IP虛擬專用網(wǎng)(IP-VPN)是指互聯(lián)網(wǎng)服務提供商(ISP)以IP骨干網(wǎng)為基礎提供的增值服務。最終用戶采用IP-VPN的服務，可以在多個地點之間傳送IP數(shù)據(jù)包，同時得到一定程度的服務質(zhì)量保證和某種程度的安全保證。

    利用公用網(wǎng)絡構(gòu)建虛擬專用網(wǎng)絡會給ISP和VPN用戶帶來益處。對于ISP來說，通過向侖業(yè)提供IP-VPN增值服務，可以免費利用現(xiàn)有網(wǎng)絡資源，提高業(yè)務量。將這一繁重的任務由專業(yè)的ISP來完成。

    一個高效、成功的IP-VPN一般應具備安全保障、服務質(zhì)量保證(QoS)、可擴充性、靈活性、可管理性等幾個特點。IP-VPN業(yè)務主要分為兩種類型，即撥號VPN(簡稱VPDN)和專線VPN。

    1.專線VPN:專線連接不需要使用昂貴的遠距離的專用線路，分支機構(gòu)和企業(yè)端的路由器可以各自使用本地一專用線路，通過本地的ISP連接到internet。VPN軟件使用與本地ISP建立連接到Internet網(wǎng)絡分支機構(gòu)和企業(yè)端路由器之間創(chuàng)建一個虛擬專用網(wǎng)絡。主要應用于企業(yè)員工、企業(yè)用戶、企業(yè)合作伙伴的遠程撥號接入，專線VPN主要應用于企業(yè)的Intranet和Extranet的建設。

    2、撥號接入VPN:簡稱VPDN，使用撥號連接(如模擬電話、ISDN和ADSL等)連接到ISP，是一個不同于傳統(tǒng)的使用連接分支機構(gòu)的路由器專線撥打長途或電話接入企業(yè)的方式，分支機構(gòu)路由器可以撥號連接本地ISP。VPN軟件使用與本地ISP建立起的連接在分支機構(gòu)和企業(yè)端路由器之間創(chuàng)建一個跨越internet的虛擬專用網(wǎng)絡。

    3、用戶設備的VPN:企業(yè)內(nèi)部網(wǎng)包含VPN網(wǎng)關設備(也可以是支持VPN隧道協(xié)議的路由器、防火墻等設各)，通過租用專線接入Internet。該方式解決兩個問題:隧道建立(Tunneling)和地址轉(zhuǎn)換(NAT)。VPN網(wǎng)關可由用戶購買或租用ISP的設備，其安全性可由自己管理或由ISP代管。

    4、網(wǎng)絡邊緣設備的VPN:在IP網(wǎng)絡邊緣接入由運營商管理的VPN接入設備為用戶提供VPN業(yè)務。這類設各要連接多個VPN用戶，網(wǎng)絡的VPN:如MPLS技術，要求網(wǎng)絡上的所有設備支持MPU協(xié)議。基于MPLS的內(nèi)嵌VPN是無連接的，無需定義隧道。MPLS提供IPQoS和流量管理，具有良好的網(wǎng)絡擴展性和增值服務擴展性。網(wǎng)絡運營商的公共數(shù)據(jù)網(wǎng)絡r設置VPN網(wǎng)關設備，用于接入企業(yè)的專線用戶或遠程撥號接入用戶。利用該網(wǎng)關設備，可以在全網(wǎng)范圍內(nèi)，根據(jù)具體的VPN網(wǎng)絡需求.通過隧道封裝或虛擬路由以及MPLS等技術，建立完全的或不完全的VPN網(wǎng)絡結(jié)構(gòu)，并且也可以采用加密技術以保障數(shù)據(jù)傳輸?shù)陌踩�性。VPN連接的建立完全由網(wǎng)絡運營商負責，對用戶透明。用戶的管理可以靈活地由用戶和網(wǎng)絡運營商共同管理。運營商要根據(jù)具體的需要調(diào)整或改變網(wǎng)絡結(jié)構(gòu)與設備性能來支持這種VPN的實現(xiàn)。網(wǎng)絡運營商提供VPN增值服務，可以得到額外的收入，例如用戶管理和增加的專線或撥號接入租費等。另外，由于網(wǎng)關設備由網(wǎng)絡運營商提供并管理，可以同時為多個企業(yè)用戶提供VPN服務。

