-.zVPN技術(shù)的淺析與比較摘要：利用公共網(wǎng)絡(luò)來構(gòu)建的私人專用網(wǎng)絡(luò)稱為虛擬私有網(wǎng)絡(luò)〔VPN〕。本文首先介紹了VPN的根本概念及開展概況，然后從業(yè)務(wù)需求、平安性、可靠性、可擴展性、QoS保障等方面對基于網(wǎng)的VPN、基于傳統(tǒng)TCP/IP網(wǎng)絡(luò)的VPN以及基于MPLS網(wǎng)絡(luò)的VPN三種技術(shù)依次進展了介紹，最后對這三種VPN技術(shù)的應(yīng)用場合及優(yōu)缺點等進展了綜合比較。關(guān)鍵詞：VPN；網(wǎng)；TCP/IP；IPSec；MPLS中圖：TN915.85AnalysingandparingofVPNTechnologyGAOCheng-zhi,ZHANGPing-bo(The28thResearchInstituteofChinaElectronicsTechnologyGroupCorporation,Nanjing210007,China)Abstract:VPNisvitualprivatenetworkbasedonpublicnetwork.Atfirst,thisarticleintroducesthedefinitionanddevelopmentofVPNandthendescribes3kindsofVPNtechnology(VPNbasedontelephonenetwork,VPNbasedontraditionalTCP/IPnetworkandVPNbasedonMPLSnetwork)inthewayofrequirements,security,reliability,e*pansibilityandQoS.Atlast,theauthorparesapplicationsituation,strongpointanddisadvantageofthe3VPNtechnology.Keywords:VPN;TelephoneNetwork;TCP/IP;IPSec;MPLS0引言利用公共網(wǎng)絡(luò)來構(gòu)建的私人專用網(wǎng)絡(luò)稱為虛擬私有網(wǎng)絡(luò)〔VPN，VirtualPrivateNetwork〕。它向使用者提供一般專用網(wǎng)所具有的功能，但本身卻不是一個獨立的物理網(wǎng)絡(luò)，也可以說虛擬專用網(wǎng)是一種邏輯上的專用網(wǎng)絡(luò)[1]。“虛擬〞說明它在構(gòu)成上有別于實在的物理網(wǎng)路，但對使用者來說，在功能上則與實在的專用網(wǎng)完全一樣。VPN技術(shù)開展至今，先后出現(xiàn)了基于網(wǎng)(基于傳統(tǒng)電路交換的網(wǎng))的VPN、基于傳統(tǒng)TCP/IP網(wǎng)絡(luò)的VPN以及基于MPLS網(wǎng)絡(luò)的VPN等技術(shù)。下面將分別對這三種典型的VPN技術(shù)進展闡述。1基于網(wǎng)的VPN技術(shù)網(wǎng)中的VPN技術(shù)是指通過公共網(wǎng)絡(luò)資源提供應(yīng)用戶專用網(wǎng)的功能，使具有這項業(yè)務(wù)的用戶具有在同一個程控交換機的功能，比方專用編號方案、呼叫等待、呼叫保持、網(wǎng)內(nèi)通信等等。網(wǎng)中的VPN技術(shù)主要應(yīng)用于話音業(yè)務(wù)。1.1業(yè)務(wù)需求網(wǎng)中的VPN技術(shù)目前已得到廣泛應(yīng)用。目前運營商大力推廣的集團用戶業(yè)務(wù)是基于網(wǎng)的VPN技術(shù)的一個典型應(yīng)用。通過VPN技術(shù)在現(xiàn)有網(wǎng)上建立一個邏輯話路專用網(wǎng)，將集團內(nèi)部的固定用戶編制成一個虛擬專用網(wǎng)，其中的每一個用戶均可以使用短互相呼叫并享受網(wǎng)內(nèi)用戶本地通話的優(yōu)惠，實現(xiàn)集團用戶間便捷、智能溝通。