關鍵技術
　　　　2.3.1Tunnel技術
　　　　通常，企業網采用保留IP建網。保留IP網絡要使用合法IP網絡（例如
　　Internet），可以通過3種方式進行：
　　　　*改用合法IP
　　　　*設置IP轉換網關
　　　　*采用Tunnel技術。
　　　　其中，Tunnel技術具有相對簡單、有效和易于管理的特性，更加適合VPN的要求。Tunnel技術的另一個優點是，既可以在ISP的節點完成，也可以在用戶處完成，或者可以兩者合作完成。而且，現有的許多網絡接入交換設備、接入服務器和廣域網路由器都支持相關的Tunnel技術標準。
　　　　Tunnel協議使數據流可以在公網的虛擬“管道”中傳輸。
　　圖一：Tunnel的數據包結構：
　　CarrierProtocol
　　EncapsulatorProtocol
　　PassengerProtocol
　　　Tunnel中包括下列類型的協議：
　　　　PassengerProtocol：是被封裝的協議。在撥號接入中，此協議可以是PPP、SLIP、或extdialog。
　　　　EncapsulatorProtocol：用于建立、維護和斷開Tunnel。例如L2F等多種封裝協議。
　　　　CarrierProtocol：用于運載經過封裝的協議。IP是首選CarrierProtocol。這是因為，IP在Internet中使用廣泛、路由功能較強。但是，EncapsulatorProtocol與IP之間并沒有依賴關系，也還可以用FR、X25-VC、ATM-SVC等作為CarrierProtocol。
　　　　2.3.2安全技術
　　　　能否保證VPN的安全性，是VPN網絡能否實現“Private”的關鍵。基于Internet的VPN首先要考慮的就是安全問題。
　　　　可以采用下列技術保證VPN的安全：
　　　　*口令保護
　　　　*用戶認證技術
　　　　*一次性口令
　　　　*用戶權限設置
　　　　*在傳輸中采用加密技術
　　　　*采用防火墻，把用戶網絡中的對外服務部分和對內服務部分隔離開。
　　　　2.3.3可用性
　　　　由于VPN是建立在Internet的基礎上的，所以可以采用下列技術保證VPN的up-time和吞吐量等可用性指標：
　　　　*采用相應的高速廣域網設備和數據壓縮技術。
　　　　*采用路由備份和冗余設計。
　　　　2.3.4用戶管理/認證和計費
　　　　通過NAS和CPE設備提供的LOG文件，包括用戶名、流量、連接時間等數據進行計費。
　　　　3有關協議的比較
　　　　3.1Tunnel技術趨勢
　　　　主要的協議和技術趨勢有3種：
　　　　*PPTP：微軟和ASCEND在PPP基礎上聯合開發了PPTP（點對點Tunnel協議，適用于WindowsNT和Netware的client/server環境。
　　　　*ATMP：ASCEND開發的ATMP（ASCENDTunnel管理協議），融合了PPTP和GRE，適用于IP、IPX、NetBIOS和NetBEUI環境的數據流。
　　　　*L2F：CISCO開發的Layer-2ForwardingTunnel協議。在其基礎上，進一步提出了L2TP（Layer-2TunnelingProtocol），綜合了L2F和PPTP的優點，即將成為一項
　　工業標準。
　　　　另外，還有：
　　　　*DLSw：IBM的DataLinkSwitching技術，支持SNA到IP的加密，已經成為工業標準。
　　　　3.2三種主要協議的比較
　　　　3.2.1ATMP與PPTP
　　　　ATMP和PPTP都是基于GRE的協議，區別在于：
　　　　*ATMP不需要Windows/NT服務器，內部代理可以是路由器或者網關。PPTP需要遠端用戶運行WindowNT、Window95或PPPclient軟件。內部代理必須是
　　WindowsNTserver。
　　　　*PPTP支持NetBios，ATMP支持IP/IPX。
　　　　*PPTP先把PPP數據包加密，然后放在tunnel中傳輸；ATMP只加密認證信息，其他數據明碼傳輸。
　　　　3.2.2ATMP與L2F
　　　　L2F協議在某些方面與ATMP很相似。最主要的區別在于封裝方式不同。
　　　　L2F不是基于GRE(RFC1701)的，而是基于PPP的。使用L2F，遠端用戶必須運行PPP。而且，用戶端的網關和NAS設備也必須運行L2F。
　　　　L2F的優點是不僅支持IP/IPX，還支持Appletalk等協議。
　　　　但是，L2F要求每個用戶端局域網有專用的網關，費用較高。
　　　　3.2.3PPTP與L2F
　　　　PPTP與L2F的區別有下述幾個方面：
　　　　*L2F不是基于GRE(RFC1701)的，而是基于PPP的。使用L2F，遠端用戶必須運行PPP。而且，用戶端的網關和NAS設備也必須運行L2F。
　　　　*與PPTP相比，L2F不僅支持IP/IPX，還支持Appletalk等協議；而且每個用戶局域網的前端不需要WindowsNTserver。
　　　　*但是，L2F不是真正的端到端技術。PPTP雖然需要WindowsNTserver，但是
　　GREtunnel以PPPframe形式運行。PPTPtunnel對GRE作了增強，增加了流控機制，所以，PPTPtunnel容易管理。
　　　　*PPTP不使用tunnelIdentifier，開銷較小。
　　　　*L2F要求每個用戶端局域網有專用的網關，費用較高。
　　　　*L2F不支持流控，由封裝的協議自行管理數據，需要數據重傳功能。PPTP假定的底層媒體是IP，L2F沒有假定。
　　　　*L2F本身支持的用戶驗證方式較多，PPTP支持的較少。
　　　　*L2F不支持Callback和ISDN/Modempooling，PPTP支持。