随着交流的日益增多，企业的不断发展，企业的分支机构也分布到全国及世界各地。为了加强企业的内部联系，越来越多的企业认识到建立内部网的重要性，开始组建企业内部网，把各分支机构及移动办公用户相连。目前已经建成的企业内部网，大多是靠租借电信部门的数据专线来组建的。从网络结构上看，一般是星型结构。这种接入方式极其昂贵，让大多数用户望而却步。而出差在外的人员如果需要与总部联系，往往需要通过拨号上网拨入企业内部网，这样又无法保证其安全性和可靠性。因此，它有许多缺点：网络运行维护费用高、可扩展性差、可靠性差。Internet的发展推动了基于公网的虚拟专用网的发展。虚拟专用网就是在Internet等共享式公共网络基础设施上提供安全可靠的连接，由于这些基础是共享式的，因此连接的成本低于现有的专用网络。用户使用虚拟专用网连接远程网站，整个广域网络的成本可以节省20%－47%以上。但如何保证企业内部的数据通过公共网络传输的安全性和保密性，以及如何管理企业网在公共网上的不同节点，成为关注的问题。虚拟专用网技术采用专用的网络加密和通信协议，可以使企业在公共网络上建立虚拟的加密信道，组建安全、低成本的企业内部网。

如何建设VPN

如果企业自己组建VPN，首先会造成资金的浪费，VPN设备需要进行复杂的加密处理，需要功能强大的处理器，才能获得较高的性能，因此VPN设备大都比较昂贵。其次，需要对VPN进行复杂的管理，企业需要人员对VPN设备在各地进行安装、调试和维护。

因此，大多数企业希望把VPN业务外包给能够提供可管理业务的运营商。所谓可管理的业务是指，不仅运营商能够对业务进行管理，客户本身也能对业务进行监视和进行一定程度的控制。企业希望不仅能够对自己的VPN进行全视角的监视，察看系统的配置和性能统计，而且能够对系统进行配置更新和改变。

使用哪种协议

VPN使用的协议可以分为两类：隧道协议和其他相关协议，使用不同的隧道协议，可以组建不同级别的VPN。

二层和三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。第三层隧道与第二层隧道相比，优点在于它的安全性、可扩展性及可靠性。从安全的角度来看，由于第二层隧道一般终止在用户网设备上，会对用户网的安全及防火墙技术提出较严峻的挑战。而第三层隧道一般终止在ISP的网关上，不会对用户网的安全构成威胁。从可扩展性角度看，第二层隧道将整个PPP帧封装在报文内，可能会产生传输效率问题。由于用户网内的网关要保存大量的PPP对话状态及信息，这会对系统负荷产生较大的影响，当然也会影响系统的扩展性。第三层隧道技术对于公司网络还有一些其他优点。网络管理者采用第三层隧道技术时，不必在他们的远程节点或客户端设备上安装特殊软件。因为PPP和隧道终点由ISP的设备生成，客户端设备不用负担这些功能，而仅作为一台路由器即可。第三层隧道技术可采用任意厂家的客户端设备来实现，公司网络不需要IP地址，也具有安全性。服务提供商网络能够隐藏私有网络和远端节点地址。

一般情况下，第二层隧道协议和第三层隧道协议分别使用，但合理地运用两层协议，将具有更好的安全性。

组建何种类型

根据VPN设备在网络中安装位置的不同，可分为两种类型的建设方式：基于客户端设备的VPN和基于网络的VPN。

早期的VPN是通过在客户端，放置在多厂家生产的VPN硬件或软件来实现的，称为基于客户端设备的VPN。目前市场上的软硬件设备，有的是专为基于客户端设备的VPN而设计，有的则是在原有设备（路由器、防火墙）的基础上加以改进，使之具备VPN功能。由于客户端设备来自不同的厂家，彼此缺少互操作性测试，随着时间的推移和新功能的增加，基于客户端设备的VPN将变得难以管理和提供业务。每种VPN设备具有不同的参数配置要求，运营商不可能在网管中心进行统一大批量的配置。

基于客户端设备的VPN由于需要在每个客户端放置VPN设备，造成客户的初期投资较高，运营商需要到每一个客户处进行现场安装、测试、维护。运营商不仅需要在POP点安装线路复用设备和高速接入路由器，还需要投入大量资金购置客户端设备，缴纳VPN软件的使用费。通常这些费用将转移到客户的身上，使客户难以承受，而影响VPN业务的推广。基于客户端设备的VPN方案也需客户进行另外的投资，为客户端设备提供正常的工作环境，如增加空调设备。