什么是 虚拟局域网

      虚拟专用网的本质实际上涉及到密码的问题。在无法保证电路安全、信道安全、网络安全、应用安全的情况下，或者也不相信其他安全措施的情况下，一种行之有效的办法就是加密，而加密就是必须考虑加密算法和密码的问题。考虑到我国对密码管理的体制情况，密码是一个单独的领域。对防火墙而言，是否防火墙支持对其他密码体制的支持，支持提供API来调用第三方的加密算法和密码，非常重要。
      应用VPN的局域网络互联拓扑示意图如下所示：

一、虚拟专用网VPN的优点：
 
 不需要路由器，不需要专用通信线路 ；
 配置非常简单，不需要专业知识 ；
 可用于ADSL拨号上网，不需要固定IP；
 通信费用极低（512M：每月90元） ；
 没有线路租用费用 ；
 可随时搬迁；
 通信数据强力加密，安全性好 ；
 支持所有网络应用，支持VOIP。

二、虚拟专用网VPN的特点

1．安全保障

虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。

2．服务质量保证（QoS）

　　VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可*的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

3．可扩充性和灵活性

　　VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

4．可管理性

　　从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可*性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

三、虚拟专用网VPN安全技术

　　由于传输的是私有信息，VPN用户对数据的安全性都比较关心。

　　目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。

1.隧道技术：
　　隧道技术是VPN的基本技术类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包*第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。

　　第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依*第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec（IP Security）是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。

2.加解密技术：
　　加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。

3.密钥管理技术：
　　密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。

4.使用者与设备身份认证技术：
　　使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。

四、堵住安全漏洞

　　安全问题是VPN的核心问题。目前，VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的，可以保证企业员工安全地访问公司网络。

　　但是，如果一个企业的VPN需要扩展到远程访问时，就要注意，这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标。因为，远程工作员工通过防火墙之外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容，这就构成了公司安全防御系统中的弱点。虽然，员工可以双倍地提高工作效率，并减少在交通上所花费的时间，但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网络核心的机会。

　　但是，企业并没有对远距离工作的安全性予以足够的重视。大多数公司认为，公司网络处于一道网络防火墙之后是安全的，员工可以拨号进入系统，而防火墙会将一切非法请求拒之其外；还有一些网络管理员认为，为网络建立防火墙并为员工提供VPN，使他们可以通过一个加密的隧道拨号进入公司网络就是安全的。这些看法都是不对的。

　　在家办公是不错，但从安全的观点来看，它是一种极大的威胁，因为，公司使用的大多数安全软件并没有为家用计算机提供保护。一些员工所做的仅仅是进入一台家用计算机，跟随它通过一条授权的连接进入公司网络系统。虽然，公司的防火墙可以将侵入者隔离在外，并保证主要办公室和家庭办公室之间VPN的信息安全。但问题在于，侵入者可以通过一个被信任的用户进入网络。因此，加密的隧道是安全的，连接也是正确的，但这并不意味着家庭计算机是安全的。

　　黑客为了侵入员工的家用计算机，需要探测IP地址。有统计表明，使用拨号连接的IP地址几乎每天都受到黑客的扫描。因此，如果在家办公人员具有一条诸如DSL的不间断连接链路（通常这种连接具有一个固定的IP地址），会使黑客的入侵更为容易。因为，拨号连接在每次接入时都被分配不同的IP地址，虽然它也能被侵入，但相对要困难一些。一旦黑客侵入了家庭计算机，他便能够远程运行员工的VPN客户端软件。因此，必须有相应的解决方案堵住远程访问VPN的安全漏洞，使员工与网络的连接既能充分体现VPN的优点，又不会成为安全的威胁。在个人计算机上安装个人防火墙是极为有效的解决方法，它可以使非法侵入者不能进入公司网络。当然，还有一些提供给远程工作人员的实际解决方法：

* 所有远程工作人员必须被批准使用VPN；

* 所有远程工作人员需要有个人防火墙，它不仅防止计算机被侵入，还能记录连接被扫描了多少次；

* 所有的远程工作人员应具有入侵检测系统，提供对黑客攻击信息的记录；

* 监控安装在远端系统中的软件，并将其限制只能在工作中使用；

* IT人员需要对这些系统进行与办公室系统同样的定期性预定检查；

* 外出工作人员应对敏感文件进行加密；

* 安装要求输入密码的访问控制程序，如果输入密码错误，则通过Modem向系统管理员发出警报；

* 当选择DSL供应商时，应选择能够提供安全防护功能的供应商。

五、虚拟专用网VPN益处

　　Internet服务提供商（ISP）和企业将是VPN的直接受益者。ISP将VPN作为一项增值业务推向企业，并从企业得到回报。因此，VPN的最终目的是服务于企业，为企业带来可观的经济效益，为现代化企业的信息共享提供安全可*的途径。

