VPN在企业局域网中的构建与运用 - 图文

VLAN、VPN在企业局域网中的构建与运用

设计背景 成都会展中心是成都市人民政府和美国加州集团投资集展览、会议、酒店、旅游一体的大型股份制企业。企业内部门多，经营站点多，各方面对计算机网络的需求复杂，要求对各经营部门和经营点全部采用计算机化管理。设计计算机网络时，要考虑满足功能需求和扩展性好。利于计算机化管理，提高效率和节约成本。四川九寨天堂是成都会展中心在九寨沟甘海子镇投资20亿元人民币集旅游、会议、酒店、景区、温泉为一体的超五星级酒店，同样对网络的需求复杂，扩展性好，计算机网络上承载的业务众多。同时要求和成都总部进行数据通信（包括酒店业务、财务系统、人事工资管理等管理软件），语音通信（通过两地局域网互连再和两地单位内电话程控交换机相连，用于承载VoIP，满足成都总部和九寨天堂内部IP电话通信需求，节约费用）。

设计总体原则

在设计时，因为成都总部是在原有老网络基础上改造的，要保护原先的网络投资，并要添加新的网络设备，增加网络交换性能。九寨天堂则是全新设计的网络，在设计时，按照IEEE802有关快速以太网的标准和结合本单位的实际来执行，要考虑网络的可扩展性，安全性、稳定性。采用的网络设备技术先进，实用性高，配置容易，网络可靠性要好。采购设备时，考虑采用3COM、华为、d-link公司知名的一系列交换机和路由器等网络设备，来保障安全、高可扩展、技术先进、网络可靠。因为业务的需要，要求成都会展和九寨天堂两地局域网必须联网，并且数据是实时传输，要求数据传输必须安全。基于要求，中国移动光纤线路能满足两地互相通讯的需求，同时通过路由器走VPN，对通过VPN数据加密，满足数据安全的要求。申请中国电信线路DDN，作为备份线路。当一条线路出现问题，另一条线路自动切换。在两地局域网内进行VLAN划分，使有需求的VLAN段可以相互通信，同时阻隔广播风暴，所以在两地需各放置一台三层交换机（3com 4050）满足各的需求。两地的局域网都采用星型结构，呈发散型分布。通过副机房汇聚各应用站点交换机，中心机房和副机房之间采用1000M单模光纤连接，服务器和

本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!

三层交换机之间采用6类1000M双绞线连接。一般的应用站点交换机采用100M双绞线或者光纤连接中心三层交换机。基于安全和稳定考虑，主干线路都采取冗余线路，来保证整个局域网的正常运行。

第一部分 VLAN

第一章 VLAN的基础知识

1、 什么是VLAN

VLAN是Virtual LAN，虚拟局域网的缩写，是一种不需要增加额外网络设备，就可以实现网络的分层技术，被大型大型网络广泛使用，IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN可以允许网络管理员取消过去的物理限制，并对用户的第3层网络地址进行控制，而不管它处在网络中的哪个位置。V L A N的优势包括加强网络的安全性能、易于控制广播和能够分布通信量。VLAN的出现打破了传统网络的许多固有观念，使网络结构变得灵活、方便、随心所欲。VLAN就是不考虑用户的物理位置而根据功能、应用等因素将用户逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播，而不同VLAN之间广播信息是相互隔离的。这样，将整个网络分割成多个不同的广播域。减少了广播量，提高通讯效率。 2、 VLAN之前的局域网

大而平的网络结构——每个端口设备都暴露在整个网络中，网络广播风暴极易产生，重要站点的安全性也是一个问题。网络分段依赖于网络的物理划分，不利于企业频繁的业务变化不存在冗余路径，也无法实现数据的负载均衡。

3、 VLAN划分后局域网带来的改良

A、控制广播风暴

局域网分割出了多个广播域，平的网络出现了分层，一个VLAN中的所有设备都在同一个广播域基于端口的VLAN设置，一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。

B、网络有效的带宽利用

包括广播和多点广播在内的多媒体数据流被限制在逻辑子网内。在交换机中用“组播组”动态定义VLAN，并且自动把“组报文”复制到同一VLAN中的终端，大大提高了多媒体数据的实时性，有效利用带宽，降低网络因拥挤而阻塞的可能。对故障组件的隔离，限制在一个VLAN上的有限几台设备。

本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!

