Arhitectura propusa poate folosu doua varrinate de adrese IP : - se pot folosi adrese reale pentru fiecare masina prin achizitionarea catorva sute de adrese de clasa C ( spre exemplu achitionarea a doua clase la un prêt cam de 1 $ pe adresa ).De asemenea se pot achizitiona un numar ceva mai mic de adrese IP care vor fi repartizate in primul rand gatewayurilor prin intermediul carora se va iesii la internet iar restul preferential pentru anumite masini. - Se pot folosi in intregime adrese private si achizitionarea de adrese reale doar strict pentru gatewayrile care vor iesi la internet.In aceste caz gatewayul care va fi un router  ceva mai puternic va face conversia intre adresa sa reala si adresele private foolosind protocolul NAT ( Network Address Translation ) cu varianta sa overloading. Imaginea de mai jos descrie in mare cum are loc procesul : 

Dupa cum se vede mai sus este folosita o singura adresa reala si mai multe private , la iesirea in internet asignandu-se diferite porturi care sunt mapate cu adresele private. Trebuie mentionat ca se va folosi o singura legatura la internet rrealizata in sediul  firmei .Aceasta legatura se va face pe un canal diferit de cele pentru legatura cu celelalte locatii ale firmei folosind de preferinta acelasi provider de internet. In arhitectura noastra vom folosi acelafi router dar cu interfete diferite pentru tipurile de iesiri.Setarea gatewaylui pentru internet este foarte importanta deorece se pun probleme deosebit de stricte de securitate. 
Ideea pe care o vom urmari in acest sens este : pentru ce folosim legatura la internet ?Raspunsul depinde de unde privim aceasta conexiune : 

- daca privim dinspre internet este necesar sa se vada in primul rand serverul de web si ftp .Cu timpul se va pune si problema implementarii unor solutii de e-commerce dar deocamdata nu vom trata aceasta problema.
- Daca privim dinspre companie spre internet este nevoie de cat mai multa liberate de miscare asa ca vom fi mai permisivi.

Asadar pentru conexiunea la internet vom folosi o arhitectura de tip firewall care tip este alcatuita din mai multe masini dar in acest caz vom folosi doar un router pe care vom seta securiatea cu ACLuri .Arhitectura va arata ca mai jos : 
 
 

In imaginea de mai sus big-ro va face atat legatura la internet , intre locatiile VPNului cat si routarea intre vlanele descrise mai devreme. Nu vom insista mai mult asupra conexiunii le internet nefiind acesta subiectul lucrarii.Ideea este ca cel mai bine este achizitionarea unui set de adrese reale , sa spunem 100 si folosirea in rest a adreselor private .De asemenea este indicat sa achizitionam o banda garantata de 2,048 Mbps ( 1xE1) pentru conexiunea la internet . 
Ar mai trebui sa controlam accesul la internet printr-o politica austera cu privire la conexiune pe http.Toata lumea trebuie sa aiba acces la email dar nu toti angajati trebuie sa poata vizita siteuri , sau unii trebuie sa o faca cu prioritate .Acestea pot fi  coordonate in detaliu cu ACL si QoS disponibile in sistemul de operare al routerului (IOS). 

Trebuie tinut cont de faptul ca toate celelalte locatii vor accesa internetul tot prin intermediul lui big-ro.De asemenea este important si faptul ca firma trebuie sa aiba suficienta iesire pentru internet pentru o eventula trecere la sistemul de voice-over-ip  ( fiecare canal de vocenecesita 16 kbps ) care ar permite convorbiri internationale la preturi foarte mici. 
Important atunci cand tinem seama de banada de iesire pentru internet este daca aceasta firma are servere de web sau ftp puternice si daca va planifica trecerea la vanzrile on-line .Aceasta nu se va intampla de la inceput asa cum am prevazut deja.Trecerea la e-commerce este ceva mai complexa deoarece presupune realizarea unei mutitudini de solutii redundante. 
 
