虛擬私有網路VPN因其用途，可分成三種不同的服務內容：
1.企業內網路的虛擬私有網路(Intranet VPN)：
目前國內的企業，大致上，多將總公司設立在台北，分公司或辦事處則分別在台中、高雄、新竹等地區，各營業處只要以當地專線連結上公眾網路，再利用公眾網路加上VPN的技術，可以將這些分散在各地的營業處所連接在一起，成為一個企業內的網路Intranet，企業的員工在連線不同的營業處所的資料時，就如同在Iocal LAN上存取資料一樣方便。
2.企業間的虛擬私有網路(Extranet VPN)：
企業並可以利用VPN的安全技術連線，與它的設備或原料供應商、客戶及生意上的夥伴利Internet進行B to B的電子商務，來達成Extranet的安全連接。這使得電子商務能在一個安全可靠的網路環境上進行。
3.遠端撥接的虛擬私有網路(Remote Access VPN)：
　大部分的傳統式遠距存取撥接解決方案是利用昂貴長途電話從各地打回總公司遠端撥接伺服器(RAS)對企業來說，尚需多花採購撥接伺服器設備及維護的費用。利用遠距撥接的VPN，可以讓用戶任何時間和地點，都能透過Inernet接上企業的網路資源。

VPN技術
虛擬私有網路(VPN)主要採用四項技術：
1.穿隧技術(Tunneling)：
穿隧技術是為了將私有數據網路的資料在公眾數據網路上傳輸，所發展出來一種資料包裝方式(Encapsulation)，亦即在公眾網路上建立一條祕密通道。現在穿隧技術所使用的協定主要有：IPsec、PPPT、L2TP等三種。
• IPSec為第三層的穿隧技術，專門為IP所設計，不但符會現有IPv4的環境，同時也是IPv6的標準，它也是IEIF所制定的業界標準，目前IETF從1995年起，陸續公佈許多網路安全之相關技術標準。這些標準統稱為IPSec(IP Security , RFC1825~1829 , RFC1851 , RFC2085 , RFC2104)。
• PPTP(Point to Point Tunneling Protocol)：
PPTP協定，定義了一個主從式的架構，主要是由PNS(PPTP Network Server)和PAC(PPTP Access Concentrator)紅成的機制，乃是透過這個機制來支援VPN的功能。將IP、IPX、NetBEUI通訊協定封裝在IP封包中，並使用TCP方式來交換加密通道的維護訊息。
• L2TP(Layer 2 Tunneling Protocol)：
結合Layer-2 Forwarding(L2F)和PPPTP的協定由IETF所提出的一個資料連結層的加密通訊協定。

PPTP和L2TP均為第二層的穿隧技術，適合具有IP/IPX/Apple Talk等多種協定的環境。IPsec、PPTP、L2TP三者，最大的不同在於，運用IPsec的技術，使用者可以同時使用Internet與VPN的多點傳輸功能(包括執行Internet/Intranet/Extranet/Remote Access等)，而PPTP及L2TP只能執行點對點VPN的功能，無法同時執行Internet的應用，使用時較不方便，而在安全上，IPSec會對整個傳輸資料做加密，PPTP及L2TP則是封包的再包(Encapsulation)，並未對資料做加密處理，安全性較低。

