VLAN和VPN有什么区别？分别实现在OSI的第几层？

VPN是一种三层封装加密技术，VLAN则是一种第二层的标志技术（尽管ISL采用封装），尽管用户视图有些相象，但他们不应该是同一层次概念。
VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
VLAN在交换机上的实现方法，可以大致划分为2大类：基基于端口划分的静态VLAN；2、基于MAC地址|IP等划分的动态VLAN。当前主要是静态VLAN的实现。
跨交换机VLAN通讯通过在TRUNK链路上采用Dot1Q或ISL封装（标识）技术。
VPN（虚拟专用网）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。
VPN使用三个方面的技术保证了通信的安全性：隧道协议、数据加密和身份验证。
■VPN使用两种隧道协议：点到点隧道协议（PPTP）和第二层隧道协议（L2TP）。
■VPN采用何种加密技术依赖于VPN服务器的类型，因此可以分为两种情况。
对于PPTP服务器，将采用MPPE加密技术 MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。只有在 MS-CHAP、MS-CHAP v2 或 EAP/TLS 身份验证被协商之后，数据才由 MPPE 进行加密，MPPE需要这些类型的身份验证生成的公用客户和服务器密钥。
对于L2TP服务器，将使用IPSec机制对数据进行加密 IPSec是基于密码学的保护服务和安全协议的套件。IPSec 对使用 L2TP 协议的 VPN 连接提供机器级身份验证和数据加密。在保护密码和数据的 L2TP 连接建立之前，IPSec 在计算机及其远程VPN服务器之间进行协商。IPSec可用的加密包括 56 位密钥的数据加密标准DES和 56 位密钥的三倍 DES (3DES)。
■VPN的身份验证方法
前面已经提到VPN的身份验证采用PPP的身份验证方法，下面介绍一下VPN进行身份验证的几种方法。
CHAP CHAP通过使用MD5（一种工业标准的散列方案）来协商一种加密身份验证的安全形式。CHAP 在响应时使用质询-响应机制和单向 MD5 散列。用这种方法，可以向服务器证明客户机知道密码，但不必实际地将密码发送到网络上。
MS-CHAP 同CHAP相似，微软开发MS-CHAP 是为了对远程 Windows 工作站进行身份验证，它在响应时使用质询-响应机制和单向加密。而且 MS-CHAP 不要求使用原文或可逆加密密码。
MS-CHAP v2 MS-CHAP v2是微软开发的第二版的质询握手身份验证协议，它提供了相互身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用 MS-CHAP v2 作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。
EAP EAP 的开发是为了适应对使用其他安全设备的远程访问用户进行身份验证的日益增长的需求。通过使用 EAP，可以增加对许多身份验证方案的支持，其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。对于VPN来说，使用EAP可以防止暴力或词典攻击及密码猜测，提供比其他身份验证方法（例如 CHAP）更高的安全性。
在Windows系统中，对于采用智能卡进行身份验证，将采用EAP验证方法；对于通过密码进行身份验证，将采用CHAP、MS-CHAP或MS-CHAP v2验证方法。