 

Iata ca am ajuns si la acest punct .L-am lasat la urma pentru ca poate este cel mai didicil de proiectat.Si asta se intampla din cauza faptului ca este destul de dificila alegerea intre diferitele tipuri de VPN si diferitele tipuri de echipamente disponibile la ora actuala .Solutii de echipament pe care le-am ales sunt exclusiv Cisco datorita simplului fapt ca acesta firma asigura la ora actuala 80% din infrastructura internetului. Intrucat lucrarea deja a ajuns la dimensiuni mari am sa fiu cat mai schematic in  prezentarea acestei parti .
Asadar solutiile alese de noi vor fi pentru un intranet VPN in ceea ce priveste locatiile din Timisoara si Bucuresti .Totusi este important de realizat de asemenea si un Access VPN pentru angajati care vor sa lucreze acasa daca aceasta este mai profitabil pentru firma .Aceasta din urma solutie permite de asemenea si a treia varianta a extranet VPN , acesta fiind dedicat pentru conexiunile realizate cu partenerii de afaceri ai firmei ( furnizori , resealeri etc.).Vom prezenta aceste implementari pe rand impreuna cu tipurile de echipament pe care le putem folosi. 
 
 

Imaginea de mai jos prezinta modul in acer am proiectat conexiunea intre cele trei sedii.Am preferat ca pentru moment sa leg doar prin doua conexiuni dar sa fac posibila si o treia intre Bucuresti si Timisoara . 
 
 

Dupa cum se vede am preferat folosirea numai a routerelor cu toate ca exista solutii care cuprind pe langa routere si hardware firewalls ( in acest caz routerul este degrevat de o multitudine de sarcini ) .Am ales arhitectura cu routere deorece mi se pare mai scalabila . 
Va trebui sa legem routere ceva mai puternice . Pana aici totul este simplu dar trebuie ales routerele pe care sa le folosim in cele trei locatii si tipul de legatura WAN. Pentru routere vom tine seama in principal de recomandarile facute de firma producatoare Cisco intrucat acesta este un proiect teoretic .In cazul practic adesea se coboara cu o treapta mai jos decat recomandarile producatorilor. 

Pentru sediul firmei se recomanda ca alegerea sa se faca dintre urmatoarele serii : 2600 , 3600 , 7100.Fac mentiunea ca ma ales sa folosesc serii cu routere VPN-optimized mai puternice ( exista si categoria VPN-enabled care sunt recomandate penru solutiile care cer o cripatare moderata si cerinte limitate de tunel). 

Este un fapt extrem de important in alegerea routerului sa tinem seama de scalabilitatea echipamentului domeniul fiin extrem de dinamic din toate punctele de vedere.Exista tendinta de a se concentra pe un singur backbone cam tot ceea ce tine de comunicarea de date de orice fel : video , voce , informatii. In acest sens trebuie tinut cont de tehnologii ca Voice-over-IP (VoIP) si mai ales AVVID .Asa ca in ceea ce priveste routerele vom prefera categoric o solutie modulara aceasta permitand adaugarea unor noi componente pe sasiu. 

Asadar pentru sediul centreal este un router din cele trei serii mai sus mentionate.Am sa le prezint pe fiecare in cateva cuvinte iar in cele din uram am sa prezint alegerea mea . 

Seriile 2600 si 3600 permit folosirea unei multitudini de tipuri de interfete pentru WAN (de la ISDN si pana la cele mai rapide conexiuni ).Permit de asemenea sa fie folosite in toate cele trei tipuri de VPN avand un design modular. Ambele serii au procesoare RISC.Permit realizarea unor tunele folosind : Ipsec , GRE , L2F si L2TP iar ca modalitatea de incriptare  HI’ 00 in hardware ( ca modul optional ).Se pot folosi module de voce permitand trecerea la tehnologii avansate.Imaginea de mai jos prezinta modulele de VPN pentru cele doua serii . 

