【正文】 不同。6）網(wǎng)絡(luò)拓?fù)淇傮w設(shè)計(jì)在校園網(wǎng)的建設(shè)中，網(wǎng)絡(luò)架構(gòu)的選擇具有舉足輕重的作用，組網(wǎng)架構(gòu)決定整個(gè)校園網(wǎng)絡(luò)的性能、可擴(kuò)展性、可管理性、線纜布放、區(qū)域劃分等諸多關(guān)鍵因素，從目前的主流的組網(wǎng)架構(gòu)上看，每種組網(wǎng)架構(gòu)都具有優(yōu)點(diǎn)與缺點(diǎn)，關(guān)鍵是要選擇適合于學(xué)校自身特點(diǎn)的架構(gòu)，合理的組網(wǎng)架構(gòu)是一個(gè)優(yōu)秀校園網(wǎng)絡(luò)的基礎(chǔ)。本次XX學(xué)?；匦@網(wǎng)采用星形網(wǎng)絡(luò)結(jié)構(gòu)為主的三層結(jié)構(gòu)（核心層、匯聚層及接入層）。三層結(jié)構(gòu)是大型網(wǎng)絡(luò)常用的層次化網(wǎng)絡(luò)設(shè)計(jì)模型。核心層主要承擔(dān)高速數(shù)據(jù)交換的任務(wù)，同時(shí)要為各匯聚節(jié)點(diǎn)提供最佳傳輸通道；匯聚層的主要任務(wù)是把大量來自接入層的訪問路徑進(jìn)行匯聚和集中，承擔(dān)路由聚合和訪問控制的任務(wù)。這就要求匯聚層設(shè)備必須具備良好的可擴(kuò)展性，必須使用模塊化的體系結(jié)構(gòu)，可通過增加板卡提高端口密度，以便匯接更多的接入層設(shè)備；接入層的主要任務(wù)是完成用戶的接入，它直接和用戶連接，可能遭受ARP風(fēng)暴、MAC掃描、ICMP風(fēng)暴、帶寬攻擊等等攻擊方式，對(duì)安全性的要求很高，另一方面必須提供靈活的用戶管理手段。此種組網(wǎng)方案的結(jié)構(gòu)簡單，層次分明，便于管理；控制簡單，便于建網(wǎng)；網(wǎng)絡(luò)延遲時(shí)間較小，傳輸誤差較低。對(duì)于鏈路層的安全可考慮采用不同鏈路的主備主干光纜方式實(shí)現(xiàn)。XX學(xué)校基地智慧校園信息網(wǎng)網(wǎng)絡(luò)拓?fù)涫疽庖妶D。XX智慧校園網(wǎng)絡(luò)拓?fù)涫疽鈭D下面就各個(gè)區(qū)域做詳細(xì)的設(shè)計(jì)。（2）核心層設(shè)計(jì)核心層：提供高速的三層交換骨干。l 核心層不進(jìn)行終端系統(tǒng)的連接；l 核心層不實(shí)施影響高速交換性能的ACL等功能。1）網(wǎng)絡(luò)方案說明網(wǎng)絡(luò)核心區(qū)作為整個(gè)校園網(wǎng)的數(shù)據(jù)交換核心，是XX學(xué)?；匦^(qū)應(yīng)用系統(tǒng)可靠和高效率運(yùn)行的基礎(chǔ)，因此建議在核心區(qū)配置兩臺(tái)吞吐量高、核心萬兆全分布式線速路由交換機(jī)，接入各個(gè)功能區(qū)域，下行萬兆光纖連接匯聚交換機(jī)，形成萬兆無阻塞線速轉(zhuǎn)發(fā)骨干網(wǎng)。核心設(shè)備采用多級(jí)交換架構(gòu)，即使用獨(dú)立的交換網(wǎng)板卡，可以為設(shè)備提供擴(kuò)展的交換容量，多塊交換網(wǎng)板同時(shí)分擔(dān)業(yè)務(wù)流量；控制引擎和交換網(wǎng)板硬件相互獨(dú)立，并且配置冗余電源和冗余風(fēng)扇，最大程度的保障設(shè)備可靠性。