※VLAN 和VPN 有什么区别？分别实现在OSI 的第几层？

VPN 是一种三层封装加密技术，VLAN 则是一种第二层的标志技术（尽管ISL 采用封装），尽
管用户视图有些相象，但他们不应该是同一层次概念。
VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而
不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
VLAN 在交换机上的实现方法，可以大致划分为2 大类：基基于端口划分的静态VLAN；2、
基于MAC 地址|IP 等划分的动态VLAN。当前主要是静态VLAN 的实现。
跨交换机VLAN 通讯通过在TRUNK 链路上采用Dot1Q 或ISL 封装（标识）技术。
VPN（虚拟专用网）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的
连接，是一条穿过混乱的公用网络的安全、稳定的隧道。
VPN 使用三个方面的技术保证了通信的安全性：隧道协议、数据加密和身份验证。
■VPN 使用两种隧道协议：点到点隧道协议（PPTP）和第二层隧道协议（L2TP）。
■VPN 采用何种加密技术依赖于VPN 服务器的类型，因此可以分为两种情况。
对于PPTP 服务器，将采用MPPE 加密技术 MPPE 可以支持40 位密钥的标准加密方案和
128 位密钥的增强加密方案。只有在 MS-CHAP、MS-CHAP v2 或 EAP/TLS 身份验证被协商之
后，数据才由 MPPE 进行加密，MPPE 需要这些类型的身份验证生成的公用客户和服务器密
钥。
对于L2TP 服务器，将使用IPSec 机制对数据进行加密 IPSec 是基于密码学的保护服务
和安全协议的套件。IPSec 对使用 L2TP 协议的 VPN 连接提供机器级身份验证和数据加密。
在保护密码和数据的 L2TP 连接建立之前，IPSec 在计算机及其远程VPN 服务器之间进行协
商。IPSec 可用的加密包括 56 位密钥的数据加密标准DES 和 56 位密钥的三倍 DES
(3DES)。
■VPN 的身份验证方法
前面已经提到VPN 的身份验证采用PPP 的身份验证方法，下面介绍一下VPN 进行身
份验证的几种方法。
CHAP CHAP 通过使用MD5（一种工业标准的散列方案）来协商一种加密身份验证的
安全形式。CHAP 在响应时使用质询-响应机制和单向 MD5 散列。用这种方法，可以向服
务器证明客户机知道密码，但不必实际地将密码发送到网络上。
MS-CHAP 同CHAP 相似，微软开发MS-CHAP 是为了对远程 Windows 工作站进行身
份验证，它在响应时使用质询-响应机制和单向加密。而且 MS-CHAP 不要求使用原文或可
逆加密密码。
MS-CHAP v2 MS-CHAP v2 是微软开发的第二版的质询握手身份验证协议，它提供了相
互身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将VPN
连接配置为用 MS-CHAP v2 作为唯一的身份验证方法，那么客户端和服务器端都要证明其
身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。
EAP EAP 的开发是为了适应对使用其他安全设备的远程访问用户进行身份验证的日益
增长的需求。通过使用 EAP，可以增加对许多身份验证方案的支持，其中包括令牌卡、一
次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。对于VPN 来说，使用EAP
可以防止暴力或词典攻击及密码猜测，提供比其他身份验证方法（例如 CHAP）更高的安
全性。
在Windows 系统中，对于采用智能卡进行身份验证，将采用EAP 验证方法；对于通过
密码进行身份验证，将采用CHAP、MS-CHAP 或MS-CHAP v2 验证方法。