設(shè)備驗(yàn)證采用了預(yù)共享密鑰或數(shù)字證書，以提供設(shè)備身份，預(yù)共享密鑰有三種：通配符、分組和獨(dú)立。獨(dú)立預(yù)共享密鑰與某一IP地址有關(guān)，分組預(yù)共享密鑰與一組名稱有關(guān)，僅適用于當(dāng)今的遠(yuǎn)程接入。通配符共享密鑰不可應(yīng)用于站點(diǎn)到站點(diǎn)設(shè)備驗(yàn)證。數(shù)字證書與獨(dú)立預(yù)共享密鑰相比，可更理想地?cái)U(kuò)展，因?yàn)樗试S一臺(tái)設(shè)備驗(yàn)證其他設(shè)備，但不具備通配符密鑰的安全特性。數(shù)字證書與IP地址無關(guān)，而是與企業(yè)CA認(rèn)證的設(shè)備上獨(dú)特的標(biāo)志信息有關(guān)。

IPSec

IPSec提供了多種安全特性，對(duì)于管理員如何確定其工作方式提供了可配置選擇：數(shù)據(jù)加密、設(shè)備驗(yàn)證，以及保密、數(shù)據(jù)完整性、地址隱藏和安全機(jī)構(gòu)（SA） 密鑰老化等功能。IPSec標(biāo)準(zhǔn)要求使用數(shù)據(jù)完整性或數(shù)據(jù)加密兩種功能之一，具體使用哪個(gè)可任選。思科公司強(qiáng)烈建議加密和完整性二者都使用。而改變以上那些數(shù)值會(huì)提高安全水平，但與此同時(shí)， 也增加了處理器開支。

IP編址

正確的IP編址對(duì)于用作大型IP網(wǎng)絡(luò)的VPN的成功有著重要意義。為保持可擴(kuò)展性、性能和可管理性，強(qiáng)烈建議遠(yuǎn)程站點(diǎn)使用主網(wǎng)的子網(wǎng)，以便進(jìn)行歸納。增加 ACL輸入會(huì)降低性能，使故障查尋復(fù)雜化并影響可擴(kuò)展性，適當(dāng)?shù)淖泳W(wǎng)化還可支持簡(jiǎn)化的路由器頭端配置，以實(shí)現(xiàn)分支到分支相互交流，要對(duì)所有設(shè)備的信息流進(jìn)行歸類，所需的隧道也較少。IP編址還可影響VPN的多個(gè)方面，包括重疊網(wǎng)絡(luò)的遠(yuǎn)程管理連接。

多協(xié)議隧道

IPSec作為一種標(biāo)準(zhǔn)，只支持單點(diǎn)廣播流量。對(duì)于多協(xié)議或IP多點(diǎn)廣播隧道，必須使用另一種隧道協(xié)議。

網(wǎng)絡(luò)地址轉(zhuǎn)換

NAT可發(fā)生于IPSec之前或之后。了解NAT何時(shí)發(fā)生是十分重要的，因?yàn)樵谀承┣闆r下，由于隧道構(gòu)建受阻或信息流穿過隧道，NAT都可能對(duì)IPSec構(gòu)成影響。除非提供接入是必須的，否則將NAT應(yīng)用于VPN流量將不失為上策。

