什么是VPN?

術(shù)語名稱：VPN

術(shù)語解釋：虛擬專用網(wǎng)的縮寫，是使用互聯(lián)網(wǎng)連接物理上分散的系統(tǒng)來模擬單一專用網(wǎng)的安全方式。VPN支持遠程和移動用戶訪問公司網(wǎng)絡(luò)。
?
VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。

　VPN可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費用，也不用購買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，在交換機，防火墻設(shè)備或Windows 2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。
　　虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
網(wǎng)絡(luò)協(xié)議
　　VPN主要采用的四項安全保證技術(shù)
　　VPN主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認證技術(shù)。
　　常用的虛擬私人網(wǎng)絡(luò)協(xié)議有：
　　IPSec : IPsec(縮寫IP Security)是保護IP協(xié)議安全通信的標(biāo)準，它主要對IP協(xié)議分組進行加密和認證。
　　IPsec作為一個協(xié)議族（即一系列相互關(guān)聯(lián)的協(xié)議）由以下部分組成：(1)保護分組流的協(xié)議；(2)用來建立這些安全分組流的密鑰交換協(xié)議。前者又分成兩個部分：加密分組流的封裝安全載荷（ESP）及較少使用的認證頭（AH），認證頭提供了對分組流的認證并保證其消息完整性，但不提供保密性。目前為止，IKE協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。
　　PPTP: Point to Point Tunneling Protocol -- 點到點隧道協(xié)議
　　在因特網(wǎng)上建立IP虛擬專用網(wǎng)（VPN）隧道的協(xié)議，主要內(nèi)容是在因特網(wǎng)上建立多協(xié)議安全虛擬專用網(wǎng)的通信方式。
　　L2F: Layer 2 Forwarding -- 第二層轉(zhuǎn)發(fā)協(xié)議
　　L2TP: Layer 2 Tunneling Protocol --第二層隧道協(xié)議
　　GRE：VPN的第三層隧道協(xié)議
使用方法
　　一.便攜網(wǎng)帳號申請開通
　　企業(yè)向運營商申請租用一批便攜網(wǎng)使用帳號（即license，譯：許可證）,由企業(yè)自行管理分配帳號。企業(yè)管理員可以將需要使用便攜網(wǎng)的各個部門，成立不同的VCN域，即不同的工作組，比如可分為財務(wù)、人事、市場、外聯(lián)部等等。同一工作組內(nèi)的成員可以互相通訊，既加強了成員之間的聯(lián)絡(luò)，又保證了數(shù)據(jù)的安全。而各個工作組之間不能互相通訊，保證了企業(yè)內(nèi)部數(shù)據(jù)的安全。
　　二．便攜網(wǎng)客戶端安裝
　　1．系統(tǒng)需求
　　表—列出了在裝有Microsoft Windows操作系統(tǒng)的計算機上安裝便攜網(wǎng)絡(luò)客戶端軟件（yPND：your Portable Network Desktop）的最小系統(tǒng)要求。計算機必須符合或好于最小系統(tǒng)要求才能成功的安裝和使用便攜網(wǎng)絡(luò)客戶端軟件
　　2.預(yù)安裝
　　為成功安裝 便攜網(wǎng)絡(luò)客戶端 軟件必須確保滿足下列情況：
　　? 計算機符合“系統(tǒng)需求”表所列的最小系統(tǒng)要求。
　　安裝程序時會檢查系統(tǒng)是否符合要求，如果不滿足就不能繼續(xù)安裝，必須使系統(tǒng)符合要求才能安裝。
　　· 必須有計算機的系統(tǒng)管理員權(quán)限才能安裝。
特點
　　1.安全保障雖然實現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。
　　2.服務(wù)質(zhì)量保證（QoS）
　　VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對服務(wù)質(zhì)量保證的要求差別較大。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網(wǎng)絡(luò)阻塞，使實時性要求高的數(shù)據(jù)得不到及時發(fā)送；而在流量低谷時又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級分實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。
　　3.可擴充性和靈活性
　　VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。
　　4.可管理性
　　從用戶角度和運營商角度應(yīng)可方便地進行管理、維護。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險、具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。事實上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。
需求及解決方案
　　虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的壓網(wǎng)絡(luò)上，一個企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費在城域網(wǎng)和遠程網(wǎng)絡(luò)連接上的費用。同時，這將簡化網(wǎng)絡(luò)的設(shè)計和管理，加速連接新的用戶和網(wǎng)站。另外，虛擬專用網(wǎng)還可以保護現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
