VPN網(wǎng)絡(luò)同樣也需要這三部分，不同的是VPN連接不是采用物理的傳輸介質(zhì)，而是使用一種稱之為“隧道”的東西來(lái)作為傳輸介質(zhì)的，這個(gè)隧道是建立在公共網(wǎng)絡(luò)或?qū)Ｓ镁W(wǎng)絡(luò)基礎(chǔ)之上的，如因特網(wǎng)或?qū)Ｓ肐ntranet等。同時(shí)要實(shí)現(xiàn)VPN連接，企業(yè)內(nèi)部網(wǎng)絡(luò)中必須配置有一臺(tái)基于Windows NT或Windows2000 Server(目前Windows系統(tǒng)是最為普及，也是對(duì)VPN技術(shù)支持最為全面的一種操作系統(tǒng))的VPN服務(wù)器，VPN服務(wù)器一方面連接企業(yè)內(nèi)部專用網(wǎng)絡(luò)(LAN)，另一方面要連接到因特網(wǎng)或其它專用網(wǎng)絡(luò)，這就要VPN服務(wù)器必須擁有一個(gè)公用的IP地址，也就是說(shuō)企業(yè)必須先擁有一個(gè)合法的Internet或?qū)Ｓ镁W(wǎng)域名。當(dāng)客戶機(jī)通過(guò)VPN連接與專用網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行通信時(shí)，先由NSP(網(wǎng)絡(luò)服務(wù)提供商)將所有的數(shù)據(jù)傳送到VPN服務(wù)器，然后再由VPN服務(wù)器將所有的數(shù)據(jù)傳送到目標(biāo)計(jì)算機(jī)。因?yàn)樵赩PN隧道中通信能確保通信通道的專用性，并且傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮、加密的，所以VPN通信同樣具有專用網(wǎng)絡(luò)的通信安全性。整個(gè)VPN通信過(guò)程可以簡(jiǎn)化為以下4個(gè)通用步驟:

(1)客戶機(jī)向VPN服務(wù)器發(fā)出請(qǐng)求;

(2) VPN服務(wù)器響應(yīng)請(qǐng)求并向客戶機(jī)發(fā)出身份質(zhì)詢，客戶機(jī)將加密的用戶身份驗(yàn)證響應(yīng)信息發(fā)送到VPN服務(wù)器;

(3) VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫(kù)檢查該響應(yīng)，如果賬戶有效，VPN服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問(wèn)權(quán)限;如果該用戶擁有遠(yuǎn)程訪問(wèn)的權(quán)限，VPN服務(wù)器接受此連接;

(4)最后VPN服務(wù)器將在身份驗(yàn)證過(guò)程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來(lái)對(duì)數(shù)據(jù)進(jìn)行加密，然后通過(guò)VPN隧道技術(shù)進(jìn)行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)。

1. VPN的優(yōu)勢(shì)

VPN網(wǎng)絡(luò)給用戶所帶來(lái)的好處主要表現(xiàn)在以下幾個(gè)方面:

(1)節(jié)約成本

這是VPN網(wǎng)絡(luò)技術(shù)的最為重要的一個(gè)優(yōu)勢(shì)，也是它取勝傳統(tǒng)的專線網(wǎng)絡(luò)的關(guān)鍵所在。據(jù)行業(yè)調(diào)查公司的研究報(bào)告顯示擁有VPN的企業(yè)相比起采用傳統(tǒng)租用專線的遠(yuǎn)程接入服務(wù)器或Modem池和撥號(hào)線路的企業(yè)能夠節(jié)省30%到70%的開(kāi)銷。開(kāi)銷的降低發(fā)生在4個(gè)領(lǐng)域之中:

移動(dòng)通訊費(fèi)用的節(jié)省:這主要是針對(duì)于有許多職工需要移動(dòng)辦公的企業(yè)來(lái)說(shuō)的，因?yàn)檫@樣對(duì)于出差在外地的移動(dòng)用戶來(lái)說(shuō)只需要接入本地的ISP就可以與公司內(nèi)部的網(wǎng)絡(luò)進(jìn)行互連，大大減少了長(zhǎng)途通信費(fèi)。企業(yè)可以從他們的移動(dòng)辦公用戶的電話費(fèi)用上看到立竿見(jiàn)影的好處。

