由于使用的是標(biāo)記而不是IP 地址，所以在企業(yè)網(wǎng)中，用戶可以使用自己的地址體系，這些地址在通過服務(wù)提供者網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)傳輸時(shí)無(wú)需網(wǎng)絡(luò)地址翻譯（NAT）。通過為每一個(gè)VPN使用不同的邏輯轉(zhuǎn)發(fā)表，不同的VPN業(yè)務(wù)將可以被分開。使用BGP協(xié)議，交換機(jī)可以根據(jù)入口選擇一個(gè)特定的轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表可以只列出一個(gè)VPN有效目的地址。
　　---- 為了建立企業(yè)的Extranet，服務(wù)提供者需要對(duì)VPN之間的可到達(dá)性進(jìn)行明確指定(可能還需要進(jìn)行NAT配置)。
　　---- 安全
　　---- 在服務(wù)提供者網(wǎng)絡(luò)中，PE所使用的每一個(gè)分組都將與一個(gè)RD相關(guān)聯(lián)，這樣，用戶無(wú)法將其業(yè)務(wù)流或者是分組偷偷送入另一個(gè)用戶的VPN。要注意的是，在用戶數(shù)據(jù)分組中沒有攜帶RD，只有當(dāng)用戶位于正確的物理端口上或擁有PE路由器中已經(jīng)配置的、適當(dāng)?shù)腞D時(shí)，用戶才能加入一個(gè)Intranet或 Extranet。這一建立過程可以保證非法用戶無(wú)法進(jìn)入VPN，從而為用戶提供與幀中繼、租用線或ATM業(yè)務(wù)相同的安全等級(jí)。
　　還有如下的說明：
　　VPN是Virtual Private Network的縮寫,中文譯為虛擬專用網(wǎng)。Virtual Network的含義有兩個(gè)，一是VPN是建立在現(xiàn)有物理網(wǎng)絡(luò)之上，與物理網(wǎng)絡(luò)具體的網(wǎng)絡(luò)結(jié)構(gòu)無(wú)關(guān)，用戶一般無(wú)需關(guān)心物理網(wǎng)絡(luò)和設(shè)備；二是VPN用戶使用VPN時(shí)看到的是一個(gè)可預(yù)先設(shè)定義的動(dòng)態(tài)的網(wǎng)絡(luò)。Private Network的含義也有兩個(gè)，一是表明VPN建立在所有用戶能到達(dá)的公共網(wǎng)絡(luò)上，特別是Internet，也包括PSTN、幀中繼、ATM等，當(dāng)在一個(gè)由專線組成的專網(wǎng)內(nèi)構(gòu)建VPN時(shí)，相對(duì)VPN這也是一個(gè)“公網(wǎng)”；二是VPN將建立專用網(wǎng)絡(luò)或者稱為私有網(wǎng)絡(luò)，確保提供安全的網(wǎng)絡(luò)連接，它必須具備幾個(gè)關(guān)鍵功能：認(rèn)證、訪問控制、加密和數(shù)據(jù)完整。
　　一個(gè)網(wǎng)絡(luò)連接一般由三個(gè)部分組成：客戶機(jī)、傳輸介質(zhì)和服務(wù)器。VPN也一樣，不同的是VPN連接使用隧道作為傳輸通道，靠的是對(duì)數(shù)據(jù)包的封裝和加密。
　　VPN是一種快速建立廣域聯(lián)接的互聯(lián)和訪問工具，也是一種強(qiáng)化網(wǎng)絡(luò)安全和管理的工具。
　　VPN建立在用戶的物理網(wǎng)絡(luò)之上、融入在用戶的網(wǎng)絡(luò)應(yīng)用系統(tǒng)之中。VPN技術(shù)涵蓋了多個(gè)技術(shù)專業(yè),不同應(yīng)用領(lǐng)域所適用的技術(shù)和產(chǎn)品有很大差異。
　　VPN技術(shù)仍在快速發(fā)展中。
SSL VPN
