VPN应用越来越广，可能用户疑问也越来越多，这里列举了VPN应用中最常见的十三个问题，并给出解答。 
　　商业的流通性带来了更大的分支机构远程通讯需求，VPN应用越来越广，可能用户疑问也越来越多，来看看VPN应用的一些比较有代表性的常见问题，也许就有你需要的答案。   
VPN和DDN专线谁更好？  
　　这个问题在很多用户都在咨询，其实不是简单的用好坏来评估的。可以说以DDN为代表的专线技术和以IPSEC为代表的SITE TO SITE的VPN解决方案各有优势、相互补充。为了方便的描述，以DDN为例和VPN做一个比较。  
　　DDN成本高，但是比较稳定；VPN稳定性虽然不如DDN线路，但是通讯成本低，易于扩展，而且随着Internet的发展，在速度、稳定性、移动性、扩展性上越来越占有优势，所以现在越来越普及。  
　　　   
VPN与专线技术全面比较  
　　一般在DDN线路中，都是采用专用线路，没有与公众线路连接在一起，所以在很大程度上与VPN相比，容易导致安全上的误解。  
　　从实际使用上看，由于DDN线路的专用性，所以也大大减少了其被攻击破坏的可能性。但是另外一方面，从原理上分析，数据在DDN网络上面传输其实是不安全的，数据传送的过程中可能会被人窃取、修改等；数据在VPN虚拟专网中传输的过程是安全的，通过加密、身份认证、封包认证等过程保证数据包在传送的过程中不被窃取、删除和修改。  
　　 　　   
建设VPN对网络有什么要求？  
　　这个问题还是对VPN技术的理解。VPN是基于“公网”建立“私网”的技术。公网不一定是Internet，例如APN实施的工程中，部分行业用户就是在自己已经建立的专用网络上再加密。其实凡是基于Internet技术、TCP/IP建立起来的网络，就可以在这个网络里面再建立自己的专用网络。  
　　对于Internet来说，VPN设备需要对网络的接入方式有很好的适应能力。APN产品在经过市场的磨练，在国内各种接入、各个运营商的接入方式例如ADSL/VDSL/LAN/CDMA/GPRS/等等都可以很好的适应。  
南北电信互通的问题  
    南北电信拆分后，由于网间的互联互通问题迟迟得不到解决，对很多分支机构覆盖全国各地的公司而言，网间速度就难以得到保障。  
　　为了解决这个问题，针对不同运营商的互通解决方法。主要是通过合理的通过IP规划和APN的节点可定义以及在汇聚点设置的两条不同运营商的线路，实现电信和电信、网通和网通实行VPN连接。  
NAT的问题  
　　网络地址转换（NAT）是IETF为了解决IPv4协议定义的IP地址不足问题而提出的一种解决方案。它的主要工作原理是：在内部网络中使用IPv4保留的私有地址对主机进行地址分配，同时在NAT网关处将所有的内部网络地址以某种方式动态映射为一个或多个因特网合法IP地址（通常为NAT网关的外网口地址）。目前NAT技术以其简单实用的特点在国内得到了非常广泛的应用，比如：企业局域网通过代理或防火墙共享上网，小区和智能大厦提供的宽带接入，宽带城域网接入业务等等；而且在很多地方用户访问因特网的数据往往通过了多层NAT网关的转换。  
　　在多数情况下NAT的处理对用户使用是完全透明的，但是当希望使用IPSec技术组建VPN网络时，NAT却带来了很大的麻烦。由于NAT处理过程是需要修改IP数据报文的IP头数据、传输层报文头数据甚至传输数据的内容（如FTP应用），而在IPSec协议中是对整个IP报文数据进行了加密和完整性认证处理的，所以一旦经过IPSec处理的IP包穿过NAT网关时，包内容被网关所改动，改数据包到达目的主机后其解密或完整性认证处理就会失败，于是这个报文被认为是非法数据而被丢弃。这就是组建VPN网关最常见的“IPSec与NAT协调工作”的问题。  