C、网络安全性的提高

不同的VLAN的通信可通过路由设备设置安全和过滤功能，通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性

D、网络管理简单、直观

对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。

4、VLAN组网的条件 VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，VLAN之间的通讯是需要路由设备或者三层交换机。需要路由的支持，这时就需要增加路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来完成。基于安全性和控制广播风暴，也需要VLAN

5、划分VLAN的基本策略

从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法： 1、基于端口的VLAN划分

这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。

2、基于MAC地址的VLAN划分

MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个

本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!

用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。 3、基于路由的VLAN划分

路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。 4、根据IP组播划分VLAN

IP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。 就目前来说，对于VLAN的划分主要采取上述第1、3种方式，第2、4种方式为辅助性的方案。

6、VLAN的实现 VLAN tagging 技术是VLAN实现的关键

IEEE802.1Q标准作为802.1D桥接规范的一部分，它使不同厂家的交换机之间传递VLAN信息成为可能。IEEE802.1Q在媒介访问控制子层（MAC）帧中包括一个12bit长度的VLAN标识符，该标识符是IEEE802.1Q的16bit报头信息的一部分，该报头被添加到用于以太网和令牌环网络中传输的数据帧中，余下的4bit信息，3bit用于优先队列（802.1p）的标识，1bit是0

VLAN帧标记方法

Frame Taged Frame Untaged Frame 方向 In Out In Out

Tag Port unchange unchange unchange 打标记 Untag port unchange 去标记 unchange unchange 本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!

Tagging:将802.1QVLAN的信息加入数据包的包头。具有加标记能力的端口会将VID、优先级和其他VLAN信息加入到所有进出该端口的数据包内，如果数据包已经被标志过了，那么，端口将不对该数据包改动，保持原有的VLAN信息。

Untagging:将802.1QVLAN的信息从数据包的包头去掉的操作，具有去标记能力的端口将VID、

优先级和其他VLAN信息从所有进出该端口的数据包头中去掉，如果数据包没有被标记过，端口将不对该数据包改动。

第二章：三层交换技术

1、三层交换技术

A、三层交换技术的产生

本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!

二层交换技术从网桥发展到VLAN（虚拟局域网），在局域网建设和改造中得到了广泛的应用。第二层交换技术是工作在OSI七层网络模型中的第二层，即数据链路层。它按照所接收到数据包的目的MAC地址来进行转发，对于网络层或者高层协议来说是透明的。它不处理网络层的IP地址，不处理高层协议的诸如TCP、UDP的端口地址，它只需要数据包的物理地址即MAC地址，数据交换是靠硬件来实现的，其速度相当快，这是二层交换的一个显著的优点。但是，它不能处理不同IP子网之间的数据交换。传统的路由器在网络中有路由转发、防火墙、隔离广播等作用，而在一个划分了VLAN以后的网络中，逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上，不同VLAN之间的通信数据量是很大的，这样，如果路由器要对每一个数据包都路由一次，随着网络上数据量的不断增大，路由器将不堪重负，路由器将成为整个网络的瓶颈。 在这种情况下，出现了第三层交换技术，三层交换处于OSI模型的第三层，三层交换机除具有二层交换机的所有功能以外，同时在第三层还具有部分路由器的功能。它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后，会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此表直接从二层通过而不是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率，消除了路由器可能产生的网络瓶颈问题。可见，三层交换机集路由与交换于一身，在交换机内部实现了路由，提高了网络的整体性能。因此，在划有VLAN的局域网中，一般都要采用三层交换机来实现各VLAN的通信。。

B、三层交换的特点

1、线速路由 2、二．三层功能有机结合 3、多个子网互联时，不需要增加端口，保护用户的投资 4、路由自动发现，配置简单

5、提供访问控制列表，实现过滤功能

6、访问控制列表可以限制不同的VLAN的成员之间的访问策略 7、采用QoS，满足语音、视频等多媒体通信的需求 8、线速路由

和传统的路由器相比，三层交换机路由速度一般要快十倍或数十倍，能实现线速路由转发，传

统路由器采用软件来维护路由表，而三层交换机采用ASIC（Application Specific Integrated Circuit）硬件来维护路由表，因而能实现线速路由。 9、二、三层功能有机结合

