1.2 VPN方案的分类

随着网络技术的发展，VPN技术得到了广泛的应用，同时也得到了很大的发展，基于各种软硬件平台涌现了许多不同的VPN解决方案。按照不同的角度，VPN方案可以分为多种类型。

1.2.1 按VPN的应用平台分类

根据VPN的应用平台可分为：软件平台和硬件平台两类。

1．软件平台VPN

当对数据连接速率要求不高，对性能和安全性要求不强时，可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN的功能，如OpenVPN、GreenVPN、天行VPN等。甚至可以不需要另外购置软件，仅依靠Windows和Linux服务器、客户端操作系统就可以实现纯软件平台的VPN连接。

这类VPN网络一般性能较差，数据传输速率较低，同时在安全性方面也比较低，一般仅适用于连接用户较少的小型企业和个人用户。

2．硬件平台VPN

使用硬件平台的VPN功能可以满足企业和个人用户对高数据安全及通信性能的需求。在硬件平台VPN中，有专门的VPN设备，如网康VPN、深信服VPN及品牌的VPN网关设备，但更多是集成在交换机、路由器或防火墙设备中的，如华为、思科和华三等三层交换机（交换机仅支持少数VPN方案）、路由器和防火墙中就自带有一些VPN功能。本书专门介绍华为交换机、路由器中的VPN解决方案。

其实，硬件平台VPN也并不是仅需要硬件设备，对于一些移动接入用户也还是需要借助一些软件系统来实现的。通常是需要在用户主机上安装VPN客户端软件，如HUAWEI VPN Client等。

1.2.2 按组网模型分

在华为设备所支持的VPN解决方案中，按组网模型也即组网方式分，目前主要有VPDN（Virtual Private Dial Network，虚拟专用拨号网络）、VPRN（Virtual Private Routing Network，虚拟专用路由网络）、VLL（Virtual Leased Line，虚拟租用线路）和VPLS（Virtual Private LAN Service，虚拟专用局域网业务）等几种VPN解决方案。

1．VPDN方案

随着企业的发展和业务的不断拓展，在不同地域成立的分支机构和出差的员工往往也需要和公司总部网络建立快速、安全和可靠的网络连接，以实现资源共享。传统的拨号网络需要租用ISP的电话线路，申请公共的号码或IP地址，不仅产生高额的费用，而且无法为远程用户尤其是出差员工提供便利的接入服务。为了更好的利用拨号网络，方便远程用户的接入，产生了基于拨号网络的VPN，即VPDN。通过VPDN技术，远程用户和企业总部网关之间建立了一条端到端虚拟链路。

在VPDN类型中，又根据所采用的隧道技术的不同而分为以下几种VPN方案。

（1）PPTP（Point-to-Point Tunneling Protocol，点对点隧道协议） VPN

PPTP协议是在PPP协议的基础上开发的一种新的增强型安全协议，支持多协议VPN，可以通过密码验证协议（PAP）、可扩展认证协议（EAP）等方法增强安全性。可以使远程用户通过拨入ISP、直接连接Internet或其他网络安全地访问企业网。主要应用于直接通过各种Windows、Linux操作系统构建VPN网络的应用场景。

这种PPTP VPN有以下不足：只支持IP网络（不支持ATM、FR、X.25网络），只能在两端之间构建一条VPN隧道、不支持隧道验证，报文封装时的额外开销大等，目前比较少用，华为设备也不支持。

（2）L2F（Layer 2 Forwarding，二层转发）VPN

L2F协议最初是由Cisco开发并专用，于1998年提交给IETF，成为RFC2341，是基于PPP或SLIP（Serial Line Internet Protocol，串行线路网际协议）协议的一种扩展应用，可以基于PPP或SLIP拨号网络在公共的IP、ATM、FR等网络基础上构建一条虚拟隧道，但这种协议不支持数据加密标准，所以这个协议已经很少用了。