　　從概念角度來(lái)說，SSL VPN即指采用SSL （Security Socket Layer）協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認(rèn)證、客戶認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對(duì)于內(nèi)、外部應(yīng)用來(lái)說，使用SSL可保證信息的真實(shí)性、完整性和保密性。目前SSL 協(xié)議被廣泛應(yīng)用于各種瀏覽器應(yīng)用，也可以應(yīng)用于Outlook等使用TCP協(xié)議傳輸數(shù)據(jù)的C/S應(yīng)用。正因?yàn)镾SL 協(xié)議被內(nèi)置于IE等瀏覽器中，使用SSL 協(xié)議進(jìn)行認(rèn)證和數(shù)據(jù)加密的SSL VPN就可以免于安裝客戶端。相對(duì)于傳統(tǒng)的IPSEC VPN而言，SSL VPN具有部署簡(jiǎn)單，無(wú)客戶端，維護(hù)成本低，網(wǎng)絡(luò)適應(yīng)強(qiáng)等特點(diǎn)，這兩種類型的VPN之間的差別就類似C/S構(gòu)架和B/S構(gòu)架的區(qū)別。
　　一般而言，SSL VPN必須滿足最基本的兩個(gè)要求：
　　1. 使用SSL 協(xié)議進(jìn)行認(rèn)證和加密；沒有采用SSL 協(xié)議的VPN產(chǎn)品自然不能稱為SSL VPN，其安全性也需要進(jìn)一步考證。
　　2. 直接使用瀏覽器完成操作，無(wú)需安裝獨(dú)立的客戶端；即使使用了SSL 協(xié)議，但仍然需要分發(fā)和安裝獨(dú)立的VPN客戶端 (如Open VPN)不能稱為SSL VPN，否則就失去了SSL VPN易于部署，免維護(hù)的優(yōu)點(diǎn)了。
分類比較
　　socks5 VPN與IPSec VPN、ssl vpn特點(diǎn)比較
　　首先讓我們從SSL VPN和IPSec VPN個(gè)陣營(yíng)出發(fā)做一個(gè)比較。
　　1 SSL VPN相對(duì)于IPSec VPN的優(yōu)勢(shì)
　　1.1 SSL VPN比IPSec VPN部署、管理成本低
　　首先我們先認(rèn)識(shí)一下IPSEC存在的不足之處:
　　在設(shè)計(jì)上，IPSec VPN是一種基礎(chǔ)設(shè)施性質(zhì)的安全技術(shù)。這類VPN的真正價(jià)值在于，它們盡量提高IP環(huán)境的安全性?？蓡栴}在于，部署IPSec需要對(duì)基礎(chǔ)設(shè)施進(jìn)行重大改造，以便遠(yuǎn)程訪問。好處就擺在那里，但管理成本很高。IPSec安全協(xié)議方案需要大量的IT技術(shù)支持，包括在運(yùn)行和長(zhǎng)期維護(hù)兩個(gè)方面。在大的企業(yè)通常有幾個(gè)專門的員工為通過IPSec安全協(xié)議進(jìn)行的VPN遠(yuǎn)程訪問提供服務(wù)。
　　IPSec VPN最大的難點(diǎn)在于客戶端需要安裝復(fù)雜的軟件，而且當(dāng)用戶的VPN策略稍微有所改變時(shí)，VPN的管理難度將呈幾何級(jí)數(shù)增長(zhǎng)。SSL VPN則正好相反，客戶端不需要安裝任何軟件或硬件，使用標(biāo)準(zhǔn)的瀏覽器，就可通過簡(jiǎn)單的SSL安全加密協(xié)議，安全地訪問網(wǎng)絡(luò)中的信息。
　　其次我們?cè)倏纯碨SL的優(yōu)勢(shì)特點(diǎn):
　　SSL VPN避開了部署及管理必要客戶軟件的復(fù)雜性和人力需求;SSL在Web的易用性和安全性方面架起了一座橋梁，目前對(duì)SSL VPN公認(rèn)的三大好處是:
　　第一來(lái)自于它的簡(jiǎn)單性，它不需要配置，可以立即安裝、立即生效;
