16高速网络技术

高速网络技术

High-SpeedNetworksTechnologies郭联志厦门大学出版社第9章虚拟网络技术9.1虚拟局域网技术9.2广域网VPN技术9.3MPLSVPN9.4播送虚拟网络技术9．1虚拟局域网〔VLAN〕交换局域网是虚拟局域网〔VirtueLAN，VLAN〕的根底。近年来，随着交换局域网技术的飞速开展，交换局域网结构逐渐取代了传统局域网的共享介质结构，为虚拟局域网的实现提供了坚实的根底。802.1网络互联小组标准：1996年3月。802.10VLAN标准不好用。9．1．1虚拟网络概念

虚拟网络是建立在局域网交换机或ATM交换机之上的，它以软件方式来实现逻辑工作组的划分与管理，逻辑工作组的节点组成不受物理位置的限制。同一逻辑工作组的成员不一定要连接在同一个物理网段上，它们可以连接在同一个局域网交换机上，也可以连接在不同的局域网交换机上，只要这些交换机是互联的。当一个节点从一个逻辑工作组转移到另一个逻辑工作组时，只需要通过软件设定，而不需要改变它在网络中的物理位置。同一个逻辑工作组的节点可以分布在不同的物理网段上，但它们之间的通信就像在同一个物理网段上一样。虚拟网络VLAN在同一个VLAN的计算机，不管它们实际与哪一个交换机连接，同一个VLAN中的播送只有VLAN的成员才能听到，而不会传到其他的VLAN中去，这样可以控制不必要的播送风暴的产生。同时，如果没有路由的话，不同的VLAN之间不能相互通信。增加了网络中不同部门之间的平安性。VLAN可以将效劳器单独划分在一个VLAN中，通过第三层交换，允许其他VLAN用户访问效劳器，也可以将效劳器单独划分属于多个VLAN，提高了效劳器的平安性。9．1．2划分VLAN的方法1．基于交换机物理端口

2．基于MAC地址

3．基于IP地址

4．基于网络协议

图9-1典型的VLAN物理结构图1．基于交换机物理端口基于交换机物理端口划分VLAN，可以说是基于OSI七层模型的第一层物理层。许多早期的虚拟局域网都是根据局域网交换机的端口来定义虚拟局域网成员的。虚拟局域网从逻辑上把局域网交换机的端口划分为不同的虚拟子网，各虚拟子网相对独立，其结构如图9-2a所示。图中局域网交换机端口1、2、3、4和8组成VLAN1，端口5、6和7组成了VLAN2。虚拟局域网也可以跨越多个交换机。如图9-2b所示，局域网交换机1的1、2、3端口和局域网交换机2的5、6、7端口组成VLAN1，局域网交换机1的5、6和7端口和局域网交换机2的1、2、3和8端口组成VLAN2。1．基于交换机物理端口示意图TP-DLINK端口流量限制选择交换机功能下的端口流量限制，您可以进入如下设置界面。端口流量限制提供针对每个端口的流量限制设置，入口提供“不限制〞、“flood〞、“播送和多播〞、“播送〞、“所有帧〞等五种不同的限制模式，而出口限制那么是针对所有帧的限制。

入口限制模式请您选择入口限制模式，它一共包含下面五个选项。不限制

选择该项表示对进入该端口的数据帧不进行限制。

flood

选择该项表示对进入该端口的播送帧、多播帧、以及目的MAC地址不在MAC地址表的帧进行限制。

播送和多播

选择该项表示对进入该端口的播送帧和多播帧进行限制。

播送

选择该项表示对进入该端口的播送帧进行限制。

所有帧

选择该项表示对进入该端口的所有帧进行限制。

其中flood、播送以及播送和多播的限制方式就是传统意义上的播送风暴抑制，路由器的交换机局部可以对三种常见的播送帧〔播送包、组播包、未学习到地址的单播包〕进行过滤。

播送风暴是指网络上的播送帧数量急剧增加而影响正常的网络通讯的反常现象。播送风暴的判断标准为一个端口是否在短时间内连续收到许多个播送帧，播送风暴会严重降低网络性能。端口流量限制允许交换机局部对网络上出现的播送帧进行过滤。当交换机检测到播送帧数目超出一定的范围时，会自动丢弃播送帧，以防止播送风暴的发生。

