选择合适的VPN 建造功能均衡的VPN[2]

　L2F是由思科公司开发的一种比较旧的协议。L2TP借鉴了L2F和PPTP的概念，从而成为数据链路层协议。L2TP可以提供隧道，但不提供安全或者验证，L2TP可以在隧道里面传输PPP会话。思科将L2TP实施在路由器中，并且有好几种采用开放源代码的L2TP是针对Linux实施的。

　　L2TP/IPSec结合了L2TP的隧道和IPSec的安全通道功能，这样一来，安全的因特网密钥交换（IKE）比纯粹的IPSec更容易实现。自2002年以来，微软为Windows 98/ME/NT提供了免费的L2TP/IPSec VPN客户机软件，并且随同Windows XP/2000/2003/ Vista交付L2TP/IPSec VPN客户机软件，Windows Server 2003和Windows 2000 Server都包括L2TP/IPSec服务器软件。

　　SSL和TLS都是在OSI模型的第4层保护数据流安全的协议。SSL 3.0及其后续版本TLS 1.0通常都与能够实现安全Web浏览的HTTP（名为HTTPS）一起使用。不过，SSL/TLS也可以用来创建VPN隧道。譬如，OpenVP就是一款采用开放源代码的VPN软件包，适用于Linux、xBSD、Mac OS X、Pocket PC和Windows 2000/XP/2003/Vista。OpenVP使用SSL来提供对数据通道和控制通道进行加密的功能。

　　VPN的安全风险

　　在某些时候，使用VPN会让公司面临潜在的安全风险。虽然如今使用的VPN大多数就其本身而言相当安全，但VPN加大了合理保护网络边界安全的难度，网络管理员必须对通过VPN连接到网络的计算机和直接连接到LAN的计算机实行同样的安全标准。

　　结合使用两个VPN可能会把一家公司的网络暴露在另一家公司的网络面前。此外，如果PC Anywhere、GoToMyPC或者VNC等远程控制软件与VPN一起使用，公司的网络可能会暴露在驻留本身并没有连接到VPN的远程计算机上的恶意软件面前。

　　建造功能均衡的VPN

　　因为安全VPN依靠加密来保证性能，而一些加密功能属于计算密集型，所以使用频繁的VPN可能会让服务器不堪重负。管理员通常可以把同时连接的数量限制在服务器能够处理的水平，从而管理服务器的负载。

　　如果试图连接到VPN的用户数量突然达到高峰，譬如在导致交通中断的暴风雨期间，员工可能会发现自己无法连接上VPN，因为所有VPN端口都处于忙碌状态。管理员应确保不需要VPN的关键应用系统正常运行，例如设置代理服务器或者因特网消息访问协议（IMAP）服务器，让员工可以在家里或者在路上使用电子邮件。

　　就特定的情形而言，决定使用IPSec还是SSL/TLS可能很难。要考虑的一个因素就是，SSL/TLS能够透过基于网络地址转换（NAT）的防火墙工作，IPSec却不能，不过这两种协议都可以透过并不转换地址的防火墙工作。

　　IPSec可以对两台计算机之间传输的所有IP流量进行加密，而SSL/TLS只针对某种应用进行加密。SSL/TLS使用成本高昂的异步加密功能来建立连接，并使用更有效的同步加密功能来保护通路的安全。

　　在远程应用中，管理员可能会混合搭配各种协议，以求VPN在性能和安全之间获得最佳平衡。例如，客户机使用由SSL/TLS保护的浏览器，通过防火墙连接到基于Web的前端程序；Web服务器使用IPSec连接到应用服务器; 而应用服务器可能使用SSL，跨另一个防火墙连接到数据库服务器。另外，使用专门的服务器硬件有时可以增强VPN的扩展性。