Seria de routere 7100 ( si cele care urmeaza pe aceasta ) pot fi considerate daca imi este permis , un fel de Mercedes al routerelor .Acestea permit optiuniunile cele mai avnsate in routing si switching , au optiuni de scalabilitate extreme ( pot merge lejer pe Gigabit Ethernet ) .Partea mai putin placuta este ca si pretul este pe masura.Eu personal am vazut un Cisco 7500 care ducea in spate cateva mii de hosturi , servere de web puternice ( SUN ) cu routare intre VLANe pe Fast Ethernet si Gibabit Ethernet plus alte taskuri . Aceste routere permite folosirea unei game foarte variate de porturi permitand totodata si folosirea unui mare numar de placi pe un singur router.Pot fi folosite in toate tipurile de VPN permitand tuneling si incriptare cu cele mai bune tehnologii (Ipsec ,L2TP,L2F,GRE,3DES,PPTP,MPPE). Aceasta serie mai permite si folosirea setului de  caracteristici Cisco IOS Firewall. 

Pentru filiale avem in principiu doua optinui : fie seria 1700 fie seria 800.Seria 1700 mi se pare cea mai buna alegere pentru ca in primul rand este modulara , in aldoilea rand permite o mare diversitate a porturilor pentru WAN ( pot fi folosite acceasi gama de conexiuni ca si pentru seriile 2600 si 3600 ). In plus permite facilitati de tunneling ca L2F,L2TP,Ipsec,GRE iar incriptarea o realizeaza in software. In plus fata de aceste aspecte mai ofera posibilitatea de routare pe Fast Ethernet ceea ce ar fi ideal pentru necesitatile noastre de arealiza LANuri 100% Fast Ethernet. Aceasta serie ofera si avantajul posibilitatii de a folosi module pentru transmiterea de voce facand posibila realizarea unei retele care sa suporte in totalitate VoIP si telefonia intre cele trei locatii1 . 

Seria 800 ofera o interfata pentru ISDN si din cauza aceasta face mai prohibitiva utilizarea acestui router si anume ca va trebui sa depindem de monopolul Romtelecom , fapt destul de ingrijorator .Alternativa ar fi folosirea seriei UBR900 sau 1400 .Acestea permit IPsec , L2TP ,Cisco IOS Firewall .Ubr900 permite utilizarea unui modem de cablu. 

Acum trebuie mentionata alegerea mea.Sa optez pentru routere peste 7000 mi se pare cam nepractic pentru dimensiunile pe care le are firma momentan .As face-o daca as sti ca se prefigureaza cresteri mari in debitul informational .Dar deocamdata aleg pentru sediul din cluj un router din seria 3600 iar pentru cele doua filiale cate unul din seria 1700. 
Alegerea o fac tinand cont si de faptul ca acestea sunt modulare si permit optiuni ve VoIP si AVVID .In legatura cu ultimul termen discutia este ceva mai complicata pentru ca alegerea gatewaylui este ceva mai dificila fiind diferente intre tipul acesteia ( digital sau analog , cati useri trebuie sa suporte , facilitati de fax etc ).Oricum subiectul aceste lucrari este mai putin orientat spre prezentarea unei solutii de VoIP si cu atat mai putin de AVVID.Totusi am sa prezint schema de principiu a realizarii unei retele care sa permita VoIP. 

Alegerea furnizorului de servicii internet (ISP). Acest lucru poate fi considerat o optiune subiectiva .In cazul meu am luat hotararrea dupa ce am consulatat mai multe oferte.La Xnet am vazut niste birouri foarte luxoase .Am ales RDS care dupa parerea mea sunt cei mai buni pe piata la ora actuala avand o rata de dezvoltare foarte buna . Pe langa tot avantajul tehnologic pe care il au fata de alti competitori au dat dovada si de deplina transparenta oferindu-mi toate detaliile de care am avut nevoie . 
Vom trata aici problema VPN-ului nu si pe cea a conexiunii la intrenet aceasta fiind deja schitata.In general prefer conexiunile end-to-end cu providerul ( la un necesar de banda ca acesta ar fi si ceva mai dificila utilizarea unor linii inchiriate ).Asadar toate cele trei locatii vor avea conexiune neintermediata cu providerul .Ar trebui ales tipul de conexiune aici fiind ceva mai multe posibilitati .Le vom prezenta schematic mai jos schitand posibilitatile de realizare. 
 