当设置为所有帧的限制方式时，交换机局部将对所有的数据帧都进行限制，对于入口的数据包采用过滤处理，假设当前流量超出入口限制流量时，超出的局部将被丢弃；对于出口的数据，仅限制流量〔根据端口流量控制的开启情况决定是否丢弃超出限制速率外的帧〕，这时起到端口下行带宽限制的作用。2．基于MAC地址基于OSI七层模型第二层—数据链路层中的MAC子层划分VLAN，是用节点的MAC地址来定义虚拟局域网，网络中每一个端设备在出厂时都有一个固定的MAC地址，为占6字节的十六进制数，例如00-10-4B-0C-AC-29。在Windows98中可用winipcfg命令获取网卡的IP地址，在Windows2000中那么需使用ipconfig/all命令。这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。2．基于MAC地址由于MAC地址是与硬件相关的地址，所以用MAC地址定义的虚拟局域网允许节点移动它的物理网段。由于它的MAC地址不变，所以该节点将自动保持原来的虚拟局域网成员的地位。从这个角度来说，基于MAC地址定义的虚拟局域网可以看作是基于用户的虚拟局域网。用MAC地址定义虚拟局域网的优点是：网络工作站上的网卡是全世界惟一和固定不变的，可以作为平安检查的身份标识。对于有特殊平安需求的网络可以考虑用MAC地址定义虚拟局域网。3．基于IP地址

更加高级的基于第三层的VLAN划分是基于IP地址的划分，当然它主要应用在TCP/IP网络中，支持这种划分方法的交换机需要读懂第三层信息，即读懂数据包中的IP地址，但是交换机不进行路由，只是判断数据包的目的地址，送到交换机相应的端口。在IP网络中，通过IP地址及子网掩码可以决定一台计算机所属的逻辑网段，但在二层交换网络中，播送数据并未被控制在逻辑网段内，整个物理网段的计算机都会接收到播送数据包，只不过接收方会简单地丢弃不属于自己的数据包。基于IP地址划分VLAN，可以将播送域控制在一定的逻辑网段内。3．基于IP地址

基于IP地址划分VLAN的优点是：用户物理位置变化，端设备及网络设置无需更改。增加用户简单方便，用户端设备设置正确的IP地址子网掩码就自动参加相应VLAN。管理员通过设定子网网段地址及正确的子网掩码，并将这种策略加载到网络中的各个交换机上，网络就可以工作。(例:工程学院)4．基于网络协议

