VPN是通过因特网上将局域网扩展到远程网络和远程计算机用户的一种成本效益极佳的办法。它最大的优点在于异地子网间的通信就象在一个子网内一样安全，虚拟专用网络由此而得名。

　　VPN的三个基本要素

　　1. IP封装

　　VPN系统的第一个基本要素是使用IP封装。若一个IP包包含其他IP包时，就称为IP封装。IP封装可以使两个实际上分离的网络计算机看上去像比邻的――相互之间只是由一个路由器分开，但是它们是通过许多网络路由器和网关分开的，这些路由器和网关也可能不用同一个地址空间。

　　例如，若有两个使用PPTP（Point-to-Point Tunneling Protocol）的RAS（Remote Access Service）服务器连接的IP网络，一个局域网的网络地址是10.1.1，另一个是10.1.2。每个网络上的RAS服务器都提供到Internet的连接。一个RAS服务器有一个局域网的IP地址10.1.1.1和一个ISP分配的因特网地址250.121.13.12，而另一个RAS服务器的局域网地址是10.1.2.1，ISP分配的因特网地址是110.121.112.34。这时若10.1.1网络中的一个计算机，假设为10.1.1.23，需向10.1.2网络中的一个计算机，假设为10.1.2.99，发送一个IP包。

　　1) 发送方的计算机首先注意到，目标地址10.1.2.99的网络部分与它自己的网络地址不匹配。

　　2) 发送方不将包直接发送给目标地址，而是将包发送给自己子网缺省的网关地址10.1.1.1。

　　3) 这个10.1.1网络上的RAS服务器读这个包。

　　4) 网络10.1.1上的RAS服务器判断出这个包应被放到10.1.2网络的子网上。

　　5) RAS服务器加密这个包，并用另一个包将它封装起来。

　　6)路由器从它的网络接口上发送这个封装的包（这个接口连接到因特网上，假设地址为24.121.13.12）到10.1.2网络子网的RAS服务器的因特网地址110.121.112.34上。

　　7)10.1.2网络子网的RAS服务器从它的因特网接口读这个封装和加密的包。

　　8)10.1.2网络子网的RAS服务器解密这个封装的IP包，验证它是一个有效的IP包，也就是它没有被改动过并且来自可靠的地方。

　　9)10.1.2网络子网的RAS服务器从它的适配器上将这个包发送到网络子网的目标地址10.1.2.99。

　　10)目标计算机读这个包。

　　这就是一个简单的VPN的IP封装过程。

　　2. 加密的身份认证

　　密码身份认证用来安全有效地验证远程用户的身份，这样系统就可以判断出适合这个用户的安全级别。如VPN可使用密码身份认证来决定用户是否可以参与到加密通道中。

　　3. 数据有效负载加密

　　数据有效负载加密用来加密被封装的数据。