 

Pe schema de mai sus se pot observa in detaliu ce tipuri de conexiuni sunt posibile cu providerul pe care l-am ales si la ce debit de date sunt acestea disponibile.Eu as alege una dintre primele doua posibilitati ( cablu coaxial sau modemuri radio ) datorita bunului raport performanta/prêt.Se mai pot face alegeri hibride ca de exemplu in Cluj varianta pe cablu iar in Timisoara si Bucuresti varianta radio. Linia denumita DEMARC defineste responsabilitatie firmei in administrarea retelei fata de cele ale providerului de internet (RDS) , adica responsabilitatea mea este doar pana la aceasta linie restul fiind de partea ISPului. 

Implementarea Access VPN Realizarea unui astfel de VPN consider ca est necesara pentru ca extinde granitele informatice ale firmei , permitand salavarea unor costuri prin posibilitatea de a folosi angajati care la fel de bine isi pot desfasura activitatea si acasa.Un alt avantaj este faptul ca in felul acesta se pot realiza conexiuni importante intre diferiti utilizatori mobili ( care spre  exemplu trebuie sa circule in interes comercial ) si firma.
De asemenea este posibilitatea de a seta conexiuni de backup intre sediul firmei si filialele sale acestea fiind necesare in cazul in care se ajunge ca intre aceste sedii sa circule informatie vitala pentru activitatea comerciala a firmei. 

In ceea ce urmeaza voi incerca sa prezint cam ce posibilitati ar fi pentru realizarea unei astfel de conexiuni .In principiu sunt doua : 

1.Prin intermediul providerului de servicii internet acesta punand la dispozitie contra cost majoritatea echipamentelor necesare ( NAS , modemuri , conexiunea tnelata si cripatata cu firma mea ).Aceasta este una care mi se pare mai avantajoasa din punct de vedere financiar pentru ca in afara de un port de pe routerul big-ro dedicat pentru conexiunea cu providerul si de managementul userilor nu mai am alte responsabilitati.Ma refer la mine ca la administratorul acestei retele – firma avand de platit serviciile catre provider.In plus aceasta situatie imi ofera si avantajul ca utilizatorii se pot conecta si din alte localitati ( conditia este ca providerul sa aiba POP acolo ) avand de platit doar costul convorbirilor locale.Toate aceste argumente sunt suficiente pentru a convinge staful acestei firme ca ese mult mai sanatos financiar implementarea acestui tip de access VPN decat oricare altul .Aceasta fiind o lucrare cu caracter teoretic am sa prezint schematic ambele posibilitati. firmei. 

In continuare am sa prezint modul in care se poate realiza un access VPN folosind un NAS al providerului .Acesta va fi un exemplu de VPN initiat de serverul de acces al providerului care asa cum am mai mentionat si in partea teoretica a lucrarii are avantajul ca nu mai necesita folosirea unui client de VPN pe partea utilizatorului care se conecteaza la 
siteul firmei si are dezavantajul ca nu asigura un tunel cripatat decat intre NAS si routerul firmei . 

In cazul unui astfel de acces VPN responsabilitatile vor fi impartite intre administratorul de sistem al firmei si ISP dupa cum urmeaza : 

ISP :
        -acizitioneaza , configureaza si mentine Network Access Serverul ( NAS ) in POP sau
        -achizitioneaza si suporta modemurile necesare pentru conexiuni impreuna cu numarul de telefon necesar conectarii ( in general este un numar dar procedura de achizitionare este ceva mai complicata pentru ca in cazul in care ai 20 de modemuri folosesti un singur numar de telefon cu care esti vazut din afara dar achizitionezi de la Romtelecom 20 de numere pe care le asociezi cu modemurile .Stabilirea conexiunii se face printr-un procedeu de hunting : primul modem gasit liber va fi folosit pentru realizarea conexiunii .Acest hunting il realizeaza centrala Romtelecomului.)
       -mentine un server de autentificare si autorizare (AAA)
       -mentine un router care se va conecta cu routerul firmei

 Firma :
  -achizitioneaza , configureaza si mentine routerul sau
  -autentifica si autorizeaza ( username si parola ) utilizatorii ( server AAA) .