　　目前很多單位都面臨著這樣的挑戰(zhàn)：分公司、經(jīng)銷商、合作伙伴、客戶和外地出差人員要求隨時經(jīng)過公用網(wǎng)訪問公司的資源,這些資源包括:公司的內(nèi)部資料、辦公OA、ERP系統(tǒng)、CRM系統(tǒng)、項目管理系統(tǒng)等?，F(xiàn)在很多公司通過使用IPSec VPN來保證公司總部和分支機構(gòu)以及移動工作人員之間安全連接。
　　針對不同的用戶要求，VPN有三種解決方案：遠程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴展虛擬網(wǎng)（Extranet VPN），這三種類型的VPN分別與傳統(tǒng)的遠程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet（外部擴展）相對應(yīng)。
　　對于很多IPSec VPN用戶來說，IPSec VPN的解決方案的高成本和復(fù)雜的結(jié)構(gòu)是很頭疼的。存在如下事實：在部署和使用軟硬件客戶端的時候，需要大量的評價、部署、培訓(xùn)、升級和支持，對于用戶來說，這些無論是在經(jīng)濟上和技術(shù)上都是個很大的負擔(dān)，將遠程解決方案和昂貴的內(nèi)部應(yīng)用相集成，對任何IT專業(yè)人員來說都是嚴峻的挑戰(zhàn)。由于受到以上IPSec VPN的限制，大量的企業(yè)都認為IPSec VPN是一個成本高、復(fù)雜程度高，甚至是一個無法實施的方案。為了保持競爭力，消除企業(yè)內(nèi)部信息孤島，很多公司需要在與企業(yè)相關(guān)的不同的組織和個人之間傳遞信息，所以很多公司需要找一種實施簡便，不需改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，運營成本低的解決方案。
　　---- 從概念上講，IP-VPN是運營商(即服務(wù)提供者)支持企業(yè)用戶應(yīng)用的方案。一個通用的方法可以適用于由一個運營商來支持的、涉及其他運營商網(wǎng)絡(luò)的情況（如運營商的運營商）。
　　---- 圖1給出了實現(xiàn)IP-VPN的一個通用方案。其中，CE路由器是用于將一個用戶站點接入服務(wù)提供者網(wǎng)絡(luò)的用戶邊緣路由器。而PE路由器則是與用戶CE路由器相連的、服務(wù)提供者的邊緣路由器。
　　---- 站點是指這樣一組網(wǎng)絡(luò)或子網(wǎng)，它們是用戶網(wǎng)絡(luò)的一部分，并且通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點，一個站點可以同時位于不同的幾個VPN之中。
　　---- 圖2顯示了一個服務(wù)提供者網(wǎng)絡(luò)支持多個VPN的情況。如圖2所示，一個站點可以同時屬于多個VPN。依據(jù)一定的策略，屬于多個VPN的站點既可以在兩個VPN之間提供一定的轉(zhuǎn)發(fā)能力，也可以不提供這種能力。當(dāng)一個站點同時屬于多個VPN時，它必須具有一個在所有VPN中唯一的地址空間。
　　---- MPLS為實現(xiàn)IP-VPN提供了一種靈活的、具有可擴展性的技術(shù)基礎(chǔ)，服務(wù)提供者可以根據(jù)其內(nèi)部網(wǎng)絡(luò)以及用戶的特定需求來決定自己的網(wǎng)絡(luò)如何支持IP-VPN。所以，在MPLS/ATM網(wǎng)絡(luò)中,有多種支持IP-VPN的方法，本文介紹其中兩種方法。
　　方案一
　　---- 本節(jié)介紹一種在公共網(wǎng)中使用MPLS提供IP?VPN業(yè)務(wù)的方法。該方法使用LDP的一般操作方式，即拓撲驅(qū)動方式來實現(xiàn)基本的LSP建立過程，同時使用兩級LSP隧道(標(biāo)記堆棧)來支持VPN的內(nèi)部路由。
　　---- 圖3 給出了在MPLS/ATM核心網(wǎng)絡(luò)中提供IP?VPN業(yè)務(wù)的一種由LER和LSR構(gòu)成的網(wǎng)絡(luò)配置。
　　---- LER (標(biāo)記邊緣路由器)
　　---- LER是MPLS的邊緣路由器，它位于MPLS/ATM服務(wù)提供者網(wǎng)絡(luò)的邊緣。 對于VPN用戶的IP業(yè)務(wù)量，LER將是VPN隧道的出口與入口節(jié)點。如果一個LER同時為多個用戶所共享，它還應(yīng)當(dāng)具有執(zhí)行虛擬路由的能力。這就是說，它應(yīng)當(dāng)為自己服務(wù)的各個VPN分別建立一個轉(zhuǎn)發(fā)表，這是因為不同VPN的IP地址空間可能是有所重疊的。
　　---- LSR(標(biāo)記交換路由器)
　　---- MPLS/ATM核心網(wǎng)絡(luò)是服務(wù)提供者的下層網(wǎng)絡(luò)，它為用戶的IP-VPN業(yè)務(wù)所共享。
　　---- 建立IP-VPN區(qū)域的操作
　　---- 希望提供IP-VPN的網(wǎng)絡(luò)提供者必須首先對MPLS域進行配置。這里的MPLS域指的就是IP?VPN區(qū)域。作為一種普通的LDP操作，基本的LSP 建立過程將使用拓撲驅(qū)動方法來進行，這一過程被定義為使用基本標(biāo)記的、基本的或是單級LSP建立。而對于VPN內(nèi)部路由，則將使用兩級LSP隧道（標(biāo)記堆棧）。
　　---- VPN成員
　　---- 每一個LER都有一個任務(wù)，即發(fā)現(xiàn)在VPN區(qū)域中為同一 IP?VPN服務(wù)的其他所有LER。由于本方案最終目的是要建立第二級MPLS隧道，所以 LER發(fā)現(xiàn)對等實體的過程也就是LDP會話初始化的過程。每一個LER沿著能夠到達其他 LER的每一條基本網(wǎng)絡(luò)LSP，向下游發(fā)送一個LDP Hello消息。LDP Hello消息中會包含一個基本的MPLS標(biāo)記，以方便這些消息能夠最終到達目的LER。