專線費(fèi)用的節(jié)省:采用VPN的費(fèi)用比起租用專線來(lái)要低40～60%，而無(wú)論是在性能、可管理性和可控性方面兩者都沒(méi)有太大的差別。通過(guò)向虛擬專線中加入語(yǔ)音或多媒體流量，企業(yè)還可以進(jìn)一步獲得成本的節(jié)約。這一點(diǎn)對(duì)于過(guò)去有過(guò)租用象DDN之類的專線的企業(yè)用戶就會(huì)有更深刻的感受了，租用DDN一個(gè)小小的64k就得每月花費(fèi)幾千上萬(wàn)元費(fèi)用，采用VPN后不僅這方面的費(fèi)用會(huì)大大減少(但通常不能全免，因?yàn)樵谄髽I(yè)與NSP之間這一段還得租用NSP的專用線路，但這已是相當(dāng)短的了)，而且還可能會(huì)在帶寬上有更大的優(yōu)勢(shì)，因?yàn)楝F(xiàn)在的VPN技術(shù)可以支持寬帶技術(shù)了。

設(shè)備投資的節(jié)省:VPN允許將一個(gè)單一的廣域網(wǎng)接口用作多種用途，從分支機(jī)構(gòu)的互聯(lián)到合作伙伴通過(guò)外聯(lián)網(wǎng)(Extranet)的接入。因此，原先需要流經(jīng)不同設(shè)備的流量可以統(tǒng)一地流經(jīng)同一設(shè)備。由此帶來(lái)的好處便是企業(yè)不再像原先那樣需要大量的廣域網(wǎng)接口了，也不必再像以前那樣頻繁地進(jìn)行周期性的硬件升級(jí)了，這樣就可大大減少了企業(yè)固定設(shè)備的投資，這對(duì)于是、小型企業(yè)來(lái)說(shuō)是非常之重要的。此外，VPN還使企業(yè)得以繼續(xù)對(duì)其關(guān)鍵業(yè)務(wù)型的舊有系統(tǒng)進(jìn)行有效利用，從而達(dá)到保護(hù)軟硬件投資的目的。

支持費(fèi)用的節(jié)省:通過(guò)減少M(fèi)odem池的數(shù)量，企業(yè)自身支持費(fèi)用可以被降至最低。原先用來(lái)對(duì)遠(yuǎn)程用戶進(jìn)行支持的、經(jīng)常超負(fù)荷工作的企業(yè)支持熱線(通常還需由專人負(fù)責(zé))被NSP幫助桌面系統(tǒng)所取代。而且，由于NSP幫助桌面系統(tǒng)可以完全實(shí)現(xiàn)從總部中心端進(jìn)行管理，因此VPN可以極大地降低對(duì)遠(yuǎn)程網(wǎng)絡(luò)的安裝和配置成本。在降低費(fèi)用方面主要表現(xiàn)為:遠(yuǎn)程用戶可以只通過(guò)向當(dāng)?shù)氐腎SP申請(qǐng)賬戶登錄到因特網(wǎng)，以因特網(wǎng)作為隧道與遠(yuǎn)程企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連。這樣采用撥號(hào)方式的遠(yuǎn)程用戶則不需要采用長(zhǎng)途撥號(hào)，企業(yè)總部也可只支付ISP本地網(wǎng)絡(luò)使用費(fèi)，在長(zhǎng)途通信費(fèi)用方面就會(huì)大幅度降低，據(jù)專業(yè)分析機(jī)構(gòu)調(diào)查顯示，采用VPN與傳統(tǒng)的撥號(hào)方式相比可以節(jié)約通訊成本可達(dá)50%-80%。與租用專線方式相比更具有明顯的費(fèi)用優(yōu)勢(shì)，一般VPN每條連接的費(fèi)用成本只相當(dāng)于租用專線的40%到60%;VPN還允許一個(gè)單一的WAN接口服務(wù)多種用途，因此用戶端只需要極少的WAN接口和設(shè)備。而且由于VPN是可以完全管理，并且能夠從中央網(wǎng)站進(jìn)行基于策略的控制，因此可以大幅度地減少在安裝配置遠(yuǎn)端網(wǎng)絡(luò)接口所需的設(shè)備上的開(kāi)銷。另外，由于VPN獨(dú)立于初始的協(xié)議，這就使得遠(yuǎn)端的接入用戶可以繼續(xù)使用傳統(tǒng)的設(shè)備，保護(hù)了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。

