虚拟专用网（VPN，Virtual Private Network）是一种利用公共网络来构建的私人专用网络技术，不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠 ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。 在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN 为："使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途 数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。

 

　　二、VPN的安全性

 

　　目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。

　　1、隧道技术

　　隧道技术是VPN的基本技术类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第 二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传 输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。 　 第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec（IP Security）是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。

　　2、加解密技术

　　加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。

　　3、密钥管理技术

　　密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP 主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。

　　4、使用者与设备身份认证技术

　　使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式，目前这方面做的比较成熟的有国内的深信福科技的VPN解决方案。

 

　　三、VPN网络的可用性

 

　　通过VPN，企业可以以更低的成本连接远程办事机构、出差人员以及业务合作伙伴关键业务。虚拟网组成之后，远程用户只需拥有本地ISP的上网权限，就 可以访问企业内部资源，这对于流动性大、分布广泛的企业来说很有意义，特别是当企业将VPN服务延伸到合作伙伴方时，便能极大地降低网络的复杂性和维护费 用。

　　VPN技术的出现及成熟为企业实施ERP、财务软件、移动办公提供了最佳的解决方案。

　　一方面，VPN利用现有互联网，在互联网上开拓隧道，充分利用企业现有的上网条件，无需申请昂贵的DDN专线，运营成本低。

　　另一方面，VPN利用IPSEC等加密技术，使在通道内传输的数据，有着高达168位的加密措施，充分保证了数据在VPN通道内传输的安全性。

 

　　四、VPN网络的可管理性

 

　　随着技术的进步，各种VPN软硬件解决方案都包含了路由、防火墙、VPN网关等三方面的功能，企业或政府通过购买VPN设备，达到一物多用的功效，既 满足了远程互联的要求，而且还能在相当程度上防止黑客的攻击、并能根据时间、IP、内容、Mac地址、服务内容、访问内容等多种服务来限制企业公司内部员 工上网时的行为，一举多得。

　　VPN设备的安装调试、管理、维护都极为简单，而且都支持远程管理，大多数VPN硬件设备甚至可通过中央管理器进行集中式的管理维护。出差人员也可以 通过客户端软件与中心的VPN设备建立VPN通道，从而达到访问中心数据等资源的目的。让互联无处不在，极大地方便了企业及政府的数据、语音、视频等方面 的应用。

 

　　五、windows 2003实现NAT地址转换和VPN服务器

 

　　下面我们介绍一下通过Windows Server操作系统自带的路由和远程访问功能来实现NAT共享上网和VPN网关的功能。网络拓扑图如下。我们要实现在异地通过VPN客户端访问总部局域网各种服务器资源。

       第一步：系统前期准备工作

　　服务器硬件：双网卡，一块接外网，一块接局域网。在windows2003中VPN服务称之为“路由和远程访问”，默认状态已经安装。只需对此服务进行必要的配置使其生效即可。

　　首先确定是否开启了Windows Firewall/Internet Connection Sharing (ICS)服务，如果开启了Windows Firewall/Internet Connection Sharing (ICS)服务的话，在配置“路由和远程访问”时系统会弹出如下对话框。

　　

　　我们只要去“开始”-“程序”-“管理工具”-“服务”里面把Windows Firewall/Internet Connection Sharing (ICS)停止，并设置启动类型为禁用，如下图所示：

　　

       第二步：开启VPN和NAT服务

　　然后再依次选择“开始”-“程序”-“管理工具”-“路由和远程访问”，打开“路由和远程访问”服务窗口;再在窗口左边右击本地计算机名，选择“配置并启用路由和远程访问”，如下图所示：

　　

　　在弹出的“路由和远程访问服务器安装向导”中点下一步，出现如下对话框。

　　

　　由于我们要实现NAT共享上网和VPN拨入服务器的功能，所以我们选择“自定义配置”选项，点下一步;

　　

 

　　在这里我们选择“VPN访问”和“NAT和基本防火墙”选项，点下一步，在弹出的对话框中点“完成”，系统会提示是否启动服务，点“是”，系统会按刚才的配置启动路由和远程访问服务，最后如下图所示;

　　

       第三步：配置NAT服务