在VPN（虛擬專用網(wǎng)）的遠程應用中，管理員可混合搭配各種協(xié)議，以求VPN在性能和安全之間獲得最佳平衡。

　　VPN可以擴大局域網(wǎng)的覆蓋范圍，而不需要擁有或者租賃專用線路,其成本通常比專線低得多。企業(yè)可以使用VPN讓遠程用戶和移動用戶接入網(wǎng)絡，把分散在不同地區(qū)的分支機構(gòu)連入統(tǒng)一網(wǎng)絡，并且能夠遠程使用依靠內(nèi)部服務器的應用系統(tǒng)。

　　VPN可以使用兩種機制：其一，向可信賴的通信提供商租賃專用線，這種VPN名叫可信VPN（Trusted VPN）；其二，通過公共因特網(wǎng)傳送經(jīng)過加密的流量，名叫安全VPN（Secure VPN）。使用基于可信VPN的安全VPN名為混合VPN（Hybrid VPN），把兩種安全VPN（譬如IPSec和SSL）結(jié)合到一個網(wǎng)關也屬于混合VPN。

　　可信VPN

　　這些年來，可信VPN已從向電信供應商租賃原始專用線，改為向因特網(wǎng)提供商租賃專用IP網(wǎng)絡線路。在IP網(wǎng)絡上實施可信VPN所用的技術主要有：異步傳輸方式（ATM）、幀中繼和多協(xié)議標記交換（MPLS）。

　　ATM和幀中繼在數(shù)據(jù)鏈路層工作，數(shù)據(jù)鏈路層是開放系統(tǒng)互連（OSI）模型的第二層，它基于分組交換網(wǎng)絡，MPLS模擬了線路交換網(wǎng)絡的一些屬性，它在通常所謂的“第2.5層”工作，這一層介于數(shù)據(jù)鏈路層和網(wǎng)絡層之間。MPLS正開始取代ATM和幀中繼，實施面向大型企業(yè)及服務提供商的可信VPN。

　　安全VPN

　　安全VPN可以使用IPSec、第二層隧道協(xié)議（L2TP，Layer 2 Tunneling Protocol）、安全套接層（SSL，Security Socket Layer）3.0、傳輸層安全（TLS，Transport Layer Security）、第二層轉(zhuǎn)發(fā)協(xié)議（L2F，Layer 2 Tunneling Protocol）或者點對點隧道協(xié)議（PPTP，Point-to-Point Tunneling Protocol）。

　　IPSec即IP安全，是在網(wǎng)絡層對IP數(shù)據(jù)包進行加密和驗證的一項標準。IPSec有一系列加密協(xié)議，它的兩個主要用途是：保護網(wǎng)絡數(shù)據(jù)包安全和交換加密密鑰。有些安全專家認為，自上世紀90年代末以來，IPSec是VPN的優(yōu)先協(xié)議。支持IPSec 的操作系統(tǒng)包括Windows XP/2000/2003/Vista、Linux 2.6及更高版本、Mac OS X、NetBSD、FreeBSD、OpenBSD、Solaris、AIX、HP-UX和VxWorks。許多廠商都提供IPSec VPN服務器和客戶機軟件。
　　
　　微軟在Windows 95 OSR2以后的所有版本里面都添加了PPTP客戶機軟件，并且在Windows NT 4.0以后的所有服務器產(chǎn)品中添加了PPTP服務器軟件。Linux、Mac OS X、Palm PDA設備及Window Mobile 2003設備里都有PPTP客戶端軟件。

　　PPTP可以通過密碼身份驗證協(xié)議（PAP）、可擴展身份驗證協(xié)議（EAP）等方法增強安全性，可以使遠程用戶通過撥入ISP直接連接Internet或其他網(wǎng)絡安全地訪問企業(yè)網(wǎng)。它具有隨處可得、免費、易于安裝等優(yōu)點。

　　Schneier和黑客組織Lopht Heavy Industries的Mudge在前些年發(fā)現(xiàn)并公布了微軟PPTP存在的安全漏洞。微軟利用MS-CHAPv2和微軟點對點加密（MPPE）協(xié)議迅速解決了這些問題，后來Schneier和Mudge指出：微軟PPTP的安全性仍取決于每個用戶的密碼有多安全。微軟于是在操作系統(tǒng)中執(zhí)行密碼強度策略，從而解決了這個問題，但Schneier和Mudge仍建議在構(gòu)建安全VPN時采用IPSec，而不是采用PPTP，因為前者天生更安全。