1.2平安性網(wǎng)基于電路交換技術(shù)，基于網(wǎng)的VPN在提供語音效勞的過程中通過公共交換網(wǎng)〔PSTN〕實現(xiàn)電路交換過程[2]，當連接建立后在用戶通話期間提供一條專用的物理路徑，該路徑專用于通話雙方間的連接。這條專用的物理路徑使通話的平安性能夠得到充分的保障。1.3可靠性目前網(wǎng)中的核心設(shè)備程控數(shù)字交換機一般采用大規(guī)模集成電路或?qū)Ｓ眉呻娐罚⑼ǔ２捎萌哂嗉夹g(shù)。此外程控交換機能借助于故障診斷技術(shù)對故障自動地進展檢測和定位，從而能夠及時地發(fā)現(xiàn)和排除故障。因此基于網(wǎng)的VPN具有很高的可靠性[3]。1.4可擴展性網(wǎng)一般具有簡單而方便的擴容能力。交換系統(tǒng)一般采用模塊化的硬件和軟件設(shè)計，這樣可以做到在增加模塊的情況下，實現(xiàn)簡單而方便的系統(tǒng)擴容。因此基于網(wǎng)的VPN的擴容可以通過增加硬件和軟件模塊來實現(xiàn)，有些情況下甚至只需要改變軟件配置就可以實現(xiàn)。1.5QoS保障QoS的英文全稱為"QualityofService"，中文名為“效勞質(zhì)量〞。由于網(wǎng)是基于電路交換的，當電路連接建立后就保證或者說確定了QoS。因此基于網(wǎng)的VPN能夠提供一種嚴格的、有保證的QoS保障。2基于傳統(tǒng)TCP/IP網(wǎng)絡(luò)的VPN技術(shù)在傳統(tǒng)TCP/IP網(wǎng)絡(luò)上建立的虛擬專用網(wǎng)〔以下簡稱IPVPN〕主要是指通過共享的TCP/IP網(wǎng)絡(luò)〔通常是Internet〕建立一條平安穩(wěn)定的通路，它可以使遠程用戶、公司分支機構(gòu)、公司的合作伙伴和企業(yè)內(nèi)部的網(wǎng)絡(luò)建立平安可靠的連接，并且能夠進展平安可靠的數(shù)據(jù)通信。如圖1所示。圖1基于傳統(tǒng)TCP/IP網(wǎng)絡(luò)的VPN對于IPVPN來說，網(wǎng)絡(luò)隧道(Tunneling)技術(shù)是個關(guān)鍵技術(shù)。目前有兩種類型的隧道協(xié)議：一種是二層隧道協(xié)議，用于傳輸二層〔七層OSI協(xié)議中的數(shù)據(jù)鏈路層〕網(wǎng)絡(luò)協(xié)議；另一種是三層隧道協(xié)議，用于傳輸三層〔七層OSI協(xié)議中的網(wǎng)絡(luò)層〕網(wǎng)絡(luò)協(xié)議。二層隧道協(xié)議主要有三種：PPTP〔PointtoPointTunnelingProtocol，點對點隧道協(xié)議〕、L2F〔Layer2Forwarding，二層轉(zhuǎn)發(fā)協(xié)議〕和L2TP〔Layer2TunnelingProtocol，二層隧道協(xié)議〕。其中L2TP結(jié)合了前兩個協(xié)議的優(yōu)點，具有更優(yōu)越的特性，得到了越來越多的組織和公司的支持，是目前使用最廣泛的VPN二層隧道協(xié)議。三層隧道協(xié)議目前應(yīng)用得最廣泛的是IPSec〔IPSecurity〕[4]。IPSec是一組開放協(xié)議的總稱，特定的通信方之間在網(wǎng)絡(luò)層通過加密與數(shù)據(jù)源驗證，以保證數(shù)據(jù)包在網(wǎng)上傳輸時的私有性、完整性和真實性。2.1業(yè)務(wù)需求IPVPN一般是應(yīng)用于企業(yè)內(nèi)部網(wǎng)絡(luò)擴*的一種方案，IPVPN技術(shù)的出現(xiàn)能使企業(yè)節(jié)省大量建立專用通信網(wǎng)的費用，大大利用了現(xiàn)有的網(wǎng)絡(luò)資源，并且利于維護和管理，便于擴大業(yè)務(wù)。隨著IPVPN的興起，用戶和運營商都將目光轉(zhuǎn)向了這種極具競爭力和市場前景的VPN。對用戶而言，IPVPN可以非常方便地替代租用線路來連接計算機或局域網(wǎng)，同時還可以提供租用線的備份、冗余和峰值負載分擔等，大大降低了本錢；對效勞提供商而言，IPVPN則是其擴大業(yè)務(wù)*圍、保持競爭力和客戶忠誠度、降低本錢和增加利潤的重要手段。