　　第二個(gè)好處是客戶端不需要麻煩的安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行;
　　第三個(gè)好處是兼容性好，傳統(tǒng)的IPSec VPN對(duì)客戶端采用的操作系統(tǒng)版本具有很高的要求，不同的終端操作系統(tǒng)需要不同的客戶端軟件，而SSL VPN則完全沒有這樣的麻煩。
　　綜合分析可見:
　　1. SSL VPN強(qiáng)調(diào)的優(yōu)勢(shì)其實(shí)主要集中在VPN客戶端的部署和管理上，我們知道SSL VPN一再?gòu)?qiáng)調(diào)無(wú)需安裝客戶端，主要是由于瀏覽器內(nèi)嵌了SSL協(xié)議，也就是說是基于B/S結(jié)構(gòu)的業(yè)務(wù)時(shí)，可以直接使用瀏覽器完成SSL的VPN建立;
　　2. 某些SSL VPN廠商如F5有類似IPSec VPN的“網(wǎng)絡(luò)訪問”方式，可以解決傳統(tǒng)的C/S應(yīng)用程序的問題，用戶用瀏覽器登錄SSL VPN設(shè)備后，撥通網(wǎng)絡(luò)訪問資源即可獲得一個(gè)虛擬IP，即可以訪問按照安全策略允許訪問的內(nèi)網(wǎng)地址和端口，和IPSec VPN不同的是，這種方式并非工作在網(wǎng)絡(luò)層，所以不會(huì)有接入地點(diǎn)的限制;
　　1.2 SSL VPN比IPSec VPN更安全
　　首先我們還是先認(rèn)識(shí)一下IPSEC存在的不足之處:
　　1. 在通路本身安全性上，傳統(tǒng)的IPSec VPN還是非常安全的，比如在公網(wǎng)中建立的通道，很難被人篡改。說其不安全，是從另一方面考慮的，就是在安全的通路兩端，存在很多不安全的因素。比如總公司和子公司之間用IPsec VPN連接上了，總公司的安全措施很嚴(yán)密，但子公司可能存在很多安全隱患，這種隱患會(huì)通過IPsec VPN傳遞給總公司，這時(shí)，公司間的安全性就由安全性低的分公司來(lái)決定了。
　　2. 比如黑客想要攻擊應(yīng)用系統(tǒng)，如果遠(yuǎn)程用戶以IPSec VPN的方式與公司內(nèi)部網(wǎng)絡(luò)建立聯(lián)機(jī)之后，內(nèi)部網(wǎng)絡(luò)所連接的應(yīng)用系統(tǒng)，黑客都是可以偵測(cè)得到，這就提供了黑客攻擊的機(jī)會(huì)。
　　3. 比如應(yīng)對(duì)病毒入侵，一般企業(yè)在Internet聯(lián)機(jī)入口，都是采取適當(dāng)?shù)姆蓝緜蓽y(cè)措施。采用IPSec聯(lián)機(jī)，若是客戶端電腦遭到病毒感染，這個(gè)病毒就有機(jī)會(huì)感染到內(nèi)部網(wǎng)絡(luò)所連接的每臺(tái)電腦。
　　4. 不同的通訊協(xié)議，并且通過不同的通訊端口來(lái)作為服務(wù)器和客戶端之間的數(shù)據(jù)傳輸通道。以Internet Email系統(tǒng)來(lái)說，發(fā)信和收信一般都是采取SMTP和POP3通訊協(xié)議，而且兩種通訊協(xié)議采用25和110端口，若是從遠(yuǎn)程電腦來(lái)聯(lián)機(jī)Email服務(wù)器，就必須在防火墻上開放25和110端口，否則遠(yuǎn)程電腦是無(wú)法與SMTP和POP3主機(jī)溝通的。IPSec VPN聯(lián)機(jī)就會(huì)有這個(gè)困擾和安全顧慮。在防火墻上，每開啟一個(gè)通訊埠，就多一個(gè)黑客攻擊機(jī)會(huì)。
　　其次我們?cè)倏纯碨SL的優(yōu)勢(shì)特點(diǎn):
　　1. SSL安全通道是在客戶到所訪問的資源之間建立的，確保點(diǎn)到點(diǎn)的真正安全。無(wú)論在內(nèi)部網(wǎng)絡(luò)還是在因特網(wǎng)上數(shù)據(jù)都不是透明的，客戶對(duì)資源的每一次操作都需要經(jīng)過安全的身份驗(yàn)證和加密。
