5大VPN分类-《网络安全技术与实例》

VPN这个词汇，本身只是一个泛称，涉及的技术庞杂，种类繁多。依据不同的划分标准，可以得出不同的VPN类型：

（1）按照业务用途划分 Aeeess VPN，Intranet VPN，Extranet VPN。

（2）按照运营模式划分CPE Based VPN，Network－Based VPN。

（3）按照组网模型划分 VPDN，VPRN，VLL，VPLS。

（4）按照网络层次划分 Layer 1VPN，Layer 2VPN，Layer 3VPN，传输层VPN，应用层VPN。

1.不同业务用途的VPN

按照各种VPN的不同业务用途，可以把VPN分为Access VPN，Intranet VPN，Extranet VPN等。

（1）Access VPN 组织可以通过共享的、具有对外接口的设施为其远程小型分支站点、远程用户和移动用户提供对企业内部网络的访问，这种VPN称为Aecess VPN，如图5.2所示。使用Access VPN，分支机构和移动用户可以随时随地使用组织的资源。

图5.2 Access VPN

Access VPN客户通常使用PSTN／ISDN拨号、xDSL、Cable、移动IP等方式接入服务网络，并利用诸如PPTP、L2TP等的VPN技术跨越服务网络，连接到组织内部网。例如，一个出差的员工，不必拨号到公司的路由器，而是通过当地的ISP接入互联网通过VPN连接到组织内部网。

通常，出于安全性的需要，会使用RADIUS等协议对远程用户进行验证和授权，或使用一定的加密技术，防止数据在公共网络上遭到窃听。

Access VPN简化了企业网络结构。相对于传统的拨号服务器方案，可以节约购买拨号服务器的端口模块费用、拨号线路的租用费用及大量的长途拨号费用。Access VPN还可以方便灵活地扩充支持的客户端数量。

（2）Intranet VPN 传统上，拥有众多分支机构的组织租用专线或ATM，Frame Relay等WAN连接，建立Intranet。这种方法需要巨额的线路租金和大量的网络设备端口，费用极其昂贵。

使用Intranet VPN，组织可以跨越公共网络，甚至可以跨越Internet，实现全球范围的Intranet。这种方式连接其各个分支，组织仅需支付较少的费用，如图5.3所示。

图5.3 Intranet VPN

因为Intranet VPN主要用于站点间的互联，所以又称为Site－to－Site VPN。

根据站点地位的不同，Intranet VPN通常可以使用专线接入或价格低廉的公共网络接入方法，如以太网接入；同时也可以使用诸如IPSec等的加密工具保证数据的安全性。

Intranet VPN可以减少组织花费在租用运营商专线或分组中继WAN连接上的巨额费用。同时，企业可以自由规划网络的逻辑连接结构，随时可以重新部署新的逻辑拓扑，缩短了新连接的部署周期。通过额外的逻辑和物理连接，Intranet VPN可以强化Intranet的可靠性。

（3）Extranet VPN 随着企业之间协作关系的加强，企业之间的信息交换日渐频繁，越来越多的企业需要与其他企业连接在一起，直接交换数据信息，共享资源。出于对费用、灵活性、时间性等的考虑，专线连接、拨号连接都是不合适的。

Extranet VPN正是通过共享的基础设施，将企业与其客户、上游供应商、合作伙伴及相关组织等连接在一起，如图5.4所示。

图5.4 Extranet VPN

Internet事实上已经连接了全球各地，特别是各个组织。所以Extranet VPN以Internet为基础设施来执行此类任务是最适合的。Extranet VPN通常可以使用防火墙，在为外部提供访问的同时，保护组织内部的安全性。

Extranet VPN不但可以提供组织之间的互通，而且随着业务和相关组织的变化，组织可以随时扩充、修改或重新部署Extranet网络结构。

2.不同运营模式的VPN

（1）CPE -Based VPN 传统上，大部分的VPN实现是基于CPE（custom premise equiPment）的。CPE是指放置在用户侧，直接连接到运营商网络的网络设备。CPE设备可以是一台路由器、防火墙，或者是专用的VPN网关，它必须具有丰富的VPN特性。CPE负责发起VPN连接，连接到VPN的另外一个终结点——其他的CPE设备。

通常用户自行购买这些CPE设备，并且自行部署CPE-Based VPN，如图5.5所示。但是有时也可以委托运营商或第三方进行部署和管理。

图5.5 CPE-Based VPN(www.xing528.com)

CPE-Based VPN的好处是用户可以自由部署、随意扩展。但是要求用户必须具有相当的专业能力以部署和维护复杂的VPN网络。在没有运营商支持的情况下，CPE Based VPN的QoS同样是一个问题。

（2）Network-Based VPN 在Network-Based VPN中，VPN的发起和终结设备放置在运营商网络侧，由运营商购买此类支持复杂VPN特性的设备，部署VPN并进行管理，所以又称为Provider provide VPN，如图5.6所示。

