VPN和VLAN的应用交流

YES东

    背景：请教有关VPN和VLAN的问题。是不是用了带vpn的路由器，服务器端就不需配置成vpn服务器啦？我理解对吗？还有，在交换机中，划分多个vlan。那vlan之间通讯，是否需要另加路由器，或交换机中是否提供这功能，只需设置一下就行了呢。刚学习网络，请多指教！谢谢！

先简要回答网友提出的问题。
    一．有了带VPN的路由器，不仅服务器的网关职责可以免了，VPN服务当然完全可由路由器来完成，这样VPN处理计算完全可由路由器的硬件来完成，相对于服务器的软件完成更可靠，也可能更快，因为VPN的计算量相对很大，所以你的理解是对的。
    二．VLAN间的通迅当然要由路由器来帮助实现，这称为“VLAN间的路由”，除非交换机是具有第三层交换功能，可以“只需设置一下就行了”。若上面的路由器已经购置，那么再购买具有VLAN功能的二层交换机就行了，可设置VLAN。
    VPN算是比较新兴的技术，在没有大规模商用之前，那可是大企业的“专利”。因为原来的VPN实现需要高档的路由器或专业的VPN防火墙，方案的实现比较昂贵，不管在线路还是设备，都是这样。但是网络科技的发展已使这种局面发生改变，现今宽带接入大行其道，比如固定或虚拟拨号的ADSL都可有了公网IP ，这给一般低端用户实现VPN带来了线路路上的实惠，可轻易在这样的线路上搭建起VPN应用。设备方面，因为带VPN的宽带路由器的出现也进一步降低了VPN的成本，虽然网友没有特别说明哪种路由器，但小酷在此暂且认为是宽带路由器这个主题。
    而VLAN用宽带路由器来实现就更加简单了，只需要再购置具有VLAN功能的交换机就可以设置了。
    用VPN路由器取代服务器的理由？
    VPN是在公网上开辟的一条“虑拟隧道”，通过的是加密的用户数据，由于数据包加了密，所以包的字节长度较大，需要的计算量很大，若是由服务器来做这个工作，就是软件实现，会占用CPU资源，影响到服务器的其它工作，效率也不高。所以VPN计算由路由器的相应硬件来执行，效率会更高。有些路由器和VPN防火墙（VPN网关）甚至有专门的VPN加解密模块来执行这个工作，效率就会更一上层楼了。
    一．VPN方案
    由于本文的指的是中小型企业的低端应用，所以针对的是这个市场的产品。在这个市场主要有宽带路由器，还有少量的较低价的，称为“VPN防火墙”的产品也渗透入这个市场，其实这类产品也作为网关设备，但能承载的VPN隧道条数较多，就是这两类产品。在考查路由器时我们一定看弄清楚一个问题，就是路由器本身能不能发起VPN请求，因为有些过于低端的产品所谓有VPN功能，可能是能“通过VPN”（VPN Pass through）而已。那么如何确认是前面那种我们所要的路由器呢，最好的鉴别方法是要看它是否有相关的VPN方案说明，一般它会有一个完整的方案，有能胜任VPN SERVER（服务端）的宽带路由器产品，也有与之配套的VPN CLIENT（客户端）宽带路由器产品共同组网的方案。这样我们就很容易判断这些系列的宽带路由器产品是真真正正有VPN功能。当然“服务端”和“客户端”角色有时不是界定得很死，这要看网络规模，产品所处位置。VPN防火墙就不用说了，它一般较专业，产品的定位也在实现VPN。
   二．VLAN方案
    在VLAN实现方面，对于小型企业，我们在路由器这个网关设备已经选择了SOHO级的宽带路由器，只要有VLAN功能可网管的交换机就行。在这些交换机里，一般可以设置基于端口的VLAN划分，当然没有必要选择较为“昂贵”的三层交换机了。三层交换机在企业级局域网里有专业实现VLAN的定位，三层交换机既有三层路由功能，也有VLAN功能，在较大的局域网里可以和其它VLAN交换机结合做VLAN划分，分担了路由器的VLAN间路由，在效率上比起路由器来实现这个功能更高，具有线速的特点，在小型应用中可能就没有这方面的效率要求。
   网络实例
    下图是分别采用Vigor 2300路由器和TP-LINK TL-SF2224P交换机组成的一个网络拓朴图：（见下图）




    Vigor2300 采用高速的 CPU，适合高速的宽带访问，VPN 使用，NAT地址转换和防火墙等功能。 可连接 10/100M的 ADSL/Cable 调制解调器联机上网，内建四口的10/100M 交换器端口，提供给内部的计算机连接使用。此外，具串行端口打印服务器功能，可提供局网共享打印服务。其主要功能包括：DHCP Client/Server 提供IP地址分配，DDNS动态网址服务功能，提供动态线路服务，SNMP提供网管，RADIUS提供VPN联机时更多功能的选择及弹性设定。Vigor2300提供高达16条VPN隧道。能支持PPTP, L2TP 和 L2TP/IPSec等VPN组网方式，包括PC TO LAN（客户至服务器）和LAN TO LAN（服务器到服务器）。编码方式包括DES (56bit), 3DES (168bit) 以及口令交换和IPSec网关里的综合认证。 支持IKE ，提供SHA-1和 MD5 完整运算法则。
    TP-LINK TL-SF2224P智能型24口自适应10/100M以太网交换机，标准机架式，智能配置管理，为工作组及智能小区提供组网解决方案。可配置的VLAN，支持最大24个VLAN配置 。两个光纤模块端口配合TL-SM21系列光纤模块使用，可使网络半径最大扩展至60千米。支持4个800M的Trunk群（每个Trunk群包含4个端口）。
    在拓朴实例中我们可以看到，Vigor2300在这担当起了网关、VPN客户机或服务器和VLAN路由的责任。而TP-LINK TL-SF2224P按实际需要可划分基于端口的三个VLAN（VLAN1、VLAN2、VLAN3）。看起来设备、组网都非常简单，实则功能强劲。