　　---- LDP Hello消息實際上是一種查詢消息，通過這一消息，發(fā)送方可以獲知在目的LER處是否存在與發(fā)送方LSR同屬一個VPN的LER（對等實體）。新的Hello消息相鄰實體注冊完成之后，相關(guān)的兩個LER之間將開始發(fā)起LDP會話。隨后，其中一個LER將初始化與對方的TCP連接。當(dāng)TCP連接建立完成而且必要的初始化消息交互也完成之后，對等LER之間的會話便建立起來了。此后，雙方各自為對方到自己的LSP 隧道提供一個標(biāo)記。如果LSP隧道是嵌套隧道，則該標(biāo)記將被推入標(biāo)記棧中，并被置于原有的標(biāo)記之上。
　　---- VPN成員資格和可到達性信息的傳播
　　---- 通過路由信息的交換，LER可以學(xué)習(xí)與之直接相連的、用戶站點的IP地址前綴。LER需要找到對等LER，還需要找到在一個VPN中哪些LER 是為同一個VPN服務(wù)的。LER將與其所屬的VPN區(qū)域中其他的LER建立直接的LDP會話。換言之，只有支持相同VPN的LER之間才能成功地建立LDP會話。
　　---- VPN內(nèi)的可到達性
　　---- 最早在嵌套隧道中傳送的數(shù)據(jù)流是LER之間的路由信息。當(dāng)一個LER被配置成一個IP?VPN的一員時，配置信息將包含它在VPN內(nèi)部要使用的路由協(xié)議。在這一過程中，還可能會配置必要的安全保密特性，以便該LER能夠成為其他LER的相鄰路由器。在VPN內(nèi)部路由方案中，每一次發(fā)現(xiàn)階段結(jié)束之后，每一個LER 都將發(fā)布通過它可以到達的、VPN用戶的地址前綴。
　　---- IP分組轉(zhuǎn)發(fā)
　　---- LER之間的路由信息交互完成之后，各個LER都將建立起一個轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表將把VPN用戶的特定地址前綴(FEC轉(zhuǎn)發(fā)等價類) 與下一跳聯(lián)系起來。當(dāng)收到的IP分組的下一跳是一個LER時，轉(zhuǎn)發(fā)進程將首先把用于該LER的標(biāo)記（嵌套隧道標(biāo)記）推入標(biāo)記棧，隨后把能夠到達該LER的基本網(wǎng)絡(luò)LSP上下一跳的基本標(biāo)記推入標(biāo)記分組，接著帶有兩個標(biāo)記的分組將被轉(zhuǎn)發(fā)到基本網(wǎng)絡(luò)LSP中的下一個LSR；當(dāng)該分組到達目的LER時，最外層的標(biāo)記可能已經(jīng)發(fā)生許多次的改變，而嵌套在內(nèi)部的標(biāo)記始終保持不變；當(dāng)標(biāo)記棧彈出后，繼續(xù)使用嵌套標(biāo)記將分組發(fā)送至正確的LER。在LER上，每一個VPN使用的嵌套標(biāo)記空間必須與該LER所支持的其他所有VPN使用的嵌套標(biāo)記空間不同。
　　方案二
　　---- 本節(jié)將對一種在公共網(wǎng)中使用MPLS和多協(xié)議邊界網(wǎng)關(guān)協(xié)議來提供IP-VPN業(yè)務(wù)的方法進行介紹，其技術(shù)細節(jié)可以參見RFC 2547。
　　---- 圖1 給出了在MPLS/ATM核心網(wǎng)絡(luò)中提供IP?VPN業(yè)務(wù)的、由LER和LSR構(gòu)成的網(wǎng)絡(luò)配置，圖4則給出了使用RFC 2547的網(wǎng)絡(luò)模型。
　　---- 提供者邊緣(PE)路由器
　　---- PE路由器是與用戶路由器相連的服務(wù)提供者邊緣路由器。
　　---- 實際上它就是一個邊緣LSR（即MPLS網(wǎng)絡(luò)與不使用 MPLS的用戶或服務(wù)提供者之間的接口）。
　　---- 用戶邊緣 (CE)路由器
　　---- CE路由器是用于將一個用戶站點接至PE路由器的用戶邊緣路由器。在這一方案中，CE路由器不使用MPLS，它只是一臺IP路由器。CE不必支持任何VPN的特定路由協(xié)議或信令。
　　---- 提供者(P)路由器
　　---- P路由器是指網(wǎng)絡(luò)中的核心LSR。
　　---- 站點（Site）
　　---- 站點是指這樣一組網(wǎng)絡(luò)或子網(wǎng)：它們是用戶網(wǎng)絡(luò)的一部分，通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點。一個站點可以同時位于不同的幾個VPN之中。
　　---- 路徑區(qū)別標(biāo)志
　　---- 服務(wù)提供者將為每一個VPN分配一個唯一的標(biāo)志符，該標(biāo)志符稱為路徑區(qū)別標(biāo)志（RD）,它對應(yīng)于服務(wù)提供者網(wǎng)絡(luò)中的每一個Intranet或Extranet 都是不同的。PE路由器中的轉(zhuǎn)發(fā)表里將包含一系列唯一的地址，這些地址稱為VPN?IP 地址，它們是由RD與用戶的IP地址連接而成的。VPN?IP地址對于服務(wù)提供者網(wǎng)絡(luò)中的每一個端點都是唯一的，對于VPN中的每一個節(jié)點（即VPN中的每一個PE路由器），轉(zhuǎn)發(fā)表中都將存儲有一個條目。
　　---- 連接模型
　　---- 圖4給出了MPLS/BGP VPN的連接模型。
　　---- 從圖4中可以看出，P路由器位于MPLS網(wǎng)絡(luò)的核心。 PE路由器將使用MPLS與核心MPLS網(wǎng)絡(luò)通信，同時使用IP路由技術(shù)來與CE路由器通信。 P與PE路由器將使用IP路由協(xié)議（內(nèi)部網(wǎng)關(guān)協(xié)議）來建立MPLS核心網(wǎng)絡(luò)中的路徑，并且使用LDP實現(xiàn)路由器之間的標(biāo)記分發(fā)。
　　---- PE路由器使用多協(xié)議BGP?4來實現(xiàn)彼此之間的通信，完成標(biāo)記交換和每一個VPN策略。除非使用了路徑映射標(biāo)志（route reflector），否則PE 之間是BGP全網(wǎng)狀連接。特別地，圖4中的PE處于同一自治域中，它們之間使用內(nèi)部BGP （iBGP）協(xié)議。
