VPN（Virtual Private Network）指的是依靠ISP和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。虚拟专用网能够实现专用网络的功能，但它不是真实的专用网络。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。
    一、VPN的适用特点
    1．VPN与Internet骨干部分相互独立
    VPN的实现不需要对因特网骨干部分进行修改，因为VPN的构建工作主要在Internet的边界设备上完成，VPN利用的只是骨干因特网的数据传输能力。骨干网内部路由器完成标准的路由和转发，不关系到VPN是否存在，也不会保留任何VPN的状态信息，因此在Internet上实现VPN并不影响整个因特网的扩展性和自由升级，而且整个因特网骨干部分的升级将直接提高VPN网络的速度等性能。
    2．在边界设备上，对一个VPN的任何动作不影响其他VPN
    VPN的边界设备可以是用户的前端设备，如路由器，也可以处于服务提供商的前端设备上，当边界设备处于ISP的前端设备上时往往采用虚拟路由器（VR）的方式，因此在ISP的一个前端设备上可能有多个VR的存在，每个VR在功能、应用上和一个物理路由器没有区别。每个VR代表一个VPN中一个子网络的接入，对一个VR的控制处理不干扰影响其他的VR。
    3．不限制在VPN域中或在骨干网中使用的协议
    通过逻辑隧道相连的不同边界设备以及与边界设备连接的用户子网或者移动用户共同组成了虚拟专用网络，可以在这个虚拟的网络中运行独立的协议来寻找该虚拟网络中的成员以及收集成员可达信息，这样就有可能在不同的VPN网络中和在Internet骨干网络上运行独立不同的协议。现存的隧道协议有很多种，在封装的数据类型和采用的封装处理上有区别，如IPSec、IPIP、GRE等，用户可以自由选用。
    4．VPN间能够复用地址空间
    每个VPN都有一个属于自己的地址空间，这个地址空间由私有地址组成。不同的VPN之间可以用相同的私有地址来标识该VPN中的主机，并且采用7个字节长度的VPN-ID来区分不同的VPN。一个VPN-ID加上一个私有IP地址即可确定VPN中的一台主机。同一台主机可以处于不同的VPN网络中，它在不同的VPN中独立地被分配地址。这个特点很有实际应用意义，比如一个企业的某些信息既想让本企业访问，同时也希望提供给相关企业或商家，那么该段子网或者提供信息的服务器就应该能接入到不同企业各自的VPN网络中去，以便安全地提供信息。
    5．满足不同的服务质量要求
    每个不同的VPN允许有不同的QoS配置。VPN的QoS实现能力主要还依赖于边界设备的位置。当边界设备驻留在服务提供商的前端设备上，并且用户有完全的或者和ISP共同拥有的有限网络管理能力时，用户可以根据自己VPN应用对资源的需求来分配带宽，处理时延抖动，以满足自己的质量服务需求。
    6．适应不同的业务提供模式
    在实际应用中，一个VPN网络可能跨越不同ISP提供的服务区，因此业务提供商通过自己的骨干网提供VPN业务或通过租用其他运营商骨干网实现VPN业务都应允许。
    二、VPN的分类
    VPN解决方案有四种，最常用的是VPDN，就是基于拨号的VPN；第二种是VPRN，是基于路由的VPN；第三种是VLL，是基于虚拟专线的VPN；最后一种VPLS是基于局域网仿真的VPN。它们之间最根本的区别在于数据包在接口（如桥和路由器）之间不同的转发方式。这在物理网上的体现就是：中继器（Repeater）不检查数据包的内容直接把一个端口进来的数据从另一个端口转发；桥利用数据包中的MAC地址转发数据包；路由器利用网络层地址来转发数据。IP隧道可以看作另一种链路，这种链路可以和其他链路联通，在联接点上通过类似于桥转发表或者IP转发表的不同方式，就决定了不同类型的VPN。
    1．虚拟专用拨号网络（VPDN）