　　2. 若是采取SSL VPN來(lái)聯(lián)機(jī)，因?yàn)槭侵苯娱_啟應(yīng)用系統(tǒng)，并沒在網(wǎng)絡(luò)層上連接，黑客不易偵測(cè)出應(yīng)用系統(tǒng)內(nèi)部網(wǎng)絡(luò)設(shè)置，同時(shí)黑客攻擊的也只是VPN服務(wù)器，無(wú)法攻擊到后臺(tái)的應(yīng)用服務(wù)器，攻擊機(jī)會(huì)相對(duì)就減少。有的廠商如F5公司的產(chǎn)品，可以對(duì)客戶端允許訪問的地址、協(xié)議、端口都加以限制;可以對(duì)客戶端做各種檢查，如操作系統(tǒng)補(bǔ)丁、防病毒軟件及病毒庫(kù)更新時(shí)間、個(gè)人防火墻等等，不符合條件的客戶端可以不允許其登錄，這樣就大大增加了整個(gè)系統(tǒng)的安全性。
　　3. 而對(duì)于SSL VPN的聯(lián)機(jī)，病毒傳播會(huì)局限于這臺(tái)主機(jī)，而且這個(gè)病毒必須是針對(duì)應(yīng)用系統(tǒng)的類型，不同類型的病毒是不會(huì)感染到這臺(tái)主機(jī)的。因此通過SSL VPN連接，受外界病毒感染的可能性大大減小。有的廠商如F5公司的產(chǎn)品，自身帶有防病毒軟件，更可以通過標(biāo)準(zhǔn)協(xié)議連接防病毒軟件，加強(qiáng)對(duì)于病毒的防治。
　　4. SSL VPN就沒有這方面的困擾。因?yàn)樵谶h(yuǎn)程主機(jī)與SSLVPN 之間，采用SSL通訊端口443來(lái)作為傳輸通道，這個(gè)通訊端口，一般是作為Web Server對(duì)外的數(shù)據(jù)傳輸通道，因此，不需在防火墻上做任何修改，也不會(huì)因?yàn)椴煌瑧?yīng)用系統(tǒng)的需求，而來(lái)修改防火墻上的設(shè)定，減少IT管理者的困擾。如果所有后臺(tái)系統(tǒng)都通過SSL VPN的保護(hù)，那么在日常辦公中防火墻只開啟一個(gè)443端口就可以，因此大大增強(qiáng)內(nèi)部網(wǎng)絡(luò)受外部黑客攻擊的可能性。
　　1.3 SSL VPN與IPSec VPN相比，具有更好的可擴(kuò)展性
　　首先我們還是先認(rèn)識(shí)一下IPSec VPN存在的不足之處:
　　IPSec VPN在部署時(shí)一般放置在網(wǎng)絡(luò)網(wǎng)關(guān)處，因而要考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)結(jié)構(gòu)，那么IPSec VPN就要重新部署，因此造成IPSec VPN的可擴(kuò)展性比較差。
　　其次我們?cè)倏纯碨SL VPN的優(yōu)勢(shì)特點(diǎn):
　　SSL VPN就有所不同，它一般部署在內(nèi)網(wǎng)中任一節(jié)點(diǎn)處即可，可以隨時(shí)根據(jù)需要，添加需要VPN保護(hù)的服務(wù)器，因此無(wú)需影響原有網(wǎng)絡(luò)結(jié)構(gòu)。
　　1.4 SSL VPN在訪問控制方面比IPSec VPN具有更細(xì)粒度
　　為什么最終用戶要部署VPN，究其根本原因，還是要保護(hù)網(wǎng)絡(luò)中重要數(shù)據(jù)的安全，比如財(cái)務(wù)部門的財(cái)務(wù)數(shù)據(jù)，人事部門的人事數(shù)據(jù)，銷售部門的項(xiàng)目信息，生產(chǎn)部門的產(chǎn)品配方等等。
　　首先我們還是先認(rèn)識(shí)一下IPSEC存在的不足之處:
