網絡安全在VPN網絡建設的重要性，今天就讓我們來深入的了解一下VPN網絡建設的魅力吧！設備驗證采用了預共享密鑰或數字證書，以提供設備身份，預共享密鑰有三種：通配符、分組和獨立。獨立預共享密鑰與某一IP地址有關，分組預共享密鑰與一組名稱有關，僅適用于當今的遠程接入。

通配符共享密鑰不可應用于站點到站點設備驗證。數字證書與獨立預共享密鑰相比，可更理想地擴展，因為它允許一臺設備驗證其他設備，但不具備通配符密鑰的安全特性。數字證書與IP地址無關，而是與企業CA認證的設備上獨特的標志信息有關。

VPN網絡建設：IPSec

IPSec提供了多種安全特性，對于管理員如何確定其工作方式提供了可配置選擇：數據加密、設備驗證，以及保密、數據完整性、地址隱藏和安全機構（SA） 密鑰老化等功能。IPSec標準要求使用數據完整性或數據加密兩種功能之一，具體使用哪個可任選。思科公司強烈建議加密和完整性二者都使用。而改變以上那些數值會提高安全水平，但與此同時， 也增加了處理器開支。

VPN網絡建設：IP編址

正確的IP編址對于用作大型IP網絡的VPN的成功有著重要意義。為保持可擴展性、性能和可管理性，強烈建議遠程站點使用主網的子網，以便進行歸納。增加 ACL輸入會降低性能，使故障查尋復雜化并影響可擴展性，適當的子網化還可支持簡化的路由器頭端配置，以實現分支到分支相互交流，要對所有設備的信息流進行歸類，所需的隧道也較少。IP編址還可影響VPN的多個方面，包括重疊網絡的遠程管理連接。

VPN網絡建設：多協議隧道

IPSec作為一種標準，只支持單點廣播流量。對于多協議或IP多點廣播隧道，必須使用另一種隧道協議。

VPN網絡建設：網絡地址轉換

NAT可發生于IPSec之前或之后。了解NAT何時發生是十分重要的，因為在某些情況下，由于隧道構建受阻或信息流穿過隧道，NAT都可能對IPSec構成影響。除非提供接入是必須的，否則將NAT應用于VPN流量將不失為上策。

VPN網絡建設：單一目的和多目的設備

在網絡設計過程中，您需要選擇是在聯網或安全設備中采用集成功能，還是采用VPN設備的特殊功能。集成功能通常是很吸引人的，因為您可以在現行設備上實施，且該設備經濟有效，其特性可與其他設備互操作，從而提供功能更理想的解決方案。

指定的VPN設備通常在對功能的要求很高或性能要求使用特殊硬件時，才會使用。當決定了采取何種選項，可根據設備的容量和功能對決策進行權衡，并與集成設備的功能優勢相對照。在整個體系結構中，兩類系統都有所使用。

由于 IPSec是一種要求嚴格的功能，隨著設計規模的提高，選擇VPN網絡建設設備取代集成型路由器或防火墻的可行性也日趨增大。注意，對VPN設備這一概念的了解不是件容易的事情。當今的許多VPN網絡建設設備可提供理想的性能和VPN管理選項，與此同時，也提供有限的路由選擇、防火墻或CoS功能，而它們可能與集成設備有關。

如果所有這些高級功能都得以實現，從性能和部署選項的角度來看，這種設備也開始越來越像集成型設備。同樣，除了路由選擇和安全特性的全面實施以外，可支持全部VPN功能的VPN路由器，可在VPN單獨環境中進行配置，其特征更象一種應用。