隨著網(wǎng)絡(luò)，尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，企業(yè)規(guī)模日益擴(kuò)大，客戶分布日益廣泛，合作伙伴日益增多，傳統(tǒng)企業(yè)網(wǎng)基于固定地點(diǎn)的專線連接方式，已難以適應(yīng)現(xiàn)代企業(yè)的需求。于是企業(yè)在自身網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面提出了更高的要求。虛擬專用網(wǎng)（VPN）以其獨(dú)具特色的優(yōu)勢(shì)，贏得了越來越多的企業(yè)的青睞，令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運(yùn)行與維護(hù)，更多地致力于企業(yè)商業(yè)目標(biāo)的實(shí)現(xiàn)。
　　虛擬專用網(wǎng)（VPN）代表了當(dāng)今網(wǎng)絡(luò)發(fā)展的最新趨勢(shì)，它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點(diǎn)（安全和 QoS）和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)（簡單和低成本），能夠提供遠(yuǎn)程訪問，外部網(wǎng)和內(nèi)部網(wǎng)的連接，價(jià)格比專線或者幀中繼網(wǎng)絡(luò)要低得多。而且，VPN在降低成本的同時(shí)滿足了對(duì)網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求，因此，VPN必將成為未來企業(yè)傳輸業(yè)務(wù)的主要工具。
　　VPN是利用公網(wǎng)來構(gòu)建專用網(wǎng)絡(luò)，它是通過特殊設(shè)計(jì)的硬件和軟件直接通過共享的IP網(wǎng)所建立的隧道來完成的。我們通常將 VPN當(dāng)作 WAN解決方案，但它也可以簡單地用于 LAN。VPN類似于點(diǎn)到點(diǎn)直接撥號(hào)連接或租用線路連接，盡管它是以交換和路由的方式工作，如圖所示。許多企業(yè)擔(dān)心在共享的 IP網(wǎng)絡(luò)上傳輸?shù)拿舾袛?shù)據(jù)會(huì)被網(wǎng)絡(luò)黑客截獲甚至修改。因此，在大多數(shù)情況下，在VPN上傳輸?shù)臄?shù)據(jù)流是經(jīng)過加密處理的。使用VPN，企業(yè)內(nèi)部資源享用者只需連入本地ISP的POP（介入服務(wù)提供點(diǎn)）即可相互通信。而利用傳統(tǒng)的WAN組網(wǎng)技術(shù)，彼此之間要有專線相連才可達(dá)到相同目的。有研究機(jī)構(gòu)表明，如果企業(yè)采用VPN替代租用DDN專線，其整個(gè)網(wǎng)絡(luò)的成本可節(jié)約21%-45%，若替代撥號(hào)連網(wǎng)方式，可節(jié)約通信成本50%-80%，VPN的優(yōu)勢(shì)顯而易見。
　　■VPN公網(wǎng)開“隧道”
　　VPN的核心是被稱為“隧道”的技術(shù)。隧道允許 VPN的數(shù)據(jù)流被路由通過 IP網(wǎng)絡(luò)而不管生成該數(shù)據(jù)流的是何種類型的網(wǎng)絡(luò)或設(shè)備。從這個(gè)意義上說，VPN的操作獨(dú)立于其他的網(wǎng)絡(luò)協(xié)議，隧道內(nèi)的數(shù)據(jù)流可以是IP、IPX、AppleTalk或其他類型的數(shù)據(jù)包。
　　