　　---- P路由器不使用BGP協(xié)議而且對VPN一無所知，它們使用普通的MPLS協(xié)議與進程。
　　---- PE路由器可以通過IP路由協(xié)議與CE路由器交換IP路徑，也可以使用靜態(tài)路徑。在CE與PE路由器之間使用普通的路由進程。CE路由器不必實現(xiàn)MPLS或?qū)PN有任何特別了解。
　　---- PE路由器通過iBGP將用戶路徑分發(fā)到其他的PE路由器。為了實現(xiàn)路徑分發(fā)，BGP使用VPN-IP地址（由RD和IPv4地址構(gòu)成）。這樣，不同的VPN可以使用重疊的IPv4地址空間而不會發(fā)生VPN-IP地址重復(fù)的情況。
　　---- PE路由器將BGP計算得到的路徑映射到它們的路由表中，以便把從CE路由器收到的分組轉(zhuǎn)發(fā)到正確的LSP上。
　　---- 這一方案使用兩級標(biāo)記：內(nèi)部標(biāo)記用于PE路由器對于各個VPN的識別，外部標(biāo)記則為MPLS網(wǎng)絡(luò)中的LSR所用——它們將使用這些標(biāo)記把分組轉(zhuǎn)發(fā)給正確的PE。
　　---- 建立IP-VPN區(qū)域的操作
　　---- 希望提供IP-VPN業(yè)務(wù)的網(wǎng)絡(luò)提供者必須按照連接需求對網(wǎng)絡(luò)進行設(shè)計與配置，這包括：PE必須為其支持的VPN以及與之相連的CE所屬的VPN 進行配置；MPLS網(wǎng)絡(luò)或者是一個路徑映射標(biāo)志中的PE路由器之間必須進行對等關(guān)系的配置；為了與CE進行通信，還必須進行普通的路由協(xié)議配置；為了與MPLS核心網(wǎng)絡(luò)進行通信，還必須進行普通的MPLS配置（如LDP、IGP）。另外，P路由器除了要求能夠支持MPLS之外，還要能夠支持VPN。
　　>---- VPN成員資格和可到達性信息的傳播
　　---- PE路由器使用IP路由協(xié)議或者是靜態(tài)路徑的配置來交換路由信息，并且通過這一過程獲得與之直接相連的用戶網(wǎng)站IP地址前綴。
　　---- PE路由器通過與其BGP對等實體交換VPN-IP地址前綴來獲得到達目的VPN站點的路徑。另外，PE路由器還要通過BGP與其PE路由器對等實體交換標(biāo)記，以此確定PE路由器間連接所使用的LSP。這些標(biāo)記用作第二級標(biāo)記，P 路由器看不到這些標(biāo)記。
　　---- PE路由器將為其支持的每一個VPN分別建立路由表和轉(zhuǎn)發(fā)表，與一個PE路由器相連的CE路由器則根據(jù)該連接所使用的接口選擇合適的路由表。
　　---- IP分組轉(zhuǎn)發(fā)
　　---- PE之間的路由信息交換完成之后，每一個PE都將為每一個VPN建立一個轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表將把VPN用戶的特定地址前綴與下一跳PE路由器聯(lián)系起來。
　　---- 當(dāng)收到發(fā)自CE路由器的IP分組時，PE路由器將在轉(zhuǎn)發(fā)表中查詢該分組對應(yīng)的VPN。
　　---- 如果找到匹配的條目，路由器將執(zhí)行以下操作：
　　---- 如果下一跳是一個PE路由器，轉(zhuǎn)發(fā)進程將首先把從路由表中得到的、該PE路由器所對應(yīng)的標(biāo)記（嵌套隧道標(biāo)記）推入標(biāo)記棧；PE路由器把基本的標(biāo)記推入分組，該標(biāo)記用于把分組轉(zhuǎn)發(fā)到到達目的PE路由器的、基本網(wǎng)絡(luò)LSP上的第一跳；帶有兩級標(biāo)記的分組將被轉(zhuǎn)發(fā)到基本網(wǎng)絡(luò)LSP上的下一個LSR。
　　---- P路由器（LSR）使用頂層標(biāo)記及其路由表對分組繼續(xù)進行轉(zhuǎn)發(fā)。當(dāng)該分組到達目的LER時，最外層的標(biāo)記可能已發(fā)生多次改變，而嵌套在內(nèi)部的標(biāo)記保持不變。
　　---- 當(dāng)PE收到分組時，它使用內(nèi)部標(biāo)記來識別VPN。此后， PE將檢查與該VPN相關(guān)的路由表，以便決定對分組進行轉(zhuǎn)發(fā)所要使用的接口。
　　---- 如果在VPN路由表中找不到匹配的條目，PE路由器將檢查Internet路由表（如果網(wǎng)絡(luò)提供者具備這一能力）。如果找不到路由，相應(yīng)分組將被丟棄。
　　---- VPN?IP轉(zhuǎn)發(fā)表中包含VPN?IP地址所對應(yīng)的標(biāo)記，這些標(biāo)記可以把業(yè)務(wù)流路由至VPN中的每一個站點。這一過程由于使用的是標(biāo)記而不是IP 地址，所以在企業(yè)網(wǎng)中，用戶可以使用自己的地址體系，這些地址在通過服務(wù)提供者網(wǎng)絡(luò)進行業(yè)務(wù)傳輸時無需網(wǎng)絡(luò)地址翻譯（NAT）。通過為每一個VPN使用不同的邏輯轉(zhuǎn)發(fā)表，不同的VPN業(yè)務(wù)將可以被分開。使用BGP協(xié)議，交換機可以根據(jù)入口選擇一個特定的轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表可以只列出一個VPN有效目的地址。
　　---- 為了建立企業(yè)的Extranet，服務(wù)提供者需要對VPN之間的可到達性進行明確指定(可能還需要進行NAT配置)。
　　---- 安全
　　---- 在服務(wù)提供者網(wǎng)絡(luò)中，PE所使用的每一個分組都將與一個RD相關(guān)聯(lián)，這樣，用戶無法將其業(yè)務(wù)流或者是分組偷偷送入另一個用戶的VPN。要注意的是，在用戶數(shù)據(jù)分組中沒有攜帶RD，只有當(dāng)用戶位于正確的物理端口上或擁有PE路由器中已經(jīng)配置的、適當(dāng)?shù)腞D時，用戶才能加入一個Intranet或 Extranet。這一建立過程可以保證非法用戶無法進入VPN，從而為用戶提供與幀中繼、租用線或ATM業(yè)務(wù)相同的安全等級。
　　還有如下的說明：