　　为了解决这个问题IETF专门为IPSec制定的“NAT穿越（NATT）”的协议草案，目前该草案的最新版本为v0.3，是2002年刚刚提出的。协议中解决NAT穿越问题的基本思路是在IPSec封装好的数据包外再进行一次UDP的数据封装，这样当此数据包穿过NAT网关时，被修改的只是最外层的IP/UDP数据，而对其内部真正的IPSec数据没有进行改动；在目的主机处再把外层的IP/UDP封装去掉，就可以获得完整的IPSec数据包。  
　　由于NATT协议标准制定的时间还比较短，而且还没有最终形成RFC的标准，所以目前国内VPN厂商真正支持这个标准的产品几乎没有，国外的VPN厂商也只有象NetScreen这样的大型的VPN设备供应商才支持NATT标准。　在同一的NATT环境下设备间通讯以及在不同的NATT环境下设备间通讯。 　　  
是否所有的程序都可以在VPN上运行？  
　　目前基于网络的程序都可以在VPN上运行。如果是严格的说法，应该是基于TCP/IP的应用可以在VPN上运行。很早基于IPX开发的就不可以。  
　　值得提醒的是，目前部分国内的ERP软件在开发过程中，因为开发环境是在局域网内完成的，即使是基于Internet，也是通过读取计算机名来标识主机的。所以在设置这样的网络的时候，需要在客户端配置host，对应目标主机名字为IP地址。  
VPN传输中的数据可以压缩吗？  
　　目前部分产品宣传的压缩技术，可以提供比网络带宽还有高的网络，但是压缩能提高VPN的效率吗？  
　　压缩当然需要消耗CPU的资源，数据在传输之前先压缩，然后到达目的地址之后就解开，这能否变向的扩展网络带宽，需要综合考虑。例如word文档、BMP文档的压缩比例高，压缩后传输比直接传输快，这是有可能的。SQL查询的时候产生很多数据也是可以压缩的，所以也可以在一定程度上提高运行速度。  
标准的IPSEC VPN一般都支持IP压缩。  
　　但是就很多程序运用而言，一定要同时考虑设备处理CPU消耗和数据的可压缩比例，才能决定是否采用压缩。一般例如视频、复杂数据应用上由于应用软件已经考虑了压缩机制，所以启动压缩功能对速度没有提高反而消耗CPU资源。最简单的测试方法是启动和停止压缩功能，看看运行情况比较。  
标准的IPSEC需要配置那些参数？  
　　配置一个传统的IPSEC,需要配置：隧道名称、本地ID、本地IP、对方IP、本地内网、对方内网、本地下一跳地址、VPN方式（隧道模式？）、加密方式（ESP?)、数据加密算法、传输认证算法、psk、IKE时间、key协商时间、PFS……APN产品采用License独创技术，无需了解IPSEC的细节，可以在5分钟内设置完毕，建立VPN网络。  
　　传统星状VPN的安全隐患：最早的IPSEC VPN产品，几乎都是基于固定IP地址去实现的。这是因为IPSEC这个协议源自美国，在IP地址丰富的情况下，需要解决的主要是安全问题。到了产品在市场上应用，尤其是到了中国市场之后，部分VPN产品就用1个固定IP加上其他是动态IP形成星状连接的方式。这样设计的方式要求中心点的VPN策略是允许所有建立VPN的请求，因为来源的地址不固定，所以只能采取这样的方式。一旦泄漏了PSK等VPN配置信息，就可以联入VPN。V  
IPSEC中的加密算法是指什么？  
　　IPSEC产品往往都包含多种算法。每种加密算法的设计，都是为了完成不同的安全功能。例如在数据传输过程中用的加密算法主要是保证数据的安全，不能被别人窃听；而为了保证数据在传输的过程中不能被更改，设计了MD5这样的加密算法；而为了保证通讯对方的身份是特定的身份，设计了RSA这样的算法。  
　　加密算法以VPN为例解释如下：  
　　VPN产品支持多种加密算法，数据传输可自由选择：这是用在数据传输的过程，即从A到B，数据是经过这样的加密了传输过去的。  