兩臺(tái)核心設(shè)備互為備份，之間采用雙萬兆連接，區(qū)域匯聚設(shè)備雙歸屬上聯(lián)，其中任何一臺(tái)核心交換機(jī)或核心交換機(jī)上的板卡出現(xiàn)故障后，正常工作的核心交換機(jī)能夠立即接管故障核心交換機(jī)所有交換工作。在兩臺(tái)核心交換機(jī)都正常工作時(shí)能夠?qū)π^(qū)匯聚交互區(qū)域轉(zhuǎn)發(fā)過來的數(shù)據(jù)流量進(jìn)行負(fù)載均衡，兩臺(tái)核心交換機(jī)同時(shí)承擔(dān)核心網(wǎng)絡(luò)數(shù)據(jù)交換工作。為了簡化網(wǎng)絡(luò)部署，簡化網(wǎng)絡(luò)管理，并提高故障恢復(fù)的速度，核心和各個(gè)功能分區(qū)建議采用虛擬交換架構(gòu)技術(shù)。兩臺(tái)核心交換機(jī)虛擬成一臺(tái)邏輯交換機(jī)，通過跨設(shè)備鏈路聚合與匯聚層設(shè)備互聯(lián)。2）安全規(guī)劃l 采用安全交換一體化架構(gòu)，核心交換機(jī)應(yīng)支持多業(yè)務(wù)安全板卡，以便簡化網(wǎng)絡(luò)拓?fù)洹p少網(wǎng)絡(luò)單點(diǎn)故障，提高安全處理性能，方便后期擴(kuò)展。本次部署IPS模塊，及時(shí)阻止各種針對(duì)系統(tǒng)漏洞的攻擊，屏蔽蠕蟲、病毒和間諜軟件，防御DOS及DDOS攻擊，阻斷或限制P2P應(yīng)用，完成應(yīng)用系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和系統(tǒng)性能保護(hù)的關(guān)鍵任務(wù)。l 本次需部署網(wǎng)絡(luò)流量分析功能模塊，以便管理員能了解網(wǎng)絡(luò)真實(shí)運(yùn)行情況，減少故障隱患，優(yōu)化網(wǎng)絡(luò)鏈路。l 但是為了避免在核心區(qū)由于多區(qū)域之間安全策略的交叉而導(dǎo)致部署復(fù)雜，維護(hù)困難。核心區(qū)只提供高速轉(zhuǎn)發(fā)功能，各區(qū)域間的訪問控制策略在各區(qū)域邊界（出口路由器或匯聚交換機(jī)）實(shí)施。l 核心交換機(jī)支持高性能MPLS處理，可以有效隔離校園網(wǎng)各業(yè)務(wù)，減少各業(yè)務(wù)之間干擾，保證業(yè)務(wù)之間的安全性和可靠性3）設(shè)備間連接方式兩臺(tái)核心設(shè)備分別放置在網(wǎng)絡(luò)中心核心機(jī)房和圖書館核心機(jī)房，采用雙單模萬兆接口互聯(lián)，并且采用虛擬交換架構(gòu)技術(shù)虛擬成一臺(tái)邏輯設(shè)備。單臺(tái)匯聚交換機(jī)雙萬兆鏈路接入兩臺(tái)核心交換機(jī)，核心交換機(jī)與放置在相同核心機(jī)房的匯聚交換機(jī)采用多模萬兆互聯(lián)，與不同核心機(jī)房的匯聚交換機(jī)采用單模萬兆互聯(lián)。2條下行萬兆鏈路采用跨設(shè)備聚合技術(shù)虛擬成一條邏輯鏈路，從而簡化網(wǎng)絡(luò)部署提高故障恢復(fù)速度。