　　VPN是Virtual Private Network的縮寫,中文譯為虛擬專用網(wǎng)。Virtual Network的含義有兩個，一是VPN是建立在現(xiàn)有物理網(wǎng)絡(luò)之上，與物理網(wǎng)絡(luò)具體的網(wǎng)絡(luò)結(jié)構(gòu)無關(guān)，用戶一般無需關(guān)心物理網(wǎng)絡(luò)和設(shè)備；二是VPN用戶使用VPN時看到的是一個可預(yù)先設(shè)定義的動態(tài)的網(wǎng)絡(luò)。Private Network的含義也有兩個，一是表明VPN建立在所有用戶能到達的公共網(wǎng)絡(luò)上，特別是Internet，也包括PSTN、幀中繼、ATM等，當(dāng)在一個由專線組成的專網(wǎng)內(nèi)構(gòu)建VPN時，相對VPN這也是一個“公網(wǎng)”；二是VPN將建立專用網(wǎng)絡(luò)或者稱為私有網(wǎng)絡(luò)，確保提供安全的網(wǎng)絡(luò)連接，它必須具備幾個關(guān)鍵功能：認證、訪問控制、加密和數(shù)據(jù)完整。
　　一個網(wǎng)絡(luò)連接一般由三個部分組成：客戶機、傳輸介質(zhì)和服務(wù)器。VPN也一樣，不同的是VPN連接使用隧道作為傳輸通道，靠的是對數(shù)據(jù)包的封裝和加密。
　　VPN是一種快速建立廣域聯(lián)接的互聯(lián)和訪問工具，也是一種強化網(wǎng)絡(luò)安全和管理的工具。
　　VPN建立在用戶的物理網(wǎng)絡(luò)之上、融入在用戶的網(wǎng)絡(luò)應(yīng)用系統(tǒng)之中。VPN技術(shù)涵蓋了多個技術(shù)專業(yè),不同應(yīng)用領(lǐng)域所適用的技術(shù)和產(chǎn)品有很大差異。
　　VPN技術(shù)仍在快速發(fā)展中。
SSL VPN
　　從概念角度來說，SSL VPN即指采用SSL （Security Socket Layer）協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認證、客戶認證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于內(nèi)、外部應(yīng)用來說，使用SSL可保證信息的真實性、完整性和保密性。目前SSL 協(xié)議被廣泛應(yīng)用于各種瀏覽器應(yīng)用，也可以應(yīng)用于Outlook等使用TCP協(xié)議傳輸數(shù)據(jù)的C/S應(yīng)用。正因為SSL 協(xié)議被內(nèi)置于IE等瀏覽器中，使用SSL 協(xié)議進行認證和數(shù)據(jù)加密的SSL VPN就可以免于安裝客戶端。相對于傳統(tǒng)的IPSEC VPN而言，SSL VPN具有部署簡單，無客戶端，維護成本低，網(wǎng)絡(luò)適應(yīng)強等特點，這兩種類型的VPN之間的差別就類似C/S構(gòu)架和B/S構(gòu)架的區(qū)別。
　　一般而言，SSL VPN必須滿足最基本的兩個要求：
　　1. 使用SSL 協(xié)議進行認證和加密；沒有采用SSL 協(xié)議的VPN產(chǎn)品自然不能稱為SSL VPN，其安全性也需要進一步考證。
　　2. 直接使用瀏覽器完成操作，無需安裝獨立的客戶端；即使使用了SSL 協(xié)議，但仍然需要分發(fā)和安裝獨立的VPN客戶端 (如Open VPN)不能稱為SSL VPN，否則就失去了SSL VPN易于部署，免維護的優(yōu)點了。
分類比較
　　socks5 VPN與IPSec VPN、ssl vpn特點比較
　　首先讓我們從SSL VPN和IPSec VPN個陣營出發(fā)做一個比較。
　　1 SSL VPN相對于IPSec VPN的優(yōu)勢
　　1.1 SSL VPN比IPSec VPN部署、管理成本低
　　首先我們先認識一下IPSEC存在的不足之處:
　　在設(shè)計上，IPSec VPN是一種基礎(chǔ)設(shè)施性質(zhì)的安全技術(shù)。這類VPN的真正價值在于，它們盡量提高IP環(huán)境的安全性?？蓡栴}在于，部署IPSec需要對基礎(chǔ)設(shè)施進行重大改造，以便遠程訪問。好處就擺在那里，但管理成本很高。IPSec安全協(xié)議方案需要大量的IT技術(shù)支持，包括在運行和長期維護兩個方面。在大的企業(yè)通常有幾個專門的員工為通過IPSec安全協(xié)議進行的VPN遠程訪問提供服務(wù)。
　　IPSec VPN最大的難點在于客戶端需要安裝復(fù)雜的軟件，而且當(dāng)用戶的VPN策略稍微有所改變時，VPN的管理難度將呈幾何級數(shù)增長。SSL VPN則正好相反，客戶端不需要安裝任何軟件或硬件，使用標(biāo)準的瀏覽器，就可通過簡單的SSL安全加密協(xié)議，安全地訪問網(wǎng)絡(luò)中的信息。
　　其次我們再看看SSL的優(yōu)勢特點:
　　SSL VPN避開了部署及管理必要客戶軟件的復(fù)雜性和人力需求;SSL在Web的易用性和安全性方面架起了一座橋梁，目前對SSL VPN公認的三大好處是:
　　第一來自于它的簡單性，它不需要配置，可以立即安裝、立即生效;
　　第二個好處是客戶端不需要麻煩的安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行;
　　第三個好處是兼容性好，傳統(tǒng)的IPSec VPN對客戶端采用的操作系統(tǒng)版本具有很高的要求，不同的終端操作系統(tǒng)需要不同的客戶端軟件，而SSL VPN則完全沒有這樣的麻煩。
　　綜合分析可見:
　　1. SSL VPN強調(diào)的優(yōu)勢其實主要集中在VPN客戶端的部署和管理上，我們知道SSL VPN一再強調(diào)無需安裝客戶端，主要是由于瀏覽器內(nèi)嵌了SSL協(xié)議，也就是說是基于B/S結(jié)構(gòu)的業(yè)務(wù)時，可以直接使用瀏覽器完成SSL的VPN建立;
　　2. 某些SSL VPN廠商如F5有類似IPSec VPN的“網(wǎng)絡(luò)訪問”方式，可以解決傳統(tǒng)的C/S應(yīng)用程序的問題，用戶用瀏覽器登錄SSL VPN設(shè)備后，撥通網(wǎng)絡(luò)訪問資源即可獲得一個虛擬IP，即可以訪問按照安全策略允許訪問的內(nèi)網(wǎng)地址和端口，和IPSec VPN不同的是，這種方式并非工作在網(wǎng)絡(luò)層，所以不會有接入地點的限制;
