问答题
阅读以下说明,根据要求回答问题。
[说明]
某省级重点中学欲构建一个局域网,考虑到该中学的很多现代化教学业务依托于网络,要求中学内部用户能够高速访问相关的5台内部高性能服务器,并且要求通过网络的冗余性设计来获得较高的各类业务服务的可用性。
某系统集成公司根据该中学的相关需求,将网络拓扑结构设计为双核心来进行负载均衡和容错。该公司给出的网络拓扑如图7-10所示。
[说明]
某省级重点中学欲构建一个局域网,考虑到该中学的很多现代化教学业务依托于网络,要求中学内部用户能够高速访问相关的5台内部高性能服务器,并且要求通过网络的冗余性设计来获得较高的各类业务服务的可用性。
某系统集成公司根据该中学的相关需求,将网络拓扑结构设计为双核心来进行负载均衡和容错。该公司给出的网络拓扑如图7-10所示。
问答题
根据用户需求和设计要求,请指出图7-10中至少5个不合理之处。
【正确答案】①核心交换机2直接上连至边界路由器,其通信数据无法得到防火墙的安全防护;
②两台核心交换机之间没有进行双高速链路相互连接;
③汇聚交换机3缺少了一条与核心交换机1连接的高速通信链路;
④内部服务器区不能连接在接入交换机4上,应该直接连接到两台核心交换机,保证高速访问;
⑤有一个桌面用户同时连接至接入交换机2和接入交换机3;
⑥双网卡用户同时通过该校园网和ADSL宽带接入方式访问Internet,形成了接入层的“后门”现象。
②两台核心交换机之间没有进行双高速链路相互连接;
③汇聚交换机3缺少了一条与核心交换机1连接的高速通信链路;
④内部服务器区不能连接在接入交换机4上,应该直接连接到两台核心交换机,保证高速访问;
⑤有一个桌面用户同时连接至接入交换机2和接入交换机3;
⑥双网卡用户同时通过该校园网和ADSL宽带接入方式访问Internet,形成了接入层的“后门”现象。
【答案解析】依题意,图7-10所示的网络设备连接结构图中,存在以下几点不合理之处及相应的改进方案。
(1)图7-10中核心交换机2错误地直接上连至边界路由器,核心交换机2的相关通信数据无法得到防火墙的相关安全防护。改进方案:将核心交换机2上连至防火墙,如图7-20中虚线所示。
(2)图7-10中两台核心交换机之间没有相互连接。改进方案:将两台核心交换机之间进行双千兆(或万兆)链路连接,并通过应用链路聚合技术(如LCAP等),提高主干道的吞吐量,并实现负载分担,以提高核心层的高速数据转发,如图7-20所示。
(3)该中学5台内部高性能服务器连接在接入交换机4上,增大了服务延迟时间,无法实现题意中“中学内部用户能够高速的访问”的性能要求。改进方案①:去掉接入交换机,将汇聚交换机3更换成较高性能的汇聚交换机,新汇聚交换机与核心交换机之间实现双千兆链路冗余连接,然后将5台服务器连接在新汇聚交换机上,如图7-20所示。改进方案②:若两台核心交换机分别有5个可供使用的高速以太端口,则在5台内部服务器上分别安装(或替换)两块高速以太网卡,两块网卡分别连接到两台核心交换机的高速以太端口,以保证服务器的高速访问,如图7-21所示。
(1)图7-10中核心交换机2错误地直接上连至边界路由器,核心交换机2的相关通信数据无法得到防火墙的相关安全防护。改进方案:将核心交换机2上连至防火墙,如图7-20中虚线所示。
(2)图7-10中两台核心交换机之间没有相互连接。改进方案:将两台核心交换机之间进行双千兆(或万兆)链路连接,并通过应用链路聚合技术(如LCAP等),提高主干道的吞吐量,并实现负载分担,以提高核心层的高速数据转发,如图7-20所示。
(3)该中学5台内部高性能服务器连接在接入交换机4上,增大了服务延迟时间,无法实现题意中“中学内部用户能够高速的访问”的性能要求。改进方案①:去掉接入交换机,将汇聚交换机3更换成较高性能的汇聚交换机,新汇聚交换机与核心交换机之间实现双千兆链路冗余连接,然后将5台服务器连接在新汇聚交换机上,如图7-20所示。改进方案②:若两台核心交换机分别有5个可供使用的高速以太端口,则在5台内部服务器上分别安装(或替换)两块高速以太网卡,两块网卡分别连接到两台核心交换机的高速以太端口,以保证服务器的高速访问,如图7-21所示。
问答题