（3）匯聚層設(shè)計(jì)匯聚層：作為接入層和核心層的分界層，匯聚層完成以下的功能：l 各功能分區(qū)IP地址或路由區(qū)域的匯聚；l 不同業(yè)務(wù)功能的匯聚；l 本功能區(qū)VLAN 間的路由；l 廣播域或組播域的邊界；l 在匯聚層實(shí)施功能區(qū)內(nèi)、功能區(qū)之間的安全訪問策略。1）網(wǎng)絡(luò)方案說明匯聚區(qū)是XX學(xué)?；匦@網(wǎng)絡(luò)承上啟下的關(guān)鍵，需要保證該層次網(wǎng)絡(luò)的可靠性。每個(gè)區(qū)域匯聚區(qū)部署1臺(tái)高端交換機(jī)，采用多引擎架構(gòu)架構(gòu)，并且配置冗余引擎、冗余電源和冗余風(fēng)扇，以保障設(shè)備的可靠性。區(qū)域匯聚交換機(jī)分別通過萬兆冗余鏈路接入到兩臺(tái)核心交換機(jī)，下行接入各個(gè)建筑單體的接入交換機(jī)，由于學(xué)生公寓組團(tuán)單個(gè)建筑信息點(diǎn)數(shù)量眾多，所以建議在學(xué)生宿舍每個(gè)建筑中部署2臺(tái)樓宇匯聚交換機(jī)，每臺(tái)配置雙電源，提高樓宇匯聚節(jié)點(diǎn)的可靠性。為了簡化網(wǎng)絡(luò)部署，簡化網(wǎng)絡(luò)管理，并提高故障恢復(fù)的速度，樓宇匯聚交換機(jī)采用虛擬交換架構(gòu)互聯(lián)，區(qū)域匯聚設(shè)備通過跨設(shè)備鏈路聚合與核心設(shè)備互聯(lián)。2）安全規(guī)劃l 為了防止各個(gè)部分之間非法訪問，導(dǎo)致竊取、破壞等攻擊，本次在匯聚層部署防火墻進(jìn)行安全區(qū)域的隔離。l 后期還可以針對(duì)綜合辦公樓區(qū)部署網(wǎng)流分析功能，以便管理員能了解該區(qū)域網(wǎng)絡(luò)真實(shí)運(yùn)行情況，減少該區(qū)域故障隱患，優(yōu)化網(wǎng)絡(luò)鏈路。l 安全部署采用安全交換一體化架構(gòu)，匯聚交換機(jī)集成防火墻板卡，以便簡化網(wǎng)絡(luò)拓?fù)?、減少網(wǎng)絡(luò)單點(diǎn)故障，提高安全處理性能，方便后期擴(kuò)展。l 在匯聚交換機(jī)部署高性能MPLS VPN處理，可以有效隔離辦公業(yè)務(wù)和教學(xué)等業(yè)務(wù)，減少各業(yè)務(wù)之間干擾，保證業(yè)務(wù)之間的安全性和可靠性。3）設(shè)備間連接方式區(qū)域匯聚設(shè)備與核心交換機(jī)連接方式見核心層設(shè)計(jì)。接入交換機(jī)采用雙單模千兆光纖上聯(lián)兩臺(tái)匯聚交換機(jī)，接入交換機(jī)同樣采用虛擬交換架構(gòu)技術(shù)，上聯(lián)的兩條鏈路采用跨設(shè)備鏈路聚合技術(shù)，虛擬成一條邏輯鏈路，簡化網(wǎng)絡(luò)部署。（4）接入層設(shè)計(jì)接入層：提供Layer2的網(wǎng)絡(luò)接入，通過VLAN劃分實(shí)現(xiàn)接入的隔離。在接入層設(shè)計(jì)時(shí)，應(yīng)考慮以下幾點(diǎn)：l 接入層接入端口規(guī)劃容量應(yīng)根據(jù)實(shí)際使用情況考慮擴(kuò)展性,具備可堆疊特性；l 各功能分區(qū)的接入層相對(duì)獨(dú)立；l 不同類型的接入層應(yīng)各自分開，連接到對(duì)應(yīng)功能區(qū)的匯聚層。