（3）L2TP（Layer 2 Tunneling Protocol，二层隧道协议）VPN

L2TP协议可以说是L2F协议的改进版，同时也结合了PPTP协议的一些优点，所以它也是PPP协议的一种扩展应用。它不仅支持多种公共网络协议（如IP、ATM、FR等），还支持隧道验证功能，支持在两个端点间构建多条VPN隧道，是目前应用最广泛的一种二层隧道协议。但它的安全保护措施仍然不是很好，与PPTP、L2F协议一样，既不支持对隧道中传输的数据进行加密保护，也不能对所接收的数据进行完全性验性和身份检查。所以如果想要部署更安全的L2TP VPN，通常还是要与IPSec结构，构建L2TP over IPSec VPN，具体将在本书后续章节介绍。

VPDN利用公共网络的拨号功能及接入网，为企业、小型ISP和移动办公人员提供拨号VPN远程接入服务。VPDN方案中，用户可以使用私有IP地址，接入技术也可使用广泛使用的PSTN（Public Switched Telephone Network，公共交换电话网络）、ISDN （Integrated Services Digital Network，综合业务数字网）、xDSL，甚至像L2TP还支持光纤以太网接入方式，使得用户在进行VPN方案建设时投资少、周期短，网络运行费用低。

VPDN还具有灵活的身份认证机制和网络计费方式（利用AAA功能），以及较高的安全性，并支持动态IP地址分配。此外，VPDN虽然采用的是二层隧道协议，但像L2F、L2TP一样都能支持多种三层网络协议。

2．VPRN方案

VPRN是总部、分支机构和远端办公室内部网络之间通过公共网络管理虚拟设备互连，属于站点到站点（Site-to-Site）的远程网络连接。VPRN数据包的转发是在网络层实现的，公共网络的每个VPN节点需要为每个VPN建立专用路由转发表，包含网络层可达性信息。数据流在公共网络的VPN节点之间的转发以及VPN节点和用户站点之间的转发都是基于这些专用路由转发表。

根据所使用的隧道协议的不同，VPRN方案包括多种VPN类型，例如GRE VPN、IPSec VPN、DSVPN（Dynamic Smart VPN，动态智能VPN）、SSL（Secure Sockets Layer，安全套接字层）VPN、MPLS L3VPN（三层VPN）等。

在本书后续章节将对GRE VPN、IPSec VPN、DSVPN和SSL VPN进行具体介绍， MPLS L3VPN将在《华为MPLS学习指南》中介绍。

3．VLL方案

传统的二层隧道是通过二层的交换技术来实现的，比如X.25、FR、ATM网络，通过对应二层设备来完成用户节点间二层隧道的建立。由于使用了不同的二层协议，因此不同种二层网络是隔离的。MPLS标签技术的产生，为建立统一兼容的二层交换网络提供了可能。可以把MPLS理解成为一个特殊的二层协议，也就是说在原有的各种二层封装基础上再进行MPLS封装。

VLL技术就是一种建立在MPLS技术上的二层隧道技术，是对传统租用专线业务的仿真，使用IP网络模拟租用线，提供非对称、低成本的DDN（Digital Data Network，数字数据网络）业务。从虚拟租用线两端的用户来看，该虚拟租用线近似于传统的租用线，能够支持几乎所有的链路层协议，解决了不同网络介质不能相互通信的问题，主要是在接入层和汇聚层使用。但它不能直接在服务商处进行多点间的业务交换。

4．VPLS方案

VPLS是公共网络中提供的一种点到多点的L2VPN（二层VPN）业务，使地域上隔离的用户站点能通过LAN/WAN相连，并且使各个站点间的连接效果像在一个LAN中一样。

VPLS也是一种基于以太网和MPLS标签交换的二层VPN技术，结合了以太网技术和MPLS技术的优势，是对传统LAN全部功能的仿真，可以实现多点通信。

说明

VLL和VPLS这两种二层VPN方案因为涉及MPLS技术，所以本书不作具体介绍，将在《华为MPLS学习指南》一书中介绍。

1.2.3 按业务用途分

根据VPN应用的业务类型来分，VPN方案可分为：Intranet VPN、Access VPN与Extranet VPN三类，但更多情况下是需要同时用到这三种VPN网络类型，特别是对于大型企业，因为在这类用户中不仅有站点到站点的网络互联需求，也有移动用户的端到端（End-to-End）或者端到站点（End-to-Site）的接入需求。