(2)增強(qiáng)的安全性

目前VPN主要采用四項(xiàng)技術(shù)來(lái)保證數(shù)據(jù)通信安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption & Decryption)、密鑰管理技術(shù)(Key Management)、身份認(rèn)證技術(shù)(Authentication)。

在用戶身份驗(yàn)證安全技術(shù)方面，VPN是通過(guò)使用點(diǎn)到點(diǎn)協(xié)議(PPP)用戶級(jí)身份驗(yàn)證的方法來(lái)進(jìn)行驗(yàn)證，這些驗(yàn)證方法包括:密碼身份驗(yàn)證協(xié)議(PAP)、質(zhì)詢握手身份驗(yàn)證協(xié)議(CHAP)、Shiva密碼身份驗(yàn)證協(xié)議(SPAP)、Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議(MS-CHAP)和可選的可擴(kuò)展身份驗(yàn)證協(xié)議(EAP);

在數(shù)據(jù)加密和密鑰管理方面VPN采用微軟的點(diǎn)對(duì)點(diǎn)加密算法(MPPE)和網(wǎng)際協(xié)議安全(IPSec)機(jī)制對(duì)數(shù)據(jù)進(jìn)行加密，并采用公、私密鑰對(duì)的方法對(duì)密鑰進(jìn)行管理。MPPE使Windows 95、98和NT 4.0終端可以從全球任何地方進(jìn)行安全的通信。MPPE加密確保了數(shù)據(jù)的安全傳輸，并具有最小的公共密鑰開(kāi)銷。以上的身份驗(yàn)證和加密手段由遠(yuǎn)程VPN服務(wù)器強(qiáng)制執(zhí)行。對(duì)于采用撥號(hào)方式建立VPN連接的情況下，VPN連接可以實(shí)現(xiàn)雙重?cái)?shù)據(jù)加密，使網(wǎng)絡(luò)數(shù)據(jù)傳輸更安全。

還有，對(duì)于敏感的數(shù)據(jù)，可以使用VPN連接通過(guò)VPN服務(wù)器將高度敏感的數(shù)據(jù)服務(wù)器物理地進(jìn)行分隔，只有企業(yè)Intranet上擁有適當(dāng)權(quán)限的用戶才能通過(guò)遠(yuǎn)程訪問(wèn)建立與VPN服務(wù)器的VPN連接，并且可以訪問(wèn)敏感部門網(wǎng)絡(luò)中受到保護(hù)的資源。

(3)網(wǎng)絡(luò)協(xié)議支持

VPN支持最常用的網(wǎng)絡(luò)協(xié)議，這樣基于IP、IPX和NetBEUI協(xié)議網(wǎng)絡(luò)中的客戶機(jī)都可以很容易地使用VPN。這意味著通過(guò)VPN連接可以遠(yuǎn)程運(yùn)行依賴于特殊網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。新的VPN技術(shù)可以全面支持如AppleTalk、DECNet、SNA等幾乎所有的局域網(wǎng)協(xié)議，應(yīng)用更加全面。

(4)容易擴(kuò)展

如果企業(yè)想擴(kuò)大VPN的容量和覆蓋范圍，企業(yè)需做的事情很少，而且能及時(shí)實(shí)現(xiàn)，因?yàn)檫@些工作都可以交由專業(yè)的NSP來(lái)負(fù)責(zé)，從而可以保證工程的質(zhì)量，更可以省去一大堆麻煩。企業(yè)只需與新的NSP簽約，建立賬戶;或者與原有的NSP重簽合約，擴(kuò)大服務(wù)范圍。VPN路由器還能對(duì)工作站自動(dòng)進(jìn)行配置。

(5)可隨意與合作伙伴聯(lián)網(wǎng)

在過(guò)去，企業(yè)如果想與合作伙伴連網(wǎng)，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路。這樣相當(dāng)麻煩，不便于企業(yè)自身的發(fā)展，也就是租用的專線在靈活性方面是非常不夠。有了VPN之后，這種協(xié)商也毫無(wú)必要，真正達(dá)到了要連就連，要斷就斷，可以實(shí)現(xiàn)靈活自如的擴(kuò)展和延伸。

(6)完全控制主動(dòng)權(quán)

