現在很多連接都被稱作VPN（Virtual PRivate Ntwork），讓很多人分不清楚。那么，一般所說的VPN到底是什么呢？顧名思義，虛擬專用網不是真的專用網絡，但是它卻能夠實現專用網絡的功能。

熟悉VPN

虛擬專用網指的是依靠ISP（Internet服務提供商）和其它NSP（網絡服務提供商），在公用網絡中建立專用的數據通信網絡的技術。在虛擬專用網中，任意兩個節點之間的連接，并沒有傳統專用網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的。

對于VPN的定義有很多說法，但是都基于這樣一種思想：VPN利用公共網絡基礎設施，通過一定的技術手段，達到類似私有專網的數據安全傳輸。從定義上看，VPN首先是虛擬的，也就是說VPN并不是某個公司專有的封閉線路或者是租用某個網絡服務商提供的封閉線路。但是，VPN同時又具有專線的數據傳輸功能，因為VPN 能夠像專線一樣在公共網絡上處理自己公司的信息。

VPN在類型與應用方式上有訪問虛擬專網（access VPN）、企業內部虛擬專網（Intranet VPN）和擴展的企業內部虛擬專網（Extranet VPN）之分。

VPN技術比較

從總體來說，VPN技術非常復雜，它涉及到通信技術、密碼技術和現代認證技術，是一項交叉科學。目前，VPN主要包含隧道技術與安全技術。

隧道技術 隧道技術對于構建 VPN 來說，是一個要害性技術。它的基本過程是在源局域網與公網的接口處，將數據作為負載封裝在一種可以在公網上傳輸的數據格式中，在目的局域網與公網的接口處將數據解封裝，取出負載。這樣，被封裝的數據包在互聯網上傳遞時所經過的邏輯路徑被稱為“隧道”。 目前VPN隧道協議有四種。

點對點隧道協議PPTP PPTP（Point to Point Tunneling Protocol）協議將控制包與數據包分開?？刂瓢捎肨CP控制，用于嚴格的狀態查詢及信令信息；數據包部分先封裝在PPP協議中，然后封裝到GRE（通用路由協議封裝） V2協議中。目前，PPTP協議基本已被淘汰，不再使用在VPN產品中。

第二層隧道協議L2TP L2TP（Layer 2 Tunneling Protocol）協議是國際標準隧道協議。它結合了PPTP協議以及第二層轉發L2F（Layer 2 Forwarding，二層轉發協議）協議的優點，能以隧道方式使PPP包通過各種網絡協議，包括ATM、SONET和幀中繼。但是，L2TP沒有任何加密措施，更多的是和ipSec協議結合使用，提供隧道驗證。

IPSec協議 IPSec（網絡協議安全）協議不是一個單獨的協議，它給出了應用于IP層上網絡數據安全的一整套體系結構。它包括網絡安全協議AH (Authentication Header)協議和ESP (Encapsulating Security Payload)協議、密鑰治理協議IKE (Internet Key Exchange)協議和用于網絡驗證及加密的一些算法等。IPSec 規定了如何在對等層之間選擇安全協議、確定安全算法和密鑰交換，向上提供了訪問控制、數據源驗證、數據加密等網絡安全服務。

現在一種發展趨勢，是將L2TP和IPSec結合起來，即用L2TP作為隧道協議，用IPSec協議保護數據。目前，市場上大部分VPN都采用這類技術。 它的優點是定義了一套用于保護私有性和完整性的標準協議，可確保運行在TCP/IP協議上VPN之間的互操作性；不足之處在于，除了包過濾外，它沒有指定其他訪問控制方法，對于采用NAT（網絡地址翻譯）方式訪問公共網絡的情況難以處理，為此最適合于可信LAN到LAN之間VPN的場合應用。

SOCKS v5協議 SOCKS v5工作在OSI（Open System Internet）模型中的第五層——會話層，可作為建立高度安全的VPN基礎。SOCKS v5協議的優勢在于訪問控制，因此適用于安全性較高的VPN。 SOCKS v5現在被IETF（互聯網工程任務組），建議作為建立VPN的標準。 它的優點是能夠非常具體地進行訪問控制，即在網絡層只能根據源目的的IP地址答應或拒絕被通過，在會話層控制手段更多一些；由于工作在會話層，能同低層協議如IPV4、IPSec、PPTP、L2TP一起使用；用SOCKS v5的代理服務器可隱藏網絡地址結構；能為認證、加密和密鑰治理提供“插件”模塊，讓用戶自由地采用所需要的技術；SOCKS v5可根據規則過濾數據流，包括java Applet和Actives控制。但是，它也有不少令人遺憾之處：性能比低層次協議差，必須制定更復雜的安全治理策略。這樣，它最適合用于客戶機到服務器的連接模式，適用于外部網VPN和遠程訪問VPN。

安全技術 VPN經常需要在不安全的Internet 中通信，通信的內容可能涉及企業的機密數據，因此其安全性非常重要。VPN中的安全技術通常由加密、認證和密鑰交換與治理技術組成。

認證技術 認證技術防止數據的偽造和被篡改。它采用一種稱為“摘要”的技術。“摘要”技術主要采用HASH函數將一段長的報文通過函數變換，映射為一段短的報文即摘要。由于HASH函數的特性，兩個不同的報文具有相同的摘要幾乎不可能。該特性使得摘要技術在VPN中有驗證數據的完整性和用戶認證兩種用途。

加密技術 IPSec通過ISAKMP/IKE/Oakley 協商確定幾種可選的數據加密算法，如DES（Data Encryption Stamdard）、3DES等。DES密鑰長度為56位，輕易被破譯，3DES使用三重加密增加了安全性。

密鑰交換與治理 VPN中密鑰的分發與治理非常重要。密鑰的分發有兩種方法：一種是通過手工配置；另一種采用密鑰交換協議動態分發。手工配置的方法由于密鑰更新困難，只適合于簡單網絡的情況；密鑰交換協議采用軟件方式動態生成密鑰，適合于復雜網絡的情況且密鑰可快速更新，可以顯著提高VPN的安全性。目前主要的密鑰交換與治理標準有IKE（互聯網密鑰交換）、SKIP（互聯網簡單密鑰治理）和Oakley。

VPN應用實例

北京有一家電力建設公司共有30多家分公司，700多臺計算機。公司原有的網絡系統比較復雜，總公司與分支機構、甲方、監理之間是通過撥號方式連接，每月費用在2萬元以上；而受上網速度的限制，公司內部的文件處理速度非凡慢，導致公司的辦公業務也受到影響，同時還會造成公司數據不能共享。另外，網絡安全也得不到有效地保證。為此，該公司決定對原有網絡進行改造，選擇了一套基于ADSL的VPN解決方案。由此，該公司實現了各個節點之間的VPN互聯；同時，實現了總部與10個分支機構，共500多臺計算機的互聯。試運行結果表明，每月費用從原來的2萬多元下降至3500元。與此同時，公司辦公可以做到及時發布信息，實現數據共享，還可以方便地進行網絡維護。