1）網(wǎng)絡(luò)方案說明各接入層設(shè)備采用就近原則匯聚。各個(gè)建筑樓宇對(duì)應(yīng)的匯聚點(diǎn)如下表：各建筑單體內(nèi)配線間部署接入交換機(jī)，提供辦公區(qū)域千兆或百兆接入、學(xué)生區(qū)域百兆接入交換機(jī)。VLAN終結(jié)在接入端口，限制廣播域范圍，較少廣播報(bào)文對(duì)網(wǎng)絡(luò)帶寬的消耗，并且還可以減少M(fèi)AC、ARP等攻擊的范圍和影響。2）安全規(guī)劃l 通過VLAN劃分用戶，隔離不同權(quán)限的用戶，保證網(wǎng)絡(luò)訪問安全l 對(duì)于終端用戶采用終端準(zhǔn)入系統(tǒng)，對(duì)用戶進(jìn)行身份確認(rèn)，終端PC的健康檢測(cè)，用戶行為審計(jì)等，確保用戶不能非法訪問網(wǎng)絡(luò)，不攜帶病毒，不訪問非工作要求網(wǎng)站。3）設(shè)備間連接方式公共區(qū)域接入層雙鏈路千兆上聯(lián)至兩核心機(jī)房匯聚交換機(jī)，學(xué)生宿舍每棟樓單鏈路千兆上聯(lián)至就近學(xué)生宿舍區(qū)匯聚交換機(jī)。同一樓層配線間的接入交換機(jī)可采用堆疊上行，簡化網(wǎng)絡(luò)結(jié)構(gòu)，節(jié)約上行光纖資源。（5）數(shù)據(jù)中心區(qū)設(shè)計(jì)1）網(wǎng)絡(luò)方案說明服務(wù)器區(qū)運(yùn)行的是在XX智慧校園網(wǎng)絡(luò)上的各種辦公教學(xué)業(yè)務(wù)系統(tǒng)服務(wù)器，該區(qū)域是整個(gè)數(shù)字化校園業(yè)務(wù)核心，因此對(duì)網(wǎng)絡(luò)的安全性、可靠性和可擴(kuò)展性等方面有較高要求。采用兩臺(tái)高端交換機(jī)做為服務(wù)器的匯聚設(shè)備，分別通過萬兆冗余鏈路接入到兩臺(tái)核心交換機(jī)。考慮到當(dāng)前服務(wù)器接入數(shù)量不多，因此將網(wǎng)絡(luò)匯聚層和接入層合并，未來隨著業(yè)務(wù)的擴(kuò)展，可通過增加新的接入層交換機(jī)以提供更多的接入端口。服務(wù)器匯聚設(shè)備采用分布式轉(zhuǎn)發(fā)架構(gòu)，并且配置冗余引擎、冗余電源和冗余風(fēng)扇，以保障設(shè)備的可靠性。2）安全規(guī)劃l 由于服務(wù)器保存了校園網(wǎng)的關(guān)鍵業(yè)務(wù)，為了避免服務(wù)受到攻擊導(dǎo)致癱瘓或者數(shù)據(jù)泄密，需要提供全方位的多層次的保護(hù)。l 建議采用安全交換一體化架構(gòu)，部署防火墻模塊進(jìn)行2~4層的訪問控制，通過核心層的IPS模塊進(jìn)行4~7層應(yīng)用層攻擊、網(wǎng)絡(luò)病毒的防御。l 另外，還可以在交換機(jī)上部署服務(wù)器負(fù)載均衡模塊，可以提高服務(wù)器處理能力，降低服務(wù)器硬件投資成本，提高生產(chǎn)辦公效率。XX學(xué)?；匦@數(shù)據(jù)傳輸專網(wǎng)是一個(gè)與校園信息網(wǎng)絡(luò)物理隔離的專網(wǎng)，用于承載安防系統(tǒng)、一卡通、校園廣播、財(cái)務(wù)、醫(yī)保系統(tǒng)等園區(qū)智能化系統(tǒng)。