IPSEC
　　IPSEC是一種由IETF設計的端到端的確保基于IP通訊的數據安全性的機制。IPSEC支持對數據加密，同時確保數據的完整性。按照IETF的規定，不采用數據加密時，IPSEC使用驗證包頭（AH）提供驗證來源驗證（source authentication)，確保數據的完整性；IPSEC使用封裝安全負載（ESP）與加密一道提供來源驗證，確保數據完整性。IPSEC協議下，只有發送方和接受方知道秘密密鑰。如果驗證數據有效，接受方就可以知道數據來自發送方，并且在傳輸過程中沒有受到破壞。
　　可以把IPSEC想象成是位于TCP/IP協議棧的下層協議。該層由每臺機器上的安全策略和發送、接受方協商的安全關聯（security association)進行控制。安全策略由一套過濾機制和關聯的安全行為組成。如果一個數據包的IP地址，協議，和端口號滿足一個過濾機制，那么這個數據包將要遵守關聯的安全行為。

協商安全關聯（NegotiatedSecurityAssociation）
　　上述第一個滿足過濾機制的數據包將會引發發送和接收方對安全關聯進行協商。ISAKMP/OAKLEY是這種協商采用的標準協議。在一個ISAKMP/OAKLEY交換過程中，兩臺機器對驗證和數據安全方式達成一致，進行相互驗證，然后生成一個用于隨后的數據加密的個共享密鑰。

驗證包頭
　　通過一個位于IP包頭和傳輸包頭之間的驗證包頭可以提供IP負載數據的完整性和數據驗證。驗證包頭包括驗證數據和一個序列號，共同用來驗證發送方身份，確保數據在傳輸過程中沒有被改動，防止受到第三方的攻擊。IPSEC驗證包頭不提供數據加密；信息將以明文方式發送。

封裝安全包頭
　　為了保證數據的保密性并防止數據被第3方竊取，封裝安全負載（ESP）提供了一種對IP負載進行加密的機制。另外，ESP還可以提供數據驗證和數據完整性服務；因此在IPSEC包中可以用ESP包頭替代AH包頭。

用戶管理
　　在選擇VPN技術時，一定要考慮到管理上的要求。一些大型網絡都需要把每個用戶的目錄信息存放在一臺中央數據存儲設備中（目錄服務）便于管理人員和應用程序對信息進行添加，修改和查詢。每一臺接入或隧道服務器都應當能夠維護自己的內部數據庫，存儲每一名用戶的信息，包括用戶名，口令，以及撥號接入的屬性等。但是，這種由多臺服務器維護多個用戶帳號的作法難以實現及時的更新，給管理帶來很大的困難。因此，大多數的管理人員采用在目錄服務器，主域控制器或RADIUS服務器上建立一個主帳號數據庫的方法，進行有效管理。

RAS支持
　　微軟的遠程接入服務器（RAS）使用域控制器或RADIUS服務器存儲每名用戶的信息。因為管理員可以在單獨的數據庫中管理用戶信息中的撥號許可信息，所以使用一臺域控制器能夠簡化系統管理。
　　微軟的RAS最初被用作撥號用戶的接入服務器。現在，RAS可以作為PPTP和L2TP協議的隧道服務器（NT5將支持L2TP）。這些第2層的VPN方案繼承了已有的撥號網絡全部的管理基礎。

擴展性
　　通過使用循環DNS在同屬一個安全地帶（securityperimeter）的VPN隧道服務器之間進行請求分配，可以實現容余和負荷平衡。一個安全地帶只具有一個對外域名，但擁有多個IP地址，負荷可以在所有的IP地址之間進行任意的分配。所有的服務器可以使用一個共享數據庫，如NT域控制器驗證訪問請求。

RADIUS
　　遠程驗證用戶撥入服務（RADIUS）協議是管理遠程用戶驗證和授權的常用方法。RADIUS是一種基于UDP協議的超輕便（lightweight）協議。RADIUS服務器可以被放置在Internet網絡的任何地方為客戶NAS提供驗證（包括PPP PAP，CHAP，MSCHAP和EAP）。另外，RADIUS服務器可以提供代理服務將驗證請求轉發到遠端的RADIUS服務器。例如，ISP之間相互合作，通過使用RADIUS代理服務實現漫游用戶在世界各地使用本地ISP提供的撥號服務連接Internet和VPN。如果ISP發現用戶名不是本地注冊用戶，就會使用RADIUS代理將接入請求轉發給用戶的注冊網絡。這樣企業在掌握授權權利的前提下，有效的使用ISP的網絡基礎設施，使企業的網絡費用開支實現最小化。

記費，審計和報警
　　為有效的管理VPN系統，網絡管理人員應當能夠隨時跟蹤和掌握以下情況：系統的使用者，連接數目，異常活動，出錯情況，以及其它可能預示出現設備故障或網絡受到攻擊的現象。日志記錄和實時信息對記費，審計和報警或其它錯誤提示具有很大幫助。例如，網絡管理人員為了編制帳單數據需要知道何人在使用系統以及使用了多長時間。異常活動可能預示著存在對系統的不正確使用或系統資源出現不足。對設備進行實時的監測可以在系統出現問題時及時向管理員發出警告。一臺隧道服務器應當能夠提供以上所有信息以及對數據進行正確處理所需要的事件日志，報告和數據存儲設備。
　　NT4.0在RAS中提供了對記費，審計和報警的支持。RADIUS協議對呼叫-記費請求（call-accountingrequest)進行了規定。當RAS向RADIUS發送呼叫-記費請求后由后者建立記費記錄分別記錄呼叫開始，結束以及預定中斷的情況。

