VPN是Virtual Private Network的缩写,中文译为虚拟专用网。Virtual Network的含义有两个，一是VPN是建立在现有物理网络之上，与物理网络具体的网络结构无关，用户一般无需关心物理网络和设备；二是VPN用户使用VPN时看到的是一个可预先设定义的动态的网络。Private Network的含义也有两个，一是表明VPN建立在所有用户能到达的公共网络上，特别是Internet，也包括PSTN、帧中继、ATM等，当在一个由专线组成的专网内构建VPN时，相对VPN这也是一个“公网”；二是VPN将建立专用网络或者称为私有网络，确保提供安全的网络连接，它必须具备几个关键功能：认证、访问控制、加密和数据完整。

一个网络连接一般由三个部分组成：客户机、传输介质和服务器。VPN也一样，不同的是VPN连接使用隧道作为传输通道，靠的是对数据包的封装和加密。

VPN是一种快速建立广域联接的互联和访问工具，也是一种强化网络安全和管理的工具。

VPN建立在用户的物理网络之上、融入在用户的网络应用系统之中。VPN技术涵盖了多个技术专业,不同应用领域所适用的技术和产品有很大差异。

VPN技术仍在快速发展中。

VPN是什么，请看如下一些表述：

■　VPN是利用公网来构建专用网络,它是通过特殊设计的硬件和软件直接通过共享的　IP网所建立的隧道来完成的。我们通常将VPN当作WAN解决方案,但它也可以简单地用于LAN。VPN类似于点到点直接拨号连接或租用线路连接,尽管它是以交换和路由的方式工作。

■　可以说，VPN是Intranet（内部网）在公众网络上的延伸，它可以提供与专用网一样的安全性、可管理性和传输性能，而建设、运转和维护网络的工作也从企业内部的IT部门剥离出来，交由运营商来负责。

■　VPN是建立在实际网络（或物理网络）基础上的一种功能性网络。它利用公共网络做为企业骨干网的低成本优势，同时克服公共网络缺乏保密性的弱点，在VPN网络中，位于公共网络两端的网络在公共网络上传输信息时，其信息都是经过安全处理的，可以保证数据的完整性、真实性和私有性。

■　VPN是指在共用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个　VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路，而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络（Internet）中建立的逻辑隧道（Tunnel），即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输，从而真正实现网络数据的专有性。

■　VPN是企业网在因特网等公共网络上的延伸，它能在公共网络上创建一个安全的私有连接，因此让公司的远程用户、分支机构、业务伙伴等与公司的企业网连接起来，构成一个扩展的企业网。

VPN组成

无论从VPN技术发展历程和应用模式看VPN技术包含了多种当前新兴的网络技术，涉及到通信技术、密码技术、硬件集成加速技术和认证技术，是多种技术的复杂结合体。这决定了用户在选择VPN时必须以应用为导向，以解决方案为实施依据，方可事倍功半地部署恰当的VPN产品。

VPN是一个建立在现有共用网络基础上的专网，它由各种网络节点、统一的运行机制和与物理网络的接口构成，一般至少包括以下几个关键组成部分：

■　VPN服务器：作为端点的计算机系统，可能是防火墙、路由器、专用网关，也可能是一台运行VPN软件的联网计算机，或是一台联网手持设备

■　算法体系：VPN的专用网络的形成的关键，常见的有：摘要算法MD5或SHA1，对称加密RC4、RC5、DES、3DES、AES、IDEA、BLOWFISH，公用密钥加密RSA、DSA。不同类型的VPN根据应用特点在实现上使用对应的算法，有的还可以由用户根据使用现场临时更换

■　认证系统：VPN是一个网络，要为网络节点提供可靠的连接。如同现实社会交往中强调的“诚信”原则，当你通过一个网络去访问一个网络资源时，你自然希望对方是像你要求的那样是真实的，可以想象，对方也是这样要求你的，如何认证对方和认证自己，同时还要防止认证信息泄露，这就是认证系统所要解决的问题，是开始VPN连接的基础。一般使用的有口令、一次性密码、RSA SecurID、双因素令牌、LDAP、Windows AD、Radius、证书，一个系统中往往包括一种以上的方式以增加灵活性

■　VPN协议：它规定了VPN产品的特征，主要包括安全程度和与上下层网络系统的接口形式。安全不仅要靠算法，由于VPN强调的是网络连接和传输，配套的密钥交换和密钥保护方法甚至比算法更重要，而接口决定了一个VPN产品的适用度。常见的有PPTP 、L2TP 、MPLS VPN、IPsec 、SOCKS、SSL .

