问：你会推荐配置一个带分离通道功能的VPN吗？这样的结构会让你的VPN变得有多脆弱？

　　答：分离通道技术允许VPN用户既可以通过VPN通道直接进行网络活动，同时又可以通过本地网络默认的网关进行另外的网络活动。

　　在最基本的VPN方案中，举个例子，一个家庭用户用一个DSL调制解调器可以建立一个VPN连接，强制他或她的所有系统流量都通过VPN通道连接到工作场所的网络。这些网络活动流量包括所有的内容，从电子邮件和其他的公司服务开始一直到简单的网页浏览。

　　当在这种VPN模式中引入分离通道功能时，只有一部分的网络流量通过VPN通道。管理员通过配置让VPN通道具有网络认知性，用户的VPN客户端程序就会根据每个包的目的地址进行智能路由。如果一个包是流向工作场所网络中的一个系统，那么它就会通过VPN通道发送。如果它的目的地是外面的网站，它就会通过用户的DSL网关直接流向目的地主机。

　　是否采用分离通道取决于你的业务需求。如果你的目标是保护远程用户和工作场所之间的网络连接的安全，那么采用分离通道会比较好。但是这样做的话，你需要培训你的用户，并确保他们知道哪些网络流量通过VPN通道、哪些不通过VPN；你不会想让员工有虚假的安全感。

　　为什么我们不能完全的否定分离通道技术呢？因为当你不使用分离通道时，用户无法访问本地网络上的受限资源。我们可以再看一下家庭用户的情况。如果那个用户在家庭网络有一个私人设置的文件服务器，不使用分离通道技术就不能使用此服务器。还有，如果一个企业中有大量的用户采用这种没有分离通道功能的VPN模式，那么这个企业可能承担不起处理大量流向其他网络的流量负担。