借助VPN，企業(yè)可以利用ISP的設(shè)施和服務(wù)，同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。比方說(shuō)，企業(yè)可以把撥號(hào)訪問(wèn)交給ISP去做，由自己負(fù)責(zé)用戶的查驗(yàn)、訪問(wèn)權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。

(7)安全的IP地址

因?yàn)閂PN是加密的，VPN數(shù)據(jù)包在因特網(wǎng)中傳輸時(shí)，因特網(wǎng)上的用戶只看到公用的IP地址，看不到數(shù)據(jù)包內(nèi)包含的專有網(wǎng)絡(luò)地址。因此遠(yuǎn)程專用網(wǎng)絡(luò)上指定的地址是受到保護(hù)的。IP地址的不安全性也是在早期的VPN沒(méi)有被充分重視的根本原因之一。

(8)支持新興應(yīng)用

許多專用網(wǎng)對(duì)許多新興應(yīng)用準(zhǔn)備不足，如那些要求高帶寬的多媒體和協(xié)作交互式應(yīng)用。VPN則可以支持各種高級(jí)的應(yīng)用，如IP語(yǔ)音，IP傳真，還有各種協(xié)議，如RSIP、IPv6、MPLS、SNMPv3等，而且隨著網(wǎng)絡(luò)接入技術(shù)的發(fā)展，新型的VPN技術(shù)可以支持諸如ADSL、Cable Modem之類的寬帶技術(shù)。

上面介紹了VPN的主要優(yōu)勢(shì)，那么哪些用戶適合采用VPN網(wǎng)絡(luò)連接呢?綜合VPN技術(shù)的特點(diǎn)，可以得出主要有以下四類用戶適合采用VPN進(jìn)行網(wǎng)絡(luò)連接:

a.網(wǎng)絡(luò)接入位置眾多，特別是單個(gè)用戶和遠(yuǎn)程辦公室站點(diǎn)多，例如多分支機(jī)構(gòu)企業(yè)用戶、遠(yuǎn)程教育用戶;

b.用戶/站點(diǎn)分布范圍廣，彼此之間的距離遠(yuǎn)，遍布全球各地，需通過(guò)長(zhǎng)途電信，甚至國(guó)際長(zhǎng)途手段聯(lián)系的用戶，如一些跨國(guó)公司;

c.帶寬和時(shí)延要求相對(duì)適中，如一些提供IDG服務(wù)的ISP;

d.對(duì)線路保密性和可用性有一定要求的用戶，如大企業(yè)用戶和政府網(wǎng)。

根據(jù)VPN的應(yīng)用平臺(tái)可分為:軟件平臺(tái)、專用硬件平臺(tái)及輔助硬件平臺(tái)三類。

(1)軟件平臺(tái)VPN

當(dāng)對(duì)數(shù)據(jù)連接速率較低要求不高，對(duì)性能和安全性要求不強(qiáng)時(shí)，可以利用一些軟件公司所提供的完全基于軟件的VPN產(chǎn)品來(lái)實(shí)現(xiàn)簡(jiǎn)單的VPN的功能，如checkpoint software和Aventail Corp等公司的產(chǎn)品。甚至可以不需要另外購(gòu)置軟件，僅依靠微軟的Windows操作系統(tǒng)，特別是自Windows 2000版本以后的系統(tǒng)就可實(shí)現(xiàn)純軟件平臺(tái)的VPN連接。

這類VPN網(wǎng)絡(luò)一般性能較差，數(shù)據(jù)傳輸速率較低，同時(shí)在安全性方面也比較低，一般僅適用于連接用戶較少的小型企業(yè)。

(2)專用硬件平臺(tái)VPN

使用專用硬件平臺(tái)的VPN設(shè)備可以滿足企業(yè)和個(gè)人用戶對(duì)高數(shù)據(jù)安全及通信性能的需求，尤其是從加密及數(shù)據(jù)亂碼等對(duì)CPU處理能力需求很高的功能。提供這些平臺(tái)的硬件廠商比較多，比較有名的如國(guó)外的:Nortel、Cisco、3Com等，國(guó)內(nèi)的如華為、聯(lián)想等。

