VPN是一项非常复杂的网络技术，组建VPN要涉及的因素很多。下面主要针对中小型网络介绍如何选择VPN的解决方案。

   是自建VPN还是外包VPN？

实际应用中，用户首先面临的选择是自建VPN网络，还是直接外包VPN服务。

    自建VPN与外包VPN服务的比较

    自建VPN的好处是VPN独立于运营商，用户可直接控制VPN网络。缺点是技术复杂，需要专业人员实施，组建成本高，特别是服务质量难以保证。

    用户将VPN网络外包给运营商，由专业的运营商根据用户需求提供一整套的VPN解决方案，这种外包方式是实现VPN的捷径，组网便捷，可以减少组建、运行和维护VPN的费用，让用户把更多的精力投入到自身业务中，而且运营商能提供对服务水平协议(SLA)的改进和服务质量(00S)保证。

 用户所做的往往只是选择合适的租用方式，从服务提供商或增值销售商处获得客户端设备，即可使用自己的VPN网络。外包有两种方式，一种是直接租用VPN服务，另一种是委托专业公司(通常是电信运营商或ISP)来设计和组建VPN。   对两种方式选择的建议

    究竟选择哪种方式，需要根据用户对安全的要求和客观环境来决定。外包是实现VPN的捷径，也是企业的首选方案，因为它方便易行，对自身的技术水平要求低，而且成本更低。在北美和欧洲，VPN服务已经相对成熟，并且普遍被企业用户所接受。

    在国内，目前提供VPN业务的主要是几大电信运营商，如中国电信、中国联通、中国网通和中国移动等，还有一些运营服务提供商，如中企通信、首创网络和Unihub等。在选择外包业务的时候，应针对自己的业务需求，从技术水平、服务品质和综合实力等多个方面考虑，挑选合适的运营商。

    如果企业规模大，分支机构多，分布地域广，对网络扩展性、安全性和带宽要求高，除数据业务外，还希望获得语音、视频方面的增值服务，就应首选MPLS VPN服务。目前中国电信、中国联通、中国网通和中企通信等都提供覆盖全国的MPLS VPN服务。

    对于以国际线路连接为主的国际型客户(如国外企业驻中国机构、在海外有分支机构的国内企业，以及外商投资中小型企业)来说，可考虑租用帧中继VPN服务，中国网通就提供这种服务。一些运营商还提供IPSec VPN服务，中小企业可考虑选择这种服务，只是这种技术的服务质量难以得到保证，不适用于实时业务要求高的应用。

    然而，国内提供的VPN客户服务类型偏少，目前，运营商主要面向大企业客户市场，缺乏针对中小企业的解决方案。如果没有专业人员，那么中小企业可委托ISP、经营VPN产品和服务的商家、网络工程和系统集成公司等来帮助自己组建VPN。

    遇到以下情况，用户往往选择自建VPN。

    ① 资金充足，拥有相当的专业技术力量，而且在安全性、服务质量等方面对网络有特殊的要求的大型行业客户(如一些银行、证券企业拥有大量的核心机密信息)，需要自行控制VPN网络，往往会选择自建VPN。

    ② 规模很小，对实时业务要求不高的中小型VPN网络。

    ③ 在本地(同城)建立的中小型VPN网络。

    ④ 内部网中自建VPN部门网的情况。

    ⑤ 服务商不能提供合适的解决方案。

下面我们将主要介绍针对中小型VPN网络的解决方案。
  
    是选择硬件VPN还是软件VPN方案？

自建VPN，既可以选择硬件VPN方案，也可以选择软件VPN方案。由于VPN的加密传输机制需要消耗系统性能，硬件VPN将加密和解密置于高速的硬件中，提供了较好的性能，硬件VPN可以提供强大的物理和逻辑安全，更好地防止了非法入侵，同时配置和操作也更为简单。一般情况下，硬件方案的价格比较高。对于中小型网络应用来说，网络规模不大，选择面向中小企业或小型办公室的VPN产品还是非常划算的。

    1、VPN硬件方案

    可选的VPN硬件产品主要有带有VPN功能的防火墙、路由器或专用VPN硬件设备。在防火墙中集成VPN是比较流行的解决方案。许多企业网络都要通过防火墙来连接Internet，让防火墙直接支持VPN是一种不错的选择，这样可以将防火墙的安全策略和VPN隧道控制结合起来，便于集中管理。