除了少数的数据包走三层路由外，大部分数据由第二层交换处理。

C、三层交换的工作原理

假设两个使用IP协议的站点A、B通过三层交换机进行通信,发送站点A在开始发送时，把自己的IP地址与B站点的IP地址进行比较，判断B站是否和自己在同一子网内。若目的站B与发送站A在同一子网内，则进行二层的转发。

若两个站点不在同一子网内，如发送站A要与目的站B通信，如图所示

本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!

三层交换机原理图

步骤一、发送站A要想“缺省网关”（三层模块地址）发出ARP（地址解析）封包，交换机收到一个A要到达B的数据帧，并查看数据帧的目的的MAC地址，如果缓存有相应的条目，就可以根据相应条目直接使用快速交换技术完成三层数据路由，如果没有相应条目。则执行步骤二。

步骤二：二层交换模块将数据帧转入三层交换模块，根据三层路由协议找到目的的路径，并重新改变二层的源MAC地址，并将三层相应的路由路径映射成二层条目信息条目。

步骤三：三层交换模块将生成的条目回传到二层交换模块的相应缓存中。

步骤四：二层交换模块根据三层模块回传的条目，来比较后续的数据帧的目的地址，如果数据帧中的目的地址与缓存相匹配则执行步骤五，否则执行步骤一。

步骤五：如果进入交换机的数据帧的目的与二层缓存的比较，如果匹配数据帧将直接进入二层交换，旁路三层路由，完成快速的三层交换。

从以上可以看到，当A向B发送的数据包便全部交给二层交换处理，信息得以告诉交换。由于大部分数据都通过二层交换转发，因此三层交换机的处理速度很快，接近二层交换机的速度，从二实现“一次路由，多次交换”的快速交换。

本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!

第三章 项目实施

一、项目实施设备

A、 九寨天堂

九寨天堂位于九寨沟甘海子，是一座按5星级标准修建，具有浓郁藏羌民族风格的酒店。由于分布地域比较广，各经营点比较分散，故设了一个主机房，一个副机房，各经营点交换机到主副机房，主副机房之间都采用单模光纤，通过光纤口相互连接，并采取冗余线路方式。采用设备如下： 1台3COM公司的3C4050核心三层交换机及4个GBIC92千兆单模光纤接口，1台3COM公司可管理的3C4400SE边缘交换机及一个1000M单模光纤接口，16台D-LINK公司的3226S可管理的交换机及其单模光纤模块T-132。单模光端机10台，可传输距离为70KM，1台华为公司的2631E企业级路由器(2个以太网口，一个serial口（用于DDN），4端口FXS（用于VOIP）)。 中心机房采用3COM公司的三层交换机3C4050，3Com Switch 4050 交换机专为满足企业网络核心骨干的苛刻要求而设计，设计紧凑的 2RU 高度机架式设备 - 配有 6 个 1000BASE-SX 端口和 6 个 GBIC 端口（用于骨干连接）以及 12 个用于连接服务器的集成式 10/100/1000 端口。3Com Switch 4050 交换机供特性丰富的第二层功能、IP 网络第三层交换以及高级流量优先级划分能力和安全功能，可满足核心千兆骨干链路不断增长的需求。提供 56 Gbps 多层交换容量，跨所有端口提供线速性能，转发速率超过 4100 万 pps。

3C4050第三层交换功能 - 如使用静态路由、RIP/RIPv2 和 CIDR 的点播 IP路由 - 有助于增强性能，提供网络控制和安全性，和实现 VLAN 间的路由

副机房采用主干交换机采用3COM3C4400SE,该交换机可管理提供全线速的交换性能。24端口交换机的传输速率可达660万包每秒，2个可扩展端口，可插入1000M光纤或电口模块，具有8.8Gbps交换能力。