(1)假设平均每天经常浏览网页的用户数为300个,每用户每分钟平均产生12个事务处理任务,事务量大小为0.05MB,则该校园网浏览网页需要的信息传输速率约为 (1) Mbps。
(2)假设该校园网共有20间多媒体教室,平均每间多媒体教室有4个摄像机,每台摄像机采用CIF格式(分辨率为352×288)实时采集视频流,码流为512Kbps,则该校园网多媒体教室视频监控的应用业务流量约为 (2) Mbps。
(2)假设该校园网共有20间多媒体教室,平均每间多媒体教室有4个摄像机,每台摄像机采用CIF格式(分辨率为352×288)实时采集视频流,码流为512Kbps,则该校园网多媒体教室视频监控的应用业务流量约为 (2) Mbps。
【正确答案】(1)25.17或24 (2)40.96
【答案解析】某个应用业务的网络流量计算公式如下:
应用的数据传输速率=平均事务量大小×每字节位数×每个会话事务数×平均用户数/平均会话长度依题意,该校园网经常浏览网页的用户数为300个,每用户每分钟(60 s)平均产生12个事务处理任务,事务量大小为0.05MB(即0.05×1024×1024×8bit),则浏览网页需要的信息传输速率为25.17Mbps。具体计算过程如下:
0.05×1024×1024×8×12×300/(60)=25165824bps≈25.17Mbps
若考试不允许带计算器,则该校园网浏览网页应用的流量估算值也可按下式近似计算:300×12×0.05×8/60=24Mbps。
在实际网络工程规划与设计过程中,为了保证峰值情况下所设计的网络能够正常运行,在考虑峰值用户数等因素的情况下,应用的数据传输速率=平均事务量大小×每字节位数×每个会话事务数×峰值用户数/平均会话长度。
对于该校园网多媒体教室视频监控的应用业务,峰值用户数为20x4=80个,每个会话的事务数为1个。因此,该应用的流量约为512×1000×1×80bps=40960000bps=40.96Mbps。
应用的数据传输速率=平均事务量大小×每字节位数×每个会话事务数×平均用户数/平均会话长度依题意,该校园网经常浏览网页的用户数为300个,每用户每分钟(60 s)平均产生12个事务处理任务,事务量大小为0.05MB(即0.05×1024×1024×8bit),则浏览网页需要的信息传输速率为25.17Mbps。具体计算过程如下:
0.05×1024×1024×8×12×300/(60)=25165824bps≈25.17Mbps
若考试不允许带计算器,则该校园网浏览网页应用的流量估算值也可按下式近似计算:300×12×0.05×8/60=24Mbps。
在实际网络工程规划与设计过程中,为了保证峰值情况下所设计的网络能够正常运行,在考虑峰值用户数等因素的情况下,应用的数据传输速率=平均事务量大小×每字节位数×每个会话事务数×峰值用户数/平均会话长度。
对于该校园网多媒体教室视频监控的应用业务,峰值用户数为20x4=80个,每个会话的事务数为1个。因此,该应用的流量约为512×1000×1×80bps=40960000bps=40.96Mbps。
问答题
该校园网在进行IP地址部署时,给某幢教研综合楼分配了一个地址块10.2.3.0/24,该教研综合楼内的计算机数量分布如表7-4所示。要求各部门处于不同的网段,请将表7-5中的(3)~(8)处空缺的主机地址(或范围)和子网掩码填写完整。
| 表7-4 某教研综合楼计算机数量分布表 | ||||
| 部门 | 主机数量/台 | 部门 | 主机数量/台 | |
| 多媒体教室1 | 80 | 教研室A | 22 | |
| 多媒体教室2 | 50 | 教研室B | 180 | |
| 表7-5 各部门IP地址规划表 | ||
| 部门 | 可分配的地址范围 | 子网掩码 |
| 多媒体教室1 | 10.2.3.1~ (3) | (4) |
| 多媒体教室2 | (5) | (6) |
| 教研室A | (7) | 255.255.255.224 |
| 教研室B | 10.2.3.193~10.2.3.222 | (8) |
【正确答案】10.2.3.126 (4)255.255.255.128
(5)10.2.3.129~10.2.3.190 (6)255.255.255.192