　　隧道技術(shù)的核心是隧道協(xié)議。由 3Com公司和 Microsoft公司合作開發(fā)的點(diǎn)對(duì)點(diǎn)隧道協(xié)議 (PPTP)是第一個(gè)廣泛使用來建立 VPN的協(xié)議。目前，Windows 95、98和 NT 4.0都支持 PPTP，這就使絕大多數(shù)的桌面計(jì)算機(jī)可以初始化一個(gè) VPN。PPTP可以將其他類型協(xié)議的數(shù)據(jù)包提取出來，然后封裝在一個(gè)PPTP包中，這樣就可以支持客戶機(jī) - LAN（例如：移動(dòng)用戶到園區(qū) LAN）和 LAN - LAN（例如：銷售機(jī)構(gòu)到園區(qū) LAN）兩種隧道。
　　■VPN改造企業(yè)網(wǎng)
　　Internet服務(wù)提供商（ISP）和企業(yè)將是VPN的直接受益者。ISP將VPN作為一項(xiàng)增值業(yè)務(wù)推向企業(yè)，并從企業(yè)得到回報(bào)。因此，VPN的最終目的是服務(wù)于企業(yè)，為企業(yè)帶來可觀的經(jīng)濟(jì)效益，為現(xiàn)代化企業(yè)的信息共享提供安全可靠的途徑。
　　對(duì)于ISP來說，VPN提供了巨大商機(jī)。通過向企業(yè)提供VPN增值服務(wù)，ISP可以與企業(yè)建立更加緊密的長期合作關(guān)系，同時(shí)充分利用現(xiàn)有網(wǎng)絡(luò)資源，提高業(yè)務(wù)量。事實(shí)上，VPN用戶的數(shù)據(jù)流量較普通用戶大得多，而且時(shí)間上也是相互錯(cuò)開的。VPN用戶通常是上班時(shí)間形成流量高峰，而普通用戶的流量高峰則在工作時(shí)間之外。同時(shí)，VPN使ISP能夠經(jīng)濟(jì)地維持開發(fā)客戶群、增加利潤、提供增強(qiáng)服務(wù)，如視頻會(huì)議、電子商務(wù)、IP電話、遠(yuǎn)程教學(xué)、多媒體商務(wù)應(yīng)用等等。
　　對(duì)于企業(yè)來說，VPN改造了傳統(tǒng)的企業(yè)網(wǎng)，為企業(yè)進(jìn)一步發(fā)展提供了可靠的技術(shù)保障。
　　□VPN實(shí)現(xiàn)網(wǎng)絡(luò)安全
　　具有高度的安全性，對(duì)于現(xiàn)在的網(wǎng)絡(luò)是極其重要的。新的服務(wù)如在線銀行，在線交易都需要絕對(duì)的安全。VPN以多種方式增強(qiáng)了網(wǎng)絡(luò)的智能和安全性。首先，它在隧道的起點(diǎn)，在現(xiàn)有的企業(yè)認(rèn)證服務(wù)器上，提供對(duì)分布用戶的認(rèn)證。另外，VPN支持安全和加密協(xié)議，如 Secure IP (IPsec)和 Microsoft點(diǎn)對(duì)點(diǎn)加密 (MPPE)。
　　IPsec所提供的安全是基于標(biāo)準(zhǔn)和可互操作的；MPPE使 Windows 95、98和 NT 4.0終端可以從全球任何地方進(jìn)行安全的通信。MPPE加密確保了數(shù)據(jù)的安全傳輸，并具有最小的公共密鑰開銷。
　　□簡化網(wǎng)絡(luò)設(shè)計(jì)
　　網(wǎng)絡(luò)管理者可以使用VPN替代租用線路來實(shí)現(xiàn)分支機(jī)構(gòu)的連接。這樣就可以將對(duì)遠(yuǎn)程鏈路進(jìn)行安裝、配置和管理的任務(wù)減少到最小，僅此一點(diǎn)就可以極大地簡化企業(yè)廣域網(wǎng)的設(shè)計(jì)。另外，VPN通過撥號(hào)訪問來自于 ISP或 NSP的外部服務(wù)，減少了調(diào)制解調(diào)器池，簡化了所需的接口，同時(shí)簡化了與遠(yuǎn)程用戶認(rèn)證、授權(quán)和記賬相關(guān)的設(shè)備和處理。
　　□降低成本
　　許多技術(shù)承諾可以降低成本，但 VPN降低成本的方法是立即且顯著的，它可以降低：