VPN的特性

■ 商业角度

安全性：安全是VPN技术的基础。VPN提供给用户的是专用网络，因此建立在不安全、不可信任的公共网络的首要任务是解决安全性问题。VPN的安全机制可通过隧道技术、加密算法、密钥长度、密钥交换管理、数据认证技术、用户认证和访问控制等得到实。

可管理性：由于VPN的安全特征，它必须是可管理的，这不仅出于成本，更为重要的是保证安全性得到实现。应包括对网络的可知，如对现行运行状态的监控，日志记录丰富程度，审计手段，预警方式；应包括对网络使用的可控，如安全策略的部署，用户的控制，非法入侵的锁定。应具备一个统一管理平台来实现，而不是将管理信息分散在不同节点。管理平台的操作便捷性和安全保证是关键。

可用性／性能：实现安全的代价往往是性能，所以一个优良VPN要满足性能要求。这样需要在硬件平台和软件效率上加以考察，如主机的加解密速度，系统使用的主要算法强度，需要同时支持的连接数量，对带宽变化的适应性等。

可用性／用户操作便捷和可控性：VPN应用的一个常见场景是个体用户的远程访问，这时系统对他的支持能力和需要他作出的联网动作关系到整个VPN系统被接受的程度，动作要少而简单，支持要彻底。

部署和实施：VPN要在现有网络上建立，必须与现有网络环境相融合；网络的实现，需要在不同地点实现各个网络节点，这些各异的环境造成网络的复杂性，VPN也不例外。所以要从VPN产品的部署和应用模式上，调试和管理方式上结合现有网络设备和架构一并加以考察，衡量不同VPN方案部署和实施的成本。

可伸缩性：用户的网络环境、规模和网络应用均是变化的，VPN应能适合用户规模的增长，网络的变动，应用系统软件的变动和添加。应考察VPN系统对用户支持的限制因素。

可靠性和服务质量：VPN的顺利运行依靠数个方面，硬件平台的稳定，软件模块的设计质量，网络部署的合理和优化，基础网络的质量，这些均可影响VPN的可靠性，这时VPN选择和部署的经验很重要，而保证的措施是全面和严格的测试。VPN可以通过实现HA来提高可靠性，部分网络层的VPN产品还具备QoS的管理能力。

兼容性：VPN不仅要在现有网络上建立，常常还要面对用户已装备的一些网络应用系统，如可能用户现有网络由互联网和一段非TCP/IP协议的网段组成，网络应用中已经使用了MS Windows AD域认证，这时用户要实施一个VPN就必须面对与现有系统兼容的问题

互操作／标准：应当尽量使用采用国际或行业标准的VPN产品，为网络扩展和对接提供依据，减少互连障碍。特别在Extranet VPN中，企业要与不同的客户及供应商建立联系，无法保证它们的VPN解决方案与自己的一致。因此为实现企业的VPN产品应该能够同其他厂家的产品进行互操作，就要求双方所选择的VPN方案均应是基于工业标准和协议的。

■ 技术角度

VPN与承载它的公共网络相互独立。

VPN的构建在Internet、用户专网之上，公共网络内不知道VPN的存在，也不会保留任何VPN的状态信息。公共网络的组网设备，VPN设备接入公共网络的方式均与实现VPN功能无关，用户利用互联网组成VPN时可以选择ADSL、DDN，拨号等多种上网形式，既可选择网通的接入线路也可选择广电的接入线路。不需要对公共网络作任何改动，VPN只是利用公共网络的数据传输能力。

VPN使用的协议与公共网络使用的协议无关，两个运行在同一公共网络上的VPN可以使用不同协议。

每个VPN都有一个属于自己的独立私有地址空间，与公共网络地址和其他VPN地址无关。
公共网络所能到达的地点VPN均可覆盖到，所以VPN是全球化的。

一台主机可以根据要求处于不同的VPN网络，如一个销售人员通过VPN1接入公司内网查询销售信息，也可通过VPN2到公司签约的旅行社订购机票。

可以选择算法和密钥长度来支持不同等级的安全特性。