(7)10.2.3.255~10.2.3.254 (8)255.255.255.224
(5)10.2.3.129~10.2.3.190 (6)255.255.255.192
(7)10.2.3.255~10.2.3.254 (8)255.255.255.224
【答案解析】该教研综合楼所分配到的地址块10.2.3.0/24中,“/24”表示子网掩码为24位掩码,即255.255.255.0。表74给出了该单位多媒体教室1的计算机数量为80台。由于26-2=62<80<27-2=126,其中,“-2”表示保留全0的IP地址(被保留标志子网本身)和全1的IP地址(被保留用做该子网的广播地址),因此对已给出的A类地址块10.2.3.0/24进行子网化时,对于“多媒体教室l”这个子网所用的主机地址位数至少需要7位,则A类地址块10.2.3.0的最后一个字节的最高位可用做子网号,用于标识“多媒体教室1”子网和其他子网。由此也可推知,多媒体教室1的新子网掩码为25位掩码,即(4)空缺处为255.255.255.128。
由于表7-5中已给出多媒体教室1子网可实际分配的IP地址范围中的起始IP地址(即10.2.3.1),将它与子网掩码255.255.255.0进行与(AND)运算,即可得到多媒体教室1子网的网段地址为10.2.3.0。由此可知,多媒体教室1的子网号为0。此多媒体教室1的子网号同时决定了多媒体教室2、教研室A和教研室B的IP地址中最后一个字节的最高位为1。换言之,其他子网的IP地址中最后一个字节用于标识子网的最高位为1。
多媒体教室1子网可分配的主机地址范围求解过程见表7-7。
由以上分析可知,多媒体教室1子网使用的子网号为O,可实际分配的主机地址范围为10.2.3.1~10.2.3.126,因此表7-5中(3)空缺处所填写的内容可以是10.2.3.126。
由于25-2=30<50<26-2=62,因此对于“多媒体教室2”这个子网所用的主机地址位数至少需要6位,则A类地址块10.2.3.0的最后一个字节的最高位、次高位可用作子网号,即用于标识“多媒体教室2”子网。由此也可推知,多媒体教室2的新子网掩码为26位掩码,即(6)空缺处的子网掩码为255.255.255.192。
由于24-2=14<18<22<25-2=30,因此对于“教研室A”、“教研室B”这两个子网所用的主机地址位数至少需要5位,这两个子网的子网号为3位。因此,这两个子网的新子网掩码为27位掩码,即(8)空缺处的子网掩码为255.255.255.224。
将子网掩码255.255.255.224与表7-5中已给出的教研室B可分配的地址范围10.2.3.193~10.2.3.222进行与(AND)运算,即可得到教研室B所使用的子网号为110。由于“多媒体教室2”的子网号为两位,因此由教研室B所使用的子网号110可得,“多媒体教室2”的子网号为10。同理,可得教研室A的子网号为111。
由表7-8所示的分析过程可知,多媒体教室2可实际分配的主机地址范围为10.2.3.129~10.2.3.190,即(5)空缺处应填入10.2.3.129~10.2.3.190。
由表7-9所示的分析过程可知,教研室A可实际分配的主机地址范围为10.2.3.225~10.2.3.254,即(7)空缺处应填入10.2.3.225~10.2.3.254。
由于表7-5中已给出多媒体教室1子网可实际分配的IP地址范围中的起始IP地址(即10.2.3.1),将它与子网掩码255.255.255.0进行与(AND)运算,即可得到多媒体教室1子网的网段地址为10.2.3.0。由此可知,多媒体教室1的子网号为0。此多媒体教室1的子网号同时决定了多媒体教室2、教研室A和教研室B的IP地址中最后一个字节的最高位为1。换言之,其他子网的IP地址中最后一个字节用于标识子网的最高位为1。
多媒体教室1子网可分配的主机地址范围求解过程见表7-7。
由以上分析可知,多媒体教室1子网使用的子网号为O,可实际分配的主机地址范围为10.2.3.1~10.2.3.126,因此表7-5中(3)空缺处所填写的内容可以是10.2.3.126。