結論
　　如本文所述，Windows系統自帶的VPN服務允許用戶或企業通過公共或專用網絡與遠端服務器，分支機構，或其他公司建立安全和可靠的連接。雖然上述通訊過程發生公共互聯網絡上，但是用戶端如同使用專用網絡進行通訊一樣建立起安全的連接。使用Windows系統的VPN技術可以解決在當今遠程通訊量日益增大，企業全球運作分布廣泛的情況下，員工需要訪問中央資源，企業相互之間必須能夠進行及時和有效的通訊的問題。

隧道技術如何實現

　　對于象PPTP和L2TP這樣的第2層隧道協議，創建隧道的過程類似于在雙方之間建立會話；隧道的兩個端點必須同意創建隧道并協商隧道各種配置變量，如地址分配，加密或壓縮等參數。絕大多數情況下，通過隧道傳輸的數據都使用基于數據報的協議發送。隧道維護協議被用來作為管理隧道的機制。

　　第3層隧道技術通常假定所有配置問題已經通過手工過程完成。這些協議不對隧道進行維護。與第3層隧道協議不同，第2層隧道協議（PPTP和L2TP）必須包括對隧道的創建，維護和終止。

　　隧道一旦建立，數據就可以通過隧道發送。隧道客戶端和服務器使用隧道數據傳輸協議準備傳輸數據。例如，當隧道客戶端向服務器端發送數據時，客戶端首先給負載數據加上一個隧道數據傳送協議包頭，然后把封裝的數據通過互聯網絡發送，并由互聯網絡將數據路由到隧道的服務器端。隧道服務器端收到數據包之后，去除隧道數據傳輸協議包頭，然后將負載數據轉發到目標網絡。

隧道協議和基本隧道要求

　　因為第2層隧道協議（PPTP和L2TP）以完善的PPP協議為基礎，因此繼承了一整套的特性。

1.用戶驗證
　　第2層隧道協議繼承了PPP協議的用戶驗證方式。許多第3層隧道技術都假定在創建隧道之前，隧道的兩個端點相互之間已經了解或已經經過驗證。一個例外情況是IPSec協議的ISAKMP協商提供了隧道端點之間進行的相互驗證。

2.令牌卡（Tokencard）支持
　　通過使用擴展驗證協議（EAP），第2層隧道協議能夠支持多種驗證方法，包括一次性口令（one-timepassword)，加密計算器（cryptographic calculator）和智能卡等。第3層隧道協議也支持使用類似的方法，例如，IPSec協議通過ISAKMP/Oakley協商確定公共密鑰證書驗證。

3.動態地址分配
　　第2層隧道協議支持在網絡控制協議（NCP）協商機制的基礎上動態分配客戶地址。第3層隧道協議通常假定隧道建立之前已經進行了地址分配。目前IPSec隧道模式下的地址分配方案仍在開發之中。

4.數據壓縮
　　第2層隧道協議支持基于PPP的數據壓縮方式。例如，微軟的PPTP和L2TP方案使用微軟點對點加密協議（MPPE）。IETP正在開發應用于第3層隧道協議的類似數據壓縮機制。

5.數據加密
　　第2層隧道協議支持基于PPP的數據加密機制。微軟的PPTP方案支持在RSA/RC4算法的基礎上選擇使用MPPE。第3層隧道協議可以使用類似方法，例如，IPSec通過ISAKMP/Oakley協商確定幾種可選的數據加密方法。微軟的L2TP協議使用IPSec加密保障隧道客戶端和服務器之間數據流的安全。

6.密鑰管理
　　作為第2層協議的MPPE依靠驗證用戶時生成的密鑰，定期對其更新。IPSec在ISAKMP交換過程中公開協商公用密鑰，同樣對其進行定期更新。

7.多協議支持
　　第2層隧道協議支持多種負載數據協議，從而使隧道客戶能夠訪問使用IP，IPX，或NetBEUI等多種協議企業網絡。相反，第3層隧道協議，如IPSec隧道模式只能支持使用IP協議的目標網絡。
VPN的基本要求

　　一般來說，企業在選用一種遠程網絡互聯方案時都希望能夠對訪問企業資源和信息的要求加以控制，所選用的方案應當既能夠實現授權用戶與企業局域網資源的自由連接，不同分支機構之間的資源共享；又能夠確保企業數據在公共互聯網絡或企業內部網絡上傳輸時安全性不受破壞.因此，最低限度，一個成功的VPN方案應當能夠滿足以下所有方面的要求：

1.用戶驗證
　　VPN方案必須能夠驗證用戶身份并嚴格控制只有授權用戶才能訪問VPN。另外，方案還必須能夠提供審計和記費功能，顯示何人在何時訪問了何種信息。

2.地址管理
　　VPN方案必須能夠為用戶分配專用網絡上的地址并確保地址的安全性。

3.數據加密
　　對通過公共互聯網絡傳遞的數據必須經過加密，確保網絡其他未授權的用戶無法讀取該信息。

4.密鑰管理
　　VPN方案必須能夠生成并更新客戶端和服務器的加密密鑰。

5.多協議支持
　　VPN方案必須支持公共互聯網絡上普遍使用的基本協議，包括IP，IPX等。以點對點隧道協議（PPTP）或第2層隧道協議（L2TP）為基礎的VPN方案既能夠滿足以上所有的基本要求，又能夠充分利用遍及世界各地的Internet互聯網絡的優勢。其它方案，包括安全IP協議（IPSec)，雖然不能滿足上述全部要求，但是仍然適用于在特定的環境。本文以下部分將主要集中討論有關VPN的概念，協議，和部件（component）。