如果你在运行一个专业的企业VPN，你已经知道最终用户的VPN服务或基于软件的VPN服务都胜任不了。当然，你可以安装几十个OpenVPN或Windows Server 2008 R2设备来解决这个问题，但是除了速度不够快外，它们管理起来也很棘手。当贵公司需要同时使用几百条乃至1万多条活跃的VPN隧道时，只能借助于最先进的VPN硬件或全国性的VPN服务商。这通常意味着思科、F5 Networks、瞻博网络以及另外几家顶级网络公司。

　　这时候，你可能要考虑第二种VPN；这种情况下，你使用VPN把不同的办事处和分支机构通过互联网安全地连起来。这方面可以使用MPLS（多协议标签交换）、VPLS（虚拟专用局域网服务）和L2VPN（第二层虚拟专用网）等技术，把数据中心、集中办事处和分支办事处连接成一个虚拟整体。

　　在正常情况下，你会希望把防火墙放在VPN服务器与互联网之间。

　　如果你要开始考虑使用那种VPN，别信我这种水平的人。你要找个顶级的网络工程师–更妥当的是，找个合格的网络架构师来正确设置你的虚拟广域网。这里要是犯错误，不是贵公司会蒙受巨额损失，就是当你最不希望广域网出故障时，偏偏出问题。我想你可能不想向首席执行官解释为什么全公司的视频广播消失得无影无踪了。

　　即便是大规模的企业远程访问VPN所用的技术也与小规模的VPN一样。区别完全在于规模上。

　　如果你想管理自己的企业级VPN，就要用思科或瞻博等公司价格不菲（至少是五位数）的VPN设备和服务器来搭建VPN。

　　传统观念认为，你只能使用价格高昂的知名品牌的VPN集中器，但其他厂商（尤其是Vyatta）不这么认为。Vyatta拥有入门级Vyatta 3500系列路由器和防火墙（2009年底推出），提供万兆路由功能，而价格只是同类思科产品的零头而已。

　　比如说到VPN，Vyatta 3500能够以高达900 mbps的速度，同时处理多达8000条IPSec VPN隧道，费用只需要约6000美元，而同类的思科ASR 1006设备价格超过10万美元。Vyatta产品真的一样好？我本人还没有试用过，但知道有些公司在用它，而且很满意。既然价格这么便宜，何不至少试用一下？虽然目前出现了经济好转的势头，但还没有好到首席财务官和首席信息官欣然批准购买价格高达六位数的硬件这个光景。

　　当然，你可能想要考虑通过外包来满足自己的VPN要求。过去这么做往往要冒一定的险；但近些年来，AT&T和Verizon等几家知名电信公司已开始提供国内和国际VPN服务。这类服务的费用不便宜，但是你自行维护企业级VPN也不便宜。处处精打细算的网络设计人员会认真考虑VPN外包这种选择。

　　VPN协议指南

　　VPN使用众多协议，建立起透过互联网的一条安全”隧道”。

　　PPTP（点对点隧道协议）：这种协议最初用在Windows中，但它不随带任何内置的安全性。它通常与MPPE（微软点对点加密）协议一起建立安全的VPN。我说的”安全”其实不安全，因为PPTP（即PP2P）长期以来安全性欠佳。幸好，PPTP慢慢告别了历史舞台，被更安全的协议所取代。

　　L2TP（第二层隧道协议）：微软联合思科，第二回做得更好了。L2TP结合IPSec安全性，要安全得多，它用在所有现代版本的Windows中。L2TP在Mac OS X和Linux上还得到支持，可结合Openswan等程序使用。

　　SSL VPN（安全套接层VPN）：在过去的几年间，主要是由于OpenVPN越来越受欢迎，SSL VPN才变得越来越普遍。你可以找到适用于各大操作系统的SSL VPN客户端软件。

特别推荐：VPN基础教程（PDF下载）