虚拟专用网络(VPN)是一门新型的网络技术，它为我们提供了一种通过公用网络(如最大的公用因特网)安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成:客户机、传输介质和服务器。VPN网络同样也需要这三部分，不同的是VPN连接不是采用物理的传输介质，而是使用一种称之为“隧道”的东西来作为传输介质的，这个隧道是建立在公共网络或专用网络基础之上的，如因特网或专用Intranet等。同时要实现VPN连接，企业内部网络中必须配置有一台基于Windows NT或Windows2000 Server(目前Windows系统是最为普及，也是对VPN技术支持最为全面的一种操作系统)的VPN服务器，VPN服务器一方面连接企业内部专用网络(LAN)，另一方面要连接到因特网或其它专用网络，这就要VPN服务器必须拥有一个公用的IP地址，也就是说企业必须先拥有一个合法的Internet或专用网域名。当客户机通过VPN连接与专用网络中的计算机进行通信时，先由NSP(网络服务提供商)将所有的数据传送到VPN服务器，然后再由VPN服务器将所有的数据传送到目标计算机。因为在VPN隧道中通信能确保通信通道的专用性，并且传输的数据是经过压缩、加密的，所以VPN通信同样具有专用网络的通信安全性。整个VPN通信过程可以简化为以下4个通用步骤:
/ `* H& @( E9 ?% J& w# X( k8 ?' {5 N  S! w* a1 r) K0 G% ]
, \$ H8 _; d; G3 ^0 N* h" W  @4 v/ o
　　(1)客户机向VPN服务器发出请求;8 a! @" N$ Q  u- N- M0 L. e
9 ^5 }8 f& [: d" [: k4 X

6 }3 P; g' `. j8 W% z" w　　(2) VPN服务器响应请求并向客户机发出身份质询，客户机将加密的用户身份验证响应信息发送到VPN服务器;) c5 h& B, g% d) g

" |. Q/ v; a7 b. ^! p. k4 v/ ?) R* w# r; k: O& Q0 C
　　(3) VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问权限;如果该用户拥有远程访问的权限，VPN服务器接受此连接;
9 ~: F: X# v4 {- ^" Q+ N* o  R( A& q( ]& N  N0 B

8 y& |3 A8 j( m1 S6 M5 t& r1 n1 E1 l　　(4)最后VPN服务器将在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密，然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。' I& a/ a. ], K% J# s( H, E3 n
/ ?1 C  `) r' i2 I* @/ \1 h
/ c  o8 _( l, o! h* t
　　1. VPN的优势
3 [" @( D' r6 S0 d3 j0 S8 S/ v. }/ B" _- i8 f1 j8 H% U
; Q" k8 d5 s7 n
　　VPN网络给用户所带来的好处主要表现在以下几个方面:) Y0 q3 y0 s& X) Y

  |9 p0 i! g/ V: p  c- [; s6 q1 w$ }* I: h1 c; L# ^" E. M
　　(1)节约成本; b5 P0 z7 R' [, t$ B

+ I% l4 {+ u1 F, ^- O0 F, M+ z0 \, z* L4 L# z, M' R
　　这是VPN网络技术的最为重要的一个优势，也是它取胜传统的专线网络的关键所在。据行业调查公司的研究报告显示拥有VPN的企业相比起采用传统租用专线的远程接入服务器或Modem池和拨号线路的企业能够节省30%到70%的开销。开销的降低发生在4个领域之中:
/ B) z! M/ Q$ A, o5 S
% _* j. p9 R; z2 m5 p  F9 x8 {# ~1 f' [& s3 ~& I
　　移动通讯费用的节省:这主要是针对于有许多职工需要移动办公的企业来说的，因为这样对于出差在外地的移动用户来说只需要接入本地的ISP就可以与公司内部的网络进行互连，大大减少了长途通信费。企业可以从他们的移动办公用户的电话费用上看到立竿见影的好处。
, j, K3 }$ V) C9 Y
3 j* Q/ M; z. |- j1 F
6 X$ r: X& u7 _( |　　专线费用的节省:采用VPN的费用比起租用专线来要低40～60%，而无论是在性能、可管理性和可控性方面两者都没有太大的差别。通过向虚拟专线中加入语音或多媒体流量，企业还可以进一步获得成本的节约。这一点对于过去有过租用象DDN之类的专线的企业用户就会有更深刻的感受了，租用DDN一个小小的64k就得每月花费几千上万元费用，采用VPN后不仅这方面的费用会大大减少(但通常不能全免，因为在企业与NSP之间这一段还得租用NSP的专用线路，但这已是相当短的了)，而且还可能会在带宽上有更大的优势，因为现在的VPN技术可以支持宽带技术了。! D2 T; X) p# P: u7 i
0 G* A  C- x# u# r8 {. \

