虚拟专用网VPN类型与如何选购[2]

　　如果单位自建VPN需要选购相关的产品。 一套完整的VPN产品一般包括3个部分即① VPN网关：用于实现LAN到LAN。② VPN客户端：与VPN网关一起可实现客户到LAN的VPN方案。③ VPN管理中心：对VPN网关和VPN客户端的安全策略进行配置和远程管理。 在选择VPN产品时，我们可从以下几个方面来考虑：

　　1、产品定位

　　首先应考察产品定位问题。像其他网络产品一样，不同的VPN产品有不同的定位，按从高端到低端的顺序，依次为电信级、企业级、中小企业、办公室或SOHO。当然，中小企业只能选择中小企业及以下级别的产品。

　　2、支持的应用类型

　　VPN有3种应用类型：LAN到LAN、客户到LAN、客户到客户。这里的客户指的是VPN网络中的移动用户和远程办公用户。目前多数VPN产品都支持LAN到LAN和客户到LAN，而支持客户到客户的产品不多。这一点在有些应用场合很重要，例如企业的远程办公用户之间需要交流保密信息，客户到客户的VPN方案是一种很好的解决手段。

　　3、支持的协议

　　自建VPN应根据需要选择隧道协议，目前PPTP、L2TP和IPSec是比较常用的协议。一般远程访问VPN(即客户到LAN)多选择L2TP协议，为安全起见，还需选择IPSec来提供加密。网络互联(LAN到LAN)和端到端连接多选择IPSec协议。PPTP由于简单易用，而且支持NAT路由，因此在有些场合下也使用。总之，IPSec是最安全的隧道协议，多数VPN产品都支持该协议。当然越来越多的VPN产品开始支持PPTP和L2TP协议。

　　除隧道协议之外，还要考察VPN可承载协议、NAT(网络地址转换)以及路由协议的支持情况。许多VPN产品的可承载协议除IP协议之外，还支持IPX、NetBIOS等网络协议。对NAT的支持对于一些网络共享的应用非常重要，IPSec本身并不支持NAT，但可在VPN产品中加进这一功能。与IPSec产生直接冲突的是网络地址端口转换(NAPT)和网络地址转换(NAT)。

　　NAT和NAPT在宽带网络中应用很广，许多网络服务供应商都使用这种技术。IPSec VPN方案如果不支持NAPT，在这些场合就没有意义了。

　　4、是否集成防火墙功能

　　VPN将IP数据包加密封装，往往会影响防火墙的性能，甚至影响安全策略的定义。一般来说，独立的VPN产品与防火墙难以协同工作，特别是来自不同厂家的产品。最好选择集成防火墙功能的VPN产品。

　　5、产品的基本配置

　　VPN的基本配置参数如下：

　　① 可支持的最大连接数。即使是小型网络，最少应不低于100，高端产品能支持数万个连接。 ② VPN实现机制。有纯软件、纯硬件、软硬结合以及专用设备等方式。 ③ 可提供的网络接口。常见的是以太网口，还有E1、T1等接口。 ④ 操作系统平台，指VPN产品本身所采用的操作系统，许多产品都采用专有的操作系统。

　　6、VPN的管理性

　　提供专用的VPN管理软件或平台对于一个复杂的VPN网络很重要，可简化管理，减轻了系统管理员的负担。

　　7、VPN的开放性和扩展性

　　VPN产品应提供与第三方安全产品协同工作的能力，应适应多种平台。便于扩展，以适应VPN网络的扩展和升级。

　　8、产品的其他功能

　　其他功能包括硬件加速功能(纯硬件处理、加密卡、加速卡)、流量均衡、安全策略(安全网关、防火墙、集中管理、日志、加密)、安全机制(包过滤、加密、认证、日志、审核等)、认证机制(RADIUS、数字证书)和密钥管理等。

　　另外，在选择VPN方案和产品的时候，不要单纯从组网和安全的技术角度考虑，还要考虑VPN的具体用途和所需成本。对于中小型VPN网络来说，经济实用才是最重要的。