全面介紹VPN網(wǎng)絡(luò)建設(shè)的幾個(gè)概念，如何學(xué)習(xí)VPN網(wǎng)絡(luò)建設(shè)，網(wǎng)絡(luò)上有不少的方法，下面是相關(guān)方法的一個(gè)集錦，希望對(duì)廣大愛好者有幫助，都是比較常用的方式。借機(jī)提供給大家。

VPN網(wǎng)絡(luò)建設(shè)：入侵檢測(cè)、網(wǎng)絡(luò)訪問控制、信任和VPN

IPSec VPN在部署時(shí)，周圍通常環(huán)繞著多層訪問控制和入侵檢測(cè)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS）是一項(xiàng)用于減少與擴(kuò)展安全范圍有關(guān)風(fēng)險(xiǎn)的技術(shù)。在VPN設(shè)計(jì)中， NIDS完成了兩項(xiàng)基本功能。首先，NIDS可用于分析源自或送至VPN設(shè)備的信息流。其次，NIDS可用于加密后，確認(rèn)僅僅是加密信息流被發(fā)送并由 VPN設(shè)備接收。

除NIDS以外，通常使用防火墻的訪問控制應(yīng)該在VPN設(shè)備前后設(shè)置。當(dāng)今的部署都將防火墻安置在VPN設(shè)備的前面。當(dāng)安置在前面時(shí)，對(duì)用戶信息流的種類不具備可視性，因?yàn)樾畔⒘饕廊皇羌用艿?。防火墻在VPN設(shè)備前所能提供的大多數(shù)優(yōu)勢(shì)此時(shí)已喪失殆盡。

VPN網(wǎng)絡(luò)建設(shè)：分離隧道

當(dāng)遠(yuǎn)程VPN用戶或站點(diǎn)被允許接入公共網(wǎng)（互聯(lián)網(wǎng)），與此同時(shí)，他未先將公共網(wǎng)絡(luò)信息流安置在隧道內(nèi)，就接入了專用VPN網(wǎng)絡(luò)，此時(shí)就出現(xiàn)了分離隧道。事實(shí)上，不實(shí)施分離隧道會(huì)給VPN頭端造成巨大負(fù)載，因?yàn)樗谢ヂ?lián)網(wǎng)相關(guān)信息流都需要流經(jīng)頭端設(shè)備的WAN帶寬。在SAFE　VPN中，遠(yuǎn)程站點(diǎn)除了特殊情況外，都假設(shè)實(shí)施了分離隧道。如果不支持分離隧道，而設(shè)計(jì)不會(huì)改變，那么由于頭端的流量負(fù)載加大，性能和擴(kuò)展性就會(huì)產(chǎn)生少許變化。

VPN網(wǎng)絡(luò)建設(shè)：部分網(wǎng)狀、全部網(wǎng)狀、分布式和星型網(wǎng)絡(luò)

在任一網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上鋪設(shè)VPN時(shí)，許多因素都會(huì)影響網(wǎng)絡(luò)的可擴(kuò)展性和性能。全部網(wǎng)狀網(wǎng)絡(luò)會(huì)迅速地陷入可擴(kuò)展性的困境之中，因?yàn)榫W(wǎng)絡(luò)中的每臺(tái)設(shè)備都必須通過一個(gè)獨(dú)特的IPSec隧道與網(wǎng)絡(luò)中的其他設(shè)備交流。這就是n（n-1）/2隧道模式，在某些情況下擴(kuò)大網(wǎng)絡(luò)的規(guī)模已經(jīng)變得不現(xiàn)實(shí)。

許多隧道也都存在性能問題。部分網(wǎng)狀網(wǎng)絡(luò)與全部網(wǎng)狀網(wǎng)絡(luò)相比，有較大的可擴(kuò)展空間。與全部網(wǎng)狀網(wǎng)絡(luò)中的設(shè)備相同的是，在這種拓?fù)浣Y(jié)構(gòu)中的限制因素是，在CPU合理應(yīng)用的前提下，設(shè)備可支持的隧道數(shù)量。