    目前VPDN的应用比较广泛。用户利用拨号网络访问企业数据中心，用户从企业数据中心获得一个私有地址，但用户数据可跨公共数据网络进行传送，可利用PPTP、L2F、L2TP等协议实现。VPDN可以用于远端移动用户在需要时通过隧道穿越公网接入在其他地方的网络，拨号通过接入网采用PPP会话协议通过接入服务器（NAS）的标准认证协议，如Radius的认证之后再进行数据通信服务。IETF提出了L2TP协议来把PPP会话从L2TP接入集中器（LAC）延伸到L2TP网络服务器（LNS）。L2TP协议是在L2F和PPTP之上发展起来的，使用的时候可以有两种方式：强制式和自愿式。L2TP可以用UDP在IP网络上传输，也可以直接在ATM或者帧中继网上传输。
    2．虚拟专用路由网络（VPRN）
    VPRN对网络服务商的硬件要求很高，但由于功能很强大，大型的企业客户应用较多。企业可以利用公共数据网络建立自己的私有企业网络。用户可自由规划企业各分支机构之间的地址、路由策略、安全机制等。实现协议包括GRE、L2TP、VTP、IPSec、MPLS等。证券公司这类企业在全国各地有许多分支机构，并且分支机构和总部发生的是频繁、长期的联系，需要网络带宽保证，所以VPRN这种基于路由的VPN在这类用户中很受欢迎。尤其是像IPTV这样的服务，一定要采用基于路由的有质量保证的VPRN。
    整个VPRN由用户子网、拨号用户和ISP边界设备组成。ISP边界设备在整个VPRN中起骨干网的作用。VPRN基于IP，这是虚拟专用网中最复杂而且最常用的一种方式，需要的技术有VPN-ID分配、网络拓扑、用户子网段或者移动用户接入、边界路由器对其子网的成员或者移动用户的成员信息发现技术（如目录查询、明确的管理配置、用路由协议携带成员信息等）、边界路由器对子网中成员可达信息的获取及分发技术。构建基于网络的VPRN常用的方法是借助虚拟路由器VR的概念和功能来实现。采用VR的初衷是用来传送VPN网络成员可达信息，但对于ISP来说，运用VR构建VPRN可以直接利用已有协议和管理资源，简化了针对VPN的管理和系统处理，因此受到广泛的关注。
    3．虚拟租用线路（VLL）
    VLL是基于虚拟专线的一种VPN，在公网上开出各种隧道，模拟专线来建立VPN。它提供点对点的连接，VLL用来连接两个用户终端设备CPE。用来连接CPE和ISP节点的可以是任何链路类型，如ATM VCC或者帧中继电路，而CPE可以是路由器、桥或者单独的主机。两个ISP节点都与IP网络相连，IP隧道在这两个节点之间建立，在每个ISP节点上通过系统配置，在第二层上将网络子段与隧道绑定（如ATM VCC和IP隧道），这样数据包跨越了公网中继传输。但从用户的角度看来，好像只有一条ATM VCC或者帧中继电路用来连接两个CPE设备。在VLL中，IP隧道协议必须支持多协议处理，当数据包排序对用户很重要时，该隧道也要支持数据包排序。如果隧道的建立是采用信令协议的话，就要采用数据驱动的方式，当从用户子网段接收到数据并且没有隧道存在时就需要建立隧道。
    与实际的专线相比，VLL的好处是可以节省一些费用，但是这种专线是在公网上打隧道，是运用第三层协议打出来的专线，这种专线的质量和稳定性都不是很好，而且在企业的分支点或联系的人比较多的时候，隧道入户多，管理起来很困难。
    4．虚拟专用LAN子网段（VPLS）
    VPLS是在公网上用隧道协议仿真出来一个局域网，可以用来连接多个CPE子段，透明地提供跨越公网的LAN服务，采用桥或者路由器把CPE连接到ISP边界设备。在拓扑和操作上VPLS非常类似于前面的VPRN，不过VPLS网络的每个边界节点在地址分配和数据包转发机制上，采用的是链路桥的方式而不是网络层的方式。
    由于在局域网中一般采用广播的形式来进行地址解析和各种数据包的发送，而VPLS是对一个局域网的仿真，因此它需要支持多播和广播功能，以便能把分布于不同地点的子网段或者主机之间通过VPLS的方式连接在一起，使这些子网和主机通信如同在同一个局域网一样，不过这种多播和广播隧道会增加因特骨干网上的通信量。
摘自《通信世界》