由于25-2=30<50<26-2=62,因此对于“多媒体教室2”这个子网所用的主机地址位数至少需要6位,则A类地址块10.2.3.0的最后一个字节的最高位、次高位可用作子网号,即用于标识“多媒体教室2”子网。由此也可推知,多媒体教室2的新子网掩码为26位掩码,即(6)空缺处的子网掩码为255.255.255.192。
由于24-2=14<18<22<25-2=30,因此对于“教研室A”、“教研室B”这两个子网所用的主机地址位数至少需要5位,这两个子网的子网号为3位。因此,这两个子网的新子网掩码为27位掩码,即(8)空缺处的子网掩码为255.255.255.224。
将子网掩码255.255.255.224与表7-5中已给出的教研室B可分配的地址范围10.2.3.193~10.2.3.222进行与(AND)运算,即可得到教研室B所使用的子网号为110。由于“多媒体教室2”的子网号为两位,因此由教研室B所使用的子网号110可得,“多媒体教室2”的子网号为10。同理,可得教研室A的子网号为111。
由表7-8所示的分析过程可知,多媒体教室2可实际分配的主机地址范围为10.2.3.129~10.2.3.190,即(5)空缺处应填入10.2.3.129~10.2.3.190。
由表7-9所示的分析过程可知,教研室A可实际分配的主机地址范围为10.2.3.225~10.2.3.254,即(7)空缺处应填入10.2.3.225~10.2.3.254。
问答题
该中学在校外住宿的教职工要求能够访问校内的相关应用资源。可以采用L2TP、MPLS VPN、IPSec三类VPN技术实现这一应用需求。请对三种VPN技术进行比较,将有关内容填入表7-6的空缺处。
| 表7-6 VPN技术比较 | |||
| 比较项目 | L2TP | MPLS VPN | IPSec |
| 隧道协议层次 | 第二层 | (9) | (10) |
| 是否支持数据加密 | (11) | (12) | 支持 |
| 是否支持移动VPN客户端 | 支持 | (13) | (14) |
【正确答案】(9)介于第二层和第三层之间(或两层半) (10)第三层(或网络层)
(11)不支持 (12)不支持
(13)不支持 (14)支持
(11)不支持 (12)不支持
(13)不支持 (14)支持
【答案解析】虚拟专用网(VPN)技术主要采用隧道技术(tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)来保证内部数据通过Internet的安全传输。其中,隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。它是一种是利用隧道协议对隧道两端的数据进行封装的技术。隧道是由隧道协议形成的,而隧道协议可以分为第二层隧道协议和第三层隧道协议。第二层隧道协议是先将各种网络协议封装到PPP中,再将整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议主要有L2F、PPTP、L2TP等。
L2TP是目前IETF的标准协议,由IETF融合PPTP与L2F而形成。L2TP与PPTP之间的主要区别在于:①PPTP只适于IP网络,L2TP只要求隧道提供点对点的连接(既适于IP网,也适于非IP网);②PPTP只能在两端点间建立单一隧道,L2TP支持在两端点间使用多隧道;⑧PPTP不支持隧道验证,L2TP可以提供隧道验证;④PPTP不支持首部压缩,L2TP可以提供首部压缩。
利用某种协议来传输另一种协议的技术,共涉及乘客协议、隧道协议和承载协议三种协议。L2TP封装的乘客协议是位于第二层的PPP协议,而承载协议可以是IP、ATM和帧中继等。L2TP在数据封装、数据传输过程中并没有采取对数据进行加密的措施。
L2TP是一种典型的被动式隧道协议,它可从客户端或访问服务器端发起VPN连接,支持移动VPN客户端,可以随时随地进行访问接入。由L2TPv2构建的VPN网络中,只要求网络边缘设备支持L2TP。它主要由L2TP访问集中器(LAC)和L2TP网络服务器(LNS)两种类型的服务器构成。其中,LAC支持客户端的L2TP,用于发起呼叫、接收呼叫和建立隧道,是一种附属在网络上的具有PPP端系统和L2TPv2协议处理能力的设备。LNS是PPP端系统上用于处理L2TP服务器端部分的软件,是所有隧道的终点,LNS终止所有的PPP流。在传统的PPP连接中,用户拨号连接的终点是LAC,L2TP使得PPP的终点延伸到LNS。