- R" @' u6 @# j) z2 [! q  S, H3 |　　设备投资的节省:VPN允许将一个单一的广域网接口用作多种用途，从分支机构的互联到合作伙伴通过外联网(Extranet)的接入。因此，原先需要流经不同设备的流量可以统一地流经同一设备。由此带来的好处便是企业不再像原先那样需要大量的广域网接口了，也不必再像以前那样频繁地进行周期性的硬件升级了，这样就可大大减少了企业固定设备的投资，这对于是、小型企业来说是非常之重要的。此外，VPN还使企业得以继续对其关键业务型的旧有系统进行有效利用，从而达到保护软硬件投资的目的。2 \( V8 u0 @- s1 C( q

4 `" K) g2 i# K; @$ e0 Z4 ?5 O
& p5 h5 g7 B( B. b- p* l- H5 o3 K　　支持费用的节省:通过减少Modem池的数量，企业自身支持费用可以被降至最低。原先用来对远程用户进行支持的、经常超负荷工作的企业支持热线(通常还需由专人负责)被NSP帮助桌面系统所取代。而且，由于NSP帮助桌面系统可以完全实现从总部中心端进行管理，因此VPN可以极大地降低对远程网络的安装和配置成本。在降低费用方面主要表现为:远程用户可以只通过向当地的ISP申请账户登录到因特网，以因特网作为隧道与远程企业内部专用网络相连。这样采用拨号方式的远程用户则不需要采用长途拨号，企业总部也可只支付ISP本地网络使用费，在长途通信费用方面就会大幅度降低，据专业分析机构调查显示，采用VPN与传统的拨号方式相比可以节约通讯成本可达50%-80%。与租用专线方式相比更具有明显的费用优势，一般VPN每条连接的费用成本只相当于租用专线的40%到60%;VPN还允许一个单一的WAN接口服务多种用途，因此用户端只需要极少的WAN接口和设备。而且由于VPN是可以完全管理，并且能够从中央网站进行基于策略的控制，因此可以大幅度地减少在安装配置远端网络接口所需的设备上的开销。另外，由于VPN独立于初始的协议，这就使得远端的接入用户可以继续使用传统的设备，保护了用户在现有硬件和软件系统上的投资。
+ k7 c: ^0 l; s+ [7 g9 {5 _' f8 g  s1 j1 Q$ ~5 B+ V! w' x4 i) w
% _& [; p- n$ z9 E9 c( I/ I  O6 Q
　　(2)增强的安全性, r$ u) z1 [9 O, {3 o7 ]
; \8 r8 c: ^3 y
% a- D' [1 Y" h; n: b5 X
　　目前VPN主要采用四项技术来保证数据通信安全，这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、身份认证技术(Authentication)。
) F( |* b2 j5 M- E, g4 Q. @. @! X- ]3 [7 H! e/ }0 H