校園數(shù)據(jù)傳輸專網(wǎng)是一個(gè)完全獨(dú)立的網(wǎng)絡(luò)，因此數(shù)據(jù)在網(wǎng)絡(luò)平臺(tái)的傳輸過程相對(duì)比較安全，因?yàn)槠鋽?shù)據(jù)的特殊性，在設(shè)計(jì)專網(wǎng)時(shí)，要充分滿足網(wǎng)絡(luò)的安全性、可靠性和穩(wěn)定性的設(shè)計(jì)要求。核心層采用雙核心，每個(gè)單體建筑中部署一臺(tái)三層交換機(jī)作為接入層交換機(jī)通過不同物理路由上連至IDC匯聚設(shè)備，確保業(yè)務(wù)網(wǎng)絡(luò)的高可靠和高穩(wěn)定性。專網(wǎng)上各應(yīng)用系統(tǒng)的數(shù)據(jù)庫服務(wù)器群可采用直接連接或者通過交換機(jī)上行至核心層。（1）數(shù)據(jù)傳輸專網(wǎng)網(wǎng)絡(luò)需求如果業(yè)務(wù)系統(tǒng)（部分或全部）要在數(shù)據(jù)傳輸專網(wǎng)網(wǎng)絡(luò)上運(yùn)行，則考慮在數(shù)據(jù)傳輸專網(wǎng)提供安全通道，但自身的安全措施由各業(yè)務(wù)系統(tǒng)進(jìn)行設(shè)計(jì)。部署統(tǒng)一的網(wǎng)絡(luò)管理平臺(tái)，涵蓋拓?fù)洹⒏婢?、性能和配置等管理功能，使網(wǎng)絡(luò)狀況一目了然，實(shí)現(xiàn)設(shè)備資源的集中化管理；可以快速、準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)資源，包括路由方式、ARP方式、IPSec VPN方式、網(wǎng)段方式等；支持設(shè)備面板管理，所見即所得的顯示設(shè)備的資產(chǎn)組成和運(yùn)行狀態(tài)。1）技術(shù)需求專門設(shè)計(jì)一個(gè)與校園信息網(wǎng)絡(luò)物理隔離的專網(wǎng)，用于承載安防系統(tǒng)、一卡通、校園廣播、財(cái)務(wù)、醫(yī)保系統(tǒng)等園區(qū)智能化系統(tǒng)。因?yàn)槠鋽?shù)據(jù)的特殊性，在設(shè)計(jì)專網(wǎng)時(shí)，要提高對(duì)網(wǎng)絡(luò)的安全性、可靠性和穩(wěn)定性的要求。核心層采用雙核心，接入層交換機(jī)通過不同物理路由上連至雙核心，確保業(yè)務(wù)網(wǎng)絡(luò)的高可靠和高穩(wěn)定性。校園數(shù)據(jù)傳輸專網(wǎng)核心層交換機(jī)放置在校園中心機(jī)房；專網(wǎng)上各應(yīng)用系統(tǒng)的數(shù)據(jù)庫服務(wù)器群可采用直接連接或者通過交換機(jī)上行至核心層。2）技術(shù)選型校園園區(qū)虛擬化技術(shù)比較：l 二層VLAN：二層隔離技術(shù)，在三層終結(jié)。不易擴(kuò)展，STP維護(hù)復(fù)雜、難以管理和定位，適合小型網(wǎng)絡(luò)；l 分布式ACL：需要嚴(yán)格的策略控制，靈活性差，可能配置錯(cuò)誤，擴(kuò)展性、管理性差，適合某些特定場(chǎng)合；l VRF/MPLS VPN：三層隔離技術(shù)，業(yè)務(wù)隔離性好，每個(gè)VPN獨(dú)立轉(zhuǎn)發(fā)表，擴(kuò)展性好。