Windows 2000 的虛擬專用網(wǎng)絡(luò) 虛擬專用網(wǎng)絡(luò)（Virtual Private Network，簡稱VPN）是通過Internet 或公共網(wǎng)絡(luò)建立專用的網(wǎng)絡(luò)連接，擴(kuò)展了專用網(wǎng)絡(luò)的范圍。利用VPN 技術(shù)，可以通過Internet 或公共網(wǎng)絡(luò)模擬點(diǎn)對(duì)點(diǎn)專用連接，在計(jì)算機(jī)之間收發(fā)數(shù)據(jù)，其效果與在專用線路上進(jìn)行數(shù)據(jù)傳輸一樣安全、有效。 為模擬點(diǎn)對(duì)點(diǎn)連接，需要用路由信息的標(biāo)識(shí)頭將數(shù)據(jù)封裝打包，這個(gè)標(biāo)識(shí)頭保證數(shù)據(jù)穿過公共網(wǎng)絡(luò)到達(dá)目的地；為模擬專用連接，應(yīng)將數(shù)據(jù)進(jìn)行可靠的加密，即使在公共網(wǎng)絡(luò)上截獲到數(shù)據(jù)包，如果沒有密匙是無法辨認(rèn)的。對(duì)數(shù)據(jù)進(jìn)行封裝和加密的連接才是一個(gè)真正的虛擬專用的網(wǎng)絡(luò)（VPN）連接。 公司員工在家里或旅途中可以利用公共網(wǎng)絡(luò)（例如Internet），使用VPN連接建立到公司內(nèi)部服務(wù)器的遠(yuǎn)程訪問連接。公司也可以利用VPN連接在地理上分散的分公司或辦事機(jī)構(gòu)，也可以和有業(yè)務(wù)往來的公司建立安全通信的連接。通過Internet路由的VPN連接，邏輯上可以作為專用的WAN連接來使用，事實(shí)上拓寬公司的LAN，建立安全可靠的WAN 。 Windows 2000支持兩種類型的VPN技術(shù)： （1） 點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP），它使用了用戶級(jí)點(diǎn)對(duì)點(diǎn)協(xié)議的認(rèn)證方法和微軟的點(diǎn)對(duì)點(diǎn)數(shù)據(jù)加密方法；（2）IPSec 的L2TP協(xié)議，使用用戶級(jí)PPP認(rèn)證方法和IPSec級(jí)的證書進(jìn)行數(shù)據(jù)加密。 點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）是在Windows NT4.0中就已支持的隧道協(xié)議工業(yè)標(biāo)準(zhǔn)，是對(duì)點(diǎn)到點(diǎn)協(xié)議（PPP）的擴(kuò)展，增強(qiáng)了PPP的認(rèn)證、壓縮、加密功能。PPTP和微軟的點(diǎn)對(duì)點(diǎn)加密（MPPE）提供了主要的VPN服務(wù)：封裝和專用數(shù)據(jù)加密。

圖1：PPTP封裝和加密的PPP frame 圖1表示把一個(gè)PPP frame用一個(gè)路由頭（GRE）和一個(gè)IP頭封裝在一起。并通過MPPE認(rèn)證過程產(chǎn)生的密匙來加密PPP frame 。 兩層隧道協(xié)議（L2TP）是一個(gè)基于RFC的隧道協(xié)議，它不使用MPPE對(duì)PPP datagrams 進(jìn)行加密，而依靠IPSec提供加密服務(wù)，L2TP和IPSec的綜合被稱為基于IPSec的L2TP 圖2：L2Tp和IPSec封裝和加密的PPP frame 利用IPSec提供加密服務(wù)，使信息安全性更高。IPSec提供對(duì)TCP/IP 協(xié)議組中的所有IP及其上層的協(xié)議保護(hù)，它是通過將算法和密匙相結(jié)合，實(shí)現(xiàn)信息安全保護(hù)。算法是一種數(shù)學(xué)處理，通過它來保護(hù)信息，密匙是讀取、修改和驗(yàn)證安全數(shù)據(jù)所需的密碼或數(shù)字。為了保證安全通信， 兩臺(tái)計(jì)算機(jī)必須有相同和共享的密匙。IPSec使用DiffIE-Hellman算法交換密時(shí)，而不是通過網(wǎng)絡(luò)直接傳送密匙，提高信息傳輸安全性。用戶還可以自行改變默認(rèn)的密匙交換和數(shù)據(jù)加密密匙設(shè)置，進(jìn)一步提高安全性。