基于OSI的第三层网络层划分VLAN，如运行IP协议的用户划分成一个VLAN，运行IPX协议的用户分成另一个VLAN。支持这种划分策略的交换机必须能读懂数据包的第三层信息，分清数据包的协议类型。在某种情况下这种划分策略的交换还是很有用的。如在一个大型网络中，由于历史的原因，有许多网络的协议存在，例如将IPX协议用户划分在VLAN中，可以将IPX产生的SAP〔ServiceAdvertisementProtocol〕播送控制在一定的范围。提高网络通信的性能。在实际应用中，这种划分方法一般与基于MAC地址、基于IP地址划分策略等其他方法混合使用，使得网络管理更为灵活。它允许按照协议类型来组成虚拟局域网，用户可以随意移开工作站而无需重新配置网络地址。9．2虚拟专用网络〔VPN〕虚拟专用网络〔VirtualPrivateNetwork，VPN〕是近年来热门的技术，属于广域网的技术范畴。虚拟专用网络分为两种：一种是指帧中继或ATM等提供的虚拟固定线路〔PVC〕效劳网络，另一种是利用Internet构建的虚拟专用网络。本节只探讨基于Internet的虚拟专用网络。9．2．1VPN工作原理VPN系统可由分布在不同地方的多个专用网络〔主要是企业内部网〕构成，这些专用网络之间可以利用公共网络进行平安通信，在公共网络上传输的信息通过复杂的算法加密，保证VPN用户的数据平安传输。9．2．2VPN协议VPN使用的协议主要有五种：即点到点隧道协议〔Point-to-PointTunnelingProtocol，PPTP〕第二层隧道协议〔Layer2TunnelingProtocol，L2TP〕IP平安协议〔IPsecurity，IPSec〕、SOCKS接口SSL〔SecureSocketLayer〕技术。1．PPTP协议PPTP〔PointToPointTunnelingProtocol〕是微软公司提出来的。在推出之初目的是为了拨号VPN，这种协议通过使用户拨号进入本地ISP并利用隧道技术接入企业网络。PPTP支持WindowsNT、95/98，在Windows平台上运行PPTP可以无缝地构建和维护VPN。PPTP是数据链路层的协议，是PPP协议的扩展，其用IP包来封装PPP协议，用简单的包过滤和或网络控制来实现访问控制。目前，PPTP协议已根本被淘汰，不再使用在VPN产品中。2．L2TP协议第二层隧道协议L2TP〔Layer2TunnelingProtocol〕是由微软的PPTP和Cisco公司的L2F〔Layer2Forwording〕协议组合而成的，支持多路隧道。基于Layer2的VPN封装了IP协议和IPX、NetBEUI、AppleTalk等非IP协议。还支持流量控制，它通过减少丢弃包来改善网络性能，这样可减少数据包重传。L2TP不提供任何加密措施，更多的是和IPsec协议配合使用，提供隧道验证。PPTP和L2TP同时最多只能连接255个用户。3．IPSec协议IPSec协议是用来增强VPN平安性的标准协议，工作在OSI模型的第三层。IPSec包含了用户身份认证、查验和数据完整性等内容。IPsec可以确保运行在TCP/IP协议上的VPN之间的互操作性。标准化的IPSec能实现来自不同厂商的产品相互混合及相互匹配。不过，在为远程用户构建VPN时，IPSec需要在使用者的每个桌面系统上加载特殊的客户软件，相对来说，比较繁琐。IPsec协议需要范围的IP地址或固定的IP地址，因此在动态分配地址时不太适合于IPsec。除了TCP/IP协议外，IPsec不支持其他的协议。目前的VPN大都是将L2TP和IPsec结合起来，用L2TP作为隧道协议，用IPsec协议保护数据的技术。4．SSL协议基于SSL〔平安套接字层〕的VPN通常是在防火墙后面放置一个SSL代理效劳器，如果用户希望平安地连接到公司的网络，那么当用户在浏览器上输入一个URL后，连接将被SSL代理效劳器取得，然后SSL代理效劳器将提供一个远程用户与各种不同的应用效劳器之间连接。这种方式优于传统的IPsecVPN方式的特点是不需要安装任何客户端软件，客户端只需要一个支持SSL的浏览器就行了。SSLVPN主要局限是用户只能访问基于Web效劳器的应用，而IPsecVPN却几乎可以为所有的应用提供访问。4．SSL协议SSL是Netscape公司设计的一种用来在Internet上传输个人信息的通信协议，InternetExplorer也支持SSL。IETF〔〕将SSL作了标准化，即RFC2246，并将其称为TLS〔TransportLayerSecurity〕。WAP论坛〔〕在TLS的根底上做了简化，提出了WTLS协议〔WirelessTransportLayerSecurity〕，以适应无线网络的特殊环境。当在浏览器里设置了s的代理，而且在浏览器里输入了之后，浏览器会与proxy建立TCP链接，然后向其发出这么一段消息：CONNECTserver.example:443HTTP/1.14．SSL协议Host:server.example:443然后proxy会向webserver端建立TCP连接之后，这个代理便完全成了一个内容转发装置。浏览器与webserver会建立一个平安通道，因此这个平安通道是端到端的，尽管所有的信息流过了proxy，但其内容proxy是无法解密和改动的。SSL连接可以看成在TCP/IP连接的根底上建立一个平安通道，在这一通道中，所有点对点的信息都将加密，从而确保信息在Internet上传输时，不会被第三方窃取。SSL协议可以分为两个子协议：SSL记录协议〔RecordProtocol〕和SSL握手协议〔HandshakeProtocol〕。其中HandshakeProtocol用来协商密钥，协议的大局部内容就是通信双方如何利用它来平安地协商出一份密钥。RecordProtocol那么定义了传输的格式。它们在网络体系中分别位于如下层次：图9-4SSL协议ApplicationLayer应用层HandshakeProtocol会话层SSLRecordLayer传输层TCPLayerSSL提供了两台机器间的平安连接。支付系统经常通过在SSL连接上传输信用卡卡号的方式来构建，在线银行和其他金融系统也常常构建在SSL之上。虽然基于SSL的信用卡支付方式促进了电子商务的开展，但如果想要电子商务得以成功地广泛开展的话，必须采用更先进的支付系统。SSL被广泛应用的原因在于它被大局部Web浏览器和Web效劳器所内置，比较容易被应用。