图5.6 Network-Based VPN

用户CPE设备不需要感知VPN，不需要支持复杂的协议，仅执行基本的网络操作即可。用户也不关心VPN的具体结构。用户只需要向运营商提出需求，订购服务即可。

Network-Based VPN不但把用户从繁杂的VPN设计、部署和维护中解放出来，而且为运营商增加了新的、低价格高价值的业务产品。由于运营商的服务承诺，QoS可以得到有效保障。

3.按照组网模型分类

（1）VPDN 虚拟私有拨号网络（virtual private dial networks，VPDN）允许远程用户、漫游用户等根据需要访问其他站点，如图5.7所示。用户可以通过诸如PSTN和ISDN这样的拨号网络接入，其数据通过隧道穿越公共网络，到达目的站点。由于涉及未知用户从任意地点的接入，VPDN必须提供足够的身份验证功能，以确保用户的合法性。

图5.7 VPDN

（2）VPRN 虚拟私有路由网络（virtual private routed networks，VPRN）根据网络层路由，在网络层转发数据包，如图5.8所示。

图5.8 VPRN

由于使用相同的网络层转发表，VPN之间只能通过不同的路由加以区分。

因为使用网络层转发，所以一个VPRN网络不能支持多种网络层协议，而只能为另一种协议配置一个新的VPRN。而且，通过路由区分VPN导致全网使用一致的地址空间，如果用于运营网络，则分离的管理区域与路由配置的复杂性之间存在着天然矛盾，要解决这个问题，就要求VPRN中的ISP网络设备具备多个独立的路由表。

（3）VLL 在虚拟专线（virtual leased lines，VLL）VPN中，运营商通过VPN技术建立基础网络，为客户提供虚拟专线服务，如图5.9所示。

图5.9 VLL

对于客户来说，CPE到运营商PE的接口是普通的专线接口，链路层协议是普通的WAN协议，客户所获得的服务就像是普通专线服务一样。例如，客户向运营商订购Frame Relay服务，而运营商不使用真正的Frame Relay网络提供服务，而是在两端的PE之间建立IP隧道，将Frame Relay帧封装在IP隧道中传送。

（4）VPLS 虚拟私有LAN服务（virtual private LAN segment，VPLS）则可以用VPN网络透明传送以太帧，这样各个站点的LAN可以直接透明连接起来，就好像其间连接的是一台以太交换机，所以VPLS又称为TLS（transparent LAN service），如图5.10所示。

图5.10 VPLS

由于被传送的是二层的以太帧，所以CPE可以是一个简单二层设备，而在中途网络的PE必须能够采用某种隧道技术对二层帧加以封装，并传送到正确的目的地。

4.按照OSI参考模型的层次分类

按照OSI参考模型的层次分类可分为第一层、第二层、第三层、传输层和应用层。

如果VPN工作在物理层，那么VPN网络由物理加以区分，严格地说，这时候就不存在VPN了。但是实际上，由于所谓的物理线路通常是由运营商提供的传输介质，而这些介质往往采用了某种选路或复用技术，如OWDM，POS，RPR等，所以也可以认为这种“VPN”仍然存在。在这种情况下，几乎所有二层以上的协议都是独立使用的。

所谓二层VPN是指工作在数据链路层的VPN技术，VPN隧道内封装数据链路帧。传统上比较普遍的二层WAN技术是ATM，Frame Relay这样的链路层分组交换技术。它们通过在逻辑上划分的实际线路实现了虚拟的电路，从而可以在同一个网络上承载多个互不相关的网络。另外L2TP，PPTP和MPLS L2VPN等技术允许在IP隧道中传送二层的PPP帧或以太帧。通过这些技术，VPN的用户、站点之间直接通过链路层连接，可以运行各自不同的网络层协议。这些都属于二层VPN的实现。

三层VPN又称为网络层VPN。在这一级别里，VPN站点通过网络层协议互连，隧道内封装三层数据包。例如，通用路由封装（generic routing encapsulation，GRE）对三层数据包加以封装，可以构建GRE隧道，这就是一种网络层隧道。又如IPSec，通过验证头（authentication header，AH）和封装安全载荷（encapsulating security payload，ESP）对三层数据包直接进行安全处理。再如，在BGP／MPLS VPN中，客户站点之间通过IP协议互连，而运营商MPLS承载网络通过MP-BGP沟通信息，通过MPLS转发封装后的IP数据包。

传输层VPN可以通过端到端的传输层连接，建立传输层隧道，透明传送上层应用。典型的例如SSL／TLS，SOCKS等。

应用层VPN使用应用层代理，接收来自远程用户的连接请求，并对输入数据处理，然后将数据转换为合适的应用协议。在这一过程中，应用层VPN分析应用信息，执行安全策略，并发挥Internet与专用网络之间的网闸作用。典型的应用层VPN技术有S／MIME，S／HTTP，Kerberose等。