VPN的分类方式

VPN的分类方式比较混乱。不同的生产厂家在销售它们的VPN产品时使用了不同的分类方式，它们主要是产品的角度来划分的。不同的ISP在开展VPN业务时也推出了不同的分类方式，他们主要是从业务开展的角度来划分的。而用户往往也有自己的划分方法，主要是根据自己的需求来进行的。下面简单介绍从不同的角度对VPN的分类。

一、按接入方式划分

这是用户和运营商最关心的VPN划分方式。一般情况下，用户可能是专线上（因特）网的，也可能是拨号上网的，这要根据拥护的具体情况而定。建立在IP网上的VPN也就对应的有两种接入方式：专线接入方式和拨号接入方式。

（1）专线VPN：它是为已经通过专线接入ISP边缘路由器的用户提供的VPN解决方案。这是一种“永远在线”的VPN，可以节省传统的长途专线费用。

（2）拨号VPN（又称VPDN）：它是向利用拨号PSTN或ISDN接入ISP的用户提供的VPN业务。这是一种“按需连接”的VPN，可以节省用户的长途电话费用。需要指出的是，因为用户一般是漫游用户，是“按需连接的，因此VPDN通常需要做身份认证（比如利用CHAP和RADIUS）

二、按协议实现类型划分

这是VPN厂商和ISP最为关心的划分方式。根据分层模型，VPN可以在第二层建立，也可以在第三层建立（甚至有人把在更高层的一些安全协议也归入VPN协议。）

（1）第二层隧道协议：这包括点到点隧道协议（PPTP）、第二层转发协议（L2F），第二层隧道协议（L2TP）、多协议标记交换（MPLS）等。

（2）第三层隧道协议：这包括通用路由封装协议（GRE）、IP安全（IPSec），这是目前最流行的两种三层协议。

第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装，其中GRE、IPSec和MPLS主要用于实现专线VPN业务，L2TP主要用于实现拨号VPN业务（但也可以用于实现专线VPN业务），当然这些协议之间本身不是冲突的，而是可以结合使用的。

三、按VPN的发起方式划分

这是客户和IPS最为关心的VPN分类。VPN业务可以是客户独立自主实现的，也可以是由ISP提供的。

（1）发起（也称基于客户的）：VPN服务提供的其始点和终止点是面向客户的，其内部技术构成、实施和管理对VPN客户可见。需要客户和隧道服务器（或网关）方安装隧道软件。客户方的软件发起隧道，在公司隧道服务器处终止隧道。此时ISP不需要做支持建立隧道的任何工作。经过对用户身份符（ID）和口令的验证，客户方和隧道服务器极易建立隧道。双方也可以用加密的方式通信。隧道一经建立，用户就会感觉到ISP不在参与通信。

（2）服务器发起（也称客户透明方式或基于网络的）：在公司中心部门或ISP处（POP、Point of presence）安装VPN软件，客户无须安装任何特殊软件。主要为ISP提供全面管理的VPN服务，服务提供的起始点和终止点是ISP的POP，其内部构成、实施和管理对VPN客户完全透明。

在上面介绍的隧道协议中，目前MPLS只能用于服务器发起的VPN方式。

四、按VPN的服务类型划分

根据服务类型，VPN业务大致分为三类：接入VPN（Access VPN）、内联网VPN(Intranet VPN)和外联网VPN（Extranet VPN）。通常情况下内联网VPN是专线VPN。

（1）接入VPN：这是企业员工或企业的小分支机构通过公网远程访问企业内部网络的VPN方式。远程用户一般是一台计算机，而不是网络，因此组成的VPN是一种主机到网络的拓扑模型。需要指出的是接入VPN不同于前面的拨号VPN，这是一个容易发生混淆的地方，因为远程接入可以是专线方式接入的，也可以是拨号方式接入的。

（2）内联网VPN：这是企业的总部与分支机构之间通过公网构筑的虚拟网，这是一种网络到网络以对等的方式连接起来所组成的VPN。

（3）外联网VPN：这是企业在发生收购、兼并或企业间建立战略联盟后，使不同企业间通过公网来构筑的虚拟网。这是一种网络到网络以不对等的方式连接起来所组成的VPN（主要在安全策略上有所不同）。

