虛擬專用網(Virtual Private Network,VPN)是指在公用網絡上建立專用網絡的技術。它是兩個專用網絡顺利获得一個公用網絡相互連接的一種方法。其之所以稱為虛擬網,主要是因為整個VPN網絡的任意兩個節點之間的連接並沒有傳統專網所需的端到端的物理鏈路,而是架構在公用網絡服務商所给予的網絡平台(如Internet、ATM(異步傳輸模式)、Frame Relay(幀中繼)等)之上的邏輯網絡,用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證連結的專用網絡的擴展。VPN技術原來是路由器具有的重要技術之一,现在交換機、防火牆設備及 Windows等軟件都支持VPN功能。一句話,VPN的核心就是在利用公共網絡建立虛擬私有網。

因此，VPN被定義為顺利获得一個公用網絡建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的通道。

通常,VPN網關採取雙網卡結構,外網卡使用公網IP接入Internet。

如果網絡1的終端A需要訪問網絡2的終端B,則其發出的訪問數據包的目標地址為終端B的IP位址(內部IP)。網絡1的VPN網關在接收到終端A發出的訪問數據包時,對其目標地址進行檢查。如果目標地址屬於網絡2的地址,則將該數據包進行封裝,封裝的方式根據所採用的VPN技術不同而不同。同時,VPN網關會構造一個新數據包(VPN數據包)並將封裝後的原數據包作為VPN數據包的負載,VPN數據包的目標地址為網絡2的VPN網關的外部地址。

網絡1的VPN網關將VPN數據包發送到Internet中,因為VPN數據包的目標地址是網絡2的VPN網關的外部地址,所以該數據包將被Internet中的路由正確地發送給網絡2的VPN網關。

網絡2的VPN網關對接收到的數據包進行檢查,如果發現該數據包是從網絡1的VPN網關發出的,即可判定該數據包為VPN數據包,並對該數據包進行解包處理。解包的過程主要是,先將VPN數據包的包頭剝離,再將數據包反向處理還原成原始的數據包。

網絡2的VPN網關將還原後的原始數據包發送至目標終端B,因為原始數據包的目標地址是終端B的IP,所以該數據包能夠被正確地發送至終端B。在終端B看來,它收到的數據包就和從終端A直接發過來的一樣。

從終端B返回終端A的數據包的處理過程和上述過程一樣,這樣兩個網絡內的終端就可以相互通信了。

顺利获得上述說明可以發現,在VPN網關對數據包進行處理時,有兩個參數對!於VPN通信十分重要:原始數據包的目標地址(VPN目標地址)和遠程VPN網關地址。根據VPN目標地址,VPN網關能夠判斷對哪些數據包進行VPN處理,對於不需要處理的數據包通常可直接轉發到上級路由;遠程VPN網關地址則指定了處理後的VPN數據包發送的目標地址,即VPN通道的另一端VPN網關地址。由於網絡通信是雙向的,因此在進行VPN通信時,通道兩端的VPN網關都必須知道VPN目標地址和與此對應的遠端VPN網關地址。