　　AES/128位加密算法  
　　3DES/168位加密算法  
　　SERPENT/128位加密算法  
　　BLOWFISH/128位加密算法  
　　TWOFISH/128位加密算法  
　　硬件加密卡或第三方算法  
　　国家密码算法  
　　保证数据完整可自由选择：这个是用在保证传输过程中数据不被窜改的。一般这些算法叫做“摘要算法”，可以理解成在数据上做了一些标签，到达目的之后会判断是否被更改  
　　MD5-96  
　　SHA1-96  
　　SHA2-256  
　　SHA2-512  
　　身份认证支持：这是用来做身份识别的，主要是为了防止被假冒对端进行通讯。  
　　RSA 2048  
　　Pre-share Key  
　　证书  
　　以上的加密算法加上IKE，构成了完整的IPSEC架构安全体系。  
不同厂家的VPN产品之间能通讯吗？  
　　不同厂家提供的VPN产品之间能够互通吗？事实上，如果都是基于IPSEC协议，选择同样的加密算法，采用IKE交换和PSK认证，是可以通讯的而且比较容易实现。例如APN产品和NETSCEEN之间，是可以互联互通的。选择VPN的产品的时候，这个也是可以作为判断是否是基于IPSEC构架的一个方法。  
动态IP地址如何实现VPN？  
　　目前其他VPN产品解决动态IP地址的方法，主要有动态网页、DDNS等方法。这些解决方法都是或多或少依赖于第三方的技术或者服务，究其中心点来说，原理上是一个被动接受的方式，有请求才能回应，所以为了获得各节点的地址，设计上需要不断的到网站刷新获得可能变化的地址。这种设计很大程度上导致了稳定问题。  
　　APN和其他动态IP比较，采用独立开发的VDN技术，APNGW产品采用了交互式的基于APNGW-VDN之间的设计，可以由VDN来协调网络拓扑，形成节点可定义；同时完成隧道的自动巡检，保证隧道的稳定性。  
为什么需要IKE  
　　Internet 密钥交换协议（IKE）用于在两个通信实体协商和建立安全相关，交换密钥。安全相关(Security Association)是 IPSec 中的一个重要概念。一个安全相关表示两个或多个通信实体之间经过了身份认证，且这些通信实体都能支持相同的加密算法，成功地交换了会话密钥，可以开始利用 IPSec 进行安全通信。IPSec 协议本身没有提供在通信实体间建立安全相关的方法，利用 IKE 建立安全相关。IKE 定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE中身份认证采用共享密钥和数字签名两种方式，密钥交换采用 Diffie?Hellman 协议。  
　　如果不是基于IPSEC协议的VPN，注意了解其密钥交换的方式。  
是否加密了就会安全？  
　　VPN产品涉及最多的技术就是加密了。加密了是否究可以保证安全呢？通过以上的几个描述，应该认识到，加密只是一种技术，在整个通讯过程中需要完整的体系结构，结合加密技术、IKE、密钥管理等方面的技术，才能构建真正安全的VPN系统。也正是IPSEC的诞生初衷，以安全体系架构安全网络。  
　　APN是基于IPSEC的VPN，安全的架构设计保证通讯的整体安全。  　　  
防火墙和VPN是什么关系？  
    最早在国内的安全领域，VPN概念出现是一些加密设备。很多是用在专线上进行链路加密或者工作在网桥模式下的加密。一般较少考虑防火墙问题，反之，最开始的防火墙，都是考虑NAT、过滤等因素，对远程联网考虑少一些。随着Internet的发展，很多企业的应用都和Internet结合起来，而IPSEC的出现也很好的解决了安全问题，所以VPN和防火墙越来越近，大有合二为一的趋势。