五、按承载主体划分

营运VPN业务的企业；既可以自行建设他们的VPN网络，也可以把此业务外包给VPN商。这是客户和ISP最关心的问题。

（1）自建VPN：这是一种客户发起的VPN。企业在驻地安装VPN的客户端软件，在企业网边缘安装VPN网关软件，完全独立于营运商建设自己的VPN网络，运营商不需要做任何对VPN的支持工作。企业自建VPN的好处是它可以直接控制VPN网络，与运营商独立，并且VPN接入设备也是独立的。但缺点是VPN技术非常复杂，这样组建的VPN成本很高，QoS也很难保证。

（2）外包VPN：企业把VPN服务外包给运营商，运营商根据企业的要求规划、设计、实施和运维客户的VPN业务。企业可以因此降低组建和运维VPN的费用，而运营商也可以因此开拓新的IP业务增值服务市场，获得更高的收益，并提高客户的保持力和忠诚度。笔者将目前的外包VPN划分为两种：基于网络的VPN和基于CE（用户边缘设备）的管理型VPN（Managed VPN）。基于网络的VPN通常在运营商网络的呈现点（POP）安装电信级VPN交换设备。基于CE的管理型VPN业务是一种受信的第三方负责设计企业所希望的VPN解决方案，并代表企业进行管理，所使用的安全网关（防火墙、路由器等）位于用户一侧。

六、按VPN业务层次模型划分

这是根据ISP向用户提供的VPN服务工作在第几层来划分的（注意不是根据隧道协议工作在哪一层划分的）。

（1）拨号VPN业务（VPDN）：这是第一种划分方式中的VPDN（事实上是按接入方式划分的，因为很难明确VPDN究竟属于哪一层）。

（2）虚拟租用线（VLL）：这是对传统的租用线业务的仿真，用IP网络对租用线进行模拟，而从两端的用户看来这样一条虚拟租用线等价于过去的租用线。

（3）虚拟专用路由网（VPRN）业务：这是对第三层IP路由网络的一种仿真。可以把VPRN理解成第三层VPN技术。

（4）虚拟专用局域网段（VPLS）：这是在IP广域网上仿真LAN的技术。可以把VPLS理解成一种第二层VPN技术。

分类方式 类型名称 说明/举例

接入方式 拨号VPN(VPDN) 为利用拨号公用交换电话网(PSTN)或综合业务数字网(ISDN)接入ISP的用户提供的VPN业务

专线VPN 为已经通过专线接入ISP边缘路由器的用户提供的VPN业务

协议层 应用层 S/MIME、Kerberose、IPSec(ISAKMP)

传输层 SSL/TLS、SOCKS

IP层 用户数据在协议栈的第三层被封装，如IPSec(AH和ESP)