　　由于IPSec VPN部署在網(wǎng)絡(luò)層，因此，內(nèi)部網(wǎng)絡(luò)對(duì)于通過VPN的使用者來(lái)說是透明的，只要是通過了IPSec VPN網(wǎng)關(guān)，他可以在內(nèi)部為所欲為。因此，IPSec VPN的目標(biāo)是建立起來(lái)一個(gè)虛擬的IP網(wǎng)，而無(wú)法保護(hù)內(nèi)部數(shù)據(jù)的安全。所以IPSec VPN又被稱為網(wǎng)絡(luò)安全設(shè)備。
　　其次我們?cè)倏纯碨SL的優(yōu)勢(shì)特點(diǎn):
　　在電子商務(wù)和電子政務(wù)日益發(fā)展的今天，各種應(yīng)用日益復(fù)雜，需要訪問內(nèi)部網(wǎng)絡(luò)人員的身份也多種多樣，比如可能有自己的員工、控股公司的工作人員、供貨商、分銷商、商業(yè)合作伙伴等等。與IPSec VPN只搭建虛擬傳輸網(wǎng)絡(luò)不同的是，SSL VPN重點(diǎn)在于保護(hù)具體的敏感數(shù)據(jù)，比如SSL VPN可以根據(jù)用戶的不同身份，給予不同的訪問權(quán)限。就是說，雖然都可以進(jìn)入內(nèi)部網(wǎng)絡(luò)，但是不同人員可以訪問的數(shù)據(jù)是不同的。而且在配合一定的身份認(rèn)證方式的基礎(chǔ)上，不僅可以控制訪問人員的權(quán)限，還可以對(duì)訪問人員的每個(gè)訪問，做的每筆交易、每個(gè)操作進(jìn)行數(shù)字簽名，保證每筆數(shù)據(jù)的不可抵賴性和不可否認(rèn)性，為事后追蹤提供了依據(jù)。
　　1.5 使用SSL VPN相比IPSec VPN也具有更好的經(jīng)濟(jì)性
　　假設(shè)一個(gè)公司有1000個(gè)用戶需要進(jìn)行遠(yuǎn)程訪問，那么如果購(gòu)買IPSec VPN，那么就需要購(gòu)買1000個(gè)客戶端許可，而如果購(gòu)買SSL VPN，因?yàn)檫@1000個(gè)用戶并不同時(shí)進(jìn)行遠(yuǎn)程訪問，按照統(tǒng)計(jì)學(xué)原理，假定只有100個(gè)用戶會(huì)同時(shí)進(jìn)行遠(yuǎn)程訪問，只需要購(gòu)買100個(gè)客戶端許可即可。
　　2 F5產(chǎn)品的特色
　　現(xiàn)在市場(chǎng)上充斥了各式各樣的SSL VPN產(chǎn)品，相對(duì)于IPSec VPN產(chǎn)品之間的區(qū)別，SSL VPN產(chǎn)品之間的區(qū)別大的驚人，從“玩具”形態(tài)只實(shí)現(xiàn)了簡(jiǎn)單反向SSL代理的SSL VPN到提供了眾多功能的“工具”級(jí)的成熟SSL VPN產(chǎn)品，是完全不同的，下面從F5的FirePass的特點(diǎn)出發(fā)再與IP Sec VPN產(chǎn)品做一個(gè)對(duì)比。
　　2.1 產(chǎn)品的多樣化
　　F5的FirePass在同一硬件里集成了IP Sec VPN與SSL VPN功能，為企業(yè)節(jié)省了投資。
　　2.2 豐富的功能
　　F5的FirePass的SSL VPN包括網(wǎng)絡(luò)訪問、web 應(yīng)用程序、Windows文件共享、移動(dòng)電子郵件、針對(duì)C/S應(yīng)用的應(yīng)用訪問等功能，提供了遠(yuǎn)比IPSec VPN豐富的功能。
　　2.3 高可用性
　　對(duì)于遠(yuǎn)程訪問非常重要的企業(yè)來(lái)說，遠(yuǎn)程訪問設(shè)備的高可用性非常重要，而IPSec VPN無(wú)法提供高可用性，往往成為系統(tǒng)的單點(diǎn)故障。而F5 FirePass可以多臺(tái)以集群方式對(duì)外提供服務(wù)，也可以前端使用F5 BIG IP作為負(fù)載均衡設(shè)備對(duì)外提供服務(wù)，在提高系統(tǒng)可用性的同時(shí)也提高了系統(tǒng)性能。