1．ISP受益

　　对于ISP来说，VPN提供了巨大商机。世纪互联的薛滔先生介绍说：世纪互联使用的是基于网通的全国网络，有很好的硬件条件。面对IDC在2001年更加激烈的竞争状况，世纪互联希望在IDC基础之上找到新的增长点。因为网站缩水，所以世纪互联将目光转向大中型传统企业，分析他们对电信资源有哪些需求，结果觉得VPN是一个机会。世纪互联现在正在探索，VPN的方案和技术已经准备就绪。世纪互联的目标用户是全国有分支机构，信息化建设已经达到一定水平的单位，世纪互联将整合现有资源，包括网络、托管和技术力量来为用户提供服务。通过向企业提供VPN增值服务，ISP可以与企业建立更加紧密的长期合作关系，同时充分利用现有网络资源，提高业务量。事实上，VPN用户的数据流量较普通用户要大得多，而且时间上也是相互错开的。VPN用户通常是上班时间形成流量的高峰，而普通用户的流量高峰期则在工作时间之外。ISP对外提供两种服务，资源利用率和业务量都会大大增加。同时，VPN使ISP能够经济地维持开发客户群、增加利润、提供增强服务，如视频会议、电子商务、IP电话、远程教学、多媒体商务应用等等。

2．用户受益

　　哪些用户适于使用VPN呢？在满足基本应用要求后，有三类用户比较适合采用VPN：

1)位置众多，特别是单个用户和远程办公室站点多，例如企业用户、远程教育用户；

2)用户/站点分布范围广，彼此之间的距离远，遍布全球各地，需通过长途电信，甚至国际长途手段联系的用户；

3)带宽和时延要求相对适中；

4)对线路保密性和可用性有一定要求的用户。

　　相对而言，有四种情况可能并不适于采用VPN：

1)非常重视传输数据的安全性；

2)不管价格多少，性能都被放在第一位的情况；

3)采用不常见的协议，不能在IP隧道中传送应用的情况；

4)大多数通信是实时通信的应用，如语音和视频。但这种情况可以使用公共交换电话网（PSTN）解决方案与VPN配合使用。

　　对于企业来说，VPN提供了安全、可*的 Internet访问通道，为企业进一步发展提供了可*的技术保障。而且VPN能提供专用线路类型服务，是方便快捷的企业私有网络。企业甚至可以不必建立自己的广域网维护系统，而将这一繁重的任务交由专业的ISP来完成。由于VPN的出现，用户可以从以下几方面获益：

1)实现网络安全 具有高度的安全性，对于现在的网络是极其重要的。新的服务如在线银行、在线交易都需要绝对的安全，而VPN以多种方式增强了网络的智能和安全性。首先，它在隧道的起点，在现有的企业认证服务器上，提供对分布用户的认证。另外，VPN支持安全和加密协议，如SecureIP（IPsec）和Microsoft点对点加密（MPPE）。

2)简化网络设计 网络管理者可以使用VPN替代租用线路来实现分支机构的连接。这样就可以将对远程链路进行安装、配置和管理的任务减少到最小，仅此一点就可以极大地简化企业广域网的设计。另外，VPN通过拨号访问来自于ISP或NSP的外部服务，减少了调制解调器池，简化了所需的接口，同时简化了与远程用户认证、授权和记账相关的设备和处理。

3)降低成本 VPN可以立即且显著地降低成本。当使用Internet时，实际上只需付短途电话费，却收到了长途通信的效果。因此，借助ISP来建立VPN，就可以节省大量的通信费用。此外，VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备，这些工作都可以交给ISP。VPN使用户可以降低如下的成本：

◆移动用户通信成本。VPN可以通过减少长途费或800费用来节省移动用户的花费。

◆租用线路成本。VPN可以以每条连接的40%到60%的成本对租用线路进行控制和管理。对于国际用户来说，这种节约是极为显著的。对于话音数据，节约金额会进一步增加。

◆主要设备成本。VPN通过支持拨号访问外部资源,使企业可以减少不断增长的调制解调器费用。另外，它还允许一个单一的WAN接口服务多种目的，从分支网络互连、商业伙伴的外连网终端、本地提供高带宽的线路连接到拨号访问服务提供者，因此，只需要极少的WAN接口和设备。由于VPN可以完全管理，并且能够从中央网站进行基于策略的控制，因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销。另外，由于VPN独立于初始协议，这就使得远端的接入用户可以继续使用传统设备，保护了用户在现有硬件和软件系统上的投资。