2.加解密技術(Encryption & Decryption)：
　加解密技術是一項古老的技術，古時候的人，就知道運用字母同步位移方式(A->G , C->J ……)做成密文，以達祕密通信目的，現在則是使用非常嚴謹數學運算。因為虛擬私有網路建構在Internet公眾數據網路上，為確保私有之資料於傳輸過程中，不會被其他人瀏覽、竊取或篡改，所有的封包在傳輸過程中均需加密，當封包傳送到私有數據網路後，再將封包解密。封包於傳輸過程中，即使遭到駭客截取，駭客只能看到一些無意義的亂碼。如果駭客想看到封包內的資料，他必須先破解該封包的密鑰(Encryption Key)。隨著加密技術與密鑰長度的不同，駭客破解密鑰所的設備與時間便有所不同。例如：使用SSL(Secure Socket Layer)技術，密鑰長度為40bits，以現在的PC不到一秒就可破解；而56-bits的DES(Data Encryption Standard)，以一般的PC大概要幾十年才能破解；112bits的Triple DES，而現在則被視為無法破解。現今常用的加密技術可概分為兩種：
• 對稱式密碼學(Symmetric cryptography)，又稱密鑰式密碼學(Secret-key cryptography)。對稱式的加解密技術，加密與解密均使用同一把鑰匙。大家所熟知的DES/3DES，RC4即為對稱式的加密技術。由於對稱式密碼演算法的運算速度較非對稱式密碼演算法快(約差100~1000倍)，所以對稱式的加解密技術都使用在實際資訊傳遞加密上。現行之VPN設備一般會支援採用標準DES或3DES做為加解密所用的演算法。對稱式加密技術的缺點是，如何安全傳遞密鑰到另一方。以及當加密傳輸的對象增加時，不同對象使用不同密鑰管理上的問題。
• 非對稱式密碼學(Asymmetric cryptography)，又稱公用鑰匙密碼學(Public-key cryptography)；非對稱式的加解密技術，也就是說加密與解密使用不同的鑰匙。非對稱式密碼學解決了密鑰傳遞上的問題，事實上使用者可將他的公用密鑰(Public key)，公開式的發出給其他使用者知道。讓其他的使用者利用其公用密鑰，傳遞加密資料給使用者。在密鑰的管理上，使用者只有維護一對公用密鑰及私有密鑰。非對稱式密碼演算法由於在運算速度較慢，所以多被採用在加密傳遞對稱式密鑰，而非實際的資料加密上。

3.密鑰管理技術(key management)：
　駭客如果想要解讀封包，必需先破解加解密所用之密鑰(key)。如果駭客無法截取密鑰，他只能使用暴力法(Brute Force)來破解，以現今先進的加密技術(如3DES)，暴加破解法多半是研究單位實驗性破解方式。一般的駭客尚無此計算能力(Computing Power)，如此便會大幅減少資料被竊取的可能性。因此，如何在Internet公眾數據網路上安全地傳遞密鑰，而不被駭客竊取，這就是密鑰管理(Key Management)主要任務。現行常用密鑰管理的技術又可分為：
• SKIP(Simple Key management for IP)，主要是利用Diffie-Hellman的演算法則，在網路上傳輸密鑰的一種技術。
• ISAKMP/Oakley(又稱IKE)，ISAKMP/Oakley亦是利用Diffie-Hellman的演算法則，在網路上傳輸密鑰的一種技術，將來ISAKMP/Oakley會整合於IPv6中，成為IPv6的標準之一。

4.使用者與設備身份認證技術(Authentication)：
　Internet網路上有眾多的使用者與設備，如何正確地辨識合法之使用者與設備，使屬於自己單位的人員與設備能互相連通，構成一個虛擬私有網路(VPN)並讓非用無法進入系統，這就是使用者與設備身分確認技術，所要解決的問題。

辨識合法使用者的方式很多，最常使用的方法，就是要求使用者名稱與密碼，而對於安全要求高的單位可採用One-Time Password的使用者身份認證，就是系統所使用的登入密碼每次都不同的動態密碼(當然對使用者而言還是使用同一個密碼)，One-Time Password可有效防止密碼封包截取(Sniffer)的入侵方式。

設備認證則需要仰賴由電子簽章核發單位(Certificate Authority)所發出X.509電子簽章(Certificate)。設備交換資料前，須先確認彼此的身份，藉著出示彼此的電子簽章，雙方將此簽章比對，如果比對正確，雙方才開始交換資料，反之，則不交換。這就如同警察在臨檢時，會出示證件，讓我們確認其身份，我們則出示身份證。藉由這個方式以防止駭客使用同一廠牌的機器，偽冒成合法的使用身份，獲取重要的資訊。

VPN over Frame Relay、VPN over ATM、IP VPN
VPN的概念早在1970年代X.25數據分封交換網路就普遍為企業、政府單位採用。當時的方式是透過在X.25公眾數據網路上，建立SVC(Switch Virtual Circuit)或PVC(Permanent Virtual Circuit)來連結各個不同網路節點。到了1990年代，企業網路對外的應用服務越來越多，連外頻寬的需求越來越大。使得高速線路服務，如訊框傳送(Frame Relay)及ATM應運而生。Frame Relay及ATM公眾數據路具備良好的品質服務保證服務，並具有動態頻寬分配功能(Dynamic Bandwidth Allocation)，可以更有效率的運用網路頻寬，以提?企業網路效能。

