谈点对VPN的个人理解

flybird

曾经对网络感兴趣，对VPN也做过一些研究，好长时间不搞了，在这个坛子里看到大家对这个还是比较感兴趣了，就把个人的体会总结一下，同大家共同学习。
首先，和大家理解了一样，所谓的VPN，就是虚拟专用网，必须有一个公网，在上面建立一个属于你自己的网络，这是前提。接下来的就是关键，实现的技术千差万别，不仅不同厂家的产品之间不一样，就连VPN遵循的协议也不是一样的。这一点在构建VPN必须考虑。
对于中小企业，通常首选的就是所谓的软件实现VPN，这一类VPN通常会用通常的操作系统，特点是容易上手，爱出毛病。
接下来专业一点的是采用专用系统实现的VPN，不过对于千元级别的所谓VPN服务器，也就是一个定制的工控机加上定制的LINUX+VPN操作系统，不过因为LINUX的稳定性，使得此VPN的稳定性比WINDOWS下的强几个档次，如果企业有专业人员对LINUX精通，完全可以自己定制服务器，这样一来就可以随时根据企业规模进行扩展，省点MONEY。
+ h1 }' ~" [+ a; h8 C比较上档次的当然是硬件级的VPN，不过因为价格问题，除了极少数大企业，不建议采购。提示一点，不要相信花几千元就会买到此档次的VPN，要知道：思科随便扩展一个VPN模块都要上千，所以如果你花了几千元买的最可能就是定制LINUX系统的。
除了这些自己构建的VPN，还有一种更安全的VPN，是由网络接入商提供的VPN，这样的VPN好处不言而喻，因为对你来说完全是透明的，维护方便，不过要付费。但是此类的VPN在接入商实现时也是有两种机制，一种是运行在传输层的VPN，一种运行在网络层的VPN，运行在传输层的VPN要更安全，当然价格昂贵。而网络层的VPN，是目前接入商在ADSL上提供的主要的业务。
简单的说了些，也不知道大家懂了没有，这里只是个人的理解，希望大家批评指正。

ts-lx

写的不错，基本就是这么个道理，VPN不是很好搞

aresthomas

你这只说了IPSEC的VPN哦，还有SSL VPN和MPLS VPN你这提都没提。。。

鱼缸里的猫

公司里用的是带VPN功能的路由器，D-LINK的

flybird

回复 3# aresthomas


. z3 \$ S$ r- s, D    在这篇文章里，我只是想总结一下做为一般企业在实现时需要关心的问题，具体的VPN现实还要看设备，除的基于ATM技术的VPN是工作在传输层，多数的VPN都是工作在网络层的，所以在实现时主要是软件的问题。
% [6 @- H* m* d) t9 Q类似IPSEC和SSL的VPN，在实现时不是非常复杂，所以一旦要构建网络时，只要按照软件的说明就OK了。MPLS的VPN，需要设备的支持，并且配置复杂，不建议个人实施，还是找专业的公司做吧！毕竟几万的设备都买了，不要差一点钱了，并且在自己实现MPLS的VPN时，还要考虑中间路由器、线路等一大堆的事。

wlgczy

很早前，用w23系统的VPN试过一次，回来因软件知识太弱了，改投瑞友门下了。
/ L7 h+ r6 F$ K7 L有一点不明白，用Win23的VPN，远程的电脑连上后与服务器就算是在一个局域网内的吗，
3 ]  a( X4 x1 f- D; N比如，如果是这样的话，远程计算机装了客户端或者也装上中间层，就可通过VPN链接远程服务器的数据库使用。
* c, R5 |( ^  G5 n而现在通过瑞友，则客户端必须使用服务器的所有程序，客户端中间层数据库，这样服务器的负担很重。
& [4 L7 i0 x. b不知我这样想的w23的VPN是否对，谢谢指教。

flybird

回复 7# wlgczy
6 n% l  C& T1 o3 C; T

+ s' Q% @* T! y' O( f5 R  n; o, i    很抱歉,我没有用你使用的瑞友软件,不知道它是基于哪种原理开发的软件.但是对于VPN,你的理解是对了,它的功能就是将处于不同物理位置的计算机虚拟的模拟成一个网络,同时增强了安全性.

你说的瑞友,如果要全部使用服务器上的程序,感觉是终端设备的样子,是不是一种VPN+终端实现的一种功能?有机会试一下.不过,如果是终端的话,对服务器的负荷当然重,这一点可以利用管理工具看一下,通常管理工具都有统计登录计算机使用内存和CPU的功能,在WINDOWS的终端服务就有类似功能,你可以找一下,然后根据峰值进行合理配置.

wlgczy

感谢楼主，应该是您说的属于终端的。比如在服务器启动用友会运行10个相关的程序，是假设啊。
" y& Z3 D9 e/ L) r$ t那么，用瑞友登录10个客户端到服务器的话，服务器就运行10套10个程序，即100个，内存太累了。
/ g# Q! f, ?6 d! }而如果是局域网内，10个终端电脑都需要安装上相同的程序，当然这有些麻烦。每个电脑使用自己的程序和内存，只是数据传输到服务器上。
4 D2 ]. R8 l" ]6 s% g  ^7 O9 f我软件知识弱，不知这样说是否明白。
请问楼主，如果是用VPN，是否就像局域网内，每个电脑安装全套的程序，只是数据到服务器。

guangda

VPN应该是每个局域网使用一个硬件，每个分公司使用一个硬件vpn。这样所有分公司的局域网都可以并成一个局域网。