    这种组合应用可能会影响性能，加密处理的系统开销比较大。路由器是一种最常用网络边界设备，在路由器上集成VPN也比较实用。只是与基于防火墙的VPN相比，总体安全性要差一些。也有许多防火墙和路由器不集成VPN功能，这就需要选择专用的VPN产品。

    随着中小企业信息化程度的提高和宽带网的兴起，VPN不再是大中型企业的专利，越来越多的中小企业需要采用VPN技术实现局域网远程互联和远程用户的接入访问。许多厂商都针对中小企业或大型企业分支机构提供了高性价比的VPN产品。

    此类VPN产品多为集成VPN的防火墙、VPN路由器，有时称为“安全路由器”或“访问路由器”，性价比非常高，且支持多种宽带接入方式，还提供方便的管理工具，支持主流的VPN协议。

    例如，Cisco 1700系列访问路由器、NETGEAR FVL328、NetScreen-50、Vigor系列路由器。许多VPN产品还支持动态IP地址接入方式，对于采用ADSL连接的许多中小型企业来说，非常有用。由于此类产品非常丰富，这里就不做进一步介绍了。

    VPN软件方案

    软件VPN方案的价格低廉，且更具灵活性，如提供更加方便的用户管理，便于升级等。但是，在性能、安全性、可靠性以及安装和管理的便捷性等方面，软件方案都不如硬件方案。软件VPN方案适用于安全要求相对较低、规模较小的网络，能满足许多中小企业的联网业务需求。基于软件的产品有很多，从单一的IPSec软件到加入现有路由器、网关和防火墙中的各种数据封装产品。

    软件VPN一般都采用Windows操作系统，硬件VPN一般采用专用操作系统来实现的。Windows设计上就是桌面办公系统，如果采用windows sever系统来说，需要消耗大量的硬件资源。

    软件VPN采用Windows系统作为系统的根基，其可靠性取决于安装这个软件的PC机。这在一定程度上说明了软件VPN的可靠性是不可控制的。而且依赖于Windows系统，系统其他的软件导致的冲突或者资源占用的情况也会对VPN的可靠性带来影响。Windows 除内核外还包括用户界面 (UI) 以及大量的应用软件，这些大量的软件、GUI等都会可能导致更多的 Windows 技术漏洞。

    实际上目前许多中小型VPN解决方案都是软硬结合的，以现有网络设备为基础，再配以适当的VPN 软件来实现VPN。

   微软的VPN解决方案

    在纯软件VPN解决方案，最为常见的就是微软的解决方案。微软首先在其网络操作系统Windows NT Server 4.0中开始引入PPTP。在NT 4.0中首次推出的PPTP虽然出现了严重的安全问题，但问题并非源于PPTP协议本身，而是微软对这个协议的实现带有许多缺陷。

    当然微软对此进行了重新修改。接着微软推出了路由与远程访问服务(简称RRAS)，作为Windows NT Server 4.0的免费组件，进一步完善了PPTP协议的实现方案，支持请求拨号路由，并提供基于图形界面的管理工具。

    微软的Windows 2000/2003则集成了路由和远程访问服务，不再局限于微软自己的标准，而是全面支持IETF标准，包括主流的VPN解决方案L2TP和IPSec，可实现跨平台的VPN组网方案。

    在Windows 2000/2003服务器版本中，已将PPTP和L2TP服务器都纳入路由和远程访问服务组件进行统一配置和管理，使得实现VPN方案变得更加容易。Windows 2000/XP的IPSec基于策略进行配置和管理，支持传输模式和隧道模式。当然，最新的网络操作系统Windows.NET Server也支持这些新特性。

    至于VPN客户端解决方案，Windows 95/98/Me、Windows NT/2000和Windows XP都支持PPTP客户端。以前只有Windows 2000和Windows XP支持L2TP和IPSec，现在微软的L2TP/IPSec客户端不再局限于Windows 2000/XP，最新发布的Microsoft L2TP/IPSec VPN Client软件包，使得运行Windows 98/Me/NT的计算机，都可以创建L2TP/IPSec远程访问连接。

    微软的Windows 2000/XP、Windows.NET Server充分利用Active Directory特性来简化VPN布置和管理。 需要注意的是，Windows操作系统并不是一个专业的VPN支持系统，因此在很多方面都可能存在着漏洞和不足。很多公司都在致力于VPN的数据加密和系统的开发，并有自己的产品。要构建一个真正的高安全性的VPN，还是应该使用VPN专业产品。