VPN交换机介绍

    VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或WINDOWS2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。

    带VPN功能的交换机即VPN交换机，其VPN按照实现的层次可以分为第二层VPN和第三层VPN：

第二层VPN    

     所谓第二层VPN就是在网络参考模型的第二层，即数据链路层利用ATM（异步传输模式）或者FrameRelay（帧中继）技术来实现VPN。第二层VPN的实现基本上是基于ATM/FR交换机，通过PVC（固定虚拟连接,永久虚电路）的划分来决定企业用户各个节点之间的连接，因此，第二层VPN是一种专线VPN。另外，用户如果希望实现端到端的第二层VPN互联，须以ATM或FR的方式直接接入到网络的ATM/FR交换设备上。

第三层VPN   

     所谓第三层VPN就是在网络参考模型的第三层，即网络层利用一些特殊的技术例如隧道技术、标记交换协议MPLS或虚拟路由器等来实现企业用户各个节点之间的互联。其中，采用隧道技术的方式目前以IP隧道为主，即在两个节点之间利用隧道协议封装重新定义数据包的路由地址，使得具有保留IP地址的数据包可以在公共数据网上进行路由，利用这种方式可以很好地解决IP地址的问题。同时，利用某些隧道协议的加密功能，例如IPsec，还可以充分地保障数据传输的安全性。标记交换技术目前以MPLS（标记交换协议）为主，利用MPLS标记中的VPN网络标识符以及MPLS的LSP Tunne（标记交换通道隧道）l来实现MPLS范围内的虚拟专用网络，MPLS实现VPN的方式与第二层VPN较为相似，都是面向连接的虚电路方式。同样，如果用户希望实现端到端的MPLS  VPN互联，需要用户出口路由、交换设备或者运营商网络的接入路由、交换设备直接作为MPLS的边缘设备。利用虚拟路由器实现VPN是指在单一的网络设备上提供多个虚拟的路由器，这些虚拟路由器可以为不同的企业用户提供专有的逻辑网络连接，虽然这种方式通常都是在第二层交换设备上来提供这种第三层路由的功能，但从实际意义上讲，仍然属于一种第三层的VPN。