Imaginea de mai jos prezinta schematic tipul de aparatura utilizata pentru realizarea acestui tip de Access VPN .Dupa cum se poate vedea pe partea utilizatorului nu este nevoie decat de un terminal si un modem fara a trebui configurat nimic altceva decat un username si o parola de acces in serverul ISPului. 

Utilizatorul poate in principiu folosi orice sistem de operare cu conditia ca acesta sa fie capabil de dial-up.Odata ce utilizatorul initiaza o sesiune de dial-up se va conecta la NAS .Logarea se va face la serverul de parole al ISPului .Pentru aceasta logare va fi folosita un alt username configurat in client , ca de exemplu abcd@firma.ro .Serverul de parole va fi interesat numai sa descopere ce domeniu vrea sa contacteza acel uttilizator .Va gasi in baza sa de date ca acel client doreste sa se coencteze la domeniul firma.ro .Din acest moment face legatura cu routerul ISPului si trimite acestuia comanda . 

Routerul ISPului va incepe negocierea unui tunel criptat cu big-ro.Dupa ce acesta va fi functional se face legatura cu sesiunea deschisa de utilizator , echipamentul ISPului devenind transparent pentru procesul de logare care va urma.Utilizatorul se ogheaza cu usernameul si parola pe care le-a configurat in clientul sau de dial-up.Este verificat in serverul de parole al firmei si se da acordul sau nu asupra inceperii transferului de date sau orice altceva se doreste in reteaua firmei. 
Din acest moment utilizatorul poate fi considerat ca facand parte integranta din retea firmei .Fiecare utilizator poate fi asociat cu anumite drepturi , privilegii , asociat unui anumit grup de utilizatori , asociat cu anumite ore in care poate sa-si desfasoare activitatea. 

In general pentru locatia ISPului se recomanda ca serverul de parole sa fie un SUN cu UNIX iar la firma se poate foarte bine folosi un PC cu Windows NT 4 sau 2000 server.Cisco vinde mai multe tipuri de servere de acces ( NAS) unul recomandat pentru o astfel de utilizare ar fi Cisco AS5300 .Ca router pentru ISP se poate folosi un Cisco 4500- M. 

e partea clientului am discutat deja aspectul acesta : un router din seriile 2600 , 3600 sau Un avantaj deosebit ar fi introducerea ISDNului in Romania .Acesta ar permite conexiuni mai rapide ( 64 kbps) cu viteza mai mare de constituire , posibilitatea de a folosi canale separate pentru voce si date precum si un management mai bun al conexiunii prin cele trei canale ( 2B+ D).Dar deocamdata cu toate ca a fost lansat oficial la noi ,ISDN este in faza de teste ( iunie 2001) intr-un singur judet.Pentru trecerea la ISDN este nevoie de schimbarea modemurilor la ambele capete si de un switch de ISDN pe partea providerului. 
 
 

2.A doua modalitate prin care s-ar putea realiza un Access VPN este folosirea independent de ISP a unor echipamente care sa permita realizarea conexiunilor.In acest caz putem spune fara sa gresim ca firma se transforma intr-un ISP mai mic.Aceasta poate avea avantajele sale dar mai presus de toate are costuri ridicate nu atat de mult la implementare cat mai ales la management si intretinere.Acest fapt se datoreaza preluarii tuturor atributiilor de catre firma . 