　　1.2 SSL VPN比IPSec VPN更安全
　　首先我們還是先認識一下IPSEC存在的不足之處:
　　1. 在通路本身安全性上，傳統(tǒng)的IPSec VPN還是非常安全的，比如在公網(wǎng)中建立的通道，很難被人篡改。說其不安全，是從另一方面考慮的，就是在安全的通路兩端，存在很多不安全的因素。比如總公司和子公司之間用IPsec VPN連接上了，總公司的安全措施很嚴密，但子公司可能存在很多安全隱患，這種隱患會通過IPsec VPN傳遞給總公司，這時，公司間的安全性就由安全性低的分公司來決定了。
　　2. 比如黑客想要攻擊應(yīng)用系統(tǒng)，如果遠程用戶以IPSec VPN的方式與公司內(nèi)部網(wǎng)絡(luò)建立聯(lián)機之后，內(nèi)部網(wǎng)絡(luò)所連接的應(yīng)用系統(tǒng)，黑客都是可以偵測得到，這就提供了黑客攻擊的機會。
　　3. 比如應(yīng)對病毒入侵，一般企業(yè)在Internet聯(lián)機入口，都是采取適當(dāng)?shù)姆蓝緜蓽y措施。采用IPSec聯(lián)機，若是客戶端電腦遭到病毒感染，這個病毒就有機會感染到內(nèi)部網(wǎng)絡(luò)所連接的每臺電腦。
　　4. 不同的通訊協(xié)議，并且通過不同的通訊端口來作為服務(wù)器和客戶端之間的數(shù)據(jù)傳輸通道。以Internet Email系統(tǒng)來說，發(fā)信和收信一般都是采取SMTP和POP3通訊協(xié)議，而且兩種通訊協(xié)議采用25和110端口，若是從遠程電腦來聯(lián)機Email服務(wù)器，就必須在防火墻上開放25和110端口，否則遠程電腦是無法與SMTP和POP3主機溝通的。IPSec VPN聯(lián)機就會有這個困擾和安全顧慮。在防火墻上，每開啟一個通訊埠，就多一個黑客攻擊機會。
　　其次我們再看看SSL的優(yōu)勢特點:
　　1. SSL安全通道是在客戶到所訪問的資源之間建立的，確保點到點的真正安全。無論在內(nèi)部網(wǎng)絡(luò)還是在因特網(wǎng)上數(shù)據(jù)都不是透明的，客戶對資源的每一次操作都需要經(jīng)過安全的身份驗證和加密。
　　2. 若是采取SSL VPN來聯(lián)機，因為是直接開啟應(yīng)用系統(tǒng)，并沒在網(wǎng)絡(luò)層上連接，黑客不易偵測出應(yīng)用系統(tǒng)內(nèi)部網(wǎng)絡(luò)設(shè)置，同時黑客攻擊的也只是VPN服務(wù)器，無法攻擊到后臺的應(yīng)用服務(wù)器，攻擊機會相對就減少。有的廠商如F5公司的產(chǎn)品，可以對客戶端允許訪問的地址、協(xié)議、端口都加以限制;可以對客戶端做各種檢查，如操作系統(tǒng)補丁、防病毒軟件及病毒庫更新時間、個人防火墻等等，不符合條件的客戶端可以不允許其登錄，這樣就大大增加了整個系統(tǒng)的安全性。
　　3. 而對于SSL VPN的聯(lián)機，病毒傳播會局限于這臺主機，而且這個病毒必須是針對應(yīng)用系統(tǒng)的類型，不同類型的病毒是不會感染到這臺主機的。因此通過SSL VPN連接，受外界病毒感染的可能性大大減小。有的廠商如F5公司的產(chǎn)品，自身帶有防病毒軟件，更可以通過標(biāo)準協(xié)議連接防病毒軟件，加強對于病毒的防治。
　　4. SSL VPN就沒有這方面的困擾。因為在遠程主機與SSLVPN 之間，采用SSL通訊端口443來作為傳輸通道，這個通訊端口，一般是作為Web Server對外的數(shù)據(jù)傳輸通道，因此，不需在防火墻上做任何修改，也不會因為不同應(yīng)用系統(tǒng)的需求，而來修改防火墻上的設(shè)定，減少IT管理者的困擾。如果所有后臺系統(tǒng)都通過SSL VPN的保護，那么在日常辦公中防火墻只開啟一個443端口就可以，因此大大增強內(nèi)部網(wǎng)絡(luò)受外部黑客攻擊的可能性。
　　1.3 SSL VPN與IPSec VPN相比，具有更好的可擴展性
　　首先我們還是先認識一下IPSec VPN存在的不足之處:
　　IPSec VPN在部署時一般放置在網(wǎng)絡(luò)網(wǎng)關(guān)處，因而要考慮網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)結(jié)構(gòu)，那么IPSec VPN就要重新部署，因此造成IPSec VPN的可擴展性比較差。
　　其次我們再看看SSL VPN的優(yōu)勢特點:
　　SSL VPN就有所不同，它一般部署在內(nèi)網(wǎng)中任一節(jié)點處即可，可以隨時根據(jù)需要，添加需要VPN保護的服務(wù)器，因此無需影響原有網(wǎng)絡(luò)結(jié)構(gòu)。
　　1.4 SSL VPN在訪問控制方面比IPSec VPN具有更細粒度
　　為什么最終用戶要部署VPN，究其根本原因，還是要保護網(wǎng)絡(luò)中重要數(shù)據(jù)的安全，比如財務(wù)部門的財務(wù)數(shù)據(jù)，人事部門的人事數(shù)據(jù)，銷售部門的項目信息，生產(chǎn)部門的產(chǎn)品配方等等。
　　首先我們還是先認識一下IPSEC存在的不足之處:
　　由于IPSec VPN部署在網(wǎng)絡(luò)層，因此，內(nèi)部網(wǎng)絡(luò)對于通過VPN的使用者來說是透明的，只要是通過了IPSec VPN網(wǎng)關(guān)，他可以在內(nèi)部為所欲為。因此，IPSec VPN的目標(biāo)是建立起來一個虛擬的IP網(wǎng)，而無法保護內(nèi)部數(shù)據(jù)的安全。所以IPSec VPN又被稱為網(wǎng)絡(luò)安全設(shè)備。
　　其次我們再看看SSL的優(yōu)勢特點:
　　在電子商務(wù)和電子政務(wù)日益發(fā)展的今天，各種應(yīng)用日益復(fù)雜，需要訪問內(nèi)部網(wǎng)絡(luò)人員的身份也多種多樣，比如可能有自己的員工、控股公司的工作人員、供貨商、分銷商、商業(yè)合作伙伴等等。與IPSec VPN只搭建虛擬傳輸網(wǎng)絡(luò)不同的是，SSL VPN重點在于保護具體的敏感數(shù)據(jù)，比如SSL VPN可以根據(jù)用戶的不同身份，給予不同的訪問權(quán)限。就是說，雖然都可以進入內(nèi)部網(wǎng)絡(luò)，但是不同人員可以訪問的數(shù)據(jù)是不同的。而且在配合一定的身份認證方式的基礎(chǔ)上，不僅可以控制訪問人員的權(quán)限，還可以對訪問人員的每個訪問，做的每筆交易、每個操作進行數(shù)字簽名，保證每筆數(shù)據(jù)的不可抵賴性和不可否認性，為事后追蹤提供了依據(jù)。
　　1.5 使用SSL VPN相比IPSec VPN也具有更好的經(jīng)濟性
　　假設(shè)一個公司有1000個用戶需要進行遠程訪問，那么如果購買IPSec VPN，那么就需要購買1000個客戶端許可，而如果購買SSL VPN，因為這1000個用戶并不同時進行遠程訪問，按照統(tǒng)計學(xué)原理，假定只有100個用戶會同時進行遠程訪問，只需要購買100個客戶端許可即可。
　　2 F5產(chǎn)品的特色
　　現(xiàn)在市場上充斥了各式各樣的SSL VPN產(chǎn)品，相對于IPSec VPN產(chǎn)品之間的區(qū)別，SSL VPN產(chǎn)品之間的區(qū)別大的驚人，從“玩具”形態(tài)只實現(xiàn)了簡單反向SSL代理的SSL VPN到提供了眾多功能的“工具”級的成熟SSL VPN產(chǎn)品，是完全不同的，下面從F5的FirePass的特點出發(fā)再與IP Sec VPN產(chǎn)品做一個對比。
　　2.1 產(chǎn)品的多樣化
　　F5的FirePass在同一硬件里集成了IP Sec VPN與SSL VPN功能，為企業(yè)節(jié)省了投資。
　　2.2 豐富的功能
　　F5的FirePass的SSL VPN包括網(wǎng)絡(luò)訪問、web 應(yīng)用程序、Windows文件共享、移動電子郵件、針對C/S應(yīng)用的應(yīng)用訪問等功能，提供了遠比IPSec VPN豐富的功能。
　　2.3 高可用性
　　對于遠程訪問非常重要的企業(yè)來說，遠程訪問設(shè)備的高可用性非常重要，而IPSec VPN無法提供高可用性，往往成為系統(tǒng)的單點故障。而F5 FirePass可以多臺以集群方式對外提供服務(wù)，也可以前端使用F5 BIG IP作為負載均衡設(shè)備對外提供服務(wù)，在提高系統(tǒng)可用性的同時也提高了系統(tǒng)性能。
　　2.4 與企業(yè)原有AAA服務(wù)器集成
　　企業(yè)在部署遠程訪問設(shè)備之前，一般都部署了各種形式的AAA服務(wù)器，一般有Active Directory、LDAP、Raduis、企業(yè)自行開發(fā)的SSO等等，客戶端也有PKI、RSA Secure ID等等。FirePass可以輕易的與這樣AAA服務(wù)器集成，對于IT管理員來說，可以輕易將一臺FirePass加入企業(yè)網(wǎng)，用戶管理仍然由原來的 AAA服務(wù)器去做。
　　2.5 詳細的日志功能
　　IPSec VPN的日志功能非常薄弱，而FirePass可以提供非常豐富的用戶級日志功能，更可以通過標(biāo)準的日志協(xié)議將日志實時傳送給企業(yè)中的日志服務(wù)器，便于審計。
　　2.6 更高的安全性
　　IPSec VPN的安全性一直是一個弱點，由于IPSec VPN而引起的病毒、木馬、Web攻擊一直是無法徹底解決的問題，而F5 FirePass可以很好的解決這個問題。在FirePass的門戶站主機訪問模式下，F(xiàn)irePass可以對上傳的文件做病毒掃描，更可以與企業(yè)現(xiàn)有的防病毒軟件聯(lián)動，徹底解決病毒問題。而FirePass內(nèi)帶的內(nèi)容檢查功能，解決了Web攻擊問題。
　　F5 FirePass可以對客戶端做各種掃描，如操作系統(tǒng)版本、補丁版本、防病毒軟件種類、病毒庫更新時間等等，從而堵住病毒、木馬入侵的途徑。
　　F5 FirePass可以對接入客戶進行各種限制，如可以訪問的地址、端口、URL等等。
　　F5 FirePass可以配置成在退出時自動清除高速緩存。
　　以上這些功能都大大增強了系統(tǒng)的安全性。
　　2.7 接入設(shè)備的多樣性
　　F5 FirePass可以使用多種客戶端接入，包括Mac、Linux、Solaris、Windows CE等等，大大擴展了客戶端的使用便利性。
　　2.8 更高的性能
　　對于SSL VPN的性能，一向是IPSec VPN陣營攻擊SSL VPN的有力武器。確實，SSL VPN單臺的性能是無法與最高端的IPSec VPN相抗衡的，但是由于F5的FirePass可以通過自由堆疊來擴展，反而可以提供更高的性能。
　　Socks5 VPN功能是對傳統(tǒng)的IPSec VPN和SSL VPN的革新，是在總結(jié)了IPSec VPN和SSL VPN的優(yōu)缺點以后，提出的一種全新的解決方案。
　　3.Socks5 VPN運行在會話層，并且提供了對應(yīng)用數(shù)據(jù)和應(yīng)用協(xié)議的可見性，使網(wǎng)絡(luò)管理員能夠?qū)τ脩暨h程訪問實施細粒度的安全策略檢查?；跁拰訉崿F(xiàn)Socks5 VPN的核心是會話層代理，通過代理可以將用戶實際的網(wǎng)絡(luò)請求轉(zhuǎn)發(fā)給應(yīng)用服務(wù)器，從而實現(xiàn)遠程訪問的能力。
　　在實現(xiàn)上，通過在用戶機器上安裝Socks5 VPN瘦客戶端，由瘦客戶端監(jiān)控用戶的遠程訪問請求，并將這些請求轉(zhuǎn)化成代理協(xié)議可以識別的請求并發(fā)送給Socks5 VPN服務(wù)器進行處理，Socks5 VPN服務(wù)器則根據(jù)發(fā)送者的身份執(zhí)行相應(yīng)的身份認證和訪問控制策略。在這種方式上，Socks5 VPN客戶端和Socks5 VPN服務(wù)器扮演了中間代理的角色，可以在用戶訪問遠程資源之前執(zhí)行相應(yīng)的身份認證和訪問控制，只有通過檢查的合法數(shù)據(jù)才允許流進應(yīng)用服務(wù)器，從而有力保護了組織的內(nèi)部專用網(wǎng)絡(luò)。