單一目的和多目的設(shè)備

在網(wǎng)絡(luò)設(shè)計(jì)過程中，您需要選擇是在聯(lián)網(wǎng)或安全設(shè)備中采用集成功能，還是采用VPN設(shè)備的特殊功能。集成功能通常是很吸引人的，因?yàn)槟梢栽诂F(xiàn)行設(shè)備上實(shí)施，且該設(shè)備經(jīng)濟(jì)有效，其特性可與其他設(shè)備互操作，從而提供功能更理想的解決方案。指定的VPN設(shè)備通常在對(duì)功能的要求很高或性能要求使用特殊硬件時(shí)，才會(huì)使用。當(dāng)決定了采取何種選項(xiàng)，可根據(jù)設(shè)備的容量和功能對(duì)決策進(jìn)行權(quán)衡，并與集成設(shè)備的功能優(yōu)勢(shì)相對(duì)照。在整個(gè)體系結(jié)構(gòu)中，兩類系統(tǒng)都有所使用。由于 IPSec是一種要求嚴(yán)格的功能，隨著設(shè)計(jì)規(guī)模的提高，選擇VPN設(shè)備取代集成型路由器或防火墻的可行性也日趨增大。注意，對(duì)VPN設(shè)備這一概念的了解不是件容易的事情。當(dāng)今的許多VPN設(shè)備可提供理想的性能和VPN管理選項(xiàng)，與此同時(shí)，也提供有限的路由選擇、防火墻或CoS功能，而它們可能與集成設(shè)備有關(guān)。如果所有這些高級(jí)功能都得以實(shí)現(xiàn)，從性能和部署選項(xiàng)的角度來看，這種設(shè)備也開始越來越像集成型設(shè)備。同樣，除了路由選擇和安全特性的全面實(shí)施以外，可支持全部VPN功能的VPN路由器，可在VPN單獨(dú)環(huán)境中進(jìn)行配置，其特征更象一種應(yīng)用。

入侵檢測(cè)、網(wǎng)絡(luò)訪問控制、信任和VPN

IPSec VPN在部署時(shí)，周圍通常環(huán)繞著多層訪問控制和入侵檢測(cè)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS）是一項(xiàng)用于減少與擴(kuò)展安全范圍有關(guān)風(fēng)險(xiǎn)的技術(shù)。在VPN設(shè)計(jì)中， NIDS完成了兩項(xiàng)基本功能。首先，NIDS可用于分析源自或送至VPN設(shè)備的信息流。其次，NIDS可用于加密后，確認(rèn)僅僅是加密信息流被發(fā)送并由 VPN設(shè)備接收。

除NIDS以外，通常使用防火墻的訪問控制應(yīng)該在VPN設(shè)備前后設(shè)置。當(dāng)今的部署都將防火墻安置在VPN設(shè)備的前面。當(dāng)安置在前面時(shí)，對(duì)用戶信息流的種類不具備可視性，因?yàn)樾畔⒘饕廊皇羌用艿摹７阑饓υ赩PN設(shè)備前所能提供的大多數(shù)優(yōu)勢(shì)此時(shí)已喪失殆盡。

分離隧道

當(dāng)遠(yuǎn)程VPN用戶或站點(diǎn)被允許接入公共網(wǎng)（互聯(lián)網(wǎng)），與此同時(shí)，他未先將公共網(wǎng)絡(luò)信息流安置在隧道內(nèi)，就接入了專用VPN網(wǎng)絡(luò)，此時(shí)就出現(xiàn)了分離隧道。事實(shí)上，不實(shí)施分離隧道會(huì)給VPN頭端造成巨大負(fù)載，因?yàn)樗谢ヂ?lián)網(wǎng)相關(guān)信息流都需要流經(jīng)頭端設(shè)備的WAN帶寬。

在SAFE　VPN中，遠(yuǎn)程站點(diǎn)除了特殊情況外，都假設(shè)實(shí)施了分離隧道。如果不支持分離隧道，而設(shè)計(jì)不會(huì)改變，那么由于頭端的流量負(fù)載加大，性能和擴(kuò)展性就會(huì)產(chǎn)生少許變化。

部分網(wǎng)狀、全部網(wǎng)狀、分布式和星型網(wǎng)絡(luò)

