虚拟专用网络（Virtual Private Network ，简称VPN）指的是在公用互联网上建立专用网络的技术。VPN 技术的广泛应用，使原来只能通过搭建点对点的专网进行数据传输的网络，通过互联网这个成熟的网络平台，搭建虚拟的专用网络，这种组网方式即实现了数据的安全保密传输，由节省了网络建设的投资。

VPN 其之所以称之为虚拟专用网，主要是因为整个VPN 网络的任意两个节点之间没有实际的端到端的物理链路，而是通过互联网络搭建的一个虚拟的通道来实现端到端的数据传输。目前VPN 技术的发展已经达到了成熟化和多元化。

VPN 网络的分类和介绍

目前常用的VPN 技术有IPsec（互联网协议安，Internet protocol Security） VPN 、SSL （ 安全套接层协议层， Security Socket Layer-SSL）VPN、、VPDN（ 虚拟专用拨号网，Virtual Private Dial － up Networks）和MPLS（多协议标签交换，Multi-ProtocolLabelSwitching）VPN 等。

1. IPsec VPN 简介

IPsec VPN 是基于GRE（ 通用路由封装 Generic Routing Encapsulation）技术的VPN，客户只需申请上网业务，并在自己路由器或防火墙上，做相关设置，建立VPN 网关，客户端安装相应VPN软件即可实现在不同地点的两个节点进行内部通信。此类VPN 主要采用了隧道技术、加解密技术、密钥管理技术等，实现通过公共网络，传递企业内部信息的目的。

IPsec VPN 优缺点

IPsec VPN 的搭建不需要电信运营商的参与，只需要VPN 的使用者购买防火墙等设备，并在访问终端安装VPN 软件或者接入设备，所以VPN 的维护也都由使用者自己维护，需要VPN 的用户有较高的维护能力。但是这样也大大提高了安全级别，因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。

IPSec VPN 通常不能支持复杂的网络，这是因为它们需要克服穿透防火墙、IP 地址冲突等困难。所以IPSec VPN 实际上只适用于易于管理的或者位置固定的地方。

2. SSL VPN 简介

SSL VPN 是基于WEB 应用的安全协议的VPN 技术。客户端程序为IE、Netscape Communicator 或Mozilla 等安全的Web 浏览器，通过认证后进入到公司服务器的VPN 网页，访问某个具有Web 功能的应用，因此它更像一个Web 服务器。

SSL VPN 优缺点

SSL VPN 可以在任何地点，利用任何设备，连接到相应的网络资源上。迎合了用户对低成本、高性价比远程访问的需求。因为SSLVPN 采用操作系统自带的浏览器即可实现VPN 访问，不需要单独安装软件，接入方式更简单，更容易维护，成本较低。但是SLL VPN更适合访问一些简单的应用，如电子邮件、电子表格和演示，如果需要访问的是整个网络，那么选择SSL VPN 就不适合了，它只适合点到网的访问，具有局限性。

3. VPDN 简介

VPDN 是基于拨号用户的虚拟专用拨号网业务。即以拨号接入方式上网，是利用IP 网络的承载功能结合相应的认证和授权机制建立起来的安全的虚拟专用网。该项业务需要运营商在城域网BRAS 设备上为每个VPN 客户建立单独的域，用户端通过带有域的账号拨入到Internet，与中心端的服务器相连，再次进行认证后进行访问。

VPDN 的优缺点

VPDN 适用于地点分散，在各地有分支机构，移动人员特别多的用户，例如企业用户、远程教育用户。它的优点是客户以拨号方式进入企业虚拟专用网，可以与该网内的任何一台电脑交流，进行浏览、查询、文件传输、信息存取等操作，投资小，网络结构简单，维护方便。VPND 组网需要VPN 的使用者与电信运营商配合组网，对用户的中心服务器和网络安全要求很严格。目前国税网上报税系统大量采用了VPDN 的组网方式。

4. MPLS VPN

MPLS VPN 是采用MPLS（多协议标签交换）技术，利用标签交换，一个标签对应一个用户数据流的方式来区分不同的用户，从而实现用户间数据的隔离的VPN 网络，MPLS VPN 网络主要由CE 路由器、PE 路由器和P 路由器3 部分组成。

P 路由器是指运营商网络主干路由器，负责PE 路由器之间的路由；PE 路由器是指运营商边缘路由器，连接P 路由器和CE 路由器，是MPLS VPN 网络中重要设备；CE 路由器是客户端路由器，为用户提供VPN 接入。

MPLS VPN 是目前应用较广泛的VPN 方案。从网络层次分，MPLS VPN 可分为二层MPLS VPN 和三层MPLS VPN 两种。

二层MPLS VPN 实现方式为在PE 设备上设置VSI（虚拟交换机接口），通过MP-BGP 路由协议和MPLS 协议，使不同PE 设备上相关的VSI 实例之间实现二层互通，类似于在PE 路由器上为客户虚拟一台交换机，不同PE 的VSI 实例之间有一条虚拟的网线相连，形成覆盖全部的客户虚拟交换机网络。客户不同网点只要自己设置相同的IP 地址段即可互通。

三层MPLS VPN 实现方式为在PE 路由器上设置VPN 实例，通过MP-BGP 路由协议和MPLS 协议，使不同PE 设备上相关的VPN实例之间实现三层互通，类似于在PE 路由器上为客户虚拟一台路由器，不同PE 设备的VPN 实例之间有一条虚拟的网线相连，形成覆盖全网的客户虚拟路由器网络。在PE 设备上相关的VPN 接口，直接配置客户私网IP 地址，PE 设备通过RD（Route-Distinguisher 路由区分符）参数区分不同客户的相同的私网IP 地址。三层MPLS VPN 客户的所有网点IP 地址网段必须都不同。原则上，客户端必须安装一台路由器（CE）与电信业务提供商的PE 设备对接。

MPLS VPN 的优缺点

MPLS VPN 是电信运营商大量使用的VPN 技术，它被广泛的应用在电信级网络和具有一定规模的网络组建VPN 的方案中。MPLS VPN 具有较高的灵活性和可扩展性，可以实现点到点，点到多点和任意接入点之间互访的全网状结构，满足用户不同的通信需求。

MPLS VPN 使用标签交换技术替代了路由查找，减少了数据在网络中寻址的时间，大大提高了数据传输的速率。MPLS VPN 可以提供QOS 保证，根据所传输的数据赋予不同的QOS 等级，对语音、视频等数据的传输提供带宽和较高优先级的保障。但是由于MPLS VPN 对网络和设备要求较高，组建VPN 网络建设投资也相对较高，更适合较大规模的组网用户使用。

VPN 技术的发展迎合了用户虚拟专网的需求，广泛应用于各行各业。不同的VPN 组网方式在投资、维护、安全、功能等方面都有自己不同的特点。在选则 VPN 组网方案时，用户还要根据自身特点和不同的业务模式，以及扩展性和实用性，进行合理的选择。