這類VPN平臺(tái)雖然投資了大量的硬件設(shè)備，但是它具有先天的不足，就是成本太高，對(duì)于中、小型企業(yè)很難承受。并且由于全是由硬件來(lái)構(gòu)成的平臺(tái)，因此在管理的靈活性方面和可管理性方面就顯得不如人意。通常是對(duì)于專業(yè)的VPN網(wǎng)絡(luò)服務(wù)提供商來(lái)說(shuō)選擇這一平臺(tái)較為合適，因?yàn)樗鼈兌加羞@方面的人才和資金優(yōu)勢(shì)。不過(guò)現(xiàn)在的主流VPN硬件設(shè)備制造商都能提供相應(yīng)的管理軟件來(lái)支持，如Cisco、3COM公司等，這在后面章節(jié)中將具體介紹它們的VPN解決方案。

(3)輔助硬件平臺(tái)VPN

這類VPN的平臺(tái)介于軟件平臺(tái)和指定硬件平臺(tái)的之間，輔助硬件平臺(tái)的VPN主要是指以現(xiàn)有網(wǎng)絡(luò)設(shè)備為基礎(chǔ)，再增添適當(dāng)?shù)腣PN軟件以實(shí)現(xiàn)VPN的功能。這是一種最為常見(jiàn)的VPN平臺(tái)，性能也是最好的一種。但是通常這種平臺(tái)中的硬件也不能完全由原來(lái)的網(wǎng)絡(luò)硬件來(lái)完成，必要時(shí)還得添加專業(yè)的VPN設(shè)備，如VPN交換機(jī)、VPN網(wǎng)關(guān)或路由器等，對(duì)于一個(gè)完善的、高性能的VPN網(wǎng)絡(luò)這些設(shè)備在一定程度上來(lái)說(shuō)是非常必要的。

這種平臺(tái)是最為通用的一種方式，它既具備了硬件平臺(tái)的高性能、高安全性，同時(shí)也具有了軟件平臺(tái)的靈活性，并且可以利用絕大多數(shù)現(xiàn)有硬件設(shè)備，節(jié)省了總體投資。目前絕大多數(shù)企業(yè)VPN方案選用。

2.主要VPN協(xié)議

通過(guò)前面的介紹知道VPN隧道協(xié)議主要有三種:PPTP、L2TP和IPSec，PPTP和L2TP協(xié)議是工作在OSI/RM開(kāi)放模型中的第二層，所以又稱之為第二層隧道協(xié)議。其實(shí)在第二層隧道協(xié)議中還有一種不是很主流的協(xié)議，那就是Cisco公司的L2F(Layer 2 Forwarding)協(xié)議。在VPN網(wǎng)絡(luò)中最常見(jiàn)的第三層隧道協(xié)議是IPSec，但另一種GRE(Generic Routing Encapsulation，通用路由封裝協(xié)議，在RFC 1701中早有描述)也是屬于一個(gè)第三隧道協(xié)議。

第二層隧道和第三層隧道的本質(zhì)區(qū)別在于用戶的數(shù)據(jù)包是被封裝在哪一層的數(shù)據(jù)包隧道里傳輸?shù)摹５诙铀淼绤f(xié)議和第三層隧道協(xié)議一般來(lái)說(shuō)分別使用，但合理的運(yùn)用兩層協(xié)議，將具有更好的安全性。例如:L2TP與IPSec協(xié)議的配合使用，可以分別形成L2TP VPN、IPSec VPN網(wǎng)絡(luò)，也可混合使用L2TP、IPSec協(xié)議形成性能更強(qiáng)的L2TP VPN網(wǎng)絡(luò)，且這一VPN網(wǎng)絡(luò)形式是目前性能最好、應(yīng)用最廣的一種，因?yàn)樗芴峁└影踩臄?shù)據(jù)通信，解決了用戶的后顧之憂。

3. VPN的部署模式

VPN的部署模式從本質(zhì)上描述了VPN通道的起始點(diǎn)和終止點(diǎn)，不同的VPN模式適用于不同的應(yīng)用環(huán)境，滿足不同的用戶需求，總的來(lái)說(shuō)有3種VPN部署模式:

(1)端到端(End-to-End)模式;