　　移動(dòng)用戶通信成本：VPN可以通過減少長途費(fèi)或800費(fèi)用來節(jié)省移動(dòng)用戶的花費(fèi)。
　　租用線路成本：VPN可以以每條連接 40%到 60%的成本對(duì)租用線路進(jìn)行控制和管理。對(duì)于國際用戶來說，這種節(jié)約是極為顯著的。對(duì)于話音數(shù)據(jù)，節(jié)約金額會(huì)進(jìn)一步增加。
　　主要設(shè)備成本：VPN通過支持撥號(hào)訪問外部資源,使企業(yè)可以減少不斷增長的調(diào)制解調(diào)器費(fèi)用。另外，它還允許一個(gè)單一的 WAN接口服務(wù)多種目的，從分支網(wǎng)絡(luò)互連、商業(yè)伙伴的外連網(wǎng)終端，本地提供高帶寬的線路連接到撥號(hào)訪問服務(wù)提供者。因此，只需要極少的 WAN接口和設(shè)備。由于 VPN是可以完全管理，并且能夠從中央網(wǎng)站進(jìn)行基于策略的控制，因此可以大幅度地減少在安裝配置遠(yuǎn)端網(wǎng)絡(luò)接口所需的設(shè)備上的開銷。另外，由于 VPN獨(dú)立于初始的協(xié)議，這就使得遠(yuǎn)端的接入用戶可以繼續(xù)使用傳統(tǒng)的設(shè)備，保護(hù)了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。
　　□容易擴(kuò)展
　　如果企業(yè)想擴(kuò)大VPN的容量和覆蓋范圍，只需與新的ISP簽約，建立賬戶；或者與原有的ISP重簽合約，擴(kuò)大服務(wù)范圍。在遠(yuǎn)程辦公室增加VPN能力也很簡單：幾條命令就可以使Extranet路由器擁有Internet和VPN能力，路由器還能對(duì)工作站自動(dòng)進(jìn)行配置。
　　□易于建立商業(yè)伙伴
　　在過去，企業(yè)如果想與合作伙伴聯(lián)網(wǎng)，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路。有了VPN之后，這種協(xié)商已毫無必要，真正達(dá)到了要連就連、要斷就斷。這樣就可以迅速捕捉商業(yè)機(jī)會(huì)，建立可靠的商業(yè)伙伴關(guān)系。
　　□完全控制主動(dòng)權(quán)
　　VPN使企業(yè)可以利用ISP的設(shè)施和服務(wù)，同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。比方說，企業(yè)可以把撥號(hào)訪問交給ISP去做，由自己負(fù)責(zé)用戶的查驗(yàn)、訪問權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。
　　□支持新興應(yīng)用
　　許多專用網(wǎng)對(duì)于許多新興應(yīng)用準(zhǔn)備不足，如那些要求高帶寬的多媒體和協(xié)作交互式應(yīng)用。VPN則可以支持各種高級(jí)的應(yīng)用，如IP語音，IP傳真，還有各種協(xié)議，如RSIP、IPv6、MPLS、SNMPv3等。
　　VPN自建外包總相宜
　　由于VPN低廉的使用成本和良好的安全性，許多大型企業(yè)及其分布在各地的辦事處或分支機(jī)構(gòu)成了VPN順理成章的用戶群。對(duì)于那些最需要VPN業(yè)務(wù)的中小企業(yè)來說，一樣有適合的VPN策略。當(dāng)然，不論何種VPN策略，它們都有一個(gè)基本目標(biāo)：在提供與現(xiàn)有專用網(wǎng)絡(luò)基礎(chǔ)設(shè)施相當(dāng)或更高的管理性、可擴(kuò)展性以及簡單性的基礎(chǔ)之上，進(jìn)一步擴(kuò)展公司的網(wǎng)絡(luò)連接。
　　大型企業(yè)自建VPN