2.2平安性目前主流IPVPN上平安的遠程通信是由L2TP和IPSec結(jié)合在一起實現(xiàn)的。這兩者彼此分工協(xié)作，L2TP協(xié)議專用來建立數(shù)據(jù)傳輸?shù)乃淼溃鳬PSec協(xié)議則專門用來保護數(shù)據(jù)，為數(shù)據(jù)傳輸提供平安加密措施[5]。這一方式之所以成功，主要歸功于IPSec這一平安技術(shù)。IPSec工作在七層OSI協(xié)議中的網(wǎng)絡(luò)層，用于保護IP數(shù)據(jù)包或上層數(shù)據(jù)，它可以定義哪些數(shù)據(jù)流需要保護，怎樣保護及應(yīng)該將這些受保護的數(shù)據(jù)流轉(zhuǎn)發(fā)給誰。由于它工作在網(wǎng)絡(luò)層，因此可以用于兩臺主機之間、網(wǎng)絡(luò)平安網(wǎng)關(guān)之間或主機與網(wǎng)關(guān)之間。其目標是為IPv4和IPv6提供具有較強的互操作能力、高質(zhì)量和基于密碼的平安。IPSec的主要工作有數(shù)據(jù)驗證、數(shù)據(jù)完整和信任。數(shù)據(jù)驗證主要確保接收的數(shù)據(jù)與發(fā)出的數(shù)據(jù)一樣，并且確保發(fā)送數(shù)據(jù)者的真實性；數(shù)據(jù)完整主要確保數(shù)據(jù)在傳輸過程中沒有被篡改；信任主要確認通信雙方的相互信任關(guān)系，防止冒名者的通信，通常使用加密來確立信任。IPSec平安體系包括以下三個根本協(xié)議：身份認證報頭協(xié)議〔AH〕：AH協(xié)議提供信息源驗證和完整性保證，它通過在數(shù)據(jù)**參加“數(shù)字簽名〞對用戶進展認證。AH還能維持數(shù)據(jù)的完整性，因為在傳輸過程中無論多小的變化被加載，數(shù)據(jù)**的數(shù)字簽名都能把它檢測出來。平安加載封裝協(xié)議(ESP)：ESP提供加密機制，通過對數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進展平安加密，嚴格保證傳輸信息的**性。目前最主要的ESP標準是數(shù)據(jù)加密標準〔DES〕。密鑰管理協(xié)議〔ISAKMP〕：ISAKMP提供雙方交流時的共享平安信息。它包括密鑰確定和密鑰分發(fā)兩個方面。密鑰管理包括手工和自動兩種方式。2.3可靠性IPVPN構(gòu)建于公用網(wǎng)之上，不同于傳統(tǒng)的專線廣域網(wǎng)，其受控性大大降低，故IPVPN可靠而穩(wěn)定地運行是建立VPN時必需考慮的問題。目前主流的IPVPN是基于INTERNET構(gòu)建的，因此它的可靠性依賴于兩個方面：線路的可靠性和設(shè)備的穩(wěn)定性。從設(shè)備可靠性來看，目前IPVPN技術(shù)已經(jīng)相當成熟，很多產(chǎn)品的運行都能夠非常穩(wěn)定可靠。從線路的可靠性來看，目前Internet的接入已經(jīng)非常普及，由于長期的投入建立，整個Internet線路質(zhì)量已經(jīng)到達了很高的水平，不僅帶寬有保證，而且提供的接入方式多樣。一旦*一條線路出錯，可以使用其他備份線路接入Internet。由于隨時可以使用其他線路作備份，因此系統(tǒng)具有很強的容錯能力。2.4可擴展性IPVPN利用Internet的資源，可以非常方便地在全球*圍內(nèi)，組建企業(yè)的虛擬專網(wǎng),不需要改變效勞提供商任何網(wǎng)絡(luò)構(gòu)造就可以完成相應(yīng)效勞的配置。但是IPVPN在部署時，要考慮網(wǎng)絡(luò)的拓撲構(gòu)造，大規(guī)模部署需要制定相應(yīng)方案并且協(xié)同解決關(guān)鍵分支機構(gòu)、關(guān)鍵管理和對等配置等各個方面出現(xiàn)的問題。如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)構(gòu)造，則IPVPN就要重新部署，因此造成IPVPN的可擴展性比較差，并且組建及維護本錢較高。