第三层隧道协议是将各种网络协议直接装入隧道协议中,封装形成的数据包依靠第三层协议进行传输,其典型代表是IP安全协议(IPSec)。IPSec是在网络层提供安全的一组协议,主要有两个主要的协议:身份认证头(AH)协议和封装安全负载(ESP)协议。其中,AH协议提供了源身份认证和数据完整性,但是没有提供加密服务。ESP提供了数据完整性、身份认证和数据加密等服务。换而言之,IPSec在传输数据过程中,可以对被封装的数据包进行加密和摘要等操作,以进一步提高数据传输的安全性。
由于IPSec只能工作在网络层,因此其要求乘客协议和承载协议都是IP协议。由IPSec构建的VPN网络中,只要求网络边缘设备支持IPSec。IPSec支持移动VPN客户端,可以随时随地进行访问接入。通常,IPSec VPN需要先安装客户端并完成相关配置之后才能建立通信信道,其连接性还可能会受到网络地址转换(NAT)的影响。IPSec VPN技术本身的特性决定了它一般不适合在结构复杂的网络中应用,这是因为它需要解决穿越防火墙、IP地址冲突等问题。IPSec VPN在部署时,要考虑组织机构的全网拓扑结构、IP地址规划、路由规划等诸多因素。当增添新的IPSec VPN设备时,往往需要修改网络拓扑结构,从而造成IPSec VPN的可扩展性比较差。
多协议标签交换(MPLS)是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由、转发和交换等能力。它将IP地址映射为简单的、具有固定长度的标签,用于不同的包转发和包交换技术。基于MPLS的VPN是一种基于网络的新型VPN解决方案,它利用MPLS的标记交换技术在广域网络上为VPN用户提供虚拟连接。MPLS VPN是一种介于第二层和第三层之间的隧道协议。它借助于一个公用的MPLS域,在入口边缘路由器为每个IP包添加MPLS标签,核心路由器根据标签值进行转发,出口边缘路由器再去除MPLS标签,恢复原来的IP包。MPLS标签位于第二层和第三层之间。
与IPSec VPN相比,在安全性能方面,MPLS VPN略显劣势。虽然MPLS VPN采用路由隔离、地址隔离等手段防范网络攻击和网络欺骗等,但它所传输的数据是明文的,存在较大的安全漏洞。并且MPLS VPN不支持移动VPN客户端。但是MPLS VPN在支持网络服务质量(QoS)方面具有天然的优势,能够帮助网络服务提供商(ISP)区分出各种业务流量,并准许它们各自拥有不同的优先权。
基于MPLS构建的VPN网络中,要求网络边缘设备(PE)和核心路由设备(P)都支持MPLS。MPLS VPN必须依赖路由协议来准确地传播可达性信息,完成与标记分发等相关工作。
根据以上分析,L2TP、IPSec、MPLS VPN这三类VPN各具特色,互有优缺点。它们在隧道协议层次、是否支持数据加密、网络核心设备和边缘设备的协议支持要求、是否支持移动VPN客户端等方面的异同点见表7-10。在实践应用中,需要结合具体的用户需求因地制宜地选择使用哪种或哪几种组合的VPN接入方式。
L2TP是目前IETF的标准协议,由IETF融合PPTP与L2F而形成。L2TP与PPTP之间的主要区别在于:①PPTP只适于IP网络,L2TP只要求隧道提供点对点的连接(既适于IP网,也适于非IP网);②PPTP只能在两端点间建立单一隧道,L2TP支持在两端点间使用多隧道;⑧PPTP不支持隧道验证,L2TP可以提供隧道验证;④PPTP不支持首部压缩,L2TP可以提供首部压缩。
利用某种协议来传输另一种协议的技术,共涉及乘客协议、隧道协议和承载协议三种协议。L2TP封装的乘客协议是位于第二层的PPP协议,而承载协议可以是IP、ATM和帧中继等。L2TP在数据封装、数据传输过程中并没有采取对数据进行加密的措施。