各经营点交换机采用d-link公司的d-link 3226s交换机d-link3326S是

一款把二层线速交换与基本的三层IP数据包路由和QoS(服务质量)结合的可堆叠多层路由交换机,，该交换机提供24个10/100M自适应端口，网速全/半双工自动协商。每个端口可与工作站或打印服务器相连，独享带宽。所有端口均支持自动MDI-II/MDI-X上行连接，允许用户从任何一个端口连接到工作站、服务器或其它交换机，而不需改变通常的双绞线直连方式。提供一个扩展插槽用来插光纤或电口模块。通过网段划分，支持IEEE 802.1Q VLAN标记与交换机连接的工作组可以被分组到不同的虚拟局域网（VLANs）。该交换机同样支持GVRP(GARP VLAN注册协议)自动配置VLAN。

本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!

B、成都会展中心

成都会展中心由于有老的网络，为保障原有的投资，保留了原先的2台中心交换机3COM3300FX，作为副机房的交换机（支持vlan），添加了一台3COM公司的3C4050交换机作为中心机房的骨干三层交换机。增加可网管的二层交换机D-LINK 3226S，保留原先不可管理交换机，作为接入可网管交换机的一个VLAN端口到桌面。1台华为2631E路由器，10台D-LINK 3226S交换机。其他和九寨天堂设备基本相同。 二、寨天堂和成都会展的网络结构 九寨天堂和成都会展基于稳定、安全、高效的原则，都采用星型结构网络，呈发散型状。以下是九寨天堂和成都会展网络拓扑结构图。

本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!

三、VLAN的规划设计 九寨天堂局域网网络地域分布较广，用户比较多，信息点众多，为了使网络高效、安全、可靠的运行，而且便于管理和维护，整体的局域网的VLAN划分采用基于端口模式的VLAN划分。 A、 首先按照在局域网上运行的不同系统划分。共有5个不同的网络，分别是酒店业务网络、财务网络、办公网络、计算中心网络、外单位网络、移动用网络。 VLAN表划分如下： 编号(VLAN－ID) 说明 酒店业务系统网络 150 财务网络 151 计算中心网络 152 办公网络 153 外单位网络 154 移动用网络 155 Default Default IP段 192.168.150.0/24 192.168.151.0/24 192.168.152.0/24 192.168.153.0/24 192.168.154.0/24 无 色标 192.168.155.0/24 B、按照交换机所属网络种类来分。 ① 酒店业务类交换机（d-link 3226s） 端口 色标 色标 端口 1 3 5 7 9 11 13 15 17 19 21 23 TAG V-LAN－ID 150 150 150 150 150 150 150 153 150 152 154 2 4 6 8 10 12 14 16 18 20 22 24 TAG V-LAN－ID 150 150 150 150 150 150 150 153 151 153 155 注：交换机端口23－24为TAG，表示它们不属于任何VLAN，属于Default,该交换机的所有网段（150、

151、152、153、154、155）数据都通过该端口加TAG标记送到另外加了TAG标记的交换机

本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!

② 办公类交换机（d-link 3226s） 端口 色标 色标 端口 1 3 5 7 9 11 13 15 17 19 21 23 TAG V-LAN－ID 153 153 153 153 153 153 153 150 150 152 154 2 4 6 8 10 12 14 16 18 20 22 24 TAG V-LAN－ID 153 153 153 153 153 153 153 150 151 153 155 注：交换机端口23－24为TAG，表示它们不属于任何VLAN，属于Default,该交换机的所有网段（150、151、152、153、154、155）数据都通过该端口加TAG标记送到另外加了TAG标记的交换机 ③ 财务类交换机（d-link 3226s） 端口 色标 色标 端口 1 3 5 7 9 11 13 15 17 19 21 14 16 18 20 22 24 23 TAG V-LAN－ID 151 151 151 151 151 153 150 150 150 152 154 2 4 6 8 10 12 TAG V-LAN－ID 151 151 151 151 151 153 150 150 151 153 154 注：交换机端口23－24为TAG，表示它们不属于任何VLAN，属于Default,该交换机的所有网段（150、

151、152、153、154、155）数据都通过该端口加TAG标记送到另外加了TAG标记的交换机

④ 中心三层交换机（3COM4050）

GBIC端口 V-LAN－ID TAG 色标 说明 副机房 1 TAG 2 TAG 3 TAG 扩展备用 4 NC 5 NC 6 员工宿舍机房 扩展备用 没有安GBIC口 没有安GBIC口 电口 7 TAG 扩展备用 8 TAG 财务部 9 TAG 办公区 10 TAG 温泉中心 11 TAG 温泉中心副楼 12 V-LAN－ID TAG 说明 色标 酒店大堂 本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!

