現在很多連接都被稱作VPN（Virtual PrivateNtwork），讓很多人分不清楚。那么，一般所說的VPN到底是什么呢？顧名思義，虛擬專用網不是真的專用網絡，但是它卻能夠實現專用網 絡的功能。


認識VPN
虛擬專用網指的是依靠ISP（Internet服務提供商）和其它NSP（網絡服務提供商）， 在公用網絡中建立專用的數據通信網絡的技術。在虛擬專用網中，任意兩個節點之間的連接，并沒有傳統專用網所需的端到端的物理鏈路，而是利用某種公眾網的資 源動態組成的。

對于VPN的定義有很多說法，但是都基于這樣一種思想：VPN利用公共網絡基礎設施，通過一定的技術手段，達到類似私 有專網的數據安全傳輸。從定義上看，VPN首先是虛擬的，也就是說VPN并不是某個公司專有的封閉線路或者是租用某個網絡服務商提供的封閉線路。但 是，VPN同時又具有專線的數據傳輸功能，因為VPN能夠像專線一樣在公共網絡上處理自己公司的信息。

VPN在類型與應用方式上有訪 問虛擬專網（AccessVPN）、企業內部虛擬專網（IntranetVPN）和擴展的企業內部虛擬專網（ExtranetVPN）之分。


VPN 技術比較
從總體來說，VPN技術非常復雜，它涉及到通信技術、密碼技術和現代認證技術，是一項交叉科學。目前，VPN主要包含隧道技術與安全 技術。

隧道技術 隧道技術對于構建 VPN來說，是一個關鍵性技術。它的基本過程是在源局域網與公網的接口處，將數據作為負載封裝在一種可以在公網上傳輸的數據格式中，在目的局域網與公網的 接口處將數據解封裝，取出負載。這樣，被封裝的數據包在互聯網上傳遞時所經過的邏輯路徑被稱為“隧道”。目前VPN隧道協議有四種。

點對點隧道協議PPTP PPTP（Point to Point TunnelingProtocol）協議將控制包與數據包分開。控制包采用TCP控制，用于嚴格的狀態查詢及信令信息；數據包部分先封裝在PPP協議 中，然后封裝到GRE（通用路由協議封裝）V2協議中。目前，PPTP協議基本已被淘汰，不再使用在VPN產品中。

第二層隧道協議 L2TP L2TP（Layer 2 TunnelingProtocol）協議是國際標準隧道協議。它結合了PPTP協議以及第二層轉發L2F（Layer2Forwarding，二層轉發 協議）協議的優點，能以隧道方式使PPP包通過各種網絡協議，包括ATM、SONET和幀中繼。但是，L2TP沒有任何加密措施，更多的是和IPSec協 議結合使用，提供隧道驗證。

IPSec協議IPSec（網絡協議安全）協議不是一個單獨的協議，它給出了應用于IP層上網絡數據安全 的一整套體系結構。它包括網絡安全協議AH(Authentication Header)協議和ESP (Encapsulating SecurityPayload)協議、密鑰管理協議IKE (Internet KeyExchange)協議和用于網絡驗證及加密的一些算法等。IPSec規定了如何在對等層之間選擇安全協議、確定安全算法和密鑰交換，向上提供了訪 問控制、數據源驗證、數據加密等網絡安全服務。

現在一種發展趨勢，是將L2TP和IPSec結合起來，即用L2TP作為隧道協議，用 IPSec協議保護數據。目前，市場上大部分VPN都采用這類技術。它的優點是定義了一套用于保護私有性和完整性的標準協議，可確保運行在TCP/IP協 議上VPN之間的互操作性；不足之處在于，除了包過濾外，它沒有指定其他訪問控制方法，對于采用NAT（網絡地址翻譯）方式訪問公共網絡的情況難以處理， 為此最適合于可信LAN到LAN之間VPN的場合應用。

SOCKS v5協議 SOCKS v5工作在OSI（OpenSystemInternet）模型中的第五層——會話層，可作為建立高度安全的VPN基礎。SOCKSv5協議的優勢在于訪 問控制，因此適用于安全性較高的VPN。SOCKSv5現在被IETF（互聯網工程任務組），建議作為建立VPN的標準。它的優點是能夠非常詳細地進行訪 問控制，即在網絡層只能根據源目的的IP地址允許或拒絕被通過，在會話層控制手段更多一些；由于工作在會話層，能同低層協議如IPV4、IPSec、 PPTP、L2TP一起使用；用SOCKSv5的代理服務器可隱藏網絡地址結構；能為認證、加密和密鑰管理提供“插件”模塊，讓用戶自由地采用所需要的技 術；SOCKSv5可根據規則過濾數據流，包括JavaApplet和Actives控制。但是，它也有不少令人遺憾之處：性能比低層次協議差，必須制定 更復雜的安全管理策略。這樣，它最適合用于客戶機到服務器的連接模式，適用于外部網VPN和遠程訪問VPN。  

安全技術 VPN常常需要在不安全的Internet中通信，通信的內容可能涉及企業的機密數據，因此其安全性非常重要。VPN中的安全技術通常由加密、認證和密鑰 交換與管理技術組成。

認證技術認證技術防止數據的偽造和被篡改。它采用一種稱為“摘要”的技術。“摘要”技術主要采用HASH函數將 一段長的報文通過函數變換，映射為一段短的報文即摘要。由于HASH函數的特性，兩個不同的報文具有相同的摘要幾乎不可能。該特性使得摘要技術在VPN中 有驗證數據的完整性和用戶認證兩種用途。

加密技術 IPSec通過ISAKMP/IKE/Oakley協商確定幾種可選的數據加密算法，如DES（DataEncryptionStamdard）、 3DES等。DES密鑰長度為56位，容易被破譯，3DES使用三重加密增加了安全性。

密鑰交換與管理VPN中密鑰的分發與管理非常 重要。密鑰的分發有兩種方法：一種是通過手工配置；另一種采用密鑰交換協議動態分發。手工配置的方法由于密鑰更新困難，只適合于簡單網絡的情況；密鑰交換 協議采用軟件方式動態生成密鑰，適合于復雜網絡的情況且密鑰可快速更新，可以顯著提高VPN的安全性。目前主要的密鑰交換與管理標準有IKE（互聯網密鑰 交換）、SKIP（互聯網簡單密鑰管理）和Oakley。