這兩種網(wǎng)絡(luò)都可運(yùn)用一種動(dòng)態(tài)隧道端點(diǎn)搜索機(jī)制，以簡(jiǎn)化配置和提高可擴(kuò)展性。中心輻射型網(wǎng)絡(luò)可以更理想地?cái)U(kuò)展，但是，所有流量都渡過集線器站點(diǎn)，而且這種設(shè)備要求大量的帶寬。

VPN網(wǎng)絡(luò)建設(shè)：互操作性與混合和同種設(shè)備部署

雖然IPSec是一種已證實(shí)的標(biāo)準(zhǔn)，但RFC依然為它的解釋留下了充足的空間。另外，互聯(lián)網(wǎng)草案，如IKE模式配置和供應(yīng)商專用特性，提高了互操作問題出現(xiàn)的可能性。因?yàn)檫@些緣故，您應(yīng)該對(duì)供應(yīng)商產(chǎn)品的互操作信息及其在互操作性評(píng)比中的表現(xiàn)情況進(jìn)行綜合評(píng)價(jià)。此外，為確保單一供應(yīng)商產(chǎn)品間的互操作性，最好在所有平臺(tái)上使用同一代碼庫(kù)。

VPN網(wǎng)絡(luò)建設(shè)：網(wǎng)絡(luò)運(yùn)營(yíng)

在中央IT模式運(yùn)營(yíng)中，需要通過中央站點(diǎn)VPN對(duì)遠(yuǎn)程站點(diǎn)進(jìn)行管理。VPN設(shè)備可支持多種配置選項(xiàng)，以確定隧道端點(diǎn)，視所采用的方式而定，這些選項(xiàng)可能會(huì)對(duì)網(wǎng)絡(luò)的管理性能產(chǎn)生影響。要高效地管理遠(yuǎn)程設(shè)備，您必須在您的管理應(yīng)用所在的站點(diǎn)使用靜態(tài)加密映像。

您不可以在頭端和動(dòng)態(tài)加密映像。動(dòng)態(tài)加密映像只接受進(jìn)入的IKE請(qǐng)求，但無法初始化它們，因此，要始終保證在遠(yuǎn)程設(shè)備和頭端站點(diǎn)間存在一條隧道。靜態(tài)加密映像配置包括遠(yuǎn)程對(duì)等設(shè)備的靜態(tài)IP地址，因此，遠(yuǎn)程站點(diǎn)必須使用靜態(tài)IP地址來支持遠(yuǎn)程管理。

VPN網(wǎng)絡(luò)建設(shè)：壓縮

第二層壓縮未提供VPN信息流鏈路帶寬削減功能。第三層壓縮，發(fā)生于加密之前，的確可使數(shù)據(jù)量降低?？紤]到第三層壓縮在當(dāng)今的大多數(shù)硬件加速器中都不支持，因而當(dāng)使用時(shí)，對(duì)CPU要求非常嚴(yán)格。

VPN網(wǎng)絡(luò)建設(shè)：遠(yuǎn)程接入用戶要求

當(dāng)用戶不在辦公室和不在控制區(qū)時(shí)，思科公司建議您對(duì)他們到內(nèi)部網(wǎng)和互聯(lián)網(wǎng)的連接進(jìn)行控制。如果您選擇分離隧道要確保安裝、更新和運(yùn)行個(gè)人防火墻，以及在遠(yuǎn)程接入客戶機(jī)上擁有一個(gè)有效的安全策略。思科公司建議您在未實(shí)施防火墻的情況下，不要在客戶機(jī)上實(shí)施分離隧道。

VPN網(wǎng)絡(luò)建設(shè)：高可用性

目前，有兩種機(jī)制可用于確定遠(yuǎn)程對(duì)等設(shè)備的可用性和隧道建立狀態(tài)：路由選擇和IKE保持激活信息。路由器可支持兩種機(jī)制，而防火墻、集中器和遠(yuǎn)程接入客戶機(jī)則支持IKE保持激活信息。