除了通过Internet，还可以通过搭建一条物理专网连接保证数据的安全传输，VPN应运而生。

　　在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接，保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。

　　公共网络又经常被称为VPN骨干网（VPN Backbone），公共网络可以是Internet，也可以是企业自建专网或运营商租赁专网。

　　VPN技术的基本原理是利用隧道（Tunnel）技术，对传输报文进行封装，利用VPN骨干网建立专用数据传输通道，实现报文的安全传输。

　　位于隧道两端的VPN网关，通过对原始报文的“封装”和“解封装”，建立一个点到点的虚拟通信隧道。

　　隧道协议通过在隧道的一端给数据加上隧道协议头，即进行封装，使这些被封装的数据能都在某网络中传输，并且在隧道的另一端去掉该数据携带的隧道协议头，即进行解封装。

　　可用于部署了远程接入VPN的场景，VPN网关对用户的身份进行认证，保证接入网络的都是合法用户而非恶意用户。也可以用于VPN网关之间对对方身份的认证。

　　IPSec（IP Security） VPN一般部署在企业出口设备之间，通过加密与验证等方式，实现了数据来源验证、数据加密、数据完整性保证和抗重放等功能。

　　IKE建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上，采用DH（Diffie-Hellman）算法在不安全的网络上安全地分发密钥。

　　同时，通信双方通过交换密钥交换材料来计算共享的密钥，即使第三方截获了双方用于计算密钥的所有交换数据，也无法计算出线

　　IKEv1协商阶段2的目的就是建立用来安全传输数据的IPSec SA，并为数据传输衍生出密钥。

　　该阶段使用IKEv1协商阶段1中生成的密钥对ISAKMP消息的完整性和身份进行验证，并对ISAKMP消息进行加密，故保证了交换的安全性。

　　IKE协商成功意味着双向的IPSec隧道已经建立，可以通过ACL方式或者安全框架方式定义IPSec“感兴趣流”，符合感兴趣流流量特征的数据都将被送入IPSec隧道进行处理。

　　当R1收到IP1发来的IPv6数据包，查询设备路由表，发现出接口是隧道接口，则将此报文发给隧道接口处理。

　　GRE Over IPSecGRE的主要缺点是不支持加密和认证，数据的安全传输得不到很好的保障。

　　L2TP概述L2TP是虚拟私有拨号网VPDN（Virtual Private Dial-up Network）隧道协议的一种，它扩展了点到点协议PPP的应用，是一种在远程办公场景中为出差员工或企业分支远程访问企业内网资源提供接入服务的VPN。

　　L2TP消息L2TP协议包含两种类型的消息，控制消息和数据消息，消息的传输在LAC和LNS之间进行。

　　在控制消息的传输过程中，使用消息丢失重传和定时检测隧道连通性等机制来保证控制消息传输的可靠性，支持对控制消息的流量控制和拥塞控制。

　　由远程拨号用户发起，远程系统通过PSTN/ISDN拨入LAC，由LAC通过Internet向LNS发起建立隧道连接请求。

　　运营商的接入设备（主要是BAS设备）需要开通相应的VPN服务。用户需要到运营商处申请该业务。

　　L2TP隧道两端分别驻留在LAC侧和LNS侧，且一个L2TP隧道可以承载多个会线、Client-Initialized场景

　　客户需要知道LNS的IP地址。LAC客户可直接向LNS发起隧道连接请求，无需再经过一个单独的LAC设备。

　　在LNS设备上收到了LAC客户的请求之后，根据用户名、密码进行验证，并且给LAC客户分配私有IP地址。

　　用户上网的方式和地点没有限制，不需ISP介入。L2TP隧道两端分别驻留在用户侧和LNS侧，一个L2TP隧道承载一个L2TP会话。

　　企业出差用户和总部通信，使用L2TP功能建立VPN连接，总部部署为LNS对接入的用户进行认证。

　　当出差用户需要向总部传输高机密信息时，L2TP无法为报文传输提供足够的保护电脑分享vpn，这时可以和IPSec功能结合使用，保护传输的数据。

　　在出差用户的PC终端上运行拨号软件，将数据报文先进行L2TP封装，再进行IPSec封装，发往总部。

　　企业可以自建MPLS专网也可以通过租用运营商MPLS专网的方式获得MPLS VPN接入服务。

　　MPLS VPN网络一般由运营商搭建，VPN用户购买VPN服务来实现用户网络之间（图中的分公司和总公司）的路由传递、数据互通等。