Totusi si aici exista o solutie de compromis : folosirea unui concentrator de remoteaccess VPN .Cisco eset de asemenea lider de piata si la acesta categorie de echipamente. 
Exista doua serii de echipamenete furnizate in acest sens : Cisco 5000 Concentrator Series si Cisco Concentrator 3000 Series .Prima categorie este una mamut , poate asigura de pana la 40 000 de conexiuni simultane.A doua categorie este cea de care ne vom ocupa fiind mai apropiata de dimensiunile la care este firma noastra – permite pana la 100 de sesiuni simultane . 

Acest tip de VPN necesita ca pe langa folosirea acestui concntrator utilizatorul care se conecteaza la siteul firmei sa aiba instalat si configurat si un client de VPN .Acesta este o componenta software care de obicei se livreaza gratis cu concentratorul. 
Concentratorul are o structura modulara permitand scalabilitatea in functie de cerintele de conexiune sau de cerintele de criptare acestea putand fi facute atat in hardware cat si in software ( mult mai performanta ). 

Cripatarea se face folosind urmatoarele tehnologii : IPsec, PPTP, L2TP, L2TP/IPsec, NAT Transparent Ipsec .Criptarea se face folosind : IPsec Encapsulating Security Payload (ESP) ufolosind DES/3DES (56/168-bit) cu MD5 sau SHA, MPPE folosind 40/128-bit RC4. Pentru conexiune se pot folosi dial-up , ISDN , cablu coaxial , xDSL. 

Ca si clienti se pot folosi urmatoarele produse : Cisco VPN Client, VPN 3002 Hardware Client, Microsoft Windows 2000 L2TP/IPsec Client si Microsoft PPTP pentru Windows 95, Windows 98, Windows NT si Windows 2000. 
 

•   Procesul de comunicare intre client si concentrator parcurge uramatorii pasi :
•   Se negociaza tunelul : adrese ,algoritmi etc.
•   Se stabileste tunelul in functie de factorii definiti mai devreme.
•   Autentificarea utilizatorilor : username , grupul din care fac parte , parole ,alte certificate ( semnatura electronica etc).
•   Stabilirea drepturilor pe care le are utilizatorul : ore de acces , durata conexiunii, protocoalele folosite.
•   Negocierea cheilor de securitate.
•   Incepe procesul de incriptare iar comunicatie poate sa inceapa.

Extranet VPN
 

In legatura cu acest subiect nu mai sunt aici prea multe de spus pentru ca in mare ss-au acoperit aspectele tehnice. 
Asadar acest tip de VPN permite conexiunea siteului firmei cu potentiali colaboratori : clienti , resealeri , alti parteneri.Drepturile pe care le au acestia in reteaua firmei pot fi setate functie de tipul relatiei stabilite cu acestia . 
Din punct de vedere tehnic nu este mare deosebire in realizarea linkurilor cu acestia sau angajatii firmei .Acestea pot facute fie prin legaturi dedicate fie prin dial-up.Acestea au fost deja prezentate si sunt valabile si pentru acest tip de VPN. 
Bineinteles ca subiectul ramane deschis pentru ca si aici se pot folosi metode de certificare ca semnaturi electronice unde arhitectura este ceva mai complexa intrucat implica si o autoritate de certificare. 
 
 

Implementarea unei retele VPN este doar prima parte a problemei.In general implementarea o face o firma specializata in asa ceva ; cel mai adesea o firma de consultanta este insarcinata cu dezvoltarea proiectului .Dezvoltarea proiectului se face dupa un studiu al activitatii firmei client si in fuctie de cerintele de trafic si aplicatii ale acesteia .Nu spun ca designul este o parte usoara dar partea cea mai grea este in mod categoric managementul retelei create si impunerea unor standarde de calitate in exploatarea acesteia.Aceasta se materializeza printr QoS ( Quality-of-Service ). 

Mai concret un utilizator al retelei respective nu-si va pune in nici un caz problema tipului de router folosit sau a tipului de tunelare si incriptare intre sedii.Intrebarea pe care o va pune celui care implementeaza sau administreaza reteaua ve fi de genul : 

Voi putea sa accesez rapid serverul firmei pentru a vedea ce stoc de produse este disponibil ? 
Voi putea sa comunic numarul contului de plati cu clientul din Bucuresti fara ca nimeni sa nu fure acesta informatie din retea ?

