计算机网络：服务类型分类

根据VPN的服务类型，可以将VPN分为Access VPN、Intranet VPN和Extranet VPN 3类。

1.AccessVPN（远程访问虚拟专网）

远程访问VPN是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。远程访问VPN根据隧道发起的方式又可分为由拥护发起、由ISP拨号服务器发起或由企业网远程路由器发起3种。通常用得最多的是通过ISP拨号服务器发起的VPN，这种方式是通过PPTP/L2TP来实现第二层隧道封装。

远程访问VPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。远程访问VPN能使用户随时、随地以其所需的方式访问企业资源。远程访问VPN包括模拟、拨号、ISDN、数字用户线路（XDSL）、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。

远程访问VPN最适用于公司内部经常流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权，保证连接的安全，同时负担的电话费用大大降低。

在该方式下远端用户拨号接入到用户本地的ISP，采用VPN技术在公众网上建立一个虚拟的通道到公司的远程接入端口。这种应用既可适应企业内部人员移动和远程办公的需要，又可用于商家提供B2C（企业对客户）的安全访问服务。拓扑如图6-7所示。

图6-7 Access VPN

远程访问VPN对用户的吸引力体现在以下5个方面。

1）减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络。

2）实现本地拨号接入的功能来取代远距离接入或800电话接入，这样能显著降低远距离通信的费用。

3）企业网可以真正用来管理自己的用户。企业员工不必在ISP上拥有自己的账号，员工可以使用自己在企业网中的账号和口令拨号上网。

4）企业员工通过上网可以真正得到企业网中的可用信息，而这些企业网信息是通过公网上的普通拨号上网无法得到的。

5）ISP仅针对企业收费，企业帮助ISP发展了用户，提高了ISP拨号设备的端口利用率，增加了ISP的收入。企业用户因此也节省了远程拨号的费用，可以在远程安全地操作企业网信息，企业和ISP双方均收益。

2.IntranetVPN（企业内部虚拟专网）

企业内部虚拟专网即进行企业内部各分支机构的互联。越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究机构等，各分支公司之间传统的网络连接方式一般是租用专网。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN技术可以在Internet上组建世界范围内的企业内部虚拟专网，通过一个使用基于共享基础设施的虚拟专网，连接企业总部、远程办事处和分支机构，即利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个企业内部虚拟专网上安全传输，从而使企业拥有与专用网络的相同政策，包括安全、服务质量、可管理性和可靠性。(www.xing528.com)

在公司两个异地机构的局域网之间在公众网上建立VPN，通过Internet这一公共网络将公司在各地分支机构的LAN连到公司总部的LAN，以便公司内部的资源共享、文件传递等，可以节省DDN等专线所带来的高额费用。拓扑如图6-8所示。

图6-8 Intranet VPN

企业内部虚拟专网对用户的吸引力体现在以下4个方面。

1）减少WAN带宽的费用。

2）能使用灵活的拓扑结构。

3）新的站点能更快、更容易地被连接。

4）通过设备提供商WAN的连接冗余，可以延长网络的可用时间。

3.ExtranetVPN（扩展的企业内部虚拟专网）

在企业网与相关合作伙伴的企业网之间采用VPN技术互连，与Intranet VPN相似，但由于是不同公司的网络相互通信，所以要更多地考虑设备的互连、地址的协调、安全策略的协商等问题。公司的网络管理员还应该设置特定的访问控制表ACL（Access Control List），根据访问者的身份、网络地址等参数来确定相应的访问权限、开放部分资源而非全部资源给外联网的用户。拓扑如6-9所示。

Extranet VPN通过使用一个专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量（QoS）、可管理性和可靠性。

扩展的企业内部虚拟专网对用户的吸引力在于：该网能容易地对外部网络进行部署和管理，外部网的连接可以使用与部署内部网和远程访问VPN相同的架构和协议进行部署。主要的不同是接入许可的设置。

图6-9 Extranet VPN