全面介紹VPN網絡建設的幾個概念，如何學習VPN網絡建設，網絡上有不少的方法，下面是相關方法的一個集錦，希望對廣大愛好者有幫助，都是比較常用的方式。借機提供給大家。

VPN網絡建設：入侵檢測、網絡訪問控制、信任和VPN

IPSec VPN在部署時，周圍通常環繞著多層訪問控制和入侵檢測。網絡入侵檢測系統（NIDS）是一項用于減少與擴展安全范圍有關風險的技術。在VPN設計中， NIDS完成了兩項基本功能。首先，NIDS可用于分析源自或送至VPN設備的信息流。其次，NIDS可用于加密后，確認僅僅是加密信息流被發送并由 VPN設備接收。

除NIDS以外，通常使用防火墻的訪問控制應該在VPN設備前后設置。當今的部署都將防火墻安置在VPN設備的前面。當安置在前面時，對用戶信息流的種類不具備可視性，因為信息流依然是加密的。防火墻在VPN設備前所能提供的大多數優勢此時已喪失殆盡。

VPN網絡建設：分離隧道

當遠程VPN用戶或站點被允許接入公共網（互聯網），與此同時，他未先將公共網絡信息流安置在隧道內，就接入了專用VPN網絡，此時就出現了分離隧道。事實上，不實施分離隧道會給VPN頭端造成巨大負載，因為所有互聯網相關信息流都需要流經頭端設備的WAN帶寬。在SAFE　VPN中，遠程站點除了特殊情況外，都假設實施了分離隧道。如果不支持分離隧道，而設計不會改變，那么由于頭端的流量負載加大，性能和擴展性就會產生少許變化。

VPN網絡建設：部分網狀、全部網狀、分布式和星型網絡

在任一網絡拓撲結構上鋪設VPN時，許多因素都會影響網絡的可擴展性和性能。全部網狀網絡會迅速地陷入可擴展性的困境之中，因為網絡中的每臺設備都必須通過一個獨特的IPSec隧道與網絡中的其他設備交流。這就是n（n-1）/2隧道模式，在某些情況下擴大網絡的規模已經變得不現實。

許多隧道也都存在性能問題。部分網狀網絡與全部網狀網絡相比，有較大的可擴展空間。與全部網狀網絡中的設備相同的是，在這種拓撲結構中的限制因素是，在CPU合理應用的前提下，設備可支持的隧道數量。

這兩種網絡都可運用一種動態隧道端點搜索機制，以簡化配置和提高可擴展性。中心輻射型網絡可以更理想地擴展，但是，所有流量都渡過集線器站點，而且這種設備要求大量的帶寬。

VPN網絡建設：互操作性與混合和同種設備部署

雖然IPSec是一種已證實的標準，但RFC依然為它的解釋留下了充足的空間。另外，互聯網草案，如IKE模式配置和供應商專用特性，提高了互操作問題出現的可能性。因為這些緣故，您應該對供應商產品的互操作信息及其在互操作性評比中的表現情況進行綜合評價。此外，為確保單一供應商產品間的互操作性，最好在所有平臺上使用同一代碼庫。

VPN網絡建設：網絡運營

在中央IT模式運營中，需要通過中央站點VPN對遠程站點進行管理。VPN設備可支持多種配置選項，以確定隧道端點，視所采用的方式而定，這些選項可能會對網絡的管理性能產生影響。要高效地管理遠程設備，您必須在您的管理應用所在的站點使用靜態加密映像。

您不可以在頭端和動態加密映像。動態加密映像只接受進入的IKE請求，但無法初始化它們，因此，要始終保證在遠程設備和頭端站點間存在一條隧道。靜態加密映像配置包括遠程對等設備的靜態IP地址，因此，遠程站點必須使用靜態IP地址來支持遠程管理。

VPN網絡建設：壓縮

第二層壓縮未提供VPN信息流鏈路帶寬削減功能。第三層壓縮，發生于加密之前，的確可使數據量降低。考慮到第三層壓縮在當今的大多數硬件加速器中都不支持，因而當使用時，對CPU要求非常嚴格。

VPN網絡建設：遠程接入用戶要求

當用戶不在辦公室和不在控制區時，思科公司建議您對他們到內部網和互聯網的連接進行控制。如果您選擇分離隧道要確保安裝、更新和運行個人防火墻，以及在遠程接入客戶機上擁有一個有效的安全策略。思科公司建議您在未實施防火墻的情況下，不要在客戶機上實施分離隧道。

VPN網絡建設：高可用性

目前，有兩種機制可用于確定遠程對等設備的可用性和隧道建立狀態：路由選擇和IKE保持激活信息。路由器可支持兩種機制，而防火墻、集中器和遠程接入客戶機則支持IKE保持激活信息。