2.5QoS保障IPVPN利用了Internet的資源建立虛擬專用網(wǎng)，隨著計算機網(wǎng)絡(luò)的高速開展，人們對網(wǎng)絡(luò)的要求也越來越高。越來越多地對帶寬、延遲與抖動敏感的、實時性強的語音、圖象等重要數(shù)據(jù)需要在IPVPN上傳輸，因此對網(wǎng)絡(luò)的能力和資源要求也越來越高，同時引入了如何保證效勞質(zhì)量〔QoS〕的問題。解決這個問題的一個途徑是增加網(wǎng)絡(luò)的帶寬，但帶寬增加畢竟是有限的，而且代價昂貴，它只能在一定程度上緩解這個問題。保證效勞質(zhì)量的另一種有效的手段是通過擁塞管理、擁塞防止、流量整形等策略對網(wǎng)絡(luò)上的流量進展管理，以解決不斷增長的流量需求帶來的問題。以擁塞管理為例，當擁塞發(fā)生時，可以采取一定的策略對報文進展調(diào)度，決定哪些報文可以優(yōu)先發(fā)送、哪些報文可以被丟棄,這種管理策略叫做擁塞管理。擁塞管理可通過以下幾種隊列調(diào)度方法來實現(xiàn)：先進先出隊列〔FIFO，F(xiàn)irstInFirstOutQueueing〕、優(yōu)先隊列〔PQ，PriorityQueueing〕、定制隊列〔CQ，CustomQueueing〕等。3基于MPLS網(wǎng)絡(luò)的VPN技術(shù)MPLS(Multi-protocolLabelSwitching,多協(xié)議標記交換)屬于第三代網(wǎng)絡(luò)架構(gòu)，是新一代的高速網(wǎng)絡(luò)交換標準[6]，由IETF(InternetEngineeringTaskForce)所提出，由Cisco、ASCEND、3等網(wǎng)絡(luò)設(shè)備公司所主導(dǎo)。它吸收了ATM的VPI/VCI交換的一些思想，無縫地繼承了IP路由技術(shù)的靈活性和二層交換的簡捷性，在面向無連接的IP網(wǎng)絡(luò)中增加了MPLS這種面向連接的屬性。通過采用MPLS建立“虛連接〞的方法，為IP網(wǎng)絡(luò)增加了一些管理和運營的手段。在解決企業(yè)互聯(lián)，提供各種新業(yè)務(wù)方面，MPLSVPN越來越被運營商看好，成為網(wǎng)絡(luò)運營商提供增值業(yè)務(wù)的重要手段[7]。MPLSVPN的根本組成如圖2所示。圖2基于MPLS網(wǎng)絡(luò)的VPNMPLSVPN的根本構(gòu)成單元是MPLS核心路由器LSR,由LSR構(gòu)成的網(wǎng)絡(luò)稱為MPLS域。位于MPLS域邊緣、連接其它用戶網(wǎng)絡(luò)的LSR稱為邊緣LSR(LER，LabeledEdgeRouter)，域內(nèi)部的LSR稱為核心LSR。LSR之間使用MPLS技術(shù)進展通信，MPLS域的邊緣由LER與傳統(tǒng)IP技術(shù)進展適配。在MPLS域中，通過MPLS信令(如LDP，LabelDistributeProtocol，標簽分配協(xié)議)建立好MPLS標記交換通道(LabelSwitchedPath，簡稱LSP〕，數(shù)據(jù)沿著LSP傳送，其中的入口LER稱為Ingress，出口稱為Egress，中間的節(jié)點則稱為Transit。數(shù)據(jù)轉(zhuǎn)發(fā)時，在入口LER對IP包進展分類，根據(jù)分類結(jié)果選擇相應(yīng)的LSP，打上相應(yīng)的標記，中間路由器在收到MPLS報文以后直接根據(jù)MPLS報頭的標記進展轉(zhuǎn)發(fā)，而不用再通過IP報文頭的IP地址查找。在LSP出口LER，去掉MPLS標簽，復(fù)原為IP包。由MPLSVPN的根本組成可以看出，MPLS可以看做是一種面向連接的技術(shù)，它的運作原理是為每個IP數(shù)據(jù)包提供一個標記，并由此決定數(shù)據(jù)包的路徑及優(yōu)先級。因為在將數(shù)據(jù)包轉(zhuǎn)發(fā)的過程中，僅需讀取數(shù)據(jù)包標記，無需讀取每個數(shù)據(jù)包的IP地址和標頭，所以數(shù)據(jù)包傳輸?shù)难舆t被大大減小，網(wǎng)絡(luò)速度自然就快了很多。