L2TP是一种典型的被动式隧道协议,它可从客户端或访问服务器端发起VPN连接,支持移动VPN客户端,可以随时随地进行访问接入。由L2TPv2构建的VPN网络中,只要求网络边缘设备支持L2TP。它主要由L2TP访问集中器(LAC)和L2TP网络服务器(LNS)两种类型的服务器构成。其中,LAC支持客户端的L2TP,用于发起呼叫、接收呼叫和建立隧道,是一种附属在网络上的具有PPP端系统和L2TPv2协议处理能力的设备。LNS是PPP端系统上用于处理L2TP服务器端部分的软件,是所有隧道的终点,LNS终止所有的PPP流。在传统的PPP连接中,用户拨号连接的终点是LAC,L2TP使得PPP的终点延伸到LNS。
第三层隧道协议是将各种网络协议直接装入隧道协议中,封装形成的数据包依靠第三层协议进行传输,其典型代表是IP安全协议(IPSec)。IPSec是在网络层提供安全的一组协议,主要有两个主要的协议:身份认证头(AH)协议和封装安全负载(ESP)协议。其中,AH协议提供了源身份认证和数据完整性,但是没有提供加密服务。ESP提供了数据完整性、身份认证和数据加密等服务。换而言之,IPSec在传输数据过程中,可以对被封装的数据包进行加密和摘要等操作,以进一步提高数据传输的安全性。
由于IPSec只能工作在网络层,因此其要求乘客协议和承载协议都是IP协议。由IPSec构建的VPN网络中,只要求网络边缘设备支持IPSec。IPSec支持移动VPN客户端,可以随时随地进行访问接入。通常,IPSec VPN需要先安装客户端并完成相关配置之后才能建立通信信道,其连接性还可能会受到网络地址转换(NAT)的影响。IPSec VPN技术本身的特性决定了它一般不适合在结构复杂的网络中应用,这是因为它需要解决穿越防火墙、IP地址冲突等问题。IPSec VPN在部署时,要考虑组织机构的全网拓扑结构、IP地址规划、路由规划等诸多因素。当增添新的IPSec VPN设备时,往往需要修改网络拓扑结构,从而造成IPSec VPN的可扩展性比较差。
多协议标签交换(MPLS)是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由、转发和交换等能力。它将IP地址映射为简单的、具有固定长度的标签,用于不同的包转发和包交换技术。基于MPLS的VPN是一种基于网络的新型VPN解决方案,它利用MPLS的标记交换技术在广域网络上为VPN用户提供虚拟连接。MPLS VPN是一种介于第二层和第三层之间的隧道协议。它借助于一个公用的MPLS域,在入口边缘路由器为每个IP包添加MPLS标签,核心路由器根据标签值进行转发,出口边缘路由器再去除MPLS标签,恢复原来的IP包。MPLS标签位于第二层和第三层之间。
与IPSec VPN相比,在安全性能方面,MPLS VPN略显劣势。虽然MPLS VPN采用路由隔离、地址隔离等手段防范网络攻击和网络欺骗等,但它所传输的数据是明文的,存在较大的安全漏洞。并且MPLS VPN不支持移动VPN客户端。但是MPLS VPN在支持网络服务质量(QoS)方面具有天然的优势,能够帮助网络服务提供商(ISP)区分出各种业务流量,并准许它们各自拥有不同的优先权。
基于MPLS构建的VPN网络中,要求网络边缘设备(PE)和核心路由设备(P)都支持MPLS。MPLS VPN必须依赖路由协议来准确地传播可达性信息,完成与标记分发等相关工作。
根据以上分析,L2TP、IPSec、MPLS VPN这三类VPN各具特色,互有优缺点。它们在隧道协议层次、是否支持数据加密、网络核心设备和边缘设备的协议支持要求、是否支持移动VPN客户端等方面的异同点见表7-10。在实践应用中,需要结合具体的用户需求因地制宜地选择使用哪种或哪几种组合的VPN接入方式。
| 表7-10 主要VPN技术比较 | |||
| 比较项目 | L2TP | MPLS VPN | IPSec |
| 隧道协议层次 | 第二层 | 介于第二层和第三层之间(或 两层半) | 第三层 |
| 是否支持数据加密 | 不支持 | 不支持 | 支持 |
| 设备的要求 | 只要求边缘设备支持 L2TP | 要求边缘和核心设备都支持 MPLS | 只要求边缘设备支持IPSec |
| 是否支持移动VPN客户端 | 支持 | 不支持 | 支持 |