  o) S( l# v( W3 u+ f2 h$ \# [　　在用户身份验证安全技术方面，VPN是通过使用点到点协议(PPP)用户级身份验证的方法来进行验证，这些验证方法包括:密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP);
8 m7 v, r, k6 z  R! g3 X
+ M4 x6 l+ O7 W
: ?* B! i0 U) E+ w( y- Z, U　　在数据加密和密钥管理方面VPN采用微软的点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据进行加密，并采用公、私密钥对的方法对密钥进行管理。MPPE使Windows 95、98和NT 4.0终端可以从全球任何地方进行安全的通信。MPPE加密确保了数据的安全传输，并具有最小的公共密钥开销。以上的身份验证和加密手段由远程VPN服务器强制执行。对于采用拨号方式建立VPN连接的情况下，VPN连接可以实现双重数据加密，使网络数据传输更安全。4 K1 t6 b! s3 a2 }0 b# K1 Y/ [
8 G: j8 W/ C5 t7 C2 u. p
* I* j; p$ Q- d
　　还有，对于敏感的数据，可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔，只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接，并且可以访问敏感部门网络中受到保护的资源。
. o" t% p- j+ K$ T* Y: J3 g, l: r. a6 J/ ^( J! e

3 L  C! b6 i- \　　(3)网络协议支持* v  n" Z) F  A, n: M3 G, `) t

7 Q9 L/ E- `8 M' t* W2 u5 a6 y* V6 [( @7 o& V
　　VPN支持最常用的网络协议，这样基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。新的VPN技术可以全面支持如AppleTalk、DECNet、SNA等几乎所有的局域网协议，应用更加全面。
+ z" u% _- ^4 M' d' ~3 `$ o- D+ x/ U: K2 M  |

- @8 q; }; P0 j' G6 f9 y　　(4)容易扩展; S( R9 C+ E2 i4 w
& {( _6 Z5 ?. m, G% h

& k* H. I3 b+ s5 _4 F' W( B; N; _& a　　如果企业想扩大VPN的容量和覆盖范围，企业需做的事情很少，而且能及时实现，因为这些工作都可以交由专业的NSP来负责，从而可以保证工程的质量，更可以省去一大堆麻烦。企业只需与新的NSP签约，建立账户;或者与原有的NSP重签合约，扩大服务范围。VPN路由器还能对工作站自动进行配置。
1 q+ S2 ?, q" }8 ^+ @7 i7 b8 O: n0 L& ]# x( V, j3 N$ w- j

4 R+ U/ e, G0 p1 i; W; P　　(5)可随意与合作伙伴联网
: `* H  d8 \7 b0 y+ B
1 n1 P3 ~( r: F$ @. S
( K( `. b5 |0 h9 ^6 ]% {　　在过去，企业如果想与合作伙伴连网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。这样相当麻烦，不便于企业自身的发展，也就是租用的专线在灵活性方面是非常不够。有了VPN之后，这种协商也毫无必要，真正达到了要连就连，要断就断，可以实现灵活自如的扩展和延伸。$ P4 r1 l+ o% R5 x  ^3 q' s4 Z* s

% r& A4 T3 R) @+ Q  {2 o, j+ S2 E1 j$ X( O9 c' s5 T# u
　　(6)完全控制主动权- v7 Z4 n* m) V/ S( ]$ [) x

; _* v# {, O) E' [$ w4 t& `
9 }" n" f6 V, K0 x9 ^　　借助VPN，企业可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。比方说，企业可以把拨号访问交给ISP去做，由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。$ H- G4 N0 T" Q& Z/ v8 s+ F

* _/ j$ N/ P- S3 B, k$ j
2 ?& N) h  p% d　　(7)安全的IP地址$ w2 g! g" f' w/ d7 Q6 c

9 O- |9 |* s5 [$ F0 D$ z& L) b7 h) K2 G1 k1 z
　　因为VPN是加密的，VPN数据包在因特网中传输时，因特网上的用户只看到公用的IP地址，看不到数据包内包含的专有网络地址。因此远程专用网络上指定的地址是受到保护的。IP地址的不安全性也是在早期的VPN没有被充分重视的根本原因之一。
4 v2 p$ i, K( t- H2 y. `; X9 N' K* l) K+ ^( [
8 E& F0 w2 n" @* B$ ^
　　(8)支持新兴应用
, |5 x! m. X6 i7 y# v7 q2 A/ D* E) ]2 p  Z

