VLAN 和 VPN 有什么区别？分别实现在 OSI 的第几层？

VPN 是一种三层封装加密技术，VLAN 则是一种第二层的标志技术（尽管 ISL 采用封装），尽管用户视图有些相象，但他们不应该是同一层次概念。

VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

VLAN在交换机上的实现方法，可以大致划分为 2 大类：

1、基于端口划分的静态 VLAN；

2、 基于 MAC 地址|IP 等划分的动态 VLAN。当前主要是静态 VLAN 的实现。

跨交换机 VLAN 通讯通过在 TRUNK 链路上采用 Dot1Q 或ISL 封装（标识）技术。VPN（虚拟专用网）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的 连接，是一条穿过混乱的公用网络的安全、稳定的隧道。

VPN 使用三个方面的技术保证了通信的安全性：隧道协议、数据加密和身份验证。

VPN 使用两种隧道协议：点到点隧道协议（PPTP）和第二层隧道协议（L2TP）。

VPN 采用何种加密技术依赖于 VPN 服务器的类型，因此可以分为两种情况。

对于PPTP服务器，将采用 MPPE 加密技术 MPPE 可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。只有在 MS-CHAP、MS-CHAP v2  或 EAP/TLS  身份验证被协商之后， 数据才由 MPPE  进行加密，MPPE 需要这些类型的身份验证生成的公用客户和服务器密钥。对于 L2TP 服务器，将使用 IPSec 机制对数据进行加密 IPSec 是基于密码学的保护服务和安全协议的套件。IPSec对使用 L2TP协议的VPN连接提供机器级身份验证和数据加密。在保 护密码和数据的 L2TP连接建立之前，IPSec 在计算机及其远程VPN服务器之间进行协商。IPSec可用的加密包括 56 位密钥的数据加密标准 DES 和 56  位密钥的三倍 DES (3DES)。

VPN的身份验证方法

前面已经提到 VPN 的身份验证采用 PPP 的身份验证方法，下面介绍一下 VPN 进行身份验证的几种方法。

CHAP CHAP通过使用MD5（一种工业标准的散列方案）来协商一种加密身份验证的安全形式。CHAP在响应时使用质询-响应机制和单向 MD5 散列。用这种方法，可以向服务器证明客户机知道密码，但不必实际地将密码发送到网络上。

MS-CHAP 同CHAP相似，微软开发MS-CHAP  是为了对远程 Windows 工作站进行身份验证，它在响应时使用质询-响应机制和单向加密。而且MS-CHAP 不要求使用原文或可逆加密密码。

MS-CHAP v2 MS-CHAP v2 是微软开发的第二版的质询握手身份验证协议，它提供了相互身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将 VPN 连接配 置为用 MS-CHAP v2 作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。

EAP EAP 的开发是为了适应对使用其他安全设备的远程访问用户进行身份验证的日益增长的需求。通过使用 EAP，可以增加对许多身份验证方案的支持，其中包括令牌卡、一次性 密码、使用智能卡的公钥身份验证、证书及其他身份验证。对于VPN 来说，使用 EAP 可以防止暴力或词典攻击及密码猜测，提供比其他身份验证方法（例如 CHAP）更高的安全性。在 Windows 系统中，对于采用智能卡进行身份验证，将采用EAP验证方法；对于通过密码进行身份验证，将采用 CHAP、MS-CHAP或MS-CHAP v2 验证方法。