支持多種靈活的接入方式，配置管理簡單、支持QoS，能夠滿足大型復(fù)雜園區(qū)的應(yīng)用。本方案中推薦組合：VLAN+VRF，VRF+MPLS VPN。二三層隔離的融合，安全性高，避免大量的ACL配置問題，直觀、易維護(hù)、易擴(kuò)展。此設(shè)計(jì)中數(shù)據(jù)專網(wǎng)可以為各業(yè)務(wù)系統(tǒng)提供一個(gè)VLAN或VPN通道，為了保障網(wǎng)絡(luò)的安全性，各專用系統(tǒng)必須考慮系統(tǒng)自身的安全性和在接入到專網(wǎng)時(shí)使用防火墻等設(shè)備保護(hù)自身核心數(shù)據(jù)的安全性。在接入層，為了防止非法的用戶進(jìn)入業(yè)務(wù)專網(wǎng)可采用以下措施：①對(duì)不同的業(yè)務(wù)區(qū)域劃分不同的vlan，也可使用虛擬防火墻進(jìn)行安全區(qū)域劃分②關(guān)閉閑置的端口，在需要的時(shí)候才啟用，避免無關(guān)人員使用個(gè)人電腦通過此類端口訪問③采用端口隔離，確保訪問流量直接上行至核心層設(shè)備處理。（2）網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)1）架構(gòu)規(guī)劃專網(wǎng)設(shè)計(jì)按照前端、后端方式。前端網(wǎng)絡(luò)主要用于安防系統(tǒng)、一卡通、校園廣播、財(cái)務(wù)、醫(yī)保系統(tǒng)等系統(tǒng)的信息點(diǎn)接入，后端網(wǎng)絡(luò)鏈接專網(wǎng)各種應(yīng)用的服務(wù)器區(qū)。前端網(wǎng)絡(luò)采用雙核心、接入的二層構(gòu)架方式，接入層以雙鏈路上聯(lián)至核心節(jié)點(diǎn)，接入層已不低于1G的帶寬接入核心節(jié)點(diǎn)。后端網(wǎng)絡(luò)通過接入交換機(jī)鏈接各種應(yīng)用服務(wù)器，分區(qū)分域的接入到核心設(shè)備。考慮到后端服務(wù)器的高可靠保障和業(yè)務(wù)壓力，服務(wù)器雙上行方式以不低于1G的帶寬鏈接到接入交換機(jī)。同時(shí)鏈接服務(wù)器的前端需要放置防火墻、IPS等安全防護(hù)設(shè)備，對(duì)后端服務(wù)器進(jìn)行2～7層安全防護(hù)。校園數(shù)據(jù)傳輸專網(wǎng)整體架構(gòu)圖2）網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)XX學(xué)?；氐臄?shù)據(jù)傳輸專網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為萬兆核心、千兆主干、千兆或百兆到桌面的架構(gòu)。系統(tǒng)架構(gòu)分為核心層、匯聚層、分布接入層。并根據(jù)信息系統(tǒng)的具體情況，部署FW、IPS，網(wǎng)絡(luò)資源平臺(tái)管理系統(tǒng)。雙核心節(jié)點(diǎn)設(shè)置在校園網(wǎng)絡(luò)中心IDC機(jī)房（內(nèi)有校園網(wǎng)數(shù)據(jù)中心），專網(wǎng)和公用數(shù)據(jù)網(wǎng)的配線間公用，在考慮設(shè)備時(shí)，每個(gè)配線間以24個(gè)信息點(diǎn)為標(biāo)準(zhǔn)。