　　2.4 與企業(yè)原有AAA服務(wù)器集成
　　企業(yè)在部署遠(yuǎn)程訪問設(shè)備之前，一般都部署了各種形式的AAA服務(wù)器，一般有Active Directory、LDAP、Raduis、企業(yè)自行開發(fā)的SSO等等，客戶端也有PKI、RSA Secure ID等等。FirePass可以輕易的與這樣AAA服務(wù)器集成，對(duì)于IT管理員來(lái)說，可以輕易將一臺(tái)FirePass加入企業(yè)網(wǎng)，用戶管理仍然由原來(lái)的 AAA服務(wù)器去做。
　　2.5 詳細(xì)的日志功能
　　IPSec VPN的日志功能非常薄弱，而FirePass可以提供非常豐富的用戶級(jí)日志功能，更可以通過標(biāo)準(zhǔn)的日志協(xié)議將日志實(shí)時(shí)傳送給企業(yè)中的日志服務(wù)器，便于審計(jì)。
　　2.6 更高的安全性
　　IPSec VPN的安全性一直是一個(gè)弱點(diǎn)，由于IPSec VPN而引起的病毒、木馬、Web攻擊一直是無(wú)法徹底解決的問題，而F5 FirePass可以很好的解決這個(gè)問題。在FirePass的門戶站主機(jī)訪問模式下，F(xiàn)irePass可以對(duì)上傳的文件做病毒掃描，更可以與企業(yè)現(xiàn)有的防病毒軟件聯(lián)動(dòng)，徹底解決病毒問題。而FirePass內(nèi)帶的內(nèi)容檢查功能，解決了Web攻擊問題。
　　F5 FirePass可以對(duì)客戶端做各種掃描，如操作系統(tǒng)版本、補(bǔ)丁版本、防病毒軟件種類、病毒庫(kù)更新時(shí)間等等，從而堵住病毒、木馬入侵的途徑。
　　F5 FirePass可以對(duì)接入客戶進(jìn)行各種限制，如可以訪問的地址、端口、URL等等。
　　F5 FirePass可以配置成在退出時(shí)自動(dòng)清除高速緩存。
　　以上這些功能都大大增強(qiáng)了系統(tǒng)的安全性。
　　2.7 接入設(shè)備的多樣性
　　F5 FirePass可以使用多種客戶端接入，包括Mac、Linux、Solaris、Windows CE等等，大大擴(kuò)展了客戶端的使用便利性。
　　2.8 更高的性能
　　對(duì)于SSL VPN的性能，一向是IPSec VPN陣營(yíng)攻擊SSL VPN的有力武器。確實(shí)，SSL VPN單臺(tái)的性能是無(wú)法與最高端的IPSec VPN相抗衡的，但是由于F5的FirePass可以通過自由堆疊來(lái)擴(kuò)展，反而可以提供更高的性能。
　　Socks5 VPN功能是對(duì)傳統(tǒng)的IPSec VPN和SSL VPN的革新，是在總結(jié)了IPSec VPN和SSL VPN的優(yōu)缺點(diǎn)以后，提出的一種全新的解決方案。
　　3.Socks5 VPN運(yùn)行在會(huì)話層，并且提供了對(duì)應(yīng)用數(shù)據(jù)和應(yīng)用協(xié)議的可見性，使網(wǎng)絡(luò)管理員能夠?qū)τ脩暨h(yuǎn)程訪問實(shí)施細(xì)粒度的安全策略檢查?；跁?huì)話層實(shí)現(xiàn)Socks5 VPN的核心是會(huì)話層代理，通過代理可以將用戶實(shí)際的網(wǎng)絡(luò)請(qǐng)求轉(zhuǎn)發(fā)給應(yīng)用服務(wù)器，從而實(shí)現(xiàn)遠(yuǎn)程訪問的能力。