第二层隧道 用户数据在协议栈的第二层被封装，如L2TP、PPTP、L2F和MPLS

隧道的

发起方式 客户发起 基于客户的VPN。隧道的起始点和终止点是面向客户的，其内部技术构成、实施和管理都由VPN客户负责

服务器(网络)发起 ISP提供并管理的VPN服务，服务提供的起始点和终止点是ISP的呈现点(POP)，其内部构成、实施和管理都由ISP负责

业务类型 接入VPN 企业员工或企业的小分支机构通过公网远程拨号等方式构筑的VPN

内联网VPN 企业总部与分支机构LAN之间通过公网构筑的VPN

外联网VPN 企业发生收购、兼并或企业间建立战略联盟后，不同企业间通过公网构筑的VPN

承建和

运维主体 企业自建 基于客户的VPN。隧道的起始点和终止点是面向客户的，其内部技术构成、实施和管理都由VPN客户负责

外包 基于网络 ISP提供并管理的VPN服务，服务提供的起始点和终止点是ISP的呈现点(POP)，其内部构成、实施和管理都由ISP负责

托管方式 VPN设备位于用户一侧。运营商负责安装、配置和监视、维护设备的运转情况

服务在网络中的层次 VPDN 为利用拨号公用交换电话网(PSTN)或综合业务数字网(ISDN)接入ISP的用户提供的VPN业务

VLL 对传统的租用线业务的仿真

VRPN 是对第三层IP路由网络的一种仿真

VPLS 是在IP广域网上仿真LAN的技术

VPN主要有PPTP，L2TP，IPsec，MLPS等标准类型。

a）PPT/L2TP： 
PPTP和 L2TP都是OSI第二层的VPN，也是较早期的VPN协议，在IPsec出现前是最主要的VPN类型，今天使用仍然相当广泛，典型地是使用两台托管的Windows 2000服务器作为VPN网关。前者是微软在1996年制定，后者则由CISCO汇同微软在PPTP和L2F的基础上制定。第二层协议对ＰＰＰ协议本身并没有做任何修改，只是将用户的 PPP帧基于GRE封装成IP报文。 
PPTP和L2TF均具有简单易行的优点，但是它们的可扩展性都不好。更重要的是，它们都没有提供内在的安全机制，它们不能支持企业和企业的外部客户以及供应商之间会话的保密性需求，因此它们不支持用来连接企业内部网和企业的外部客户及供应商的企业外部网Extranet的概念。Extranet需要对隧道进行加密并需要相应的密钥管理机制。PPTP和L2TP限制同时最多只能连接255个用户。端点用户需要在连接前手工建立加密信道。认证和加密受到限制，没有强加密和认证支持。安全程度差，是PPTP/L2TF简易型VPN最大的弱点。 
PPTP和L2TP最适合用于客户端远程访问虚拟专用网，作为安全要求高的企业信息，使用PPTP/L2TP与明文传送的差别不大。PPTP/L2TP不适合于向Ipv6的转移。

b)IPsec（安全IP）: 
IPSec是IETF(Internet Engineer Task Force)完善的安全标准，它把几种安全技术结合在一起形成一个较为完整的体系，通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec由IP认证头AH(Authentication Header)、IP安全载荷封载ESP(Encapsulated Security Payload)和密钥管理协议组成。是目前支持最广泛的VPN协议。 
IPSec协议是一个范围广泛、开放的虚拟专用网安全协议。IPSec适应向IP v6迁移，它提供所有在网络层上的数据保护，提供透明的安全通信。IPSec用密码技术从三个方面来保证数据的安全。即： 
认证：用于对主机和端点进行身份鉴别。 
完整性检查：用于保证数据在通过网络传输时没有被修改。 
加密：加密IP地址和数据以保证私有性。 
IPsec是完全意义上的VPN，能直接与PKI、CA设备密切协同完成认证功能。IPSec的缺占是需要固定范围的IP地址，因此在动态分配IP地址时不太适合于IPSec。（图腾VPN是目前不多的部分支持动态IP的VPN网关技术）；除了TCP/IP协议外，IPSec不支持其他协议。除了包过滤之外，它没有指定其他访问控制方法。另外，微软在windows中没有集成对IPSec的支持，因此，windows客户端需要专门的软件或硬件的支持。 
IPSec最适合可信的网关到网关之间的虚拟专用网，即企业广域网(Extranet)的构建。

c）MPLS VPN 
MPLS VPN是与IPsec同级的，同样由IETF制度的，与IPsec互补的VPN的标准。IETF IPsec工作组（属于Security Area部分）的工作主要涉及网络层的保护方面，所以该组设计了加密安全机制以便灵活地支持认证、完整性、访问控制和系统加密；而IETF MPLS工作组（属于Routing Area部分）则在从另一方面着手开发了支持高层资源预留、QoS和主机行为定义的机制。 
MPLS VPN广泛用于ISP直接向VPN客户提供专线VPN的服务。与IPsec的对比如下： 
  
IPsec VPN    MPLS VPN       
服务模式    高速Internet服务、商业质量的IP服务、电子商务和应用主机托管服务    高速Internet服务、商业质量的IP服务、电子商务和应用主机托管服务

可伸缩性    大规模部署需要制定相应计划并且协同解决关键分支机构、关键管理和对等配置各个方面出现的问题    由于不需要站点对站点的对等性而具有高度的可伸缩性。典型的MPLS-VPN部署能够支持在同一网络上部署上万个VPN组

网络位置 
    本地环路、网络边缘或者远离存在加密数据较高曝光性的网络位置最佳，此类地点最适合采用隧道和加密等IPsec安全机制    在服务供应商的核心网络最佳，此地QoS、流量工程和带宽利用可以得到完全地控制，如果服务供应商的VPN服务提供SLA或者服务级保证（SLG），那么这一情况下的VPN服务更应该配置在网络核心。     
VPN的关键技术参数 
VPN产品的关键技术参数包括：支持那些标准（IPsec，PPTP，L2TP，MSLP，SOCK5），支持那些加密算法；最大加密强度是多少；是否支持公钥体系（PKI），及IKE密钥管理等。