创建一条隧道需要以下基本要素:
隧道发起者
路由式网络;
任意的隧道交换机;
一个或多个隧道终结器。
隧道的发起和终结可以通过多种方式来实现。例如,隧道可以由一部支持VPN技术的接入集中器或接入路由器来发起,或是由移动办公人员的便携机利用一部模拟PC Modem卡和支持VPN技术的拨号软件(比如Windows 95/98/NT中所带的那种)发起,也可以利用支持VPN的路由器在企业分支办公室或家庭办公室局域网中发起。隧道可在企业网中的隧道终结器处被终结,或被终结于NSP的Extranet路由器中的VPN网关处。
加密和隧道协议是虚拟专用网的关键特性,两者分别用来确保数据的安全性和封装非IP流量以便在公共IP网络上传输。
安全性的保证
由于VPN需要共享公共的、存在着安全隐患的网络,如Internet,因此安全性也是一个非常重要的问题。一般VPN解决方案的安全性由3个基本要素组成:安全认证、授权和监听。
为了保护在共享网络中传输的保密信息,很多厂商在其产品中引入了强大、基于标准的安全性解决方案。例如3Com使用已得到充分定义的IPSec标准,该标准包含有包括加密、数字认证和密钥管理等一系列安全性组件。
构建移动用户VPN
当你的公司计划为移动用户实现虚拟专用网时,首先需要确定你的ISP是否有能力满足客户的要求,还需要对ISP/NSP进行其他考察,包括确定发生在服务提供商网络中的延迟对于你的应用来说是否是能够接受。
如果你打算支持Lan-to-Lan和移动用户的VPN连接,将需要为每一种类型的连接各分配一个IP子网。此外,必须确保所有的Windows 95客户端都支持DUN(dial-up networking)1.3或更高的版本,还需要依客户端进行拨号连接的国家不同为其在0到128位之间确定加密级别。