' s; ]9 [/ @" {　　许多专用网对许多新兴应用准备不足，如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用，如IP语音，IP传真，还有各种协议，如RSIP、IPv6、MPLS、SNMPv3等，而且随着网络接入技术的发展，新型的VPN技术可以支持诸如ADSL、Cable Modem之类的宽带技术。

上面介绍了VPN的主要优势，那么哪些用户适合采用VPN网络连接呢?综合VPN技术的特点，可以得出主要有以下四类用户适合采用VPN进行网络连接:
- G7 g# Q! B0 b6 _
; R' x. O0 _1 s. i3 {2 q. u
  g5 }, |: q4 r! g$ O2 E% ^% U6 a　　a.网络接入位置众多，特别是单个用户和远程办公室站点多，例如多分支机构企业用户、远程教育用户;
+ D( X; T6 V, c" |, H) t2 }" }% d, R1 T/ ?$ p6 Q" F
4 h; _7 {5 l1 a% i2 m4 Q
　　b.用户/站点分布范围广，彼此之间的距离远，遍布全球各地，需通过长途电信，甚至国际长途手段联系的用户，如一些跨国公司;7 d* C# T0 y( w3 |
3 v$ r  }4 R$ }4 x) V* i" V# p
5 K9 _9 V4 ~& i! O% o, y
　　c.带宽和时延要求相对适中，如一些提供IDG服务的ISP;) E0 J. r4 G2 ?; n0 e) Q- S

* ]2 W2 x+ u: I1 G# s
$ b7 A( W5 C! \　　d.对线路保密性和可用性有一定要求的用户，如大企业用户和政府网。. U3 w& l. Y. |1 ~2 G: p& V) h

) e; o  P/ z2 x/ y4 h1 a. z+ ^2 _% D# q
　　根据VPN的应用平台可分为:软件平台、专用硬件平台及辅助硬件平台三类。: Z; C: J. `! i" r' S( {; m0 E
5 U: B: [2 @7 H' G( h% i9 e

' X, w. x0 o0 Y　　(1)软件平台VPN
( g2 l$ ^8 h7 O- P( e0 x5 v6 X7 H% K. G$ @8 \) t

- R0 T8 Y9 N8 ]5 [　　当对数据连接速率较低要求不高，对性能和安全性要求不强时，可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN的功能，如checkpoint software和Aventail Corp等公司的产品。甚至可以不需要另外购置软件，仅依靠微软的Windows操作系统，特别是自Windows 2000版本以后的系统就可实现纯软件平台的VPN连接。2 Q( \* ]4 g; f
# Z2 e. @/ h8 F. W0 [

; Q, w: A) r, A4 E　　这类VPN网络一般性能较差，数据传输速率较低，同时在安全性方面也比较低，一般仅适用于连接用户较少的小型企业。
& \2 L! `, j- p% o1 |' j(2)专用硬件平台VPN/ x9 K* z5 d' J, S
0 A# Q0 P6 i6 A7 s( g( u6 w+ f
8 y) T4 b$ s; d, Q1 M0 k: J' q
　　使用专用硬件平台的VPN设备可以满足企业和个人用户对高数据安全及通信性能的需求，尤其是从加密及数据乱码等对CPU处理能力需求很高的功能。提供这些平台的硬件厂商比较多，比较有名的如国外的:Nortel、Cisco、3Com等，国内的如华为、联想等。9 L+ u( E3 F4 q+ u& S