　　在實(shí)現(xiàn)上，通過在用戶機(jī)器上安裝Socks5 VPN瘦客戶端，由瘦客戶端監(jiān)控用戶的遠(yuǎn)程訪問請(qǐng)求，并將這些請(qǐng)求轉(zhuǎn)化成代理協(xié)議可以識(shí)別的請(qǐng)求并發(fā)送給Socks5 VPN服務(wù)器進(jìn)行處理，Socks5 VPN服務(wù)器則根據(jù)發(fā)送者的身份執(zhí)行相應(yīng)的身份認(rèn)證和訪問控制策略。在這種方式上，Socks5 VPN客戶端和Socks5 VPN服務(wù)器扮演了中間代理的角色，可以在用戶訪問遠(yuǎn)程資源之前執(zhí)行相應(yīng)的身份認(rèn)證和訪問控制，只有通過檢查的合法數(shù)據(jù)才允許流進(jìn)應(yīng)用服務(wù)器，從而有力保護(hù)了組織的內(nèi)部專用網(wǎng)絡(luò)。
VPN上管理帶寬
　　在網(wǎng)絡(luò)中，服務(wù)質(zhì)量(QoS)是指所能提供的帶寬級(jí)別。將QoS融入一個(gè)VPN，使得管理員可以在網(wǎng)絡(luò)中完全控制數(shù)據(jù)流。信息包分類和帶寬管理是兩種可以實(shí)現(xiàn)控制的方法：
　　信息包分類
　　信息包分類按重要性將數(shù)據(jù)分組。數(shù)據(jù)越重要，它的級(jí)別越高，當(dāng)然，它的操作也會(huì)優(yōu)先于同網(wǎng)絡(luò)中相對(duì)次要的數(shù)據(jù)。
　　帶寬管理
　　通過帶寬管理，一個(gè)VPN管理員可以監(jiān)控網(wǎng)絡(luò)中所有輸入輸出的數(shù)據(jù)流，可以允許不同的數(shù)據(jù)包類獲得不同的帶寬。
　　其他的帶寬控制形式還有：
　　通信量管理
　　通信量管理方法的形成是一個(gè)服務(wù)提供商在Internet通信擁塞中發(fā)現(xiàn)的。大量的輸入輸出數(shù)據(jù)流排隊(duì)通過，這使得帶寬沒有得到合理使用。
　　公平帶寬
　　公平帶寬允許網(wǎng)絡(luò)中所有用戶機(jī)會(huì)均等地利用帶寬訪問Internet。通過公平帶寬，當(dāng)應(yīng)用程序需要用更大的數(shù)據(jù)流，例如MP3時(shí)，它將減少所用帶寬以便給其他人訪問的機(jī)會(huì)。
　　傳輸保證
　　傳輸保證為網(wǎng)絡(luò)中特殊的服務(wù)預(yù)留出一部分帶寬，例如視頻會(huì)議，IP電話和現(xiàn)金交易。它判斷哪個(gè)服務(wù)有更高的優(yōu)先權(quán)并分配相應(yīng)帶寬。
　　[1]網(wǎng)絡(luò)管理員必須管理虛擬個(gè)人網(wǎng)絡(luò)以及使一個(gè)組織正常運(yùn)作所需的資源。因?yàn)檫h(yuǎn)程辦公還有待發(fā)展，VPN管理員在維護(hù)帶寬上還有許多問題。然而，新技術(shù)對(duì)QoS的補(bǔ)充將會(huì)幫助網(wǎng)絡(luò)管理員解決這個(gè)問題。
國(guó)內(nèi)外知名硬件VPN品牌
　　目前國(guó)內(nèi)外硬件VPN產(chǎn)品已經(jīng)相對(duì)比較成熟了，這里列出幾個(gè)國(guó)內(nèi)外有一定歷史的知名品牌：
　　國(guó)外品牌：1.Cisco 2.Juniper 3.Array 4.Netgear 5.Watchguard 6.Hillstone
　　國(guó)內(nèi)品牌：1.e地通 2.深信服 3.H3C 4.迅博 5.冰峰網(wǎng)絡(luò) 6.奧聯(lián) 7.衛(wèi)士通 8.賽藍(lán) 9.365VPN 10.X-Y小語(yǔ)vpn11.天益隨易聯(lián)vpn12.易通VPN 13.網(wǎng)一VPN 14.513VPN15.517VPN
　　國(guó)內(nèi)VPN標(biāo)準(zhǔn)制定：
　　VPN標(biāo)準(zhǔn)分為兩類：IPSec VPN、SSL VPN
　　IPSec VPN國(guó)家標(biāo)準(zhǔn)制定單位：華為、深信服、中興、無(wú)錫江南信息安全工程技術(shù)中心。
