VPN分類

VPN的分類方式比較混亂。不同的生產廠家在銷售它們的VPN產品時使用了不同的分類方式，它們主要是產品的角度來劃分的。不同的ISP在開展VPN業務時也推出了不同的分類方式，他們主要是從業務開展的角度來劃分的。而用戶往往也有自己的劃分方法，主要是根據自己的需求來進行的。下面簡單介紹從不同的角度對VPN的分類。
一、按接入方式劃分
　　 這是用戶和運營商最關心的VPN劃分方式。一般情況下，用戶可能是專線上（因特）網的，也可能是撥號上網的，這要根據擁護的具體情況而定。建立在IP網上的VPN也就對應的有兩種接入方式：專線接入方式和撥號接入方式。
　　 （1）專線VPN：它是爲已經通過專線接入ISP邊緣路由器的用戶提供的VPN解決方案。這是一種“永遠在線”的VPN，可以節省傳統的長途專線費用。
　　 （2）撥號VPN（又稱VPDN）：它是向利用撥號PSTN或ISDN接入ISP的用戶提供的VPN業務。這是一種“按需連接”的VPN，可以節省用戶的長途電話費用。需要指出的是，因爲用戶一般是漫遊用戶，是“按需連接的，因此VPDN通常需要做身份認證（比如利用CHAP和RADIUS）
二、按協議實現類型劃分
　　 這是VPN廠商和ISP最爲關心的劃分方式。根據分層模型，VPN可以在第二層建立，也可以在第三層建立（甚至有人把在更高層的一些安全協議也歸入VPN協議。）
　　 （1）第二層隧道協議：這包括點到點隧道協議（PPTP）、第二層轉發協議（L2F），第二層隧道協議（L2TP）、多協議標記交換（MPLS）等。
　　 （2）第三層隧道協議：這包括通用路由封裝協議（GRE）、IP安全（IPSec），這是目前最流行的兩種三層協議。
　　 第二層和第三層隧道協議的區別主要在於用戶數據在網絡協議棧的第幾層被封裝，其中GRE、IPSec和MPLS主要用於實現專線VPN業務，L2TP主要用於實現撥號VPN業務（但也可以用於實現專線VPN業務），當然這些協議之間本身不是衝突的，而是可以結合使用的。
三、按VPN的發起方式劃分
　　 這是客戶和IPS最爲關心的VPN分類。VPN業務可以是客戶獨立自主實現的，也可以是由ISP提供的。
　　 （1）發起（也稱基於客戶的）：VPN服務提供的其始點和終止點是面向客戶的，其內部技術構成、實施和管理對VPN客戶可見。需要客戶和隧道服務器（或網關）方安裝隧道軟件。客戶方的軟件發起隧道，在公司隧道服務器處終止隧道。此時ISP不需要做支持建立隧道的任何工作。經過對用戶身份符（ID）和口令的驗證，客戶方和隧道服務器極易建立隧道。雙方也可以用加密的方式通信。隧道一經建立，用戶就會感覺到ISP不在參與通信。
　　 （2）服務器發起（也稱客戶透明方式或基於網絡的）：在公司中心部門或ISP處（POP、Point of presence）安裝VPN軟件，客戶無須安裝任何特殊軟件。主要爲ISP提供全面管理的VPN服務，服務提供的起始點和終止點是ISP的POP，其內部構成、實施和管理對VPN客戶完全透明。
　　 在上面介紹的隧道協議中，目前MPLS只能用於服務器發起的VPN方式。
四、按VPN的服務類型劃分
　　 根據服務類型，VPN業務大致分爲三類：接入VPN（Access VPN）、內聯網VPN(Intranet VPN)和外聯網VPN（Extranet VPN）。通常情況下內聯網VPN是專線VPN。
　　 （1）接入VPN：這是企業員工或企業的小分支機構通過公網遠程訪問企業內部網絡的VPN方式。遠程用戶一般是一臺計算機，而不是網絡，因此組成的VPN是一種主機到網絡的拓撲模型。需要指出的是接入VPN不同於前面的撥號VPN，這是一個容易發生混淆的地方，因爲遠程接入可以是專線方式接入的，也可以是撥號方式接入的。
　　 （2）內聯網VPN：這是企業的總部與分支機構之間通過公網構築的虛擬網，這是一種網絡到網絡以對等的方式連接起來所組成的VPN。
　　 （3）外聯網VPN：這是企業在發生收購、兼併或企業間建立戰略聯盟後，使不同企業間通過公網來構築的虛擬網。這是一種網絡到網絡以不對等的方式連接起來所組成的VPN（主要在安全策略上有所不同）。
五、按承載主體劃分
　　 營運VPN業務的企業；既可以自行建設他們的VPN網絡，也可以把此業務外包給VPN商。這是客戶和ISP最關心的問題。
　　 （1）自建VPN：這是一種客戶發起的VPN。企業在駐地安裝VPN的客戶端軟件，在企業網邊緣安裝VPN網關軟件，完全獨立於營運商建設自己的VPN網絡，運營商不需要做任何對VPN的支持工作。企業自建VPN的好處是它可以直接控制VPN網絡，與運營商獨立，並且VPN接入設備也是獨立的。但缺點是VPN技術非常複雜，這樣組建的VPN成本很高，QoS也很難保證。
　　 （2）外包VPN：企業把VPN服務外包給運營商，運營商根據企業的要求規劃、設計、實施和運維客戶的VPN業務。企業可以因此降低組建和運維VPN的費用，而運營商也可以因此開拓新的IP業務增值服務市場，獲得更高的收益，並提高客戶的保持力和忠誠度。筆者將目前的外包VPN劃分爲兩種：基於網絡的VPN和基於CE（用戶邊緣設備）的管理型VPN（Managed VPN）。基於網絡的VPN通常在運營商網絡的呈現點（POP）安裝電信級VPN交換設備。基於CE的管理型VPN業務是一種受信的第三方負責設計企業所希望的VPN解決方案，並代表企業進行管理，所使用的安全網關（防火牆、路由器等）位於用戶一側。
七、按VPN業務層次模型劃分
　　 這是根據ISP向用戶提供的VPN服務工作在第幾層來劃分的（注意不是根據隧道協議工作在哪一層劃分的）。
　　 （1）撥號VPN業務（VPDN）：這是第一種劃分方式中的VPDN（事實上是按接入方式劃分的，因爲很難明確VPDN究竟屬於哪一層）。
　　 （2）虛擬租用線（VLL）：這是對傳統的租用線業務的仿真，用IP網絡對租用線進行模擬，而從兩端的用戶看來這樣一條虛擬租用線等價於過去的租用線。
　　 （3）虛擬專用路由網（VPRN）業務：這是對第三層IP路由網絡的一種仿真。可以把VPRN理解成第三層VPN技術。
　　 （4）虛擬專用局域網段（VPLS）：這是在IP廣域網上仿真LAN的技術。可以把VPLS理解成一種第二層VPN技術。
　　八、總結