Asadar intrebari concrete la care se poate raspunde mai putin in termeni tehnici .Pentru cel care implementeaza si administreaza reteau aceste intrebari se traduc in termeni de intarzieri pe retea (delay) , banada de acces WAN ( bandwidth si throughput ) , securitate , asigurarea prioritatii pentru informatia vitala activitatii economice ( mission-critical ).Toate acestea pot fi rezolvate cu ajutorul unui pachet de unelte create in acest sens si implementate in IOS de catre Cisco care sunt denumite cum am precizat si mai sus QoS. 
 

•   QoS urmareste in principal urmtoarele aspecte :
•   Clasificarea pachetelor de date.
•   Managementul bandei disponibile.
•   Evitarea congestiilor

• Adresa IP
• Porturi TCP sau UDP.
• Precedanta IP.
• URL.
• Adresa MAC.
• Timpul in care se face transmisia

In acest sens se poate spune ca se impune folosirea a inca unui termen : ToS – type-ofservice. Acesta permitand clasificarea pachetelor. Odata ce anumite pachete au fost marcate ca fiin mai importante decat altele trebuie sa asiguram faptul ca aceste pachete vor avea un tratament special.Acest lucru se face prin prin managementul bandei ( bandwidth management ).Cea mai importanta metoda de management a bandei este punerea in cozi a pachetelor. 

Punerea in cozi a pachetelor poate fi inteleasa prin intermediul termenului de flux de date .In general un flux inseamna un grup de pachete de date care impart acelesi criterii de clasificare enuntate mai sus. 

Punerea in cozi a pachetelor ( WFQ1) poate fi de doua tipuri : flow-based WFQ si classbased WFQ.In flow-based WFQ pachetele sunt clasificate pe flux , mai exact fiecare flux corespunde unei cozi de iesire separate.Cand un pachet este clasificat intr-un anumit flux el va fi plasat intr-o coada care apartine acelui flux.In perioade de congestie sistemul de punere in cozi a pachetelor (WFQ) aloca fiecarei cozi o anumita largime de banda. 

Class-based WFQ defineste prioritati in functie de niste clase de pachete pe care administratorul trebuie sa le defineasca.Crearea de clase se poate realiza spre exemplu cu ACLurile iar apoi se aloca fiecarei clase o fractiune din banda de iesire a unei interfete 

WAN.Diferenta fata de tipul bazat pe fluxul de date consta in aceea ca in cazul claselor alocarea este absoluta la capacitatea interfetei si nu relativa la alte fluxuri ( flow-based).In class-based se poate face alocarea in procente sau kbps . 

Acest ultim tip WFQ este cel mai important pentru ca permite alocarea de banda garantata pentru o anumita aplicatie ( spre exemplu pentru baza de date cu informatiile financiare vitale ) precum si definirea de utilizatori care au prioritate in folosirea benzi disponibile . 

Evitarea congestiilor consta in termeni teoretici in capacitatea de a recunoaste congestiile care apar pe o anumita cale de comunicare si de a le minimiza efectele.Congestiile produc efecte nedorite in VPN si trebuie evitate. Cisco a implementat in IOS un algoritm intitulat WRED.Acesta consta in definirea unor limite de trafic pentru diferite clase de de trafic ( definite cu class-based WFQ ).Odata ce aceste limite sunt depasite pachetele vor fi aruncate in functie de prioritatea acestora : cele 
mai putin importante primele iar cele importante ultimele. 

Concluzii : exista momentan cateva scule care pot fi folosite pentru imbunatatirea si eficientizarea traficului in retelele VPN .In principal este deosebit de important o urmarire atenta si eficientizare a traficului pe legaturile WAN pentru ca acestea sunt cele mai scumpe .Politicile firmei in ceea ce priveste traficul trebuie in primul rand enuntate in functie de tipul de date care circula iar mai apoi implementate , echipamentele Cisco permitand un foarte bun control al traficului.