（1）Access VPN（远程访问虚拟专网）

Access VPN（远程访问虚拟专网）又称为拨号VPN（即前面介绍的VPDN），是指企业员工或企业的小分支机构通过公共网络远程拨号的方式构建的虚拟专用网。如果企业的内部人员有移动办公需要，或者商家要提供B2C（企业到客户）的安全访问服务，就可以考虑使用Access VPN。

Access VPN能使用户随时随地以按需方式访问企业资源，可充分节省接入费用。Access VPN包括能随时使用传统电话网络Modem拨号、ISDN拨号、数字用户线路（xDSL）拨号、无线接入和有线电视电缆等拨号技术，安全地连接移动用户、远程工作者或分支机构。Access VPN具有灵活的身份认证机制和网络计费方式，以及高度的安全性，并支持动态地址分配。

Access VPN是一类二层VPN技术，包括前面提到的PPTP VPN、L2F VPN和L2TP VPN这几种，可以实现点对点（如两主机的远程互联）、端到站点（如移动办公主机与公司网络互联），甚至站点到站点（分支机构与公司总部网络的互联）的远程连接。其典型网络结构，如图1-3所示。

Access VPN方式对于需要移动办公的企业来说不失为一种经济安全、灵活自由的好方式，所以这种方式通常也被许多中小型企业常用。但这种VPN模式的连接性能较低，不适用于大量用户或者高负载应用。

（2）Intranet VPN（企业内部虚拟专网）

Intranet VPN（企业内部虚拟专网）通过公共网络进行企业集团内部多个分支机构与公司总部网络的互联，是传统专网或其他企业网的扩展或替代形式。随着企业的跨地区工作，国际化经营，这是绝大多数大中型企业所必需的，如要进行企业内部各分支机构的互联，那么使用Intranet VPN是很好的方式。

Intranet VPN是通过公用Internet或者第三方专用网络进行连接的，有条件的企业可以采用光纤作为传输介质，所实现的基本上都是站点到站点的网络互联。可以实现的Intranet VPN的方案比较多，如L2TP VPN可以，GRE VPN、IPSec VPN、SSL VPN和DSVPN也可以。它的主要特点就是容易建立连接、连接速度快，并可为各分支机构提供了相应的网络访问权限。如图1-4是Intranet VPN的典型网络结构。

越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵，而利用Intranet VPN特性可以经济地在Internet上组建世界范围内的Intranet VPN。使用Intranet VPN，企事业机构的总部、分支机构、办事处或移动办公人员可以通过公共网络组成企业内部网络，也可用来构建银行、政府等机构的Intranet。典型的Intranet VPN例子就是连锁超市、仓储物流公司、加油站等具有连锁性质的机构。

（3）Extranet VPN

Extranet VPN即企业间发生收购、兼并或企业间建立战略联盟后，使不同企业网络通过公共网络来构建的虚拟网。Extranet VPN的基本网络结构与Intranet VPN一样，当然所连接的对象也会有所不一样，其典型结构如图1-5所示。

如果是需要提供B2B（企业到企业）电子商务之间的安全访问服务，则可以考虑选用Extranet VPN。Extranet利用VPN将企业网延伸至供应商、合作伙伴与客户处，在具有共同利益的不同企业间通过公共网络构建VPN，使部分资源能够在不同VPN用户间共享。

Extranet类型VPN也可使用那些支持站点到站点网络连接的VPN解决方案（如前面提到的L2TP VPN、GRE VPN、IPSec VPN、SSL VPN和DSVPN等），只是在VPN用户对网络资源的访问权限配置上有所区别而已。访问权限的限制主是网络内部服务器上进行配置的，在SSL VPN方案中还可在SSL VPN虚拟网关上进行配置，具体将在本书第9章介绍。