4)容易扩展 如果企业想扩大VPN的容量和覆盖范围。企业需做的事情很少，而且能及时实现：企业只需与新的IPS签约，建立账户；或者与原有的ISP重签合约，扩大服务范围。在远程办公室增加VPN能力也很简单：几条命令就可以使Extranet路由器拥有Internet和VPN能力，路由器还能对工作站自动进行配置。

5)可随意与合作伙伴联网 在过去，企业如果想与合作伙伴连网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。有了VPN之后，这种协商也毫无必要，真正达到了要连就连，要断就断。

6)完全控制主动权 借助VPN，企业可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。比方说，企业可以把拨号访问交给ISP去做，由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

7)支持新兴应用 许多专用网对许多新兴应用准备不足，如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用，如IP语音，IP传真，还有各种协议，如RSIP、IPv6、MPLS、SNMPv3等。

　　正由于VPN能给用户带来诸多的好处，VPN在全球发展得异常红火，在北美和欧洲，VPN已经是一项相当普遍的业务；在亚太地区，该项服务也迅速开展起来。

六、虚拟专用网VPN连接的建立

VPN建立有两种形式：

远程用户连接：远程用户直接连接到VPN服务器，通过VPN服务器可以访问VPN服务器或VPN服务器所连接的整个网络，当然在连接的时候客户必须向服务器验证自己的身份。
路由器到路由器的连接：与上面的连接方式不同，这种VPN连接是通过路由器与路由器之间建立的。
VPN使用PPTP连接，而PPTP可以对数据进行加密，压缩和认证。PPTP认证在认证时可以使用单方认证，也可以使用双方认证。单方认证时服务器认证客户，客户不认证服务器；而双方认证时，服务器方和客户方都需要认证对方的身份。对于VPN连接来说，还有一很重要的工作就是名字和地址的问题，VPN服务器和客户在连接时要建立虚拟接口，这个虚拟接口在连接时建立。VPN客户通过VPN服务器获得IP地址配置，而VPN服务器则通过DHCP服务器为它自己和客户获得IP地址，服务器在给客户配置时同时也为客户配置DNS或WINS服务器地址。

VPN服务器和客户连接时可以通过internet连接，这种连接可以直接和网络访问服务器连接，也可以通过和本地ISP连接完成VPN连接。下面两图可以显示上面两种情况：

VPN连接不但可以在广域网上建立VPN连接，而且可以在企业网内部建立连接。它的连接方法和广域网上的连接方法是一样的。如果本地网的用户没有具有建立VPN权限，那他将不能查看那部分网络。多个不同的网络也可以通过路由器到路由器的方式进行连接构成VPN，下图表示了这两种情况：

在IPCP协议交换数据阶段，服务器必须拥有一个IP地址池，同时也要为客户配置DNS或WINS服务器，利用IP地址池可以为用户分配IP地址，这个地址池可以是DHCP服务器分配的，也可以是静态配置的。对于用户的认证是通过RADIUS服务器进行的，RADIUS服务器自己可以保存认证信息，也可以通过ODBC访问其它的认证数据库，RADIUS服务器不但可以配置用户信息，也配置用户的其它连接参数，如最大连接时间等。而对于PN的管理主要借助于SNMP协议。

PPTP使用被称为PPTP控制连接的TCP连接对VPN进行管理，同时利用GRE协议对通道内的数据进行加密。对PPTP来说，有时可以拨号到NAS上，也可以利用已有的IP连接进行VPN通信。PPTP的认证过程与PPP是一样的，它正是借助于PPP的验证过程来实现PPTP认证的。

PPTP客户与服务器连接时使用的是动态端口，而且服务器则使用固定端口1723。PPTP控制连接传输管理PPTP连接的一些信息，在这些信息中比较关键的是定时发送Echo_Request 请求和Echo_Reply请求，这两个数据用于测试服务器与客户的连接是不是出了问题。下图是PPTP控制连接数据包的格式：

      针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应。

Access VPN，通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。Access VPN能使用户随时、随地以其所需的方式访问企业资源。Access VPN包括模拟、拨号、ISDN、数字用户线路 xDSL、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。如图示。

    Access VPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员
工进行验证和授权，保证连接的安全，同时负担的电话费用大大降低。

    Access VPN的优点如下：
    减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络。
    实现本地拨号接入的功能来取代远距离接入或800电话接入，这样能显著降低远距离通信的费用。
    极大的可扩展性，简便地对加入网络的新用户进行调度。
    远端验证拨入用户服务（RADIUS）基于标准，基于策略功能的安全服务。
    将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。