5．SOCKSv5协议SOCKS是相对于OSI模型的会话层的网络连接代理协议，SOCKS能对连接请求进行鉴别和授权。并建立代理连接和传送数据。SOCKS有v4和v5两个版本，SOCKSv5比SOCKSv4增加了处理UDP数据报能力。SOCKSv5的优点在于它是在OSI模型的会话层控制数据流，它定义了非常详细的访问控制。SOCKSv5和SSL工作在会话层，能够与低层协议IPv4、IPsec、PPTP、L2TP一起使用；用SOCKSv5的代理效劳器可隐藏网络地址结构；能为认证、加密和密钥管理提供“插件〞模块，让用户自由地采用所需要的技术。SOCKSv5可根据规那么过滤数据流，包括JavaApplet和Actives控制。当SOCKSv5同SSL协议配合使用时，可作为建立高度平安的VPN的根底。SOCKS已被IFTF建议作为建立VPN的标准。9．2．3VPN的业务

共有三种连接方式

1．AccessVPN2．IntranetVPN3．ExtranetVPN1．AccessVPNAccessVPN〔接入VPN〕，又叫做拨号VPN，即VPDN，接入方法可以是用调制解调器、ISDN或者xDSL。是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网，即客户端到网关。远端用户不是通过长途线路，而是通过本地ISP，采用VPN技术在公众网上建立一个虚拟的通道。商家需提供B2C〔企业对用户〕的平安访问效劳。2．IntranetVPN所谓IntranetVPN〔内部VPN〕适用于企业的总部与分支机构间通过Internet构筑的世界范围的虚拟网，即网关到网关。利用Internet的线路保证网络的互联性。而利用隧道，加密等VPN技术，可以保证信息在整个IntranetVPN上平安传输。IPsec隧道协议可满足所有网关到网关的VPN的连接。3．ExtranetVPNExtranetVPN〔外部VPN〕与IntranetVPN没有本质的差异，它是将客户、供给商、合作伙伴或兴趣群体连接到企业内部网，使不同企业网通过公网来构筑的虚拟网。但由于是不同公司的网络相互通信，所以要更多地考虑设备的互联、地址的协调、平安策略的协商等。它也属于网关到网关的连接，选择IPsec协议是明智之举。IntranetVPN和ExtranetVPN统称为专线VPN或场地到场地的VPN。9．2．4构建VPN1．按运营方式划分

Core-basedVPN： Core-basedVPN是运营商在电信公网上为企业建立的专用隧道效劳。其优点是企业不需购置和维护VPN设备，方便了管理，但目前存在许多无法越过的障碍：由于涉及加密算法不统一，造成不同运营商的VPN不能互通互联，MPLSVPN虽然避开了加密算法的约束，但目前处于应用初级阶段，网络没覆盖到全国；另一个致命弱点是VPN管理在运营商处，公司的核心将被外人管理。每月还需缴纳一定的维护费。因此Core-basedVPN只适合于数据保密性要求不高，需求不固定的中小企业。CPE-basedVPN：CPE-basedVPN是企业通过自购VPN设备，在公网上建立的平安专用通道。企业自建VPN在技术上与Core-basedVPN完全一致，但是核心数据完全掌握在企业手中。同时它实现端到端的加密通信，并可根据公司的策略随时进行调整，具有灵活性。2．按应用方式划分