1.2.4 按实现层次分

按VPN隧道连接实现所对应的计算机网络体系结构层次，可把VPN方案分为L2VPN、L3VPN和VPDN这三种。

1．L2VPN

在华为设备所支持的L2VPN方案比较多，包括前面所提到的VLL、VPLS和PW3 （Pseudo-Wire Emulation Edge to Edge，端到端伪线仿真），都属于MPLS L2VPN类型，以上这些会在《华为MPLS学习指南》一书中介绍。VLL适合较大的企业通过WAN互连，而VPLS适合小企业通过城域网互连。

PWE3是一种端到端的MPLS L2VPN技术，在PSN（Packet Switched Network，分组交换网络）中尽可能真实地模仿ATM、FR、以太网、低速TDM（Time Division Multiplexing，时分复用）电路和SONET（Synchronous Optical Network，同步光网络）/SDH（Synchronous Digital Hierarchy，同步数字体系）等业务的基本行为和特征，可实现远程网络的互联。

2．L3VPN

L3VPN也就是前面介绍的VPRN，是在计算机网络体系结构中第三层（网络层）实现的。在华为设备所支持的VPN方案中又包括多种类型，例如MPLS L3VPN、IPSec VPN、SSL VPN、GRE VPN、DSVPN等。其中MPLS L3VPN主要应用在骨干网转发层， IPSec VPN、SSL VPN、GRE VPN、DSVPN在接入层被普遍采用。

L2VPN与L3VPN的对比如表1-1所示。

3．VPDN

VPDN也就是前面提到的Access VPN，包括PPTP VPN、L2F VPN和L2TP VPN这些VPN方案。严格来说，VPDN也属于L2VPN，但其网络构成和协议设计与前面提到的像VLL、VPLS之类的MPLS L2VPN有很大不同。有关VPDN，本书仅介绍应用最广泛，华为设备支持的L2TP VPN，具体内容将在本书第5章介绍。

1.2.5 按运营模式分

如果按运营模式来分，上面介绍的这些VPN方案又可分为：由用户控制的CPE-based VPN和由ISP控制的Network-based VPN两类。

1．由用户控制的CPE-based VPN

在CPE-based VPN模式下，由用户控制VPN的构建、管理和维护，依靠用户侧的网络设备发起VPN连接，不需要运营商提供特殊的支持就可以实现VPN。用户设备需要安装相关的VPN隧道协议，如IPSec VPN、GRE VPN、L2TP VPN、SSL VPN和DSVPN等，都是基于客户端实施的VPN方案。本书后续各章所介绍的各种VPN方案均属于此类。

传统的利用公共IP网络构建的VPN（如IPSec VPN、GRE VPN等）均属于CPE-based VPN。其实质是在各个私有设备之间建立VPN安全隧道来传输用户的私有数据。Internet是典型的公共IP网络。使用Internet构建的VPN是最为经济的方式，但服务质量难以保证。企业在规划IP VPN建设时应根据自身的需求对各种公用IP网络进行权衡。

CPE-based VPN方式复杂度高、业务扩展能力弱，主要应用于接入层。

2．由ISP控制的Network-based VPN

在Network-based VPN模式下，VPN的构建、管理和维护由ISP控制，允许用户在一定程度上进行业务管理和控制，是基于运营商实施的VPN方案。在此模式的VPN中，功能特性集中在运营商网络侧设备处实现，用户网络设备只需要支持网络互联，无需特殊的VPN功能，如各种基于MPLS的VPN都属于Network-based VPN。

Network-based VPN方式可以降低用户投资、增加业务灵活性和扩展性，也为运营商带来新的收益。MPLS VPN由于在灵活性、扩展性和QoS方面的优势，逐渐成为最主要的IP-VPN技术，在电信运营网和企业网中都获得了广泛的应用。

MPLS VPN主要运用于骨干核心网及汇聚层，是对大客户互连及3G、NGN等业务系统进行隔离的重要技术。MPLS VPN对于城域网同样重要：城域网内部署MPLS VPN技术，成为提升IP城域网的价值、为运营商提供更高收益的重要技术。

CPE-based VPN与Network-based VPN的对比如表1-2所示。

将CPE-based VPN和Network-based VPN混合部署可以给用户提供更可靠、更安全、更丰富的VPN业务，也可以为各类VPN用户提供更加灵活、经济的接入方式。