在VPN（虛擬專用網）的遠程應用中，管理員可混合搭配各種協議，以求VPN在性能和安全之間獲得最佳平衡。

　　VPN可以擴大局域網的覆蓋范圍，而不需要擁有或者租賃專用線路,其成本通常比專線低得多。企業可以使用VPN讓遠程用戶和移動用戶接入網絡，把分散在不同地區的分支機構連入統一網絡，并且能夠遠程使用依靠內部服務器的應用系統。

　　VPN可以使用兩種機制：其一，向可信賴的通信提供商租賃專用線，這種VPN名叫可信VPN（Trusted VPN）；其二，通過公共因特網傳送經過加密的流量，名叫安全VPN（Secure VPN）。使用基于可信VPN的安全VPN名為混合VPN（Hybrid VPN），把兩種安全VPN（譬如IPSec和SSL）結合到一個網關也屬于混合VPN。

　　可信VPN

　　這些年來，可信VPN已從向電信供應商租賃原始專用線，改為向因特網提供商租賃專用IP網絡線路。在IP網絡上實施可信VPN所用的技術主要有：異步傳輸方式（ATM）、幀中繼和多協議標記交換（MPLS）。

　　ATM和幀中繼在數據鏈路層工作，數據鏈路層是開放系統互連（OSI）模型的第二層，它基于分組交換網絡，MPLS模擬了線路交換網絡的一些屬性，它在通常所謂的“第2.5層”工作，這一層介于數據鏈路層和網絡層之間。MPLS正開始取代ATM和幀中繼，實施面向大型企業及服務提供商的可信VPN。

　　安全VPN

　　安全VPN可以使用IPSec、第二層隧道協議（L2TP，Layer 2 Tunneling Protocol）、安全套接層（SSL，Security Socket Layer）3.0、傳輸層安全（TLS，Transport Layer Security）、第二層轉發協議（L2F，Layer 2 Tunneling Protocol）或者點對點隧道協議（PPTP，Point-to-Point Tunneling Protocol）。

　　IPSec即IP安全，是在網絡層對IP數據包進行加密和驗證的一項標準。IPSec有一系列加密協議，它的兩個主要用途是：保護網絡數據包安全和交換加密密鑰。有些安全專家認為，自上世紀90年代末以來，IPSec是VPN的優先協議。支持IPSec 的操作系統包括Windows XP/2000/2003/Vista、Linux 2.6及更高版本、Mac OS X、NetBSD、FreeBSD、OpenBSD、Solaris、AIX、HP-UX和VxWorks。許多廠商都提供IPSec VPN服務器和客戶機軟件。
　　
　　微軟在Windows 95 OSR2以后的所有版本里面都添加了PPTP客戶機軟件，并且在Windows NT 4.0以后的所有服務器產品中添加了PPTP服務器軟件。Linux、Mac OS X、Palm PDA設備及Window Mobile 2003設備里都有PPTP客戶端軟件。

　　PPTP可以通過密碼身份驗證協議（PAP）、可擴展身份驗證協議（EAP）等方法增強安全性，可以使遠程用戶通過撥入ISP直接連接Internet或其他網絡安全地訪問企業網。它具有隨處可得、免費、易于安裝等優點。

　　Schneier和黑客組織Lopht Heavy Industries的Mudge在前些年發現并公布了微軟PPTP存在的安全漏洞。微軟利用MS-CHAPv2和微軟點對點加密（MPPE）協議迅速解決了這些問題，后來Schneier和Mudge指出：微軟PPTP的安全性仍取決于每個用戶的密碼有多安全。微軟于是在操作系統中執行密碼強度策略，從而解決了這個問題，但Schneier和Mudge仍建議在構建安全VPN時采用IPSec，而不是采用PPTP，因為前者天生更安全。

　　L2F是由思科公司開發的一種比較舊的協議。L2TP借鑒了L2F和PPTP的概念，從而成為數據鏈路層協議。L2TP可以提供隧道，但不提供安全或者驗證，L2TP可以在隧道里面傳輸PPP會話。思科將L2TP實施在路由器中，并且有好幾種采用開放源代碼的L2TP是針對Linux實施的。

　　L2TP/IPSec結合了L2TP的隧道和IPSec的安全通道功能，這樣一來，安全的因特網密鑰交換（IKE）比純粹的IPSec更容易實現。自2002年以來，微軟為Windows 98/ME/NT提供了免費的L2TP/IPSec VPN客戶機軟件，并且隨同Windows XP/2000/2003/ Vista交付L2TP/IPSec VPN客戶機軟件，Windows Server 2003和Windows 2000 Server都包括L2TP/IPSec服務器軟件。

　　SSL和TLS都是在OSI模型的第4層保護數據流安全的協議。SSL 3.0及其后續版本TLS 1.0通常都與能夠實現安全Web瀏覽的HTTP（名為HTTPS）一起使用。不過，SSL/TLS也可以用來創建VPN隧道。譬如，OpenVP就是一款采用開放源代碼的VPN軟件包，適用于Linux、xBSD、Mac OS X、Pocket PC和Windows 2000/XP/2003/Vista。OpenVP使用SSL來提供對數據通道和控制通道進行加密的功能。

　　VPN的安全風險

　　在某些時候，使用VPN會讓公司面臨潛在的安全風險。雖然如今使用的VPN大多數就其本身而言相當安全，但VPN加大了合理保護網絡邊界安全的難度，網絡管理員必須對通過VPN連接到網絡的計算機和直接連接到LAN的計算機實行同樣的安全標準。

　　結合使用兩個VPN可能會把一家公司的網絡暴露在另一家公司的網絡面前。此外，如果PC Anywhere、GoToMyPC或者VNC等遠程控制軟件與VPN一起使用，公司的網絡可能會暴露在駐留本身并沒有連接到VPN的遠程計算機上的惡意軟件面前。

　　建造功能均衡的VPN

　　因為安全VPN依靠加密來保證性能，而一些加密功能屬于計算密集型，所以使用頻繁的VPN可能會讓服務器不堪重負。管理員通常可以把同時連接的數量限制在服務器能夠處理的水平，從而管理服務器的負載。

　　如果試圖連接到VPN的用戶數量突然達到高峰，譬如在導致交通中斷的暴風雨期間，員工可能會發現自己無法連接上VPN，因為所有VPN端口都處于忙碌狀態。管理員應確保不需要VPN的關鍵應用系統正常運行，例如設置代理服務器或者因特網消息訪問協議（IMAP）服務器，讓員工可以在家里或者在路上使用電子郵件。

　　就特定的情形而言，決定使用IPSec還是SSL/TLS可能很難。要考慮的一個因素就是，SSL/TLS能夠透過基于網絡地址轉換（NAT）的防火墻工作，IPSec卻不能，不過這兩種協議都可以透過并不轉換地址的防火墻工作。

　　IPSec可以對兩臺計算機之間傳輸的所有IP流量進行加密，而SSL/TLS只針對某種應用進行加密。SSL/TLS使用成本高昂的異步加密功能來建立連接，并使用更有效的同步加密功能來保護通路的安全。

　　在遠程應用中，管理員可能會混合搭配各種協議，以求VPN在性能和安全之間獲得最佳平衡。例如，客戶機使用由SSL/TLS保護的瀏覽器，通過防火墻連接到基于Web的前端程序；Web服務器使用IPSec連接到應用服務器; 而應用服務器可能使用SSL，跨另一個防火墻連接到數據庫服務器。另外，使用專門的服務器硬件有時可以增強VPN的擴展性。