色标 说明 电口 扩展备用 扩展备用 TAG 13 上网服务器 14 财务部服务器 15 152 酒店主服务器 16 151 酒店备份服务器 150 18 17 150 V-LAN－ID TAG 注：交换机端口1－14为TAG标记端口，表示它们不属于任何VLAN，属于Default,该交换机的所有网段（150、151、152、153、154、155）数据都通过这些端口加TAG标记送到另外加了TAG标记的交换机 端口15－18分别属于Vlan152 、Vlan151、Vlan150，没有加TAG标记。直接连接到各自网段的服务器。 ⑤副机房交换机（3C4400SE） 端口 V-LAN 色标 色标 V-LAN 端口 1 150 150 2 3 4 5 6 7 8 9 10 11 12 13 15 17 19 14 16 18 20 21 22 23 25 150 150 150 153 150 152 154 TAG TAG TAG TAG TAG 接中心机房 接中心机房 24 26 150 150 150 153 151 153 155 TAG TAG TAG TAG TAG 注：交换机端口17－26为TAG标记端口，表示它们不属于任何VLAN，属于Default,该交换机的所有网段（150、151、152、153、154、155）数据都通过这些端口加TAG标记送到另外加了TAG标记的交换机 四；交换机的配置 1、交换机厂商在交换机包装里面都随机附带了一根console线,用于对交换机的初始化配置，console一端直接接到交换机的console端口，一端接到PC机的COM1或者COM2口，在windows中直接使用附件中的超级终端连接到交换机，终端参数如下：

本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!

COM1参数设置

本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!

2、 交换机具体设置后的结果。

A、 酒店业务类交换机

B、 办公类交换机

本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!

中心机房交换机（3C4050）

本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!

本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!

第二部分：VPN 第一章： VPN概述

1、1 VPN简介

伴随企业和公司的不断扩张，员工出差日趋频繁，驻外机构及客户群分布日益分散，合作伙伴日益增多，越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动，这为VPN的应用奠定了广阔市场。

VPN（Virtual Private Network，虚拟私有网）是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络。

1、VPN的特点

?

VPN有别于传统网络，它并不实际存在，而是利用现有公共网络，通过资源配置而成的虚拟网络，是一种逻辑上的网络。

本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!

?

VPN只为特定的企业或用户群体所专用。从VPN用户角度看来，使用VPN与传统专网没有区别。VPN作为私有专网，一方面与底层承载网络之间保持资源独立性，即在一般情况下，VPN资源不会被承载网络中的其它VPN或非该VPN用户的网络成员所使用；另一方面，VPN提供足够安全性，确保VPN内部信息不受外部的侵扰。

?

VPN不是一种简单的高层业务。该业务建立专网用户之间的网络互联，包括建立VPN内部的网络拓扑、路由计算、成员的加入与退出等，因此VPN技术就比各种普通的点对点的应用机制要复杂得多。

2、VPN的优势

?

在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接，保证数据传输的安全性。这一优势对于实现电子商务或金融网络与通讯网络的融合将有特别重要的意义。

?

利用公共网络进行信息通讯，一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴，另一方面极大的提高了网络的资源利用率，有助于增加ISP（Internet Service Provider，Internet服务提供商）的收益。

?

只需要通过软件配置就可以增加、删除VPN用户，无需改动硬件设施。这使得VPN的应用具有很大灵活性。

?

支持驻外VPN用户在任何时间、任何地点的移动接入，这将满足不断增长的移动业务需求。

?

构建具有服务质量保证的VPN（如MPLS VPN），可为VPN用户提供不同等级的服务质量保证，通过收取不同的业务使用费用可获得超额利润。

本站所有资源均来自互联网或本站会员提供，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!

本文来源：https://www.bwwdw.com/article/sror.html