虚拟专用网络在应用上可分为Point-to-LAN〔单机对局域网〕与LAN-to-LAN〔局域网对局域网〕两种：在Point-to-LAN的配置中，虚拟专用网络的一端为局域网，通过具有虚拟专用网络功能的路由器，专用连线上Internet；虚拟专用网络的另一端为个人计算机，通过拨号的方式连上Internet。在LAN-to-LAN〔或称为Router-to-Router〕的配置中，虚拟专用网络的两端都为局域网，通过具有虚拟专用网络功能的路由器，以专线连上Internet。3．实施步骤企业构建VPN在具体实施时，可按照几大步骤进行：〔1〕明确远程访问要求。企业首先要明确需要与何种公网连接，用户是通过局域网、广域网还是拨号链路进入企业专用网络，远程用户是否为同一机构的成员等问题。此外，企业决策者还应解决VPN特有的几个问题，即远程访问的资格、可执行的计算能力、外联网连接的责任以及VPN资源的监管、为出差旅行的员工及远程工作站的员工提供访问步骤等。3．实施步骤〔2〕选择VPN设备。可选择的VPN产品很多，有路由器、主机网关、拨号接入设备、隧道加密机、隧道交换机、防火墙VPN等。但产品根本上可分成三大类，即基于硬件的VPN、基于软件的VPN和基于防火墙VPN。〔3〕选择VPN效劳器位置及配置网络设备。构建VPN系统可以利用企业原有的资源〔局域网〕，构造VPN首先要确定VPN效劳器的位置，其次，要配置网络地址转换器等其他网络设备。3．实施步骤〔4〕安装和配置VPN。不同的VPN产品安装的方法不同，要注意的是基于软件的VPN和基于防火墙的VPN产品在安装前，首先要从效劳器中取消所有不必要的效劳、应用程序和用户账户，确保安装最新的、平安的产品，确保VPN系统的平安。在对VPN进行配置时，通常网管员要为一系列因素设定参数，例如密钥长度、主要与次要认证效劳器及相关的共享秘密资源、连接和超时设置、证书生成、密钥生成和分布机制等。〔5〕监控和管理VPN。这一步是要建立监控Internet连接的机制，它可以测定VPN对网络的利用和吞吐量，而且也是培训效劳台员工操作VPN设备及认识认证效劳器和防火墙相互间的影响的重要一步。９．３MPLSVPNMPLSVPN是一种基于IP网络的宽带VPN技术。MPLSVPN效劳比较适合于一些点数较多的连接，对于传统的低带宽应用，用户只有2～3个点或者是点到点的连接，DDN和帧中继VPN还是有自己的优越性。MPLSVPN技术已被国内一些大型企事业、行政机关所采用。9．3．1MPLSVPN解决方案1．CPEBasedVPN由用户端激起并终结，对运营商完全透明。不能为运营商提供太多的盈利时机。它的缺点是扩展性较差，因为它是通过数据包封装方式建立隧道，如果同时加密隧道，速度会更慢。CPEBaseVPN要求企业拥有维护设备的技术能力，这类维护工作对中小型企业相当昂贵。不过非常适合于技术力量雄厚、需要高度保密的单位。2．PPVPN由运营商激发的VPN解决方案称为ProviderProvisionVPN〔PPVPN〕，一般业界指的是MPLSVPN。3．MPLSVPN的典型应用依然是内部VPN〔IntranetVPN〕、外部VPN〔ExtranetVPN〕和接入VPN〔AccessVPN〕。9．3．2MPLSVPN的特点1．高平安性MPLS的标签交换路径〔LSP〕具有与FR和ATMVCC相似的平安性。另外，像网通的MPLSVPN，还集成了IPSec加密，同时也实现了对用户透明，用户可以采用防火墙，数据加密等方法，进一步提高平安性。2．强大的扩展性第一，网络中可以容纳的VPN数目很大；第二，同一VPN中的用户很容易扩充。3．业务的融合功能MPLSVPN可提供数据、语音和视频三网融合的能力。4．灵活的控制策略可以制订特殊的控制策略，满足不同用户的特殊要求，实现增值效劳。5．强大的管理功能采用集中管理的方式，业务配置与调度统一平台，减轻了用户的负担。6．效劳级别协议〔SLA〕目前利用差异效劳，流量整形和效劳级别来保证一定的流量性能，将来可以提供带宽保证以及更高的效劳质量保证。7．帮用户节省费用主要包括：线路费——价格比租用专线节约；设备费——用户只须配备CE设备，不需要专门的VPN网关；融合业务——通过融合语音数据业务来节约费用；管理费用——用户不必进行专门管理维护；人员费用——不必雇用大量的专业技术人员。8．MPLSVPN主要参数MPLSVPN与传统的ATM/帧中继VPN不同。例如，ATM只提供BurstRate、CommitRate等效劳，而基于MPLSVPN的SLA〔效劳级别协定〕更复杂，SLA必须包括时延、丢包率、QoS等内容。主要的MPLSVPN效劳的测试参数包括：连接性〔可用性〕：业务处于正常状态的时间占总时间的比例；激活期间：一天中进行SLA监视的时间；延迟〔抖动〕：VPN内各种业务的环回时间〔抖动〕，可以设置相应的门限值；吞吐量：用户发送到网络中的业务量；其他性能参数：包括分组丧失率等。9．3．3L2/L3MPLSVPNMPLSVPN分为二层MPLSVPN与三层MPLSVPN。二层MPLSVPN是指IETFDraftKompella或IETFDraftMartini;而三层MPLSVPN基于IETFRFC2547bis标准。RFC4364:BGP/MPLSIPVirtualPrivateNetworks(VPNs)

