虚拟私人网络（英语：Virtual Private Network，缩写：VPN）是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。它利用隧道协议（Tunneling Protocol）来达到保密、发送端认证、消息准确性等私人消息安***果，这种技术可以用不安全的网络（例如：互联网）来发送可靠、安全的消息。需要注意的是，加密消息与否是可以控制的，如果是没有加密的虚拟专用网消息依然有被窃取的危险。VPN可通过服务器、硬件、软件等多种方式实现。

在Internet没有普及的时候，跨地区的单位如果要组建网络（广域网）需要从电信租用点对点或点对多点的"专线"，例如某个单位总部在北京，在天津、广州、上海有分公司，如果这4个点要组成一个"大局域网"，就需要租用3条专线，分别是从北京到天津、北京到广州、北京到上海的3条线路，从北京总部到3个分部使用路由器连接，拓扑如图1-1所示。 

使用专线组成广域网

在采用图1-1这种方式租网时，各个地区的IP地址（包括互联互通的路由器的IP地址）都是采用私有地址，由单位自己统一规划。这种方式线路稳定、可靠但专线费用（尤其是"长途专线"费用）价格昂贵，***初只有税务、银行才采用这种方式。这相当于组建了一个跨地区的大型局域网。

目前连接全国的政府内网，税务系统的内网，属于这种方式。政府网络是各区县统一连接到市一级，市一级连接到省一级，省级再统一连接到上级部门。

在图1-1的组网方式中，一般都不会连接Internet，与Internet网络相隔离。

1 大中企业VPN组网

由于专线方式组建成本较高，很少有企业采用这种方式，在Internet普及后，大多数的企业都通过"公用线路（即Internet）"使用VPN技术组建广域网，此时拓扑如图1-2所示。 

图1-2 使用VPN组建广域网

在图1-2中，各单位都先连接到Internet，此时各部门机器都可以通过路由器访问Internet。如果要实现各分支机构互相访问，在路由器上配置"VPN路由"即可。配置VPN路由之后，各分支机构互访，与访问Internet互不影响，可以同时进行。

【说明】Internet接入也有两种，一种是"专线"接入Internet，其上行、下行具有相同的带宽；另一种是ADSL接入，下行带宽大，上行带宽有限。专线接入Internet一般提供1个或多个固定的IP地址（公网IP地址），而ADSL接入则不提供固定的公网地址，一般是提供动态获得的公网IP地址。在近几年，一些运营商公网IP地址不够，ADSL客户提供的是私有IP地址，例如，在家庭ADSL中获得的出口地址是10开头的，就是这个原因。

在图1-2中，一般是"专线"方式接入Internet，都有固定IP地址。各分支机构***选择同一运营商的接入，例如电信、联通，这样可以保证网间访问有较快的速度。当然，各分支机构受所在地区的限制，也可以采用不同运营商提供的Internet接入，只要能连接到Internet，就可以组建VPN网络。

2 中小企业VPN接入

图1-2是通过VPN技术组建的广域网，但是对于大多数单位来说，不需要各分支机构"互相访问"，一般只要求分支机构可以访问到中心的服务器即可，此时对于分支机构到中心机构的访问相当于"VPN接入访问"，此时拓扑可以用图1-5来表示。 

图1-5 中心端具有固定IP地址的VPN接入

在图1-5中，双WAN口路由器是支持VPN接入的一个"宽带路由器"，这个路由器具有固定的公网IP地址，后端是需要访问的服务器。各个分支机房，可以通过安装具有VPN功能的路由器，连接到中心路由器。在此种组网方式中，只有中心路由器具有固定的公网IP地址，各分支机房都没有公网IP地址，并且各分支机构不需要互相访问，各分支机构只要通过VPN路由器"单向访问"到中心端的服务器即可。

在图1-5中，分支1与分支2的局域网内部地址都是分别是192.168.1.0/24、192.168.2.0/24网段，这两个地址段不同。但实际上分支1与分支2不需要互相访问，所以分支1与分支2局域网的IP地址段可以相同，当然不同也是可以的。

在图1-5中，中心路由器即可以采用"硬件"也可以采用"软件"方式。

如果选择硬件方式，可以选择具有此项功能的VPN路由器，其他支持的路由器有飞鱼星、D-Link系列。

中心VPN服务器也可以采用"软件"方式，例如Forefront TMG 2010。

如果中心路由器采用"硬件"方式，则中心路由器与分支路由器，需要采用同一厂商的设备，中心端可以采用配置较为高端的路由器，分支机构可以采用相对低端的路由器。

如果中心路由器采用"软件"方式，中心一端可以采用Forefront TMG　2010（或其他Windows Server、Linux Server的VPN路由器），此时各分支机构可以采用采用DLINK的DI-7001系列（如图1-6所示）、华盖Vigor 2912系列路由器（如图1-7所示），以前飞鱼星系列路由器也支持，但其升级之后，虽然能连通VPN路由器但不能访问VPN路由器后端的服务器。

3 无固定IP地址、无公网IP的VPN组网

在组建VPN网络（广域网，需要各分支互联互通）的时候，一般要求各分支机构具有固定的公网IP地址；在组建VPN接入网络时（各分支机构以VPN技术、访问中心的服务器），要求中心一端具有固定的公网IP地址。如果没有固定的公网IP地址，动态获得的公网IP地址+动态域名（花生壳，大多数支持动态域名的宽带路由器一般集成了花生壳）也可以。

在组建VPN网络时，如果VPN路由器直接连接到Internet（不管是有合法的、固定的公网IP地址还是动态获得的公网IP地址），组建VPN网络相对容易，因为VPN路由器"前端"即是Internet，没有过防火墙。所以在类似图1-8的组网方式中，大多数具有VPN功能的路由器都可以支持这种模式。

图1-8 中小企业有动态或固定公网IP地址组网方式

但是，在实际的生活中，网络往往是很复杂的，如图1-9所示。

图1-9 实际环境的VPN应用

这表现为：

（1）单位总部只有一个固定的公网IP地址（或者动态获得的公网IP地址，或私网地址），而这个IP地址又配置在"防火墙"或"路由器"中，VPN路由器处于防火墙后端。

（2）分支机构是ADSL，无公网IP地址，获得的是10.x1.x2.x3之类的私有地址。

（3）出差客户端要访问单位内部，但出差用户所在的网络对标准VPN拨叫有限制（例如一些防火墙限制了GRE 47协议），这就造成出差用户使用标准的VPN拨入服务，不能成功连接单位的VPN服务器。

对于这种应用，可以选择ORAY等动态域名解析等方式，方便快捷的组建虚拟网络，实现异地互联互通。