Intranet VPN  
  
   
    越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。Intranet VPN 通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量 (QoS)、可管理性和可靠性。如图示。

    Intranet VPN的优点如下：
    减少WAN带宽的费用。
    能使用灵活的拓扑结构，包括全网孔连接。
    新的站点能更快、更容易地被连接。
    通过设备供应商WAN的连接冗余，可以延长网络的可用时间。
 

Extranet VPN  
  
   
    随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础，而如何利用Internet进行有效的信息管理，是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。
    Extranet VPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。如图示。

    Extranet VPN结构的主要好处是，能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可
外部网的用户被许可只有一次机会连接到其合作人的网络。
    VPN的出现，解决了企业所面临的一大难题，即如何在有限的网络投入和管理工具条件下，提供较高的网络性能。借助于公共网络服务平台，VPN可以为企业提供廉价而广泛的通信；同时，通过各种安全技术的引入，可以保证通信的安全性。正如设计的初衷，VPN兼备了公众网和专用网的许多优点，将公众网低廉的价格、丰富的功能与专用网的高性能、高安全性结合在一起，成为构建企业专用网络的一种行之有效的解决方案。VPN业务作为一种能大幅减少网络开销，减轻企业负担，提高网络生产效率的有效方法，将逐渐取代采用专线构建企业专用网络的传统做法。 
 
八、虚拟专用网VPN发展趋势　

　　在国外，Internet已成为全社会的信息基础设施，企业端应用也大都基于IP，在Internet上构筑应用系统已成为必然趋势，因此基于IP的VPN业务获得了极大的增长空间。Infornetics Research公司预言，在2001年，全球VPN市场将达到120亿美元。据预测，到2004年，北美的VPN业务收入将增至88亿美元。

　　在中国，制约VPN的发展、普及的因素大致可分为客观因素和主观因素两方面。

1.客观因素包括因特网带宽和服务质量QoS问题。

　　在过去无论因特网的远程接入还是专线接入，以及骨干传输的带宽都很小，QoS更是无法保障，造成企业用户宁愿花费大量的金钱去投资自己的专线网络或是宁愿花费巨额的长途话费来提供远程接入。现在随着ADSL、DWDM、MPLS等新技术的大规模应用和推广，上述问题将得到根本改善和解决。譬如，过去专线接入速率最高才2Mbps，而从今年开始，中国的企业用户可以享受到10Mbps，乃至100Mbps的Internet专线接入，而骨干网现在最高已达到40Gbps，并且今后几年内将发展到上百乃至上千个Gbps，这已不是技术问题而是时间问题。随着互联网技术的发展，可以说VPN在未来几年内将会得到迅猛发展。

2.主观因素之一是用户总害怕自己内部的数据在Internet上传输不安全。

　　其实前面介绍的VPN技术已经能够提供足够安全的保障，可以使用户数据不被查看、修改。主观因素之二，也是VPN应用最大的障碍，是客户自身的应用跟不上，只有企业将自己的业务完全和网络联系上，VPN才会有了真正的用武之地。

　　可以想象，当我们消除了所有这些障碍因素后，VPN将会成为我们网络生活的主要组成部分。在不远的将来，VPN技术将成为广域网建设的最佳解决方案，它不仅会大大节省广域网的建设和运行维护费用，而且增强了网络的可*性和安全性。同时，VPN会加快企业网的建设步伐，使得集团公司不仅仅只是建设内部局域网，而且能够很快地把全国各地分公司的局域网连起来，从而真正发挥整个网络的作用。VPN对推动整个电子商务、电子贸易将起到不可低估的作用。

九、虚拟专用网VPN Q&A　

Ｑ:如何定义VPN？

A:利用公共网络来构建的私人专用网络称为虚拟私有网络（VPN，Virtual Private Network），用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可*性和可管理性等。

　　“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN，企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴、企业内部资源享用者只需连入本地ISP的POP（Point Of Presence，接入服务提供点）即可相互通信；而利用传统的WAN组建技术，彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后，出差员工和外地客户只需拥有本地ISP的上网权限就可以访问企业内部资源； 如果接入服务器的用户身份认证服务器支持漫游，甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少，只需在资源共享处放置一台VPN服务器就可以了。

Q:VPN可分为哪几类？
A:VPN分为三种类型：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。

Q:VPN应该遵循哪些设计原则？
A:VPN的设计包含以下原则：安全性、网络优化、VPN管理等。

　　在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。

　　在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可*的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

　　在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可*性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。