& k6 u7 k; ~  h. j! [5 H# |/ Z  H! ]+ j. C! t: Y! B
　　这类VPN平台虽然投资了大量的硬件设备，但是它具有先天的不足，就是成本太高，对于中、小型企业很难承受。并且由于全是由硬件来构成的平台，因此在管理的灵活性方面和可管理性方面就显得不如人意。通常是对于专业的VPN网络服务提供商来说选择这一平台较为合适，因为它们都有这方面的人才和资金优势。不过现在的主流VPN硬件设备制造商都能提供相应的管理软件来支持，如Cisco、3COM公司等，这在后面章节中将具体介绍它们的VPN解决方案。
' A, @& o) |$ |2 X' P* ?4 U
1 q7 q2 a7 q1 K, C# W1 ]# d; h9 v" I% t
　　(3)辅助硬件平台VPN
5 D% [! p  k# i, Y$ s0 Y
9 k' ^4 c1 M# L- d1 O, `  I3 ~9 c& e5 \& d/ ?
　　这类VPN的平台介于软件平台和指定硬件平台的之间，辅助硬件平台的VPN主要是指以现有网络设备为基础，再增添适当的VPN软件以实现VPN的功能。这是一种最为常见的VPN平台，性能也是最好的一种。但是通常这种平台中的硬件也不能完全由原来的网络硬件来完成，必要时还得添加专业的VPN设备，如VPN交换机、VPN网关或路由器等，对于一个完善的、高性能的VPN网络这些设备在一定程度上来说是非常必要的。$ [+ p! j) U+ F5 J% p

9 g2 b" V1 P& I# v  |1 }: [% h, t% D
　　这种平台是最为通用的一种方式，它既具备了硬件平台的高性能、高安全性，同时也具有了软件平台的灵活性，并且可以利用绝大多数现有硬件设备，节省了总体投资。目前绝大多数企业VPN方案选用。! t+ N# l* {1 A  a8 @1 h3 @  ~

' u; `: f8 q4 t5 |" c5 d1 z+ z9 H6 L3 _5 H0 p
　　2.主要VPN协议; r9 p; a+ F! u4 l. \' e7 @7 u

" T4 {# y5 t7 G" ^- |) }) r. O' s4 y/ M6 \
　　通过前面的介绍知道VPN隧道协议主要有三种PTP、L2TP和IPSec，PPTP和L2TP协议是工作在OSI/RM开放模型中的第二层，所以又称之为第二层隧道协议。其实在第二层隧道协议中还有一种不是很主流的协议，那就是Cisco公司的L2F(Layer 2 Forwarding)协议。在VPN网络中最常见的第三层隧道协议是IPSec，但另一种GRE(Generic Routing Encapsulation，通用路由封装协议，在RFC 1701中早有描述)也是属于一个第三隧道协议。
. N) L% @- V9 A) G( w% L  }0 C; B/ E+ {

9 O% u- {) D: x5 }　　第二层隧道和第三层隧道的本质区别在于用户的数据包是被封装在哪一层的数据包隧道里传输的。第二层隧道协议和第三层隧道协议一般来说分别使用，但合理的运用两层协议，将具有更好的安全性。例如2TP与IPSec协议的配合使用，可以分别形成L2TP VPN、IPSec VPN网络，也可混合使用L2TP、IPSec协议形成性能更强的L2TP VPN网络，且这一VPN网络形式是目前性能最好、应用最广的一种，因为它能提供更加安全的数据通信，解决了用户的后顾之忧。% c" }( N8 K$ T0 F* f3 g

( x$ b+ C7 L  n, ^
/ I  a, |- l7 o6 A1 c　　3. VPN的部署模式5 ~  D& x+ V2 y+ Z. V

% h1 Z; k' Y0 d! y5 e/ x9 s( q
. N$ W. @! z- [- V% l　　VPN的部署模式从本质上描述了VPN通道的起始点和终止点，不同的VPN模式适用于不同的应用环境，满足不同的用户需求，总的来说有3种VPN部署模式:# b4 A4 g( o6 I7 t$ B3 E0 r' x9 k, w