該模式是自建VPN的客戶所采用的典型模式，也是最為徹底的VPN網(wǎng)絡(luò)。在這種模式中企業(yè)具有完全的自主控制權(quán)，但是要建立這種模式的VPN網(wǎng)絡(luò)需要企業(yè)自身具備足夠的資金和人才實(shí)力，這種模式在總體投金上是最多的。最常見(jiàn)的隧道協(xié)議是IPSec和PPTP。這種模式一般只有大型企業(yè)才有條件采用，這種模式最大的好處，也是最大的不足之處就是整個(gè)VPN網(wǎng)絡(luò)的維護(hù)權(quán)都是由企業(yè)自身完成，需花巨資購(gòu)買成套昂貴的VPN設(shè)備，配備專業(yè)技術(shù)人員，同時(shí)整個(gè)網(wǎng)絡(luò)都是在加密的隧道中完成通信的，非常安全，不像外包方式中存在由企業(yè)到NSP之間的透明段。

(2)供應(yīng)商―企業(yè)(Provider-Enterprise)模式;

這是一種外包方式，也是目前一種主流的VPN部署方式，適合廣大的中、小型企業(yè)組建VPN網(wǎng)絡(luò)。在該模式中，客戶不需要購(gòu)買專門的隧道設(shè)備、軟件，由VPN服務(wù)提供商(NSP)提供設(shè)備來(lái)建立通道并驗(yàn)證。然而，客戶仍然可以通過(guò)加密數(shù)據(jù)實(shí)現(xiàn)端到端的全面安全性。在該模式中，最常見(jiàn)的隧道協(xié)議有L2TP、L2F和PPTP。

(3)內(nèi)部供應(yīng)商(Intra-Provider)模式。

這也是一種外包方式，與上一種方式最大的不同就在于用戶對(duì)NSP的授權(quán)級(jí)別不同，這種模式非常適合小型企業(yè)用戶，因?yàn)檫@類企業(yè)一般沒(méi)有這方面的專業(yè)人員，自身維護(hù)起來(lái)比較困難，可以全權(quán)交給NSP來(lái)維護(hù)。這是很受電信公司歡迎的模式，因?yàn)樵谠撃Ｊ街校琕PN服務(wù)提供商保持了對(duì)整個(gè)VPN設(shè)施的控制。在該模式實(shí)現(xiàn)中，通道的建立和終止都是在NSP的網(wǎng)絡(luò)設(shè)施中實(shí)現(xiàn)的。對(duì)客戶來(lái)說(shuō)，該模式的最大優(yōu)點(diǎn)是他們不需要做任何實(shí)現(xiàn)VPN的工作，客戶不需要增加任何設(shè)備或軟件投資，整個(gè)網(wǎng)絡(luò)都由VPN服務(wù)提供商維護(hù)。最大的足也就是用戶自身自主權(quán)不足，存在一定的不安全因素。

4. VPN的服務(wù)類型

根據(jù)VPN應(yīng)用的類型來(lái)分，VPN的應(yīng)用業(yè)務(wù)大致可分為3類:IntranetVPN、Access VPN與Extranet VPN，但更多情況下是需要同時(shí)用到這三種VPN網(wǎng)絡(luò)類型，特別是對(duì)于大型企業(yè)。

(1)Access VPN

Access VPN又稱為撥號(hào)VPN(即VPDN)，是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過(guò)公網(wǎng)遠(yuǎn)程撥號(hào)的方式構(gòu)筑的虛擬網(wǎng)。如果企業(yè)的內(nèi)部人員移動(dòng)或有遠(yuǎn)程辦公需要，或者商家要提供B2C的安全訪問(wèn)服務(wù)，就可以考慮使用AccessVPN。

Access VPN通過(guò)一個(gè)擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對(duì)企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問(wèn)。AccessVPN能使用戶隨時(shí)、隨地以其所需的方式訪問(wèn)企業(yè)資源。Access VPN包括能隨時(shí)使用如模擬撥號(hào)Modem、ISDN、數(shù)字用戶線路(xDSL)、無(wú)線上網(wǎng)和有線電視電纜等撥號(hào)技術(shù)，安全地連接移動(dòng)用戶、遠(yuǎn)程工作者或分支機(jī)構(gòu)。這種方式相對(duì)傳統(tǒng)的撥號(hào)訪問(wèn)具有明顯的費(fèi)用優(yōu)勢(shì)，對(duì)于需要移動(dòng)辦公的企業(yè)來(lái)說(shuō)不失為一種經(jīng)濟(jì)安全、靈活自由的好方式，所以這種方式通常也是許多大、中型企業(yè)所必需的。當(dāng)然它也可以獨(dú)自存在，如一些小型商務(wù)企業(yè)。