不管是Frame Relay或ATM公眾數據網路，它們的特性就是速度快、並可提供良好的品質保證服務。但它們有幾個缺點：
1. 透過SVC或PVC的連接各個網路節點，故當節點數越來越多時，要設定與管理的SVC及PVC的數量越來越多，舉例來說，如企業要採用完全網狀網路，若有N個節點，即需N*(N-1)/2的SVC或PVC的連結。在管理及維護上，對網路人員都是極大的負擔。
2. Frame Relay或ATM，一般依然是以明碼的方式傳輸，無法避免其所隱含的安全問題。
3. 未解決在外工作者遠端連線的問題。

企業可以為自己的企業量身訂做一個最符合自己需求，可以自己掌控的網路環境。Frame Relay與ATM等公眾數據網路提供固定虛擬線路(Permanent Virtual circuit ; PVC)來連接需要通訊的單位，所有設定權掌握在NSP(Network Service Provider)，使用者如果有新的需求，需要填寫許多異動單據後，再等上一段時間才有新的服務，管理與設定也很繁瑣，且服務的提供受限於固定的NSP，如果是NSP無法服務到地區，即無法供應VPN服務。相對之下，Internet網路一樣可立即與世界任何一個使用internet網路的單位連接。在Internet使用者可以控制與其他人使用的相互關係，並可支援撥接的用戶。所以現在的迣擬網(VPN)指的是建構在Internet上擁有自主權的私有數據網路，即IP VPN，而非Frame Relay與ATM等提供虛擬固接線路(PVC)服務的網路。

目前可提供IP VPN的功能設備可分為以下三種，包括：
1.軟體式的VPN應用程式：
軟體式的VPN應用程式，使用一般的CPU做加解密資料的處理中心，商業化的CPU有廣泛的多功能支援能力，但其在特定功能的表現上則不佳。使用軟體式的VPN應用程式，其道理如同玩3D立體遊戲，如不使用3D加速卡，會有畫面延遲，效能不佳的情況，所以軟體式的VPN應用程式，只適合在料傳輸量小的公司或個人使用。

2.路由器上的VPN功能：
大多數的Cisco路由器，均支援VPN的功能。但資料加解密是非常要求系統運算能力的工作，路由器通常只對封包表頭(Packet Header)做分析，並做封包轉送。以Triple DES加解密運算，約50~100倍於封包表頭分析運算量，如要使用路由器的VPN功能，應考量效能表現是否足以勝任實際需求。

3.硬體式的VPN設備：
硬體式的VPN設備，定義是必需要有一個專屬的硬體元件(如ASIC晶片)在處理VPN加解密工作。一般而言，硬體式的VPN設備在效能上會優於上面所提到另外兩種方式。在資料傳輸量大的公司企業、安全要求高的政府及軍事機構。建議應採用硬體式的VPN設備。目前看到的趨勢，結合其他安全機制，如防火牆、身份認證系統的整合式網路安全設備，可成為市場一波主流。整合式網路安全設備的好處是，使用者可在有限的預算，購得最多的服務功能，且在整體網路建制上，也較簡化，後續的管理及維護負擔也較輕。

結論
　企業建制VPN的網路，原則上建議採用單一廠牌的VPN設備，以減小在互通性及管理上的問題。對於不同廠牌的VPN設備互連性問題，廠商在銷售VPN雖會說明產品完全符合標準規範(IPSec)，但在實際的應用中，卻可能發生無法連接不相容的情況。使用者在購買VPN設備，可以事先參考ISCA IPSec對不同廠牌VPN設備互通性測試的資料。

　考量企業VPN環境的建制，除了上述的因素之外，另外一點需特別注意的便是設備管理問題。以往的指令示管理介面(Command Line Interface)，對企業而言，需要付出人力成本及額外教育訓練費用，對管理人員而言，則需要花時間，學習不易了解的指令，設備供應商應提供與指令示管理功能相當的圖形化管理介面(GUI)，最佳的方式是直接從使用者的瀏覽器就可以設定管理，此外，集中式的管埋，在大規模的VPN網路架構，也是必需的。現今的網路服務可說不分地區(Global)24小時全天不中斷的服務。集中式的管理可讓管理人員在最短的時間發現並解決問題。讓企業可能遭致損失減到最低。