同時由于可以對所傳送的數(shù)據(jù)包加以分級，因而能大幅度提升網(wǎng)絡(luò)質(zhì)量，并可提供更多樣化的效勞。3.1業(yè)務(wù)需求MPLSVPN適用于具有以下明顯特征的企業(yè)：高效運作、商務(wù)活動頻繁、數(shù)據(jù)通信量大、對網(wǎng)絡(luò)依靠程度高、有較多分支機構(gòu)，如網(wǎng)絡(luò)公司、IT公司、金融業(yè)、貿(mào)易行業(yè)、新聞機構(gòu)等，這類企業(yè)網(wǎng)的節(jié)點數(shù)較多，通常將到達幾十個以上。而像城域網(wǎng)這樣的網(wǎng)絡(luò)環(huán)境，業(yè)務(wù)類型多樣、業(yè)務(wù)流向流量不確定，也特別適合使用MPLS。目前許多大的VPN網(wǎng)絡(luò)設(shè)備供應(yīng)商都已把注意力轉(zhuǎn)移到支持MPLSVPN技術(shù)的設(shè)備開發(fā)上來。3.2平安性為了保證數(shù)據(jù)傳輸?shù)钠桨残裕琈PLSVPN技術(shù)采用的主要手段如下：〔1〕地址空間和路由獨立在MPLSVPN中，不同的VPN之間，地址空間是完全獨立的，這樣就保證了*一VPN中的數(shù)據(jù)包不至于到達其他VPN中具有同樣地址的主機；〔2〕隱藏MPLS核心構(gòu)造MPLSVPN不會暴露任何不必要的信息給外界，包括其VPN用戶，這樣將使網(wǎng)絡(luò)攻擊變得十分困難；〔3〕攻擊防*在設(shè)計MPLSVPN和配置路由協(xié)議時充分考慮被攻擊的可能性，并采取措施降低這種風險。〔4〕防火墻技術(shù)一個封閉的MPLSVPN具有內(nèi)在的平安性，因為它不同PublicInternet相連。如果需要Internet，則可以建立一個通道，在該通道上，可放置一個防火墻，這樣就可對整個VPN提供平安的連接。

但是MPLSVPN技術(shù)沒有解決所有共享網(wǎng)絡(luò)普遍存在的非法受保護的網(wǎng)絡(luò)元、錯誤配置以及內(nèi)部攻擊等平安問題[8]。例如在MPLSVPN傳遞數(shù)據(jù)時，只是標記了端點路由，對數(shù)據(jù)本身并不提供加密的防護手段。3.3可靠性MPLSVPN的可靠性主要靠資源的冗余度來實現(xiàn)。由于全球基于互聯(lián)網(wǎng)的根底設(shè)施非常興旺，因此依托它來開展MPLSVPN業(yè)務(wù)，自然就具有大帶寬、多節(jié)點、多路由、充裕的網(wǎng)絡(luò)和傳輸資源來保證網(wǎng)絡(luò)的可靠性。當互聯(lián)網(wǎng)內(nèi)部中繼線中斷時，MPLSVPN的流量與普通互聯(lián)網(wǎng)流量一起迂回到其它鏈路上，這一過程完全自動完成，對用戶完全透明。此外MPLSVPN的可靠性還依賴于設(shè)備的可靠性。幾乎業(yè)界所有網(wǎng)絡(luò)設(shè)備廠商和技術(shù)專家都參與了MPLS技術(shù)標準的制定工作，越來越多的廠商都有了MPLSVPN相關(guān)的設(shè)備，設(shè)備的可靠性也能夠得到保證。3.4可擴展性MPLSVPN一般由效勞提供商配置，由于不需要點對點的對等性，因而在增加節(jié)點和客戶數(shù)量方面具有高度的可擴展性。典型的MPLS-VPN能夠支持在同一網(wǎng)絡(luò)上部署上萬個VPN組；另一方面，在同一VPN中的用戶節(jié)點數(shù)不受限制，容易擴大，并可以實現(xiàn)任何節(jié)點與任意其它節(jié)點的直接通信。MPLSVPN可以非常容易地配置來適應(yīng)公司的增長和變更，例如，當一個新的站點被增加到VPN時，僅僅需要建立在新站點和提供者邊界之間的本地對等，并不需要在其他的現(xiàn)存站點重新配置，贏得了重要的優(yōu)化本錢節(jié)約[9]。3.5QoS保障MPLSVPN上的QoS保障主要靠流量工程技術(shù)來實現(xiàn)。