Obsoletes:2547.February2006

MPLS(MultiprotocolLabelSwitching)isusedforforwardingpacketsoverthebackbone,andBGP(BorderGatewayProtocol)isusedfordistributingroutesoverthebackbone.1．基于第三层的MPLSVPN由于开展的时间较长，三层MPLSVPN协议本身相对完善一些。但是，三层MPLSVPN由于实现机制的问题，其网络的运营管理和维护，以及运营商边界路由器需要存储大量的客户路由信息引发的网络扩展性问题，要求必须对其实施进行很好地规划。对于三层MPLSVPN来说，由于路由协议和信令协议的限制，目前只支持纯IP的业务。现在很多的组织已经或者正在准备开始使用IPv6，将来也会有很多的企业向IPv6迁移。对于运营商来说，如何为这局部企业用户提供VPN的连接业务是现实面临的问题。对于三层MPLSVPN来说，需要对目前IPv4的路由技术和对目前M-BGP的功能进行增强，生成一个新的VPNIPv6的AddressFamily。其间，还会涉及到对运营商边界路由器软件或者硬件上的升级。2．基于第二层的MPLSVPN二层MPLSVPN的解决方案由于采用二层的透传技术，对于客户侧的很多三层协议是透明的，这些协议包括：IPv4、IPv6、IPX、DECnet、OSI、SNA等。与三层MPLSVPN的解决方案比较，二层MPLSVPN可以提供更好的网络扩展性，更适合在大型的VPN网络中使用，特别是在多级运营商或者运营商的多级网络环境中〔CarrierSupportCarrier〕。二层MPLSVPN的特性，也使其可以很容易地实现目前困扰三层MPLSVPN的很多技术，比方说网络的组播。可以说，二层MPLSVPN的出现，是MPLSVPN技术的一个新亮点，随着其协议的成熟和标准确实定，二层MPLSVPN将成为MPLSVPN的主流技术。二层MPLSVPN技术可以实现帧中继、ATM、以太网、以太网VLAN、HDLC、PPP、SONET/SDH链路仿真效劳以及多种二层链路技术的互通，运营商和客户之间的责任明确，运营模式清晰，是迈向IP/MPLS全业务网的关键一步，它可以实现真正意义上的多网合一。相对于L3来说，L2对于用户业务类型的要求限制要少一些。不过，就目前来说，二层MPLSVPN面临的最大问题就是协议不成熟，没有标准化。目前设备厂家间解决方案种类繁多，大多数的设备只实现了协议定义的根本功能，还不具备全业务支持的能力，各种解决方案之间也无法实现互通。二层MPLSVPN协议本身的不完善也是制约其应用的一个重要因素，目前大多数的二层MPLSVPN的配置过程都需要进行大量的手工配置，不适合组建大规模的网络。另外，除了以BGP作为信令协议的解决方案以外，二层MPLSVPN的跨域问题还没有能够完全地解决。可以说，二层MPLSVPN业务的成熟还需要运营商积累一定的运营经验，其业务本身也有一个市场和客户认可的过程。总之，基于MPLS的L2和L3解决方案各有其优缺点。对于运营商来说，到底采用何种方式在网络中实施MPLSVPN，需要考虑L2和L3方案各自的优缺点，结合网络的现状、方案实施的本钱，以及对当前和将来业务的综合分析、预测来作出决定。MPLSL3VPN与MPLSL2VPN的比较见表9-2。9．3．4三种VPN技术比较由ISP提供的组网比较：1．组网方式DDN对于每一个需要与总部或与分部进行数据传送的机构，都需要租用一条DDN连接双方。各分部之间仍没有直接的DDN线路连接，所有分部之间的数据传送都必须经过总部。因此，这种组