　　L2F是由思科公司開發(fā)的一種比較舊的協(xié)議。L2TP借鑒了L2F和PPTP的概念，從而成為數(shù)據(jù)鏈路層協(xié)議。L2TP可以提供隧道，但不提供安全或者驗證，L2TP可以在隧道里面?zhèn)鬏擯PP會話。思科將L2TP實施在路由器中，并且有好幾種采用開放源代碼的L2TP是針對Linux實施的。

　　L2TP/IPSec結(jié)合了L2TP的隧道和IPSec的安全通道功能，這樣一來，安全的因特網(wǎng)密鑰交換（IKE）比純粹的IPSec更容易實現(xiàn)。自2002年以來，微軟為Windows 98/ME/NT提供了免費的L2TP/IPSec VPN客戶機軟件，并且隨同Windows XP/2000/2003/ Vista交付L2TP/IPSec VPN客戶機軟件，Windows Server 2003和Windows 2000 Server都包括L2TP/IPSec服務器軟件。

　　SSL和TLS都是在OSI模型的第4層保護數(shù)據(jù)流安全的協(xié)議。SSL 3.0及其后續(xù)版本TLS 1.0通常都與能夠?qū)崿F(xiàn)安全Web瀏覽的HTTP（名為HTTPS）一起使用。不過，SSL/TLS也可以用來創(chuàng)建VPN隧道。譬如，OpenVP就是一款采用開放源代碼的VPN軟件包，適用于Linux、xBSD、Mac OS X、Pocket PC和Windows 2000/XP/2003/Vista。OpenVP使用SSL來提供對數(shù)據(jù)通道和控制通道進行加密的功能。

　　VPN的安全風險

　　在某些時候，使用VPN會讓公司面臨潛在的安全風險。雖然如今使用的VPN大多數(shù)就其本身而言相當安全，但VPN加大了合理保護網(wǎng)絡邊界安全的難度，網(wǎng)絡管理員必須對通過VPN連接到網(wǎng)絡的計算機和直接連接到LAN的計算機實行同樣的安全標準。

　　結(jié)合使用兩個VPN可能會把一家公司的網(wǎng)絡暴露在另一家公司的網(wǎng)絡面前。此外，如果PC Anywhere、GoToMyPC或者VNC等遠程控制軟件與VPN一起使用，公司的網(wǎng)絡可能會暴露在駐留本身并沒有連接到VPN的遠程計算機上的惡意軟件面前。

　　建造功能均衡的VPN

　　因為安全VPN依靠加密來保證性能，而一些加密功能屬于計算密集型，所以使用頻繁的VPN可能會讓服務器不堪重負。管理員通�？梢园淹瑫r連接的數(shù)量限制在服務器能夠處理的水平，從而管理服務器的負載。

　　如果試圖連接到VPN的用戶數(shù)量突然達到高峰，譬如在導致交通中斷的暴風雨期間，員工可能會發(fā)現(xiàn)自己無法連接上VPN，因為所有VPN端口都處于忙碌狀態(tài)。管理員應確保不需要VPN的關鍵應用系統(tǒng)正常運行，例如設置代理服務器或者因特網(wǎng)消息訪問協(xié)議（IMAP）服務器，讓員工可以在家里或者在路上使用電子郵件。

　　就特定的情形而言，決定使用IPSec還是SSL/TLS可能很難。要考慮的一個因素就是，SSL/TLS能夠透過基于網(wǎng)絡地址轉(zhuǎn)換（NAT）的防火墻工作，IPSec卻不能，不過這兩種協(xié)議都可以透過并不轉(zhuǎn)換地址的防火墻工作。

　　IPSec可以對兩臺計算機之間傳輸?shù)乃�有IP流量進行加密，而SSL/TLS只針對某種應用進行加密。SSL/TLS使用成本高昂的異步加密功能來建立連接，并使用更有效的同步加密功能來保護通路的安全。

　　在遠程應用中，管理員可能會混合搭配各種協(xié)議，以求VPN在性能和安全之間獲得最佳平衡。例如，客戶機使用由SSL/TLS保護的瀏覽器，通過防火墻連接到基于Web的前端程序；Web服務器使用IPSec連接到應用服務器; 而應用服務器可能使用SSL，跨另一個防火墻連接到數(shù)據(jù)庫服務器。另外，使用專門的服務器硬件有時可以增強VPN的擴展性。