優(yōu)秀的MPLSVPN實現(xiàn)方案可以提供可伸縮的、穩(wěn)固的QoS機制，從而令效勞提供商可以提供具有保證的MPLSVPN效勞。流量工程是一種QoS機制，因為影響網(wǎng)絡(luò)QoS的最主要原因就是網(wǎng)絡(luò)存在擁塞，在一個沒有擁塞的網(wǎng)絡(luò)中，QoS是可以得到很好的保證的。而流量工程的作用就是調(diào)配網(wǎng)絡(luò)流量，使流量能夠避開網(wǎng)絡(luò)擁塞點，從而到達均衡網(wǎng)絡(luò)流量，減少網(wǎng)絡(luò)擁塞的作用。MPLS流量工程就是在網(wǎng)絡(luò)中建立LSP(標記交換通道)時，用對網(wǎng)絡(luò)流量進展調(diào)度的方法實現(xiàn)網(wǎng)絡(luò)流量的均衡。通常在網(wǎng)絡(luò)中有一些鏈路飽滿甚至超負荷，另一些鏈路卻流量較少，在建立LSP的時候，繞開負荷較大的鏈路，選擇負荷較小的鏈路，把流量轉(zhuǎn)到負荷較小的鏈路，這樣就能到達平衡網(wǎng)絡(luò)流量的目的。4三種VPN技術(shù)的綜合比較上文已經(jīng)分別對基于網(wǎng)的VPN技術(shù)、基于傳統(tǒng)TCP/IP網(wǎng)絡(luò)的VPN技術(shù)和基于MPLS網(wǎng)絡(luò)的VPN技術(shù)進展了闡述。下面將對三種VPN技術(shù)進展綜合比較，詳見下面的表格：表1三種VPN技術(shù)的綜合比較網(wǎng)VPNIPVPNMPLSVPN業(yè)務(wù)需求主要用于集團內(nèi)部等話音業(yè)務(wù)主要應(yīng)用于企業(yè)內(nèi)部局域網(wǎng)的擴*和接入主要應(yīng)用于大型企業(yè)的分支機構(gòu)之間的數(shù)據(jù)業(yè)務(wù)聯(lián)網(wǎng)平安性基于電路交換，平安性能夠得到充分保障IPSec協(xié)議能夠充分保證數(shù)據(jù)傳輸?shù)钠桨残圆捎昧艘恍┓?攻擊的手段，但是由于對數(shù)據(jù)本身不提供加密，所以平安性一般可靠性采用冗余技術(shù)和故障自動診斷技術(shù)，具有很高的可靠性依賴于設(shè)備和公共網(wǎng)絡(luò)，可靠性能夠得到保障依賴于設(shè)備和公共網(wǎng)絡(luò)，可靠性能夠得到保障可擴展性具有簡單而方便的可擴展能力增加新的設(shè)備，往往要改變網(wǎng)絡(luò)構(gòu)造，可擴展性較差增加新的節(jié)點非常容易，具有高度的可擴展性QoS保障基于電路交換，能夠提供嚴格的、有保證的QoS保障采用擁塞管理等手段，能夠在一定程度上提供QoS保障采用MPLS流量工程技術(shù)，能夠提供可伸縮的、穩(wěn)固的QoS保障5完畢語無論是何種類型的VPN，它們的中心思想是一定的：利用現(xiàn)有的公共網(wǎng)絡(luò)資源，通過一定方法建立專用網(wǎng)，即“公網(wǎng)專用〞，同時這個網(wǎng)絡(luò)是邏輯上的，不是實際的物理網(wǎng)絡(luò)，但是這種網(wǎng)絡(luò)的功能和實際物理上的專用網(wǎng)沒有什么不同，即“虛網(wǎng)實用〞[10]。三種類型的VPN技術(shù)中，基于網(wǎng)絡(luò)的VPN技術(shù)主要用于話音業(yè)務(wù)，基于傳統(tǒng)TCP/IP網(wǎng)絡(luò)的VPN技術(shù)和基于MPLS網(wǎng)絡(luò)的VPN技術(shù)主要用于數(shù)據(jù)業(yè)務(wù)，后兩種VPN技術(shù)各有優(yōu)缺點。隨著技術(shù)的開展，目前在MPLSVPN上也可以采用IPSec技術(shù)，從而使其平安性得到了充分的保證。參考文獻：[1]AntonioLiotta,DanielH.Tyrode-Goilo,AdetolaOredope.OpenSourceMobileVPNsoverConvergedAll-IPNetworks[J].JournalofNetworkandSystemsManagement,2008,(2):163～181.[2]DeepMed