VPN上管理帶寬
　　在網(wǎng)絡(luò)中，服務(wù)質(zhì)量(QoS)是指所能提供的帶寬級別。將QoS融入一個VPN，使得管理員可以在網(wǎng)絡(luò)中完全控制數(shù)據(jù)流。信息包分類和帶寬管理是兩種可以實現(xiàn)控制的方法：
　　信息包分類
　　信息包分類按重要性將數(shù)據(jù)分組。數(shù)據(jù)越重要，它的級別越高，當(dāng)然，它的操作也會優(yōu)先于同網(wǎng)絡(luò)中相對次要的數(shù)據(jù)。
　　帶寬管理
　　通過帶寬管理，一個VPN管理員可以監(jiān)控網(wǎng)絡(luò)中所有輸入輸出的數(shù)據(jù)流，可以允許不同的數(shù)據(jù)包類獲得不同的帶寬。
　　其他的帶寬控制形式還有：
　　通信量管理
　　通信量管理方法的形成是一個服務(wù)提供商在Internet通信擁塞中發(fā)現(xiàn)的。大量的輸入輸出數(shù)據(jù)流排隊通過，這使得帶寬沒有得到合理使用。
　　公平帶寬
　　公平帶寬允許網(wǎng)絡(luò)中所有用戶機會均等地利用帶寬訪問Internet。通過公平帶寬，當(dāng)應(yīng)用程序需要用更大的數(shù)據(jù)流，例如MP3時，它將減少所用帶寬以便給其他人訪問的機會。
　　傳輸保證
　　傳輸保證為網(wǎng)絡(luò)中特殊的服務(wù)預(yù)留出一部分帶寬，例如視頻會議，IP電話和現(xiàn)金交易。它判斷哪個服務(wù)有更高的優(yōu)先權(quán)并分配相應(yīng)帶寬。
　　[1]網(wǎng)絡(luò)管理員必須管理虛擬個人網(wǎng)絡(luò)以及使一個組織正常運作所需的資源。因為遠程辦公還有待發(fā)展，VPN管理員在維護帶寬上還有許多問題。然而，新技術(shù)對QoS的補充將會幫助網(wǎng)絡(luò)管理員解決這個問題。
國內(nèi)外知名硬件VPN品牌
　　目前國內(nèi)外硬件VPN產(chǎn)品已經(jīng)相對比較成熟了，這里列出幾個國內(nèi)外有一定歷史的知名品牌：
　　國外品牌：1.Cisco 2.Juniper 3.Array 4.Netgear 5.Watchguard 6.Hillstone
　　國內(nèi)品牌：1.e地通 2.深信服 3.H3C 4.迅博 5.冰峰網(wǎng)絡(luò) 6.奧聯(lián) 7.衛(wèi)士通 8.賽藍 9.365VPN 10.X-Y小語vpn11.天益隨易聯(lián)vpn12.易通VPN 13.網(wǎng)一VPN 14.513VPN15.517VPN
　　國內(nèi)VPN標(biāo)準制定：
　　VPN標(biāo)準分為兩類：IPSec VPN、SSL VPN
　　IPSec VPN國家標(biāo)準制定單位：華為、深信服、中興、無錫江南信息安全工程技術(shù)中心。
　　SSL VPN國家標(biāo)準制定單位：華為技術(shù)有限公司、深圳市深信服電子科技有限公司、無錫江南信息安全工程技術(shù)中心、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、深圳市奧聯(lián)科技有限公司等十余家單位。
　　國內(nèi)免費的VPN
　　91vpn: 91vpn是由91wangyou提供的一種永久免費VPN服務(wù)，簡單易用。
　　55dns加速器：55dns加速器是一種加速軟件，自帶客戶端，目前免費的VPN，優(yōu)點：使用簡單、加速穩(wěn)定
　　OpenVPN，這是目前最佳的開源VPN軟件，配置簡單，特色眾多，支持多平臺。
　　最簡單也是最方便的方法：去各大網(wǎng)站找測試免費VPN或者免費VPN代理，也有一些免費vpn公布器，差不多每天都會有人發(fā)，有些速度還不錯。
　　優(yōu)點：速度還行，隨到隨拿。
　　缺點：使用期限較短，而且有些使用人數(shù)一多VPN就容易被封。
　　Winsows2003 vpn設(shè)置 如下：
　　一般在中小企業(yè)都喜歡用NAT來實現(xiàn)網(wǎng)絡(luò)共享，通常又不會裝其他NAT軟件，在原來Win 2000的基礎(chǔ)上Win 2003又增加了對VPN的支持，無需第三方軟件或硬件就能完成連接……
　　硬件：雙網(wǎng)卡，一塊接ADSL modem，一塊接局域網(wǎng)。
　　首先右擊“我的電腦”，選擇“管理”，在“本地用戶和組”中，添加一個VPN連接的用戶名，并允許遠程連接。再打開“控制面板/管理工具”，雙擊其中的“管理服務(wù)器”，選擇“添加刪除角色”，添加“遠程訪問/VPN”。
　　添加VPN服務(wù)
　　設(shè)置NAT轉(zhuǎn)發(fā)
　　如果你還沒有設(shè)置連接到ADSL的連接，在選擇了“創(chuàng)建一個新的到Internet的請求撥號接口”后，會彈出ADSL撥號連接的設(shè)置窗口，按照通常的ADSL撥號連接設(shè)置進行設(shè)置即可。
　　設(shè)置連接到Internet的網(wǎng)卡
　　設(shè)置連接內(nèi)網(wǎng)的網(wǎng)卡
　　還是打開“管理服務(wù)器”，進入"遠程/VPN”管理，如圖所示：
　　管理VPN連接
　　右擊ADSL連接，選擇“屬性”，在里面可以修改撥號連接的方式和屬性。
　　此處還可修改撥號連接的屬性
　　接下來設(shè)置VPN連接與防火墻對VPN端口的開啟，右擊“端口”，選擇“屬性”，默認VPN連接數(shù)為“PPTP"5個，L2TP 5個”，可以在屬性中修改。
　　修改VPN的屬性
　　右擊你建立的服務(wù)器，選擇“屬性”，接下來設(shè)置VPN撥入時候的IP地址，如果有DHCP服務(wù)器的話也可以使用。
　　設(shè)置撥入IP地址
　　接著設(shè)置防火墻規(guī)則，不然外面進不來，右擊你的ADSL連接，選擇“屬性”，雙擊“VPN網(wǎng)關(guān)（PPTP）”，在里邊設(shè)置即可，當(dāng)然,你也可以不用默認的防火墻，裝個ISA2004效果更好。
　　設(shè)置撥入防火墻
　　再在服務(wù)器上裝個動態(tài)域名解析，應(yīng)該更方便連接VPN，呵呵。