網(wǎng)絡(luò)安全在VPN網(wǎng)絡(luò)建設(shè)的重要性，今天就讓我們來深入的了解一下VPN網(wǎng)絡(luò)建設(shè)的魅力吧！設(shè)備驗(yàn)證采用了預(yù)共享密鑰或數(shù)字證書，以提供設(shè)備身份，預(yù)共享密鑰有三種：通配符、分組和獨(dú)立。獨(dú)立預(yù)共享密鑰與某一IP地址有關(guān)，分組預(yù)共享密鑰與一組名稱有關(guān)，僅適用于當(dāng)今的遠(yuǎn)程接入。

通配符共享密鑰不可應(yīng)用于站點(diǎn)到站點(diǎn)設(shè)備驗(yàn)證。數(shù)字證書與獨(dú)立預(yù)共享密鑰相比，可更理想地?cái)U(kuò)展，因?yàn)樗试S一臺(tái)設(shè)備驗(yàn)證其他設(shè)備，但不具備通配符密鑰的安全特性。數(shù)字證書與IP地址無關(guān)，而是與企業(yè)CA認(rèn)證的設(shè)備上獨(dú)特的標(biāo)志信息有關(guān)。

VPN網(wǎng)絡(luò)建設(shè)：IPSec

IPSec提供了多種安全特性，對(duì)于管理員如何確定其工作方式提供了可配置選擇：數(shù)據(jù)加密、設(shè)備驗(yàn)證，以及保密、數(shù)據(jù)完整性、地址隱藏和安全機(jī)構(gòu)（SA） 密鑰老化等功能。IPSec標(biāo)準(zhǔn)要求使用數(shù)據(jù)完整性或數(shù)據(jù)加密兩種功能之一，具體使用哪個(gè)可任選。思科公司強(qiáng)烈建議加密和完整性二者都使用。而改變以上那些數(shù)值會(huì)提高安全水平，但與此同時(shí)， 也增加了處理器開支。

VPN網(wǎng)絡(luò)建設(shè)：IP編址

正確的IP編址對(duì)于用作大型IP網(wǎng)絡(luò)的VPN的成功有著重要意義。為保持可擴(kuò)展性、性能和可管理性，強(qiáng)烈建議遠(yuǎn)程站點(diǎn)使用主網(wǎng)的子網(wǎng)，以便進(jìn)行歸納。增加 ACL輸入會(huì)降低性能，使故障查尋復(fù)雜化并影響可擴(kuò)展性，適當(dāng)?shù)淖泳W(wǎng)化還可支持簡(jiǎn)化的路由器頭端配置，以實(shí)現(xiàn)分支到分支相互交流，要對(duì)所有設(shè)備的信息流進(jìn)行歸類，所需的隧道也較少。IP編址還可影響VPN的多個(gè)方面，包括重疊網(wǎng)絡(luò)的遠(yuǎn)程管理連接。

VPN網(wǎng)絡(luò)建設(shè)：多協(xié)議隧道

IPSec作為一種標(biāo)準(zhǔn)，只支持單點(diǎn)廣播流量。對(duì)于多協(xié)議或IP多點(diǎn)廣播隧道，必須使用另一種隧道協(xié)議。

VPN網(wǎng)絡(luò)建設(shè)：網(wǎng)絡(luò)地址轉(zhuǎn)換

NAT可發(fā)生于IPSec之前或之后。了解NAT何時(shí)發(fā)生是十分重要的，因?yàn)樵谀承┣闆r下，由于隧道構(gòu)建受阻或信息流穿過隧道，NAT都可能對(duì)IPSec構(gòu)成影響。除非提供接入是必須的，否則將NAT應(yīng)用于VPN流量將不失為上策。

VPN網(wǎng)絡(luò)建設(shè)：?jiǎn)我荒康暮投嗄康脑O(shè)備

在網(wǎng)絡(luò)設(shè)計(jì)過程中，您需要選擇是在聯(lián)網(wǎng)或安全設(shè)備中采用集成功能，還是采用VPN設(shè)備的特殊功能。集成功能通常是很吸引人的，因?yàn)槟梢栽诂F(xiàn)行設(shè)備上實(shí)施，且該設(shè)備經(jīng)濟(jì)有效，其特性可與其他設(shè)備互操作，從而提供功能更理想的解決方案。

指定的VPN設(shè)備通常在對(duì)功能的要求很高或性能要求使用特殊硬件時(shí)，才會(huì)使用。當(dāng)決定了采取何種選項(xiàng)，可根據(jù)設(shè)備的容量和功能對(duì)決策進(jìn)行權(quán)衡，并與集成設(shè)備的功能優(yōu)勢(shì)相對(duì)照。在整個(gè)體系結(jié)構(gòu)中，兩類系統(tǒng)都有所使用。

由于 IPSec是一種要求嚴(yán)格的功能，隨著設(shè)計(jì)規(guī)模的提高，選擇VPN網(wǎng)絡(luò)建設(shè)設(shè)備取代集成型路由器或防火墻的可行性也日趨增大。注意，對(duì)VPN設(shè)備這一概念的了解不是件容易的事情。當(dāng)今的許多VPN網(wǎng)絡(luò)建設(shè)設(shè)備可提供理想的性能和VPN管理選項(xiàng)，與此同時(shí)，也提供有限的路由選擇、防火墻或CoS功能，而它們可能與集成設(shè)備有關(guān)。

如果所有這些高級(jí)功能都得以實(shí)現(xiàn)，從性能和部署選項(xiàng)的角度來看，這種設(shè)備也開始越來越像集成型設(shè)備。同樣，除了路由選擇和安全特性的全面實(shí)施以外，可支持全部VPN功能的VPN路由器，可在VPN單獨(dú)環(huán)境中進(jìn)行配置，其特征更象一種應(yīng)用。