　　大型企業(yè)用戶由于有雄厚的資金投入做保證，可以自己建立VPN，將VPN設(shè)備安裝在其總部和分支機(jī)構(gòu)中，將各個(gè)機(jī)構(gòu)低成本而安全地連接在一起。
　　企業(yè)建立自己的VPN，最大的優(yōu)勢(shì)在于高控制性，尤其是基于安全基礎(chǔ)之上的控制。一個(gè)內(nèi)部VPN能使企業(yè)對(duì)所有的安全認(rèn)證、網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)訪問情況進(jìn)行控制，建立端到端的安全結(jié)構(gòu)，集成和協(xié)調(diào)現(xiàn)有的內(nèi)部安全技術(shù)，例如PKI。而且，企業(yè)還可根據(jù)用戶的需要來調(diào)整Internet的費(fèi)用、覆蓋面以及連接速度。
　　企業(yè)還可以確保得到業(yè)內(nèi)最好的技術(shù)以滿足自身的特殊需要，這要優(yōu)于ISP所提供的普通服務(wù)。而且，建立內(nèi)部VPN能使企業(yè)有效節(jié)省VPN的運(yùn)作費(fèi)用。企業(yè)可以節(jié)省用于外包管理設(shè)備的額外費(fèi)用，并且能將現(xiàn)有的遠(yuǎn)程訪問和站到站的網(wǎng)絡(luò)集成起來，以獲取最佳性價(jià)比的VPN。
　　雖然VPN外包能避免技術(shù)過時(shí)，但并不意味著企業(yè)可以節(jié)省開支。因?yàn)椋髽I(yè)最終還要為高額產(chǎn)品支付費(fèi)用，以作為使用新技術(shù)的代價(jià)。雖然VPN外包可以簡化企業(yè)網(wǎng)絡(luò)部署，但這同樣降低了企業(yè)對(duì)公司網(wǎng)的控制等級(jí)。網(wǎng)絡(luò)越大，企業(yè)就越依賴于外包VPN供應(yīng)商。因此，自建VPN是大型企業(yè)的最好選擇。
　　中小型企業(yè)外包VPN
　　雖然每個(gè)中小型企業(yè)都是相對(duì)集中和固定的，但是部門與部門之間、企業(yè)與其業(yè)務(wù)相關(guān)企業(yè)之間的聯(lián)系依然需要廉價(jià)而安全的信息溝通。在這種情況下，VPN同樣非常重要。但是，如果讓中小型企業(yè)購買VPN設(shè)備，財(cái)務(wù)成本較高。因此，對(duì)IT人員短缺、技能水平不足、資金能力有限、不足以支持VPN的中小型企業(yè)來說，外包是最好的選擇。
　　首先，VPN外包比企業(yè)自己動(dòng)手建立VPN要快得多，也更為容易。
　　另一方面，外包VPN的可擴(kuò)展性很強(qiáng)，易于企業(yè)管理。有統(tǒng)計(jì)表明，使用外包VPN方式的企業(yè)，可以支持多于2300名用戶，而內(nèi)部VPN平均只能支持大約150名用戶。而且，隨著用戶數(shù)目的增長，對(duì)用于監(jiān)控、管理、提供IT資源和人力資源的要求也將呈指數(shù)增長。因此，VPN外包無疑是一種極具吸引力的方式。
　　另外，對(duì)可擴(kuò)展性、冗余性、可靠性和管理性來說，企業(yè)VPN必須將安全和性能結(jié)合在一起，然而，實(shí)際情況中兩者不能兼顧。例如，對(duì)安全加密級(jí)別的配置經(jīng)常降低VPN的整體性能。而通過提供VPN外包業(yè)務(wù)的專業(yè)ISP的統(tǒng)一管理，可大大提高VPN的性能和安全。ISP的VPN專家還可幫助企業(yè)進(jìn)行VPN決策。
　　對(duì)服務(wù)水平協(xié)議（SLA）的改進(jìn)和服務(wù)質(zhì)量（QoS）保證，為企業(yè)外包VPN方式提供了進(jìn)一步的保證。SLA可以提供網(wǎng)絡(luò)可用性、包丟失以及數(shù)據(jù)流的傳輸速度等方面的保證，并在不能滿足時(shí)，自動(dòng)將其歸入企業(yè)賬戶。