    VPN在企業(yè)中的組網(wǎng)方式分以下3種。在各種組網(wǎng)方式下采用的隧道協(xié)議有所不同，要仔細選擇。

    (1)AccessVPN(遠程訪問VPN):客戶端到網(wǎng)關。VPN允許遠程通訊方，銷售人員或企業(yè)分支機構(gòu)使用Internet等公共互聯(lián)網(wǎng)絡的路由基礎設施以安全的方式與位于企業(yè)局域網(wǎng)端的企業(yè)服務器建立連接。虛擬專用網(wǎng)絡對用戶端透明，用戶好像使用一條專用線路在客戶計算機和企業(yè)服務器之間建立點對點連接，進行數(shù)據(jù)的傳輸。遠程用戶撥號接入到本地的ISP，它適用于流動人員遠程辦公，可大大降低電話費。SOCKSv5協(xié)議比較適合這類連接。

    (2)IntranetVPN企業(yè)內(nèi)部VPN):網(wǎng)關到網(wǎng)關。它適用于公司兩個異地機構(gòu)的局域網(wǎng)互連，在Internet上組建世界范圍內(nèi)的企業(yè)網(wǎng)。利用Internet的線路保證網(wǎng)絡的互聯(lián)性，而利用隧道、加密等VPN特性可以保證信息在整個IntranetVPN上安全傳輸。IPSec隧道協(xié)議可滿足所有網(wǎng)關到網(wǎng)關的VPN連接，因此，在這類組網(wǎng)方式中用得最多。

    (3)ExtranetVPN(擴展的企業(yè)內(nèi)部VPN):與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet。由于不同公司的網(wǎng)絡相互通信，所以要更多考慮設備的互連、地址的協(xié)調(diào)、安全策略的協(xié)商等問題，它也屬于網(wǎng)關到網(wǎng)關的連接，選擇IPSec協(xié)議是明智之舉。

    使用VPN技術可以解決在當今遠程通訊量日益增大，企業(yè)全球運作廣泛分布的情況下，員工需要訪問中央資源，企業(yè)相互之間必須進行及時和有效的通訊的問題。

    VPN可以實現(xiàn)不同網(wǎng)絡的組件和資源之間的相互連接，能夠利用Internet或其它公共互聯(lián)網(wǎng)絡的基礎設施為用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡一樣的安全和功能保障。

    對中小企業(yè)來說，VPN是實現(xiàn)自建專網(wǎng)向利用運營商網(wǎng)絡方向發(fā)展的重要技術，通過部署VPN，利用地理范圍覆蓋廣闊，骨干網(wǎng)絡帶寬很高的運營商網(wǎng)絡可以提供滿足企業(yè)網(wǎng)絡互連的需求，企業(yè)因此省去建設費用高昂的專有網(wǎng)絡。

    對于建設了專用網(wǎng)絡的大企業(yè)集團，利用MPLSVPN可以實現(xiàn)數(shù)據(jù)、語音、視頻的多業(yè)務承載和、不同業(yè)務系統(tǒng)之間的隔離。MPLSVPN在保證不同業(yè)務的QOS和業(yè)務系統(tǒng)的安全隔離方面具有天然的優(yōu)勢。VPN組網(wǎng)應是企業(yè)信息化網(wǎng)絡建設中性價比最高的解決方案。

    通過上面的講述可以發(fā)現(xiàn)，VPN可以大大節(jié)省連接的費用。建立作為VPN服務器都是通過撥打本地接入電話實現(xiàn)建立連接。虛擬專用網(wǎng)可以節(jié)省連接的費用。所以可以作為企業(yè)端路由器使用專線連接專線本地。不僅減少WAN帶寬的費用，能使用靈活的拓撲結(jié)構(gòu)，包括全球網(wǎng)絡連接，新的站點能更快、更容易地被連接，通過設備供應商WAN的連接冗余，可以延長網(wǎng)絡的可用時間。