核心設(shè)備之間通過冗余的萬兆光纖鏈路相連，通過虛擬交換技術(shù)虛擬為一臺(tái)邏輯設(shè)備。此外，按各區(qū)域內(nèi)部結(jié)構(gòu)，分別在各單體建筑物設(shè)置樓宇接入點(diǎn)，接入點(diǎn)使用二層交換機(jī)，接入交換機(jī)通過光纖分別接入2個(gè)核心，形成跨設(shè)備的鏈路聚合。l 采用冗余設(shè)計(jì)，提供冗余節(jié)點(diǎn)和冗余鏈路，提高網(wǎng)絡(luò)可靠性和加快網(wǎng)絡(luò)故障時(shí)的收斂速度，設(shè)計(jì)使用雙節(jié)點(diǎn)備份和雙歸屬鏈路；l 建議實(shí)施時(shí)調(diào)整OSPF協(xié)議參數(shù)（如LSA interval）、端口linkdown感應(yīng)時(shí)間、規(guī)劃網(wǎng)絡(luò)IP地址等，達(dá)到網(wǎng)絡(luò)最佳收斂效果；l 對(duì)于數(shù)據(jù)專網(wǎng)網(wǎng)絡(luò)，可以劃分多個(gè)area，核心層與匯聚層為area 0，匯聚層設(shè)備作為ABR，匯聚層與接入層之間規(guī)劃為非骨干區(qū)域，為NSSA區(qū)；l 區(qū)域間可使用路由聚合和路由過濾等手段來限制發(fā)布路由得數(shù)量，減少設(shè)備計(jì)算負(fù)擔(dān)。3）MPLS VPN技術(shù)①傳統(tǒng)的VPN組網(wǎng)方式傳統(tǒng)的VPN主要采取兩種組網(wǎng)的方式：專線VPN和基于用戶端設(shè)備的安全VPN。專線VPN使用靜態(tài)的虛電路（如ATM PVC、FR PVC 等）連接客戶的站點(diǎn)，形成一個(gè)二層的VPN骨干網(wǎng)。VPN成員站點(diǎn)連接到運(yùn)營商的邊界設(shè)備（PE），由運(yùn)營商負(fù)責(zé)建立VPN成員站點(diǎn)之間的虛電路連接，客戶對(duì)屬于自己VPN的站點(diǎn)的路由進(jìn)行自主的控制和管理。采用這種方式組建VPN無論對(duì)運(yùn)營商或者是對(duì)客戶來說成本都是很高的，而且二層虛電路的業(yè)務(wù)提供的周期長，網(wǎng)絡(luò)管理人員需要進(jìn)行大量的手工配置工作。對(duì)于基于客戶端設(shè)備的（CE Based）VPN，VPN的功能全部在客戶端的設(shè)備中實(shí)現(xiàn)。運(yùn)營商的設(shè)備對(duì)客戶的VPN來說是完全透明的。客戶可以通過購買相應(yīng)的VPN設(shè)備或者在現(xiàn)有的路由器、網(wǎng)關(guān)或者甚至是PC機(jī)上安裝相應(yīng)的VPN功能軟件就可以開始獨(dú)立構(gòu)建基于客戶端設(shè)備的VPN。由于VPN的成員站點(diǎn)之間通常是通過非信任的Internet實(shí)現(xiàn)互連的，所以一般基于客戶端設(shè)備的VPN在實(shí)現(xiàn)時(shí)都引入某些安全機(jī)制保護(hù)站點(diǎn)之間跨Internet的客戶私有流量。這個(gè)解決方案的最大缺點(diǎn)就是客戶需要購買、配置和維護(hù)昂貴的VPN網(wǎng)關(guān)設(shè)備，同時(shí)也意味著需要高素質(zhì)的網(wǎng)