! o8 B# w( ?8 ]# B
# o3 J0 Z( Q3 U) I8 F　　(1)端到端(End-to-End)模式;
- n/ W3 v9 w0 j/ V4 g$ w( N. E1 o" }/ J

9 \' ]! V; o. W! R, M2 }# p　　该模式是自建VPN的客户所采用的典型模式，也是最为彻底的VPN网络。在这种模式中企业具有完全的自主控制权，但是要建立这种模式的VPN网络需要企业自身具备足够的资金和人才实力，这种模式在总体投金上是最多的。最常见的隧道协议是IPSec和PPTP。这种模式一般只有大型企业才有条件采用，这种模式最大的好处，也是最大的不足之处就是整个VPN网络的维护权都是由企业自身完成，需花巨资购买成套昂贵的VPN设备，配备专业技术人员，同时整个网络都是在加密的隧道中完成通信的，非常安全，不像外包方式中存在由企业到NSP之间的透明段。
! {) R) i2 w" S
3 C# u4 |7 W2 l0 R& A2 A, p% ~3 _1 ]( h, x% |7 O8 Y
　　(2)供应商―企业(Provider-Enterprise)模式;. @6 G& H3 v6 m4 J3 l
# h+ P0 T9 e5 j& B* T( x
. T, x8 x0 r- B- w+ I/ }0 O
　　这是一种外包方式，也是目前一种主流的VPN部署方式，适合广大的中、小型企业组建VPN网络。在该模式中，客户不需要购买专门的隧道设备、软件，由VPN服务提供商(NSP)提供设备来建立通道并验证。然而，客户仍然可以通过加密数据实现端到端的全面安全性。在该模式中，最常见的隧道协议有L2TP、L2F和PPTP。2 p& j0 I. B3 a* t, Z
- s' N& R# i1 X/ T
4 e3 f( a; |! _" Z/ o
　　(3)内部供应商(Intra-Provider)模式。9 _# Q4 H. p; S4 H5 c4 P

! R- }3 z% _2 ]% U5 e/ ~6 |
. i# a0 t" w8 Z' B3 Y　　这也是一种外包方式，与上一种方式最大的不同就在于用户对NSP的授权级别不同，这种模式非常适合小型企业用户，因为这类企业一般没有这方面的专业人员，自身维护起来比较困难，可以全权交给NSP来维护。这是很受电信公司欢迎的模式，因为在该模式中，VPN服务提供商保持了对整个VPN设施的控制。在该模式实现中，通道的建立和终止都是在NSP的网络设施中实现的。对客户来说，该模式的最大优点是他们不需要做任何实现VPN的工作，客户不需要增加任何设备或软件投资，整个网络都由VPN服务提供商维护。最大的足也就是用户自身自主权不足，存在一定的不安全因素。  W6 {" D  t, _; n
; F2 v. H1 }) o( a9 E

$ I; Z: S8 l2 U; n　　4. VPN的服务类型2 ~7 f) N& a1 K  G9 Z& ?* }

. b5 f, m+ M# Z" [$ x3 ^2 X: H% ?9 W; I1 ^2 T: f
　　根据VPN应用的类型来分，VPN的应用业务大致可分为3类:IntranetVPN、Access VPN与Extranet VPN，但更多情况下是需要同时用到这三种VPN网络类型，特别是对于大型企业。
% l6 v. ^4 ]/ C6 }1 {& U3 ^8 i/ [2 Y" b0 _8 `3 M
6 J- k" y& _. m) M1 {# {
　　(1)Access VPN
6 k* M5 T9 o" ]- t6 R' a- o' D/ u7 m% w% T$ S: m
! G( Z) n7 j$ \+ V/ o4 P; V
　　Access VPN又称为拨号VPN(即VPDN)，是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。如果企业的内部人员移动或有远程办公需要，或者商家要提供B2C的安全访问服务，就可以考虑使用AccessVPN。
. ^% k) A0 {5 R! Z3 w' ?
$ e7 p, n$ }+ i
- C% G! H: M+ ?　　Access VPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以其所需的方式访问企业资源。Access VPN包括能随时使用如模拟拨号Modem、ISDN、数字用户线路(xDSL)、无线上网和有线电视电缆等拨号技术，安全地连接移动用户、远程工作者或分支机构。这种方式相对传统的拨号访问具有明显的费用优势，对于需要移动办公的企业来说不失为一种经济安全、灵活自由的好方式，所以这种方式通常也是许多大、中型企业所必需的。当然它也可以独自存在，如一些小型商务企业。: p( V5 a3 {: J1 O
; V6 s# q; Y+ J' [2 o- _