在任一網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上鋪設(shè)VPN時(shí)，許多因素都會(huì)影響網(wǎng)絡(luò)的可擴(kuò)展性和性能。全部網(wǎng)狀網(wǎng)絡(luò)會(huì)迅速地陷入可擴(kuò)展性的困境之中，因?yàn)榫W(wǎng)絡(luò)中的每臺(tái)設(shè)備都必須通過一個(gè)獨(dú)特的IPSec隧道與網(wǎng)絡(luò)中的其他設(shè)備交流。這就是n（n-1）/2隧道模式，在某些情況下擴(kuò)大網(wǎng)絡(luò)的規(guī)模已經(jīng)變得不現(xiàn)實(shí)。許多隧道也都存在性能問題。部分網(wǎng)狀網(wǎng)絡(luò)與全部網(wǎng)狀網(wǎng)絡(luò)相比，有較大的可擴(kuò)展空間。與全部網(wǎng)狀網(wǎng)絡(luò)中的設(shè)備相同的是，在這種拓?fù)浣Y(jié)構(gòu)中的限制因素是，在CPU合理應(yīng)用的前提下，設(shè)備可支持的隧道數(shù)量。這兩種網(wǎng)絡(luò)都可運(yùn)用一種動(dòng)態(tài)隧道端點(diǎn)搜索機(jī)制，以簡(jiǎn)化配置和提高可擴(kuò)展性。中心輻射型網(wǎng)絡(luò)可以更理想地?cái)U(kuò)展，但是，所有流量都渡過集線器站點(diǎn)，而且這種設(shè)備要求大量的帶寬。

互操作性與混合和同種設(shè)備部署

雖然IPSec是一種已證實(shí)的標(biāo)準(zhǔn)，但RFC依然為它的解釋留下了充足的空間。另外，互聯(lián)網(wǎng)草案，如IKE模式配置和供應(yīng)商專用特性，提高了互操作問題出現(xiàn)的可能性。因?yàn)檫@些緣故，您應(yīng)該對(duì)供應(yīng)商產(chǎn)品的互操作信息及其在互操作性評(píng)比中的表現(xiàn)情況進(jìn)行綜合評(píng)價(jià)。此外，為確保單一供應(yīng)商產(chǎn)品間的互操作性，最好在所有平臺(tái)上使用同一代碼庫(kù)。

網(wǎng)絡(luò)運(yùn)營(yíng)

在中央IT模式運(yùn)營(yíng)中，需要通過中央站點(diǎn)VPN對(duì)遠(yuǎn)程站點(diǎn)進(jìn)行管理。VPN設(shè)備可支持多種配置選項(xiàng)，以確定隧道端點(diǎn)，視所采用的方式而定，這些選項(xiàng)可能會(huì)對(duì)網(wǎng)絡(luò)的管理性能產(chǎn)生影響。要高效地管理遠(yuǎn)程設(shè)備，您必須在您的管理應(yīng)用所在的站點(diǎn)使用靜態(tài)加密映像。您不可以在頭端和動(dòng)態(tài)加密映像。動(dòng)態(tài)加密映像只接受進(jìn)入的IKE請(qǐng)求，但無法初始化它們，因此，要始終保證在遠(yuǎn)程設(shè)備和頭端站點(diǎn)間存在一條隧道。靜態(tài)加密映像配置包括遠(yuǎn)程對(duì)等設(shè)備的靜態(tài)IP地址，因此，遠(yuǎn)程站點(diǎn)必須使用靜態(tài)IP地址來支持遠(yuǎn)程管理。

壓縮

第二層壓縮未提供VPN信息流鏈路帶寬削減功能。第三層壓縮，發(fā)生于加密之前，的確可使數(shù)據(jù)量降低。考慮到第三層壓縮在當(dāng)今的大多數(shù)硬件加速器中都不支持，因而當(dāng)使用時(shí)，對(duì)CPU要求非常嚴(yán)格。

遠(yuǎn)程接入用戶要求

當(dāng)用戶不在辦公室和不在控制區(qū)時(shí)，思科公司建議您對(duì)他們到內(nèi)部網(wǎng)和互聯(lián)網(wǎng)的連接進(jìn)行控制。如果您選擇分離隧道要確保安裝、更新和運(yùn)行個(gè)人防火墻，以及在遠(yuǎn)程接入客戶機(jī)上擁有一個(gè)有效的安全策略。思科公司建議您在未實(shí)施防火墻的情況下，不要在客戶機(jī)上實(shí)施分離隧道。

高可用性

目前，有兩種機(jī)制可用于確定遠(yuǎn)程對(duì)等設(shè)備的可用性和隧道建立狀態(tài)：路由選擇和IKE保持激活信息。路由器可支持兩種機(jī)制，而防火墻、集中器和遠(yuǎn)程接入客戶機(jī)則支持IKE保持激活信息。