(2) Intranet VPN

Intranet VPN即企業(yè)的總部與分支機(jī)構(gòu)間通過(guò)VPN虛擬網(wǎng)進(jìn)行網(wǎng)絡(luò)連接。隨著企業(yè)的跨地區(qū)、國(guó)際化經(jīng)營(yíng)，這是絕大多數(shù)大、中型企業(yè)所必需的。如果要進(jìn)行企業(yè)內(nèi)部各分支機(jī)構(gòu)的互聯(lián)，使用Intranet VPN是很好的方式。這種VPN是通過(guò)公用因特網(wǎng)或者第三方專用網(wǎng)進(jìn)行連接的，有條件的企業(yè)可以采用光纖作為傳輸介質(zhì)。它的特點(diǎn)就是容易建立連接、連接速度快，最大特點(diǎn)就是它為各分支機(jī)構(gòu)提供了整個(gè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限。

越來(lái)越多的企業(yè)需要在全國(guó)乃至世界范圍內(nèi)建立各種辦事機(jī)構(gòu)、分公司、研究所等，各個(gè)分公司之間傳統(tǒng)的網(wǎng)絡(luò)連接方式一般是租用專線。顯然，在分公司增多、業(yè)務(wù)開(kāi)展越來(lái)越廣泛時(shí)，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費(fèi)用昂貴。利用VPN特性可以在因特網(wǎng)上組建世界范圍內(nèi)的IntranetVPN。利用因特網(wǎng)的線路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等VPN特性可以保證信息在整個(gè)IntranetVPN上安全傳輸。IntranetVPN通過(guò)一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。

(3) Extranet VPN

Extranet VPN即企業(yè)間發(fā)生收購(gòu)、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過(guò)公網(wǎng)來(lái)構(gòu)筑的虛擬網(wǎng)。如果是需要提供B2B電子商務(wù)之間的安全訪問(wèn)服務(wù)，則可以考慮選用Extranet VPN。

隨著信息時(shí)代的到來(lái)，各個(gè)企業(yè)越來(lái)越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息服務(wù)，通過(guò)各種方式了解客戶的需要，同時(shí)各個(gè)企業(yè)之間的合作關(guān)系也越來(lái)越多，信息交換日益頻繁。因特網(wǎng)為這樣的一種發(fā)展趨勢(shì)提供了良好的基礎(chǔ)，而如何利用因特網(wǎng)進(jìn)行有效的信息管理，是企業(yè)發(fā)展中不可避免的一個(gè)關(guān)鍵問(wèn)題。利用VPN技術(shù)可以組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。

Extranet VPN通過(guò)一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。

Extranet VPN對(duì)用戶的吸引力在于:能容易地對(duì)外部網(wǎng)進(jìn)行部署和管理，外部網(wǎng)的連接可以使用與部署內(nèi)部網(wǎng)和遠(yuǎn)端訪問(wèn)VPN相同的架構(gòu)和協(xié)議進(jìn)行部署。主要的不同是接入許可，外部網(wǎng)的用戶被許可只有一次機(jī)會(huì)連接到其合作人的網(wǎng)絡(luò)，并且只擁有部分網(wǎng)絡(luò)資源訪問(wèn)權(quán)限，這要求企業(yè)用戶對(duì)各外部用戶進(jìn)行相應(yīng)訪問(wèn)權(quán)限的設(shè)定。典型網(wǎng)絡(luò)結(jié)構(gòu)如圖1.5所示。

以上三種VPN模式，其實(shí)在后面將要介紹的Windows 2000系統(tǒng)中的VPN網(wǎng)絡(luò)中都統(tǒng)歸于兩種模式，即:遠(yuǎn)程訪問(wèn)VPN和路由器到路由器VPN，“遠(yuǎn)程訪問(wèn)VPN”對(duì)應(yīng)于本節(jié)所介紹的Access VPN(VPDN)模式，而“Extranet VPN”和“Intranet VPN”則可統(tǒng)歸“路由器到路由器VPN”模式。但是又不能完全這么劃分，因?yàn)椴煌到y(tǒng)中對(duì)VPN模式的分類標(biāo)準(zhǔn)和前提不太一樣，本節(jié)所介紹的這三種VPN模式是基于整個(gè)VPN網(wǎng)絡(luò)來(lái)劃分的，而在Windows 2000系統(tǒng)中的這種VPN模式劃分的前提是在純軟件方式下進(jìn)行的。