Windows 2000 的虛擬專用網絡 虛擬專用網絡（Virtual Private Network，簡稱VPN）是通過Internet 或公共網絡建立專用的網絡連接，擴展了專用網絡的范圍。利用VPN 技術，可以通過Internet 或公共網絡模擬點對點專用連接，在計算機之間收發數據，其效果與在專用線路上進行數據傳輸一樣安全、有效。 為模擬點對點連接，需要用路由信息的標識頭將數據封裝打包，這個標識頭保證數據穿過公共網絡到達目的地；為模擬專用連接，應將數據進行可靠的加密，即使在公共網絡上截獲到數據包，如果沒有密匙是無法辨認的。對數據進行封裝和加密的連接才是一個真正的虛擬專用的網絡（VPN）連接。 公司員工在家里或旅途中可以利用公共網絡（例如Internet），使用VPN連接建立到公司內部服務器的遠程訪問連接。公司也可以利用VPN連接在地理上分散的分公司或辦事機構，也可以和有業務往來的公司建立安全通信的連接。通過Internet路由的VPN連接，邏輯上可以作為專用的WAN連接來使用，事實上拓寬公司的LAN，建立安全可靠的WAN 。 Windows 2000支持兩種類型的VPN技術： （1） 點對點隧道協議（PPTP），它使用了用戶級點對點協議的認證方法和微軟的點對點數據加密方法；（2）IPSec 的L2TP協議，使用用戶級PPP認證方法和IPSec級的證書進行數據加密。 點對點隧道協議（PPTP）是在Windows NT4.0中就已支持的隧道協議工業標準，是對點到點協議（PPP）的擴展，增強了PPP的認證、壓縮、加密功能。PPTP和微軟的點對點加密（MPPE）提供了主要的VPN服務：封裝和專用數據加密。

圖1：PPTP封裝和加密的PPP frame 圖1表示把一個PPP frame用一個路由頭（GRE）和一個IP頭封裝在一起。并通過MPPE認證過程產生的密匙來加密PPP frame 。 兩層隧道協議（L2TP）是一個基于RFC的隧道協議，它不使用MPPE對PPP datagrams 進行加密，而依靠IPSec提供加密服務，L2TP和IPSec的綜合被稱為基于IPSec的L2TP 圖2：L2Tp和IPSec封裝和加密的PPP frame 利用IPSec提供加密服務，使信息安全性更高。IPSec提供對TCP/IP 協議組中的所有IP及其上層的協議保護，它是通過將算法和密匙相結合，實現信息安全保護。算法是一種數學處理，通過它來保護信息，密匙是讀取、修改和驗證安全數據所需的密碼或數字。為了保證安全通信， 兩臺計算機必須有相同和共享的密匙。IPSec使用DiffIE-Hellman算法交換密時，而不是通過網絡直接傳送密匙，提高信息傳輸安全性。用戶還可以自行改變默認的密匙交換和數據加密密匙設置，進一步提高安全性。