　　SSL VPN國(guó)家標(biāo)準(zhǔn)制定單位：華為技術(shù)有限公司、深圳市深信服電子科技有限公司、無(wú)錫江南信息安全工程技術(shù)中心、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、深圳市奧聯(lián)科技有限公司等十余家單位。
　　國(guó)內(nèi)免費(fèi)的VPN
　　91vpn: 91vpn是由91wangyou提供的一種永久免費(fèi)VPN服務(wù)，簡(jiǎn)單易用。
　　55dns加速器：55dns加速器是一種加速軟件，自帶客戶端，目前免費(fèi)的VPN，優(yōu)點(diǎn)：使用簡(jiǎn)單、加速穩(wěn)定
　　OpenVPN，這是目前最佳的開源VPN軟件，配置簡(jiǎn)單，特色眾多，支持多平臺(tái)。
　　最簡(jiǎn)單也是最方便的方法：去各大網(wǎng)站找測(cè)試免費(fèi)VPN或者免費(fèi)VPN代理，也有一些免費(fèi)vpn公布器，差不多每天都會(huì)有人發(fā)，有些速度還不錯(cuò)。
　　優(yōu)點(diǎn)：速度還行，隨到隨拿。
　　缺點(diǎn)：使用期限較短，而且有些使用人數(shù)一多VPN就容易被封。
　　Winsows2003 vpn設(shè)置 如下：
　　一般在中小企業(yè)都喜歡用NAT來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)共享，通常又不會(huì)裝其他NAT軟件，在原來(lái)Win 2000的基礎(chǔ)上Win 2003又增加了對(duì)VPN的支持，無(wú)需第三方軟件或硬件就能完成連接……
　　硬件：雙網(wǎng)卡，一塊接ADSL modem，一塊接局域網(wǎng)。
　　首先右擊“我的電腦”，選擇“管理”，在“本地用戶和組”中，添加一個(gè)VPN連接的用戶名，并允許遠(yuǎn)程連接。再打開“控制面板/管理工具”，雙擊其中的“管理服務(wù)器”，選擇“添加刪除角色”，添加“遠(yuǎn)程訪問/VPN”。
　　添加VPN服務(wù)
　　設(shè)置NAT轉(zhuǎn)發(fā)
　　如果你還沒有設(shè)置連接到ADSL的連接，在選擇了“創(chuàng)建一個(gè)新的到Internet的請(qǐng)求撥號(hào)接口”后，會(huì)彈出ADSL撥號(hào)連接的設(shè)置窗口，按照通常的ADSL撥號(hào)連接設(shè)置進(jìn)行設(shè)置即可。
　　設(shè)置連接到Internet的網(wǎng)卡
　　設(shè)置連接內(nèi)網(wǎng)的網(wǎng)卡
　　還是打開“管理服務(wù)器”，進(jìn)入"遠(yuǎn)程/VPN”管理，如圖所示：
　　管理VPN連接
　　右擊ADSL連接，選擇“屬性”，在里面可以修改撥號(hào)連接的方式和屬性。
　　此處還可修改撥號(hào)連接的屬性
　　接下來(lái)設(shè)置VPN連接與防火墻對(duì)VPN端口的開啟，右擊“端口”，選擇“屬性”，默認(rèn)VPN連接數(shù)為“PPTP"5個(gè)，L2TP 5個(gè)”，可以在屬性中修改。
　　修改VPN的屬性
　　右擊你建立的服務(wù)器，選擇“屬性”，接下來(lái)設(shè)置VPN撥入時(shí)候的IP地址，如果有DHCP服務(wù)器的話也可以使用。
　　設(shè)置撥入IP地址
　　接著設(shè)置防火墻規(guī)則，不然外面進(jìn)不來(lái)，右擊你的ADSL連接，選擇“屬性”，雙擊“VPN網(wǎng)關(guān)（PPTP）”，在里邊設(shè)置即可，當(dāng)然,你也可以不用默認(rèn)的防火墻，裝個(gè)ISA2004效果更好。
　　設(shè)置撥入防火墻
　　再在服務(wù)器上裝個(gè)動(dòng)態(tài)域名解析，應(yīng)該更方便連接VPN，呵呵。