; h9 F5 s7 X: H　　(2) Intranet VPN7 |. _+ ^# l$ m# Q  e( G

- g# D9 a# P& G8 `; @( V+ K& m; R5 F5 |
　　Intranet VPN即企业的总部与分支机构间通过VPN虚拟网进行网络连接。随着企业的跨地区、国际化经营，这是绝大多数大、中型企业所必需的。如果要进行企业内部各分支机构的互联，使用Intranet VPN是很好的方式。这种VPN是通过公用因特网或者第三方专用网进行连接的，有条件的企业可以采用光纤作为传输介质。它的特点就是容易建立连接、连接速度快，最大特点就是它为各分支机构提供了整个网络的访问权限。" d" x; l: r% _3 H7 |

' M; @# M  u+ f  Z' O8 `
3 A  W7 K* t3 [8 `6 ~  p　　越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在因特网上组建世界范围内的IntranetVPN。利用因特网的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。IntranetVPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。
% R4 ~+ e5 Q8 x  q0 T$ }/ A2 A2 T
0 \0 I5 M4 W% m+ c0 p$ R( a4 }0 f9 o; p! P
+ G9 P6 c! z0 {4 G9 [0 }4 e　　(3) Extranet VPN* s- z7 @* C1 ~) B4 K# A! Q8 \

* d/ U2 y& `6 _) q
9 @1 L9 {/ I4 g! H) W# f　　Extranet VPN即企业间发生收购、兼并或企业间建立战略联盟后，使不同企业网通过公网来构筑的虚拟网。如果是需要提供B2B电子商务之间的安全访问服务，则可以考虑选用Extranet VPN。6 `2 F# ~' M) V# ~  z: ~4 a

% S6 U4 v: Q& c% B$ z
0 @+ ^5 z3 L; `  K1 a5 P) ^/ ^6 B( ^　　随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换日益频繁。因特网为这样的一种发展趋势提供了良好的基础，而如何利用因特网进行有效的信息管理，是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。6 ^& w$ z( w2 n; B& K& L
6 r# x+ t2 @0 c

1 {# |' C8 l. f( P　　Extranet VPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。
5 x8 m; b( I* B9 t0 A% I  U# {' f0 Q" T! X$ x8 w0 g2 Y2 F
3 f  r$ L1 F4 r: o
　　Extranet VPN对用户的吸引力在于:能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可，外部网的用户被许可只有一次机会连接到其合作人的网络，并且只拥有部分网络资源访问权限，这要求企业用户对各外部用户进行相应访问权限的设定。典型网络结构如图1.5所示。! Z7 P- u* v" ~4 _6 a

) p) n2 D' m3 ]2 z$ D, ^$ S
/ B+ ]# h9 e: w# _& b8 K1 o! y　　以上三种VPN模式，其实在后面将要介绍的Windows 2000系统中的VPN网络中都统归于两种模式，即:远程访问VPN和路由器到路由器VPN，“远程访问VPN”对应于本节所介绍的Access VPN(VPDN)模式，而“Extranet VPN”和“Intranet VPN”则可统归“路由器到路由器VPN”模式。但是又不能完全这么划分，因为不同系统中对VPN模式的分类标准和前提不太一样，本节所介绍的这三种VPN模式是基于整个VPN网络来划分的，而在Windows 2000系统中的这种VPN模式划分的前提是在纯软件方式下进行的。